Des dizaines d'apps mal sécurisées à cause d'erreurs de programmation

Florian Innocente |

76 applications iOS, pour certaines connues, souffrent de problèmes de sécurité résultant d'erreurs de développement. Ce n'est pas un décompte exhaustif — cette somme d'apps a été testée — et le nombre et la diversité de ces logiciels interpelle.

Les développeurs de ces apps ont commis des erreurs dans la mise en place d'une communication sécurisée avec le protocole TLS. Assez pour laisser potentiellement le champ libre à des individus qui voudraient intercepter les données échangées entre l'iPhone et les serveurs de l'éditeur de l'app.

Will Strafach, le patron de Sudo Security et auteur de Verify.ly un outil d'analyse de code a détecté une palanquée de ces défauts de sécurité alors que sa société testait la version web de son outil. Il a fait en sorte alors de créer un certificat TLS qui trompe ces apps, leur laissant croire qu'elles communiquaient avec un serveur légitime.

Apple promeut auprès des développeurs le recours à ATS (App Transport Security) qui utilise TLS dans sa version 1.2, avec un niveau de chiffrement plus élevé. L'été dernier, la Pomme avait ordonné aux développeurs d'utiliser ATS d'ici la fin de l'année, puis ce délai a été repoussé à plus tard. Pour autant, explique Strafach, si ATS vérifie que les apps l'utilisent bien, en aucun cas il n'aurait pu détecter la nature frauduleuse de son certificat. C'est aux développeurs de faire attention à leur code.

Dans un billet, Will Strafach liste nommément une trentaine d'apps, celles pour lesquelles les conséquences sont les moins graves pour leurs utilisateurs.

Pour les autres, où les failles sont plus sérieuses et les donnés plus sensibles, il a suivi les pratiques en vigueur en matière de découverte de failles et d'abord contacté les sociétés concernées. Elles sont issues par exemple des milieux bancaire et médical.

Dans le premier lot rendu public, plusieurs de ces apps sont disponibles en France. Comme celle du site d'informations Vice mais aussi YeeCall Messenger, VPN Free-OvpnSpider for vpngate, Music Tube Free, Foscam IP Camera Viewer, ooVoo (chat vidéo), VivaVideo, etc. Les données susceptibles d'être interceptées peuvent être des identifiants de compte utilisateur, des informations techniques (sans trop d'importance) sur votre iPhone, l'email de l'utilisateur, son numéro de téléphone, sa géolocalisation…

Pour l'utilisateur il n'y a pas grand chose à faire à par les éviter et espérer que leurs développeurs se saisissent du problème. Dans ce genre de situation ce sont les connexions Wi-Fi ouvertes qui sont les plus à craindre, bien plus que les connexions cellulaires où il est plus difficile et coûteux de tenter une interception.

Pour les éditeurs, Will Strafach propose évidemment ses services et son logiciel d'analyse. Et de conseiller aussi aux développeurs la plus grande prudence lorsqu'ils utilisent des framework et portions de code trouvées sur les forums spécialisés.


avatar ovea | 

Il y a un manque énorme pour chaque applications en terme de blocage dans iOS de l'accès à énormément de données !

avatar christopher.saez | 

coquille sur TLS pas TSL :)

avatar C1rc3@0rc | 

Pourquoi ça ressemble plus a une backdoor qu'a un bug?
Ettonant de voir dans la liste du VPN et des camera IP...
NS? CI?
;)

avatar byte_order | 

Pour les caméra Foscam IP, vu les performances du hard, gérer du HTTPS en plus de la compression JPEG c'est pas tenable sur les modèles non HD. Du coup, l'API passe par de l'HTTP, pas de l'HTTPS. Les applications clientes, ici iOS, n'ont donc pas vraiment le choix que d'acceder "en clair" à l'API de contrôle de ce type de webcam IP.

Je doute que ce soit une vraie volonté de backdoor, à la vue des prix de ce type de webcams IP, c'est surtout qu'il fallait prendre pied dans ce marché de masse et la sécurité de l'API n'a pas été la première priorité, clairement.
Cette génération de webcam IP constitue une faille en effet, et je déconseille très fortement de l'exposer sur Internet directement, avec les ports par défaut. A minima, installer un routage via des ports alternatifs, mais si possible un reverse proxy en HTTPS devant avec des certificats clients perso de tous vos terminaux perso.

avatar ipaforalcus | 

Y'a du dev qui va se faire taper dessus.

avatar jmtweb | 

"Pour les autres, où les failles sont plus sérieuses et les donnés plus sensibles, il a suivi les pratiques en vigueur en matière de découverte de failles et d'abord contacté les sociétés concernées. Elles sont issues par exemple des milieux bancaire et médical."

Je suis impressionné par le soi disant IOS plus sécurisé qu'Android. Je me marre...

avatar marc_os | 

@ jmtweb
Moi ce qui me fait marrer, ce sont les commentaires à l'emporte pièce comme le tien !

avatar macfredx | 

@marc_os

Mouais...
À force, ça lasse, quand même... ??

CONNEXION UTILISATEUR