Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : l’application Google Wallet stockerait des données sensibles de façon non-sécurisée

décembre 2011 par CERT-XMCO

- Date : 13 Décembre 2011

- Gravité : Faible

- Description : Google Wallet avait été lancé au cours de la première partie de l’année (voir CXA-2011-0843) par le géant de la recherche sur Internet pour combler un trou dans son portefeuille de service.

En effet, Wallet est un service de paiement mobile sans contact. Il prend la forme d’une application Android permettant au propriétaire d’un smartphone de procéder à des achats de la même façon qu’avec une carte de crédit, mais sans avoir besoin d’une telle carte. Wallet utilise en effet la puce NFC présente au sein du téléphone, pour interagir avec l’interface de paiement présente chez le commerçant.

Pour cela, l’application stocke différentes informations personnelles afin de simplifier le paiement. Mais la société ViaForensic vient de publier une étude inquiétante. En effet, d’après celle-ci, l’application ne stockerait pas de façon sécurisée certaines informations sensibles. Plus précisément, certaines données seraient stockées au sein d’une base de données SQLight non chiffrée. Ce résultat peut être surprenant, puisque certaines données telles que les mots de passe sont correctement protégées en étant stockées sous une forme chiffrée.

Parmi les informations non protégées par l’application, les chercheurs ont relevé :
- le nom figurant sur la carte ;
- les 4 derniers chiffres du numéro de la carte (la version complète de ce numéro est cependant correctement protégée) ;
- le montant maximum autorisé d’un achat ;
- la date d’expiration de la carte ;
- les dates de chacune des transactions ;
- et enfin, la localisation de celle-ci.

Selon les chercheurs, ces différentes données pourraient être utilisées par des pirates pour mener, entre autres, des attaques de phishing plus vraies que nature...

Bref, entre les différents risques introduits par la technologie sans contact / NFC et ces problèmes de développement, Google a encore un peu de travail afin de proposer un système de paiement dans lequel les utilisateurs pourront avoir pleinement confiance. Pour rappel, celui-ci n’est toujours pas disponible en Europe.

- Référence :

http://news.cnet.com/8301-27080_3-5...

http://viaforensics.com/mobile-secu...

https://cert.xmco.fr/veille/client/...

- Lien extranet XMCO :

https://cert.xmco.fr/veille/client/...




Voir les articles précédents

    

Voir les articles suivants