Nous étions le 17 juin à Hack In Paris pour notre présentation:

• Pentesting iPhone & iPad Applications

A l'aide de démonstrations en direct sur de véritables applications iPhone, nous avons montré comment réaliser un tel test d'intrusion. Bien entendu, compte tenu des contraintes de temps, nous n'avons abordé que certains aspects. En particulier, nous n'avons traité que superficiellement l'extraction et le décryptage des applications car cela a déjà été traité par d'autres récemment.

Notre présentation était axée principalement sur les points suivants:

• Comment se préparer pour un test d'intrusion iPhone/iPad
• Un point (rapide) sur les précédents travaux sur ce thème ou des thémes proches
• Notre méthodologie
• Des démonstrations
• Illustrer par quelques exemples des failles de sécurité fréquemment rencontrées dans les applications iPhone et iPad

Lors de nos démonstrations, nous avons utilisé certains de nos propres outils. Ils ne sont pas spécifiques à l'iPhone ou l'iPad mais peuvent rendre service dans de nombreuses situations:

• ADVsock2pipe, un outil en ligne de commande sous Windows (.NET 4.0) pour connecter un socket TCP avec un pipe nommé Windows. ADVsock2pipe permet par exemple de faire une capture tcpdump sur un iPhone (ou un Linux/BSD/... quelconque) et de la voir en temps réel dans Wireshark sur sa station Windows.
• ADVinterceptor, un outil d'interception de communication HTTP, HTTPS, ... ADVinterceptor ne remplace pas les outils habituels d'interception tel que Burp, Webscarab, ... mais en complémentaire. En effet, il arrive (trop souvent) que les applications ne tiennent pas compte des paramètres de proxy. Comment utiliser malgré tout ses outils favoris comme Burp ? ADVinterceptor remplace le serveur DNS et redirige les communications choisies sur lui-même. Il fait alors une requête au véritable serveur et retourne le résultat à l'application. Optionnellement, il peut passer par un proxy comme Burp.

Ces deux outils seront publiés dans les prochaines semaines sous license GPLv3.