Les développeurs Android n’ont pas une connaissance suffisante de la cryptographie. Tel est le constat que viennent de faire quatre chercheurs de l’université de Columbia. Ils ont créé « Crylogger », un outil qui permet d’analyser de façon dynamique l’implémentation de fonctions cryptographiques dans les applications Android et ils l’ont appliqué à un ensemble de 1780 logiciels populaires du Google Play Store.
Pour chaque application, les chercheurs ont testé 26 règles cryptographiques basiques. Exemple : « ne pas utiliser de hachage désuet (SHA1, MD5…) », « ne pas utiliser de chiffrement obsolète (RC2, DES…) », « ne pas utiliser le même sel cryptographique pour différents usages », etc. Au final, presque chaque application ne respecte pas au moins l’une de ces règles. Celles qui sont le plus transgressées sont l’utilisation d’un générateur de nombres aléatoires vulnérables (1775), d’un algorithme hachage désuet (1764), du mode de chiffrement CBC (1076), d’une clé statique pour le chiffrement (820) et d’un vecteur d’initialisation statique (707). Certains développeurs ont même réussi à violer un total de 18 règles. Chapeau !
L’impact est fort ,mais la volonté est faible
Ce qui est inquiétant, c’est que les développeurs non seulement ne maîtrisent ce sujet, mais qu’ils ne semblent pas non plus vouloir s’améliorer. Ainsi, les chercheurs ont contacté les auteurs des 306 applications qui outrepassaient 9 règles ou plus. Seuls 18 ont répondu, et parmi eux seuls 8 se sont engagés dans une discussion. Pourtant, le nombre de téléchargements de ces 306 applications allait de 100 000 à 100 millions. L’impact de ces bévues cryptographiques est donc loin d’être faible.
La bonne nouvelle, c’est que Crylogger est open source et disponible sur GitHub. Les développeurs pourront donc désormais l’utiliser pour détecter leurs erreurs. Ce n’est pas le premier outil du genre. Il existait déjà CryptoGuard, qui est également open source, mais qui ne réalise qu’une analyse statique. Ce qui peut davantage générer de faux positifs.
Source : Papier scientifique
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
