Une faille Android ouvre l’accès à l’ensemble des services Google

OS mobilesSécurité

Une équipe d’universitaires allemands a mis en évidence une vulnérabilité au niveau de l’authentification du compte utilisateur sous Android. Inquiétant.

Les quelques 100 millions de smartphones sous Android en circulation mettent-ils en danger les données de leurs utilisateurs? C’est ce que laisse entendre une étude de l’Univertisté d’Ulm en Allemagne. Selon ses auteurs, les chercheurs Bastian Konings, Jens Nickels, et Florian Schaub, Android présente une vulnérabilité facilement exploitable par les cyber-criminels.

L’OS mobile de Google serait victime d’une mauvaise implémentation du protocole ClientLogin dans les versions 2.3.3 et antérieures. The Register rapporte qu’une fois que l’utilisateur légitime de la plate-forme Android se connecte, ClientLogin reçoit un jeton d’authentification (authToken) placé dans un fichier texte non chiffré. Lequel reste valable 14 jours. Il suffit donc à des attaquants de consulter ce fichier pour détenir les paramètres de connexion de la victime et accéder à l’ensemble de ses comptes Google (Gmail, Contacts, Agenda, Picasa…).

« Nous voulions savoir s’il est vraiment possible de lancer une attaque d’usurpation d’identité contre les services Google et avons commencé notre propre analyse. La réponse est : oui, c’est possible, et assez facile à faire, écrivent les chercheurs sur leur blog. En outre, l’attaque ne se limite pas à Google Agenda et Contacts, mais est théoriquement possible avec tous les services Google en utilisant le protocole d’authentification ClientLogin pour l’accès à ses API de données. » Inquiétant pour l’intégrité des données et identités numériques des utilisateurs d’Android.

Heureusement, ce type d’attaque n’est possible qu’à travers un réseau non sécurisé, comme un point d’accès wifi non chiffré ou contrôlé par les pirates. Ceux peuvent notamment paramétrer leur propre point d’accès pour qu’il apparaisse comme un réseau public légitime (comme en offrent notamment nombre de chaînes de commerces de restauration) auquel le smartphone Android tentera de connecter automatiquement (selon les paramètres par défaut). Même si la connexion échoue, les pirates auront eu le temps de récupérer le jeton d’authentification lors de la tentative de synchronisation des services et, donc, les données de connexion de l’utilisateur.

La parade? Que les développeurs n’autorisent la connexion à leurs applications qu’en mode chiffré HTTPS, avancent les auteurs de l’étude. Google devrait également raccourcir la durée de validité du jeton d’authentification et restreindre les connexions automatiques aux seuls réseaux sécurisés. Les utilisateurs, quand à eux, sont invités à ne pas se connecter aux réseaux non chiffrés, en commençant par désactiver le paramètre de connexion wifi automatique. Enfin, l’idéal serait de mettre à jour son smartphone avec la version 2.3.4 d’Android, laquelle utilise un mode chiffré pour la connexion aux services Google (du moins Contacts et Agenda). Encore faut-il que cette mise à jour soit possible à mettre en oeuvre sur le terminal, ce que sont loin d’offrir tous les constructeurs…


Lire la biographie de l´auteur  Masquer la biographie de l´auteur