Loading

Les données de plus de 180 millions de smartphones exposées !

Par iTPro.fr | 14/11/2017
Sécurité, Mobilité, Utilisateurs, Application, Développement

Suite à l’annonce par Appthority, société spécialisée dans la sécurité mobile, de la découverte d’erreurs de codage dans au moins 685 applications mobiles (Android et iOS), il ne va pas sans dire que le risque de la sécurité mobile et notamment sur les données de plus de 180 millions d'utilisateurs de smartphones est majeur !

Les données de plus de 180 millions de smartphones exposées !

La vulnérabilité Eavesdropper

L’alerte est lancée et la sécurité des applications mobiles est en jeu. La faille présente dans presque 700 applications mobiles relance le débat des risques, piratage des appels et SMS, possibilité d’écoutes téléphoniques, enregistrements audio, et de la manière dont les développeurs intègrent le code dans les applications.

Cette vulnérabilité Eavesdropper permet aux pirates d’accéder aux métadonnées de leurs comptes Twilio (messagerie vocale et textuelle). Appthority explique, « nous avons détecté la vulnérabilité Eavesdropper sur plus de 685 applications d'entreprise (44 % Android, 56 % iOS) associées à des comptes développeur Twilio ». Fin août, 170 étaient encore disponibles (Google et Apple) et les applications Android auraient été téléchargées plus de 180 millions de fois.

 

La confidentialité des messages affectée

Alors que les applications mobiles utilisées reposent souvent sur des services cloud, Johannes Ullrich, Directeur du SANS Internet Storm Center, Directeur Recherche, SANS Technology Institute commente « pour utiliser ces services, l'utilisateur doit fournir des informations d’identification - généralement sous la forme d'une clé API, sachant que le développeur lui-même dispose d’une clé API. Dans le cas de Twillio, service de messagerie vocale et textuelle, si un développeur inclut sa clé API dans l'application, alors cette clé peut être extraite de l'application et utilisée pour transmettre des commandes arbitraires à Twillio, ce qui peut affecter la confidentialité des messages envoyés par d'autres utilisateurs qui utilisent les mêmes informations d'identification fournies par le développeur. »

 

La clé API en jeu

Le développeur ne devrait jamais inclure une clé API au sein d’une application qui bénéficie d’un accès complet aux fonctionnalités des services Web. « Le développeur devrait plutôt fournir des jetons (tokens) d'accès individualisés à chaque utilisateur de l’application, ceci pouvant être automatisé. Une autre option est d'utiliser des technologies comme OAuth pour que l'utilisateur configure un compte directement avec un service Web tiers. Mais cela tend à être plus complexe. Dans certains cas, le service Web peut être en mesure de fournir des jetons d'accès aux capacités limitées. En dernier recours, le développeur peut configurer un proxy qui recevra la requête de l'application mobile, l'authentifiera à l'aide des informations d'identification de l'application de l'utilisateur, puis transmettra la requête au service Web en utilisant les informations d'identification du développeur. Dans ce cas, les informations d'identification du développeur ne sont jamais envoyées à l'utilisateur. Mais cette méthode ajoute des frais supplémentaires et de la complexité à l'application » poursuit Johannes Ullrich.

 

iTPro.fr iTPro.fr - La rédaction
Le comité éditorial du site iTPro.fr est composé de journalistes informatiques, experts et contributeurs spécialistes des services, solutions et technologies informatiques d’entreprise.
 
Guide Big Data et Intelligence ArtificielleGuide Big Data et Intelligence ArtificielleLes technologies de Machine Learning, Big Data et intelligence artificielle ne sont pas réservées aux géants du Web. Cependant, il est souvent difficile de savoir ce qu'elles peuvent nous apporter. Découvrez, dans ce guide, les différents types d'apprentissages et passez à l'action grâce aux outils open source disponibles dans la « Intel Python Distribution ».Découvrez votre guide et passez à l'action !

Ressources Informatiques

Guide Machine learning et Big Data pour démarrer Les technologies de Machine Learning, Big Data et intelligence artificielle ne sont pas réservées aux géants du Web. Cependant, il est souvent difficile…
   Inside Loop - Intel | 8 pages
Découvrez votre guide IA
Guide de services Azure pour développement d’applications Ce guide détaille divers scénarios adaptés au cloud, et plus particulièrement au développement d'applications à l'aide des services de plateforme…
   Microsoft | 40 pages
Découvrez votre Guide Azure
BYOD : Guide des meilleures pratiques en entreprise Ce livre blanc étudie des cas d’utilisation d’entreprise courants et définit les avantages de la gestion des terminaux mobiles, de la conteneurisation…
   VMware | 8 pages
Découvrez les meilleures pratiques !
Comment sécuriser les accès et contrer la compromission d’identité ? La compromission d’identité est un vecteur d’attaque conséquent auquel les organisations sont confrontées, et avec les applications Cloud, mobiles…
   RSA | 6 pages
Téléchargez le livre blanc
Authentification forte : quels enjeux pour la sécurité du SI ? Mobilité, consumérisation et BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès aux applications…
   RSA | 4 pages
Découvrez votre livre blanc
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Mark Cochrane Mark Cochrane MVP sur System Center

Arnaud Alcabez Arnaud Alcabez Directeur Technique - ABC Systèmes

Jean-François Apréa Jean-François Apréa Consultant Infrastructures

Vidéos Informatiques

Comment optimiser la gestion énergétique des salles informatiques avec Eaton et Misco inmac wstoreComment assurer la maîtrise et optimiser durablement la gestion énergétique des…Par Itpro

Comment maîtriser le droit à la déconnexion avec Promodag ReportsDans un monde ultra-connecté et de plus en plus régi par l'immédiateté, la déconnexion…Par Itpro

Adobe Document Cloud en Video Motion !Découvrez maintenant, en Video Motion, comment entrer dans l'ère du document intelligent…Par Itpro

Comment mettre en place une stratégie mobile performante ?Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé…Par Itpro

Hyperconvergence réussie avec les solutions Dell VxRaill'hyperconvergence intéresse et séduit les DSI par son approche intégrée et…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI