Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Faille Tchap : responsabiliser les entreprises et le consommateur selon McAfee

avril 2019 par McAfee

La semaine dernière, le gouvernement français a lancé une messagerie privée destinée à sécuriser les échanges entre les membres du gouvernement. Créée sur le modèle de WhatsApp et Telegram et chiffrée de bout en bout, la messagerie intitulée Tchap a connu une première vulnérabilité, moins d’une heure après sa mise en ligne. Si le gouvernement a très vite réagi pour corriger la faille de sécurité, Nadi Bou Hanna, le directeur interministériel du numérique a toutefois reconnu qu’il y en aura certainement d’autres, car ils ont privilégié le déploiement rapide aux tests de sécurité qui auraient retardé sa mise en ligne. Pour détecter d’éventuelles failles, l’organisme chargé du développement de Tchap (la DINSIC) a décidé d’ouvrir un programme de Bug Bounty.

« L’initiative du gouvernement d’organiser un Bug Bounty, un programme pour détecter les potentielles failles de sécurité, est une bonne idée » selon Thomas Roccia, Chercheur en Sécurité chez McAfee, « cela permet de découvrir des vulnérabilités au plus tôt en faisant appel à la communauté dans le but d’améliorer la sécurité de l’application. »

Même si le programme de Bug Bounty n’était pas encore ouvert au moment du lancement de Tchap, cela n’a pas empêché un chercheur Français d’analyser l’application. Thomas Roccia ajoute « La vulnérabilité présente dans Tchap et découverte par Robert Baptiste (@fs0c131y) est présente dans un module externe utilisé par l’application. Ce module permet la vérification de l’email lors de la création du compte. Tchap étant supposé accepter uniquement des adresses provenant du gouvernement. Le bug permettait d’enregistrer un compte même si l’adresse email associée n’était pas une adresse du gouvernement. Ainsi il était possible de s’enregistrer avec n’importe quelle adresse email et d’avoir accès à certains chats publics internes au gouvernement sur le réseau Tchap.

Le contournement des processus d’authentification dans ce genre d’application représente un risque majeur pour les utilisateurs, d’autant plus lorsque des informations confidentielles ou privées sont échangées. »

A propos des usages de la part des consommateurs, lorsqu’il s’agit de contenu en ligne, Thomas Roccia ajoute :

« Lorsque l’on télécharge une application depuis un portail sécurisé et légitime, cela ne signifie pas pour autant que l’application est sans risques. Pour garantir un niveau de sécurité suffisant, il est nécessaire de mettre en place des vérifications et des tests dans le processus de développement. Par ailleurs, il faudra également maintenir la sécurité de l’application au moyen de mises à jour durant tout son cycle de vie.

En 2018, les attaques sur mobile ont presque doublé. Elles sont en constante évolution et les applications installées représentent une porte d’entrée pour les attaquants. Aujourd’hui nous consultons nos comptes en banques, nous envoyons des documents, des emails et plus encore. Toutes ces données échangées ou consultées sont une mine d’or qui attise les convoitises.

Selon Thomas Roccia, la sécurité passe encore trop souvent au second plan des priorités pour les entreprises développeuses d’applications :

« Un des problèmes du développement d’application mobile concernent les contraintes budgétaires et opérationnelles. La sécurité informatique passe encore trop souvent au second plan des priorités malgré l’augmentation des attaques. Beaucoup d’applications peuvent être vulnérables et constituent un risque pour les données des utilisateurs.

Pour Thomas Roccia, la sécurité des données en ligne dépend beaucoup de l’éducation des utilisateurs quant aux risques encourus :

« Mais s’il n’appartient qu’aux entreprises d’améliorer la sécurité intrinsèque de leurs applications, les utilisateurs ont également leur part de responsabilité. Par exemple, la vérification des droits accordées à une application. Est-ce que le dernier jeu à la mode a nécessairement besoin d’accéder à mon carnet d’adresse ou à mon micro ? En plus des bonnes pratiques à mettre en place (mise à jour, solution de sécurité…), il est également important de faire preuve de bon sens ! Mais ce dernier paramètre est encore trop souvent ignoré par une grande partie des utilisateurs. Manque de connaissance ou simplement manque d’intérêt, la sécurité est également une affaire de sensibilisation. »

Il conclut : « La messagerie Tchap a souffert d’un lancement légèrement chaotique mais elle est un très bon exemple des mesures à mettre en place pour réagir en cas de vulnérabilité. Même s’il reste encore beaucoup à faire, les mentalités évoluent et la sécurité est de plus en plus prise au sérieux dans les processus de développement. »


Voir les articles précédents

    

Voir les articles suivants