Cette formation hacking et sécurité des applications mobiles vous permettra de comprendre les attaques ciblant Android et iOS.

Elle vous permettra d’identifier les vulnérabilités spécifiques à Android et iOS et de mettre en place de bonnes pratiques pour renforcer la sécurité de vos applications.

Vous apprendrez à maîtriser les outils d’analyse et d’exploitation comme Frida, Burp Suite ou encore Genymotion afin de tester vos applications dans un environnement adapté.

Au fil du programme, vous découvrirez
- les fondamentaux de la sécurité mobile,
- le fonctionnement des APK/IPA,
- l’interception de trafic réseau,
- le stockage sécurisé,
- l’authentification et la gestion des sessions.

Vous apprendrez aussi à analyser des endpoints d’API, à contourner des mécanismes de protection, à exploiter des failles courantes (MITM, IDOR, CORS mal configuré) et à manipuler le runtime d’une application.

Cette formation s’adresse aux développeur·euse·s d’applications mobiles et professionnel·le·s de la sécurité informatique souhaitant approfondir leurs compétences en hacking et protection d’Android et iOS.

---

Vous êtes intéressés par la sécurité des applications web ?

Alors, notre formation au hacking et à la sécurité des applications web est faite pour vous !

Les objectifs

• Comprendre les particularités des attaques ciblant les applications mobiles
• Identifier les vulnérabilités spécifiques aux plateformes Android et iOS
• Maîtriser les outils d’analyse et d’exploitation pour tester la sécurité des applications mobiles
• Appliquer les bonnes pratiques pour renforcer la sécurité des applications mobiles

Pré-requis

• Une expérience préalable en développement d’applications mobiles (Android ou iOS)
• Connaissances en Java/Kotlin, Swift, ou JavaScript pour les frameworks hybrides
• Un ordinateur portable avec droits administrateur et un appareil mobile (Android ou iOS) pour les exercices pratiques.
• Android Studio, Xcode, Frida, et l’émulateur Genymotion
• Ordinateur portable à apporter

Le programme de la formation Hacking et sécurité des applications mobiles

Jour 1 : Les fondamentaux de la sécurité mobile

• Les fondamentaux de la sécurité mobile
  • Différences fondamentales entre Android et iOS
  • Modèle de sécurité des systèmes d’exploitation mobiles
  • Les spécificités des applications hybrides
    • React Native
    • Flutter
  • Le panorama des menaces
    • attaques courantes
    • acteurs malveillants
• Architecture et points d’attaque d’une application mobile
  • Chaîne de développement mobile : de l’APK/IPA au runtime
  • Vulnérabilités communes dans les applications mobiles
  • OWASP Mobile Top 10 : principales failles et cas pratiques
• Introduction aux outils de sécurité mobile
  • Décryptage des applications avec Frida
  • Introduction à Burp Suite pour l’analyse du trafic réseau mobile
  • Configuration d’un environnement sécurisé de test
    • émulateurs
    • appareils rootés ou jailbreakés

Mise en pratique :

• Analyse des permissions Android
  • Utilisez aapt pour analyser les permissions d’un fichier APK
  • Identifiez celles inutiles ou potentiellement dangereuses
• Exploration du contenu d’un APK
  • Décompilez un fichier APK avec APKTool
  • Explorez le manifeste Android pour repérer des points faibles
• Interception de trafic avec Burp Suite
  • Configurez votre appareil mobile pour intercepter le trafic réseau d’une application et identifiez les requêtes en clair

Jour 2 : Attaques réseau et exploitation des vulnérabilités

• Sécurité des communications
  • TLS/SSL : validation des certificats et erreurs courantes
  • Attaques Man-in-the-Middle (MITM) sur mobile
  • Défenses contre les attaques réseau
• Stockage des données sensibles
  • Stockage sécurisé sous Android (Keystore) et iOS (Keychain)
  • Risques liés aux bases de données locales (SQLite, Realm)
  • Vulnérabilités dans les fichiers de configuration
• Reverse engineering
  • Analyse des binaires APK et IPA
  • Désobfuscation et décompilation des applications mobiles
  • Exploitation des vulnérabilités découvertes via l’ingénierie inverse

