Pentest application mobile

Ce que votre app mobile stocke en clair sur le device

Pentest de votre application mobile iOS et Android par un pentester senior spécialisé SaaS. Analyse binaire, interception réseau, stockage local, communications inter-applications — tests sur devices physiques rootés et jailbreakés selon la méthodologie OWASP MASTG. Chaque finding est livré avec son correctif natif.

Cadrer mon audit Voir un rapport exemple
Rapports conformes SOC 2 et ISO 27001 Zéro faux positif Retest inclus

Périmètre

Ce qu'on teste

01

Stockage local

Analyse du stockage de données sensibles sur le device : SharedPreferences, Keychain, UserDefaults, bases SQLite, fichiers de cache. Vérification du chiffrement et des permissions.

02

Communications réseau

Interception et analyse du trafic réseau : certificate pinning, validation TLS, données sensibles en clair, API keys dans les headers, endpoints de debug.

03

Analyse binaire

Reverse engineering du binaire : obfuscation du code, détection de secrets hardcodés, analyse des bibliothèques natives, vérification de la signature et de l'intégrité.

04

Authentification mobile

Tests des mécanismes d'auth spécifiques au mobile : biométrie (bypass), session management, token storage, deeplinks d'authentification, SSO mobile.

05

Communications inter-applications

Analyse des mécanismes d'IPC : intents Android, URL schemes iOS, content providers, broadcast receivers. Détection d'exports non protégés et de deeplinks vulnérables.

06

WebView et applications hybrides

Audit des WebViews : exécution JavaScript, bridges natifs, injection de contenu, politique CORS, chargement de ressources non sécurisées.

07

Anti-tampering et détection root/jailbreak

Évaluation des protections contre la modification de l'app : détection root/jailbreak, anti-debugging, integrity checks, runtime protection.

08

APIs backend

Tests des APIs consommées par l'application mobile : authentification, autorisation, validation des entrées, rate limiting. Focus sur les endpoints spécifiques au mobile.

Extrait de rapport

Voici ce que vous recevez

Chaque vulnérabilité est documentée avec sa preuve d'exploitation et un correctif applicable. Pas de généralités, pas de faux positifs.

6.2.1 Auth Token Stored in Plaintext (SharedPreferences)
MEDIUM
CVSS 3.1: 5.5 OWASP MASTG: MSTG-STORAGE-1 Verification: Live-Confirmed

Description

Le token d'authentification JWT est stocké en clair dans les SharedPreferences Android. Sur un device rooté ou via un backup ADB, un attaquant peut extraire le token et usurper l'identité de l'utilisateur sans connaître ses identifiants.

Fichier extrait — shared_prefs/auth.xml

<?xml version="1.0" encoding="utf-8"?>
<map>
  <string name="auth_token">
    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lk
    IjoiMTIzNCIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTcwMDAwMH0
  </string>
  <string name="refresh_token">
    dGhpc19pc19hX3JlZnJlc2hfdG9rZW4...
  </string>
</map>

Impact

• Usurpation d'identité sans identifiants
• Accès au compte même après changement de mot de passe (refresh token)
• Extraction possible via backup ADB ou device rooté
• Token admin dans l'exemple : accès complet à l'application

Correctif proposé

// Utiliser EncryptedSharedPreferences (Jetpack Security)
val masterKey = MasterKey.Builder(context)
    .setKeyScheme(MasterKey.KeyScheme.AES256_GCM)
    .build()

val prefs = EncryptedSharedPreferences.create(
    context,
    "auth_prefs",
    masterKey,
    PrefKeyEncryptionScheme.AES256_SIV,
    PrefValueEncryptionScheme.AES256_GCM
)

// Les tokens sont chiffrés au repos avec une clé hardware-backed
Demander un rapport comme celui-ci pour votre application Voir le rapport exemple complet

Méthodologie

Notre approche étape par étape

01

Cadrage

Définition du périmètre : plateformes (iOS/Android), version, fonctionnalités critiques à tester.

1 jour

02

Analyse statique

Décompilation et analyse du binaire, recherche de secrets, mapping des composants.

1 jour

03

Tests dynamiques

Tests sur device physique : interception réseau, manipulation runtime, exploitation des failles.

3–8 jours

04

Rapport

Documentation OWASP MASTG de chaque finding avec preuve d'exploitation et correctif.

Inclus

05

Restitution

Présentation des résultats à votre équipe mobile avec recommandations spécifiques.

Inclus

OWASP WSTG OWASP ASVS PTES OSSTMM CVSS 3.1 CWE

Livrable

Contenu du rapport

Synthèse exécutive

Résumé non technique pour votre direction et vos investisseurs. Score de risque global, répartition par sévérité.

Retest inclus

Validation gratuite de vos corrections sous 30 jours. Attestation de remédiation fournie.

Findings détaillés

Chaque vulnérabilité documentée selon OWASP MASTG avec preuve d'exploitation et score CVSS 3.1.

Correctifs applicables

Code de correction spécifique iOS/Android prêt à être intégré par votre équipe mobile.

Matrice de risques

Classement par sévérité et facilité d'exploitation pour prioriser votre plan de remédiation.

Mapping conformité

Correspondance des findings avec NIS2, DORA, SOC 2, ISO 27001, PCI DSS.

Conformité

Chaque audit couvre vos obligations réglementaires

Les findings sont mappés vers les référentiels de conformité applicables à votre secteur.

OWASP

Référentiel de test standard pour la sécurité applicative

NIS2

Directive européenne sur la cybersécurité des entités essentielles

DORA

Tests d'intrusion obligatoires pour le secteur financier

SOC 2

Preuves de pentest requises pour les Trust Services Criteria

ISO 27001

Tests de sécurité réguliers exigés par l'annexe A

PCI DSS

Tests d'intrusion obligatoires pour le traitement de paiements

Tarif indicatif

4 000 – 15 000 €

5–12 jours ouvrés

Prix fixe après cadrage. Pas de surprise, pas de semaines d'attente.

  • Tests sur device physique (iOS + Android)
  • Analyse statique et dynamique
  • Interception et analyse réseau
  • Rapport OWASP MASTG complet
  • Correctifs spécifiques par plateforme
  • Retest gratuit sous 30 jours
Cadrer mon audit

Appel de 30 min — sans engagement

Aller plus loin

Services complémentaires

Audit sécurité API

Audit des APIs backend consommées par votre application mobile.

En savoir plus →

Pentest application web

Testez aussi la version web de votre application SaaS.

En savoir plus →

Pentest Rapide

Audit rapide sur un périmètre défini. Rapport complet livré en 48 heures ouvrées.

En savoir plus →

Questions fréquentes

Ce que nos clients demandent

Faut-il fournir le code source de l'application ?

Non, le code source n'est pas requis pour un pentest mobile standard (grey box). On travaille à partir du binaire (APK/IPA). Si vous souhaitez une couverture maximale, l'accès au code source permet une analyse white box complémentaire.

Testez-vous sur des devices physiques ou des émulateurs ?

Les deux. Les tests dynamiques sont réalisés sur des devices physiques (rootés/jailbreakés) pour des résultats réalistes. Les émulateurs sont utilisés pour l'automatisation et les tests de configuration spécifiques.

Couvrez-vous les applications hybrides (React Native, Flutter) ?

Oui. Les applications hybrides sont testées côté natif (stockage, réseau, IPC) et côté framework (bridge JavaScript, WebViews). On adapte la méthodologie au framework utilisé : React Native, Flutter, Ionic, Xamarin.

Le backend est-il inclus dans l'audit mobile ?

On teste les APIs backend telles qu'elles sont consommées par l'app mobile : authentification, autorisation, validation des entrées. Pour un audit API complet et indépendant, on recommande un audit API dédié en complément.

Quelles versions iOS et Android couvrez-vous ?

On teste sur les versions supportées par votre application. En standard, on couvre les 2 dernières versions majeures de chaque OS. Les tests incluent les comportements spécifiques aux versions récentes (Scoped Storage Android, App Transport Security iOS).

Combien de temps notre équipe mobile est-elle mobilisée ?

Un appel de cadrage d'une heure avec votre CTO ou tech lead pour définir les plateformes, versions et fonctionnalités critiques. Une restitution d'une heure à la livraison. Entre les deux, on travaille en autonomie sur le binaire et les devices de test.

Que se passe-t-il après la livraison du rapport ?

Votre équipe corrige les findings en suivant les correctifs natifs fournis (Swift/Kotlin). Sous 30 jours, on reteste gratuitement les corrections pour valider la remédiation et fournir une attestation. On reste disponible par email ou Slack pendant la phase de correction.

Comment garantissez-vous la confidentialité de notre application ?

Un NDA est signé avant le début de la mission. Le binaire et les données collectées pendant les tests sont stockés dans un environnement chiffré et dédié, puis détruits 30 jours après la livraison du rapport.

Prêt à sécuriser votre application

Décrivez votre projet en 2 minutes. On revient vers vous le même jour avec une proposition de périmètre et un devis détaillé.

Cadrer mon audit Voir un rapport exemple

Réponse le jour même · Sans engagement · 4 missions par mois maximum

Obtenir un devis gratuit