Rsa: votre smartphone enregistre toutes les frappes que vous avez saisies

Il existe une application qui enregistre toutes les frappes que vous avez saisies sur votre smartphone, même sur un iPhone. Ce n'est pas un sinistre cheval de Troie, ni un enregistreur de frappe maléfique. Il s’agit simplement de la base de données sur laquelle le téléphone s’appuie pour fournir des résultats de saisie semi-automatique. StrikeForce Technologies, fournisseur de solutions de sécurité pour la conférence RSA, a démontré qu'un logiciel externe peut relire cette base de données et ainsi lire tous les textes ou courriels que vous avez envoyés et, plus important encore, chaque mot de passe 'ai tapé.

StrikeForce est l'outil anti-enregistreur de frappe GuardedID pour PC. Lors de la conférence, ils annoncent MobileTrust, une solution similaire pour tous les appareils mobiles Apple et Android. Comme avec GuardedID, MobileTrust chiffre les communications entre le clavier et vos applications sensibles. Aucune frappe ne va dans la base de données de saisie semi-automatique, vos secrets sont donc en sécurité.

MobileTrust est actuellement en version bêta et sa sortie est prévue dans un mois ou deux. Il en fait un peu plus que simplement chiffrer les frappes. C'est un coffre-fort de mots de passe à grande échelle qui stocke toutes les données dans une base de données cryptée AES-256. Il générera des mots de passe forts et des mots de passe à usage unique. Les entreprises seront ravies de pouvoir générer des jetons mous entièrement compatibles avec OATH.

Ram Pemmaraju, directeur technique de StrikeForce, a déclaré: "Si vous savez où chercher, il est assez facile de le saisir. Une application non fiable peut accéder à la base de données de frappe." Il a souligné que, bien que vous puissiez supprimer les séquences de touches en cache de votre iPhone, la plupart des utilisateurs ne savent pas comment, et vous devrez le faire encore et encore.

Pourquoi pas intégré?

"En réalité, si les fabricants de PC et de terminaux mobiles intégraient le chiffrement de frappe au clavier dans leurs appareils, ils économiseraient des milliards de dollars à leurs clients", a déclaré Mark Kay, PDG de StrikeForce Technologies. "Si HP, Dell, Lenovo, Samsung, Sony, Apple ou tout autre grand fabricant fabriquait un cryptage de frappe au clavier intégré dans leurs systèmes, cela rendrait l'informatique et les communications 90% plus sûres pour nous tous."

Alors, pourquoi n'intègrent-ils pas cette protection? George Waller, vice-président exécutif et cofondateur de StrikeForce a expliqué qu'ils avaient essayé. "Vous essayez de rencontrer ces types", a déclaré Waller, "mais ils sont tellement gros. Beaucoup d'entreprises, vous ne savez tout simplement pas où aller." Waller a fait remarquer qu'il serait peut-être plus judicieux de s'adresser aux fabricants de systèmes MDM (Mobile Device Management).

Qu'est-ce qui est malicieux?

Pemmaraju a souligné que l'analyse antivirus traditionnelle ne fonctionne tout simplement pas sur les appareils mobiles, en particulier les iPhones. "Le modèle consistant à essayer d'intercepter les applications et à déterminer si elles sont malveillantes ne fonctionne tout simplement pas", a-t-il déclaré. "Les antivirus pour la plate-forme mobile sont vraiment des faux, des kludges. Même dans le magasin d'applications iPhone, il peut y avoir des applications malveillantes." Il a noté que le simple fait de lire la base de données de personnages pouvait ne pas être considéré comme malveillant, car "ces gars-là sont intelligents!"

Dans un mois ou deux, vous pourrez télécharger MobileTrust gratuitement sur Android ou Apple Store.

Pour voir tous les articles de notre couverture RSA, consultez notre page Afficher les rapports.