Discussion :

[Hinault Romaric]

Android : des failles dans plusieurs applications pourraient être exploitées pour intercepter des données
selon un chercheur en sécurité

Les terminaux mobiles font partie de nos jours du quotidien des consommateurs. De nombreuses opérations se font désormais au travers d’applications mobiles, au détriment des sites Web. Cependant, les applications mobiles n’offriraient pas une bonne sécurisation des transmissions des données, par rapport aux sites Web.

Selon l’expert en sécurité Will Dormann du CERT (Computer Emergency Response Team) de l’université Carnegie Mellon, les développeurs d’applications mobiles publient sur les galeries des applications qui ne valident pas correctement les certificats SSL pour les connexions HTTPS.

En utilisant l’outil CERT Tapioca, développé par le CERT, il a identifié plusieurs applications sur le Play Store et sur la galerie d’applications d’Amazon qui ne valident pas les certificats numériques, exposant les utilisateurs à des attaques MITM (man in the middle – attaque de l’homme du milieu).

Il a publié dans une feuille de calcul une liste d’applications vulnérables. Le test des applications est en cours et la liste sera constamment mise à jour. La liste a été transmise à Google et Amazon, et les développeurs de ces applications ont été informés.

Cependant, Will Dormann a choisi de publier la liste sans attendre le délai de 45 jours qui doit en principe être accordé aux développeurs dont les applications ont été identifiées comme vulnérables. Will Dormann justifie ce choix par le fait que les attaques de types MITM sont devenues fréquentes et qu’en informant les utilisateurs, ils utiliseront ces applications avec prudence et certains les désinstalleront même.

De plus, Will Dormann explique que, dans le cadre d’autres recherches sur les vulnérabilités SSL dans les applications Android, les développeurs de ces applications ont été informés des problèmes et qu'ils n’ont pas pris de mesures pour les corriger.

Will Dormann conseille aux utilisateurs d’avoir recours aux sites Web plutôt qu’aux applications pour certains services. « Par exemple, si une banque peut fournir une application Android pour accéder à ses ressources, ces ressources sont généralement disponibles en utilisant un navigateur Web. Grâce au navigateur, vous pouvez éviter les situations dans lesquelles SSL peut ne pas être valide », explique Will Dormann, qui invite les utilisateurs à être prudents sur les réseaux non sécurisés, y compris les WiFi publics. « L’utilisation de votre appareil sur un réseau non sécurisé augmente les chances d’être victime d’une attaque MITM », ajoute-t-il.

Il faut noter que les vulnérabilités SSL dans les applications mobiles ont déjà attiré l’attention de la FTC (Federal Trade Commission). Elle a récemment pointé du doigt deux entreprises américaines qui avaient affirmé aux consommateurs utilisant Android et iOS que leurs données étaient transmises en toute sécurité via leurs applications, alors qu’elles avaient prétendument désactivé la vérification du certificat SSL.


Source : CERT


Et vous ?

Qu’en pensez-vous ?

[nchal]

En même temps, consulter ses comptes sur un WIFI public ou en 3G, c'est chercher un peu les embrouilles...

[Sennad]

En même temps, consulter ses comptes sur un WIFI public ou en 3G, c'est chercher un peu les embrouilles...

Non pas du tout, 90% des utilisateurs n'en savent rien..
Seule un petite parties des utilisateurs ont conscience du problème car ce sont eux même des développeurs ou des personnes dans le milieu informatique.
Mais la plus part n'imagine même pas que c'est possible...

[Invité]

Et dans ce cas-ci, ce n'est pas à l'utilisateur de faire attention, mais au développeur de mettre en place le nécessaire pour que l'utilisateur ne soit pas en danger. A partir du moment où un site web ou une entreprise présente un produit à ses clients (en l'occurrence une application), il se doit de fournir un produit qui fonctionne et surtout qui soit sécurisé et avec lequel le client n'a pas de raison de s'inquiéter. Pour moi, ça fait parti du travail d'un développeur et l'utilisateur lambda, même s'il est au courant de ce genre de problème, ne doit pas modifier ses habitudes à partir du moment où celles-ci ne sont pas mauvaise. Après tout, si les entreprises fournissent des applications, c'est pour les utiliser non ?

[Sennad]

Surtout une application bancaire.
Je pense qu'on pourrait même attaquer sa banque et gagner des millions !! MDR

[Logicielz]

pourriez vous s'il vous plait me fournir avec un lien pour la feuille de calcul citée dans l'article, contenant les applications ne validant pas correctement les certificats SSL ?

[_Von_]

Pour moi, ça fait parti du travail d'un développeur et l'utilisateur lambda, même s'il est au courant de ce genre de problème, ne doit pas modifier ses habitudes à partir du moment où celles-ci ne sont pas mauvaise. Après tout, si les entreprises fournissent des applications, c'est pour les utiliser non ?

Je suis entièrement d'accord avec et toi et ce devrait l’être dans le meilleur des mondes !

La réalité est tout autre, on est dans un monde (le mien en tout cas ) où on demande aux gens de faire des choses toujours plus vite sans vouloir mettre les moyens de ses ambitions. Hors la sécurité n'est pas quelque chose à prendre à la légère, ni même quelque chose qui
s'improvise. La sécurité d'une application ne peut pas être porté que par les développeurs, il est nécessaire de mettre tout un process (SDL de Microsoft, 7 touchpoints de McGraw) en place qui demande des moyens, de la réflexion et du temps bref tout l'opposé du modèle actuel.

J'ai lu un article, il y a 2 ou 3 ans, qui démontrait qu'une faille de sécurité coutait 3 à 4 fois plus cher en terme de correction, d'image et d'impact financier que la mise en place d'un processus de sécurisation des applications.

Certes l'article concerne Android et ses applications, mais ils pourraient être intéressant de voir si l'épisode iCloud d'Apple va avoir une conséquence sur la vente des derniers nés d'Apple.

[frangou]

voici la liste sur ce lien :
https://docs.google.com/spreadsheets...gid=1053404143

je l'ai trouvé sur un article de ZdNet US : http://www.zdnet.com/hundreds-of-and...il-7000033365/

Perso, je ne connais que RunKeeper et Runstatic en tant que sportif.

@+

[Matthieu Vergne]

Moi j'ai Alarme Extreme et un autre, mais comme j'utilise LBE Privacy Guard pour enlever les droits aux apps qui ne me semblent pas en avoir besoin (en l'occurence celles-ci), a priori je suis censé être tranquille.