185 millions, c’est le nombre d’utilisateurs d’Android qui sont susceptibles de se voir voler des données confidentielles telles que leurs codes d’accès à leur banque, leurs identifiants à divers services ou encore le contenu de certains messages. En effet, selon une recherche qui a été effectuée récemment, au moins 41 applications disponibles sur le Play Store possèdent des fuites utilisables avec des exploits disponibles en ligne. Malheureusement, les chercheurs n’ont pas dévoilé le nom des applications mises en cause.
Dans cette étude, les chercheurs sont partis d’un échantillon de 13 500 applications gratuites sur le Play Store de Google. De cet échantillon ont été identifiées 1 074 applications susceptibles d’être vulnérables à des attaques du type man-in-the-middle (attaques de l’homme du milieu, qui consistent à intercepter les communications transitant entre deux parties sans qu’elles ne s’en rendent compte).
100 applications ont ensuite été choisies dans ce nouvel échantillon et ont toutes été testées, manuellement ce coup-ci. L’expérience a consisté à les connecter à un réseau utilisant le protocole SSL afin de vérifier si l’implémentation de ce dernier sur le terminal pouvait être mise à mal. Plusieurs méthodes ont été utilisées et en résulte une petite liste d’applications vulnérables.
On ne connaît donc pas les noms mais on en connaît la description, donc voila ce qu’on sait pour le moment :
- une application type antivirus qui accepte des certificats invalides
- une application utilisée par un à cinq millions de personnes et qui se définit comme étant une méthode simple de stockage de données dans le cloud : les certificats de login sont exposés
- une application client pour « un site Web 2.0 populaire avec environ un million d’utilisateurs » dont on peut extraire les certificats de Facebook et de Google
- une « application multi-plate-formes très populaire de service de messagerie » utilisée par 10 à 50 millions de personnes qui expose les numéros de téléphone du répertoire de contacts
Il apparaît que certaines de ces applications ont été développées par des développeurs tiers (autres que les développeurs du service lui-même). Alors à qui la faute ? Aux développeurs d’applications qui doivent se montrer plus vigilants ? À Google qui devrait mieux sécuriser Android ? Aux deux ? Google n’a pas voulu se prononcer pour le moment, mais des rumeurs courent depuis quelques jours, rumeurs qui font état d’un scanner de malware développé par Google et directement intégré dans Android qui permettra de vous prévenir si vous tentez d’installer une application qui pourrait s’avérer dangereuse.
À noter que rien n’est dit en ce qui concerne les équivalents de ces applications sur iOS : ils peuvent donc être aussi bien sécurisés que pas du tout.