76 applications iOS, pour certaines connues, souffrent de problèmes de sécurité résultant d'erreurs de développement. Ce n'est pas un décompte exhaustif — cette somme d'apps a été testée — et le nombre et la diversité de ces logiciels interpelle.
Les développeurs de ces apps ont commis des erreurs dans la mise en place d'une communication sécurisée avec le protocole TLS. Assez pour laisser potentiellement le champ libre à des individus qui voudraient intercepter les données échangées entre l'iPhone et les serveurs de l'éditeur de l'app.
Will Strafach, le patron de Sudo Security et auteur de Verify.ly un outil d'analyse de code a détecté une palanquée de ces défauts de sécurité alors que sa société testait la version web de son outil. Il a fait en sorte alors de créer un certificat TLS qui trompe ces apps, leur laissant croire qu'elles communiquaient avec un serveur légitime.
Apple promeut auprès des développeurs le recours à ATS (App Transport Security) qui utilise TLS dans sa version 1.2, avec un niveau de chiffrement plus élevé. L'été dernier, la Pomme avait ordonné aux développeurs d'utiliser ATS d'ici la fin de l'année, puis ce délai a été repoussé à plus tard. Pour autant, explique Strafach, si ATS vérifie que les apps l'utilisent bien, en aucun cas il n'aurait pu détecter la nature frauduleuse de son certificat. C'est aux développeurs de faire attention à leur code.
Dans un billet, Will Strafach liste nommément une trentaine d'apps, celles pour lesquelles les conséquences sont les moins graves pour leurs utilisateurs.
Pour les autres, où les failles sont plus sérieuses et les donnés plus sensibles, il a suivi les pratiques en vigueur en matière de découverte de failles et d'abord contacté les sociétés concernées. Elles sont issues par exemple des milieux bancaire et médical.
Dans le premier lot rendu public, plusieurs de ces apps sont disponibles en France. Comme celle du site d'informations Vice mais aussi YeeCall Messenger, VPN Free-OvpnSpider for vpngate, Music Tube Free, Foscam IP Camera Viewer, ooVoo (chat vidéo), VivaVideo, etc. Les données susceptibles d'être interceptées peuvent être des identifiants de compte utilisateur, des informations techniques (sans trop d'importance) sur votre iPhone, l'email de l'utilisateur, son numéro de téléphone, sa géolocalisation…
Pour l'utilisateur il n'y a pas grand chose à faire à par les éviter et espérer que leurs développeurs se saisissent du problème. Dans ce genre de situation ce sont les connexions Wi-Fi ouvertes qui sont les plus à craindre, bien plus que les connexions cellulaires où il est plus difficile et coûteux de tenter une interception.
Pour les éditeurs, Will Strafach propose évidemment ses services et son logiciel d'analyse. Et de conseiller aussi aux développeurs la plus grande prudence lorsqu'ils utilisent des framework et portions de code trouvées sur les forums spécialisés.
