Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Les applications mobiles peu protégées face à la faille Heartbleed

Face à la gravité de la faille Heartbleed rendue publique le 7 avril, nombre de gestionnaires de serveurs et de sites Internet se sont précipités pour prendre des mesures de sécurité. Les applications mobiles sont concernées par la faille Heartbleed car elles se connectent immanquablement à des serveurs et services en ligne pour exécuter leurs différentes tâches, nous explique Loïc Guezo, de Trend Micro.
Twitter Facebook Linkedin Flipboard Email
×

Les applications mobiles peu protégées face à la faille Heartbleed
Les applications mobiles peu protégées face à la faille Heartbleed © DR

D’après une enquête disponible sur Github, plus de 600 des 10 000 sites les plus populaires (selon le classement Alexa) étaient vulnérables. Au moment de l’analyse, Yahoo!, Flickr, Rolling Stone et Ars Technica comptaient ainsi parmi les sites affectés. Comme le souligne un précédent post sur notre blog américain, de nombreux domaines peuvent être affectés par cette vulnérabilité.

Face à la prévalence de cette vulnérabilité, on est en droit de se demander si les terminaux mobiles sont, eux-aussi, affectés. La réponse est "oui", indubitablement.

Dès que les applications se connectent à un serveur en ligne, elles sont vulnérables

Les applications mobiles sont concernées par la faille Heartbleed, car elles se connectent immanquablement à des serveurs et services en ligne pour exécuter leurs différentes tâches. Supposons en effet que vous vous apprêtiez à régler un achat à partir d’une application mobile. Vous allez renseigner les données de votre carte bancaire pour que l’appli puisse procéder à la transaction souhaitée. Ces données bancaires sont stockées sur le serveur auquel s’est connectée l’application pour réaliser sa transaction, et ce, pendant une période indéterminée.

Les cybercriminels pourront alors tirer avantage de la faille Heartbleed pour pirater le serveur en question et détourner des informations de valeur, comme les informations de votre carte de crédit par exemple. Le processus est simple, mais terriblement efficace et parfaitement invisible.

Quid des applis qui n’offrent pas de fonctions d’achat ? Sont-elles à l’abri ? Pas vraiment, à vrai dire. Dès que ces applications se connectent à un serveur en ligne, elles sont vulnérables.

A titre d’exemple, une application peut solliciter, contre récompense, un "like" de votre part sur un réseau social, ou vous inciter à devenir un "follower" sur un autre réseau. Si vous accédez à cette demande, votre appli va sans doute accéder d’elle-même à un site Internet via son navigateur intégré, et vous demander de vous authentifier sur le réseau social souhaité à partir de ce navigateur. Il existe donc un risque, dans la mesure où les réseaux sociaux utilisés sont vulnérables au bug Heartbleed...

Afin d’éclairer ce sujet, notre équipe de chercheurs a inspecté certains services Internet utilisés par les applis mobiles populaires pour constater que la vulnérabilité existe bel et bien.

les applis bancaires ou de paiement en ligne sont des mines d’or pour les cybercriminels

Nous avons ainsi analysé près de 390 000 applications présentes sur Google Play et identifié 7 000 applications se connectant à des serveurs vulnérables. 15 de ces applis sont liées à des banques, 39 à du paiement en ligne et 10 à des achats en ligne. Nous avons également identifié plusieurs applis populaires, susceptibles d’être utilisées au quotidien : messagerie instantanée, application de santé, logiciel de saisie au clavier et même, ce qui est peu rassurant, des applications de paiement mobile.

Ces applis gèrent et transmettent des informations financières et personnelles et sont, à ce titre, des mines d’or pour les cybercriminels.

Que peut-on faire face au bug Heartbleed ? Pas grand-chose à vrai dire. Nous ne pouvons aujourd’hui que vous conseiller de modifier votre mot de passe une fois que les concepteurs des applis mobiles et les fournisseurs de services en ligne auront régler cette problématique de leur côté. Ce qui implique de patcher leur infrastructure, de migrer vers une version d’Open SSL non vulnérable, ou de désactiver l’extension Heartbleed qui pose problème.

Dans l’intervalle, évitez les achats et transactions réalisés au sein d’applications mobiles (et notamment les transactions bancaires), tant que le concepteur (ou fournisseur) de votre appli favorite n’a pas officiellement pallier cette vulnérabilité.

Loïc Guezo, Information Security Evangelist - Director, Southern Europe, Trend Micro

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale