Android : des failles dans plusieurs applications pourraient être exploitées pour intercepter des données

Selon un chercheur en sécurité

Les terminaux mobiles font partie de nos jours du quotidien des consommateurs. De nombreuses opérations se font désormais au travers d’applications mobiles, au détriment des sites Web. Cependant, les applications mobiles n’offriraient pas une bonne sécurisation des transmissions des données, par rapport aux sites Web.

Selon l’expert en sécurité Will Dormann du CERT (Computer Emergency Response Team) de l’université Carnegie Mellon, les développeurs d’applications mobiles publient sur les galeries des applications qui ne valident pas correctement les certificats SSL pour les connexions HTTPS.

En utilisant l’outil CERT Tapioca, développé par le CERT, il a identifié plusieurs applications sur le Play Store et sur la galerie d’applications d’Amazon qui ne valident pas les certificats numériques, exposant les utilisateurs à des attaques MITM (man in the middle – attaque de l’homme du milieu).

Il a publié dans une feuille de calcul une liste d’applications vulnérables. Le test des applications est en cours et la liste sera constamment mise à jour. La liste a été transmise à Google et Amazon, et les développeurs de ces applications ont été informés.

Cependant, Will Dormann a choisi de publier la liste sans attendre le délai de 45 jours qui doit en principe être accordé aux développeurs dont les applications ont été identifiées comme vulnérables. Will Dormann justifie ce choix par le fait que les attaques de types MITM sont devenues fréquentes et qu’en informant les utilisateurs, ils utiliseront ces applications avec prudence et certains les désinstalleront même.

De plus, Will Dormann explique que, dans le cadre d’autres recherches sur les vulnérabilités SSL dans les applications Android, les développeurs de ces applications ont été informés des problèmes et qu'ils n’ont pas pris de mesures pour les corriger.

Will Dormann conseille aux utilisateurs d’avoir recours aux sites Web plutôt qu’aux applications pour certains services. « Par exemple, si une banque peut fournir une application Android pour accéder à ses ressources, ces ressources sont généralement disponibles en utilisant un navigateur Web. Grâce au navigateur, vous pouvez éviter les situations dans lesquelles SSL peut ne pas être valide », explique Will Dormann, qui invite les utilisateurs à être prudents sur les réseaux non sécurisés, y compris les WiFi publics. « L’utilisation de votre appareil sur un réseau non sécurisé augmente les chances d’être victime d’une attaque MITM », ajoute-t-il.

Il faut noter que les vulnérabilités SSL dans les applications mobiles ont déjà attiré l’attention de la FTC (Federal Trade Commission). Elle a récemment pointé du doigt deux entreprises américaines qui avaient affirmé aux consommateurs utilisant Android et iOS que leurs données étaient transmises en toute sécurité via leurs applications, alors qu’elles avaient prétendument désactivé la vérification du certificat SSL.

Source : CERT

Et vous ?

Qu’en pensez-vous ?