Plus t\u00f4t cette semaine, il a \u00e9t\u00e9 annonc\u00e9 que l’application mobile iOS de Starbucks exposait les informations personnelles des utilisateurs qui l’avaient t\u00e9l\u00e9charg\u00e9e. Mais Starbucks a publi\u00e9 une mise \u00e0 jour permettant de r\u00e9parer cette faille hier, ce qui est tout \u00e0 son honneur, surtout si l’on consid\u00e8re qu’il ne s’agit pas d’une entreprise de s\u00e9curit\u00e9.<\/p>\n
La compagnie am\u00e9ricaine a d\u00e9tect\u00e9 la faille en d\u00e9cembre et l’a r\u00e9par\u00e9e en janvier. Un timing plus qu’acceptable pour ce genre de faille. La d\u00e9couverte d’une vuln\u00e9rabilit\u00e9 ainsi que sa r\u00e9paration sont souvent sujettes \u00e0 un d\u00e9ni de l’entreprise responsable puis \u00e0 des discussions qui peuvent durer des mois avant de r\u00e9parer la vuln\u00e9rabilit\u00e9 en question.<\/p>\n
Si vous avez t\u00e9l\u00e9charg\u00e9 l’application mobile de Starbucks sur votre iPhone, votre iPad ou tout autre appareil d’Apple, pensez donc \u00e0 vous rendre sur l’App Store afin d’installer la mise \u00e0 jour de l’application aussi vite que possible.<\/p>\n
Nous vous \u00e9pargnerons les terribles d\u00e9tails techniques mais la vuln\u00e9rabilit\u00e9 r\u00e9sidait (jusqu’au 16 janvier) dans la version la plus r\u00e9cente de l’application : la version 2.6.1 pour iOS. Comme nous l’avons d\u00e9j\u00e0 expliqu\u00e9, l’entreprise a depuis r\u00e9par\u00e9 la vuln\u00e9rabilit\u00e9 en lan\u00e7ant la version 2.6.2 que vous pouvez trouver, encore une fois, dans l’App Store d’Apple.<\/p>\n
Si vous n’avez pas effectu\u00e9 la mise \u00e0 jour, vous pourriez bien exposer vos informations sensibles y compris votre nom, votre adresse, l’ID de votre appareil et vos donn\u00e9es de g\u00e9olocalisation, selon un rapport \u00e9crit par Chris Brook sur Threatpost.<\/p>\n
L’application du g\u00e9ant du caf\u00e9 stockait toutes les informations sous forme de texte non chiffr\u00e9 dans les fichiers d’une solution de protection anti-crash d\u00e9velopp\u00e9e par une entreprise de Boston appel\u00e9e Crashlytics.<\/p>\n
Daniel Wood, le chercheur qui a d\u00e9couvert le bug et un membre de l’OWASP (Open Web Application Security Project) ont d\u00e9clar\u00e9 que la faille venait de l’incapacit\u00e9 de Starbucks \u00e0 suivre les recommandations de s\u00e9curit\u00e9 concernant les applications mobiles.<\/p>\n
Wood a d\u00e9clar\u00e9 que Starbucks devrait filtrer et analyser les donn\u00e9es d\u00e8s qu’elles sont entr\u00e9es « afin d’\u00e9viter que ces donn\u00e9es ne soient stock\u00e9es dans les fichiers de Crashlytics en texte clair ».<\/p>\n
Crashlytics d\u00e9veloppe des solutions permettant de signaler des crashs aux d\u00e9veloppeurs d’applications. Starbucks aurait utilis\u00e9 la technologie de la compagnie dans son application, mais ne l’aurait pas bien mise en place.<\/p>\n
Le co-fondateur de Crashlytics, Wayne Chang, a d\u00e9clar\u00e9 par e-mail, \u00e0 Chris Brook de Threatpost, que le probl\u00e8me proviendrait d’une des fonctionnalit\u00e9s servant \u00e0 enregistrer le texte clair dans le service. Il a continu\u00e9 en expliquant que Crashlytics ne collecte pas les noms d’utilisateurs ou les mots de passe automatiquement. La fonctionnalit\u00e9, CLSLog, est une « fonctionnalit\u00e9 optionnelle que les d\u00e9veloppeurs peuvent utiliser pour enregistrer des informations additionnelles ».<\/p>\n
Au cas o\u00f9 vous seriez curieux, l’application Starbucks donne aux clients la possibilit\u00e9 de rattacher leur carte Starbucks \u00e0 leur smartphone, d’y verser de l’argent via PayPal ou par carte bancaire, et leur permet d’utiliser leur smartphone pour payer dans les Starbucks du monde entier.<\/p>\n","protected":false},"excerpt":{"rendered":"
Plus t\u00f4t cette semaine, il a \u00e9t\u00e9 annonc\u00e9 que l’application mobile iOS de Starbucks exposait les informations personnelles des utilisateurs qui l’avaient t\u00e9l\u00e9charg\u00e9e. Mais Starbucks a publi\u00e9 une mise \u00e0<\/p>\n","protected":false},"author":42,"featured_media":2279,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[],"class_list":{"0":"post-2278","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/starbucks-repare-rapidement-la-faille-de-securite-de-son-application\/2278\/"}],"acf":[],"banners":"","maintag":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2278","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=2278"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2278\/revisions"}],"predecessor-version":[{"id":13374,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2278\/revisions\/13374"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/2279"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=2278"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=2278"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=2278"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}