Une équipe de recherche allemande de l'université d'Ulm a pu découvrir courant cette semaine une brèche de sécurité dans les applications agenda, contacts et Picasa de Google qui permettrait le piratage des données personnelles des utilisateurs des terminaux sous Android 2.3.3 et antérieurs lors d’une connexion à un réseau Wifi ouvert. L’équipe allemande a pu montrer est qu’il était facile de prendre à défaut le protocole ClientLogin qui ne chiffre pas les données. Dans des situations pareilles, le transfert devrait normalement se faire en https, soit une connexion sécurisée pour éviter qu'une personnes malveillantes puisse y accéder. Or ce n'était pas le cas pour tous les utilisateurs des terminaux Android 2.3.3 et antérieurs qui représentent 99% du marché Android.
Si on se base sur les derniers chiffres communiqués par Google sur la distribution des différentes versions disponibles sur le marché, on se retrouve avec le chiffre cité en haut, le reste, soit 1%, n'est pas concernée car Google avait remédié à cette faille dans la version Android 2.3.4 et honeycomb qui concerne jusqu'à présent peu de personnes.
Google n'a pas tardé à se manifester, son porte parole révèle qu'un correctif de cette brèche serait déployé incessamment et permettrait de régler le problème définitivement pour Agenda et Contacts mais pas encore pour Picasa.
"Aujourd’hui, nous commençons à déployer une mise à jour, qui corrige une faille de sécurité qui pourrait, dans certaines circonstances, permettre un accès d’une tierce personne aux données disponibles dans les calendriers et contacts. Le correctif ne requiert aucune action de la part des utilisateurs et va être déployée au cours des prochains jours."
Pour Google il fallait bien régler le problème des services agenda et contacts en premier car ils contiennent des informations trop confidentielles et par conséquent prioritaires (Personnes n'accepterait qu'on puisse connaitre ses contacts ou plus grave connaitre tous ses déplacements et son emploi du temps). Google affirme aussi que ces équipes travaillent pour fixer ce problème aussi pour Picasa.
Les corrections seront déployé par Google sont aucunes intervention des utilisateurs, rajoute le porte parole de Google.
On dit bravo a Google pour sa réaction rapide mais on dit aussi qu'il faut trouver une solution rapide à Picasa qui reste vulnérable car on ne voudrait pas retrouver nos photos personnelles là on on ne voudrait pas sur le web.
Pour terminer, il faut penser à éviter de se connecter sur des réseaux Wifi ouverts avant d'être sûr que cette faille soit corriger pour votre cas et que Google fixe la vulnérabilité de Picasa.
Jeu de briques
Snake
Pacman
Bubble