Publié le 22/11/2019 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Zaventem – D'après une récente étude de Check Point (NASDAQ : CHKP), fournisseur mondial renommé de solutions de cybersécurité, il semble que les plus récentes versions de plusieurs applications mobiles comptant parmi les plus populaires au monde, et notamment Facebook, Instagram et WeChat, ne disposent pas toujours des patches néanmoins prévus. De ce fait, les smartphones demeurent sensibles aux actes malintentionnés des pirates, à cause de vulnérabilités existantes et connues auxquelles les patches et mises à jour auraient dû en théorie remédier.
Mises à jour pas systématiquement corrigées
Les utilisateurs de smartphones ont le sentiment que s'ils veillent à installer systématiquement la dernière version en date d'une application, ils sont protégés contre tous les abus possibles de pirates. On peut également partir du principe que dès qu'une vulnérabilité est découverte dans un logiciel, elle est résolue sur-le-champ. Malheureusement, ce n'est pas toujours le cas. Les chercheurs de Check Point Research ont aujourd'hui prouvé que des failles logicielles d'applications pourtant très répandues, comme Facebook et WeChat, n'ont pas toujours été corrigées avec un patch adapté dans le Play Store de Google. Pendant un mois, les experts de Check Point ont scanné les plus récentes versions de ses applications mobiles pour détecter la présence de vulnérabilités déjà connues. Le résultat de leur travail est alarmant.
Les pirates prennent la main sur Facebook, Instagram et WeChat
L'étude prouve que des personnes malintentionnées peuvent toujours exécuter un code sur les plus récentes versions d'applications mobiles du Google Play Store, malgré les mises à jour qui sont automatiquement envoyées aux utilisateurs de ces applis examinées par Check Point Research. En gros, les pirates peuvent en prendre le contrôle administratif. En théorie, ils seraient en mesure de dérober, modifier ou publier des messages sur Facebook, récupérer des données de géolocalisation du compte Instagram et même lire des SMS dans WeChat.
Un code malveillant malgré un patch
Pour cette étude, Check Point Research a examiné les plus récentes versions d'applications populaires à partir de modèles de 3 vulnérabilités RCE (Remote Control Execution) déjà connues en 2014, 2015 et 2016. Chacune a reçu deux caractéristiques. Ensuite, Check Point Research a utilisé son security engine et sa base de données pour analyser des centaines d'applications du Google Play Store et vérifier si l'ancien code vulnérable connu était toujours présent dans la plus récente version de ces applis. C'était effectivement le cas sur certaines parmi les plus populaires ; et pire encore : qui étaient prétendument corrigées.
Dans une première réaction après l'avertissement obligatoire par Check Point, Instagram a fait savoir hier que son application n'était pas concernée par la vulnérabilité détectée et que l'appli avait été corrigée d'une autre façon. "Il nous est impossible de vérifier en si peu de temps cette allégation technique, mais bon, nous donnons foi aux affirmations d'Instagram. Mais il est important de rappeler que le but premier de cette enquête ne visait pas une vulnérabilité spécifique dans une application déterminée, mais bien l'ensemble de la sécurité des applications disponibles dans Google Play Store. Et cela vaut donc pour l'exemple précité d'Instagram ", commentent les chercheurs de Check Point.
Laxisme de Google
L'étude n'est pas sans susciter de questions. L'une des principales est : pourquoi Google ne contrôle-t-il pas de façon plus systématique les mises à jour de développeurs d'applis ? Pour l'instant, il leur permet seulement de mettre à jour des applis. Selon Check Point, cette méthode s'avère extrêmement dangereuse, et trompeuse pour le grand public. "Nous estimons que Google doit obliger les développeurs à mettre à jour leurs applications mobiles, y compris le code tiers qu'ils utilisent, ce qui se produit de plus en plus souvent dans un environnement logiciel open source. Car en fin de compte, Google est – au moins partiellement – responsable pour nous aider à contrôler les malwares et codes vulnérables ", déclarent les chercheurs de Check Point.
Que peuvent maintenant faire les utilisateurs d'applications électroniques ?
Les utilisateurs de smartphones savent à quel point il est important de tenir continuellement à jour le système d'exploitation ainsi que toutes les applications installées. Mais il est alarmant de constater que ces mesures de précaution sont sans effet si le gestionnaire (et les développeurs) d'applications n'enregistre pas de façon systématique les solutions de sécurité dans les plus récentes versions d'applications populaires. "Nous espérons que cette étude fasse changer le processus de détection et les procédures suivies par Google ", estime-t-on du côté de Check Point.
