Si vous cherchez sur Qwant (arrêtez de chercher sur l'autre...) "Analyse de surface", 
vous allez être envahi de résultat parlant de matériaux et de leurs surfaces.

Avec un peu de pugnacité vont apparaître les résultats correspondant aux "analyses de surfaces" au sens sécurité informatique du terme.
si vous faites une analalogie entre entre système d'information (quel qu'il soit) et une cellule, la surface correspond à la superficie de l'aire qui fait la séparation de la cellule avec l'extérieur.

De même que pour une cellule, par symbiose ou autre mécanisme un certains nombre de corps étranger peuvent rentrer dans la cellule,
suivant la maturité des technologies nous sommes capable d'identifié les corps étranger "bienveillant", les "malveillants", et puis
les comportements plus machiavéliques où certains malveillants se greffent eux bienveillants pour leurrer la cellule avec au final une intention malveillante.

Pour un système d'information SI (une application mobile, un site web et ses serveurs associés, un site physisque avec tous ces contrôles d'accès, ces réseaux et ces systèmes.)
les mêmes sujets se déclinent sur la surface (complexe à cartographier dans le dernier cas) qui identifie la membrane de séparation entre l'intérieur et l'extérieur du SI.
Et cette surface peut être attaquée directement par des 

partant d'un système d'information basique : une application mobile, l'analyse de surface peut prendre le déroulement suivant:
- interception des données qui entre/sortent
- chiffrement et encodages des données
- permissions d'application
- gestion et stockage des données
- gestion d'accès et authentification

Sur l'interception des données une simulation d'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM), permet de sonder le wifi / bluetooth et autres réseaux utilisés par l'application et voir 
avec qui l'application communique. la MITM, parfois appelée attaque de l'intercepteur, est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis.

Sur le chiffrement, le point de contrôle à pour objectif  de vérifier la sécurité  mise en place au niveau des échanges est ce une communication sous protocol TCP ou si le TLS/SSl est mis en oeuvre.

Sur les permissions d'application, suivant si on est en Androïd ou sur une autre système, il est important de vérifier toutes les permissions (localisation GPS, état réseau...) et vérifier les cohérences
avec les fonctionnalités de l'application

Sur la gestion et le stockage de données il peut être important de vérfifier que l'application ne garde pas en locale (en l'occurence dans le téléphone) des données sensibles.
Certaines applications malveillantes peuvent accéder aux données locales et ainsi récupérer ces données.

Sur les authentifications vérifier les méthodes de gestion d'accès, elles peuvent être direct sur l'application, ou déléguée à un autre SI,
dans ce cas il faut vérifier aussi l'autre SI sur ces sujets.


au delà d'une application mobile : l'analyse de surface étendue quelque soit le SI.
Afin simplifier l'analyse, la surface d'attaque est souvent scindée en 4 surfaces d'attaques différentes:
 -  La surface d'attaque logicielle : Il s'agit de tous les points d'entrée/sortie d'une application avec son environnement (OS, librairies, accès en lecture/écriture, etc.)
 -   La surface d'attaque réseau : On parle ici des ports ouverts, des IP actives, des flux réseaux et protocoles utilisés,etc.
 -   La surface d'attaque humaine : Il s'agit de tous les points (humains) vulnérables au phishing et aux techniques de social engineering par exemple, la ressource humaine est un élément central de la sécurité du SI et elle est bien souvent omise dans la conception de la politique de sécurité et sa mise en place.
 -   La surface d'attaque physique.

C'est votre première analyse de surface d'attaque : mauvaise nouvelle, une cartographie des flux est un prérequis.
En effet si vous ne connaissez pas tous les points d'entrée/sortie de votre SI ni les flux qui y transite cela signifie que vous ne connaissez pas le périmètre de la dite surface.

Ce n'est pas votre première analyse de surface, pensez à checker les sujets suivants:

 -    Quels sont les services que j'ai mis en place depuis ma dernière analyse de la surface d'attaque ?
 -   Qu'est ce que ces services ont ouvert sur l'extérieur ou sur l'environnement de mon application ?
 -   Ma surface d'attaque est-elle plus ou moins étendue qu'avant ?
 -   Les vulnérabilités de tel point d'entrée de ma surface d'attaque sont-elles plus ou moins nombreuses ou dangereuses ?

Comment optimiser ce sujet : en cherchant régulièrement la Réduction à travers la surveillance de la surface d'attaque

vous voulez la suite : demander nous notre guide Réduction de la surface d'attaque
contact@nourysolutions.com
Tags