Passer au contenu

Des milliers d’applis Android et iOS restent vulnérables à Freak, la faille HTTPS

Alors que la plupart des navigateurs web ont été patchés, bon nombre d’applications mobiles continuent d’utiliser des librairies OpenSSL vulnérables à cette attaque.

On pensait que le problème lié à la mégafaille Freak allait être vite réglé. Cette vulnérabilité, rappelons-le, s’appuie sur une porte dérobée de la NSA des années 90 et permet d’intercepter dans certaines conditions les flux HTTPS. La plupart des navigateurs web ont, à ce jour, été mis à jour. Mais les chercheurs en sécurité de FireEye ont découvert un trou dans la raquette : les applications mobiles.

Ils ont analysé des dizaines de millions d’applications Android et iOS. Résultat : sur 10.985 applications Google Play, 1.228 (11,2%) sont vulnérables à l’attaque Freak, car elles se connectent à des serveurs qui acceptent les faibles clés de chiffrement RSA-Export 512 bits et elles utilisent des librairies OpenSSL vulnérables. Or, ces applications ont été téléchargées… 6,3 milliards de fois. Le nombre de victimes potentielles est donc gigantesque.

Côté Apple, c’est un peu moins grave : sur 14.079 applications d’App Store analysées, 771 sont vulnérables (5,5 %) si les utilisateurs utilisent une version d’iOS antérieure à 8.2. Mais même avec dernière version, sept applications restent néanmoins vulnérables, car elles s’appuient sur des librairies OpenSSL compilés maison par les développeurs.

Parmi les applis vulnérables, on trouve un peu de tout, mais aussi des catégories sensibles telles que finance, business, santé, photo/vidéo, lifestyle, réseaux sociaux…

Applications vulnérables dans des catégories sensibles.
Applications vulnérables dans des catégories sensibles.

A titre d’exemple, les chercheurs de FireEye ont intercepté les communications HTTPS d’une application vulnérable et ont réussi à extraire des informations sensibles telles que l’identifiant, le mot de passe et des données de carte bancaire. Malheureusement, en tant qu’utilisateur, il est difficile de savoir si une application est vulnérable. Il n’existe pas de test en ligne comme pour les navigateurs. Il faudrait donc contacter directement les développeurs pour leurs poser la question…

Source :

FireEye

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn