{"id":2257,"date":"2014-01-17T10:59:50","date_gmt":"2014-01-17T10:59:50","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=2257"},"modified":"2020-02-26T15:45:46","modified_gmt":"2020-02-26T15:45:46","slug":"des-applications-bancaires-pour-ios-remplies-de-trous","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/des-applications-bancaires-pour-ios-remplies-de-trous\/2257\/","title":{"rendered":"Des applications bancaires pour iOS remplies de trous !"},"content":{"rendered":"<p>Un certain nombre d\u2019applications bancaires pour iOS provenant des banques les plus importantes au monde contiennent des bugs qui <a href=\"https:\/\/threatpost.com\/flaws-plague-leading-mobile-banking-apps\/103547\" target=\"_blank\" rel=\"noopener nofollow\">exposent les utilisateurs \u00e0 des vols de donn\u00e9es et \u00e0 des piratages de comptes<\/a>. Plus particuli\u00e8rement, un pirate dou\u00e9 pourraient potentiellement surveiller le comportement d\u2019un utilisateur gr\u00e2ce \u00e0 des attaques de \u00ab\u00a0l\u2019homme du milieu\u00a0\u00bb, prendre le contr\u00f4le des comptes de l\u2019utilisateur via des attaques de piratage et causer des probl\u00e8mes de corruption de la m\u00e9moire qui pourraient engendrer des crashs du syst\u00e8me et des fuites de donn\u00e9es. En bref, ces vuln\u00e9rabilit\u00e9s pourraient permettre \u00e0 un pirate de voler les identifiants des utilisateurs et d\u2019acc\u00e9der de mani\u00e8re frauduleuse aux comptes bancaires en ligne de l\u2019utilisateur.<\/p>\n<p>Ariel Sanchez, un chercheur argentin qui travaille avec l\u2019entreprise de s\u00e9curit\u00e9 <a href=\"http:\/\/blog.ioactive.com\/2014\/01\/personal-banking-apps-leak-info-through.html\" target=\"_blank\" rel=\"noopener nofollow\">IOActive<\/a>, a conduit une s\u00e9rie de tests sur 40 applications mobiles d\u00e9velopp\u00e9es par les 60 meilleurs banques dans le monde. Ces tests comprenaient des analyses de s\u00e9curit\u00e9 des m\u00e9canismes de transf\u00e8re de donn\u00e9es, des interfaces utilisateurs, des processus de stockage ainsi que des choses plus compliqu\u00e9es telles que des compilateurs et des binaires.<\/p>\n<p>Sanchez a trouv\u00e9 une s\u00e9rie de <a href=\"https:\/\/www.kaspersky.fr\/blog\/quest-ce-quun-exploit\/\" target=\"_blank\" rel=\"noopener\">vuln\u00e9rabilit\u00e9s potentiellement exploitables<\/a>.<\/p>\n<p>\u00ab\u00a0Un individu avec les capacit\u00e9s n\u00e9cessaires pourrait utiliser ces informations pour d\u00e9tecter de potentiels bugs et apr\u00e8s quelques recherches, il pourrait d\u00e9velopper un exploit ou un malware pour compromettre les clients des applications bancaires infect\u00e9es,\u00a0\u00bb a affirm\u00e9 Sanchez. \u00ab\u00a0Nous pouvons consid\u00e9rer qu\u2019il s\u2019agit de la premi\u00e8re \u00e9tape vers une potentielle menace de s\u00e9curit\u00e9.\u00a0\u00bb<\/p>\n<p>IOActive d\u00e9clare avoir report\u00e9 ces vuln\u00e9rabilit\u00e9 aux banques. \u00c0 ce jour, Sanchez affirme qu\u2019aucunes des banques n\u2019ont corrig\u00e9 ces probl\u00e8mes de s\u00e9curit\u00e9.<\/p>\n<p>Sanchez a expliqu\u00e9 que le probl\u00e8me le plus inqui\u00e9tant est le nombre d\u2019identifiants de d\u00e9veloppement cod\u00e9s ensevelis dans les binaires qui est survenu pendant une analyse statique de chaque code binaire des applications. En d\u2019autres termes, certaines applications bancaires vuln\u00e9rables contiennent un acc\u00e8s \u00e0 diff\u00e9rentes cl\u00e9s ma\u00eetresses. Celles-ci on pour but de donner acc\u00e8s aux infrastructures des applications aux d\u00e9veloppeurs. Malheureusement, ces identifiants de d\u00e9veloppement peuvent fournir aux pirates le m\u00eame type d\u2019acc\u00e8s.<\/p>\n<p>\u00ab\u00a0Cette vuln\u00e9rabilit\u00e9 pourraient \u00eatre utilis\u00e9e pour acc\u00e9der \u00e0 l\u2019infrastructure de d\u00e9veloppement de la banque et infecter l\u2019application avec un <a href=\"https:\/\/www.kaspersky.fr\/blog\/les-chevaux-de-troie-bancaires\/\" target=\"_blank\" rel=\"noopener\">malware<\/a>, causant ainsi une infection massive de toutes les utilisateurs de l\u2019application\u00a0\u00bb, a expliqu\u00e9 Sanchez.