Plus de la moitié des applications Android les plus populaires auraient hérité de failles de sécurité à la suite d’une réutilisation « inconsidérée » de bibliothèques logicielles, d’après les ingénieurs de Codenomicon. Ces derniers ont découvert, en avril 2014, la vulnérabilité « Heartbleed » dans la librairie de chiffrement OpenSSL.
Au moins 50% des applications Android concernées transmettraient des données personnelles à des réseaux publicitaires tiers sans autorisation de l’utilisateur, et ce en texte clair dans 30% des cas. Par ailleurs, une application sur dix enverrait l’identifiant du terminal mobile (code IMEI) ou des données de géolocalisation à une tierce partie, voire le numéro de téléphone mobile de l’utilisateur. De plus, une application sur dix serait connectée à plus de deux réseaux de publicité.
D’après Codenomicon, entreprise finlandaise spécialisée dans la sécurité informatique, la plupart des développeurs de ces applications n’ont pas connaissance des vulnérabilités qu’ils ont intégré au code. Un développement hasardeux ou des erreurs de logique peuvent être à l’origine d’une vulnérabilité. Malgré tout, des développeurs peuvent aussi agir intentionnellement dans le but de rendre l’application logicielle vulnérable aux attaques. Ces bugs sont parfois rapidement identifiés et corrigés, d’autres, comme dans le cas de Heartbleed, ne le sont pas pendant deux ans, observent les analystes.
Enfin, 80% à 90% des applications mobiles, dans leur ensemble, intègrent des bibliothèques logicielles réutilisées, disponibles pour la plupart en open source, a estimé Olli Jarva, Chief Security Specialist chez Codenomicon, dans les colonnes du magazine australien ITnews. La pratique devrait théoriquement permettre à la communauté de développeurs de proposer du code de meilleur qualité, du fait du nombre important de contributeurs impliqués. Mais les nombreux bugs identifiés dans OpenSSL ont démontré, selon Codenomicon, que cela n’était pas le cas.
crédit photo © Androgen – Fotolia.com
Lire aussi
Google migre Chrome vers BoringSSL, dérivé d’OpenSSL
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…