Une faille menace largement les utilisateurs d’Android
Attention à tous ceux qui utilisent un smartphone Android équipé d’une version de l’OS antérieure à la 2.3.4 - soit plus de 99 % du parc installé : leurs données personnelles abritées par les services en ligne de Google (agenda, contacts, courriels.
Attention à tous ceux qui utilisent un smartphone Android équipé d’une version de l’OS antérieure à la 2.3.4 - soit plus de 99 % du parc installé : leurs données personnelles abritées par les services en ligne de Google (agenda, contacts, courriels...) peuvent être capturées lors d’une connexion sur un réseau WiFi non protégé, a alerté Google.
L’accès à ces services est contrôlé par le protocole d’authentification ClientLogin qui s’appuie sur un jeton d’accès pouvant être utilisé durant deux semaines. Et ce jeton transite sur une connexion non sécurisée - HTTP au lieu de HTTPS. Une personne malintentionnée interceptant ce jeton peut donc, durant deux semaines, s’en servir à ses fins pour collecter les données personnelles de sa victime. La bonne nouvelle, c’est que Google a très rapidement réagi et a déjà commencé à mettre en place un correctif. Une mise en place qui sera transparente pour les utilisateurs.