Un certain nombre d’applications bancaires pour iOS provenant des banques les plus importantes au monde contiennent des bugs qui exposent les utilisateurs à des vols de données et à des piratages de comptes. Plus particulièrement, un pirate doué pourraient potentiellement surveiller le comportement d’un utilisateur grâce à des attaques de « l’homme du milieu », prendre le contrôle des comptes de l’utilisateur via des attaques de piratage et causer des problèmes de corruption de la mémoire qui pourraient engendrer des crashs du système et des fuites de données. En bref, ces vulnérabilités pourraient permettre à un pirate de voler les identifiants des utilisateurs et d’accéder de manière frauduleuse aux comptes bancaires en ligne de l’utilisateur.
Ariel Sanchez, un chercheur argentin qui travaille avec l’entreprise de sécurité IOActive, a conduit une série de tests sur 40 applications mobiles développées par les 60 meilleurs banques dans le monde. Ces tests comprenaient des analyses de sécurité des mécanismes de transfère de données, des interfaces utilisateurs, des processus de stockage ainsi que des choses plus compliquées telles que des compilateurs et des binaires.
Sanchez a trouvé une série de vulnérabilités potentiellement exploitables.
« Un individu avec les capacités nécessaires pourrait utiliser ces informations pour détecter de potentiels bugs et après quelques recherches, il pourrait développer un exploit ou un malware pour compromettre les clients des applications bancaires infectées, » a affirmé Sanchez. « Nous pouvons considérer qu’il s’agit de la première étape vers une potentielle menace de sécurité. »
IOActive déclare avoir reporté ces vulnérabilité aux banques. À ce jour, Sanchez affirme qu’aucunes des banques n’ont corrigé ces problèmes de sécurité.
Sanchez a expliqué que le problème le plus inquiétant est le nombre d’identifiants de développement codés ensevelis dans les binaires qui est survenu pendant une analyse statique de chaque code binaire des applications. En d’autres termes, certaines applications bancaires vulnérables contiennent un accès à différentes clés maîtresses. Celles-ci on pour but de donner accès aux infrastructures des applications aux développeurs. Malheureusement, ces identifiants de développement peuvent fournir aux pirates le même type d’accès.
« Cette vulnérabilité pourraient être utilisée pour accéder à l’infrastructure de développement de la banque et infecter l’application avec un malware, causant ainsi une infection massive de toutes les utilisateurs de l’application », a expliqué Sanchez.
Le problème vient en partie du fait qu’un certain nombre d’applications envoient des liens non-chiffrés aux utilisateurs et qu’elles ne réussissent pas à valider correctement les certificats SLL quand les informations sont chiffrées. Ce comportement, que Sanchez attribue à un oubli de la part de ceux qui ont développé les applications, expose les clients à des attaques de « l’homme du milieu » dans lesquelles les pirates pourraient injecter un javascript malveillant ou un code HTML dans le cadre d’une attaque de phishing.
Tous les problèmes découverts par Sanchez sont renforcés par le fait que 70% des banques qu’ils ont analysées n’ont pas mis en place d’authentification à deux facteurs.
« Vous avez seulement besoin du binaire de l’application et aussi d’un outil pour déchiffrer le code ainsi qu’un autre pour désassembler le code, » a-t-il déclaré. « Il existe un grand nombre de publications où il est expliqué comment déchiffrer et désassembler le code de ces applications. Quelqu’un avec un peu de temps et sans aucunes connaissances peut facilement suivre ces instructions. »
IOActive s’est montré responsable : ils n’ont pas dévoilé les entités bancaires concernées ou publié les vulnérabilités, ce qui pourrait donner aux pirates les informations dont ils ont besoin pour cibler les comptes des utilisateurs. Mais cela a également des inconvénients : nous ne savons pas quelles banques et quelles applications sont vulnérables et nous ne savons donc pas à qui faire confiance.
Évidemment, les plus prudents d’entre nous feraient peut-être mieux d’attendre avant de réutiliser leurs applications bancaires, du moins jusqu’à ce que ces problèmes soient confirmés et corrigés. Néanmoins, nombreux d’entre nous ne le feront pas. Donc en attendant, pensez à mettre en place une authentification à deux facteurs si votre banque vous le permet, faites attention aux messages d’hameçonnage, et gardez un œil sur votre compte en banque.