Datapp repère les données mobiles non chiffrées

A l’automne dernier, des chercheurs du groupe d’étude et d’analyse des incidents informatiques de l’université de New Haven (University of New Haven’s Cyber Forensics Research and Education Group, UNHcFREG) s’en sont pris à une série d’applications Android, y compris les applications de quelques réseaux sociaux et sites de rencontre, pour leur habitude d’envoyer les données en clair.

Très vite l’ UNHcFREG fut inondé de demandes d’utilisation de leur technologie pour tester d’autres applications destinées aux particuliers ou aux entreprises. Les résultats ont été publiés cette semaine, en même temps que la diffusion de Datapp, une application sous Windows 7 qui agit comme point d’accès Wi-Fi pour les appareils mobiles, surveille le trafic HTTP et indique les données mobiles envoyées en clair par l’appareil.

Le Dr. Ibrahim Baggili, recteur de la faculté de sciences informatiques du Tagliatela College, expert en sécurité de l’information et spécialiste de la criminalité informatique, a déclaré : « Nous voulions créer un système qui permettrait à l’utilisateur lambda d’appuyer sur un bouton et de voir si les photos qu’il allait envoyer seraient chiffrées. » Ibrahim Baggili a géré ce projet qui a compté sur la participation de Roberto Mejia, le programmeur principal, et Kyle Anthony, son assistant.

Cette application gratuite pour Windows transforme l’ordinateur de bureau ou portable en point d’accès. L’utilisateur peut y connecter son appareil mobile et l’application analyse le trafic et montre à l’utilisateur ce qui se passe au niveau du trafic.

Elle indique les applications qui envoient les requêtes via HTTP ou HTTPS, recueille les images non chiffrées dans les paquets TCP/IP et affiche sur une carte l’emplacement des serveurs vers lesquels les données sont envoyées.

« L’application fonctionne avec n’importe quel type de trafic HTTP non chiffré » explique Ibrahim Baggili. « L’idée est de pouvoir tester n’importe quelle application et si celle-ci ne présente aucun danger, Datapp ne l’affiche pas. »

Ibrahim Baggili a déclaré que Datapp pourrait avoir des applications pour les particuliers et les entreprises. Un des plus grands chocs fut de voir que Facebook Messenger envoyait les données en clair.

« Ce n’est pas de l’astrophysique. Nous nous contentons de vérifier si les applications chiffrent ou non les données. C’est ce que nous voulons savoir » ajoute Ibrahim Baggili. Cette intervention revient à créer « un homme au milieu » à l’aide d’un clic sur un bouton, non pas pour voler des données, mais pour informer l’utilisateur.

Après les informations du mois de septembre sur les applications Android vulnérables, les éditeurs ont commencé à diffuser des correctifs et à chiffrer les données transmises.

« Nous estimons qui si les utilisateurs savent mieux ce qui se passe, les sociétés réagiront avec plus de dynamisme » poursuit Ibrahim Baggili.

Les utilisateurs peuvent d’ores et déjà télécharger Datapp et ils ont même la possibilité de contacter les développeurs en cas de problème. Pour l’instant, l’application tourne seulement sous Windows, mais comme l’a dit Ibrahim Baggili, les prochaines versions seront compatibles avec d’autres plateformes et d’autres protocoles en plus de HTTP. Elles seront également capables de contrôler d’autres types de données comme le trafic vocal et vidéo.

« L’application a vraiment plu aux premiers testeurs. Nous l’avons testée lors de quelques événements où nous laissions les visiteurs se connecter afin qu’ils puissent vérifier leurs applications. Quand le public voit cela, il prend vraiment conscience. On se trouve à un niveau d’abstraction différent. Si l’application fonction, génial. Et cela suffit pour la majorité des utilisateurs. Mais quand ils voient de leurs propres yeux que les données sont accessibles partout, l’expérience change.

Auteur: Michael Mimoso

Source: threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *