Des dizaines d’applications parmi les plus populaires sont vulnérables à des attaques de type force brute. AppBugs a testé les systèmes de connexion des cent logiciels mobiles iOS et Android les plus téléchargés (plus d’un million de copies), protégés par des mots de passe. 53% ont failli aux tentatives d’intrusion par force brute, c’est à dire en essayant un par un tous les mots de passe possibles. Parmi ces apps, on trouve Pocket, Wunderlist, Songza, Expedia, Domino’s Pizza, CNN, Slack, SoundCloud, Kobo, Walmart, et d’autres encore. Pas de petites apps donc, même si Wunderlist et Pocket ont rapidement résolu le problème.
Bien souvent, la gestion des connexions se déroule côté serveur : il n’est pas utile de procéder à une mise à jour de l’application, ce qui évite d’en passer par l’étape de validation d’Apple. La solution la plus simple à mettre en place est encore d’intégrer un compteur : au bout de x tentatives (40 en moyenne, d’après l’étude), l’adresse IP de connexion est rejetée au moins pendant un temps. Expedia va plus loin avec une liste noire des adresses IP d’où proviennent de multiples requêtes. Ce n’est évidemment pas l’idéal (les malandrins peuvent toujours utiliser d’autres adresses IP), mais cela bloque déjà une bonne partie des amateurs.
Ce qui est en cause ici, c’est la possibilité laissée dans une application d’entrer un nombre illimité de mots de passe. Sans mécanisme de protection, l’app finira un moment ou à un autre par céder sous le poids des tentatives. En moyenne, un pirate récupèrera un mot de passe dans les 24 jours.
Pour remédier à ce problème le plus rapidement possible, AppBugs donne aux éditeurs des applications concernées (la plupart ne sont pas encore connues du public mais leurs développeurs ont été prévenus) jusqu’au 30 juillet pour colmater cette vulnérabilité. Ils pourront demander un délai de grâce de 60 jours supplémentaires au besoin ; à la fin du mois, AppBugs livrera la liste complète des apps faillibles.
