IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Android Discussion :

Sécurisation application Android - API REST


Sujet :

Android

  1. 12/07/2017, 21h52 #1
    StYnn
    StYnn est déconnecté
    Candidat au Club
    Homme Profil pro
    Inscrit en
    Novembre 2012
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Novembre 2012
    Messages : 3
    Points : 4
    Points
    4
    Par défaut Sécurisation application Android - API REST
    Bonjour,

    je suis actuellement entrain de développer une application Android, et l'application doit communiquer avec une API REST.

    Mon API est actuellement non sécurisée.

    Pour la sécurisation de celle ci je me suis mis en quête des best practices et je suis tombé sur ceci :
    Article

    Avec les méthodes décrites je comprends comment on peut sécuriser une API REST. Et que quiconque souhaitant utiliser l'API doit pouvoir générer une signature.
    Ce qui veut dire que si une personne mal intentionnée souhaite s'en prendre à mon application, il faut que cette personne connaisse la méthode de génération de signatures (algorithmes, clé d'API etc). Et ceci est bien quand la méthode de génération de la signature se trouve sur un serveur sécurisé (serveur web php qui communique avec une API par exemple). Mais dans mon cas la méthode de génération de signatures va se trouver dans mon application Android. Or il est relativement simple de se procurer l'APK d'une application (je crois), de la décompiler et du coup de pouvoir voir tout ce qui concerne cette fameuse méthode (clé d'API, algorithmes ...), afin de pouvoir régénérer la signature et donc de faire n'importe quoi avec mon API.

    Donc ma question est la suivante : que faire quand on veut sécuriser un couple Application Android - API REST ?

    Merci d'avance, je suis peut-être passé à côté de quelque chose.
    Répondre avec citation Répondre avec citation   0  0
  2. 13/07/2017, 00h45 #2
    tchize_
    tchize_ est déconnecté
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 481
    Points : 48 806
    Points
    48 806
    Par défaut
    Le but de la signature n'est pas tant de garantir que c'est ton appli qui a envoyé la requête, mais que c'est le device d'origine, pas un autre.
    L'appli android génère un paire de clés, envoie la clé publique au serveur qui lui pourra vérifier toutes les requetes consécutives et stocke la clé privée. L'apk a beau être public, il n'y a aucune information utile dedans. Tout le payload est dans le device android. Après ta limite reste celle de la sécurité du device.
    David Delbecq Java developer chez HMS Industrial Networks AB.    LinkedIn | Google+
    Répondre avec citation Répondre avec citation   0  0
  3. 13/07/2017, 07h45 #3
    wangi
    wangi est déconnecté
    Membre régulier
    Homme Profil pro
    Développeur Java
    Inscrit en
    Octobre 2012
    Messages
    100
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Congo-Kinshasa

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : Enseignement

    Informations forums :
    Inscription : Octobre 2012
    Messages : 100
    Points : 91
    Points
    91
    Par défaut
    Bonjour,

    Pourquoi n'est pas protégé les codes source de votre application avant de le rentre un apk en utilisant proguard.
    C'est facile à faire. Tu peux chercher sur YouTube des vidéos montrant son utilisation avec Android studio.
    Répondre avec citation Répondre avec citation   0  0
ActualitésCours et tutoriels AndroidFAQ AndroidLivres AndroidCodes sources et Outils AndroidWebinars Intel
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Sécurisation API REST
    Par Dragster69 dans le forum Android
    Réponses: 5
    Dernier message: 30/03/2015, 23h18
  2. Sécurisation d'une API REST
    Par yeste64 dans le forum REST
    Réponses: 0
    Dernier message: 05/07/2014, 11h02
  3. [2.x] [Symfony2] Sécurisation API REST, help
    Par nayro57 dans le forum Symfony
    Réponses: 4
    Dernier message: 24/06/2014, 11h03
  4. Comment utiliser une API dans une application Android
    Par La March dans le forum Android
    Réponses: 7
    Dernier message: 18/06/2014, 10h16
  5. Appeler une api Rest depuis un serveur d'application
    Par marc11 dans le forum Java EE
    Réponses: 1
    Dernier message: 25/02/2013, 10h25

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo