Pentest Mobile
Trouvez les failles de votre application iOS et Android avant qu'un attaquant ne les exploite.
Notre équipe teste vos applications iOS et Android comme un attaquant : reverse de l'APK et de l'IPA, instrumentation au runtime avec Frida, analyse du stockage local et de l'API backend. Vous obtenez la liste priorisée des vulnérabilités exploitables et un plan de remédiation actionnable par vos développeurs.
Label France Cybersecurity Surface d'attaque mobile
Une application mobile est un binaire entre les mains de l'attaquant
Contrairement à une application web, le code de votre application mobile est distribué directement sur l'appareil de l'utilisateur. Un attaquant peut décompiler l'APK ou l'IPA, lire les chaînes en clair, instrumenter le binaire au runtime et observer ce qu'il échange avec votre API. Les contrôles côté client (détection de root ou jailbreak, certificate pinning, obfuscation) ralentissent l'analyse mais ne l'empêchent pas. Nos tests suivent le référentiel OWASP MASVS et la méthodologie MASTG pour couvrir le binaire, le stockage local, les communications et le backend.
Ce que nous testons
Quatre familles de tests, du binaire au backend
Analyse statique du binaire
Reverse de l'APK et de l'IPA pour rechercher les secrets et clés d'API en dur, évaluer la qualité de l'obfuscation et passer en revue les permissions déclarées dans le manifeste.
Analyse dynamique au runtime
Instrumentation de l'application avec Frida et objection : hooking de fonctions, contournement de la détection root ou jailbreak et du certificate pinning pour intercepter et rejouer le trafic chiffré.
Stockage local des données
Vérification des données sensibles écrites en clair dans SharedPreferences, UserDefaults, bases SQLite ou fichiers de cache, plutôt que dans le Keystore Android ou la Keychain iOS prévus pour les secrets.
Surface locale et API backend
Test des composants exportés (activities, services), des deeplinks et des canaux IPC traités comme des entrées de confiance, puis des autorisations et de la logique de l'API backend (IDOR, BOLA, contrôle d'accès).
Questions fréquentes
Ce que vous devez savoir avant de démarrer
Combien de temps dure un pentest d'application mobile ?
La durée dépend du périmètre. Une seule plateforme (iOS ou Android) avec son API se teste généralement entre 5 et 8 jours ouvrés ; les deux plateformes ensemble entre 8 et 15 jours. Le nombre d'écrans, la richesse fonctionnelle et la présence de mécanismes de durcissement (obfuscation, anti-tampering) influent sur le dimensionnement, défini lors du cadrage.
Que devons-nous fournir pour le test ?
Au minimum le build à tester (APK pour Android, IPA non chiffrée pour iOS) et des comptes de test couvrant les différents rôles. Pour iOS, un build de développement ou ad hoc évite le déchiffrement App Store et facilite l'instrumentation. La documentation de l'API et le code source sont utiles en approche boîte grise ou blanche mais ne sont pas obligatoires.
En quoi est-ce différent d'un scan automatisé de l'APK ?
Un scanner repère des motifs connus (permissions larges, chaînes suspectes, librairies datées) mais ne sait pas enchaîner une attaque réelle. Nos experts instrumentent l'application au runtime, contournent les protections client, valident l'impact d'un secret extrait sur l'API backend et confirment chaque vulnérabilité par une preuve d'exploitation. Un scan se limite à signaler des indices, sans contexte ni démonstration d'exploitabilité.
Autres domaines
Explorez nos autres tests d'intrusion
Pentest Web
Vos applications web et vos API portent une logique métier qu'un scanner automatisé ne sait pas éprouver.
Pentest IoT
Avant la mise sur le marché, sachez ce qu'un attaquant peut faire de votre objet connecté.
Pentest Cloud
Un rôle IAM trop permissif ou un bucket ouvert suffit à compromettre tout votre cloud.
Pentest LLM
Vos applications LLM ouvrent une surface d'attaque que vos tests classiques ne couvrent pas.
Vue d'ensemble du pentestPrêt à tester votre application mobile ?
Nos experts définissent avec vous le périmètre iOS et Android et vous proposent un devis adapté sous 48h.