Sécurité IT : une faille Android laisse filtrer des données personnelles
Des chercheurs ont déniché une nouvelle faille de sécurité Android, permettant à des pirates d’accéder facilement aux services Google, et donc aux données personnelles, des détenteurs de smartphones sous cet OS mobile.
Les quelques 100 millions de smartphones sous Android en circulation mettent-ils en danger les données de leurs utilisateurs ? C’est ce que laisse entendre une étude de l’Université d’Ulm en Allemagne, rapporte Silicon.fr.
Selon les auteurs, les chercheurs Bastian Konings, Jens Nickels, et Florian Schaub, Android présente une vulnérabilité facilement exploitable par les cyber-criminels.
L’OS mobile de Google serait victime d’une mauvaise implémentation du protocole ClientLogin dans les versions 2.3.3 et antérieures. The Register rapporte qu’une fois que l’utilisateur légitime de la plate-forme Android se connecte, ClientLogin reçoit un jeton d’authentification (authToken) placé dans un fichier texte non chiffré.
Lequel reste valable 14 jours. Il suffit donc à des attaquants de consulter ce fichier pour détenir les paramètres de connexion de la victime et accéder à l’ensemble de ses comptes Google (Gmail, Contacts, Agenda, Picasa…).
« Nous voulions savoir s’il est vraiment possible de lancer une attaque d’usurpation d’identité contre les services Google et avons commencé notre propre analyse. La réponse est : oui, c’est possible, et assez facile à faire », écrivent les chercheurs sur leur blog.
« En outre, l’attaque ne se limite pas à Google Agenda et Contacts, mais est théoriquement possible avec tous les services Google en utilisant le protocole d’authentification ClientLogin pour l’accès à ses API de données ». Inquiétant pour l’intégrité des données et des identités numériques des utilisateurs d’Android.
Heureusement, ce type d’attaque n’est possible qu’à travers un réseau non sécurisé, comme un point d’accès Wi-Fi non chiffré ou contrôlé par les pirates. Ils peuvent notamment paramétrer leur propre point d’accès pour qu’il apparaisse comme un réseau public légitime (comme en offrent notamment nombre de chaînes de commerces et de restauration) auquel le smartphone Android tentera de se connecter automatiquement (selon les paramètres par défaut).
Même si la connexion échoue, les pirates auront eu le temps de récupérer le jeton d’authentification lors de la tentative de synchronisation des services et, donc, les données de connexion de l’utilisateur.
La parade ? Que les développeurs n’autorisent la connexion à leurs applications qu’en mode chiffré HTTPS, avancent les auteurs de l’étude. Google devrait également raccourcir la durée de validité du jeton d’authentification et restreindre les connexions automatiques aux seuls réseaux sécurisés. Les utilisateurs, quant à eux, sont invités à ne pas se connecter aux réseaux non chiffrés, en commençant par désactiver le paramètre de connexion Wi-Fi automatique.
Enfin, l’idéal serait de mettre à jour son smartphone avec la version 2.3.4 d’Android, laquelle utilise un mode chiffré pour la connexion aux services Google (du moins Contacts et Agenda). Encore faut-il que cette mise à jour soit possible à mettre en oeuvre sur le terminal, ce que sont loin d’offrir tous les constructeurs…