Une faille d'authentification sur Androïd rapidement bouchée par Google
Google a confirmé qu'il avait déployé un patch sur ses serveurs pour corriger une faille de sécurité présente sur la plupart des smartphone Android. Cette vulnérabilité donner la possibilité à des pirates de déverrouiller les tokens d'authentification si l'utilisateur se connecte en WiFi non sécurisé.
Un porte-parole de Google a indiqué dans un courriel « Aujourd'hui, nous commençons à déployer un correctif qui corrige une faille de sécurité qui pourrait, dans certaines circonstances, permettre à des tiers un accès aux données présentes dans Calendar et Contacts » et d'ajouter « ce correctif ne nécessite aucune action des utilisateurs et le déploiement s'étendra au niveau mondial au cours des prochains jours. » Google semble donc appliquer un patch sur ses serveurs, car il n'a pas besoin de faire de mise à jour des terminaux sous Android.
Les experts en sécurité se sont déclarés impressionnés par la rapidité de l'éditeur de Moutain View. « C'est impressionnant de voir comment Google est rapidement intervenu » a déclaré Kevin Mahaffey, directeur de la technologie et co-fondateur de Lookou, société spécialisée dans la sécurité sur mobile et de compléter « l'équipe en charge de la sécurité chez Google, en particulier sur Android, est très, très rapide pour traiter ces questions. »
Pour mémoire
Vendredi dernier, des chercheurs de l'Université d'Ulm en Allemagne ont publié cette faille de sécurité qui touche 99% des terminaux Android. Cette vulnérabilité touche l'identification des utilisateurs quand ils se connectent sur des réseaux WiFi non sécurisés (de type hotspot public).
Dans Android 2.3.3 et sur des versions antérieures, Contacts, Calendar, Gmail transmettent des informations via HTTP non crypté, puis récupèrent un Token d'authentification de Google. Les hackers pourraient analyser le trafic HTTP sur un hotspot public, déverrouiller les « authToken » et les utiliser pour un maximum de deux semaines (durée de validité d'un jeton). Ils pourraient ainsi accéder aux calendriers des utilisateurs sur le web, leurs contacts et aussi le stockage de photos sur Picasa.
Des applications tierces sur les mobiles mais aussi sur les PC traditionnels ont été impactées, car elles utilisent le protocole ClientLogin de Google, comme le logiciel de messagerie Thunderbird de Mozilla. Les chercheurs allemands ont expliqué que pour éviter ce risque de fuites de données, le passage en HTTPS des échanges d'informations, y compris pour les tokens d'authentification étaient la meilleure solution. Les spécialistes de la sécurité soupçonnent Google d'avoir été dans cette direction pour corriger la faille.
