Les transactions bancaires réalisées sur des terminaux mobiles sont-elles réellement sécurisées? La question se pose quand on voit la multiplication des failles SSL ces derniers temps (Heartbleed, Goto Fail, Poodle…). Le chercheur en sécurité Thomas Brandstetter a voulu en savoir plus et a créé une plateforme de test qui permet de voir si les applications mobiles procédaient aux bonnes vérifications SSL. Une quinzaine de points sont ainsi passés en revue: le certificat est-il valide? la signature est-elle correcte? l’autorité de certification est-elle de confiance? etc.
L’expert a analysé près de 90 applications, principalement dans les domaines des banques et de l’e-commerce. Il a présenté ses conclusions le vendredi 17 octobre, à l’occasion de la conférence Black Hat Europe 2014. Le résultat n’est pas aussi brillant qu’il devrait l’être, compte tenu des données manipulées. Ainsi, 20 % des applications trébuchent au-moins sur l’un des quinze obstacles. Pire: dans 5 % des cas, aucune vérification n’est effectuée, ce qui est une invitation aux pirates à effectuer des attaques de type « Man in the middle ».
Thomas Brandstetter a également rajouté un test relatif à la faille Poodle, découverte cette semaine. Le résultat est franchement mauvais: sur 30 applications testées, 15 étaient vulnérables. C’est d’autant plus étonnant que, pour des applications de ce type, il n’y a aucune nécessité de garder une rétrocompatibilité avec SSL v3, comme il faut parfois le faire pour supporter les vieux navigateurs. Gageons que cette faille sera comblée lors des prochaines mise à jour.
Au passage, le chercheur remarque que certaines applications transmettent des données plus ou moins personnelles, sans doute pour mieux pouvoir lutter contre les tentatives de fraude. « Néanmoins, ce n’est pas forcément conforme à la protection des données personnelles », estime Thomas Brandstetter. Ainsi, Paypal a-t-il vraiment besoin de connaître le numéro de série de la carte SIM, le numéro d’identification du client chez l’opérateur et ses données de localisation pour effectuer un paiement? Voir ci-dessous les données transmises par Paypal.
Heureusement, il y a aussi des bonnes nouvelles. Ainsi, un certain nombre d’applications effectuent tous les vérifications et sont donc réellement au top niveau d’un point de vue sécurité.
Lire aussi:
Notre dossier Black Hat Europe 2014
Source:
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
