// Retour sur les certifications de tests d’intrusion d’applications mobiles - ORHUS

Retour sur les certifications de tests d’intrusion d’applications mobiles

Des certifications, il y en a en pagaille ! Que cela soit technique ou gouvernance, généraliste ou spécifique, théorique ou pratique, propre à un constructeur/une technologie ou générique, gratuite ou payante, il est aisément possible d’y trouver son compte.

Ayant une forte appétence pour les tests d’intrusion mobile, nous avons décidé de donner un point de vue le plus objectif possible sur les certifications liées aux tests d’intrusion mobiles. Cet article sera mis à jour au fur et à mesure de l’identification de nouvelles certifications. Si vous en avez en tête, n’hésitez pas !

GIAC MOBile Penetration Tester (GMOB)

La première certification passée liée aux tests d’intrusion mobiles se trouve être la GMOB (GIAC MOBile Penetration Tester) du SANS en 2020.

J’ai plutôt un bon souvenir du formateur qui avait la capacité de s’adapter à son public ce qui est généralement une force du SANS (la compétence des formateurs).

Le syllabus de la formation SEC 575 (celle correspondant à l’exam GMOB) est assez complet et permet d’avoir une vue globale sur les sujets tels qu’iOS, Android, analyse statique, analyse dynamique, tests d’intrusion. A la lecture du syllabus, je me rends compte que la formation semble avoir beaucoup changé par rapport à 2020 avec un vrai focus sur la partie mobile alors qu’en 2020, les deux derniers jours se concentraient sur le Wi-Fi (entre autres). L’utilisation de Corellium, l’analyse d’applications tierces (PhoneGap, Xamarin, Flutter, ReactNative) permet d’avoir une vision assez globale des audits, ce qui semble en faire une formation complète.

Comme à son habitude, l’exam du SANS est en grande partie théorique, composé de 75 questions au format QCM, le tout pour une durée de deux heures. Les examens du SANS sont en mode « Open Book » permettant d’apporter les cahiers reçus pendant la formation. Il est fréquent que les questions soient très pointues, mais les réponses se trouvent obligatoirement dans les supports de cours. Entraînement difficile, guerre facile ..

À date, le voucher pour la certification est au prix de 979$.

Mobile Application Penetration Tester (eMAPT)

En 2023 vient le moment de passer la certification eMAPT (Mobile Application Penetration Tester) de chez eLearnSecurity (maintenant INE).

La certification se base sur un examen pratique dont voici l’objectif : « Vous avez été engagé pour effectuer un test d’intrusion en boîte noire sur les appareils mobiles de l’organisation. Pour chaque employé, l’organisation fournit un appareil Android avec deux applications installées par défaut : un gestionnaire de mots de passe (PwdManager) et un gestionnaire de notes (SafeNote). Ces deux applications sont protégées par un code maître qui est choisi et défini par l’organisation avant de remettre l’appareil à l’employé, et qui ne peut pas être modifié par l’utilisateur. ».

Une fois l’application auditée et les vulnérabilités identifiées, il est nécessaire de développer une application Android malveillante permettant d’exploiter les faiblesses précédemment identifiées, le tout en 7 jours.

Sur la partie audit pur, la certification ne nécessite l’exploitation que de deux vulnérabilités, ce qui semble peu. Les deux vulnérabilités sont relativement (très) simples à exploiter et nécessiteront moins d’une heure à exploiter. Ces dernières restent néanmoins des vulnérabilités qu’il est fréquent d’identifier au cours de tests d’intrusion mobiles ce qui est un bon point. Finalement, le plus gros du travail au sein de cette certification est le développement de l’application mobile malveillante.

Il est vrai que dans le cadre d’une restitution ou d’un programme du BugBounty, une application malveillante permettant d’exploiter des faiblesses peut être particulièrement parlant pour un client. Néanmoins, il est dommage que le plus gros de la certification se base là-dessus et non sur l’exploitation d’autres vulnérabilités ou le contournement de mesures de protection.

