Edit: Nokia confirme le déchiffrement des connexions HTTPS pour le confort de l’utilisateur…
Je ne sais pas si vous avez un téléphone Nokia mais si on en croit ce chercheur en sécurité, toutes les connexions HTTP et HTTPS que vous faites avec votre téléphone via le navigateur du téléphone (sur l’OS Series 40), transitent par les serveurs du constructeur. Pour être précis, via cloud*.browser.ovi.com.
Ce serveur est donc en réalité un proxy (similaire à celui d’Opera Mobile) et même s’il n’y a aucune preuve que Nokia intercepte réellement vos données, ils en ont parfaitement la possibilité technique…
Alors que faire ? Passer tout en HTTPS pour profiter d’un bon chiffrement ?
FAUX comme le dit l’ami Norman.
Là où Nokia a fait fort, c’est que les téléphones disposent au minimum d’un certificat de chiffrement accepté par défaut, ce qui fait qu’il n’y a pas d’alerte de sécurité lorsqu’on fait passer du HTTPS via leur proxy et qu’ils peuvent facilement tout déchiffrer… Surement pour des raisons de confort ^^.
En tout cas, une possible grosse atteinte à la vie privée pour tous les possesseurs de Nokia. Reste à attendre la réaction de Nokia et voir comment ils vont pallier ce risque de sécurité pour leurs clients.
