Les gestionnaires de mot de passe sur Android sont moins sécurisés qu’on ne pourrait le croire © Tada Images / Shutterstock
Les gestionnaires de mot de passe sur Android sont moins sécurisés qu’on ne pourrait le croire © Tada Images / Shutterstock

Une nouvelle faille de sécurité a été découverte sur Android. Elle concerne les applications de gestion de mots de passe qui s’avéreraient un peu trop bavardes avec vos données personnelles.

Que ce soit sur mobile, sur ordinateur ou sur tablette, les gestionnaires de mot de passe ont tous intégré une fonctionnalité de remplissage automatique. Cette dernière permet aux internautes de ne pas avoir à saisir ses identifiants de connexion à chaque connexion sur un site ou sur une app. Mais, d’après des récentes découvertes, elle permet aussi à une application malveillante de dérober vos identifiants.

« AutoSpill », un nouveau vecteur de piratage

À la conférence Black Hat Europe, trois chercheurs issus de l’IIITH (une grande école située à Telangana, en Inde) ont fait la démonstration d’une faille surnommée « AutoSpill », qui permet à une application malveillante sur Android de dérober vos mots de passe sans que vous ne vous en rendiez compte. Concrètement, une application qui ouvre une fenêtre de prévisualisation web en son sein (via le module Webview) peut accéder aux données saisies par le gestionnaire de mot de passe.

Comme l’ont expliqué les chercheurs au journal TechCrunch, lorsqu’une application ouvre une fenêtre Webview et que des informations issues du gestionnaire de mot de passe y sont saisies « idéalement ces dernières ne devraient être accessibles que par la page web affichée à l’écran ». Malheureusement, « l’opération de remplissage automatique peut accidentellement exposer les informations d’identification à l’application de base ».

Dans le cas de Spotify par exemple, si vous utilisez votre gestionnaire de mot de passe pour vous connecter au service via votre compte Facebook, vos données ne restent pas entre le serveur de Facebook et vous, mais pourraient être lues par l’appli Spotify elle-même. Dans le cas d’une application légitime, cela n’a pas beaucoup d’importance puisque les bouts de code malveillant pour intercepter vos informations ne sont pas présents, mais c’est plus gênant avec une app vérolée.

Faites attention aux applis que vous téléchargez

Une version modifiée de Spotify pourrait ainsi subtiliser vos identifiants Facebook en se donnant un air tout ce qu’il y a de plus légitime puisque vos identifiants ne seraient, en apparence, jamais demandés par l’app elle-même, mais par les serveurs, les vrais, de Facebook. « Même sans hameçonnage, toute application malveillante qui vous demande de vous connecter via un autre site, comme Google ou Facebook, peut automatiquement accéder à des informations sensibles » synthétise l’un des chercheurs.

Le problème semble toucher quasiment tous les grands gestionnaires de mot de passe, de 1Password à LastPass en passant par Keeper et EnPass. Des messages d’alertes ont déjà été intégrés à certaines de ses applications, mais, le problème étant du côté de l’OS, il faudra attendre que Google corrige le bug directement. En attendant, faites très attention aux applications que vous téléchargez et à qui vous donnez vos informations de connexion.

Source : TechCrunch