Connexion
Abonnez-vous

Apple n’a activé le HTTPS pour l’App Store d’iOS que récemment

Mais au moins, c'est fait...

Apple n'a activé le HTTPS pour l'App Store d'iOS que récemment

Le 11 mars 2013 à 09h39

Apple a activé récemment le HTTPS sur la quasi-totalité des transactions réalisées depuis l’App Store d’iOS. En dépit de l’âge de la boutique d’applications en ligne, les connexions n’étaient pas chiffrées. Un constat réalisé par Elie Bursztein, chercheur en sécurité chez Google.

app store

L'App Store, ce lieu de transit 

L’App Store est un élément central de la stratégie d’Apple depuis la sortie d’iOS 2.0. Rapidement, attractivité de l’iPhone oblige, les développeurs se sont intéressés à cette plateforme qui offrait à l’époque bon nombre de nouveautés en termes d’utilisation et d’ergonomie. Puis le cercle vertueux a pris place : le nombre d’iPhone vendus a attiré les développeurs, la boutique s’est rapidement remplie, attirant de nouveaux clients potentiels. Les ventes d’iPhone ont continué de croître, rendant la plateforme incontournable pour le reste des développeurs. Une situation qui s’est depuis largement accélérée avec les autres appareils iOS, dont l’iPad.

 

 

Mais depuis des années, les achats réalisés sur iOS n’étaient pas en HTTPS. Ce protocole, pourtant déjà très ancien, s’assure de plusieurs éléments importants. D’une part, que le serveur ciblé par la communication est bien celui qu’il prétend être. D’autre part, il permet surtout de déclarer un chiffrement des données et donc d’utiliser un protocole dédié. Sans le HTTPS, les informations peuvent circuler en clair, ce qui soulevait bien entendu des inquiétudes.

Un chercheur de Google avait tiré la sonnette d'alarme 

Elie Bursztein, chercheur chez Google, rapporte avoir envoyé à Apple les détails de plusieurs failles de sécurité en juillet 2012. Il ne dit pas si la firme de Cupertino a réagi, mais il a décidé de publier les détails de plusieurs brèches pour une simple et bonne raison : elles ne sont désormais plus exploitables. Selon le chercheur, la boutique App Store utilise désormais bien le HTTPS pour les communications avec les serveurs, Apple ayant visiblement comblé son énorme lacune en la matière. Le HTTPS n’a en effet rien d’une nouveauté et de nombreux services très fréquentés tels que Facebook, Twitter ou encore Google l'utilisent.

 

 

Sans HTTPS, les possibilités étaient nombreuses pour les pirates potentiels. Évidemment, même si les informations pouvaient transiter en clair, il restait la barrière de la connexion Wi-Fi elle-même. De fait, télécharger et surtout acheter une application pouvait révéler des informations sensibles. Ces dernières pouvaient être récupérées via des outils spécialisés. Il était en théorie possible également de créer de fausses boutiques d’applications pour y rediriger l’utilisateur. L’achat d’applications leurres pouvait alors très bien fournir les informations bancaires aux pirates.

Multiples scénarios possibles 

Bursztein détaille sur son site plusieurs scénarios d’attaques qui, auparavant, étaient possibles :

  • Vol de mots de passe : insertion d’une fausse fenêtre de confirmation de mot de passe lors de l’ouverture de l’App Store
  • Échange d’applications : le pirate réoriente l’opération d’achat et/ou de téléchargement d’une application vers une autre
  • Fausse mise à jour : amène l’utilisateur à acheter/installer une application voulue par le pirate en utilisant de fausses mises à jour pour les applications existantes
  • Blocage d’installation : l’utilisateur ne peut pas installer une application particulière. Le pirate peut faire croire à cette dernière qu’elle est déjà installée.
  • Fuite de données personnelles : l’App Store diffuse en clair la liste des applications installées lorsque que le processus de mise à jour est actif

Plusieurs de ces méthodes sont illustrées en vidéos à travers l’article.

 

 

De son côté, Ars Technica indique que même si le HTTPS est désormais géré par l’App Store, la qualité de l’implémentation des protocoles et l’ensemble des protections mises en place peuvent laisser à désirer. Et de citer le site SSL Labs qui mesure justement ces paramètres pour le protocole SSL : à l’heure actuelle, Apple peut faire bien mieux.

 

app store

 

L’activation du HTTPS et le chiffrement des données restent cependant des étapes importantes pour la sécurité dans tous les cas.

Commentaires (33)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est Apple, plus rien de m’étonne de leur part….. <img data-src=" />

votre avatar

Incroyable! Quelle bande d’amateurs! <img data-src=" />

votre avatar







Groumfy a écrit :



L’app store, c’est la partie visible de l’iceberg…



Je suis même surpris qu’on n’entende pas plus d’affaires de vol de données.









hum; quand il y a des problèmes matériels qui les mettent en porte à faux, Apple achète le silence des victimes, et ça ne m’étonnerait pas qu’il en soit de même pour un éventuel système de sécurité défaillant.



