L’App Store vulnérable aux cyber-attaques

L’App Store en ligne d’Apple a été vulnérable aux attaques pirates en raison de l’absence d’un système sécurisé HTTP ou HTTPS sur son domaine. Ce problème, qu’Apple dit avoir réglé fin janvier de cette année, a persisté pendant près de six mois avant cette date. L’absence de chiffrement HTTPS signifie que les utilisateurs auraient pu envoyer ou recevoir des fichiers malveillants ou des informations trompeuses par le biais de hackers.

Selon les chercheurs de Google qui ont signalé ce trou béant dans la sécurité de l’App Store, les utilisateurs sont vulnérables aux attaques quand ils se connectent sur des réseaux publics ou des hotspots Wi-Fi. Sans HTTPS, les données transférées entre l’utilisateur et les serveurs d’Apple ne sont pas cryptées et peuvent facilement être modifiées par un hacker. Un des chercheurs a montré comment voler un mot de passe en utilisant une technique simple qui va envoyer une fenêtre pop up, apparemment venant de l’App Store, demandant à l’utilisateur de saisir ses informations d’authentification. Ces données sont ensuite interceptées par l’attaquant tandis que l’utilisateur a l’impression qu’il dialogue avec les serveurs d’Apple.

Un autre exemple : il existe une technique qui dupe l’utilisateur et l’encourage à installer une appli différente de celle qu’il avait demandée. Cette attaque intercepte les messages entre l’utilisateur et le serveur lors de l’installation ou de la mise à jour des applis. L’attaquant a la possibilité de modifier la demande pour changer d’application en cours d’installation, ou d’empêcher complètement l’installation de l’appli demandée. Le hacker peut ainsi potentiellement voler de l’argent à l’utilisateur en échangeant une application gratuite avec une payante.

De plus, l’attaquant peut accéder à la liste des applications qui sont installées sur un ordinateur, une tablette ou un téléphone portable. Quand un appareil vérifie les mises à jour des applications installées, le pirate envoie aux serveurs d’Apple une requête d’informations relatives à la liste des applications et à leur version actuellement disponible dans l’appareil. En l’absence de chiffrement et de signature numérique  un attaquant pourrait facilement avoir accès à cette liste. Bien qu’Apple ait mis en place des nouvelles normes de sécurité en début d’année, l’entreprise ne sait pas encore combien d’utilisateurs ont pu être victimes de ces attaques.

Cette bévue d’Apple devrait servir d’avertissement à tous les propriétaires de boutique en ligne. Si c’est votre cas, surfez sur le web pour trouver un certificat ssl pas cher qui garantit la sécurité des échanges sur Internet et rassurera vos clients sur la confidentialité de leurs informations.