Slides, vidéo et notes de la présentation « Android et Sécurité des communications » par Daniel Fages le 25/07/2012

Suite à la présentation de Philippe PRADOS le 25 juillet, Daniel Fages (twitterGoogle+) nous a présenté  « Android et Sécurité des communications« .
Daniel est spécialisé en développement système et sécurité chez GenyMobile. Il est aussi l’auteur et contributeur principal du projet Open Source BuildDroid (outils pour faire fonctionner Android sur X86 ou en virtualisation avec notamment VirtualBox).

Le plan de sa présentation:

  • Terminologie
  • Biens à protéger: sécurité des communications: informations échangées: confidentialité (lecture des données), intégrité (modification des données), disponibilité
  • Menaces:
    • Divulgation (interceptions sur proxy, écoute du réseau, sur le terminal,  sur le serveur)
    • Modification
    • Deni de service
  • Objectifs de sécurité
  • Preuve par l’exemple
  • Contre-mesures

Pendant les questions/réponses, une question est revenue très souvent: « j’expose des web services ou API pour mon application Android, comment puis-je restreindre l’accès à mes données à valeur ajoutée seulement par mon application? ».

La réponse est: « il n’y a pas de sécurité absolue ».  Il faut résister le plus longtemps possible en authentifiant et en cryptant les données avec un certificat client dans l’application Android. Cependant Daniel nous a démontré dans sa présentation que le système de certificat n’était pas forcément fiable à long terme puisqu’il pouvait être falsifié à différent niveau.

Liens complémentaires:

Quang-Hai PHAN

Développeur indépendant. A travaillé sur divers projets Web et Android.twitter (@parisfreelance), Google+ , linkedin ou blog.