Developpez.com

Plus de 14 000 cours et tutoriels en informatique professionnelle à consulter, à télécharger ou à visionner en vidéo.

L'application Gmail potentiellement exposée aux attaques de type MiTM sur iOS
Selon des chercheurs

Le , par Stéphane le calme, Chroniqueur Actualités
Selon Lacoon Mobile Security, les utilisateurs d’iPhone qui ont installé Gmail sur leurs smartphones sont potentiellement exposés à l’interception de leurs données. Pourquoi ? Avi Basan, directeur technique de l’entreprise, avance que Google n’a pas encore mis sur pied une technologie de sécurité qui empêcherait aux hackers la lecture voire la modification des communications chiffrées échangées.

Dans un billet blog, il a donné un cours magistral pour expliquer sommairement au public en quoi consiste la sécurité mobile. « En général, les communications sécurisées reposent sur le chiffrement, à l’instar du SSL, entre l’application et le serveur pour éviter aux yeux indiscrets de regarder le contenu pendant la transmission » a-t-il commencé. Cependant, il précise que le problème avec l’utilisation unique d’un protocole SSL est qu’un hacker peut usurper l’identité d’un serveur back-end en créant un faux certificat SSL. Ainsi, il pourra alors déchiffrer le trafic pour voir ou même modifier toutes les communications en texte clair (mots de passe, courriels et même discussions instantanées inclus).

Par la suite, il a exposé un scénario d’attaque dans lequel un utilisateur est incité à installer un fichier de configuration de gestion de périphériques iOS qui contient un certificat numérique root malveillant. Par la suite le trafic de la victime serait redirigé vers un serveur sous le contrôle du hacker. Des certificats frauduleux seront alors créés et ils seront identifiés comme valides par le dispositif de la victime.


Toutefois, l’ombre de cette menace peut être dissipée grâce à l'utilisation d'un certificat de type « pinning », qui consiste à coder en dur les détails du certificat numérique légitime dans une application. Pourtant, contrairement à Android, Google n’a pas mis en œuvre un certificat de ce type sur son application pour iOS ; en clair, un hacker pourrait exécuter une attaque de type man-in-the-middle et lire des communications chiffrées. Le 24 février dernier, Lacoon en informait Google qui a reconnu le problème mais n’a toujours pas réglé la vulnérabilité.

« Nous avons été très surpris par cette faille parce que Google a mis en œuvre un certificat de type ‘pinning’ pour son application Gmail sur Android », indique Basan. « De toute évidence, l'absence de mise en œuvre de cette solution pour iOS résulte d'un oubli de la part de Google » a-t-il poursuivi.

Il a terminé son exposé en donnant quelques conseils sur la façon dont ces types de vulnérabilités pourraient être atténués, précisant que Gmail n’est pas la seule application à faire face à ce genre de menaces ; par exemple des chercheurs ont découvert que l’application de messagerie Whatssap n’a jamais fait usage de certificat de type « pinning ». Il a d’abord rappelé que tout d’abord, la tâche incombe aux développeurs de développer ce type de certificat. Toutefois, les entreprises qui font usage d’applications n’utilisant pas ce type de certificat devraient :

  • consulter les profils de configuration des périphériques afin de s'assurer qu'ils n’incluent pas les certificats racines ;
  • s'assurer que les employés utilisent un VPN ou tout autre canal sécurisé lors de la connexion aux ressources de l'entreprise ;
  • effectuer aussi bien sur l'appareil que sur le réseau une analyse pour détecter les tentatives MitM.


Source : Lacoon

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de miky55 miky55 - Membre averti http://www.developpez.com
le 14/07/2014 à 23:38
Citation Envoyé par Stéphane le calme  Voir le message
Qu'en pensez-vous ?

Que certains chercheurs en sécurité devraient prendre des vacances: s'il faut avoir un accès physique à un terminal ou convaincre une victime grâce au social engineering c'est que la faille ne se situe pas au niveau du logiciel mais bien au niveau de l'utilisateur...
Avatar de LiohAu LiohAu - Membre à l'essai http://www.developpez.com
le 15/07/2014 à 9:53
Je crois que tu n'a pas bien compris le fonctionnement de la faille, il n'y a pas besoin de social engineering ou autre. C'est juste un man in the middle classique, où vu que l'appli ne vérifie par le certificat SSL du serveur, elle ne se rend pas compte qu'elle ne communique pas avec la bonne machine.

Mais à mon avis le soucis avec le certificate pinning c'est que vu qu'on met les infos en dur dans l'application, si il y a un changement de certificat coté serveur, il faut modifier l'app et la republier sur l'AppStore, et être dépendant de la durée de validation des applis chez Apple.
Avatar de nchal nchal - Membre expérimenté http://www.developpez.com
le 15/07/2014 à 14:00
Citation Envoyé par LiohAu  Voir le message
Je crois que tu n'a pas bien compris le fonctionnement de la faille, il n'y a pas besoin de social engineering ou autre. C'est juste un man in the middle classique, où vu que l'appli ne vérifie par le certificat SSL du serveur, elle ne se rend pas compte qu'elle ne communique pas avec la bonne machine.

Mais à mon avis le soucis avec le certificate pinning c'est que vu qu'on met les infos en dur dans l'application, si il y a un changement de certificat coté serveur, il faut modifier l'app et la republier sur l'AppStore, et être dépendant de la durée de validation des applis chez Apple.

Je ne m'y connais pas en "pinning" mais si tu dis vrai, ça doit être la raison pour laquelle il n'y a pas ce problème pour GMail sous Android, comme c'est leur store il peuvent republier l'appli à leur convenance alors qu'il n'ont pas la main sur le store d'Apple.
Avatar de miky55 miky55 - Membre averti http://www.developpez.com
le 15/07/2014 à 19:16
Citation Envoyé par LiohAu  Voir le message
Je crois que tu n'a pas bien compris le fonctionnement de la faille, il n'y a pas besoin de social engineering ou autre. C'est juste un man in the middle classique, où vu que l'appli ne vérifie par le certificat SSL du serveur, elle ne se rend pas compte qu'elle ne communique pas avec la bonne machine.

Mais à mon avis le soucis avec le certificate pinning c'est que vu qu'on met les infos en dur dans l'application, si il y a un changement de certificat coté serveur, il faut modifier l'app et la republier sur l'AppStore, et être dépendant de la durée de validation des applis chez Apple.

Je pense que c'est toi qui n'a pas bien compris la faille: leur infographie propose un scénario d'exploit pour la faille et l’étape 1 commence par du social engineering.

PS: Il ne faut pas oublié que la société vend des solutions de sécurité pour mobile, et que créer le buzz en trouvant une "faille" sur une appli d'un mastodonte en général c'est plutôt bon pour les ventes...
Offres d'emploi IT
Lead developpeur php back end h/f
Adequat Tertiaire - Auvergne - Clermont-Ferrand (63000)
Développeur frontend H/F
Alaloop - Ile de France - Bidart (64210)
Développeur .net h/f
CRESCENDO BROTTEAUX - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil