Discussion :

[nartgen]

Bonjour à tous,

Depuis peu, je viens de commencer le développement d'une application qui nécessite de communiquer avec une base de données MySQL externe.
Une question m'est venu à l'esprit,
Étant donné qu'il est possible de décompiler un APK pour en extraire en code source, est-il possible de lire une requête HTTP contenant l'adresse du site et les paramètres de la requête.
Si oui, tout le monde serait capable de récupérer les infos et de modifier la base de données.

Merci à vous.

[Hephaistos007]

Effectivement, l'obfuscateur (ProGuard) ne crypte pas les constantes de type String. Sachant cela, tu peux le gérer toi-même, en decryptant tes constantes à chaque utilisation.

Plus généralement, je pense qu'il faut prendre le problème à l'envers : c'est à ton service Web de s'assurer qu'il est bien invoqué via l'application et pas en dehors. Un cas particulier d'authentification en quelque sorte.

[nartgen]

Effectivement, l'obfuscateur (ProGuard) ne crypte pas les constantes de type String. Sachant cela, tu peux le gérer toi-même, en decryptant tes constantes à chaque utilisation.

Plus généralement, je pense qu'il faut prendre le problème à l'envers : c'est à ton service Web de s'assurer qu'il est bien invoqué via l'application et pas en dehors. Un cas particulier d'authentification en quelque sorte.

Merci beaucoup pour la réponse, j'ai l'impression d'être un peu parano, mais j'ai vraiment envie que seule l'application n'ait accès à la BDD et personne d'autre (et c'est bien normal).
En solution, je ne vois qu'un système de cryptage maison.
Comment font les applications connue communiquant à des BDD externes, quelles sécurités utilisent-elles ?
Merci encore.

[grunk]

Tu peux bien mettre toutes les sécurité/cryptage que tu veux dans ton application , une simple écoute réseau suffira à connaitre les requêtes envoyées.
Tu peux protéger le contenu de la requêtes avec du ssl mais la destination sera dans tous les cas connue.

Une solution pour assurée que seule ton appli puisse récupérer des données est de générer un certificat client pour ton application. Ce certificat est transmis à chaque requête et seul les requêtes avec ce certificat seront acceptées par le serveur web.
C'est la théorie , pour la pratique , j'ai jamais fait.

D'un autre coté il y'a des chances qu'une décompilation puisse faire ressortir le certificats et donc , il suffirait d'embarquer ce certificats dans une autre app pour avoir accès au contenu.

[nartgen]

Si j'envoies ces données par HTTPS, la destination a beau être connue, les informations elles ne seront pas lisibles, je me suis renseigné et j'ai appris la sécurité par clé pour communiquer avec l'API, transmise par l'application, elle ne pourra pas être lue lors d'une lecture du réseau.
Qu'en pensez-vous ?
Merci.

[grunk]

Si c'est le contenu que tu cherches à protéger alors oui ca suffira. Mais ca n'empèchera pas quelqu'un d'essayer de faire des requêtes sur ton api