Objectifs pédagogiques / Compétences visées
- Développer une analyse sécurité sur une application iOS
- Identifier les concepts du développement sécurisé pour iOS.
Niveau requis
Avoir une bonne connaissance des réseaux, des systèmes et de la sécurité.
Public concerné
Pentesters, auditeurs, développeurs et responsables de la sécurité des systèmes d'information (RSSI).
Programme
Jour 1
Architecture et sécurité
- Fonctions de sécurité
- Architecture iOS
Méthodologie et techniques
- Etapes d'un audit et prérequis
- OWASP (Open Web Application Security Project) Mobile Security Testing Guide
- OWASP Mobile AppSec Verification Standard
Cibles
- Applications de test : DVIA (Damn Vulnerable iOS Application), iGoat
- Applications de l'App Store
Environnement de test
- Outils et terminaux
- Jailbreak et virtualisation
Exemple de travaux pratiques (à titre indicatif)
- Prise en main
Analyse statique
- Analyse du code source
- Rétro-ingénierie
Exemples de travaux pratiques (à titre indicatif)
- Strings / MobSF
- Class-dump / Hopper / Ghidra
Sécurité des données
- Mise en cache et journaux
- Fichiers plist et bases de données
- Sauvegardes
Exemples de travaux pratiques (à titre indicatif)
- iGoat / Needle
- MyTom
Jour 2
Analyse dynamique
- Rétro-ingénierie
- Trace / Hooking
- Contournement de fonctions sécurité
- Side-loading
Exemples de travaux pratiques (à titre indicatif)
- Cycript, Frida
- Frida, Objection
- Code PIN, jailbreak
- IPAPatch / Resign
Sécurité des communications
- Analyse des communications réseau
- Contournement des vérifications SSL (Secure Socket Layer) / TLS (Transport Layer Security)
- Fuite d'informations sensibles à des tiers
Exemples de travaux pratiques (à titre indicatif)
- rvitcl, Wireshark, Burp Suite, Charles Proxy
- iGoat / Burp Suite
Pegasus - Trident
- CVE-2016-4657
- Post-exploitation (accès aux SMS, images, caméras...)
Exemple de travaux pratiques (à titre indicatif)
- Exploitation avec Metasploit
Modalités d’évaluation des acquis
- En cours de formation, par des études de cas ou des travaux pratiques
- Et, en fin de formation, par un questionnaire d'auto-évaluation ou une certification (M2i ou éditeur)