{"id":343170,"date":"2022-09-01T09:31:23","date_gmt":"2022-09-01T11:31:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/plus-de-1-800-applications-android-et-ios-presentent-des-fuites-dinformations-didentification-aws-codees-en-dur\/"},"modified":"2022-09-01T09:31:24","modified_gmt":"2022-09-01T11:31:24","slug":"plus-de-1-800-applications-android-et-ios-presentent-des-fuites-dinformations-didentification-aws-codees-en-dur","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/plus-de-1-800-applications-android-et-ios-presentent-des-fuites-dinformations-didentification-aws-codees-en-dur\/","title":{"rendered":"Plus de 1\u00a0800 applications Android et iOS pr\u00e9sentent des fuites d&#8217;informations d&#8217;identification AWS cod\u00e9es en dur"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs ont identifi\u00e9 1 859 applications sur Android et iOS contenant des informations d&#8217;identification Amazon Web Services (AWS) cod\u00e9es en dur, ce qui pose un risque de s\u00e9curit\u00e9 majeur.<\/p>\n<p>&#8220;Plus des trois quarts (77\u00a0%) des applications contenaient des jetons d&#8217;acc\u00e8s AWS valides permettant d&#8217;acc\u00e9der aux services cloud AWS priv\u00e9s&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe Threat Hunter de Symantec, qui fait partie de Broadcom Software, dans un communiqu\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/mobile-supply-chain-aws\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n<p>Fait int\u00e9ressant, un peu plus de 50 % des applications ont \u00e9t\u00e9 trouv\u00e9es en utilisant les m\u00eames jetons AWS trouv\u00e9s dans d&#8217;autres applications maintenues par d&#8217;autres d\u00e9veloppeurs et entreprises, indiquant une vuln\u00e9rabilit\u00e9 de la cha\u00eene d&#8217;approvisionnement.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Les jetons d&#8217;acc\u00e8s AWS pourraient \u00eatre reli\u00e9s \u00e0 une biblioth\u00e8que partag\u00e9e, \u00e0 un SDK tiers ou \u00e0 un autre composant partag\u00e9 utilis\u00e9 dans le d\u00e9veloppement des applications&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>Ces informations d&#8217;identification sont g\u00e9n\u00e9ralement utilis\u00e9es pour t\u00e9l\u00e9charger les ressources appropri\u00e9es n\u00e9cessaires aux fonctions de l&#8217;application, ainsi que pour acc\u00e9der aux fichiers de configuration et s&#8217;authentifier aupr\u00e8s d&#8217;autres services cloud.<\/p>\n<p>Pire encore, 47 % des applications identifi\u00e9es contenaient des jetons AWS valides qui accordaient un acc\u00e8s complet \u00e0 tous les fichiers priv\u00e9s et aux compartiments Amazon Simple Storage Service (S3) dans le cloud.  Cela comprenait les fichiers d&#8217;infrastructure et les sauvegardes de donn\u00e9es, entre autres.<\/p>\n<p>Dans un cas d\u00e9couvert par Symantec, une soci\u00e9t\u00e9 B2B anonyme proposant une plate-forme intranet et de communication qui fournissait \u00e9galement un kit de d\u00e9veloppement logiciel mobile (SDK) \u00e0 ses clients avait ses cl\u00e9s d&#8217;infrastructure cloud int\u00e9gr\u00e9es dans le SDK pour acc\u00e9der au service de traduction.<\/p>\n<p>Cela a entra\u00een\u00e9 l&#8217;exposition de toutes les donn\u00e9es priv\u00e9es de ses clients, qui englobaient les donn\u00e9es d&#8217;entreprise et les dossiers financiers appartenant \u00e0 plus de 15 000 moyennes et grandes entreprises.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Au lieu de limiter l&#8217;utilisation du jeton d&#8217;acc\u00e8s cod\u00e9 en dur avec le service cloud de traduction, toute personne disposant du jeton avait un acc\u00e8s complet et sans entrave \u00e0 tous les services cloud AWS de l&#8217;entreprise B2B&#8221;, ont not\u00e9 les chercheurs.<\/p>\n<p>Cinq applications bancaires iOS reposant sur le m\u00eame SDK AI Digital Identity contenant les informations d&#8217;identification cloud ont \u00e9galement \u00e9t\u00e9 d\u00e9couvertes, ce qui a entra\u00een\u00e9 la fuite des informations d&#8217;empreintes digitales de plus de 300 000 utilisateurs.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 avoir alert\u00e9 les organisations des probl\u00e8mes d\u00e9couverts dans leurs applications. <\/p>\n<p>Le d\u00e9veloppement intervient alors que les chercheurs de CloudSEK ont r\u00e9v\u00e9l\u00e9 que 3 207 applications mobiles exposaient les cl\u00e9s API Twitter en clair, dont certaines pourraient \u00eatre utilis\u00e9es pour obtenir un acc\u00e8s non autoris\u00e9 aux comptes Twitter qui leur sont associ\u00e9s.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/over-1800-android-and-ios-apps-found.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs ont identifi\u00e9 1 859 applications sur Android et iOS contenant des informations d&#8217;identification Amazon Web Services (AWS) cod\u00e9es en dur, ce qui pose un risque de s\u00e9curit\u00e9 majeur. &#8220;Plus des trois quarts (77\u00a0%) des applications contenaient des jetons d&#8217;acc\u00e8s AWS valides permettant d&#8217;acc\u00e9der aux services cloud AWS priv\u00e9s&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe Threat Hunter [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":343171,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8738,8361,45034,105199,4168,4158,4165,4161,133,71695,22908,7208,22237,22006,4157,4159,4171,4170,4167,4160,4163,4162,10543,4172,4169,4166,4164],"class_list":["post-343170","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-android","tag-applications","tag-aws","tag-codees","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-didentification","tag-dinformations","tag-dur","tag-fuites","tag-ios","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-presentent","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/343170","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=343170"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/343170\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/343171"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=343170"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=343170"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=343170"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}