De nouvelles failles de sécurité dans les applications Android ont été découvertes cette semaine par des chercheurs allemands. Quelles sont-elles ? Comment ne pas en être victime ? Et pourquoi Android ne parvient pas à se débarrasser de ce problème récurrent ?

Des chercheurs allemands (universités de Hanovre et Marbourg) ont récemment étudié la fiabilité des protocoles SSL et TLS dans les applications Android (Ice Cream Sandwich) : il s’agit de protocoles de chiffrement, censés crypter les données personnelles transmises entre le terminal (smartphone, tablette) et les serveurs des applications, pour assurer la confidentialité des données. Seulement voilà, sur 13 500 applications testées, 1 024 d’entre elles souffrent d’une mauvaise implémentation de ces protocoles : elles sont vulnérables aux attaques de type MITM (Man In The Middle), ou en bon français HDM (Homme Du Milieu).

Les chercheurs ont simulé de telles attaques, et ont pu récupérer de nombreuses données personnelles et bancaires : noms, adresses mail, messages instantanés, données de comptes de réseaux sociaux, numéros de comptes bancaires, de carte bleue ou de comptes Paypal.

Ils n’ont pas révélé le nom des applications incriminées, mais déclarent que celles-ci font partie des applications les plus populaires sur Google Play (le market Android) : elles auraient été téléchargées entre 39,5 et 185 millions de fois.

Comment ne pas être victime de cette nouvelle faille Android ?

Pour réaliser une attaque de type MITM, les chercheurs sont parvenus à intercepter les données personnelles et bancaires, pendant leur transmission, entre le terminal (smartphone, tablette) et le serveur de l’application. Pour ce faire, les chercheurs ont du se connecter au même réseau local (ex : box Internet, hotspot Wi-Fi, etc.) que le smartphone : ainsi, ils peuvent écouter en permanence les données qui y transitent. En temps normal, les protocoles SSL et TLS chiffrent les données transmises, et les rendent illisibles pour toute personne essayant de les intercepter. Mais la défaillance de l’implémentation de ces protocoles dans certaines applications Android rend inefficace ce chiffrement, d’où la réussite des chercheurs à intercepter les données.

Vous l’aurez compris, plus il y a de personnes connectées au même réseau local que votre smartphone (ou tablette), plus il y a de chances que vos transmissions d’information sur le web soient écoutées, et interceptées : communications applicatives, identifiants de messagerie, e-mails, documents, etc. Pour éviter tout problème, choisissez plutôt de vous connecter via votre forfait Data (3G/4G), ou éventuellement sur votre réseau Wi-Fi privé, si vous êtes certain qu’il est correctement protégé, et si vous avez confiance dans les éventuelles autres personnes connectées.

Pourquoi y a-t-il autant de problèmes de sécurité sous Android ?

Le système Android en lui-même ne souffre pas particulièrement de problèmes de sécurité. En revanche, les applications disponibles sur Google Play peuvent être des leurres destinés à subtiliser les données personnelles des utilisateurs (sous couvert d’un jeu ou d’une application pratique), ou plus simplement des programmes développés trop rapidement, sans approfondissement des problématiques de sécurité.

Dans ce cas précis, le projet d’arme anti-malware sur Google Play ne servirait à rien : les applications pointées du doigt sont mal conçues, mais elle ne contiennent aucun virus. La solution serait davantage de tester et valider chaque application avant de la rendre disponible sur le Market Android, comme le fait Apple avec son App Store. Mais cela irait à l’encontre des principes d’origine d’Android : la plus grande ouverture possible aux mobinautes et aux développeurs. En attendant, des nouvelles « failles Android » sont révélées tous les mois, ou presque…

Source : businessmobile.fr

Image : Flickr / So gesehen / CC BY-NC-SA 2.0

Ce contenu vous a intéressé ? Partagez-le !

• Tweet