Pour gérer vos consentements :

Sécurité IT : une faille Android laisse filtrer des données personnelles

Les quelques 100 millions de smartphones sous Android en circulation mettent-ils en danger les données de leurs utilisateurs ? C’est ce que laisse entendre une étude de l’Université d’Ulm en Allemagne, rapporte Silicon.fr.

Selon les auteurs, les chercheurs Bastian Konings, Jens Nickels, et Florian Schaub, Android présente une vulnérabilité facilement exploitable par les cyber-criminels.

L’OS mobile de Google serait victime d’une mauvaise implémentation du protocole ClientLogin dans les versions 2.3.3 et antérieures. The Register rapporte qu’une fois que l’utilisateur légitime de la plate-forme Android se connecte, ClientLogin reçoit un jeton d’authentification (authToken) placé dans un fichier texte non chiffré.

Lequel reste valable 14 jours. Il suffit donc à des attaquants de consulter ce fichier pour détenir les paramètres de connexion de la victime et accéder à l’ensemble de ses comptes Google (Gmail, Contacts, Agenda, Picasa…).

« Nous voulions savoir s’il est vraiment possible de lancer une attaque d’usurpation d’identité contre les services Google et avons commencé notre propre analyse. La réponse est : oui, c’est possible, et assez facile à faire », écrivent les chercheurs sur leur blog.

« En outre, l’attaque ne se limite pas à Google Agenda et Contacts, mais est théoriquement possible avec tous les services Google en utilisant le protocole d’authentification ClientLogin pour l’accès à ses API de données ». Inquiétant pour l’intégrité des données et des identités numériques des utilisateurs d’Android.

Heureusement, ce type d’attaque n’est possible qu’à travers un réseau non sécurisé, comme un point d’accès Wi-Fi non chiffré ou contrôlé par les pirates. Ils peuvent notamment paramétrer leur propre point d’accès pour qu’il apparaisse comme un réseau public légitime (comme en offrent notamment nombre de chaînes de commerces et de restauration) auquel le smartphone Android tentera de se connecter automatiquement (selon les paramètres par défaut).

Même si la connexion échoue, les pirates auront eu le temps de récupérer le jeton d’authentification lors de la tentative de synchronisation des services et, donc, les données de connexion de l’utilisateur.

La parade ? Que les développeurs n’autorisent la connexion à leurs applications qu’en mode chiffré HTTPS, avancent les auteurs de l’étude. Google devrait également raccourcir la durée de validité du jeton d’authentification et restreindre les connexions automatiques aux seuls réseaux sécurisés. Les utilisateurs, quant à eux, sont invités à ne pas se connecter aux réseaux non chiffrés, en commençant par désactiver le paramètre de connexion Wi-Fi automatique.

Enfin, l’idéal serait de mettre à jour son smartphone avec la version 2.3.4 d’Android, laquelle utilise un mode chiffré pour la connexion aux services Google (du moins Contacts et Agenda). Encore faut-il que cette mise à jour soit possible à mettre en oeuvre sur le terminal, ce que sont loin d’offrir tous les constructeurs…

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago