Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des centaines d'applications sur les plateformes iOS et Android sont encore vulnérables à la faille FREAK
D'après les résultats d'une recherche

Le , par Stéphane le calme

60PARTAGES

1  0 
En début mars, des experts en sécurité informatique ont décrit la faille qu’ils ont baptisé FREAK (Factoring RSA EXPORT Attack Keys) qui permet des attaques de type man-in-the-middle même sur des connexions sécurisées. Pour réussir une attaque, le pirate doit intercepter la négociation de connexion sécurisée entre un serveur et un navigateur, ensuite tromper le serveur en faisant croire à celui-ci que le navigateur a demandé un chiffrement faible. Le serveur répond alors avec une clé RSA de 512 bits, qui est validée par le navigateur. Les données ainsi transmises peuvent être facilement déchiffrées par les pirates avec les outils existants. L’exploit prend environ 7 heures pour être exécuté et requiert juste un investissement de 100 dollars.

FREAK est à la fois une vulnérabilité plateforme mais également application puisque des applications iOS et Android peuvent embarquer des versions vulnérables de la bibliothèque OpenSSL elles-mêmes. Aussi, même après une mise à jour des correctifs de sécurité pour les plateformes Android et iOS, de telles applications restent vulnérables à FREAK lorsqu’elles se connectent à des serveurs qui acceptent des suites de chiffrement RSA_EXPORT.

L’expert en sécurité FireEye a fait savoir que plusieurs centaines d’applications sur les plateformes iOS et Android seraient encore vulnérables à une attaque exploitant cette faille car elles n’ont pas encore été munies d’un correctif de sécurité.

Pour les besoins de son étude, il a analysé un échantillon de 10 985 applications populaires sur Android avec à leur actif plus d’un million de téléchargements chacune. Il a découvert que 1 228 applications, soit 11,2% de l’échantillon Android, étaient vulnérables à FREAK puisqu’elles font usage d’une version vulnérable de la bibliothèque OpenSSL. Pour être un tantinet plus précis, les chercheurs ont découvert que sur les 1 228 applications, 664 d’entre elles dépendaient de la bibliothèque OpenSSL fournie par Android tandis que le reste des 564 autres applications utilisaient leur propre version. Au total, ces 1 228 applications ont été téléchargées plus de 6,3 milliards de fois.

Du côté d’iOS un échantillon de 14 079 applications populaires a été analysé. Les choses se présentent un peu mieux puisque 771 d’entre elles (soit 5,5%) se sont avérées vulnérables à FREAK sur des versions iOS antérieures à iOS 8.2, rappelons que la mise à jour iOS 8.2 embarquait un correctif pour cette faille. Parmi ces 771 applications, sept d’entre elles n’utilisaient pas Apple Secure Transport pour le chiffrement du trafic et dépendaient d’une ancienne version d’OpenSSL, ce qui les rendait vulnérables même si la dernière mise à jour système était installée sur le dispositif de l’utilisateur.

Les catégories affectées vont des applications photos et vidéos aux applications dédiées à la médecine en passant par les domaines des réseaux sociaux, de la santé et fitness, des finances, des communications, du shopping et également des entreprises. Ces applications peuvent contenir des informations sensibles comme les accréditations des comptes, des données relatives aux comptes bancaires, à la productivité mais également à la santé de l’utilisateur.


Nombre d'applications vulnérables à Freak en fonction des catégories


Nombre d'applications Android téléchargées et vulnérables à Freak

L’expert a également décrit un scénario où un pirate pourrait se servir de la faille FREAK contre une application populaire de shopping pour subtiliser les accréditations d’un utilisateur ainsi que des informations sur sa carte de crédit.

Il conclut en rappelant que les applications mobiles sont devenues une cible de choix pour les pirates. « L’attaque FREAK représente une réelle menace pour la sécurité et la confidentialité des applications mobiles. Nous encourageons les développeurs d’applications ainsi que les administrateurs de sites web à résoudre ces problèmes aussi vite que possible ».

Source : blog FireEye

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 20/03/2015 à 10:05
la différence ne tient qu'au processus de validation qui est bien plus stricte avec apple
0  0