Passer au contenu

Applis de paiement mobiles : attention danger !

Toutes les applis qui gèrent des transactions bancaires ne sont pas forcément bien programmées. Certaines ne réalisent même pas les vérifications les plus basiques au niveau des connexions SSL.

Les transactions bancaires réalisées sur des terminaux mobiles sont-elles réellement sécurisées? La question se pose quand on voit la multiplication des failles SSL ces derniers temps (Heartbleed, Goto Fail, Poodle…). Le chercheur en sécurité Thomas Brandstetter a voulu en savoir plus et a créé une plateforme de test qui permet de voir si les applications mobiles procédaient aux bonnes vérifications SSL. Une quinzaine de points sont ainsi passés en revue: le certificat est-il valide? la signature est-elle correcte? l’autorité de certification est-elle de confiance? etc.

Les 15 points testés dans les applis mobiles.
Les 15 points testés dans les applis mobiles. – Les 15 points testés dans les applis mobiles.
Les applis testées.
Les applis testées. – Les applis testées.

L’expert a analysé près de 90 applications, principalement dans les domaines des banques et de l’e-commerce. Il a présenté ses conclusions le vendredi 17 octobre, à l’occasion de la conférence Black Hat Europe 2014. Le résultat n’est pas aussi brillant qu’il devrait l’être, compte tenu des données manipulées. Ainsi, 20 % des applications trébuchent au-moins sur l’un des quinze obstacles. Pire: dans 5 % des cas, aucune vérification n’est effectuée, ce qui est une invitation aux pirates à effectuer des attaques de type « Man in the middle ».

Thomas Brandstetter a également rajouté un test relatif à la faille Poodle, découverte cette semaine. Le résultat est franchement mauvais: sur 30 applications testées, 15 étaient vulnérables. C’est d’autant plus étonnant que, pour des applications de ce type, il n’y a aucune nécessité de garder une rétrocompatibilité avec SSL v3, comme il faut parfois le faire pour supporter les vieux navigateurs. Gageons que cette faille sera comblée lors des prochaines mise à jour.

Au passage, le chercheur remarque que certaines applications transmettent des données plus ou moins personnelles, sans doute pour mieux pouvoir lutter contre les tentatives de fraude. « Néanmoins, ce n’est pas forcément conforme à la protection des données personnelles », estime Thomas Brandstetter. Ainsi, Paypal a-t-il vraiment besoin de connaître le numéro de série de la carte SIM, le numéro d’identification du client chez l’opérateur et ses données de localisation pour effectuer un paiement? Voir ci-dessous les données transmises par Paypal.

Donnéees envoyées par l'appli Paypal.
Donnéees envoyées par l’appli Paypal. – Donnéees envoyées par l’appli Paypal.

Heureusement, il y a aussi des bonnes nouvelles. Ainsi, un certain nombre d’applications effectuent tous les vérifications et sont donc réellement au top niveau d’un point de vue sécurité.

Lire aussi:

Notre dossier Black Hat Europe 2014

Source:

Limes Security

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

De notre envoyé spécial à Amsterdam, Gilbert Kallenborn
Les dernières actualités
Bon Plan NordVPN
Exclu VPN : cette promo NordVPN va vous laisser sans voix
Bitcoin Mise Jour Halving
Le Bitcoin s’apprête à changer : tout savoir sur le halving, la 4e mise à jour de la crypto
site porno france
Pornhub, Stripchat et Xvideos devront bien se conformer aux règles européennes du DSA
Meilleures Alternatives à Google One Vpn
Google One va perdre son VPN : quelles sont les meilleures alternatives ?
Calculatrice Macos15
Gros chamboulements en vue pour l’app Calculatrice du Mac
ulys-badge-telepeage-photo
Ne perdez pas plus de temps sur la route des vacances grâce à Ulys (8 mois offerts)
Whatsapp Ipad 2
Apple obéit à Pékin et retire WhatsApp, Signal, Telegram et Threads de l’App Store chinois
Google Keep
Google Keep pourrait rejoindre le cimetière des applications Google
Top téléchargements