Je pense que l’explication de cet “oubli” aberrant vient du passé d’Apple.



Quand ils ne représentaient que 5% du marché des fixes, ils n’intéressaient aucun concepteur de virus… ils en ont tiré la fausse certitude d’être à l’abri de toute menace (déjà à l’époque ils avançaient la sécurité comme un argument de vente et dans beaucoup de forums on pouvait lire que sur Mac, pas besoin d’antivirus…)



Maintenant ils ont une part de marché plus importante, en particulier sur les devices mobiles: et il va falloir qu’ils s’y mettent sérieusement au risque de très douloureuses déconvenues.


votre avatar







coket a écrit :



hum; quand il y a des problèmes matériels qui les mettent en porte à faux, Apple achète le silence des victimes, et ça ne m’étonnerait pas qu’il en soit de même pour un éventuel système de sécurité défaillant.







Oulah, je parlais de façon encore plus générale, sur tout ce qui transite par un réseau Wi Fi.



En ville, quand on voit un hotspot, tu ne sais pas ce qu’il y a derrière, et comment le hotspot est monté. Du trafic réseau, ça peut se logguer.



votre avatar

<img data-src=" /><img data-src=" /><img data-src=" />

<img data-src=" />

votre avatar

C’est tout simplement fou que dès le début les ingénieurs en créant cet app store ne se soit pas dit: dis donc ça serait peut être pas mal de crypter les données des transactions.



<img data-src=" />

votre avatar







Just1_ a écrit :



C’est tout simplement fou que dès le début les ingénieurs en créant cet app store ne se soit pas dit: dis donc ça serait peut être pas mal de crypter les données des transactions.



<img data-src=" />







Comme quoi, pour eux la priorité c’est les sous, pas les clients.


votre avatar

J’hallucine complet, tout passait en clair ?!



Une honte, pire, je trouve que c’est un scandal et que la justice américaine devrait se pencher là dessus



Putain mais Apple quoi, avec EA et Ubi ils font la “paire” <img data-src=" />

votre avatar

Depuis le début ce n’était pas crypté ?! <img data-src=" />


votre avatar

Bravo Apple.

votre avatar

Le genre de news qui te jette un glaçon dans le dos

votre avatar

Gaffe, on est pas dredi… <img data-src=" />

votre avatar

Rien ne m’étonne, quand je vois les VISA RFID comparés au pass navigo par exemple.



L’un protège quelques € et est super protégé, l’autre donne la liste de tes dernières transactions et l’accès à ton compte bancaire et tout passe en clair….<img data-src=" />

votre avatar

<img data-src=" />

votre avatar

<img data-src=" /><img data-src=" />

votre avatar

C’est le gros soucis d’iTunes et des boutiques sur smartphone pour les utilisateurs : on ne sait pas comment se passe l’interaction entre notre PC et les serveurs alors que sur un navigateur c’est facile à vérifier.



C’est quand même hallucinant de se dire que pour un site commercial où des millions de numéros de cartes bleus sont échangés tous les jours, tout passe en clair et que ça ne soit pas remonté plus tôt.

votre avatar

Et pour PCI, ça arrive quand?

votre avatar







Khalev a écrit :



Et pour PCI, ça arrive quand?







Y’a déjà du HTTPS sur PCi :)


votre avatar







JCLB a écrit :



Rien ne m’étonne, quand je vois les VISA RFID comparés au pass navigo par exemple.



L’un protège quelques € et est super protégé, l’autre donne la liste de tes dernières transactions et l’accès à ton compte bancaire et tout passe en clair….<img data-src=" />







Huuum ? T’as des infos là dessus ?



Autant je suis d’accord sur le chiffrement des dernières transactions (suite à la démo d’un ingénieur de BT), autant j’aimerai avoir des infos sur la possibilité d’accès au compte bancaire <img data-src=" />


votre avatar







zglurb a écrit :



C’est le gros soucis d’iTunes et des boutiques sur smartphone pour les utilisateurs : on ne sait pas comment se passe l’interaction entre notre PC et les serveurs alors que sur un navigateur c’est facile à vérifier.



C’est quand même hallucinant de se dire que pour un site commercial où des millions de numéros de cartes bleus sont échangés tous les jours, tout passe en clair et que ça ne soit pas remonté plus tôt.





