Plus de 1 800 applications Android et iOS présentent des risques de fuites de données

03 septembre 2022 à 08h00
3
cybersécurité faille vulnérabilité © madartzgraphics / Pixabay
© madartzgraphics / Pixabay

L'entreprise Symantec, spécialisée dans la cybersécurité, tire la sonnette d'alarme en ce qui concerne un accès facilité à des millions d'informations privées dans de très nombreuses applications, principalement sous iOS.

La faille proviendrait notamment du réemploi de jetons Amazon Web Services (AWS) valides qui donneraient accès à un éventail d'informations bien plus large que celui pour quoi ils sont initialement prévus.

Un problème lié à la chaîne d'approvisionnement

L'entreprise Symantec a répertorié 1 859 applications, dont 98 % sous iOS, comprenant d'importantes failles de sécurité causées par le réemploi de jetons Amazon Web Services codés en dur. En effet, dans 53 % des applications passées au peigne fin par Symantec, on retrouve le réemploi des mêmes informations d'identification AWS, décuplant de fait la vulnérabilité de ces données. Pour Symantec, le problème vient de la chaîne d'approvisionnement, notamment de kits de développement logiciel (SDK), lors du codage des applications.

Comme l'expose la firme, si le code AWS ne donne l'accès qu'à un seul fichier contenu dans le S3, la vulnérabilité est minime, mais ce n'est pas le cas ici. Parmi les exemples, un SDK employé par une entreprise B2B ne permet pas seulement un accès à sa plateforme pour ses clients, mais à l'ensemble des clés d'infrastructure cloud de cette même entreprise. Selon Symantec, les données de plus de 15 000 grandes et moyennes entreprises qui y sont enregistrées seraient malencontreusement exposées, avec aussi bien les informations relatives aux clients qu'aux salariés, ou encore des dossiers financiers.

Comment en est-on arrivé là ? Symantec explique que « l'entreprise a codé en dur le jeton d'accès AWS pour accéder au service de traduction AWS. Cependant, au lieu de limiter l'utilisation du jeton d'accès codé en dur avec le service cloud de traduction, toute personne disposant du jeton avait un accès total et sans entrave à tous les services cloud AWS de l'entreprise B2B. »

De nombreuses informations sensibles en péril

Bien que cela puisse être majoritairement involontaire de la part des développeurs, le réemploi de ces jetons qui ouvrent un accès total aux données sur des centaines d'applications différentes décuple de manière exponentielle le risque de fuite. Lors de son analyse, Symantec affirme que 47 % des applications passées au crible possèdent des jetons AWS qui ne donnent pas seulement accès aux fichiers souhaités lors du codage, dans un espace cloud privé par exemple, mais bien à des millions de fichiers contenus dans Amazon Simple Storage Service (S3).

D'autres exemples illustrent la gravité de la situation. L'emploi du SDK vulnérable AI Digital Identity par cinq mêmes applications d'établissements bancaires a conduit à l'exposition de données biométriques, ici les empreintes digitales, de plus de 300 000 personnes enregistrées. La bonne nouvelle reste que Symantec a déjà alerté toutes les structures concernées.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
luck61
Un token ce n’est pas suffisant, il faut aussi l’id de l’utilisateur
MattS32
Ça dépend, pour certains services un token seul suffit.<br /> Et de toute façon, vu que ces token sont intégrés dans les applications parce que les applications ont besoin d’accéder au service, si un id utilisateur est nécessaire en plus du token, il est forcément aussi intégré dans l’appli.
bennukem
id user + token = token plus long
Voir tous les messages sur le forum

Derniers actualités

Retournement de situation : M6 n'est plus à vendre. Que s'est-il passé ?
Êtes-vous prêts pour le bracelet de paiement ? Le français Fyve se lance en couleurs
Pourquoi les joueurs préfèrent les cartes graphiques milieu et bas de gamme ?
Mort de Stadia : Google aurait annulé une suite de Death Stranding
Samsung : découvrez les rendus du futur Galaxy A14
Airbnb va donner de l'argent aux hôtes qui font des travaux de rénovation énergétique
Crypto et influenceurs : pourquoi Kim Kardashian risque-t-elle 1,26 million de dollars d'amende ?
Là où meurent les Autolib... un cimetière découvert en pleine campagne
Profitez d'une belle remise sur le Samsung Galaxy S20 FE
Non, l'iPhone 15 n'aura pas Touch ID (ni les iPhone suivants)
Haut de page