Spécialisé en sécurité informatique, l’informaticien australien Troy Hunt est déprimé. Il s’était mis en tête d’analyser une série d’applications mobiles sur son iPhone, histoire de voir si elles étaient bien sécurisées et si elles n’avaient pas la main un peu trop lourde sur les données personnelles. Il s’appuie, pour ce faire, sur un service de proxy HTTP baptisé Fiddler, que beaucoup de développeurs utilisent pour analyser les requêtes web.
Las, il constate que les bonnes pratiques en matière de sécurité sont encore loin d’être encore généralisées. Ainsi, l’application e-commerce « Aussie Farmers » utilise un tracker qui récupère tout un tas d’informations personnelles et les fait passer en clair sur le web, comme le nom, l’adresse, le numéro de compte client et la position géographique. Mais il y a pire, comme l’appli mobile de Nando, une chaîne de restaurants australiens. Quand on s’y connecte avec son login et son mot de passe, le smartphone envoie une requête HTTP en clair contenant entre autres le nom, le numéro de téléphone, la date de naissance et… le mot de passe. Et quand on ne se souvient plus de son mot de passe, c’est simple : le service web le renvoie simplement par un email, en clair évidemment.
On pourrait se dire que ce type légèreté ne se trouve que dans des petites applications peu connues. Erreur ! En analysant l’application Paypal, il découvre que le fournisseur de services financiers récupère beaucoup d’informations sur sa personne, comme l’adresse IP, le modèle de téléphone, le volume de stockage restant (?), la position géographique ou le nom du réseau Wifi. Heureusement, le service utilise un chiffrement SSL de bonne qualité, mais cela fait quand comme beaucoup de données personnelles. A quoi peuvent servir ces données ? Dans ses conditions d’utilisation, Paypal fait allusion à la lutte contre la fraude, mais celle-ci a peut-être bon dos…
Lire aussi:
Applis de paiement mobiles : attention danger !, le 17/10/2014
Source :
Note de blog de Troy Hunt
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.