La sécurité des applications mobiles en pratique

Ce cours de 32 heures fournit aux participants les connaissances de base et les compétences pratiques nécessaires pour évaluer la sécurité des applications mobiles Android et iOS. Les participants apprennent par le biais d'ateliers pratiques délivrés dans chaque module, qui comportent des scénarios et des exercices uniques et personnalisés basés sur des failles réelles. Ils peuvent ainsi identifier et comprendre efficacement les risques de sécurité sur les appareils mobiles.

Conditions préalables : les participants doivent posséder les compétences techniques suivantes :

• Bonne connaissance de la CLI Linux
• Principes de base de la programmation orientée objet
• Expérience en test d'applications Web

Les compétences suivantes sont recommandées, mais pas obligatoires pour suivre le cours :

• Connaissance de l'assemblage ARM/AARCH64
• Expérience en programmation Java, Kotlin, Swift ou Objective-C
• Expérience en test d'applications client lourd
• Expérience de test des services Web (REST, SAML, JSON)

À l'issue de ce cours, les participants doivent comprendre les points suivants :

• Capacité complète de test des applications mobiles : à l'issue de ce cours, les participants pourront tester des applications réelles, à titre personnel ou professionnel. Cela inclut la possibilité de télécharger des applications depuis un appareil mobile à des fins d'analyse, ainsi que de surmonter les obstacles de sécurité courants, tels que la détection de jailbreak/root, l'épinglage de certificat et le chiffrement de l'espace de stockage local.
• Maîtrise des outils modernes et des normes du secteur : les participants seront en mesure d'utiliser Corellium pour administrer des appareils, d'exploiter Frida de manière intensive pour manipuler des applications mobiles lors de leur exécution, et de combiner divers autres outils et techniques pour effectuer des évaluations complètes d'applications mobiles. Les participants sauront également créer et utiliser leur propre environnement de test pour répondre à leurs besoins.
• Techniques d'analyse statique et de rétro-ingénierie : les participants découvriront des workflows et des techniques efficaces pour l'analyse statique et la rétro-ingénierie. Ce cours abordera les structures et contenus des fichiers APK Android et IPA iOS, ainsi que la rétro-ingénierie du bytecode Dalvik, et les assemblages Objective-C et Swift (ARM). Ces compétences essentielles permettront aux participants d'évaluer les mécanismes de stockage local des données, les communications entre processus, l'utilisation des plates-formes et de compléter l'instrumentation dynamique avec Frida.
• Techniques d'évaluation de la communication entre processus (IPC) : les participants seront en mesure d'analyser et de tester efficacement des mécanismes IPC courants sur Android et iOS. Cela implique d'identifier les composants exposés (comme les activités, les fournisseurs de contenu ou les schémas d'URL), d'interagir avec eux à l'aide d'outils spécialisés, et de découvrir des failles potentielles telles que des fuites de données ou des actions non autorisées à l'aide de techniques de fuzzing et d'analyse ciblée.

Le cours "Sécurité des applications mobiles en pratique" est une formation technique intensive conçue pour offrir aux participants une expérience pratique de l'évaluation des applications mobiles. Le contenu est destiné à des participants ayant des connaissances de base en sécurité, en modélisation des menaces, en programmation orientée objet et une expérience limitée en assemblage (ARM). Les participants qui sont ingénieurs en sécurité, développeurs d'applications et testeurs d'intrusion trouveront ce cours particulièrement utile.

Cours en présentiel avec formateur

• 4 jours (formation en personne)
• 5 jours (formation virtuelle)

Les participants doivent apporter leur ordinateur portable équipé de la dernière version du navigateur de leur choix et capable de se connecter à Internet. Les participants recevront les supports de cours et auront accès à un environnement de test pendant la durée du cours.