Android : plus de 50% d'applications populaires ont hérité des failles de sécurité
Suite à une réutilisation imprudente des bibliothèques

Le , par Stéphane le calme, Chroniqueur Actualités
Selon les ingénieurs de Codeminon, ceux-là même qui ont découvert en avril dernier une vulnérabilité dans la librairie de chiffrement OpenSSL et l’ont baptisée « Heartbleed », plus de 50 % des applications Android les plus populaires ont hérité des failles de sécurité suite à une réutilisation « imprudente » de bibliothèques logicielles.

Les résultats préliminaires d’une étude qu’ils ont menée révèlent qu’au moins la moitié des 50 applications Android populaires concernées transmettent des données personnelles à des réseaux publicitaires tiers sans autorisation de l’utilisateur, et ce en texte clair dans plus de 30 % des cas. Certaines d’entre elles ne chiffrent même pas la transmission de leurs données. Par ailleurs, une application sur dix enverrait l’identifiant du terminal mobile (code IMEI) ou des données de géolocalisation à une tierce partie, voire le numéro de téléphone mobile de l’utilisateur. De plus, une application sur dix serait connectée à plus de deux réseaux de publicité.

Les chercheurs ont conclu que la plupart des développeurs de ces applications ne sont pas au courant des vulnérabilités qu'ils expédient dans le code.

Olli Jarva, responsable sécurité chez Codeminon, estime que 80 % à 90 % des applications mobiles, dans leur ensemble, intègrent des bibliothèques logicielles réutilisées, disponibles pour la plupart en open source. Il a ajouté qu’il était normal que les développeurs ne veuillent pas « s’investir à réinventer la roue » chaque fois qu’ils sortiront une application. Cependant, il prévient que même si en « théorie », grâce au nombre de développeurs qui contribuent, la communauté open source devrait proposer du code de meilleure qualité. Les nombreux bugs dans OpenSSL ont démontré que ce n’est pas le cas.

« Nous voyons des produits finis hériter de ces vulnérabilités. Il s’agit parfois d’une conception logicielle pauvre ou d’erreurs de logique dans l’implémentation et parfois ces bugs sont identifiés et corrigés. Parfois, comme dans le cas de HeartBleed, ils ne sont pas identifiés avant deux ans », a-t-il rappelé.

Jarva a suggéré que certains agissent délibérément et a regretté ce fait : « il y a des personnes qui auraient laissé exprès des vulnérabilités afin de pouvoir faire quelque chose de mauvais une fois que le code a été distribué ». Et il s’est demandé « avec qui travaillent-ils ? Ont-ils des emplois parallèles ? Les développeurs pourraient obtenir leurs dollars des réseaux publicitaires. »

Quoiqu’il en soit, « les problèmes sont invisibles des utilisateurs », a expliqué Jarva. « De nombreuses choses se passent en arrière-plan et c’est seulement après qu’ils réalisent qu’elles ont été faites ».

Il rappelle qu’il y a des outils qui permettent à un administrateur de scanner des fichiers binaires dans un fichier d’installation et de « révéler les véritables caractéristiques de l’application » en moins d’une minute. L’open source ne fournit pas de « repas gratuit », s’est-il exclamé. « Nous devons prendre le soin de tester suffisamment les bibliothèques que nous utilisons afin de nous assurer qu’elles sont suffisamment sécurisées pour être utilisées ».

Source : IT news

Et vous ?

Qu'en pensez-vous ? Utilisez-vous des librairies open source ? Effectuez-vous des tests de sécurité avant ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Shuty Shuty - Membre éprouvé http://www.developpez.com
le 29/07/2014 à 11:27
Citation Envoyé par Stéphane le calme  Voir le message
Qu'en pensez-vous ? Utilisez-vous des librairies open source ? Effectuez-vous des tests de sécurité avant ?

Quel développeur n'a jamais utilisé de libs open source ...? Noboby I think !

Pour ma part, les test de sécu dépendent de pas mal de choses en autre de si c'est moi un ou un presta qui l'a dev. Quoi qu'il en soit, je mets toujours un point d'honneur prendre le temps de sécuriser au maximum mon infra / appli.

Les test de sécu, doivent en plus d'être fait avant la mise en prod être compris dans les test unitaires.
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 29/07/2014 à 14:12
Citation Envoyé par Shuty  Voir le message
Quel développeur n'a jamais utilisé de libs open source ...? Noboby I think !

Le coté open source n'a rien a voir la dedans : les bibliothèques propriétaires et open-source peuvent tout aussi bien contenir des failles de sécurité et c'est un risque a prendre en compte quoi qu'il arrive. Une bibliothèque open-source peut être plus facilement auditée, mais si personne ne le fait sérieusement, le risque est le même.
Offres d'emploi IT
Développeur python h/f
1000MERCIS - Ile de France - Paris (75000)
Développeur ios H/F
Oodrive - Bretagne - Vannes (56000)
Analyste confirmé soc cybersécurité (h/f)
Atos - Ile de France - Les Clayes-sous-Bois (78340)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil