Cyber Shelf

// Comparaison

Real-World Cryptography vs The Mobile Application Hacker's Handbook : lequel lire ?

Deux livres de cybersécurité sur AppSec, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
5/52021
Real-World Cryptography

David Wong

Tour pratique de David Wong des primitives, protocoles et pièges cryptographiques qui apparaissent réellement en production, avec une attention assumée à TLS, Noise, AEAD modernes, et post-quantique.

Intermédiaire
3/52015
The Mobile Application Hacker's Handbook

Dominic Chell, Tyrone Erasmus, Shaun Colley, Ollie Whitehouse

La référence de Chell, Erasmus, Colley et Whitehouse sur la sécurité applicative iOS et Android du début-mi 2010s — runtime hooking, sécurité du transport, abus IPC et la surface plateforme-spécifique du pentest mobile.

À lire si

Ingénieurs qui doivent prendre des décisions cryptographiques dans de vrais systèmes : AEAD, échange de clés, signatures, hachage de mots de passe, PKI, chiffrement de bout en bout, migration post-quantique. Le nouveau standard moderne, et le livre que nous recommandons en premier à quiconque touche à la crypto en production.
Pentesters mobiles qui veulent les fondations structurelles de la discipline — quelle surface existe, où vivent typiquement les bugs, comment les plateformes diffèrent dans leurs défauts. Les chapitres taxonomie et méthodologie vieillissent plus lentement que le tooling spécifique.

À éviter si

Chercheurs en cryptographie ou lecteurs qui veulent les preuves mathématiques complètes. Les maths sont bornées au strict nécessaire pour évaluer des choix, pas pour reconstruire les preuves. Pour la profondeur suivante, lire Serious Cryptography après celui-ci.
Lecteurs ayant besoin de la technique actuelle sur App Attest, DeviceCheck, clés liées biométrie, contournement pinning moderne, instrumentation runtime récente (classe Frida) ou la réalité cross-plateforme (React Native, Flutter, Capacitor). La publication 2015 se voit dans chaque chapitre.

Points clés

  • La majorité des vulnérabilités crypto sont des erreurs d'usage, pas des primitives cassées ; le cadrage de Wong (« quoi utiliser, quoi éviter ») est le plus net qui soit publié.
  • TLS 1.3, Noise et les protocoles façon Signal composent les primitives selon des patterns que tout ingénieur devrait reconnaître à vue, ce livre apprend à les voir.
  • La cryptographie post-quantique n'est plus optionnelle ; le livre introduit les constructions à base de réseaux et de hachages que vous déploierez d'ici quelques années.
  • La structure défauts-et-pièges-par-plateforme est durable : le modèle de sécurité de chaque plateforme se comprend encore le mieux à travers le même prisme que le livre utilise.
  • IPC, deep-link et surface inter-app restent les surfaces d'attaque mobile au plus haut rendement, même si les APIs spécifiques ont changé.
  • Couplez chaque chapitre avec du matériel OWASP MASTG / MASVS actuel ; la carte conceptuelle est la valeur du livre, le tooling spécifique non.

Comment ils se comparent

Nous notons Real-World Cryptography plus haut (5/5 contre 3/5 pour The Mobile Application Hacker's Handbook). Pour la plupart des lecteurs, Real-World Cryptography est le choix principal et The Mobile Application Hacker's Handbook un complément utile.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Real-World Cryptography et The Mobile Application Hacker's Handbook couvrent tous les deux AppSec : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Real-World Cryptography

Alternatives à Real-World CryptographyQue lire après Real-World Cryptography

The Mobile Application Hacker's Handbook

Alternatives à The Mobile Application Hacker's HandbookQue lire après The Mobile Application Hacker's Handbook

Thématiques liées

AppSec