Mise en pratique :

• Attaque MITM
  • Simulez une attaque MITM avec Burp Suite en interceptant et modifiant une requête d’une application mal configurée
• Extraction de données sensibles
  • Sur un appareil rooté, explorez les bases de données locales d’une application pour trouver des mots de passe ou des tokens en clair
• Désobfuscation d’un APK
  • Utilisez JD-GUI ou Jadx pour désassembler une application et localisez des secrets (ex. clés API, endpoints sensibles)

Jour 3 : Authentification, autorisation et gestion des sessions

• Authentification et gestion des sessions
  • Problèmes liés à l’authentification faible ou mal implémentée
  • Token JWT : bonnes pratiques et erreurs courantes
  • Gestion des sessions sur mobile et risques associés
• Exploitation des APIs mobiles
  • Analyse des endpoints d’une application mobile
  • Détection des expositions excessives de données (Over-Exposed APIs)
  • Attaques sur les contrôles d’accès insuffisants (IDOR)
• Injection de code avec Frida
  • Hooking d’applications mobiles
  • Détection et contournement des mécanismes anti-debugging
  • Exécution de commandes sur un appareil mobile compromis
• Cookies et gestion des sessions
  • Exploration des attributs cookies
    • Secure
    • HttpOnly
    • SameSite
  • Failles de gestion des sessions via cookies mal configurés
• Cross-Origin Resource Sharing (CORS)
  • Mauvaises configurations de CORS et impacts
  • Exfiltration de données via une configuration permissive

Mise en pratique :

• Contournement d’une authentification
  • Interceptez un token d’authentification ou manipulez une requête réseau pour contourner une sécurité
• Test d’IDOR sur une API
  • Manipulez les paramètres d’une requête pour accéder à des données ou fonctionnalités d’un autre utilisateur
• Hooking d’une fonction avec Frida
  • Interceptez et manipulez une fonction pour désactiver une restriction de sécurité
• Analyse des cookies
  • Inspectez les cookies d’une application pour vérifier si les attributs sont correctement configurés
• Exploitation d’une mauvaise configuration CORS
  • Exfiltrez des données en abusant d’un CORS permissif

Bonus

En fonction du temps restant, les stagiaires pourront exploiter d’autres failles sur les applications volontairement vulnérables mises à leur disposition :

• Attaques sur le runtime avec Frida (Advanced Runtime Manipulation)
  • Utilisation de Frida pour intercepter, modifier ou détourner l’exécution d’une application en temps réel. Permet de manipuler des fonctions sensibles, contourner des mécanismes de sécurité ou altérer des comportements critiques. Nécessite une connaissance approfondie du fonctionnement interne des applications mobiles et de leur architecture.
• Mauvaise gestion des permissions dans les fichiers manifestes (Exposed Components)
  • Analyse des composants Android (services, activités, receveurs) définis comme publics dans le fichier manifeste. Ces composants, mal configurés, peuvent être exploités par une application malveillante pour exécuter des actions non prévues ou accéder à des fonctionnalités sensibles.
• Exposition de données sensibles dans le stockage local (Local Data Exposure)
  • Identification d’informations sensibles (mots de passe, tokens, clés API) stockées dans des fichiers locaux (bases de données SQLite, fichiers texte ou XML). Ces données, lorsqu’elles ne sont pas protégées par un cryptage ou des restrictions adéquates, exposent l’application à des risques majeurs.

Le(s) formateur(s)

A propos de Human Coders

Human Coders c'est un centre de formation pour développeurs avec :

• une certification Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
• de nombreux clients qui nous font confiance depuis des années
• un manifeste pour garantir des formations à taille humaine, des formateurs passionnés, de véritables workshops...
• 124 formations au catalogue, 1604 sessions depuis nos débuts en 2012 avec une moyenne de satisfaction de 4,6/5
• la possibilité de vous proposer un accompagnement personnalisé ou du conseil après la formation