Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Les applications mobiles vulnérables aux faux certificats

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Les applications mobiles vulnérables aux faux certificats

Netcraft a identifié plusieurs dizaines de faux certificats en activité dans le monde usurpant l’identité de géants du web tels Facebook ou Google, mais aussi des banque en ligne et des services web populaires (le serveur de courrier de l’hébergeur GoDaddy aux Etats-Unis, la plateforme iTunes d’Apple…)

L’on pourrait penser que cela n’est pas bien grave, car ces certificats n’étant pas signés par une autorité de confiance ils ne seront pas reconnus par les navigateurs.

Oui mais voilà : ces sites (notamment Facebook, mais aussi les sites bancaires) sont de plus en souvent accédés depuis une application mobile et non par le biais d’un navigateur traditionnel. Et selon plusieurs études les applications mobiles ne testent pas toujours correctement la validité des certificats présentés par les serveurs.

Ainsi selon des tests menés par la société IO Active, 40% des applications bancaires pour iOS ne valident pas correctement les certificats présentés par le serveur. Quant à Android, des tests similaires menés par des universitaires allemands mènent aux mêmes conclusions : 41% des applications analysées manuellement sont vulnérables à une attaque de type Man-in-the-Middle à cause d’une mauvaise implémentation de SSL. Et globalement, 1074 applications sur les 13500 étudiées par les chercheurs (soit près de 8%) acceptent n’importe quel certificat ou n’importe quel hôte pour un domaine donné.

Uniquement pour Android, toujours selon l’étude des universités d’Hanovre et Marburg, ce seraient ainsi entre 39 et 185 millions d’utilisateurs qui seraient exposés à une attaque de type MitM sur leur téléphone mobile à cause d’une application mal conçue.

La cause de ce problème n’est finalement pas très originale : SSL est une technologie que l’on a tendance à considérer comme acquise mais qui peut se révéler délicate à mettre correctement en oeuvre, même dans des environnement plus mûrs (comme le montrent d’ailleurs trop souvent les résultats de notre outil de test gratuit sur SSL Labs).

Le développement d’applications mobiles est quand à lui une pratique plus récente et encore peu formalisée. Les bonnes pratiques de sécurité y sont moins répandues chez les développeurs, dont d’ailleurs beaucoup sous-traitent ou utilisent des générateurs d’applications automatiques. Et comme avec tout nouvel horizon les développeurs vont à l’essentiel afin que cela fonctionne… et l’on sait depuis longtemps que la sécurité fait rarement partie de l’essentiel !

Et puis le modèle est très différent, ce qui induit des stratégies de sécurité forcément différentes : le mobile est un terminal mono-utilisateur, ultra-connecté par défaut (Bluetooth, WiFi…), toujours allumé, qui embarque des informations de grande valeur mais des application quasiment jetables. Sans oublier que les limitations physiques du terminal présentent elles aussi des défis spécifiques aux développeurs, car elles facilitent les erreurs de la part de l’utilisateur (rater une alerte à cause de l’écran de taille réduite, choisir un mot de passe sans caractères spéciaux à cause du clavier peu pratique…).

Les responsabilités ne sont pas clairement définies, non plus : l’opérateur téléphonique, l’éditeur de l’OS et l’utilisateur estiment chacun en être propriétaire, mais tous se reposent aussi sur les deux autres pour assurer la sécurité.

Enfin, contrairement à un navigateur traditionnel où l’utilisateur est en mesure de vérifier lui-même si sa connexion est protégée, il est impossible de déterminer aisément si une application mobile communique par SSL ou non.

Bref, le mobile est un univers différent, nouveau, et les attaquants en profitent !

Il existe bien entendu des services de test de la sécurité d’application mobiles (Netcraft, notamment, mais aussi Veracode) et toute entreprise qui souhaite éditer sa propre application mobile devrait y penser sérieusement (lire : ne laissez pas le service marketing s’en charger seul via une agence de création de sites web…)

En attendant, les études de Netcraft et des universités de Hanovre et Marburg montrent à quel point il peut être risqué d’utiliser une application mobile sur un réseau public en croyant être protégé par SSL.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.