Les meilleurs applications Android sur le Play Store utilisent un cryptage faible pour stocker les données sensibles

cryptage-application-android

Une analyse des applications Android sur Google Play qui ont dépassés le million de téléchargements possèdent un cryptage de niveau catastrophique pour protéger les données sensibles. L’analyse qui a portée sur 9 339 applications montrent que 62 % ne possèdent pas un cryptage suffisant qui protège suffisamment les données sensibles des utilisateurs.

Ce sont les chercheurs de FireEye qui ont menés cette étude en novembre 2014. Ils ont découvert plusieurs failles, car les cryptages utilisés étaient principalement de type Stateless ou qui étaient protégés par un mot de passe. La plupart des meilleures applications utilisent des cryptages Stateless ce qui signifie qu’une entrée donnée possède une sortie identique à chaque fois qu’elle est cryptée. Cela permettrait à un piratage d’utiliser un dictionnaire d’inversion pour trouver la chaine d’origine sans avoir besoin de connaitre les clés pour le cryptage.

De même, les chercheurs ont trouvés des applications qui utilisaient des cryptages avec des clés statiques qu’on peut extraire pour inverser le processus. Sur 918 applications, on a trouvé des cryptages protégés par des mots de passé. 409 utilisaient un salage statique (une séquence aléatoire de caractère qu’on ajoute à la passphrase pour augmenter sa sécurité). Mais si le salage généré possède une valeur constante, alors l’algorithme est faible, car on peut extraire facilement le contenu.

Des algorithmes de cryptage très faibles

Dans leur article, les chercheurs ajoutent que 4972 applications utilisent des instances Cypher et 58 % de ces instances utilisent des transformation ECB de type Stateless. De ce fait, elles sont vulnérables à une attaque de type Chosen-Plaintext-Attacks.

Et sur la faiblesse des algorithme de cryptage, 3 895 applications utilisaient des transformations CBC et 931 utilisaient des vecteurs d’initialisations statiques. Cela signifie qu’on peut les extraire si on décompile le Bytecode de l’application. Et étant donné que ces vecteurs d’initialisation ne changent pas entre les sessions, il devient alors facile de les casser parce qu’ils entrent dans la norme Stateless.

Source

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s