Des dizaines d'apps iOS vulnérables à une attaque man-in-the-middle
Début février, Will Strafach du Sudo Security Group prévenait que des dizaines d’applications pour iPhone étaient sujettes à des attaques de type « homme du milieu » (man-in-the-middle). Leur code présente des faiblesses qui permettent à un malandrin d’intercepter des données quand elles transitent entre le smartphone et le serveur de l’éditeur. Les apps acceptent un certificat qui autorise le forban à établir une connexion chiffrée, sans que l’app ne la valide convenablement. Le brigand peut alors subtiliser les identifiants et mots de passe des comptes des applications.
Pour y parvenir toutefois, le brigand doit se trouver sur le même réseau Wi-Fi que sa victime : il doit non seulement connaitre le mot de passe du réseau en question mais aussi être à proximité physique. Après avoir prévenu les éditeurs et attendu trois mois pour qu’ils prennent les dispositions nécessaires — un délai standard dans le milieu de la sécurité —, Strafach revient à la charge et donne quelques noms.
Si les apps HipChat et Foxit PDF ont fait le nécessaire pour protéger leurs utilisateurs, ce n’est pas le cas d’une majorité des applications qui restent vulnérables à cette attaque. Dont des apps bancaires comme Emirates NBD, 21st Century Insurance, PayQuicker, mais aussi Diabetes in Check, Yo et Dolphin Web Browser — pourtant présenté comme un navigateur web pour surfer en toute confidentialité — sont toujours vulnérables. En tout, le chercheur en sécurité a compté plus de 250 applications touchées par cette faille.
Pour éviter les problèmes, mieux vaut éviter d’utiliser les applications concernées (Strafach dresse une liste à cette adresse), et ne se servir de son iPhone que sur le réseau cellulaire de son opérateur, pas en Wi-Fi, tant que les éditeurs n’ont pas fait le nécessaire pour boucher les trous. Le chercheur développe une solution (100% gratuite) pour réduire la portée de cette vulnérabilité.
@scanmb
Ils se sont visiblement reconvertis. Je trouvais ça louche de ne plus les entendre...
Les vraies malendrins savent également faire du man in the middle sur le réseau opérateur, si je ne m'abuse... C'est dangereux de laisser supposer que là, on est en sécurité !
Je suis déçu, il y a deux fois le mot "brigand" à la suite. Quel manque d'originalité.
@gwen
Oui je me suis dit la même chose? C'est tellement un plaisir de consulter une news concernant une attaque sur macg, alors ne le gâcher pas^^
Ce qui est surtout à bannir ce sont les points d'accès gratuits, tout ce qui est mcdo, aéroports, starbucks, freewifi, hôtels et j'en passe. Ou sinon avec un VPN mais c'est encore trop peu répandu pour l'utilisateur lambda
@sangoke
Tout à fait. D'ailleurs il suffit de se placer près d'un AppleStore et de partager la connexion de son iPhone en donnant un nom au réseau WiFi cree identique à celui de l'AppleStore et ne pas mettre de mot de passe.
Vous verrez très vite des connexions se faire sur votre iPhone.
@sangoke
D'ailleurs, si vous avez un truc pour bannir ce free wifi(secure), même chez moi mon iPhone bascule dessus quand le wifi de chez moi est faible. (De l'autre côté d'un mur)...
Pénible ?
@xDave
Il me semble qu'il suffit d'aller dans l'onglet wifi quand tu est connecté à ce fameux réseau que tu veux plus (ou pas forcément connecté mais faut qu'on soit visible dans ta liste) et à cliquer sur le "i" à côté du nom du réseau et puis sur "oublier ce réseau" pour qu'il ne s'y connecte plus automatiquement.
Sur macos c'est plus simple, dans paramètres système puis réseau tu à la liste des réseaux auxquels tu t'es déjà connecté et tu as juste à supprimer ceux auxquels tu ne veux plus te connecter automatiquement.
