Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Website Security Solutions

Cryptage Défectueux : Attention Aux Failles Dans Les Applis Android

Created: 15 Jan 2013 • Updated: 16 Jan 2013 • Translations available: English, Deutsch, Español
Brian Wall's picture
0 0 Votes
Login to vote

D’après une équipe de chercheurs universitaires, 41 applications Android téléchargées par 185 millions d’utilisateurs seraient en proie à un cryptage défectueux et à une protection SSL insuffisante, sources d’éventuelles fuites de données entre les terminaux et les serveurs Web.

Or, en cas d’exploitation avérée de ces vulnérabilités, c’est une multitude d’informations de tous ordres (banque en ligne, identifiants d’accès aux réseaux sociaux, e-mails, messagerie instantanée et autres) qui pourraient tomber entre les mains des pirates. De même, dans l’une des applications incriminées – en l’occurrence un anti-virus –, les déficiences de la protection SSL exposent les données présentes sur les terminaux Android équipés de la plate-forme Ice Cream Sandwich (Android 4.0).

Curieusement, les chercheurs se sont bien gardés de citer nommément les applis en cause, précisant néanmoins que ces programmes avaient été téléchargés entre 39,5 et 185 millions de fois, d’après les statistiques Google.

Pour apporter la preuve de ces vulnérabilités, les chercheurs ont connecté des terminaux Android à un LAN, puis les ont soumis à des exploits « bien connus » (sic) pour contourner leurs lignes de défense SSL (Secure Sockets Layer) et TLS (Transport Layer Security).

« Nous avons pu récupérer des informations de comptes bancaires, des habilitations de paiement, » se sont étonnés les chercheurs des universités Leibniz de Hanovre et Philipps de Marbourg (Allemagne), avant d’ajouter : « Nous sommes parvenus à extraire des identifiants et des messages, nous avons accédé aux appareils photo et corrompu les canaux de contrôle des applications et serveurs distants. »

Bien qu’il existe peu d’éléments pointant vers un éventuel codage des applis vulnérables par l’entreprise Google elle-même, les chercheurs n’en ont pas moins précisé que les ingénieurs de Mountain View pourraient prendre certaines mesures en faveur d’un renforcement de la sécurité des applications hébergées sur Google Play.

Nous savons que Google a de solides références en matière de sécurité. En ce sens, ils appliquent déjà une protection SSL intégrale sur la plupart de leurs sites. Toutefois, comme le reconnaît Google : « Parmi les questions que nous recevons au sujet de Google en général et de Google Apps en particulier, les deux plus fréquentes concernent la sécurité et la confidentialité. Nous attachons une grande importance à ces sujets et sommes convaincus que nos offres sont fiables sur ces deux plans. Toute notre activité repose sur la confiance que nos utilisateurs nous accordent, qu'il s'agisse de la sécurité de leurs données, ou de la confidentialité des informations qu'ils placent sur nos systèmes. Ces données ne sont pas communiquées à des tiers et sont utilisées de manière appropriée. » Pour faire rimer mobilité et sécurité, retrouvez tous les bons conseils dans un document Symantec Website Security Solutions consacré à ce thème.