Le cloud de milliers d’applications Android et iOS menace la sécurité de vos données

Une enquête montre que le cloud d'un nombre inquiétant d'applications Android et iOS est mal configuré, ce qui expose les données de nombreux utilisateurs. Les pirates ont alors accès à des données personnelles, médicales, voire même parfois des comptes et mots de passe en clair !

data cloud
Crédits : Unsplash

Les chercheurs en sécurité de Zimperium avertissent d'un phénomène inquiétant. Grâce à des tests automatisés, ils se sont en effet rendu compte que des dizaines de milliers d'applications reposent sur un service de cloud mal configuré par son développeur. Ce qui expose certaines données sensibles qui y sont stockées.

Zimperium fait partie de l'alliance App Defense de Google qui rassemble des acteurs triés sur le volet dont le rôle est, en complément de Google Play Protect de scanner le Google Play Store pour mettre en évidence tout problème de sécurité dans le magasin d'applications. Ces mauvaises configurations touchent toutes les catégories d'applications.

Problèmes de configuration de cloud : toutes les catégories d'applications sont concernées

Zimperium explique que les mêmes problèmes se retrouvent aussi bien sur des applications qui comptent quelques milliers de téléchargements que des applications à plusieurs millions. A cause de l'étendue du problème, l'organisme préfère ne pas dévoiler la liste des applications touchées.

Catégories cloud sécurité
Le pourcentage d'applications dont le cloud est mal sécurisé par catégorie d'applications / Crédits : Zimperium

Les chercheurs ne pouvaient pas, en effet, prévenir autant de développeurs. Et lorsqu'ils l'ont fait, ils se sont rendu compte que la réaction des intéressés était dans le meilleur des cas insuffisante. Parmi les applications concernées on trouve, selon la firme, un portemonnaie numérique édité dans une entreprise du classement Fortune 500 – qui expose les données de sessions des utilisateurs ainsi que des données financières.

Mais aussi des applications médicales avec des résultats de tests, et même des photos de profil, en clair, sans aucun chiffrement. Zimperium parle également du cas d'une application de transports d'une grande ville qui donne accès en clair à des données bancaires. En plus de ces données sensibles des utilisateurs, les chercheurs ont parfois trouvé des paires login/mot de passe réseau, des fichiers de configuration système et des clés d'architecture serveur.

Lire également cet exemple : une faille de sécurité menace l'application Go SMS Pro, des millions de photos privées dans la nature

AWS, Azure, Google Cloud… les développeurs oublient qu'ils sont seuls maîtres de leur sécurité

Sécurité du cloud
Crédits : Unsplash

De quoi leur donner un accès profond à l'infrastructure informatique de ces entreprises. Dans un des cas, les chercheurs rapportent même qu'un serveur permettait à n'importe qui d'effacer ou de changer des données sans élévation de privilèges. En tout, la firme explique avoir découvert que le cloud d'au moins 20 000 applications Android et iOS était mal configuré au point de menacer la sécurité de leurs utilisateurs.

Le fond du problème est sans doute que le web moderne, et les applications, reposent sur des services de cloud clés-en-main qui permettent aux développeurs de se concentrer surtout sur les fonctionnalités de leur application plutôt que de mettre vraiment les mains dans le cambouis pour construire et maintenir leur propore solution de cloud.

Il y a à date surtout trois acteurs majeurs du cloud : Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform. Or, si ces plateformes simplifient effectivement la mise en place de l'infrastructure de cloud, elles ne prémunissent pas les développeurs contre les problèmes de code dans leurs applications.

Exemple lettre Amazon sécurité cloud
Exemple de mail qu'envoie Amazon aux développeurs lors de la découverte de problèmes dans la sécurité de leur cloud / Crédits : Zimperium

Et parce qu'ils ne gèrent qu'un petit bout de l'infrastructure, les dévs ont tendance à baisser un peu la garde. C'est d'ailleurs pour cela que des services comme AWS font ce qu'ils peuvent pour prévenir en amont les développeurs lorsqu'ils détectent des problèmes de configuration. Néanmoins, Amazon comme ses concurrents ne peuvent pas faire disparaître ces problèmes de configuration par magie.

