Sécurité mobile : OWASP MASVS pour iOS et Android

Qu'est-ce que le MASVS

Le Mobile Application Security Verification Standard (MASVS) est le référentiel OWASP pour la sécurité des applications mobiles. Il définit les exigences de sécurité organisées en catégories vérifiables. Le MASTG (Mobile Application Security Testing Guide) fournit les tests concrets pour chaque exigence. Ensemble, ils constituent la base de tout audit de sécurité mobile sérieux.

Les catégories de vérification

MASVS-STORAGE : stockage des données

Tout ce que l'application stocke localement sur le device. Les fichiers, les bases de données SQLite, les SharedPreferences (Android) ou UserDefaults (iOS), le Keychain, et les caches. La question centrale : des données sensibles sont-elles stockées en clair dans des emplacements accessibles ?

Problèmes fréquents : tokens d'authentification dans les SharedPreferences sans chiffrement, données personnelles dans des fichiers SQLite non chiffrés, credentials dans les logs de l'application.

MASVS-CRYPTO : cryptographie

L'application utilise-t-elle des algorithmes de chiffrement robustes et à jour ? Les clés sont-elles correctement générées, stockées et renouvelées ? Les problèmes courants incluent l'utilisation de DES ou RC4, les clés codées en dur dans le code source, et l'absence de rotation des clés.

MASVS-AUTH : authentification et gestion de session

La vérification de l'identité ne doit pas reposer uniquement sur le client mobile. L'authentification biométrique doit être couplée à un mécanisme serveur. Les sessions doivent expirer côté serveur, pas uniquement côté client. Un token stocké sur le device sans expiration côté serveur permet un accès permanent même après révocation.

MASVS-NETWORK : communication réseau

Toutes les communications doivent utiliser TLS 1.2 minimum. Le certificate pinning protège contre les attaques man-in-the-middle même en cas de compromission d'une autorité de certification. Mais attention : un pinning mal implémenté peut rendre l'application inutilisable lors du renouvellement du certificat.

MASVS-PLATFORM : interaction avec la plateforme

Comment l'application interagit avec le système d'exploitation. Les IPC (Inter-Process Communication), les deep links, les permissions demandées, les WebViews. Un deep link mal validé peut permettre à une application malveillante de déclencher des actions dans votre application. Une WebView avec JavaScript activé et accès aux fichiers locaux est un vecteur d'attaque majeur.

MASVS-CODE : qualité du code et résilience

L'application est-elle protégée contre le reverse engineering ? L'obfuscation est-elle appliquée ? Les mécanismes anti-tampering sont-ils présents ? En pratique, n'importe quelle application mobile peut être décompilée. La question est de savoir combien de temps et d'effort cela demande.

Différences iOS vs Android

Android : le modèle de permissions est plus granulaire depuis Android 6.0. Les applications sont signées mais pas vérifiées par un processus centralisé aussi strict que l'App Store. Le stockage interne (/data/data/[package]) est isolé mais accessible sur un appareil rooté. Les SharedPreferences sont en XML non chiffré par défaut.

iOS : le Keychain offre un stockage sécurisé natif mais doit être configuré correctement (avec le bon niveau d'accessibilité). Les données dans NSUserDefaults ne sont pas chiffrées. L'App Transport Security (ATS) force TLS par défaut mais les développeurs ajoutent souvent des exceptions.

Niveaux de vérification

Le MASVS définit deux niveaux :

Les applications de santé et de finance devraient viser le L2 au minimum. En tant qu'auditeur, CleanIssue vérifie les exigences L1 systématiquement et L2 pour les applications traitant des données sensibles.

Parlez-nous de votre revue externe pour évaluer votre application mobile contre le référentiel MASVS.