Une faille d'applications mobiles expose des milliards de données

mercredi 17 juin 2015 11h41
 

par Jeremy Wagstaff

SINGAPOUR, 17 juin (Reuters) - Des experts en cybersécurité ont découvert une faille dans les procédés utilisés par des milliers d'applications mobiles très répandues pour stocker en ligne les données des utilisateurs, rendant celles-ci vulnérables à des attaques de pirates informatiques.

Ces chercheurs ont procédé à l'analyse détaillée de différentes applications populaires, dont des applications de jeux, de réseaux sociaux, de messagerie, ainsi que des applications médicales ou bancaires.

Cela leur a permis d'identifier 56 millions d'éléments de données personnelles non protégées en raison de cette faille, qui a également été identifiée par le chercheur colombien Jheto Xekri dans une analyse distincte.

"Dans quasiment chacune des catégories, nous avons trouvé une application présentant cette vulnérabilité", a déclaré Siegfried Rasthofer, un membre de cette équipe de l'institut Fraunhofer, spécialisé dans la cybersécurité, de l'université technique de Darmstadt.

Les chercheurs ont refusé de nommer les applications vulnérables mais elles seraient des dizaines de milliers à être concernées, dont certaines des plus prisées sur les plates-formes de téléchargement d'Apple et de Google , ce qui pourrait potentiellement exposer des milliards de fichiers de données personnelles.

Le problème réside dans les procédés qu'utilisent les développeurs pour authentifier les utilisateurs lorsqu'ils stockent les données personnelles de ces derniers, a noté Eric Bodden, qui a dirigé cette équipe.

Ils recourent pour cela aux services de stockage dématérialisé ("cloud") proposés par les plates-formes dédiées aux développeurs comme Parse de Facebook ou Amazon Web Services.

Même si ces services proposent différentes options pour assurer la protection des données, la plupart des développeurs utilisent le réglage par défaut, qui repose sur une "clé" (série de chiffres et de lettres) intégrée dans le code de l'application.

Selon Eric Bodden, des pirates peuvent facilement extraire et contourner cette clé afin d'accéder aux données personnelles de tous les utilisateurs de cette application stockées sur un serveur.

Il n'y a pour l'instant aucune preuve que cette vulnérabilité a déjà été exploitée, selon les chercheurs. (Avec Mari Saito et Julia Love; Myriam Rivet pour le service français, édité par Benoît van Overstraeten)