Pentest Applicatif

Pentest applicatif - Desktop, iOS & Android

Pourquoi faire un pentest applicatif ?

Vos applications concentrent des données sensibles, des parcours clients critiques et des accès aux systèmes internes, un pentest applicatif reproduit des attaques réalistes pour vérifier la résistance de ces applications avant qu’un attaquant ne le fasse. Le but est la réduction du risque de fuite de données et de fraude,une conformité facilitée, une image de marque protégée et une mise en production plus sereine.

Une méthodologie simple et efficace

  1. Cadrage : périmètre, objectifs, environnements, comptes de test, fenêtres de tir.

  2. Cartographie : parcours sensibles, rôles, dépendances, endpoints/API.

  3. Tests approfondis (manuel + outils) : scénarios d’abus réalistes, logique métier, anti-automatisation.

  4. Preuves d’impact contrôlées : démonstrations reproductibles sans perturber la production.

  5. Rapport & plan d’actions : priorisation des correctifs (critique/haut/moyen/faible), recommandations code & config.

  6. Retest : vérification des corrections et mise à jour du rapport (option incluse selon l’offre).

L'audit desktop

  • Chaîne d’installation : intégrité du setup, élévation de privilèges, persistance indue.

  • Mises à jour : signature, vérification d’intégrité, détournement des flux d’update.

  • Stockage local : secrets en clair, permissions, dossiers temporaires, caches.

  • Communication inter-process (IPC) : attaques par injection/hijacking, charge non fiable.

  • Chargement de librairies : DLL hijacking (Windows), rpath/loader (macOS/Linux).

  • Intégrations : plugins, drivers, services, appels système.

L'audit mobile (iOS & Android)

  • Stockage & secrets : Keychain/Keystore, bases locales, sauvegardes, screenshots, logs.

  • Transport & réseau : TLS/ATS/Network Security Config, pinning, interception.

  • Auth & session : biométrie/Passkeys, renouvellement de jetons, révocation, sécurité des cookies/token.

  • Surface OS & appareil : détection root/jailbreak, debug flags, intents/universal links, schémas d’URL.

  • Interfaces & vues : WebView, injections, exfiltration via partage, copier-coller, notifications.

  • API & backend : contrôle d’accès objet/ressource, rate limiting, anti-automatisation, gestion d’erreurs.

Interessé(e)? Contactez-nous !