Cyber Shelf

// Comparaison

iOS Application Security vs Real-World Cryptography : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
3/52016
iOS Application Security

The Definitive Guide for Hackers and Developers

David Thiel

David Thiel sur attaquer et défendre les apps iOS : sandbox plateforme, surfaces IPC, sémantique keychain, sécurité du transport et les patterns qui introduisent de vrais bugs.

Intermédiaire
5/52021
Real-World Cryptography

David Wong

Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.

À lire si

Pentesters sécurité mobile et développeurs iOS qui ont besoin d'un guide pratique sur la surface de sécurité de la plateforme. Thiel couvre le sandbox, le Keychain, le runtime, le code signing et la classe typique d'erreurs que les apps iOS expédient.
Ingénieurs qui doivent prendre des décisions cryptographiques dans de vrais systèmes : AEAD, échange de clés, signatures, hachage de mots de passe, PKI, chiffrement de bout en bout, migration post-quantique. Le nouveau standard moderne, et le livre que nous recommandons en premier à quiconque touche à la crypto en production.

À éviter si

Lecteurs voulant les spécificités iOS actuelles (post-2018). Le livre précède des changements significatifs de la plateforme Apple (App Tracking Transparency, modèle d'entitlement moderne, modern keychain access groups) ; les principes se transfèrent, les spécificités non.
Chercheurs en cryptographie ou lecteurs qui veulent les preuves mathématiques complètes. Les maths sont bornées au strict nécessaire pour évaluer des choix, pas pour reconstruire les preuves. Pour la profondeur suivante, lire Serious Cryptography après celui-ci.

Points clés

  • La plupart des vulnérabilités d'apps iOS sont au niveau app, pas au niveau plateforme ; le cadrage du livre s'aligne avec ce que les vrais pentests trouvent.
  • L'usage incorrect de keychain et le stockage non sécurisé sont encore les findings dominants sur les vrais engagements ; le chapitre du livre là-dessus est le cœur pratique.
  • Frida et Objection ont largement remplacé le tooling d'introspection runtime plus ancien décrit ici ; le workflow se traduit, les outils ont évolué.
  • La majorité des vulnérabilités crypto sont des erreurs d'usage, pas des primitives cassées ; le cadrage de Wong (« quoi utiliser, quoi éviter ») est le plus net qui soit publié.
  • TLS 1.3, Noise et les protocoles façon Signal composent les primitives selon des patterns que tout ingénieur devrait reconnaître à vue, ce livre apprend à les voir.
  • La cryptographie post-quantique n'est plus optionnelle ; le livre introduit les constructions à base de réseaux et de hachages que vous déploierez d'ici quelques années.

Comment ils se comparent

Nous notons Real-World Cryptography plus haut (5/5 contre 3/5 pour iOS Application Security). Pour la plupart des lecteurs, Real-World Cryptography est le choix principal et iOS Application Security un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

iOS Application Security et Real-World Cryptography couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

iOS Application Security

Alternatives à iOS Application SecurityQue lire après iOS Application Security

Real-World Cryptography

Alternatives à Real-World CryptographyQue lire après Real-World Cryptography

Thématiques liées

AppSec