Plus laxiste que Apple, Android laisse passer des failles dans certaines applications. © Pixabay, PixelKult

Tech

Facebook, Instagram... ces applis dont les failles ne sont pas corrigées

ActualitéClassé sous :smartphone , Android , Facebook

Un éditeur de solutions de sécurité a découvert que des failles critiques, découvertes il y a plusieurs années, n'avaient pas été corrigées dans certaines applications. Pointés du doigt, Facebook mais aussi Google puisque ce n'est uniquement que sous Android.

Que se passe-t-il lorsque des experts en solutions de sécurité (antivirus, pare-feu...) découvrent une vulnérabilité dans une application ou un logiciel ? Ils alertent le plus grand nombre pour que les utilisateurs soient au courant, mais aussi l'éditeur du logiciel en question pour qu'il corrige le ou les failles découvertes.

Sauf que parfois, aucun correctif n'est apporté et la faille reste... C'est ce qu'ont découvert des spécialistes de Check Point, et le plus inquiétant, c'est que cela concerne des applications installées sur des centaines de millions de smartphones. Plus exactement sur des téléphones sous Android. Ils ont ainsi découvert que 19 applications, dont Facebook, Messenger et Instagram, présentes sur le Google Play contenaient toujours des bouts de code vérolés, et l'éditeur met en cause le laxisme des développeurs qui ont préféré reprendre du code contenant des failles plutôt que de le corriger.

Des projets open source accessibles à tous les éditeurs

L'explication est simple : une application mobile utilise généralement des dizaines de composants réutilisables, écrits dans un langage accessible au plus grand nombre tel que le langage C. Ces composants, appelés bibliothèques natives, sont souvent dérivés de projets open source ou alors ils intègrent des fragments de code issus de projets open source. Lorsqu'une vulnérabilité est trouvée et corrigée dans un projet open source, ses responsables n'ont généralement aucun contrôle sur les bibliothèques natives susceptibles d'être affectées par la vulnérabilité, ni sur les applications utilisant ces bibliothèques natives. Voilà pourquoi une application peut continuer à utiliser la version obsolète du code, même des années après la découverte de la vulnérabilité.

En l'occurrence, les failles qui touchent ces 19 applications datent pour certaines de 2014 ou 2015, et elles pourraient permettre à un pirate d'exécuter du code à distance ! Du côté de Google, on prend ce problème très au sérieux puisque Check Point n'a vérifié qu'un échantillon d'applications, et il se peut que beaucoup d'autres soient touchées. Quant à Facebook, il affirme que le code, même présent, n'est pas exécuté dans l'application et il ne peut donc être accessible aux pirates.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi