Pentest Mobile Android — Test d'Intrusion Application Mobile
Votre application Android gère des données sensibles — credentials, données personnelles, transactions financières. Atlas RedConsult évalue sa résistance face à un attaquant réel : décompilation, analyse statique et dynamique, tests API, contournement des protections. Rapport complet livré sous 7 jours.
Pourquoi tester la sécurité de votre application Android
Les applications mobiles sont devenues le vecteur d'accès principal aux services numériques pour des milliards d'utilisateurs. Elles concentrent des données particulièrement sensibles — identifiants de connexion, données biométriques, informations bancaires, données de santé, géolocalisation — et communiquent en permanence avec des serveurs backend via des APIs. Cette combinaison en fait une cible de premier choix pour les attaquants.
Contrairement à une application web, une application Android peut être téléchargée, décompilée et analysée hors ligne par n'importe qui. Un attaquant avec un peu d'expérience peut extraire le code source Java ou Kotlin de votre APK en quelques minutes, y découvrir des secrets hardcodés (clés API, identifiants de base de données, tokens d'authentification backend), comprendre la logique d'authentification côté client, et identifier les endpoints d'API non documentés.
Les applications de paiement, de gestion de comptes bancaires, les applications RH gérant des données personnelles et les applications B2B accédant à des données d'entreprise sensibles sont particulièrement exposées. Le RGPD impose des obligations strictes de sécurité pour les données personnelles traitées par les applications mobiles. Une violation de données résultant d'une application Android non sécurisée peut entraîner des sanctions significatives et une atteinte irrémédiable à la réputation.
Notre pentest mobile Android vous donne une vision complète et objective de la posture de sécurité de votre application, avec des recommandations concrètes pour chaque vulnérabilité identifiée — priorisées par impact et par facilité d'exploitation.
Décompilation et analyse statique
Votre APK peut être décompilé par n'importe qui. Nous vérifions que votre code ne contient pas de secrets, de logique d'authentification côté client ou de failles exploitables sans accès réseau.
Interception des communications réseau
Même avec le certificate pinning, nous analysons toutes les communications entre votre application et ses APIs backend pour identifier les données transmises en clair et les endpoints vulnérables.
Stockage local et fuites de données
SharedPreferences non chiffrées, bases SQLite accessibles, fichiers temporaires, logs — nous vérifions que votre application ne stocke pas de données sensibles de manière non sécurisée sur l'appareil.
Composants Android mal configurés
Activities, Services, BroadcastReceivers et ContentProviders exportés sans protection peuvent être invoqués par des applications malveillantes présentes sur le même appareil.
Méthodologie OWASP Mobile Top 10
L'OWASP Mobile Security Testing Guide (MSTG) et le Mobile Application Security Verification Standard (MASVS) constituent les référentiels de référence pour l'évaluation de la sécurité des applications mobiles. Nos missions sont structurées autour de ces standards.
Stockage insécurisé — SharedPreferences, SQLite, fichiers
Communications réseau non sécurisées, MitM
Secrets hardcodés — API keys, tokens, credentials
Composants Android exportés exploitables
Authentification défaillante côté client
Autorisation défaillante — bypass de contrôles
Reverse engineering et protection insuffisante
Failles de logique métier dans l'application
Vulnérabilités WebView — JavaScript bridges
Fuites de données dans les logs Android
Débogage activé en production (android:debuggable)
Absence ou contournement de root/jailbreak detection
Notre approche OWASP MASVS
MASVS-STORAGE
Audit complet du stockage local de l'application : SharedPreferences (chiffrées vs non chiffrées), bases de données SQLite (SQLCipher, schéma, données sensibles), KeyStore Android pour les clés cryptographiques, fichiers temporaires et cache, données dans les logs système, données dans les backups Android, et exposition des données dans les clipboards.
MASVS-CRYPTO
Évaluation des primitives cryptographiques utilisées : algorithmes obsolètes (DES, RC4, MD5), taille des clés insuffisante, IVs statiques, seeds aléatoires prévisibles, mauvaise implémentation du chiffrement symétrique et asymétrique, gestion des clés dans le KeyStore Android.
