Un informaticien a découvert des failles dans l'appli Windows de SkyGo qui mettraient en danger les données d'identification des utilisateurs
La version Windows de l'appli SkyGo a un problème de sécurité. Celle-ci a été découverte par l'expert en sécurité Sean Wright en analysant deux versions de l'appli (1.0.23-1 et 1.0.19-1), mais il n'est pas exclu que d'autres versions soient également affectées par cette vulnérabilité.
Selon Wright, l'appli effectue plusieurs requêtes et transmissions de données en utilisant le protocole HTTP sans aucun type de chiffrement. Cela signifie qu'il est vulnérable et qu'un pirate pourrait utiliser la technique de l'"homme du milieu" (MiTM) pour s'emparer des données confidentielles des utilisateurs. Cela signifie qu'ils pourraient "s'immiscer" dans la communication entre l'application et les serveurs qui transmettent le contenu, et qu'ils pourraient facilement lire les informations sur l'utilisateur communiquées par l'application au serveur. Le nom d'utilisateur, par exemple, serait facilement lisible par le pirate.
La vulnérabilité de SkyGo
Ce bug dans l'appli SkyGo a été découvert par le chercheur le 22 mai 2018 et rendu public le 19 janvier. Pendant tout ce temps, selon le chercheur, il ne semble pas qu'une version plus sécurisée de l'application ait été publiée. Le 8 juin 2018, Sky a déclaré à Wright qu'elle travaillait à la correction de l'application, mais a ensuite déclaré en septembre que le correctif ne serait publié que dans une nouvelle version de l'application qui serait mise à disposition à l'avenir, et non dans une version spéciale faite spécifiquement pour résoudre ce problème.
"Compte tenu de la nécessité pour les entreprises de passer à HTTPS, ce problème souligne une fois de plus que même les plus grandes entreprises sont à la traîne, ainsi qu'à la traîne lorsqu'il s'agit de résoudre ces problèmes", a déclaré Wright à ZDNet. "J'espère qu'en mettant publiquement en lumière certains de ces problèmes, nous pourrons gagner en visibilité à leur sujet et amener les entreprises à enfin commencer à y prêter attention".
Qu'est-ce que HTTPS
Le protocole HTTPS mentionné par Wright est une version cryptée de l'ancien HTTP, qui permet des communications plus sécurisées entre les ordinateurs et autres appareils sur Internet. Si SkyGo utilisait HTTPS pour ses communications, une attaque de type "Man in the Middle" serait beaucoup plus complexe, car le pirate devrait décrypter les données avant de pouvoir les lire. Google lui-même a exhorté à plusieurs reprises les propriétaires de sites web à passer à ce protocole, et le navigateur Chrome signale clairement les sites qui utilisent encore l'ancien protocole HTTP par la mention "Non sécurisé" à gauche de l'URL.