Une fois l’application malveillante développée, il ne reste plus qu’à uploader le code source de cette dernière au sein de la plateforme proposée par eLearnSecurity et attendre que le verdict tombe.

À date, le voucher est au prix de 400$ pour la certification uniquement (des cours sont proposés).


Certified Mobile Pentester (CMPen-Android)

En 2024 nous lançons cet article donc il est nécessaire de passer la vitesse supérieure sur les certifications mobiles en passant la CMPen-Android.

Pour cette certification, il s’agit d’un QCM de 15 questions auxquelles il est nécessaire de répondre en 4 heures.

Néanmoins, ce QCM se base sur un APK Android qu’il est nécessaire de télécharger, d’installer et d’analyser tant via de l’analyse statique que dynamique, j’aime bien l’approche du « TP guidé ».

Au programme, analyse de l’application (fichier AndroidManifest.xml pour différentes raisons), utilisation (simple) de Frida, fuite d’information au sein des logs, activity mal sécurisée, base de données firebase, analyse du certificat de l’application, etc. En bref, plusieurs sujets à comprendre pour décrocher la certification. La certification CMPen-Android semble techniquement plus intéressante que l’eMAPT (cf. voir plus haut).

À date, le voucher est au prix d’environ 300€ pour la certification uniquement (aucun cours n’est proposé).

Certified Mobile Pentester (CMPen-iOS)

Dans la continuité de la certification CMPen-Android, The SecOps Group propose également une certification pour la partie iOS, la CMPen-iOS.

Cette certification est exactement du même format que la précédente à savoir un QCM de 14 questions auxquelles il est nécessaire de répondre en 4 heures (avec un rab de 30 minutes pour l’installation qui se fait via TestFlight (donc on oublie Corellium).

Personnellement, j’ai adoré cette certification ! Beaucoup de choses au programme avec utilisation d’objection, bypass d’API, analyse des logs, stockage Firebase et Google Cloud (belle découverte pendant l’audit), exploitation de vulnérabilités applicatives, obtention de l’IPA via frida-ios-dump, analsye du binaire, etc. Toujours dans l’approche “TP guidé”, franchement pas mal.

À date, le voucher est au prix d’environ 300€ pour la certification uniquement (aucun cours n’est proposé).

Practical Junior Mobile Tester (PJMT)

On change de crèmerie et cette fois-ci, en direction de chez TCM Security qui nous propose la certification Practical Junior Mobile Tester (PJMT).

L’idée initiale de l’examen est la même que pour l’eMAPT (Mobile Application Penetration Tester) de chez eLearnSecurity (maintenant INE), un examen pratique dans lequel l’objectif est de remonter le maximum de vulnérabilité sur l’application mais également sur les webservices associés.

Les règles d’engagement sont simples : « Obtain administrative access to the API Gateway », plutôt intéressant de prime abord.

Malheureusement, j’ai été assez déçu de l’environnement d’audit ! Nécessité d’avoir une connexion VPN nous permettant de nous connecter sur un déport graphique d’une Ubuntu pour faire les tests. Des temps de réponse hyper long pour réaliser chaque commande, des outils avec des versions assez vieilles, aucune connexion Internet pour ajouter des outils que l’on pourrait vouloir avoir sous la main, des contraintes d’utilisation de certains outils …

Ne trouvant pas la contexte agréable, j’ai préféré mettre un terme à la certification. Même si la formation est pour le niveau débutant, je pense que la certification est clairement à revoir. Le VPN sans la machine virtuelle serait excellent, poussant les étudiants à avoir un environnement de travail fonctionnel et ainsi validant les vidéos de la formation.

Sans rancune, en espérant que ce retour rapide permettra de faire avancer tout le monde 🙂


To be continued

D’autres certifications sont dans le planning, si vous en avez d’autres en têtes, n’hésitez pas à nous les transmettre !