Sur l'entrefaite, l'expert en cybersécurité conseille aux utilisateurs l'installation d'antivirus sur leurs smartphones, pour scanner et détecter toutes les vulnérabilités des applications.
Publication obligatoire
Suite à cette étude du département Check Point Research, le spécialiste en sécurité et Google ont informé les éditeurs des applications concernées par des failles logicielles.
Mises à jour pas systématiquement corrigées
Les utilisateurs de smartphones ont le sentiment que s'ils veillent à installer systématiquement la dernière version en date d'une application, ils sont protégés contre tous les abus possibles de pirates. On peut également partir du principe que dès qu'une vulnérabilité est découverte dans un logiciel, elle est résolue sur-le-champ. Malheureusement, ce n'est pas toujours le cas. Les chercheurs de Check Point Research ont aujourd'hui prouvé que des failles logicielles d'applications pourtant très répandues, comme Facebook et WeChat, n'ont pas toujours été corrigées avec un patch adapté dans le Play Store de Google. Pendant un mois, les experts de Check Point ont scanné les plus récentes versions de ses applications mobiles pour détecter la présence de vulnérabilités déjà connues. Le résultat de leur travail est alarmant.
Les pirates prennent la main sur Facebook, Instagram et WeChat
L'étude prouve que des personnes malintentionnées peuvent toujours exécuter un code sur les plus récentes versions d'applications mobiles du Google Play Store, malgré les mises à jour qui sont automatiquement envoyées aux utilisateurs de ces applis examinées par Check Point Research. En gros, les pirates peuvent en prendre le contrôle administratif. En théorie, ils seraient en mesure de dérober, modifier ou publier des messages sur Facebook, récupérer des données de géolocalisation du compte Instagram et même lire des SMS dans WeChat.
Un code malveillant malgré un patch
Pour cette étude, Check Point Research a examiné les plus récentes versions d'applications populaires à partir de modèles de 3 vulnérabilités RCE (Remote Control Execution) déjà connues en 2014, 2015 et 2016. Chacune a reçu deux caractéristiques. Ensuite, Check Point Research a utilisé son security engine et sa base de données pour analyser des centaines d'applications du Google Play Store et vérifier si l'ancien code vulnérable connu était toujours présent dans la plus récente version de ces applis. C'était effectivement le cas sur certaines parmi les plus populaires ; et pire encore : qui étaient prétendument corrigées.
Dans une première réaction après l'avertissement obligatoire par Check Point, Instagram a fait savoir hier que son application n'était pas concernée par la vulnérabilité détectée et que l'appli avait été corrigée d'une autre façon. "Il nous est impossible de vérifier en si peu de temps cette allégation technique, mais bon, nous donnons foi aux affirmations d'Instagram. Mais il est important de rappeler que le but premier de cette enquête ne visait pas une vulnérabilité spécifique dans une application déterminée, mais bien l'ensemble de la sécurité des applications disponibles dans Google Play Store. Et cela vaut donc pour l'exemple précité d'Instagram ", commentent les chercheurs de Check Point.
Laxisme de Google
L'étude n'est pas sans susciter de questions. L'une des principales est : pourquoi Google ne contrôle-t-il pas de façon plus systématique les mises à jour de développeurs d'applis ? Pour l'instant, il leur permet seulement de mettre à jour des applis. Selon Check Point, cette méthode s'avère extrêmement dangereuse, et trompeuse pour le grand public. "Nous estimons que Google doit obliger les développeurs à mettre à jour leurs applications mobiles, y compris le code tiers qu'ils utilisent, ce qui se produit de plus en plus souvent dans un environnement logiciel open source. Car en fin de compte, Google est – au moins partiellement – responsable pour nous aider à contrôler les malwares et codes vulnérables ", déclarent les chercheurs de Check Point.
Que peuvent maintenant faire les utilisateurs d'applications électroniques ?
Les utilisateurs de smartphones savent à quel point il est important de tenir continuellement à jour le système d'exploitation ainsi que toutes les applications installées. Mais il est alarmant de constater que ces mesures de précaution sont sans effet si le gestionnaire (et les développeurs) d'applications n'enregistre pas de façon systématique les solutions de sécurité dans les plus récentes versions d'applications populaires. "Nous espérons que cette étude fasse changer le processus de détection et les procédures suivies par Google ", estime-t-on du côté de Check Point.
Sur l'entrefaite, l'expert en cybersécurité conseille aux utilisateurs l'installation d'antivirus sur leurs smartphones, pour scanner et détecter toutes les vulnérabilités des applications.
Publication obligatoire
Suite à cette étude du département Check Point Research, le spécialiste en sécurité et Google ont informé les éditeurs des applications concernées par des failles logicielles.