Pentest mobile : pourquoi en faire un et comment le réussir ?
Une application mobile, ce n’est pas un site web avec un écran plus petit. C’est un binaire qui s’exécute en territoire ennemi — sur le téléphone de l’utilisateur, parfois rooté, parfois jailbreaké, parfois entre les mains d’un attaquant qui a tout le temps du monde pour la décompiler. Vos clés d’API, vos endpoints internes, votre logique métier, vos jetons de session : tout ce que vous avez embarqué dans le bundle iOS ou l’APK Android est, par défaut, à la portée d’un analyste motivé.
Depuis la transposition de la Directive (UE) 2022/2555 (NIS2) par la loi française n° 2025-391, 18 secteurs d’activité — santé, énergie, transports, finance, administrations, fournisseurs numériques — ont l’obligation d’assurer la sécurité de leurs systèmes d’information. Les sanctions atteignent 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles. Le pentest mobile s’inscrit dans la démarche d’audit que l’ANSSI considère comme un pilier de cette mise en conformité.
Ce guide pose les bases : ce qu’est réellement un test d’intrusion mobile, comment il se déroule, quels outils il mobilise, et comment choisir son prestataire pour ne pas se retrouver avec un rapport générique de scan automatisé déguisé en audit offensif.
Définition et différences avec un pentest web
Selon la définition de l’ANSSI, un test d’intrusion (ou pentest) est une méthode d’évaluation de la sécurité d’un système d’information par mise en situation réelle d’attaque. Appliqué au mobile, l’exercice prend une dimension particulière : l’auditeur ne se contente pas de tester le serveur. Il attaque l’application cliente elle-même, son stockage local, ses communications avec le backend, ses mécanismes d’authentification embarqués et son interaction avec le système d’exploitation hôte.
Le référentiel de la profession est l’OWASP MASVS (Mobile Application Security Verification Standard), associé à son guide opératoire le MASTG (Mobile Application Security Testing Guide). Le MASVS définit huit groupes de contrôles : stockage (MASVS-STORAGE), cryptographie (MASVS-CRYPTO), authentification (MASVS-AUTH), communications réseau (MASVS-NETWORK), interactions avec la plateforme (MASVS-PLATFORM), qualité du code (MASVS-CODE), résilience contre le reverse engineering et le tampering (MASVS-RESILIENCE) et confidentialité (MASVS-PRIVACY). Un pentest mobile sérieux balaie chacun de ces axes.
À ne pas confondre avec un audit de code source pur, une analyse SAST ou un scan de vulnérabilités. Le pentest mobile est offensif : il cherche à exploiter, à enchaîner les défauts, à atteindre un objectif (exfiltrer une donnée, élever ses privilèges, contourner une logique de paiement). Il s’agit d’une simulation d’attaque, pas une revue théorique.
Pourquoi réaliser un pentest mobile ?
Première raison, réglementaire. Avec l’entrée en vigueur de la NIS2 en octobre 2024 et sa transposition nationale, l’obligation de mesures techniques « adaptées et proportionnées » impose de prouver — pas juste de déclarer — la maîtrise du risque cyber. Le pentest est l’élément de preuve par excellence. Côté données personnelles, la CNIL considère l’audit régulier de sécurité comme une mesure attendue au titre de l’article 32 du RGPD. Une application mobile qui traite des données de santé, bancaires ou d’identité sans avoir été auditée constitue un manquement caractérisé.
Deuxième raison, opérationnelle. Une application mobile vit dans un environnement hostile. Elle est distribuée publiquement via les stores, donc téléchargeable, décompilable, instrumentable. Les vecteurs d’attaque y sont spécifiques :
- Stockage local non chiffré : tokens OAuth en clair dans
SharedPreferences(Android) ouNSUserDefaults(iOS), bases SQLite contenant des PII, fichiers de log oubliés en production. - Pinning de certificat absent ou mal implémenté : un attaquant en position de MITM (Wi-Fi public, faux point d’accès) intercepte le trafic et rejoue ou modifie les requêtes API.
- API backend exposées sans contrôle d’autorisation côté serveur : la logique métier suppose à tort que seul le client mobile officiel appellera l’API. Un curl bien placé fait le reste.
- Composants exportés Android :
Activity,Service,ContentProvider,BroadcastReceiveraccessibles à d’autres applications du téléphone, parfois sans permission. - Deep links et schémas URL mal validés : ouverture d’une vue authentifiée depuis n’importe quel site web, injection de paramètres, déclenchement d’actions sensibles.
- Anti-debug et anti-tampering absents ou triviaux à contourner sur les applications à fort enjeu (paiement, jeu, banque).
Sans pentest, ces défauts restent dans l’application jusqu’à ce qu’un attaquant les trouve avant vous.
Comment se déroule un pentest mobile ?
Une mission Intrinsec s’aligne sur la méthodologie MASTG de l’OWASP, le PTES (Penetration Testing Execution Standard) et, pour la modélisation de menaces, EBIOS Risk Manager publié par l’ANSSI. Le déroulé type s’articule en six phases.
1. Cadrage et threat modeling. Définition du périmètre (iOS, Android, ou les deux), des plateformes cibles (versions OS), des comptes de test, des accès au backend, des objectifs métier à protéger. Identification des actifs critiques et des scénarios d’attaque prioritaires.
2. Reconnaissance et analyse statique. Extraction de l’IPA ou de l’APK, décompilation (apktool, jadx, Hopper Disassembler, Ghidra). Inventaire des permissions déclarées dans le Manifest Android ou le fichier Info.plist iOS. Recherche de secrets en dur (clés AWS, jetons API, URLs internes), de chaînes sensibles, de SDK tiers obsolètes. Cartographie des Activity exportées, des deep links, des intent filters.
3. Analyse dynamique et instrumentation. Installation sur un terminal rooté (Android) ou jailbreaké (iOS), injection de Frida ou de Objection pour hooker les appels système, contourner la détection de root, bypasser le SSL pinning, instrumenter les fonctions cryptographiques. Inspection du système de fichiers de l’application après usage (/data/data/<package> côté Android, sandbox conteneurisée côté iOS).
4. Interception réseau. Mise en place de Burp Suite ou mitmproxy avec import du certificat CA, contournement du pinning si présent, analyse des appels API, recherche de défauts d’autorisation (IDOR, segmentation horizontale), de fuites de données dans les réponses, de jetons mal sécurisés.
5. Exploitation et enchaînement. Confirmation des vulnérabilités par exploitation effective. Tentative d’enchaînement (kill chain) pour atteindre les objectifs définis lors du cadrage. Évaluation de la sévérité réelle, distincte du score CVSS brut.
6. Restitution. Rapport détaillé conforme aux exigences PASSI : synthèse exécutive pour la direction, fiches techniques pour les développeurs (preuves, étapes de reproduction, recommandations priorisées), debrief oral. Tests de remédiation après correction.
Les différentes méthodes de pentest mobile
Trois approches coexistent, à choisir selon le niveau de réalisme attendu et le budget.
Boîte noire (black box). L’auditeur dispose uniquement de l’application telle qu’un attaquant externe l’obtiendrait. Pas de code source, pas de documentation. Reproduit le scénario d’un attaquant opportuniste motivé. Excellent pour valider la résilience face à des attaques externes, moins exhaustif sur les défauts de logique métier.
Boîte grise (grey box). L’auditeur reçoit l’application, des comptes de test représentatifs des différents rôles, et une documentation fonctionnelle. C’est l’approche recommandée par défaut : elle reproduit le scénario d’un attaquant qui aurait déjà compromis un compte légitime ou d’un utilisateur malveillant, et permet d’explorer en profondeur la logique d’autorisation.
Boîte blanche (white box). L’auditeur a accès au code source et à la documentation d’architecture. Permet une couverture exhaustive, indispensable pour les applications très sensibles (santé, défense, finance régulée) où le moindre défaut résiduel est critique.
Aux trois approches s’ajoute une distinction entre SAST (analyse statique du binaire ou du code) et DAST (analyse dynamique de l’application en cours d’exécution). Un pentest mobile complet combine impérativement les deux : un secret en dur (SAST) qui n’est jamais utilisé en pratique (DAST) n’a pas la même criticité qu’un secret en dur effectivement transmis sur un canal non sécurisé.
