Évaluation de la sécurité des applications mobiles

Présentation

Investir dans la sécurité mobile est essentiel pour garantir la sécurité des applications pour les milliards d'utilisateurs de Google Play. OWASP (Open Web Application Security Project) s'est imposé comme une norme de sécurité des applications mobiles très respectée dans l'industrie. L'ensemble publié d'exigences de sécurité, la norme Mobile Application Security Verification Standard (MASVS, Mobile Application Security Verification Standard), fournit aux développeurs un ensemble de critères de sécurité de base. En plus de l'ensemble de critères de test publié, le MASTG (Mobile Application Security Testing Guide), l'OWASP offre aux développeurs un moyen objectif de faire évaluer leurs applications par rapport à une norme commune. Les développeurs peuvent collaborer directement avec un partenaire Google Authorized Lab pour lancer l'évaluation de sécurité. Grâce à MASA, Google reconnaîtra les développeurs dont les applications ont été validées par un organisme indépendant sur la base d'un ensemble d'exigences de niveau 1 du MASVS.

Framework CASA
Figure 1: Framework MASA

Avantages

Effectuer des tests de sécurité réguliers peut aider les développeurs à identifier les principales failles dans leurs applications. Google Play permettra aux développeurs ayant effectué une validation indépendante d'afficher cette information dans leur section Sécurité des données. Les utilisateurs sont ainsi plus confiants quant à l'engagement d'une application en termes de sécurité et de confidentialité.

Fonctionnement

Si vous êtes développeur et que vous souhaitez participer au programme, veuillez contacter directement l'un des laboratoires agréés ci-dessous pour lancer le processus de test. Les frais ou les formalités administratives sont à la charge directement du laboratoire et du développeur. L'atelier testera la version publique de l'application disponible sur le Play Store et fournira des commentaires d'évaluation directement aux développeurs. Les ateliers proposent des mesures correctives pour aider les développeurs à résoudre les problèmes signalés. Une fois que l'application remplit toutes les conditions requises, l'atelier envoie directement un rapport de validation à Google en guise de confirmation. Les développeurs peuvent alors déclarer le badge de sécurité sur leur formulaire Sécurité des données. En moyenne, le processus prend environ deux à trois semaines entre l'évaluation initiale et la disponibilité du badge.

Disclaimer

MASA est destiné à fournir plus de transparence sur l'architecture de sécurité de l'application, mais la nature limitée des tests ne garantit pas la sécurité totale de l'application. Cet examen indépendant peut ne pas avoir pour objectif de vérifier l'exactitude et l'exhaustivité des déclarations sur la sécurité des données d'un développeur. Les développeurs sont seuls responsables de l'exhaustivité et de l'exactitude de déclarations dans la fiche Play Store de leur application.

Questions fréquentes

Cliquez ici pour en savoir plus sur MASA et consulter les réponses aux questions fréquentes.

Nos partenaires

Google a intégré un ensemble d'Authorized Labs pour évaluer les applications. Tous les ateliers Authorized Labs proposent des tests de sécurité exhaustifs et offrent aux développeurs les moyens d'obtenir une validation selon les normes publiées. En raison de la migration vers Linux Foundation, nous avons suspendu l'intégration des nouveaux ateliers.

Partenaires Authorized Labs

Commencez votre évaluation MASA en contactant les laboratoires partenaires pour lancer les tests.