Android néglige les connexions SSL
Selon le chercheur allemand George Lukas, Android continue, par défaut, de s’appuyer sur les algorithmes de chiffrement RC4 et MD5 pour les connexions SSL. Deux algorithmes connus pour leur vulnérabilité.
C’est dans un billet de blog que George Lukas, chercheur allemand en sécurité informatique interroge : «pourquoi SSL sur Android a-t-il été rétrogradé de AES256-SHA à RC4-MD5 fin 2010 ?» Et d’expliquer qu’aujourd’hui, Android configure les algorithmes de chiffrement RC4 et MD5 - «horriblement cassés» - comme premiers choix par défaut pour toutes les connexions SSL. Ce qui «touche toutes les applications dont l’auteur n’a pas pris soin de changer la liste des algorithmes disponibles (à savoir presque toutes les applications existantes) ».
Dans son billet de blog, le chercheur explique donc que RDC4-MD5 a été retenu par défaut en décembre 2010, avec le lancement d’Android 2.3. Avec Android 2.2.1, le premier choix était DHE-RSA-AES256-SHA. Et RC4-MD5 n’arrivait que loin derrière. George Lukas relève qu’auparavant, les développeurs d’Android se fiaient à OpenSSL pour construire la liste de protocoles de systèmes supportés... avant de décider d’imposer la leur, apparemment pour suivre les recommandations des créateurs de Java. Des recommandations qui, souligne-t-il, «ressemblent à la définition de CipherSec dans le RFC 2246 datant de 1999», avant de conclure qu’Android s’appuie donc sur une liste «vieille aujourd’hui de plus de dix ans ».
Las, comme il le relève, RC4 «est considéré comme problématique depuis 2011» et «MD5 a été cassé en 2009 ». Bref, pour lui, ce changement est soit «le signe d’une horrible ignorance, d’une incompétence en sécurité, ou d’une manipulation élégamment cachée et influencée par la NSA, faites votre choix!» Mais quoi qu’il en soit, «il est temps de se débarrasser de RC4-MD5, tant dans vos applications qu’au coeur d’Android ».