Comment des millions d'applications sont vulnérables à un hack de sécurité unique

Lors de la conférence sur la sécurité Black Hat Europe de cette année, deux chercheurs de l'Université chinoise de Hong Kong ont présenté une étude révélant un exploit affectant les applications Android pouvant potentiellement laisser plus d'un milliard d'applications installées vulnérables aux attaques..

L'exploit repose sur une attaque de l'homme du milieu de la mise en œuvre mobile de la norme d'autorisation OAuth 2.0. Cela semble très technique, mais qu'est-ce que cela signifie réellement, et vos données sont-elles en sécurité??

Qu'est-ce que OAuth??

OAuth est un standard ouvert utilisé par de nombreux sites Web et applications. 3 Termes de sécurité essentiels à comprendre. 3 Termes de sécurité essentiels à comprendre. Confus par le cryptage? Dérouté par OAuth, ou pétrifié par Ransomware? Révisons quelques termes de sécurité les plus couramment utilisés et leur signification. Lisez Plus pour vous permettre de vous connecter à une application ou à un site Web tiers en utilisant un compte d'un des nombreux fournisseurs OAuth. Certains des exemples les plus courants et les plus connus sont Google, Facebook et Twitter..

Le bouton Single Sign On (SSO) vous permet d’accorder l’accès aux informations de votre compte. Lorsque vous cliquez sur le bouton Facebook, l'application ou le site Web tiers recherche un jeton d'accès lui permettant d'accéder à vos informations Facebook..

Si ce jeton n'est pas trouvé, il vous sera demandé d'autoriser l'accès tiers à votre compte Facebook. Une fois que vous avez autorisé cela, Facebook reçoit un message du tiers demandant un jeton d'accès..

Facebook répond avec un jeton, accordant à un tiers l'accès aux informations spécifiées. Par exemple, vous accordez l'accès aux informations de votre profil de base et à la liste d'amis, mais pas à vos photos. Le tiers reçoit le jeton et vous permet de vous connecter avec vos identifiants Facebook. Ensuite, tant que le jeton n’expire pas, il aura accès aux informations que vous avez autorisées..

Cela semble être un excellent système. Vous devez vous rappeler moins de mots de passe, et vous connecter facilement et vérifier vos informations avec un compte que vous avez déjà. Les boutons SSO sont encore plus utiles sur mobile où créer de nouveaux mots de passe, où autoriser un nouveau compte peut prendre beaucoup de temps.

Quel est le problème?

Le dernier cadre OAuth - OAuth 2.0 - a été publié en octobre 2012 et n'a pas été conçu pour les applications mobiles. Cela a amené de nombreux développeurs d'applications à implémenter OAuth par eux-mêmes, sans aucune indication sur la manière de procéder en toute sécurité..

Tandis que OAuth sur les sites Web utilise la communication directe entre les serveurs tiers et le fournisseur de connexion unique, les applications mobiles n'utilisent pas cette méthode de communication directe. Au lieu de cela, les applications mobiles communiquent entre elles via votre appareil.

Lorsque vous utilisez OAuth sur un site Web, Facebook transmet les informations de jeton d'accès et d'authentification directement aux serveurs tiers. Ces informations peuvent ensuite être validées avant de connecter l’utilisateur ou d’accéder à des données personnelles..

Les chercheurs ont découvert qu'un grand pourcentage d'applications Android manquaient de cette validation. Au lieu de cela, les serveurs de Facebook envoient le jeton d'accès à l'application Facebook. Le jeton d'accès serait alors remis à l'application tierce. L'application tierce vous permettrait alors de vous connecter, sans vérifier avec les serveurs de Facebook que les informations de l'utilisateur étaient légitimes..

L'attaquant pourrait se connecter en tant que tel, provoquant la demande de jeton OAuth. Une fois que le jeton a été autorisé par Facebook, ils peuvent s'interposer entre les serveurs de Facebook et l'application Facebook. L'attaquant pourrait alors changer l'identifiant de l'utilisateur sur le jeton en celui de la victime. Le nom d'utilisateur est généralement aussi une information accessible au public, il y a donc très peu d'obstacles pour l'attaquant. Une fois que l'ID utilisateur a été modifié - mais l'autorisation est toujours accordée - l'application tierce se connectera sous le compte de la victime..

Ce type d’exploit est connu sous le nom d’attaque «Man-in-the-Middle» (MitM). Qu'est-ce qu'une attaque Man-in-the-Middle? Le jargon de la sécurité a expliqué Qu'est-ce qu'une attaque de type homme au milieu? Le jargon de la sécurité expliqué Si vous avez entendu parler d'attaques de type "homme au milieu" mais que vous n'êtes pas certain de ce que cela signifie, cet article est pour vous. Lire la suite . C’est à cet endroit que l’attaquant est capable d’intercepter et de modifier des données, alors que les deux parties pensent communiquer directement entre elles..

Comment cela vous affecte?

Si un attaquant parvient à faire croire à une application qu'il est pour vous, le pirate informatique aura alors accès à toutes les informations que vous stockez dans ce service. Les chercheurs ont créé le tableau ci-dessous, qui répertorie certaines des informations que vous pouvez exposer sur différents types d'applications..

Certains types d’informations sont moins dommageables que d’autres. Vous êtes moins susceptible de craindre de révéler votre historique de lecture d'actualités que tous vos projets de voyage ou la possibilité d'envoyer et de recevoir des messages privés en votre nom. C'est un rappel qui fait réfléchir sur les types d'informations que nous transmettons régulièrement à des tiers - et sur les conséquences de leur utilisation abusive.

Si vous vous inquiétez?

Les chercheurs ont constaté que 41,21% des 600 applications les plus populaires prenant en charge l'authentification unique sur le Google Play Store étaient vulnérables à l'attaque MitM. Cela pourrait potentiellement exposer des milliards d'utilisateurs du monde entier à ce type d'attaque. L’équipe a mené ses recherches sur Android, mais elle pense qu’elle peut être répliquée sur iOS. Cela laisserait potentiellement des millions d'applications sur les deux plus grands systèmes d'exploitation mobiles vulnérables à cette attaque..

Au moment de la rédaction du présent document, l'IETF (Internet Engineering Task Force) n'a pas fait de déclaration officielle pour avoir élaboré les spécifications OAuth 2.0. Les chercheurs ont refusé de nommer les applications concernées. Vous devez donc faire preuve de prudence lorsque vous utilisez l'authentification unique sur des applications mobiles..

Il y a une doublure d'argent. Les chercheurs ont déjà alerté Google et Facebook, ainsi que d'autres fournisseurs d'authentification unique. En plus de cela, ils travaillent aux côtés des développeurs tiers concernés pour résoudre le problème.

Que pouvez-vous faire maintenant?

Même si un correctif est sur le chemin, il y a beaucoup des applications concernées à mettre à jour. Cela risque de prendre un certain temps et il peut donc être intéressant de ne pas utiliser l'authentification unique pour le moment. Au lieu de cela, lorsque vous vous enregistrez pour un nouveau compte, assurez-vous de créer un mot de passe fort. 6 Conseils pour créer un mot de passe indestructible que vous pouvez vous souvenir 6 Conseils pour créer un mot de passe indestructible que vous pouvez vous rappeler Si vos mots de passe ne sont pas uniques ainsi ouvrir la porte et inviter les voleurs pour le déjeuner. Lire plus vous n'oublierez pas. Ou bien utilisez un gestionnaire de mots de passe. Comment les gestionnaires de mots de passe sécurisent vos mots de passe Comment les gestionnaires de mots de passe sécurisent vos mots de passe Les mots de passe difficiles à déchiffrer sont également difficiles à retenir. Voulez-vous être en sécurité? Vous avez besoin d'un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous protègent. Lisez plus pour faire le gros du travail pour vous.

Faites votre propre bilan de sécurité. Protégez-vous avec un bilan annuel de sécurité et de confidentialité Protégez-vous avec un bilan de sécurité annuel et de confidentialité Nous sommes presque deux mois dans le nouvel an, mais il est encore temps de prendre une résolution positive. Oubliez boire moins de caféine - nous parlons de prendre des mesures pour protéger la sécurité et la confidentialité en ligne. Lire plus de temps en temps. Google vous récompensera même dans le stockage en nuage. Cette vérification de 5 minutes de Google vous donnera 2 Go d’espace libre. Cette vérification de 5 minutes de Google vous donnera 2 Go d’espace libre. Si vous prenez cinq minutes pour effectuer cette vérification de sécurité, Google vous donner 2 Go d'espace libre sur Google Drive. Lire la suite pour effectuer leur bilan. C'est le moment idéal pour vérifier quelles applications vous avez donné la permission d'utiliser Using Social Login? Suivez ces étapes pour sécuriser vos comptes en utilisant Social Login? Suivez ces étapes pour sécuriser vos comptes Si vous utilisez un service de connexion sociale (tel que Google ou Facebook), vous pouvez penser que tout est sécurisé. Non, il est temps d'examiner les faiblesses des logins sociaux. En savoir plus sur vos comptes SSO. Ceci est particulièrement important sur un site comme Facebook Comment gérer vos identifiants Facebook tiers [Astuces hebdomadaires Facebook] Comment gérer vos identifiants Facebook tiers [Astuces Facebook hebdomadaires] Combien de fois avez-vous autorisé un site tiers à avoir accès à votre compte Facebook? Voici comment vous pouvez gérer vos paramètres. En savoir plus, qui stocke une quantité considérable d'informations très personnelles Comment télécharger en masse vos données Facebook et quelles informations les archives contiennent? Comment télécharger en masse vos données Facebook et les informations que contiennent les archives Suite à une décision de la Cour européenne, Facebook a récemment mis à niveau la fonctionnalité permet aux utilisateurs de télécharger une archive de leurs données personnelles. L'option d'archivage est disponible depuis 2010 et comprend des photos, des vidéos et des messages,… Read More .

Pensez-vous qu'il est temps de s'éloigner de Single Sign On? Quelle est selon vous la meilleure méthode de connexion? Avez-vous été touché par cet exploit? Faites-nous savoir dans les commentaires ci-dessous!

Crédits d'image: Marc Bruxelle / Shutterstock

En savoir plus sur: Facebook, Smartphone Security.