Les outils utilisés pour un pentest mobile
L’arsenal d’un pentester mobile mature combine des outils libres reconnus par la profession et des scripts maison. Sans exhaustivité :
- Analyse statique : MobSF (Mobile Security Framework) pour la première passe automatisée,
jadxetapktoolpour décompiler les APK, Hopper et Ghidra pour le reverse engineering iOS et la lecture d’ARM64,class-dumppour extraire les en-têtes Objective-C. - Instrumentation dynamique : Frida (le couteau suisse du pentester mobile, scripts JavaScript pour hooker à la volée), Objection (surcouche Frida orientée pentest), Xposed Framework côté Android.
- Interception réseau : Burp Suite Professional avec extensions (Authz, JWT Editor, Hackvertor), mitmproxy pour l’automatisation et le scripting Python, Wireshark pour l’analyse bas niveau.
- Android spécifique :
adb, Drozer pour l’évaluation des composants exportés,apksigneretzipalignpour le repackaging, magisk pour le root. - iOS spécifique : Frida-iOS-dump pour extraire les binaires déchiffrés,
FilzaouiFunboxpour explorer le sandbox, checkra1n / palera1n pour le jailbreak.
Le choix de l’outillage dépend du contexte de la mission, des protections embarquées par l’application et des spécificités de la plateforme. Aucun outil ne remplace la compétence du testeur : un scan MobSF brut n’est pas un pentest.
Les bénéfices d’un pentest mobile
Au-delà de la checklist réglementaire, le pentest mobile apporte une valeur opérationnelle mesurable.
Identification des vulnérabilités avant exploitation. Mieux vaut payer un auditeur que dédommager des clients après une fuite. Le coût moyen d’une violation de données en France dépasse les 4 millions d’euros selon les rapports sectoriels, sans compter la sanction CNIL et le préjudice de réputation.
Conformité démontrable. Rapport PASSI utilisable comme preuve face à un régulateur, un auditeur ISO 27001, un client B2B qui exige une attestation de sécurité (PCI DSS, HDS, SecNumCloud).
Réduction de la dette de sécurité. Identification précoce des défauts d’architecture (mauvaise gestion des secrets, dépendances vulnérables) qui coûtent dix fois plus cher à corriger après mise en production.
Sensibilisation des équipes de développement. Le debrief technique post-pentest est l’un des meilleurs vecteurs de montée en compétence des développeurs mobiles sur les bonnes pratiques de sécurité.
Les risques en l’absence de pentest mobile
Faire l’impasse sur le test d’intrusion expose à un cumul de risques.
Sanctions réglementaires. La loi française n° 2025-391 transposant NIS2 prévoit des amendes administratives pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes. Le RGPD prévoit jusqu’à 20 M€ ou 4 % du CA. Le cadre légal ne tolère plus l’absence d’audit pour les opérateurs concernés.
Fuite de données. Une application mobile mal sécurisée est un point d’entrée privilégié vers le SI interne via les API exposées. Le mobile est aujourd’hui l’un des premiers vecteurs d’attaque sur les comptes utilisateurs (vol de tokens, contournement de MFA).
Compromission de la chaîne logicielle. Un binaire mobile faiblement protégé peut être réempaqueté avec une charge malveillante et redistribué via des stores tiers ou des campagnes de phishing, transformant votre marque en vecteur d’attaque.
Perte de confiance. Pour les entreprises B2C, un incident de sécurité largement médiatisé sur l’app entraîne une baisse durable des installations et des notes sur les stores.
Comment choisir son prestataire ?
Tous les pentests ne se valent pas, et le marché compte autant de spécialistes sérieux que de prestataires qui vendent un scan automatisé sous un PDF léché. Quelques critères discriminants.
Qualification PASSI de l’ANSSI. Pour les entités régulées (OIV, OSE, administrations, NIS2), la qualification PASSI est une exigence — pas une option. Elle atteste de la maturité méthodologique du prestataire, du contrôle de ses processus, de la compétence vérifiée de ses auditeurs.
