Aller au contenu principal

Pentest Mobile

Vérifier la sécurité de votre application mobile pour identifier les failles liées au stockage des données, au code de l'application et aux échanges avec votre serveur.

3-7 jours
Rapport détaillé avec plan de remédiation
À partir de 3 000€ HT
Pentest Mobile

Objectifs

Atteignez vos objectifs de sécurité

  • Vérifier si des données sensibles sont stockées ou transmises de manière non sécurisée.
  • Identifier les failles dans le code de l'application ou dans les échanges avec le serveur.
  • Évaluer la résistance de l'application face aux tentatives d'analyse de son code ou de modification malveillante.
  • Fournir des recommandations concrètes pour renforcer la sécurité des utilisateurs et des données.

Le pentest mobile évalue la sécurité de votre application Android et iOS, native ou cross-platform (React Native, Flutter), pour protéger les données de vos utilisateurs.

Nous analysons le code de l'application (recherche de clés et secrets exposés), le stockage local des données sensibles, les échanges avec le serveur et la résistance au piratage.

Les tests suivent un standard international de sécurité mobile (OWASP MASTG), la référence pour l'évaluation de la sécurité des applications mobiles.

Vous lancez bientôt une application ? Découvrez comment sécuriser votre application avant sa mise en production.

Méthodologie

Étapes de la mission

Un processus structuré, de la préparation à la restitution.

01

Cadrage

  • Définition des objectifs de test et du périmètre cible
  • Prise en compte du contexte technique et métier
  • Planification des tests selon vos contraintes
02

Scan

  • Examen du code (analyse statique) (permissions, composants, failles)
  • Test du comportement en utilisation (analyse dynamique)
  • Identification des données sensibles stockées ou transmises
03

Exploitation

  • Extraction et lecture du code (décompilation), manipulation ou contournement de sécurité locale
  • Interception des communications avec le serveur/API
  • Test de résistance à l'analyse du code par des attaquants (reverse engineering) et à la modification
04

Synthèse

  • Analyse des risques liés aux vulnérabilités découvertes
  • Présentation du rapport et restitution orale
  • Recommandations concrètes et priorisées
05

Re-test (optionnel)

  • Nouvelle phase de test pour valider l'efficacité des corrections appliquées
  • Mise à jour du rapport si nécessaire

Livrables

Rapport de sécurité

Un rapport complet vous est remis à l'issue de la mission :

  • Rapport de sécurité avec synthèse exécutive pour la direction
  • Détail technique de chaque vulnérabilité avec preuves (captures d'écran)
  • Recommandations de correction adaptées à votre contexte
  • Plan d'action Excel pour le suivi opérationnel des corrections
  • Restitution orale avec mindmap des chemins d'attaque
  • Re-test optionnel pour valider vos corrections

Cas concret

Exemple de mission

Durée

5 jours

Client

Startup

Projet

Pentest Mobile : Application React Native

Résultats

  • Clés d'accès aux services (paiement, cartographie) visibles dans le code de l'application
  • Données personnelles et mots de passe stockés sans protection sur le téléphone
  • Aucune limite sur les tentatives de connexion, permettant de deviner les codes d'accès
  • En modifiant un identifiant dans l'API, un utilisateur pouvait consulter les données d'autres comptes
  • Code source de l'application non obfusqué, facilement lisible après décompilation
  • Journaux de débogage actifs en production, exposant des informations techniques sensibles

Recommandations

  • Déplacer les clés d'accès sur le serveur (jamais dans l'application)
  • Chiffrer les données stockées sur le téléphone
  • Limiter le nombre de tentatives de connexion
  • Vérifier les droits d'accès côté serveur pour chaque requête API
  • Obfusquer le code source avant publication (non activé par défaut sur React Native)
Voir l'étude de cas complète
Voir toutes les études de cas

Questions fréquentes

Tout ce que vous devez savoir sur notre service Pentest Mobile.

Oui, nous testons les deux plateformes, que votre application soit native ou développée avec des frameworks comme React Native ou Flutter.
Non, nous pouvons tester sans le code source. Cependant, y avoir accès permet une analyse plus approfondie et la découverte de failles supplémentaires.
Non. Les tests sont réalisés de manière contrôlée, sans impact sur vos utilisateurs. Nous pouvons travailler sur une version de test ou directement sur la version en production.
Le rapport inclut une synthèse pour la direction, le détail de chaque faille avec son niveau de gravité, l'impact concret sur vos utilisateurs et des recommandations de correction priorisées.

Prêt à sécuriser votre entreprise ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services