IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 104
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 104
    Points : 148 635
    Points
    148 635
    Par défaut Codeminon : plus de la moitié des applications populaires Android ont hérité des failles de sécurité
    Codeminon : plus de la moitié des applications populaires Android ont hérité des failles de sécurité,
    suite à une réutilisation imprudente des bibliothèques

    Selon les ingénieurs de Codeminon, ceux-là même qui ont découvert en avril dernier une vulnérabilité dans la librairie de chiffrement OpenSSL et l’ont baptisée « Heartbleed », plus de 50 % des applications Android les plus populaires ont hérité des failles de sécurité suite à une réutilisation « imprudente » de bibliothèques logicielles.

    Les résultats préliminaires d’une étude qu’ils ont menée révèlent qu’au moins la moitié des 50 applications Android populaires concernées transmettent des données personnelles à des réseaux publicitaires tiers sans autorisation de l’utilisateur, et ce en texte clair dans plus de 30 % des cas. Certaines d’entre elles ne chiffrent même pas la transmission de leurs données. Par ailleurs, une application sur dix enverrait l’identifiant du terminal mobile (code IMEI) ou des données de géolocalisation à une tierce partie, voire le numéro de téléphone mobile de l’utilisateur. De plus, une application sur dix serait connectée à plus de deux réseaux de publicité.

    Les chercheurs ont conclu que la plupart des développeurs de ces applications ne sont pas au courant des vulnérabilités qu'ils expédient dans le code.

    Olli Jarva, responsable sécurité chez Codeminon, estime que 80 % à 90 % des applications mobiles, dans leur ensemble, intègrent des bibliothèques logicielles réutilisées, disponibles pour la plupart en open source. Il a ajouté qu’il était normal que les développeurs ne veuillent pas « s’investir à réinventer la roue » chaque fois qu’ils sortiront une application. Cependant, il prévient que même si en « théorie », grâce au nombre de développeurs qui contribuent, la communauté open source devrait proposer du code de meilleure qualité. Les nombreux bugs dans OpenSSL ont démontré que ce n’est pas le cas.

    « Nous voyons des produits finis hériter de ces vulnérabilités. Il s’agit parfois d’une conception logicielle pauvre ou d’erreurs de logique dans l’implémentation et parfois ces bugs sont identifiés et corrigés. Parfois, comme dans le cas de HeartBleed, ils ne sont pas identifiés avant deux ans », a-t-il rappelé.

    Jarva a suggéré que certains agissent délibérément et a regretté ce fait : « il y a des personnes qui auraient laissé exprès des vulnérabilités afin de pouvoir faire quelque chose de mauvais une fois que le code a été distribué ». Et il s’est demandé « avec qui travaillent-ils ? Ont-ils des emplois parallèles ? Les développeurs pourraient obtenir leurs dollars des réseaux publicitaires. »

    Quoiqu’il en soit, « les problèmes sont invisibles des utilisateurs », a expliqué Jarva. « De nombreuses choses se passent en arrière-plan et c’est seulement après qu’ils réalisent qu’elles ont été faites ».

    Il rappelle qu’il y a des outils qui permettent à un administrateur de scanner des fichiers binaires dans un fichier d’installation et de « révéler les véritables caractéristiques de l’application » en moins d’une minute. L’open source ne fournit pas de « repas gratuit », s’est-il exclamé. « Nous devons prendre le soin de tester suffisamment les bibliothèques que nous utilisons afin de nous assurer qu’elles sont suffisamment sécurisées pour être utilisées ».

    Source : IT news

    Et vous ?

    Qu'en pensez-vous ? Utilisez-vous des librairies open source ? Effectuez-vous des tests de sécurité avant ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2012
    Messages : 630
    Points : 1 170
    Points
    1 170
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Qu'en pensez-vous ? Utilisez-vous des librairies open source ? Effectuez-vous des tests de sécurité avant ?
    Quel développeur n'a jamais utilisé de libs open source ...? Noboby I think !

    Pour ma part, les test de sécu dépendent de pas mal de choses en autre de si c'est moi un ou un presta qui l'a dev. Quoi qu'il en soit, je mets toujours un point d'honneur prendre le temps de sécuriser au maximum mon infra / appli.

    Les test de sécu, doivent en plus d'être fait avant la mise en prod être compris dans les test unitaires.
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  3. #3
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    avril 2002
    Messages
    4 226
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : avril 2002
    Messages : 4 226
    Points : 12 946
    Points
    12 946
    Par défaut
    Citation Envoyé par Shuty Voir le message
    Quel développeur n'a jamais utilisé de libs open source ...? Noboby I think !
    Le coté open source n'a rien a voir la dedans : les bibliothèques propriétaires et open-source peuvent tout aussi bien contenir des failles de sécurité et c'est un risque a prendre en compte quoi qu'il arrive. Une bibliothèque open-source peut être plus facilement auditée, mais si personne ne le fait sérieusement, le risque est le même.

Discussions similaires

  1. Réponses: 0
    Dernier message: 16/02/2012, 10h30
  2. Réponses: 8
    Dernier message: 15/12/2010, 19h56
  3. Réponses: 16
    Dernier message: 06/10/2010, 17h21
  4. Réponses: 5
    Dernier message: 29/10/2009, 12h25
  5. Réponses: 0
    Dernier message: 28/10/2009, 15h10

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo