A l’approche de la Saint Valentin, les chercheurs d’IBM se sont penchés sur l’intégrité des applications Android dédiées aux rencontres. Et le résultat est pour le moins inquiétant. Pas moins de 26 applications sur les 41 étudiées (soit plus de 63%) comportent des vulnérabilités de sécurité jugées « moyennes ou élevées » qui exposent leurs utilisateurs à des vols de données personnelles mais aussi celle de l’entreprise qui les emploie.
Les applications compromises permettent ainsi d’accéder aux données GPS du smartphone (permettant ainsi de pister les habitudes de l’utilisateur) pour 73% d’entre elles, aux informations de paiement (pour la moitié des analyses) avec la possibilité d’effectuer des transactions à la barbe du propriétaire du terminal mobile, ou encore aux caméra et micro de l’appareil (même quand l’application n’est pas activée) pour espionner l’utilisateur et son entourage.
Certaines vulnérabilités permettent ainsi des attaques de type homme du milieu (man in the middle) et de cross site scripting (CSS). Certaines applications peuvent ainsi être exploitées par un attaquant pour envoyer une notification de mise à jour dont le téléchargement s’avérera probablement être un malware.
Une situation qui met également en danger les réseaux des entreprises. IBM rapporte ainsi que près de la moitié des entreprises de son échantillon avait au moins une de ces applications de rencontre vulnérables installé sur un terminal appartenant à l’organisation ou à son employé dans le cadre d’une politique de BYOD (Bring Your Own Device). L’exploitation des failles pourraient ainsi permettre potentiellement aux cyber-criminel de voler des données propres à l’entreprise, voire d’y glisser des malwares sur le réseau.
Pour se prévenir de ces attaques potentielles, si elles n’ont pas déjà eu lieu, IBM recommande alors d’appliquer les habituelles politique de sécurité à travers des outils de gestion des mobiles (MDM), interdire le téléchargement d’applications depuis des stores autres que l’officiel Google Play, éduquer les utilisateurs et, évidemment, bloquer tout appareil compromis pour l’empêcher de se connecter au réseau.
IBM se garde de citer les applications de rencontres vulnérables et déclare avoir prévenu les éditeurs des failles. L’étude remontant à octobre dernier, on peut penser que ces derniers ont fait ce qu’il fallait pour colmater les brèches. Mais dans le doute, leur utilisation pourrait coûter plus cher qu’une simple addition de restaurant à ses utilisateurs qui se comptent aujourd’hui en millions de personnes.
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…