Les utilisateurs de terminaux mobiles Apple, qui ont installé Gmail sur leurs appareils iOS, pourraient voir leurs données interceptées par des hackers, a déclaré hier Lacoon Mobile Security, une société spécialisée dans la sécurité. La raison est toute simple : Google n'a pas encore mis en place une technologie de sécurité pour empêcher les hackers de lire et modifier les communications chiffrées échangées avec le géant du web, a écrit Avi Basan, directeur technique de Lacoon Mobile Security, une société basée en Israël et aux États-Unis

Les sites web sérieux utilisent des certificats numériques pour chiffrer le trafic de données en utilisant les protocoles SSL / TLS (Secure Sockets Layer Security / TLS). Mais dans certains cas, ces certificats peuvent être falsifiés par des hackers afin d'observer et de décrypter ce trafic. Cette menace peut être écartée grâce à l'utilisation d'un certificat de type « pinning », qui consiste à coder en dur les détails du certificat numérique légitime dans une application.

Prévenu en février dernier, Google n'a encore rien fait

Contrairement à Android, Google n'a pas encore mise en oeuvre cette pratique dans iOS, ce qui signifie qu'un hacker pourrait exécuter une attaque de type man-in-the-middle et lire des communications cryptées, indique M. Basan. Google a reconnu le problème après avoir été informé par Lacoon le 24 février dernier, mais la vulnérabilité n'a toujours pas été réglée, écrit-il.

On ne comprend pas très bien pourquoi Google n'a pas encore intégré ce bout de code dans son app Gmail pour iOS. Il y a trois ans déjà, un ingénieur en sécurité de Google qui travaille sur ces questions avait écrit une note indiquant que la gestion des certificats numériques devenait très compliquée. Parfois, les serveurs proxy utilisés par les entreprises interceptent les connexions HTTPS en utilisant des certificats locaux éphémères pour décrypter les données, écrivait ainsi Adam Langley sur son blog personnel en mai 2011. Certaines applications de sécurité et des programmes de contrôle parental savent également le faire, ajoute-t-il. Ces certificats ont le pouvoir de déroger aux règles qui ont été fixés pour vérifier l'intégrité d'un certificat spécifique, écrit-il.

Un oubli ciblé de la part de Google ?

Lacoon décrit un scénario d'attaque qui incite un utilisateur de Gmail à installer un fichier pour iOS avec un certificat numérique root malveillant. Une fois ce certificat falsifié validé, le hacker peut naviguer comme il le souhaite dans la messagerie Gmail de sa cible. « Nous avons été très surpris par cette faille parce que Google a mis en oeuvre un certificat épinglé pour leur application Gmail pour Android », indique M. Basan. «De toute évidence, l'absence de mise en oeuvre de cette solution pour iOS s'agit d'un oubli de la part de Google ».