Aller au contenu principal

Accompagnement Cybersécurité : Startup application mobile

Startup, équipe de 2 développeurs
3 mois
Application mobile (React Native) + API backend
Accompagnement Cybersécurité

Contexte de la mission

Le défi

Contexte

Une startup avait développé un MVP d'application mobile et préparait le passage en production. L'équipe de 2 développeurs avait construit le MVP sans expertise sécurité et souhaitait corriger le tir avant le lancement.

L'objectif à terme : pouvoir présenter des garanties de sécurité aux futurs investisseurs et partenaires.

Objectifs

  • Évaluer la sécurité du MVP existant
  • Accompagner l'équipe pendant le passage en production
  • Valider la sécurité de l'application par un pentest avant le lancement

Déroulement

Découvertes clés

Périmètre testé

  • Revue de sécurité du MVP existant (architecture, code, API)
  • Revues intermédiaires pendant la phase de refonte pour la production
  • Recommandations pour l'intégration de tests de sécurité automatisés
  • Pentest final de l'application mobile et de l'API avant lancement

Méthodologie

Accompagnement en 3 phases :

  • Phase 1 : revue de sécurité du MVP et identification des failles à corriger
  • Phase 2 : revues intermédiaires à chaque jalon pendant la refonte
  • Phase 3 : pentest final avant mise en production
Critique

Clés d'accès aux services tiers stockées en dur dans le code de l'application (identifié en phase 1)

Élevé

Un utilisateur pouvait accéder aux données d'autres comptes en modifiant un identifiant dans l'API (identifié en phase 1)

Élevé

Aucune limite sur les tentatives de connexion (identifié en phase 1)

Élevé

Endpoint de test laissé actif exposant des données internes de l'application (identifié en phase 2)

Moyen

Journalisation insuffisante sur les actions sensibles (identifié en phase 3)

Moyen

Données personnelles stockées sans chiffrement sur le téléphone (identifié en phase 3)

Résultats

Bilan et recommandations

Bilan

11 vulnérabilités identifiées au total : 1 critique, 3 élevées, 4 moyennes, 3 faibles

La revue du MVP a révélé 1 faille critique et 2 élevées. Les revues intermédiaires ont détecté 2 nouvelles failles introduites pendant le développement, corrigées avant le pentest final.

Le pentest final n'a identifié que 2 failles moyennes. L'application a été lancée avec un rapport de sécurité présentable aux investisseurs.

Recommandations

  • Déplacer les clés d'accès côté serveur
  • Vérifier les droits d'accès côté serveur pour chaque requête API
  • Limiter les tentatives de connexion
  • Désactiver les endpoints de test et de debug avant chaque mise en production
  • Chiffrer les données stockées localement sur le téléphone
  • Journaliser les actions sensibles pour détecter les comportements anormaux

Enseignements

Leçons apprises

  • Le MVP contenait des failles critiques qui auraient pu compromettre les données utilisateurs dès le lancement
  • Les revues intermédiaires ont détecté de nouvelles failles introduites pendant le développement
  • Le pentest final n'a révélé que des failles moyennes, les failles critiques ayant été corrigées en amont

Continuité

Prochaines étapes

  • Pentest de suivi après correction des failles restantes
  • Renouvellement de l'accompagnement pour les prochaines fonctionnalités

Autres études de cas

Découvrez nos autres interventions en cybersécurité.

Un projet similaire ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services