10 Sécurité - GaetanCrabeels/SmartShade GitHub Wiki

[ENCORE A COMPLETER]

Sécurité

Analyse de sécurité

Base de données Firebase :

  • Règles de sécurité Firebase :

    • Risque : L'accès non autorisé à la base de données.
    • Contre-mesure : Mise en place de règles d'accès aux données de l'application.

  • Sécurité des données :

    • Risque : Risque de fuite d'informations sensibles.
    • Contre-mesure : Les données sensibles telles que le mot de passe sont hashées, et les utilisateurs n'ont accès qu'à certaines données.

  • Chiffrement des données en transit :

    • Risque : Intercepter les communications entre l'application et Firebase.
    • Contre-mesure : Utilisation d'HTTPS.

  • Gestion des erreurs :

    • Risque : Révéler des informations sensibles dans les messages d'erreur.
    • Contre-mesure : Les messages d'erreurs sont personnalisés afin de n'afficher que les informations nécessaires et non sensibles.

  • Attaques par déni de service (DDoS) :

    • Risque : Des attaquants pourraient tenter de rendre le serveur indisponible.
    • Contre-mesure : Aucune actuellement en plus que celles déjà implémentées par Firebase.

  • Gestion des sessions :

    • Risque : Les sessions non sécurisées pourraient être vulnérables aux attaques de session.
    • Contre-mesure : Utilisation de jetons de session sécurisés, expiration des sessions après une période d'inactivité, gestion appropriée des jetons d'authentification.

  • Contrôles d'accès :

    • Risque : Risque d'accès non autorisé à certaines fonctionnalités de l'application.
    • Contre-mesure : Mise en place de contrôles d'accès granulaires, attribution d'autorisations spécifiques aux utilisateurs en fonction de leurs rôles, utilisation de principes de moindre privilège.

  • Gestion des secrets et des clés d'API :

    • Risque : Exposition involontaire de secrets, de clés d'API ou d'informations sensibles.
    • Contre-mesure : Stockage sécurisé des secrets, utilisation de solutions tierces pour la gestion des secrets, éviter d'inclure des informations sensibles directement dans le code source.

  • Sécurité physique des dispositifs IoT :

    • Risque : Risque de manipulation physique des dispositifs IoT (Arduino, capteurs).
    • Contre-mesure : Utilisation de boîtiers sécurisés pour les dispositifs, restrictions physiques d'accès, chiffrement des données stockées sur les dispositifs.

  • Surveillance des journaux (logging) :

    • Risque : Manque de visibilité sur les activités suspectes ou erreurs de sécurité.
    • Contre-mesure : Implémentation d'une surveillance efficace des journaux, enregistrement des activités importantes, alertes en cas de comportement anormal.

  • Tests de sécurité :

    • Risque : L'absence de tests de sécurité pourrait laisser des vulnérabilités non détectées.
    • Contre-mesure : Réalisation de tests de sécurité réguliers, y compris des tests de pénétration, pour identifier et corriger les vulnérabilités potentielles.

  • Communication sécurisée avec les dispositifs IoT :

    • Risque : Les communications entre l'application mobile et les dispositifs IoT pourraient être interceptées.
    • Contre-mesure : Utilisation de protocoles de communication sécurisés, chiffrement des données transitant entre l'application et les dispositifs.