IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

L'application Gmail potentiellement exposée aux attaques de type MiTM sur iOS


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 545
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 545
    Points : 155 612
    Points
    155 612
    Par défaut L'application Gmail potentiellement exposée aux attaques de type MiTM sur iOS
    L'application Gmail potentiellement exposée aux attaques de type MiTM sur iOS,
    selon des chercheurs

    Selon Lacoon Mobile Security, les utilisateurs d’iPhone qui ont installé Gmail sur leurs smartphones sont potentiellement exposés à l’interception de leurs données. Pourquoi ? Avi Basan, directeur technique de l’entreprise, avance que Google n’a pas encore mis sur pied une technologie de sécurité qui empêcherait aux hackers la lecture voire la modification des communications chiffrées échangées.

    Dans un billet blog, il a donné un cours magistral pour expliquer sommairement au public en quoi consiste la sécurité mobile. « En général, les communications sécurisées reposent sur le chiffrement, à l’instar du SSL, entre l’application et le serveur pour éviter aux yeux indiscrets de regarder le contenu pendant la transmission » a-t-il commencé. Cependant, il précise que le problème avec l’utilisation unique d’un protocole SSL est qu’un hacker peut usurper l’identité d’un serveur back-end en créant un faux certificat SSL. Ainsi, il pourra alors déchiffrer le trafic pour voir ou même modifier toutes les communications en texte clair (mots de passe, courriels et même discussions instantanées inclus).

    Par la suite, il a exposé un scénario d’attaque dans lequel un utilisateur est incité à installer un fichier de configuration de gestion de périphériques iOS qui contient un certificat numérique root malveillant. Par la suite le trafic de la victime serait redirigé vers un serveur sous le contrôle du hacker. Des certificats frauduleux seront alors créés et ils seront identifiés comme valides par le dispositif de la victime.


    Toutefois, l’ombre de cette menace peut être dissipée grâce à l'utilisation d'un certificat de type « pinning », qui consiste à coder en dur les détails du certificat numérique légitime dans une application. Pourtant, contrairement à Android, Google n’a pas mis en œuvre un certificat de ce type sur son application pour iOS ; en clair, un hacker pourrait exécuter une attaque de type man-in-the-middle et lire des communications chiffrées. Le 24 février dernier, Lacoon en informait Google qui a reconnu le problème mais n’a toujours pas réglé la vulnérabilité.

    « Nous avons été très surpris par cette faille parce que Google a mis en œuvre un certificat de type ‘pinning’ pour son application Gmail sur Android », indique Basan. « De toute évidence, l'absence de mise en œuvre de cette solution pour iOS résulte d'un oubli de la part de Google » a-t-il poursuivi.

    Il a terminé son exposé en donnant quelques conseils sur la façon dont ces types de vulnérabilités pourraient être atténués, précisant que Gmail n’est pas la seule application à faire face à ce genre de menaces ; par exemple des chercheurs ont découvert que l’application de messagerie Whatssap n’a jamais fait usage de certificat de type « pinning ». Il a d’abord rappelé que tout d’abord, la tâche incombe aux développeurs de développer ce type de certificat. Toutefois, les entreprises qui font usage d’applications n’utilisant pas ce type de certificat devraient :

    • consulter les profils de configuration des périphériques afin de s'assurer qu'ils n’incluent pas les certificats racines ;
    • s'assurer que les employés utilisent un VPN ou tout autre canal sécurisé lors de la connexion aux ressources de l'entreprise ;
    • effectuer aussi bien sur l'appareil que sur le réseau une analyse pour détecter les tentatives MitM.


    Source : Lacoon

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 184
    Points : 408
    Points
    408
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Qu'en pensez-vous ?
    Que certains chercheurs en sécurité devraient prendre des vacances: s'il faut avoir un accès physique à un terminal ou convaincre une victime grâce au social engineering c'est que la faille ne se situe pas au niveau du logiciel mais bien au niveau de l'utilisateur...

  3. #3
    Membre à l'essai
    Profil pro
    Inscrit en
    avril 2007
    Messages
    19
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2007
    Messages : 19
    Points : 14
    Points
    14
    Par défaut
    Je crois que tu n'a pas bien compris le fonctionnement de la faille, il n'y a pas besoin de social engineering ou autre. C'est juste un man in the middle classique, où vu que l'appli ne vérifie par le certificat SSL du serveur, elle ne se rend pas compte qu'elle ne communique pas avec la bonne machine.

    Mais à mon avis le soucis avec le certificate pinning c'est que vu qu'on met les infos en dur dans l'application, si il y a un changement de certificat coté serveur, il faut modifier l'app et la republier sur l'AppStore, et être dépendant de la durée de validation des applis chez Apple.

  4. #4
    Membre expérimenté Avatar de nchal
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2012
    Messages
    512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2012
    Messages : 512
    Points : 1 646
    Points
    1 646
    Par défaut
    Citation Envoyé par LiohAu Voir le message
    Je crois que tu n'a pas bien compris le fonctionnement de la faille, il n'y a pas besoin de social engineering ou autre. C'est juste un man in the middle classique, où vu que l'appli ne vérifie par le certificat SSL du serveur, elle ne se rend pas compte qu'elle ne communique pas avec la bonne machine.

    Mais à mon avis le soucis avec le certificate pinning c'est que vu qu'on met les infos en dur dans l'application, si il y a un changement de certificat coté serveur, il faut modifier l'app et la republier sur l'AppStore, et être dépendant de la durée de validation des applis chez Apple.
    Je ne m'y connais pas en "pinning" mais si tu dis vrai, ça doit être la raison pour laquelle il n'y a pas ce problème pour GMail sous Android, comme c'est leur store il peuvent republier l'appli à leur convenance alors qu'il n'ont pas la main sur le store d'Apple.
    Si la réponse vous convient, un petit ça encourage.
    Avant tout nouveau post, pensez à : la FAQ, Google et la fonction Recherche
    Si vous devez poster, pensez à: Ecrire en français, la balise [CODE] (#) et surtout

  5. #5
    Membre averti
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 184
    Points : 408
    Points
    408
    Par défaut
    Citation Envoyé par LiohAu Voir le message
    Je crois que tu n'a pas bien compris le fonctionnement de la faille, il n'y a pas besoin de social engineering ou autre. C'est juste un man in the middle classique, où vu que l'appli ne vérifie par le certificat SSL du serveur, elle ne se rend pas compte qu'elle ne communique pas avec la bonne machine.

    Mais à mon avis le soucis avec le certificate pinning c'est que vu qu'on met les infos en dur dans l'application, si il y a un changement de certificat coté serveur, il faut modifier l'app et la republier sur l'AppStore, et être dépendant de la durée de validation des applis chez Apple.
    Je pense que c'est toi qui n'a pas bien compris la faille: leur infographie propose un scénario d'exploit pour la faille et l’étape 1 commence par du social engineering.

    PS: Il ne faut pas oublié que la société vend des solutions de sécurité pour mobile, et que créer le buzz en trouvant une "faille" sur une appli d'un mastodonte en général c'est plutôt bon pour les ventes...

Discussions similaires

  1. Réponses: 0
    Dernier message: 14/10/2013, 03h16
  2. efficacité des frameworks face aux attaques
    Par CaptainCyd dans le forum Frameworks Web
    Réponses: 4
    Dernier message: 21/01/2009, 23h00
  3. Réponses: 9
    Dernier message: 12/12/2008, 11h38
  4. Réponses: 4
    Dernier message: 06/07/2008, 14h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo