0
Cette faille fut initialement mise à nu par les experts d'une université allemande la semaine dernière. Ces derniers expliquent avoir trouvé le moyen d'accéder et de compromettre les données personnelles d'un mobinaute.
Les chercheurs se sont intéressés à ClientLogin, un ensemble d'interfaces de programmation permettant de s'authentifier auprès des applications Android. L'application demande au mobinaute d'entrer son identifiant et son mot de passe afin de récupérer un certificat, lequel est valide pour les requêtes futures et pour une période de deux semaines. Cependant si ce certificat transite sur une connexion non sécurisée en HTTPS, une personne malveillante peut alors récupérer ce dernier et interagir avec le compte de la victime.
Il se trouve que plusieurs services de Google (calendrier, contacts, Picasa) ne requièrent pas nécessairement une connexion sécurisée. Les mobinautes disposant des versions 2.3.3 et inférieures du système Android seraient les plus vulnérables à ce type d'attaques, soit environ 99% de l'ensemble des utilisateurs d'Android. Le certificat ne contient aucune information spécifique empêchant un tiers de l'utiliser depuis un autre appareil.
Google vient donc de déployer un correctif sur ses serveurs pour l'ensemble des versions de son système d'exploitation mobile afin de sécuriser le carnet d'adresses et le calendrier. De son côté l'utilisateur ne devra donc procéder à aucun téléchargement. Les ingénieurs plancheraient toujours sur la sécurité du service Picasa. La mise à jour devrait être effective pour tout le monde dans les prochains jours.
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Lire d'autres articles
