Aller au contenu

PD-262 — Rapport de confrontation (Étape 1)

1. Sources confrontées

  • DOCUMENT D'ENTRÉE : SPECIFICATION (PD-262 — iOS Anti-tampering : detection jailbreak et protection Frida)
  • DOCUMENT D'ENTRÉE : TESTS (PD-262 — Scenarios de tests contractuels)

2. Convergences

  • Les deux documents partagent l'objectif d'assurer la sécurité de l'application iOS contre les compromissions, en particulier la détection de jailbreak et la protection contre Frida.
  • Ils convergent sur la nécessité d'un mécanisme de lockout fail-closed en cas de détection de compromission, ainsi que sur l'importance de la purge des secrets locaux et de l'émission d'un événement d'audit backend.
  • Les documents spécifient également les états de la machine à états (MONITORED, TAMPERED_SESSION, LOCKED_PERSISTENT) et décrivent les transitions autorisées entre ces états.

3. Divergences

  • DIV-01 : Le document SPECIFICATION ne fournit pas de détails sur la mise en œuvre des tests, tandis que le document TESTS propose une batterie de tests pour valider les comportements nominaux et erronés du module anti-tampering.
  • Source A (SPECIFICATION) : Ne mentionne pas explicitement les tests.
  • Source B (TESTS) : Décrit en détail les scénarios de test.

  • Impact : Il est crucial de disposer d'une stratégie de test claire pour garantir la conformité aux exigences de sécurité.

  • DIV-02 : Le document SPECIFICATION définit des invariants et des critères d'acceptation, mais le document TESTS ne les reprend pas explicitement dans sa structure, bien qu'il les implique à travers les scénarios de test.

  • Source A (SPECIFICATION) : Énumère les invariants et critères d'acceptation.
  • Source B (TESTS) : Ne référence pas directement ces éléments, mais les intègre dans les tests.
  • Impact : Une clarification sur la manière dont les tests couvrent les invariants et les critères d'acceptation est nécessaire.

4. Zones d'ombre

  • La spécification ne fournit pas de détails sur la façon dont le module anti-tampering gérera les mises à jour des règles de détection ou des mécanismes de purge, ce qui pourrait nécessiter une clarification supplémentaire.
  • Les documents ne précisent pas comment les secrets temporaires seront gérés dans le cas où la purge échoue partiellement, ce qui pourrait avoir un impact sur la sécurité.

5. Recommandation

  • Procéder — Il existe des convergences fortes entre les documents, mais des divergences et zones d'ombre nécessitent une clarification avant de poursuivre.
  • Rework nécessaire — Les conflits identifiés (DIV-01, DIV-02) doivent être résolus, et les zones d'ombre clarifiées pour assurer une compréhension commune et une mise en œuvre efficace du module anti-tampering.
  • Escalade — Une décision humaine est requise pour définir la stratégie de test finale et résoudre les ambiguïtés concernant la gestion des mises à jour des règles de détection et des mécanismes de purge.