<\/p>\n<div class=\"pullquote\">Cette vuln\u00e9rabilit\u00e9 pourraient \u00eatre utilis\u00e9e pour acc\u00e9der \u00e0 l\u2019infrastructure de d\u00e9veloppement de la banque et infecter l\u2019application avec un malware, causant ainsi une infection massive de toutes les utilisateurs de l\u2019application\u00a0\u00bb<\/div>\n<p>Le probl\u00e8me vient en partie du fait qu\u2019un certain nombre d\u2019applications envoient des liens non-chiffr\u00e9s aux utilisateurs et qu\u2019elles ne r\u00e9ussissent pas \u00e0 valider correctement les <a href=\"https:\/\/www.kaspersky.fr\/blog\/les-certificats-numeriques-et-le-protocole-httpss\/\" target=\"_blank\" rel=\"noopener\">certificats SLL<\/a> quand les informations sont chiffr\u00e9es. Ce comportement, que Sanchez attribue \u00e0 un oubli de la part de ceux qui ont d\u00e9velopp\u00e9 les applications, expose les clients \u00e0 des attaques de \u00ab\u00a0l\u2019homme du milieu\u00a0\u00bb dans lesquelles les pirates pourraient injecter un javascript malveillant ou un code HTML dans le cadre d\u2019une attaque de phishing.<\/p>\n<p>Tous les probl\u00e8mes d\u00e9couverts par Sanchez sont renforc\u00e9s par le fait que 70% des banques qu\u2019ils ont analys\u00e9es n\u2019ont pas mis en place d\u2019authentification \u00e0 deux facteurs.<\/p>\n<p>\u00ab\u00a0Vous avez seulement besoin du binaire de l\u2019application et aussi d\u2019un outil pour d\u00e9chiffrer le code ainsi qu\u2019un autre pour d\u00e9sassembler le code,\u00a0\u00bb a-t-il d\u00e9clar\u00e9. \u00ab\u00a0Il existe un grand nombre de publications o\u00f9 il est expliqu\u00e9 comment d\u00e9chiffrer et d\u00e9sassembler le code de ces applications. Quelqu\u2019un avec un peu de temps et sans aucunes connaissances peut facilement suivre ces instructions.\u00a0\u00bb<\/p>\n<p>IOActive s\u2019est montr\u00e9 responsable : ils n\u2019ont pas d\u00e9voil\u00e9 les entit\u00e9s bancaires concern\u00e9es ou publi\u00e9 les vuln\u00e9rabilit\u00e9s, ce qui pourrait donner aux pirates les informations dont ils ont besoin pour cibler les comptes des utilisateurs. Mais cela a \u00e9galement des inconv\u00e9nients : nous ne savons pas quelles banques et quelles applications sont vuln\u00e9rables et nous ne savons donc pas \u00e0 qui faire confiance.<\/p>\n<p>\u00c9videmment, les plus prudents d\u2019entre nous feraient peut-\u00eatre mieux d\u2019attendre avant de r\u00e9utiliser leurs applications bancaires, du moins jusqu\u2019\u00e0 ce que ces probl\u00e8mes soient confirm\u00e9s et corrig\u00e9s. N\u00e9anmoins, nombreux d\u2019entre nous ne le feront pas. Donc en attendant, pensez \u00e0 mettre en place une authentification \u00e0 deux facteurs si votre banque vous le permet, faites attention aux messages d\u2019hame\u00e7onnage, et gardez un \u0153il sur votre compte en banque.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un certain nombre d\u2019applications bancaires pour iOS provenant des banques les plus importantes au monde contiennent des bugs qui exposent les utilisateurs \u00e0 des vols de donn\u00e9es et \u00e0 des<\/p>\n","protected":false},"author":42,"featured_media":2258,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[541,165,155,61,322],"class_list":{"0":"post-2257","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-applications-bancaires","9":"tag-ios","10":"tag-malware-2","11":"tag-securite","12":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/des-applications-bancaires-pour-ios-remplies-de-trous\/2257\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/applications-bancaires\/","name":"applications bancaires"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2257","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=2257"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2257\/revisions"}],"predecessor-version":[{"id":14063,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2257\/revisions\/14063"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/2258"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=2257"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=2257"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=2257"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}