Passer au contenu

Android : de nombreuses apps transgressent les règles cryptographiques

Des universitaires américains viennent de mettre au point un outil permettant de voir si une application Android transgresse les règles cryptographiques. Sur 1 780 apps testées, presque la totalité sont pointées du doigt.

Crédits : Daniel Romero via Unsplash

Quatre chercheurs de l’université new-yorkaise de Columbia viennent de créer un logiciel permettant de constater la façon dont sont implantées les règles cryptographiques sur des applications Android. Mauvaise nouvelle : le constat semble édifiant. Sur près de 1 780 applications analysées, la quasi-totalité transgressaient au moins une des règles cryptographiques élémentaires, tandis que certaines parvenaient à en violer plusieurs d’un coup. L’outil, baptisé « Crylogger », a ainsi permis d’identifier 306 applications faisant fi de neuf de ces règles, ou plus (certaines violaient jusqu’à 18 règles cryptographiques). Problème : elles ont été téléchargées de 100 000 à 100 millions de fois à travers le monde.

L’outil mis au point par ces chercheurs vérifie 26 règles cryptographiques basiques, permettant de savoir si l’application est sûre. L’analyse détaillée via « Crylogger » permet de savoir si une application n’utilise pas de hachage désuet, comme le SHA1 ou le MD5, ou encore un chiffrement obsolète, tel que le RC2 ou le DES. « Crylogger » permet également de savoir si l’application en question n’utilise pas un générateur de nombre aléatoire vulnérable, comme cela a été le cas pour 1 775 applications parmi les 1 780 testées. 1 764 d’entre elles utiliseraient un hachage désuet, tandis que 1 076 apps seraient dotées d’un mode de chiffrement CBC obsolète.

Bien que le constat soit relativement mauvais, il y a malgré tout une bonne nouvelle dans cette histoire. Les chercheurs ont en effet mis leur outil à disposition en open source sur GitHub, permettant de cette manière aux développeurs de s’en saisir pour détecter les failles cryptographiques dans leurs applications, et ainsi faire du Play Store un lieu plus sûr.

[amazon box=”B0881TQK2L”]

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Source : 01net

1 commentaire
  1. Merci d’arrêter de faire du **** à clic désastreux.
    Vous n’y connaissez rien en cryptographie, vos “sources” (01net) sont tout aussi incompétents que vous.
    Faire “peur” pour faire du buzz…

Les commentaires sont fermés.

Mode