Des chercheurs ont découvert des problèmes de cryptage dans des applications disponibles sur le Google Play Market.

Des chercheurs allemands rapportent que des applications Android téléchargées par des millions d’utilisateurs peuvent exposer les informations bancaires, le couple identifiant/mot de passe des réseaux sociaux, le contenu des messageries instantanées et des e-mails pour cause de carence dans la sécurité du cryptage.

Les chercheurs de l’Université de Leibniz en Allemagne et de l’Université Phillips à Marburg ont identifié 41 applications dans le Google Play Market qui divulguent des données sensibles dans leur acheminement entre les terminaux sous Ice Cream Sandwich.

Ils précisent dans leur rapport : « Nous avons pu obtenir des informations bancaires utilisées par Paypal, Americain Express et d’autres. De plus, les mails, Facebook, les identifiants de site de stockage en ligne ont été rendus accessibles etc »

Ces recherches soulignent la fragilité des protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security) qui forment le socle de tout le cryptage entre les sites Internet et les internautes. La technologie elle-même est considérée sûre, mais le problème réside dans la sécurité des sites Internet qui ne prennent pas les précautions nécessaires voire même au niveau des autorités qui remettent les certificats et qui peuvent être compromises.

Les chercheurs ont procédé méthodiquement. Ils ont d’abord téléchargé 13 500 applications gratuites sur Google Play dans lesquelles ils ont analysé si l’implémentation SSL de l’application était vulnérable à une attaque de type MITM (man-in-the-middle).

1074 applications soit 8% de l’échantillon global contenaient du code SSL spécifique qui acceptait soit tous les certificats, soit tous les noms de domaines pour un certificat rendant ainsi une attaque MITM potentiellement promise au succès.

Ce sont les applications créées par des développeurs indépendants plutôt que par des entreprises qui sont le plus concernées.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 144282
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI