Souvent, les développeurs d’applications Android sont négligents concernant la sécurité et plus particulièrement la protection des informations personnelles des utilisateurs. Beaucoup d’applications acceptent des certificats SSL auto-signés, ce qui les exposent aux attaques de type man-in-the-middle.
Article sponsorisé
Ceci est une évidence issue des résultats d’une enquête de l’Université de Leibniz d’Hannovre en Allemagne, qui ont examiné les applications Android populaires fréquemment utilisées sur Google Play. La faute à quoi ? Les lacunes dans la mise en place de certificats SSL signés.
Aucune application ne sera explicitement nommée, mais il est clairement dit que les 3 applications les plus populaires ont entre 30 et 150 millions d’utilisateurs ! Sur les 13 000 applications étudiées, 1074 d’entre elles possèderaient une faiblesse au niveau de la certification SSL. Ces applications non sécurisées acceptent non seulement les certificats SSL qui sont signés par une Autorité de Certification, mais aussi les certificats signés par l’utilisateur lui-même. Par conséquent, les applications sont vulnérables aux fuites de données personnelles sur la base d’une attaque de type man-in-the-middle.
Il a aussi été vérifié si les applications utilisent le “pinning SSL”. Avec le pinning SSL, seuls seront acceptés les certificats SSL considérés comme de confiance par le développeur. Cela devrait fournir une sécurité supplémentaire contre les attaques de type man-in-the-middle. Cet échantillon a montré que les applications populaires comme Dropbox, Gmail, Hotmail et Facebook n’utilisent pas le pinning SSL…
Il serait pourtant pas très difficile de mettre en place ces mesures de sécurité élémentaires dans les applications Android téléchargées des millions de fois ! Le créateur ne devrait pas être à quelques centaines d’euros près… Surtout que les certificats SSL signés et sûrs peuvent être tout à fait abordables, par exemple chez Trustico, où les prix commencent à 20 € par an pour la gamme RapidSSL.
L’économie réalisée par les développeurs d’application semble bien moindre et à compromet la sécurité des utilisateurs, y compris pour des applications où transitent de nombreuses données confidentielles. Il ne faut pas oublié que les smartphones sont en plein boum et que le piratage visant ce type d’appreil explose en ce moment et fera partie des priorités en matière de sécurité dans les prochaines années ! Espérons que la tendance changera vis-à-vis des applications “officielles” du Google Store.
Les commentaires sont fermés.