Début février, Will Strafach du Sudo Security Group prévenait que des dizaines d’applications pour iPhone étaient sujettes à des attaques de type « homme du milieu » (man-in-the-middle). Leur code présente des faiblesses qui permettent à un malandrin d’intercepter des données quand elles transitent entre le smartphone et le serveur de l’éditeur. Les apps acceptent un certificat qui autorise le forban à établir une connexion chiffrée, sans que l’app ne la valide convenablement. Le brigand peut alors subtiliser les identifiants et mots de passe des comptes des applications.

Pour y parvenir toutefois, le brigand doit se trouver sur le même réseau Wi-Fi que sa victime : il doit non seulement connaitre le mot de passe du réseau en question mais aussi être à proximité physique. Après avoir prévenu les éditeurs et attendu trois mois pour qu’ils prennent les dispositions nécessaires — un délai standard dans le milieu de la sécurité —, Strafach revient à la charge et donne quelques noms.

Si les apps HipChat et Foxit PDF ont fait le nécessaire pour protéger leurs utilisateurs, ce n’est pas le cas d’une majorité des applications qui restent vulnérables à cette attaque. Dont des apps bancaires comme Emirates NBD, 21st Century Insurance, PayQuicker, mais aussi Diabetes in Check, Yo et Dolphin Web Browser — pourtant présenté comme un navigateur web pour surfer en toute confidentialité — sont toujours vulnérables. En tout, le chercheur en sécurité a compté plus de 250 applications touchées par cette faille.

Pour éviter les problèmes, mieux vaut éviter d’utiliser les applications concernées (Strafach dresse une liste à cette adresse), et ne se servir de son iPhone que sur le réseau cellulaire de son opérateur, pas en Wi-Fi, tant que les éditeurs n’ont pas fait le nécessaire pour boucher les trous. Le chercheur développe une solution (100% gratuite) pour réduire la portée de cette vulnérabilité.