Une faille de sécurité dans 9 applications bancaires pourrait avoir laissé filtrer 10 millions d'utilisateurs

La plupart, sinon toutes les applications sensibles à la sécurité utilisent une connexion TLS pour créer un lien crypté de manière sécurisée entre leurs serveurs et votre téléphone. Ainsi, lorsque vous effectuez des opérations bancaires sur votre téléphone, par exemple, vous communiquez réellement avec votre banque et non avec un serveur aléatoire, potentiellement dangereux.

Un seul petit problème: selon un document présenté mercredi à la conférence annuelle Computer Security Applications à Orlando, des chercheurs de l’Université de Birmingham ont découvert que neuf applications bancaires populaires n’avaient pas pris les précautions appropriées lors de l’établissement de leur connexion TLS. Ces applications ont une base d'utilisateurs combinée de 10 millions de personnes, dont toutes les informations d'identification de connexion bancaires auraient pu être compromises si cette faille était exploitée.

"C'est grave, les utilisateurs pensent que ces banques peuvent sécuriser leurs opérations", a déclaré Chris McMahon Stone, étudiant au doctorat en sécurité informatique à l'université de Birmingham. Inverse. «Cette faille est maintenant corrigée, nous l'avons révélée à toutes les banques impliquées. Mais si un attaquant connaissait cette vulnérabilité et affirmait qu'un utilisateur exécutait une application obsolète, il serait alors relativement simple de l'exploiter. La seule condition requise est que l'attaquant doive être sur le même réseau que sa victime, donc comme un réseau WiFi public.

Voici la liste des applications concernées, par papier.

La connexion TLS est censée garantir que, lorsque vous saisissez vos informations de connexion à la banque, vous ne les envoyez qu'à votre banque et à personne d'autre. Cette précaution de sécurité est un processus en deux étapes.

Cela commence par l'envoi par les banques ou d'autres entités d'un certificat signé cryptographiquement, en vérifiant qu'elles sont bien ce qu'elles prétendent être. Ces signatures sont délivrées par les autorités de certification, qui sont des tiers de confiance dans ce processus.

Une fois ce certificat envoyé (et l’application vérifie sa légitimité), le nom d’hôte du serveur doit être vérifié. Il s’agit simplement de vérifier le nom du serveur que vous essayez de connecter pour vous assurer de ne pas établir de connexion avec qui que ce soit.

C’est cette deuxième étape où ces banques ont lâché la balle.

«Certaines de ces applications que nous avons découvertes vérifiaient que le certificat était correctement signé, mais elles ne vérifiaient pas le nom d’hôte correctement», explique Stone. "Ils s'attendent donc à un certificat valide pour n'importe quel serveur."

Cela signifie qu'un attaquant pourrait usurper un certificat et mener une attaque de type "man-in-the-middle". Où l'attaquant héberge la connexion entre la banque et l'utilisateur. Cela leur donnerait accès à tout les informations envoyées lors de cette connexion.

Bien que cette faille ait été corrigée, si vous utilisez une des applications répertoriées ci-dessus, doit assurez-vous que votre application est mise à jour pour obtenir le correctif. Stone encourage également vivement les internautes à effectuer leurs opérations bancaires mobiles chez eux, sur leur propre réseau, afin d’éviter toute possibilité d’attaque par un homme du milieu.

Restez en sécurité sur le Web, amis.