Ouvrir le menu principal

iGeneration

Recherche

Des dizaines d'apps mal sécurisées à cause d'erreurs de programmation

Florian Innocente

mardi 07 février 2017 à 16:43 • 8

App Store

76 applications iOS, pour certaines connues, souffrent de problèmes de sécurité résultant d'erreurs de développement. Ce n'est pas un décompte exhaustif — cette somme d'apps a été testée — et le nombre et la diversité de ces logiciels interpelle.

Les développeurs de ces apps ont commis des erreurs dans la mise en place d'une communication sécurisée avec le protocole TLS. Assez pour laisser potentiellement le champ libre à des individus qui voudraient intercepter les données échangées entre l'iPhone et les serveurs de l'éditeur de l'app.

Will Strafach, le patron de Sudo Security et auteur de Verify.ly un outil d'analyse de code a détecté une palanquée de ces défauts de sécurité alors que sa société testait la version web de son outil. Il a fait en sorte alors de créer un certificat TLS qui trompe ces apps, leur laissant croire qu'elles communiquaient avec un serveur légitime.

Apple promeut auprès des développeurs le recours à ATS (App Transport Security) qui utilise TLS dans sa version 1.2, avec un niveau de chiffrement plus élevé. L'été dernier, la Pomme avait ordonné aux développeurs d'utiliser ATS d'ici la fin de l'année, puis ce délai a été repoussé à plus tard. Pour autant, explique Strafach, si ATS vérifie que les apps l'utilisent bien, en aucun cas il n'aurait pu détecter la nature frauduleuse de son certificat. C'est aux développeurs de faire attention à leur code.

Dans un billet, Will Strafach liste nommément une trentaine d'apps, celles pour lesquelles les conséquences sont les moins graves pour leurs utilisateurs.

Pour les autres, où les failles sont plus sérieuses et les donnés plus sensibles, il a suivi les pratiques en vigueur en matière de découverte de failles et d'abord contacté les sociétés concernées. Elles sont issues par exemple des milieux bancaire et médical.

Dans le premier lot rendu public, plusieurs de ces apps sont disponibles en France. Comme celle du site d'informations Vice mais aussi YeeCall Messenger, VPN Free-OvpnSpider for vpngate, Music Tube Free, Foscam IP Camera Viewer, ooVoo (chat vidéo), VivaVideo, etc. Les données susceptibles d'être interceptées peuvent être des identifiants de compte utilisateur, des informations techniques (sans trop d'importance) sur votre iPhone, l'email de l'utilisateur, son numéro de téléphone, sa géolocalisation…

Pour l'utilisateur il n'y a pas grand chose à faire à par les éviter et espérer que leurs développeurs se saisissent du problème. Dans ce genre de situation ce sont les connexions Wi-Fi ouvertes qui sont les plus à craindre, bien plus que les connexions cellulaires où il est plus difficile et coûteux de tenter une interception.

Pour les éditeurs, Will Strafach propose évidemment ses services et son logiciel d'analyse. Et de conseiller aussi aux développeurs la plus grande prudence lorsqu'ils utilisent des framework et portions de code trouvées sur les forums spécialisés.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

DMA : Apple accusée d’empêcher le développement de navigateurs sans WebKit

22:00

• 3


Orange offre la 5G à tous ses clients pour l’été

21:30

• 8


L’iPhone 17 Air aurait droit à la couleur Sky Blue en exclusivité

21:00

• 20


Une troisième bêta développeurs pour iOS 18.6

20:00

• 8


Un coloris orange cuivré pour l’iPhone 17 Pro ?

16:35

• 23


ChromeOS va bientôt fusionner avec Android

14:50

• 15


iPhone 17 : la production d’essai démarre en Inde, une étape clé

12:06

• 4


Faute de nouveau Siri, le premier écran connecté d’Apple n’arriverait finalement qu’en 2026

09:41

• 25


Une station de chargement et de rangement en bois pour tous vos terminaux !

09:06

• 0


Entre dérives, intégration dans les Tesla et nouvelle version, la semaine agitée de Grok et xAI

13/07/2025 à 14:03

• 41


Comment l’iPhone a changé le journalisme de terrain chez M6

13/07/2025 à 10:00

• 42


Sortie de veille : après le départ du n°2 d’Apple, Tim Cook est-il le prochain sur la liste ?

12/07/2025 à 10:44

• 57


Apple serait en pole position pour diffuser la F1 aux États-Unis avec une offre à 150 millions de dollars 🆕

12/07/2025 à 07:56

• 40


Prime Day : les derniers bons plans pour équiper sa maison en domotique

11/07/2025 à 20:50

• 14


La Chine s'attaque aux batteries externes de mauvaise qualité, ce qui cause des remous chez les fabricants

11/07/2025 à 20:15

• 45


Les produits Wemo de Belkin sont poussés à la retraite sauf s'ils utilisent HomeKit

11/07/2025 à 19:30

• 11