Céline Dion - Ma faille (Audio)
La plupart, sinon toutes les applications sensibles à la sécurité utilisent une connexion TLS pour créer un lien crypté de manière sécurisée entre leurs serveurs et votre téléphone. Ainsi, lorsque vous effectuez des opérations bancaires sur votre téléphone, par exemple, vous communiquez réellement avec votre banque et non avec un serveur aléatoire, potentiellement dangereux.
Un seul petit problème: selon un document présenté mercredi à la conférence annuelle Computer Security Applications à Orlando, des chercheurs de l’Université de Birmingham ont découvert que neuf applications bancaires populaires n’avaient pas pris les précautions appropriées lors de l’établissement de leur connexion TLS. Ces applications ont une base d'utilisateurs combinée de 10 millions de personnes, dont toutes les informations d'identification de connexion bancaires auraient pu être compromises si cette faille était exploitée.
"C'est grave, les utilisateurs pensent que ces banques peuvent sécuriser leurs opérations", a déclaré Chris McMahon Stone, étudiant au doctorat en sécurité informatique à l'université de Birmingham. Inverse. «Cette faille est maintenant corrigée, nous l'avons révélée à toutes les banques impliquées. Mais si un attaquant connaissait cette vulnérabilité et affirmait qu'un utilisateur exécutait une application obsolète, il serait alors relativement simple de l'exploiter. La seule condition requise est que l'attaquant doive être sur le même réseau que sa victime, donc comme un réseau WiFi public.
Voici la liste des applications concernées, par papier.
La connexion TLS est censée garantir que, lorsque vous saisissez vos informations de connexion à la banque, vous ne les envoyez qu'à votre banque et à personne d'autre. Cette précaution de sécurité est un processus en deux étapes.
Cela commence par l'envoi par les banques ou d'autres entités d'un certificat signé cryptographiquement, en vérifiant qu'elles sont bien ce qu'elles prétendent être. Ces signatures sont délivrées par les autorités de certification, qui sont des tiers de confiance dans ce processus.
Une fois ce certificat envoyé (et l’application vérifie sa légitimité), le nom d’hôte du serveur doit être vérifié. Il s’agit simplement de vérifier le nom du serveur que vous essayez de connecter pour vous assurer de ne pas établir de connexion avec qui que ce soit.
C’est cette deuxième étape où ces banques ont lâché la balle.
«Certaines de ces applications que nous avons découvertes vérifiaient que le certificat était correctement signé, mais elles ne vérifiaient pas le nom d’hôte correctement», explique Stone. "Ils s'attendent donc à un certificat valide pour n'importe quel serveur."
Cela signifie qu'un attaquant pourrait usurper un certificat et mener une attaque de type "man-in-the-middle". Où l'attaquant héberge la connexion entre la banque et l'utilisateur. Cela leur donnerait accès à tout les informations envoyées lors de cette connexion.
Bien que cette faille ait été corrigée, si vous utilisez une des applications répertoriées ci-dessus, doit assurez-vous que votre application est mise à jour pour obtenir le correctif. Stone encourage également vivement les internautes à effectuer leurs opérations bancaires mobiles chez eux, sur leur propre réseau, afin d’éviter toute possibilité d’attaque par un homme du milieu.
Restez en sécurité sur le Web, amis.
CES 2019: L’un des plus gros problèmes de sécurité de Crypto pourrait avoir été résolu
La crypto-monnaie a fait un grand pas en avant dimanche, alors que le fabricant de portefeuilles, Ledger, a annoncé le lancement du Nano X avec prise en charge de Bluetooth pour la connexion à un smartphone. L'appareil, dévoilé au Consumer Electronics Show de Las Vegas, fonctionne avec une application récemment annoncée, Ledger Live, pour gérer les transactions et les applications.
Le FBI découvre un programme malveillant ciblant les applications bancaires mobiles
Soyez prudent la prochaine fois que vous vous connectez à votre compte bancaire sur votre smartphone. Le FBI a découvert un nouveau logiciel malveillant utilisé pour voler les identifiants de connexion des applications bancaires mobiles, rapporte le Wall Street Journal, et n'a aucune idée du nombre de personnes piratées de cette manière. Les pirates peuvent obtenir ce malware ...
Facebook "Voir comme" fonctionnalité gauche ouverte énorme faille de sécurité
Facebook a annoncé vendredi que près de 30 millions de comptes avaient été compromis par un pirate informatique ou un groupe de pirates informatiques. Cette dernière violation de la sécurité a permis aux attaquants de collecter les informations de profil des utilisateurs - telles que leur nom, leur sexe et leur ville natale - et de prendre en charge les comptes affectés.