MASVS-AUTH
Tests d'authentification spécifiques au mobile : sécurité de l'authentification biométrique (BiometricPrompt), gestion des tokens OAuth et JWT, sécurité du processus de réinitialisation de session, protection contre les attaques de brute force, gestion de la déconnexion et révocation des tokens.
MASVS-NETWORK
Analyse complète des communications réseau : validation TLS et configurations de la Network Security Config, implémentation et robustesse du certificate pinning, tests MitM, détection de fuites de données sensibles dans les headers HTTP, analyse des WebSockets et des communications avec des SDK tiers.
Analyse statique et dynamique de l'APK
Notre pentest Android combine deux approches complémentaires : l'analyse statique du code et des ressources de l'APK, et l'analyse dynamique du comportement de l'application en cours d'exécution.
Analyse statique
L'analyse statique consiste à examiner le code de l'application sans l'exécuter. Nous décompilons l'APK avec jadx pour obtenir le code Java/Kotlin, et avec apktool pour les ressources Smali. Cette phase révèle les vulnérabilités présentes dans le code source et la configuration de l'application.
- Décompilation complète avec jadx et apktool
- Recherche de secrets hardcodés (API keys, passwords, tokens)
- Analyse du manifest Android (permissions, composants exportés)
- Revue des algorithmes cryptographiques utilisés
- Détection des bibliothèques tierces vulnérables
- Analyse de la configuration réseau (network_security_config.xml)
- Identification des endpoints d'API embarqués dans le code
Analyse dynamique
L'analyse dynamique consiste à observer le comportement de l'application en cours d'exécution sur un émulateur ou un appareil rooté. Nous utilisons Frida pour instrumenter le processus en temps réel et contourner les protections côté client.
- Instrumentation du processus avec Frida et Objection
- Contournement du certificate pinning pour l'interception réseau
- Bypass de la root detection et des anti-tampering
- Analyse du stockage dynamique créé pendant l'exécution
- Tests des composants exportés via ADB et Drozer
- Interception et modification des requêtes réseau (Burp Suite)
- Tests de logique côté client (contournement de validations)
Tests de sécurité réseau et API mobile
L'API backend consommée par votre application mobile est incluse dans tous nos pentests Android. C'est souvent là que se trouvent les vulnérabilités les plus critiques.
Sécurité des communications TLS
Nous évaluons la configuration TLS des endpoints backend : versions de protocole acceptées (TLS 1.0/1.1 obsolètes), suites de chiffrement faibles, validité et chaîne de certification. Nous testons la résistance aux attaques MitM en nous positionnant entre l'application et ses serveurs via un proxy d'interception. La robustesse du certificate pinning — si implémenté — est évaluée et testée via les techniques de hooking Frida.
Audit complet de l'API backend mobile
Une fois les communications interceptées, nous réalisons un pentest complet de l'API backend selon notre méthodologie OWASP API Security Top 10 : contrôle d'accès au niveau des objets (BOLA), autorisation au niveau des fonctions (BFLA), injection, mass assignment, exposition d'endpoints non documentés. Les APIs mobile-backend sont souvent moins sécurisées que les APIs web publiques car elles sont supposées n'être accessibles que depuis l'application officielle.
Deep links et intent handling
Les deep links Android permettent à des applications tierces d'invoquer des activités spécifiques de votre application via des URLs personnalisées ou des Android App Links. Une mauvaise validation des paramètres reçus via ces mécanismes peut permettre des attaques d'open redirect, d'injection de code dans les WebViews ou de vol de tokens OAuth. Nous testons systématiquement tous les intent filters déclarés dans le manifest.
Rapport de pentest mobile : ce que vous recevez
Notre rapport de pentest mobile Android est structuré pour être directement utile à vos équipes de développement mobile et à votre direction.
Contenu du rapport
- Rapport exécutif avec score de sécurité global et risques principaux
- Rapport technique complet : description, preuve, score CVSS, correction
- Captures d'écran et enregistrements des exploitations dynamiques
- Extraits de code décompilé illustrant chaque vulnérabilité statique
- Requêtes HTTP brutes pour les vulnérabilités API identifiées
- Matrice de conformité OWASP MASVS (MSTG coverage)
- Recommandations de correction avec exemples de code Android/Kotlin/Java
- Attestation de pentest mobile pour vos audits de conformité
Accompagnement post-mission
- Debriefing technique avec l'équipe de développement mobile
- Session de questions/réponses sur les corrections à apporter
- Support post-mission de 30 jours pour questions techniques
- Retest ciblé des vulnérabilités critiques après correction
- Lettre d'attestation de correction pour vos app stores si nécessaire
Notification immédiate des critiques
En cas de découverte d'une vulnérabilité critique (ex : secrets permettant l'accès complet au backend, données de paiement stockées en clair), vous êtes notifié immédiatement — sans attendre la livraison du rapport.
