Si vous utilisez un gestionnaire de mot de passe de type Lastpass, SecureSafe, RoboForm et d’autres, il y a un truc sur lequel j’aimerai attirer votre attention.
Lorsque vous utilisez un logiciel client de ce genre sous Android, celui propose généralement de remplir automatiquement les champs login et mot de passe de vos sites web ET de vos applications. Si ce n’est pas le cas, ce qu’on fait tous en général, c’est d’aller dans le gestionnaire de mot de passe, copier le mot de passe et le coller dans le champ qui va bien.
Dans les 2 cas, grave erreur ! Car il est très simple pour une application tierce tournant sur votre téléphone, d’intercepter le contenu du presse papier. Évidemment, et contrairement aux versions desktop, il n’y a pas d’API sous Android et les navigateurs mobiles pour permettre de passer des mots de passe de manière sécurisée. Les développeurs de ces gestionnaires de mot de passe mobile ont donc dû trouver un moyen détourné de transmettre ce login et ce mot de passe et cela se fait via le presse papier.
Voici la liste des applications testées par les chercheurs qui soulèvent ce problème :
Il faut que vous ayez bien conscience de ça avant d’utiliser de tels logiciels. N’importe quelle app vérolée installée sur votre smartphone peut récupérer ces identifiants et les transmettre dans votre dos à d’affreux criminels. Pour démontrer cette possibilité, le développeur Xbao a mis au point un soft baptisé ClipCaster qui intercepte tout simplement le contenu de votre presse papier (et donc vos logins et vos mots de passe). Il s’agit d’un proof of concept pour montrer que ça fonctionne…
Les chercheurs en sécurité qui soulèvent ce problème proposent 2 solutions pour arranger ça. La première consiste à modifier le presse-papier d’Android afin de le segmenter et le sécuriser pour que seules les applications autorisées puissent accéder à son contenu. La seconde possibilité passe par un soft de clavier qui pourrait communiquer avec les gestionnaires de mot de passe via une API et transmettre le mot de passe en toute sécurité aux sites et aux applications. Je pense que Swiftkey a un coup à jouer sur ce créneau. Voici comment ça se passerait en théorie :
Mais attention, rien de tout cela n’existe pour le grand public… Donc ce que je vous recommande si vous utilisez un gestionnaire de mot de passe sous Android, c’est d’afficher en clair votre mot de passe, de le mémoriser et d’aller le retaper vous-même dans le bon champ. Bref, d’utiliser votre mémoire comme d’un presse papier ;-)Autrement, choisissez bien votre gestionnaire de mot de passe, car certains ne sont pas sérieux lorsqu’ils communiquent avec les serveurs (dans le cas de mots de passe stockés dans le cloud). Si la TLS (couche de chiffrement) n’est pas correctement implémentée, il est possible via une attaque Man In The Middle (MITM) d’intercepter votre identifiant principal (login+pass) pour déverrouiller cette base de mots de passe. C’est le cas par exemple de RoboForm et SecureSafe qui échouent lors de la vérification des certificats TLS, laissant la porte ouverte aux interceptions MITM. Par contre sur LastPass, les chercheurs n’ont pas réussi à pratiquer d’attaque MITM, car la vérification des certificats TLS se fait bien.Maintenant vous savez…
Merci à Nicola pour le partage.