Non les données bancaires sont forcément chiffrées (y’aurait eu des grosses crises déjà si non ^^), c’est le détail des transactions qui ne l’était pas si j’ai bien compris.


votre avatar







Naunaud a écrit :



Y’a déjà du HTTPS sur PCi :)





J’étais en train de regarder. Ça aurait été bien que le formulaire d’authentification là haut soit forcé en https. C’est pas le cas. Et le reste des pages on s’en fout un peu après.


votre avatar







Naunaud a écrit :



Y’a déjà du HTTPS sur PCi :)





J’ai raté le mémo… <img data-src=" />


votre avatar

C’est chercher les problèmes ça. Une sorte d’auto-destruction?



Tien, en parlant d’auto-destruction:http://i.imgur.com/rhOxnh0.gif

votre avatar







Khalev a écrit :



Et pour PCI, ça arrive quand?





Je suis connecté en https à l’instant même <img data-src=" />

edit: grillé


votre avatar

Les actionnaires d’Apple n’auraient pas apprécié qu’on dépense de l’argent pour des futilités comme le HTTPS <img data-src=" />

votre avatar

<img data-src=" /> N’importe quoi. Par contre quand c’est pour crypté les fichiers musicaux sur itunes avec les verrous numériques qui contraignent les utilisateurs, là y a pas de problèmes.

votre avatar







Davdd a écrit :



<img data-src=" /> N’importe quoi. Par contre quand c’est pour crypté les fichiers musicaux sur itunes avec les verrous numériques qui contraignent les utilisateurs, là y a pas de problèmes.







Ça fait un bail que les morceaux d’iTunes n’ont plus de DRM.


votre avatar

Il y en a qui se croient vraiment invincibles (n’est-ce pas, Apple?).

votre avatar

Ca prouve bien que leur systeme est sécure et qu’il n’y avait pas besoin de https.

<img data-src=" />

Saint Steve veillait sur nous.

Bon maintenant que le https est activé. On peut dormir sur les 2 oreilles <img data-src=" />

votre avatar







JCLB a écrit :



Rien ne m’étonne, quand je vois les VISA RFID comparés au pass navigo par exemple.



L’un protège quelques € et est super protégé, l’autre donne la liste de tes dernières transactions et l’accès à ton compte bancaire et tout passe en clair….<img data-src=" />







normal, la RATP c’est son argent qu’elle peut perdre en cas de transaction frauduleuse


votre avatar







tAran a écrit :



Huuum ? T’as des infos là dessus ?



Autant je suis d’accord sur le chiffrement des dernières transactions (suite à la démo d’un ingénieur de BT), autant j’aimerai avoir des infos sur la possibilité d’accès au compte bancaire <img data-src=" />





La liste des données récupérables en clair inclue la bande magnétique.

Tu sais ce qu’on fait aujourd’hui avec une copie de bande magnétique une fois passé la frontière ? On paye des trucs, on paraphe et c’est bon. <img data-src=" />



Si cette faille n’est pas corrigée, pense aux gangs qui placent des lecteurs sur les automates pour collecter les bandes, ils sont ingénieux n’est-ce pas ?

Demain ils auront besoin d’une antenne d’un mètre avec le matos adéquate et là ils pourront choper les infos à 3m.



Alors si t’as une carte RFID sans porte carte métallique et que tu croises un type louche avec une case de contrebasse, fait gaffe que ça soit pas une antenne dedans.



Je prédis qu’on démasquera dans les 2 prochaines années ce genre de truc.


votre avatar







JCLB a écrit :



La liste des données récupérables en clair inclue la bande magnétique.

Tu sais ce qu’on fait aujourd’hui avec une copie de bande magnétique une fois passé la frontière ? On paye des trucs, on paraphe et c’est bon. <img data-src=" />



Si cette faille n’est pas corrigée, pense aux gangs qui placent des lecteurs sur les automates pour collecter les bandes, ils sont ingénieux n’est-ce pas ?

Demain ils auront besoin d’une antenne d’un mètre avec le matos adéquate et là ils pourront choper les infos à 3m.



Alors si t’as une carte RFID sans porte carte métallique et que tu croises un type louche avec une case de contrebasse, fait gaffe que ça soit pas une antenne dedans.



Je prédis qu’on démasquera dans les 2 prochaines années ce genre de truc.





On est d’accord, tu parlais bien de la possibilité de copier la piste magnétique et non de l’accès au compte bancaire. Tu m’as enlevé un doute <img data-src=" />



Et je rejoins ton analyse concernant de futures fraudes


votre avatar



Évidemment, même si les informations pouvaient transiter en clair, il restait la barrière de la connexion Wi-Fi elle-même. De fait, télécharger et surtout acheter une application pouvait révéler des informations sensibles.





L’app store, c’est la partie visible de l’iceberg…



Je suis même surpris qu’on n’entende pas plus d’affaires de vol de données.

Apple n’a activé le HTTPS pour l’App Store d’iOS que récemment

  • L'App Store, ce lieu de transit 

Fermer