Sécurité Application Mobile¶
Ce document décrit les aspects sécurité spécifiques à l'application mobile. Voir la conformité globale pour la vue d'ensemble.
Mesures de sécurité app¶
Stockage sécurisé¶
- Keychain iOS / Keystore Android via Secure Store
- Pas de données sensibles en AsyncStorage
- Documents chiffrés avant écriture locale
Cryptographie¶
- Argon2id 64 MiB (OWASP 2024)
- AES-256-GCM
- HKDF-SHA3-256
- Effacement mémoire (zeroize)
Protection utilisateur¶
- Password minimum 12 caractères
- Verrouillage après 5 tentatives
- Auto-lock configurable
- Biométrie optionnelle
Runtime¶
- Certificate pinning
- Détection jailbreak/root (info only)
- Pas de capture d'écran sur écrans sensibles
Checklist sécurité¶
Code¶
- TypeScript strict
- Pas de console.log en prod
- Validation inputs utilisateur
- Zeroize après usage clés
Build¶
- Obfuscation code
- Strip debug symbols
- Signature app valide
Tests sécurité¶
| Test | Fréquence | Dernier |
|---|---|---|
| Revue code crypto | À chaque PR | - |
| Pentest mobile | Annuel | - |
| Scan dépendances | CI | Chaque build |