Le VPN est bien QUE si celui-ci est de confiance, par contre si sa sécurité est corrompue, c'est 100% de ton traffic qui l'est également.
Bref, c'est un monde d'angoisses qui se dessine lentement et surement.
@scanmb :
1 je me pose la même question
@scanmb
A mon avis difficile à savoir même si je suppose qu'il est plus sûr de choisir une société assez connue plutôt qu'une inconnue dont on ne sait d'où elle vient. Sinon moi j'ai choisi de prendre un VPS chez OVH qui me coûte dans les 3€ par mois et d'installer mon propose OpenVPN. Il existe des tutors pour le faire et ça prend en gros 15 minutes à faire. Ça permet d'éviter la possibilité que l'entreprise en question garde ton activité mais il faut sécuriser son serveur Linux.
En plus cela me permet de pouvoir me connecter à des services MyCANAL, Molotov ou autres depuis l'étranger habitant en Belgique ce qui est un plus au passage. Cela ne marche malheureusement pas pour Netflix.
Effectivement c'est pas forcément facile à déterminer et ce qui est valide à l'instant "T" ne l'est plus à l'instant "T+1".
Néanmoins le web regorge de comparatifs plus ou moins sérieux et les tendances restent assez marquées.
Il faut choisir contre quoi se protéger et quelle risque tu acceptes de courrir.
- Un VPN, même peu renommé, te permet de t'affranchir des voyous numériques des MacDo et autres wifi gratuits. Ceux-là sont généralement peu futés et se bornes souvent à appliquer des recettes de cuisines trouvées sur le web.
- Se protéger de la criminalité organisée, celle qui serait susceptible de corrompre la sécurité d'un prestataire VPN, demande un effort bien pus important, en information et en argent. Pour mémoire, un VPN gratuit doit bien se financer d'une manière ou d'une autre...
Maintenant il y a aussi la protection comportementales comme réserver l'usage des wifi publics à un usage purement ludique et sans enjeu (pas d'application nécessitant logi/password ou contenant des informations potentiellement sensibles permettant, pas exemple, de documenter une usurpation d'identité). Mais pour jouer à Clash of Clan, le wifi public m'ira très bien ;-)
@scanmb
Désolé pour la réponse tardive, y'a pas de miracle faut soit connaître l'éditeur comme des grands noms de la sécurité par exemple et accepter de leur faire confiance.
Lire des comparatifs sur des sites de sécurité informatique ou sur le blog de Korben je crois qu'il en a fait quelques un dans le passé.
Louer un VPS chez un hébergeur et te faire ton propre serveur VPN, au final rien de bien compliqué. Faut bien choisir son hébergeur aussi selon tes besoins de confidentialité envers les autorités publique ^^ si c'est pour des choses pas très légales mdr mais la c'est pas le sujet.
Acheter/monter ton NAS et t'en servir comme serveur VPN, il faut un peu plus de connaissance selon le type de NAS que tu achète mais sur certains c'est juste une fonctionnalité déjà intégrée et facile à paramétrer. Par contre il vaut mieux avoir la fibre ou un bon début si tu veux pas que ça rame trop.
Perso j'ai à la fois un NAS chez moi qui fait aussi office de serveur VPN et le service d'un ami de confiance qui a monté sa boîte de sécurité informatique et que je peux recommander car fiable et pas trop cher : uppersafe, anciennement nomimitvpn
Voilà voilà ;)
iOS doit proposer en standard
le regroupement dans
une Option de Confidentialité
de ne pas transmettre d'information
pour toutes les applications
Actuellement,
pour les applications qui le proposent,
il faut se bagarrer pour trouver l'option !
Après, avec des Profils d'Utilisation,
il serait plus productif de basculer
un groupe d'application peu sûre,
sur cette Option de Confidentialité
(À SUIVRE)
C'est toute la politique d'Apple qui est en doute:
- pas de sécurité pour l'utilisateur
- pas de sérieux vis à vis des professionnels
Pas de kit de développement côté serveur ☠️
Et de privatiser la liaison entre l'application et le serveur ?