Spécialisation mobile démontrée. Demandez des références mobiles, pas web. Un excellent pentester web n’est pas automatiquement un bon pentester mobile : les outils, les attaques, les protections sont spécifiques. La maîtrise de Frida, le reverse engineering iOS/Android, la connaissance fine de MASTG ne s’improvisent pas.
Méthodologie explicitée. Un prestataire sérieux remet un livrable de cadrage qui précise la méthodologie, les standards référencés (MASVS, MASTG, PTES), le découpage des phases, les livrables attendus.
Équipe interne, pas sous-traitée. Vérifiez que l’auditeur qui signera votre rapport est employé du prestataire, pas un freelance assemblé pour la mission.
Capacité de remédiation et de suivi. Le rapport ne suffit pas : exigez un test de remédiation inclus, un debrief technique avec les développeurs, une disponibilité pour les questions de suivi.
Le pentest mobile chez Intrinsec
Acteur indépendant de la cybersécurité depuis plus de trente ans, Intrinsec est qualifié par l’ANSSI au titre des trois grandes prestations de service : PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information), PRIS (Prestataire de Réponse aux Incidents de Sécurité) et PACS (Prestataire d’Accompagnement et de Conseil en Sécurité). Cette triple qualification est rare sur le marché français et garantit une couverture de bout en bout, de l’audit offensif à la gestion de crise.
Reconnu comme leader du SOC en France, Intrinsec opère en continu sur la détection et la réponse à incident, ce qui nourrit en retour la pratique pentest : nos auditeurs voient en direct les techniques d’attaque réellement utilisées contre les applications mobiles de nos clients. Cette boucle de rétroaction défensive-offensive est un différenciant fort. Notre offre pentest s’appuie sur un corpus documentaire et méthodologique plus étendu spécifiquement sur le mobile.
Nos missions de pentest mobile couvrent iOS et Android, en boîte noire, grise ou blanche, sur des applications natives, hybrides (React Native, Flutter, Cordova) et progressives. Chaque livrable est conforme aux exigences PASSI et est utilisable comme élément de preuve de conformité NIS2, RGPD ou ISO 27001.
FAQ
Qu’est-ce qu’un pentest mobile ? Un test d’intrusion mobile est un audit de sécurité offensif portant sur une application iOS ou Android, son stockage local, ses communications réseau, son mécanisme d’authentification et son interaction avec le système d’exploitation. Il s’appuie sur les référentiels OWASP MASVS et MASTG.
Pourquoi réaliser un pentest mobile ? Pour identifier les vulnérabilités exploitables avant un attaquant, démontrer la conformité réglementaire (NIS2, RGPD, ISO 27001) et protéger les données traitées par l’application.
Comment se déroule un pentest mobile ? En six phases : cadrage, analyse statique du binaire, analyse dynamique avec instrumentation (Frida, Objection), interception réseau (Burp Suite), exploitation et restitution écrite et orale.
Quels sont les outils utilisés pour un pentest mobile ? MobSF, Frida, Objection, Drozer, Burp Suite, mitmproxy, jadx, apktool, Ghidra, Hopper, et de nombreux scripts spécifiques selon le contexte.
Quels sont les bénéfices d’un pentest mobile ? Identification proactive des vulnérabilités, conformité réglementaire démontrable, réduction de la dette de sécurité, sensibilisation des équipes de développement.
Qui est concerné par le pentest mobile ? En premier lieu, les entités essentielles et importantes au sens de la directive NIS2 et de la loi n° 2025-391 : 18 secteurs incluant énergie, santé, transports, finance, eau, infrastructure numérique, administrations publiques, services postaux, gestion des déchets, industrie agroalimentaire, fabrication de dispositifs médicaux et fournisseurs numériques. Au-delà du cadre réglementaire, toute organisation qui distribue une application mobile traitant des données sensibles (santé, paiement, identité, données personnelles au sens RGPD), ou dont l’application est un canal critique de la relation client, devrait considérer le pentest mobile comme une mesure de sécurité standard — au même titre qu’un audit web pour un site e-commerce.