FAQ pentest mobile Android
Les questions les plus fréquentes de nos clients sur le pentest d'applications Android.
Qu'est-ce qu'un pentest mobile Android et quelles sont ses spécificités par rapport au pentest web ?
Un pentest mobile Android est un audit de sécurité spécialisé sur votre application Android (fichier APK). Il combine trois dimensions d'analyse distinctes : l'analyse statique (examen du code décompilé et des ressources de l'APK sans l'exécuter), l'analyse dynamique (observation du comportement de l'application en cours d'exécution sur un émulateur ou un appareil réel) et les tests de l'API backend consommée par l'application. Ces trois dimensions révèlent des vulnérabilités très différentes de celles d'un pentest web classique : stockage local insécurisé, secrets hardcodés dans le code, communications réseau non sécurisées, composants Android exportés exploitables.
Devez-vous avoir accès au code source de l'application pour réaliser un pentest Android ?
Non. Nous réalisons la très grande majorité de nos pentests Android en mode boîte noire ou boîte grise, à partir du seul fichier APK. Nous utilisons des outils de décompilation (jadx, apktool) et de reverse engineering pour reconstruire le code source Smali et Java à partir du bytecode. Cette approche reproduit exactement ce qu'un attaquant malveillant pourrait faire. L'accès au code source (boîte blanche) permet d'approfondir certaines analyses, mais n'est pas un prérequis. Nous vous demandons simplement le fichier APK et, si possible, des comptes de test valides.
Comment testez-vous la sécurité de l'application sans accès à un appareil physique ?
Nous utilisons des émulateurs Android rootés (Android Virtual Device avec Magisk) et des appareils physiques rootés selon les besoins de la mission. L'émulation permet de réaliser la grande majorité des tests : instrumentation du processus avec Frida pour contourner les contrôles de root detection et de certificate pinning, interception des communications réseau, accès au système de fichiers de l'application. Pour les tests nécessitant des fonctionnalités hardware spécifiques (NFC, biométrie, Bluetooth), nous utilisons des appareils physiques de notre parc de test.
Qu'est-ce que le certificate pinning et pouvez-vous le contourner ?
Le certificate pinning est un mécanisme de sécurité qui oblige l'application à n'accepter que les certificats TLS spécifiques de ses serveurs backend, empêchant l'interception des communications par un proxy (MitM). En pratique, la plupart des implémentations de certificate pinning peuvent être contournées par un attaquant déterminé via des techniques de hooking dynamique (Frida, Objection). Nous contournons systématiquement ces protections pendant nos tests pour analyser l'intégralité des communications réseau de l'application. Nous vous indiquons ensuite si votre implémentation est suffisamment robuste ou si elle nécessite un renforcement.
Combien de temps dure un pentest mobile Android ?
Contactez-nous pour un devis personnalisé gratuit sous 48h.
Le pentest Android couvre-t-il aussi l'API backend utilisée par l'application ?
Oui, c'est une partie intégrante de notre méthodologie. L'API backend consommée par l'application mobile est systématiquement incluse dans le périmètre de test. En accédant aux communications réseau de l'application (après contournement du certificate pinning si nécessaire), nous identifions tous les endpoints d'API appelés et les testons avec notre méthodologie de pentest API : BOLA, BFLA, injection, authentification, autorisation. Les applications mobiles exposent souvent des APIs backend moins sécurisées que les APIs web publiques — particulièrement les endpoints supposés n'être accessibles que depuis l'application.
Testez la sécurité de votre application Android
Votre APK peut être décompilé par n'importe qui aujourd'hui. Assurez-vous qu'un attaquant ne trouvera pas de secrets ou de vulnérabilités exploitables avant que vous ne les connaissiez vous-même. Devis gratuit sous 48h.
Demander un devis gratuit