Plus de 1 800 applications iOS intègrent des identifiants AWS (Amazon Web Services) codés « en dur », alertent les chercheurs en sécurité de Symantec. Cela signifie que des malandrins pourraient fouiller dans le code de ces apps, récupérer ces informations et se connecter tranquillou à des bases de données confidentielles. Avec tous les risques de siphonnage des données que cela implique…
Ces bases de données peuvent héberger les détails de comptes, des informations d'enregistrement, des communications internes… Bref, des millions d'enregistrements en tout genre, un véritable coffre au trésor pour des forbans mal intentionnés comme ils le sont toujours. Symantec donne l'exemple d'un SDK tiers utilisé par plusieurs apps bancaires, qui embarque dans son code des identifiants valides vers des serveurs AWS.
Toutes les informations d'authentification des clients de ces banques (nom, date de naissance, parfois les empreintes digitales !) sont potentiellement en danger. Autre cas, celui d'une plateforme de paris sportifs utilisée par 16 apps de jeux d'argent en ligne : c'est l'infrastructure au complet de la plateforme qui est ouverte à tous les vents…
La présence de ces identifiants en dur dans ces applications s'explique généralement par l'utilisation de bouts de code tout prêts qui contiennent ces informations. Par négligence, ou en raison de l'absence d'outils d'examen adaptés, ces données restent dans l'app distribuée aux utilisateurs. Symantec, qui fournit aussi des solutions de sécurité, recommande de mettre en place des processus de vérification durant le cycle de développement de l'application.
