Nous utilisons tous des applications mobiles pour payer, s'authentifier ou consulter nos comptes bancaires. Etant donné la sensibilité de ces actions, nous faisons confiance aux éditeurs que sont les banques ou le service publique. Mais peut-on hacker de telles applications ou les données qu'elles contiennent ? Yes, we can ! Quels sont ces moyens d'attaque ? Quels sont les risques et que pouvons-nous faire pour les réduire ?

La sécurité mobile est au cœur du métier de notre équipe car nous travaillons quotidiennement à protéger les applications mobiles de nos clients. Dans cette présentation nous nous focaliserons sur le pentest (la partie offensive de notre activité) en alliant explications et démonstrations. Cette conférence s’adresse donc à un public technique assez large : des personnes intéressées par la sécurité des applications mobiles, que ce soit simplement pour se rendre compte des attaques possibles ou bien pour les mettre en pratique.

Nous allons utiliser un téléphone rooté, pour analyser une application Android et la modifier grâce au reverse engineering. Ensuite, nous approfondirons l’analyse avec l'utilisation d'outils permettant de modifier dynamiquement le comportement de l'application lors de son exécution. Enfin nous évoquerons les protections à mettre en place pour éviter ces attaques.

A l'issu de notre présentation, vous aurez une meilleure vision du pentest mobile et les bases nécessaires pour utiliser les outils élémentaires de ce domaine.