Pentest Mobile — Application React Native

Startup SaaS — Application mobile

5 jours

Android (React Native)

Pentest Mobile

Contexte de la mission

Le défi

Contexte

Un éditeur d'application mobile avait besoin d'une validation sécurité avant un lancement majeur.

L'application traitait des données sensibles : profils, géolocalisation, paiements. Aucune revue de sécurité n'avait été réalisée.

Objectifs

Valider la sécurité de l'application avant le lancement majeur
Vérifier la protection des données sensibles (profils, paiements, géolocalisation)
Identifier les failles dans le code et les communications réseau

Déroulement

Découvertes clés

Périmètre testé

Décompilation de l'application et examen du code
Interception du trafic réseau
Tests de l'API backend
Vérification du stockage local des données
Revue des mécanismes de connexion

Méthodologie

Tests selon l'OWASP Mobile Application Security Testing Guide (MASTG) : décompilation, extraction du code, interception du trafic, analyse du stockage local.

Critique

Clés d'accès aux services (paiement, cartographie) visibles dans le code de l'application

Élevé

Données personnelles et mots de passe stockés sans protection sur le téléphone

Élevé

Aucune limite sur les tentatives de connexion, permettant de deviner les codes d'accès

Résultats

Livrables et recommandations

Livrables

9 vulnérabilités : 2 critiques, 3 élevées, 4 moyennes
Rapport technique avec preuves d'exploitation
Feuille de route de remédiation priorisée
Présentation et restitution orale

Recommandations

Déplacer les clés d'accès sur le serveur (jamais dans l'application)
Chiffrer les données stockées sur le téléphone
Limiter le nombre de tentatives de connexion
Vérifier l'identité du serveur lors des communications
Rendre le code de l'application plus difficile à lire

Enseignements

Leçons apprises

Les clés API en dur dans le code React Native sont extractibles en quelques minutes par n'importe qui
Le stockage local non chiffré est la faille la plus courante sur les applications mobiles
L'API backend est souvent le maillon faible quand elle n'est pas testée en parallèle de l'app

Issue

Ce qui a changé

Clés corrigées en une semaine, stockage chiffré, protection anti-brute force en place. Lancement confiant 3 semaines plus tard.

Prochaines étapes

Pentest de l'API backend approfondi
Mise en place du certificate pinning
Tests de sécurité automatisés à chaque release

Autres études de cas

Découvrez nos autres interventions en cybersécurité.

Pentest Web

Pentest Web — PME e-commerce

Accès aux factures clients et modification de paniers entre utilisateurs. 12 vulnérabilités identifiées dont 3 critiques.

Mathieu Rutick 2026

Pentest Cloud

Pentest Cloud — PME IT (Azure)

Escalade de privilèges jusqu'à Global Admin via des mauvaises configurations Azure et Entra ID.

Mathieu Rutick 2026

Pentest AD

Pentest Active Directory — Groupe multi-agences

Compromission totale du domaine Active Directory d'un groupe multi-agences en partant d'un accès réseau standard.

Mathieu Rutick 2026

Un projet similaire ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services