Le cloud de milliers d’applications Android et iOS menace la sécurité de vos données

Une enquête montre que le cloud d'un nombre inquiétant d'applications Android et iOS est mal configuré, ce qui expose les données de nombreux utilisateurs. Les pirates ont alors accès à des données personnelles, médicales, voire même parfois des comptes et mots de passe en clair !

Les chercheurs en sécurité de Zimperium avertissent d'un phénomène inquiétant. Grâce à des tests automatisés, ils se sont en effet rendu compte que des dizaines de milliers d'applications reposent sur un service de cloud mal configuré par son développeur. Ce qui expose certaines données sensibles qui y sont stockées.

Zimperium fait partie de l'alliance App Defense de Google qui rassemble des acteurs triés sur le volet dont le rôle est, en complément de Google Play Protect de scanner le Google Play Store pour mettre en évidence tout problème de sécurité dans le magasin d'applications. Ces mauvaises configurations touchent toutes les catégories d'applications.

Problèmes de configuration de cloud : toutes les catégories d'applications sont concernées

Zimperium explique que les mêmes problèmes se retrouvent aussi bien sur des applications qui comptent quelques milliers de téléchargements que des applications à plusieurs millions. A cause de l'étendue du problème, l'organisme préfère ne pas dévoiler la liste des applications touchées.

Les chercheurs ne pouvaient pas, en effet, prévenir autant de développeurs. Et lorsqu'ils l'ont fait, ils se sont rendu compte que la réaction des intéressés était dans le meilleur des cas insuffisante. Parmi les applications concernées on trouve, selon la firme, un portemonnaie numérique édité dans une entreprise du classement Fortune 500 – qui expose les données de sessions des utilisateurs ainsi que des données financières.

Mais aussi des applications médicales avec des résultats de tests, et même des photos de profil, en clair, sans aucun chiffrement. Zimperium parle également du cas d'une application de transports d'une grande ville qui donne accès en clair à des données bancaires. En plus de ces données sensibles des utilisateurs, les chercheurs ont parfois trouvé des paires login/mot de passe réseau, des fichiers de configuration système et des clés d'architecture serveur.

Lire également cet exemple : une faille de sécurité menace l'application Go SMS Pro, des millions de photos privées dans la nature

AWS, Azure, Google Cloud… les développeurs oublient qu'ils sont seuls maîtres de leur sécurité

De quoi leur donner un accès profond à l'infrastructure informatique de ces entreprises. Dans un des cas, les chercheurs rapportent même qu'un serveur permettait à n'importe qui d'effacer ou de changer des données sans élévation de privilèges. En tout, la firme explique avoir découvert que le cloud d'au moins 20 000 applications Android et iOS était mal configuré au point de menacer la sécurité de leurs utilisateurs.

Le fond du problème est sans doute que le web moderne, et les applications, reposent sur des services de cloud clés-en-main qui permettent aux développeurs de se concentrer surtout sur les fonctionnalités de leur application plutôt que de mettre vraiment les mains dans le cambouis pour construire et maintenir leur propore solution de cloud.

Il y a à date surtout trois acteurs majeurs du cloud : Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform. Or, si ces plateformes simplifient effectivement la mise en place de l'infrastructure de cloud, elles ne prémunissent pas les développeurs contre les problèmes de code dans leurs applications.

Et parce qu'ils ne gèrent qu'un petit bout de l'infrastructure, les dévs ont tendance à baisser un peu la garde. C'est d'ailleurs pour cela que des services comme AWS font ce qu'ils peuvent pour prévenir en amont les développeurs lorsqu'ils détectent des problèmes de configuration. Néanmoins, Amazon comme ses concurrents ne peuvent pas faire disparaître ces problèmes de configuration par magie.

Les utilisateurs Android et iOS manquent encore d'informations sur la sécurité des applications

“Pour les utilisateurs, cela signifie que des données nominatives peuvent se retrouver exposées : données médicales, résultats de tests, numéros de téléphone, et même le mot de passe de certains comptes. Or, il s'agit aussi d'un risque pour les entreprises. Des pirates peuvent obtenir des informations qui les aides à mener des attaques plus profondes”, remarque Shridhar Mittal, PDG de Zimperium.

Il revient donc aux développeurs d'être particulièrement vigilants. Les risques n'ont rien de virtuel : des groupes de pirates scannent en permanence les magasins d'applications pour déceler les problèmes de configuration de cloud. Et il y a fort à parier que ces derniers mènent des attaques discrètes basées sur ce type d'erreurs au moment même où nous écrivons ces lignes.

Pour l'heure, les utilisateurs ne peuvent malheureusement rien faire. Apple a bien mis en place des fiches qui montrent comment chaque application utilise vos données personnelles – ce qui peut vous aider à vous orienter vers les applications qui collectent moins de données. Mais rien, ni sur l'App Store, ni sur le Play Store, ne permet encore vraiment de se rendre compte du degré de sécurité de la solution cloud d'une application donnée.