Selon les ingénieurs de Codeminon, ceux-là même qui ont découvert en avril dernier une vulnérabilité dans la librairie de chiffrement OpenSSL et l’ont baptisée « Heartbleed », plus de 50 % des applications Android les plus populaires ont hérité des failles de sécurité suite à une réutilisation « imprudente » de bibliothèques logicielles.Les résultats préliminaires d’une étude qu’ils ont menée révèlent qu’au moins la moitié des 50 applications Android populaires concernées transmettent des données personnelles à des réseaux publicitaires tiers sans autorisation de l’utilisateur, et ce en texte clair dans plus de 30 % des cas. Certaines d’entre elles ne chiffrent même pas la transmission de leurs données. Par ailleurs, une application sur dix enverrait l’identifiant du terminal mobile (code IMEI) ou des données de géolocalisation à une tierce partie, voire le numéro de téléphone mobile de l’utilisateur. De plus, une application sur dix serait connectée à plus de deux réseaux de publicité.
Les chercheurs ont conclu que la plupart des développeurs de ces applications ne sont pas au courant des vulnérabilités qu'ils expédient dans le code.
Olli Jarva, responsable sécurité chez Codeminon, estime que 80 % à 90 % des applications mobiles, dans leur ensemble, intègrent des bibliothèques logicielles réutilisées, disponibles pour la plupart en open source. Il a ajouté qu’il était normal que les développeurs ne veuillent pas « s’investir à réinventer la roue » chaque fois qu’ils sortiront une application. Cependant, il prévient que même si en « théorie », grâce au nombre de développeurs qui contribuent, la communauté open source devrait proposer du code de meilleure qualité. Les nombreux bugs dans OpenSSL ont démontré que ce n’est pas le cas.
« Nous voyons des produits finis hériter de ces vulnérabilités. Il s’agit parfois d’une conception logicielle pauvre ou d’erreurs de logique dans l’implémentation et parfois ces bugs sont identifiés et corrigés. Parfois, comme dans le cas de HeartBleed, ils ne sont pas identifiés avant deux ans », a-t-il rappelé.
Jarva a suggéré que certains agissent délibérément et a regretté ce fait : « il y a des personnes qui auraient laissé exprès des vulnérabilités afin de pouvoir faire quelque chose de mauvais une fois que le code a été distribué ». Et il s’est demandé « avec qui travaillent-ils ? Ont-ils des emplois parallèles ? Les développeurs pourraient obtenir leurs dollars des réseaux publicitaires. »
Quoiqu’il en soit, « les problèmes sont invisibles des utilisateurs », a expliqué Jarva. « De nombreuses choses se passent en arrière-plan et c’est seulement après qu’ils réalisent qu’elles ont été faites ».
Il rappelle qu’il y a des outils qui permettent à un administrateur de scanner des fichiers binaires dans un fichier d’installation et de « révéler les véritables caractéristiques de l’application » en moins d’une minute. L’open source ne fournit pas de « repas gratuit », s’est-il exclamé. « Nous devons prendre le soin de tester suffisamment les bibliothèques que nous utilisons afin de nous assurer qu’elles sont suffisamment sécurisées pour être utilisées ».
Source : IT news
Et vous ?
Qu'en pensez-vous ? Utilisez-vous des librairies open source ? Effectuez-vous des tests de sécurité avant ? 
Envoyé par Shuty
