Une société de sécurité mobile a analysé plus d'un million d'applications sur iOS et Android. Selon elle, plus de 20.000 applications utilisent un serveur dans le Cloud dont la configuration n'est pas protégée. Résultat, n'importe quel hacker peut accéder aux données pour les récupérer ou même carrément les effacer.
au sommaire
Depuis plusieurs années, les fuites de données font la Une de l'actualité et, dernièrement, des pirates ont mis en vente sur le Dark Web les données médicales de 500.000 Français. Mais le plus souvent, les hackers n'ont pas forcément besoin d'employer des moyens sophistiqués pour y parvenir. C'est ce que révèle la société de sécurité mobilemobile Zimperium.
Cette société a analysé 1,3 million d'applicationsapplications iOSiOS et AndroidAndroid, et son verdict est sans appel : beaucoup d'éditeurs ne protègent pas vos données personnelles ! Comme l'écrit Wired, c'est comme si on partait en vacances en laissant une fenêtrefenêtre ouverte. En clair, les hackers n'ont qu'à ouvrir les yeuxyeux, repérer une faille et se servir...
En cause, le stockage dans le Cloud. Sur le million d'applications étudiées, plus de 130.000 stockent les données sur des services de cloud public comme Amazon Web Services, GoogleGoogle Cloud ou MicrosoftMicrosoft Azure. Parmi elles, près de 20.000 ont mal configuré leur serveur, et elles exposent des informations personnelles, comme les adresses e-mails, les mots de passe et même les informations médicales.
Numéro de téléphone, mot de passe, photos...
« C'est une tendance inquiétante, constate Shridhar Mittal, PDG de Zimperium. Beaucoup de ces applications ont un stockage dans le cloud qui n'a pas été configuré correctement par le développeur ou par quiconque avait accès à la configuration et, à cause de cela, les données sont visibles par à peu près tout le monde. Et la plupart d'entre nous ont actuellement certaines de ces applications. »
Le plus inquiétant est qu'il s'agit d'applications très populaires, et Zimperium site l'exemple d'une application qui fait office de portefeuille numérique, et qui expose des données bancaires et financières. Une autre application ne protège pas des résultats de tests médicaux tandis que l'application de transport d'une grande ville expose les données de paiement. Une application de réseau social permet aussi d'accéder aux photos et affiche le numéro de téléphone de l'utilisateur...
Et si des tests médicaux étaient effacés ?
Les exemples sont légion et Zimperium a été surpris de découvrir que les développeurs et les éditeurs réagissaient finalement peu lorsqu'on les prévenait des fuites. C'est dangereux puisque si cette société de sécurité est parvenue à dévoiler ces fuites de données, n'importe quel hacker en est parfaitement capable.
Plus que les données personnelles, un pirate pourrait même avoir accès aux fichiers de configuration des serveurs et ainsi prendre la main sur l'architecture du serveur et même sur le réseau dans son ensemble. Zimperium évoque aussi la possibilité, assez effrayante, de modifier, voire d'effacer toutes les données. Ce qui dans le cadre de données médicales serait catastrophique. Le tout sans que les utilisateurs ne soient évidemment au courant du danger encouru.
