La sécurisation des applications mobiles est une préoccupation majeure pour les professionnels de la sécurité. Afin d’améliorer leur efficacité, le projet OWASP Mobile Application Security a récemment publié une nouvelle version entièrement automatisée de sa “Checklist de sécurité des applications mobiles OWASP”. Ce guide simplifie le processus de conformité aux normes de l’industrie, de la planification initiale et du développement aux tests de sécurité des applications mobiles.
Des ressources abondantes pour la sécurité mobile OWASP
OWASP, une organisation internationale à but non lucratif, se concentre sur l’amélioration de la sécurité des applications en fournissant aux développeurs et aux équipes de sécurité les ressources nécessaires pour construire des logiciels sécurisés. Le projet OWASP Mobile Security propose une série de ressources complémentaires pour la sécurité des applications mobiles : les OWASP Mobile Application Verification Standards (MASVS), le OWASP Mobile Application Security Testing Guide (MASTG) et la Checklist de sécurité des applications mobiles OWASP. Ces trois ressources travaillent ensemble pour promouvoir une solide sécurité des applications mobiles.
Le MASVS définit les normes pour la sécurité des applications mobiles. Les propriétaires, architectes et développeurs d’applications mobiles consultent le MASVS pour construire une sécurité par conception, tandis que les professionnels de la sécurité s’appuient sur le MASVS pour établir une base de sécurité pour toutes les applications mobiles et les tester de manière cohérente.
Le MASVS couvre huit domaines qui abordent la surface d’attaque mobile :
- V1 : Architecture, conception et modélisation des menaces
- V2 : Stockage des données et confidentialité
- V3 : Cryptographie
- V4 : Authentification et gestion des sessions
- V5 : Communication réseau
- V6 : Interaction avec l’environnement
- V7 : Qualité du code et paramètres de construction
- V8 : Résistance à l’ingénierie inverse
Le MASTG fournit aux analystes en sécurité des applications mobiles un guide de référence pour les tests de pénétration des applications mobiles. Ce manuel détaille les tests de sécurité des applications mobiles Android et iOS basés sur le MASVS. La Checklist de sécurité des applications mobiles OWASP permet de lier le MASVS et le MASTG. Le fichier Excel permet aux testeurs de pénétration des applications mobiles de supprimer les exigences du MASVS qui ne font pas partie du modèle de menace de l’application, de marquer les éléments comme réussis ou échoués et de référencer les sections pertinentes du MASTG pour guider les tests sur Android et iOS.
Zoom sur la Checklist de sécurité des applications mobiles OWASP
La Checklist de sécurité des applications mobiles OWASP récemment revue offre plusieurs améliorations. Parmi celles-ci, l’automatisation remplace la feuille de calcul qui devait autrefois être générée manuellement et un design attrayant qui reflète l’évolution d’OWASP et est plus facile à utiliser.
Parmi les fonctionnalités supplémentaires, on trouve :
- Supporte 13 langues
- Unifie toutes les catégories du MASVS dans une seule feuille
- Traçable via les versions exactes du MASVS et du MASTG et les identifiants de commit
- Toujours à jour avec les dernières versions du MASTG et du MASVS
- Permet à l’utilisateur d’ajouter plus de colonnes ou de feuilles si nécessaire
Ces améliorations simplifient et rendent plus efficace la documentation nécessaire pour démontrer des tests de pénétration mobiles approfondis et évaluer la conformité aux normes MASVS d’OWASP. À l’avenir, l’automatisation pourrait permettre à OWASP d’ajouter d’autres éléments offrant des informations utiles. OWASP vous invite à soumettre vos commentaires et idées concernant les listes de contrôle dans la section “GitHub Discussions” du projet.
NowSecure soutient fièrement le projet OWASP Mobile Application Security en dédiant du personnel à l’évolution des spécifications des normes. L’équipe de NowSecure continue de contribuer de manière substantielle au MASVS et au MASTG d’OWASP et est également un sponsor “God Mode” de l’OWASP.
