instapaper : interception de données possible malgré le HTTPS

L’application instapaper est passée à la moulinette des laboratoires Bitdefender. Résultat : des données peuvent être interceptées malgré le HTTPS

instapaper

La sécurisation de instapaper est incomplète

Le HTTPS est à priori une manière simple de savoir si la communication entre votre ordinateur et un serveur ou une application est sécurisée. A priori, oui. Les experts des laboratoires Bitdefender ont pourtant trouvés une faille man-in-the-middle dans l’application. Cette dernière permet de sauvegarder des articles afin de les lire plus tard, même sans connexion internet. Pour cela, elle enregistre le texte sur votre appareil, le met en forme pour être lu sur smartphone ou tablette.

Pour synchroniser ces données instapaper doit se connecter à votre compte personnel préalablement créé. La connexion est bien entendu chiffrée. Le problème ne vient pas vraiment du chiffrage en lui même, mais plutôt la manière dont l’application le fait. Elle installe tout d’abord SSLSocketFactory et utilise TrustManager sans demander de validation de certificat. C’est pourtant une chose importante, car s’il n’y a pas de demande de validation, n’importe qui peut se faire passer pour le serveur instapaper et collecter des informations d’identification au compte instapaper en question.

Si le problème ne semble pas si grave de prime abords. La gravité vient du fait que beaucoup d’internautes utilisent le même mot de passe pour se connecter sur plusieurs sites ou forum. Une fois en possession d’un mail et d’un mot de passe, les pirates n’ont plus qu’à tester les identifiants récoltés sur les sites les plus populaires. Si cela fonctionne sur des sites comme paypal ou sur Amazon qui enregistre votre numéro de carte bancaire, ça peut faire très mal.

Les laboratoires Bitdefender ont prévenus les développeurs de l’application android de cette vulnérabilité. Vous n’avez rien à faire d’autre que d’attendre patiemment la prochaine mise à jour.

1 Rétrolien / Ping

  1. instapaper : interception de données pos...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*