Les utilisateurs Android et iOS manquent encore d'informations sur la sécurité des applications

smartphone sécurité
Crédits : Unsplash

“Pour les utilisateurs, cela signifie que des données nominatives peuvent se retrouver exposées : données médicales, résultats de tests, numéros de téléphone, et même le mot de passe de certains comptes. Or, il s'agit aussi d'un risque pour les entreprises. Des pirates peuvent obtenir des informations qui les aides à mener des attaques plus profondes”, remarque Shridhar Mittal, PDG de Zimperium.

Il revient donc aux développeurs d'être particulièrement vigilants. Les risques n'ont rien de virtuel : des groupes de pirates scannent en permanence les magasins d'applications pour déceler les problèmes de configuration de cloud. Et il y a fort à parier que ces derniers mènent des attaques discrètes basées sur ce type d'erreurs au moment même où nous écrivons ces lignes.

Pour l'heure, les utilisateurs ne peuvent malheureusement rien faire. Apple a bien mis en place des fiches qui montrent comment chaque application utilise vos données personnelles – ce qui peut vous aider à vous orienter vers les applications qui collectent moins de données. Mais rien, ni sur l'App Store, ni sur le Play Store, ne permet encore vraiment de se rendre compte du degré de sécurité de la solution cloud d'une application donnée.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Canal+ aurait déclaré la guerre à Disney : il l’accuserait d’avoir siphonné une partie de ses données clients

Canal+ multiplie les procédures pour faire valoir ses droits. Mais le groupe audiovisuel français ne s’attaque pas seulement aux sites pirates et aux SmartTV : il aurait assigné Disney, l’un de…

Samsung Galaxy A57 : grâce à ces 2 offres cumulables, le smartphone passe à prix cassé !

Sorti il y a tout juste un mois, le Galaxy A57 est actuellement proposé à prix cassé sur le site officiel de Samsung. En effet, en cumulant le code MYPHONE…

Cette interdiction de Google censée lutter contre le piratage aurait eu l’effet totalement inverse

Google a interdit les publicités pour ebooks sur sa plateforme pour lutter contre le piratage. Mais selon des éditeurs qui le poursuivent en justice, seuls les vendeurs légaux auraient été…

Deux frères se font licencier, ils effacent les bases de données du gouvernement en à peine 5 minutes

Vous vous demandez pourquoi certaines entreprises suppriment les accès des employés avant de leur annoncer leur licenciement ? Cette histoire rocambolesque y répond parfaitement. Se faire licencier n’est jamais plaisant….

Amazon Fire TV Stick 4K Plus à -43% : le lecteur multimédia passe à petit prix !

Vous souhaitez connecter votre TV en un rien de temps ? Amazon propose actuellement son Fire TV Stick 4K Plus à 39,99€ au lieu de 69,99 €. C’est le bon moment pour…

Vous pouvez désormais concevoir n’importe quel widget Android grâce à cette idée de génie de Google

Les widgets Android sont souvent les mêmes pour tout le monde. Google vient d’annoncer une façon inédite d’en créer un qui vous ressemble vraiment. Une simple phrase suffit pour que…

Cette vidéo nous montre Aluminum OS, le nouveau concurrent de Windows basé sur Android

Aluminum OS, le système basé sur Android et successeur de Chrome OS, qui sera installé sur les nouveaux PC portables Googlebook, se montre dans une longue vidéo de 16 minutes….

PC

Le bouclier antimissile de Trump affiche une facture qui dépasse le PIB des Pays-Bas

Donald Trump veut couvrir les États-Unis d’un bouclier antimissile spatial. Un rapport officiel vient d’estimer sa facture réelle, et le chiffre est vertigineux. Ce projet divise déjà profondément, et sa…

Le prix du forfait mobile Série Free augmente, voici le nouveau tarif

Contre une dizaine de Go supplémentaires, Free augmente le prix de son forfait mobile 5G le plus abordable, qui devient plus cher que son équivalent chez RED by SFR. Free…

Le Steam Controller fait quelque chose de très innatendu quand il tombe (et c’est hilarant)

Un membre de Reddit a découvert un easter egg glissé par les équipes de Valve dans le Steam Controller. Si la manette tombe par mégarde, il est possible que celle-ci…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.