Sécurité

Nokia surpris en train de déchiffrer le trafic HTTPS – pour votre bien – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Hum, ceci est embarrassant. Les chercheurs ont récemment découvert que Nokia décryptait le trafic HTTPS sur les téléphones de la série 40 (S40). Apparemment, le but de ce décryptage est de s’assurer que les données sont compressées de manière optimale. Ce n’est pas seulement un problème de navigation – le téléphone achemine également l’utilisation des e-mails et des clients Twitter via ses propres serveurs proxy. Le comportement général a été détecté pour la première fois début décembre 2012, mais le décryptage HTTPS n’a été identifié qu’hier.

Mise à jour: Le navigateur Xpress de Nokia est disponible en version bêta pour la famille Lumia et est livré en standard sur l’Asha. Les preuves indiquent que la version Lumia présente le même comportement que l’Asha si le navigateur Nokia est utilisé.

Nokia a depuis répondu en confirmant qu’il transfère les requêtes HTTPS de son Asha et Lumia combinés aux propres serveurs proxy de Nokia, décrypte les données, les compresse et renvoie la réponse appropriée. La société insiste sur le fait qu’il s’agit d’une fonctionnalité plutôt que d’une faille de sécurité, déclarant :

Il est important de noter que les serveurs proxy ne stockent pas le contenu des pages Web visitées par nos utilisateurs ni aucune information qu’ils y entrent. Lorsqu’un décryptage temporaire des connexions HTTPS est requis sur nos serveurs proxy… cela se fait de manière sécurisée… Nokia a mis en place des mesures organisationnelles et techniques appropriées pour empêcher l’accès aux informations privées.

Il y a plusieurs problèmes avec ce que fait le navigateur Ovi de Nokia (il convient de noter qu’Opera Mini n’essaie pas de compresser le trafic HTTPS). Tout d’abord, même si l’entreprise ne stocke pas de versions en texte clair du HTTPS demande qu’il déchiffre, il contourne toujours le cryptage qui y est mis pour la sécurité de l’utilisateur. Cela fait des serveurs Ovi de Nokia une cible juteuse pour les pirates qui pourraient être intéressés par le contenu de ces flux décryptés.

Psssssst :  Lenovo ne fait face à aucune sanction significative pour la débâcle de Superfish qui détruit la sécurité

Est-ce que je pense que Nokia ment et récupère des données sensibles ? Non. Ce n’est en fait pas le plus gros problème ici. Comme Gaurang Pandya, le chercheur qui a découvert la faillesouligne, le défaut ici est que Nokia a configuré ces appareils pour faire confiance aux certificats qu’il émet – et donc ne pas lancer d’avertissements indiquant que le trafic HTTPS est piraté.

Nokia Asha - Certification SSL

C’est un peu plus grave que la question de savoir si oui ou non Nokia vole des données de carte de crédit. En contournant les mesures de sécurité censées dire aux gens qu’ils communiquent avec le serveur, ils pense avec lesquels ils communiquent, Nokia s’est imposé comme le point de défaillance unique pour les clients qui utilisent ces appareils. Les téléphones en question ont été configurés pour ne pas avertir les utilisateurs que leur trafic Web a été compromis par ce qui équivaut à une attaque de l’homme du milieu.

C’est une terrible pratique de sécurité. Il évite les protections que l’utilisation de HTTPS est censée fournir, et il le fait sans avertir l’utilisateur final que ses données sont envoyées à un tiers.

Pour l’instant, la seule solution est de ne pas utiliser le propre navigateur de Nokia. Comme nous l’avons dit, Opera Mini compresse également les données, mais il ne compresse pas / ne redirige pas le trafic HTTPS de la même manière qu’Ovi.

Maintenant lis: Les dumbphones Asha de Nokia sont un moyen bon marché pour les pays en développement de rester connectés

Bouton retour en haut de la page