Pourquoi le banking mobile n’est pas une bonne idée

© istock

Payer avec son smartphone, cela peut sembler pratique, mais la seule façon de le faire de manière sûre, c’est de ne télécharger aucune appli sur l’appareil car le risque de problème que l’on court avec ces applis, est très grand.

Les spots sont cette fois dirigés une fois encore sur Android. Le spécialiste de la sécurité Sam Browne a invité les étudiants de son cours de ‘piratage éthique’ au City College de San Francisco à mener l’enquête sur la réaction de développeurs d’applis à propos d’une brèche détectée, il y a 7 mois déjà, et les résultats sont pour le moins édifiants.

Browne et ses étudiants ont examiné 15 applis qui, en septembre 2014, via une connexion https sécurisée, s’avérèrent vulnérables à ce qu’on appelle une attaque ‘man-in-the-middle’, du fait qu’elles avaient accepté des certificats TLS falsifiés. Résultat: il fut relativement simple de subtiliser des noms d’utilisateur, des mots de passe et d’autres données sensibles.

Cela n’a pas changé, a observé Browne, même si entre-temps, une mise à jour de ces applis a été publiée. L’une d’elle était nota bene une appli de banking mobile de la State Bank of India.

Des centaines de millions de smartphones vulnérables

En tout, il est à coup sûr question de 350 millions d’appareils Android sur lesquels la faille indésirable était encore et toujours présente. Et l’on ne parle ici que des 15 applis examinées par Browne.

Lors de la découverte de la brèche, la CERT Divison du Software Engineering Institute a constaté que 23.668 applis contenaient cette faille. Même si Browne n’a pas réalisé d’échantillon arbitraire, il n’y a guère de raisons de croire que toutes ces applis vulnérables ont entre-temps été suffisamment corrigées.

Ce qui est étonnant aussi, c’est que Google n’effectue apparemment pas de contrôle effectif et ne fait pas pression pour que les applis qui sont distribuées via son Google Play soient suffisamment corrigées. Elle va le faire, apprend-on d’une réaction à la ‘publicité’ déclenchée par Browne. Mais le fait est que l’entreprise ne l’a pas décidé d’elle-même.

Apple souffre du même problème

Se tourner vers l’iPhone n’est pas une alternative. Apple a certes pu faire passer l’image d’une entreprise qui contrôle rigoureusement ses applis, il n’empêche que dans l’App Store, l’on a récemment découvert encore 1.500 applis au sujet desquelles on n’avait encore pris aucune mesure en vue de protéger les utilisateurs et ce, 3 semaines après l’annonce d’une brèche.

SourceDNA, qui tire la sonnette d’alarme, clame haut et fort qu’il y aurait déjà plus de 25.000 applis iOS présentant des failles en circulation. La semaine dernière, il est également apparu qu’iOS n’est pas irréprochable dans le traitement des certificats SSL. Et les pirates ne manquent pas d’en profiter.

SSL/TLS ne donna pas de garantie sur le smartphone

Bref: une connexion sécurisée sur un smartphone n’est pas ce qu’elle devrait être. Avant que Google et Apple n’aient pris des mesures suffisantes pour mettre à niveau la sécurité de leurs plates-formes, mieux vaut ne pas recourir au banking mobile si vous utilisez aussi votre smartphone dans des endroits dont vous ignorez si quelqu’un peut… regarder par-dessus votre épaule ou vous mettre sur écoute.

Ou alors, vous devez être sûr évidemment de ne télécharger et de n’utiliser absolument aucune autre appli, et espérer que les développeurs de votre appli de mobile banking aient fait du meilleur boulot que ceux auxquels la State Bank of India a eu recours.

Source: Automatiseringgids

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire