Suite à l’annonce par Appthority, société spécialisée dans la sécurité mobile, de la découverte d’erreurs de codage dans au moins 685 applications mobiles (Android et iOS), il ne va pas sans dire que le risque de la sécurité mobile et notamment sur les données de plus de 180 millions d'utilisateurs de smartphones est majeur !
Les données de plus de 180 millions de smartphones exposées !
La vulnérabilité Eavesdropper
L’alerte est lancée et la sécurité des applications mobiles est en jeu. La faille présente dans presque 700 applications mobiles relance le débat des risques, piratage des appels et SMS, possibilité d’écoutes téléphoniques, enregistrements audio, et de la manière dont les développeurs intègrent le code dans les applications.
Cette vulnérabilité Eavesdropper permet aux pirates d’accéder aux métadonnées de leurs comptes Twilio (messagerie vocale et textuelle). Appthority explique, « nous avons détecté la vulnérabilité Eavesdropper sur plus de 685 applications d’entreprise (44 % Android, 56 % iOS) associées à des comptes développeur Twilio ». Fin août, 170 étaient encore disponibles (Google et Apple) et les applications Android auraient été téléchargées plus de 180 millions de fois.
La confidentialité des messages affectée
Alors que les applications mobiles utilisées reposent souvent sur des services cloud, Johannes Ullrich, Directeur du SANS Internet Storm Center, Directeur Recherche, SANS Technology Institute commente « pour utiliser ces services, l’utilisateur doit fournir des informations d’identification – généralement sous la forme d’une clé API, sachant que le développeur lui-même dispose d’une clé API. Dans le cas de Twillio, service de messagerie vocale et textuelle, si un développeur inclut sa clé API dans l’application, alors cette clé peut être extraite de l’application et utilisée pour transmettre des commandes arbitraires à Twillio, ce qui peut affecter la confidentialité des messages envoyés par d’autres utilisateurs qui utilisent les mêmes informations d’identification fournies par le développeur. »
La clé API en jeu
Le développeur ne devrait jamais inclure une clé API au sein d’une application qui bénéficie d’un accès complet aux fonctionnalités des services Web. « Le développeur devrait plutôt fournir des jetons (tokens) d’accès individualisés à chaque utilisateur de l’application, ceci pouvant être automatisé. Une autre option est d’utiliser des technologies comme OAuth pour que l’utilisateur configure un compte directement avec un service Web tiers. Mais cela tend à être plus complexe. Dans certains cas, le service Web peut être en mesure de fournir des jetons d’accès aux capacités limitées. En dernier recours, le développeur peut configurer un proxy qui recevra la requête de l’application mobile, l’authentifiera à l’aide des informations d’identification de l’application de l’utilisateur, puis transmettra la requête au service Web en utilisant les informations d’identification du développeur. Dans ce cas, les informations d’identification du développeur ne sont jamais envoyées à l’utilisateur. Mais cette méthode ajoute des frais supplémentaires et de la complexité à l’application » poursuit Johannes Ullrich.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- SMS et e-mails : la notification, un enjeu économique stratégique
- Forum INCYBER : le cybercrime change d’échelle, l’Europe cherche sa riposte
- IA : ne déléguez pas votre cœur de métier à une boîte noire
- Identité de l’IA : 4 priorités pour anticiper plutôt que subir la régulation
Articles les + lus
SMS et e-mails : la notification, un enjeu économique stratégique
Les applications financières sont le terrain privilégié de la fraude
Pourquoi les navigateurs web sont devenus la porte d’entrée des cybercriminels pour compromettre les endpoints ?
Le changement, moteur d’engagement au travail
Connectivité et impression sans contrainte : repenser la gestion documentaire en 2026
À la une de la chaîne Mobilité
- SMS et e-mails : la notification, un enjeu économique stratégique
- Les applications financières sont le terrain privilégié de la fraude
- Pourquoi les navigateurs web sont devenus la porte d’entrée des cybercriminels pour compromettre les endpoints ?
- Le changement, moteur d’engagement au travail
- Connectivité et impression sans contrainte : repenser la gestion documentaire en 2026
