Firebase, une plateforme dédiée aux Smartphones Android s’est vue notifiée d’une faille que des spécialistes ont découverte au niveau de sa configuration. Acquise par Google en 2014, Firebase est connue pour ses compétences dans le développement de diverses applications, jugées plus rapides et plus sécurisées. Bon nombre d’utilisateurs et de développeurs l’ont d’ailleurs adopté du fait que sa base de données peut sans difficulté se synchroniser sur le Cloud. Ce qui facilite aisément la collaboration entre plusieurs plateformes sans qu’aucune ressource supplémentaire ne soit requise. Toutefois, des chercheurs ont détecté une erreur potentielle qui peut conduire à d’éventuelles fuites d’informations lors de la configuration de ladite plateforme.
Les données personnelles des utilisateurs en danger sur les appareils Android
Selon une équipe de recherche de Comparitech, dans plus de 500 000 applications qui sont regroupées sur Google Play, quelque 155 066 d’entre elles utilisent Firebase. Après analyse, les techniciens ont écarté 11 730 applications dont les bases de données sont publiquement exposées. Sans mentionner que 9 014 peuvent facilement faire l’objet d’une modification provenant des cyberattaques. Ainsi, de par l’erreur de configuration signalée sur Firebase, ces applications deviennent alors plus vulnérables et se retrouvent de ce fait à la merci des personnes malveillantes, surtout quand on procède aux ajouts, suppressions, visualisations ou même téléchargements de données. Parmi les informations à haut risque figurent, entre autres, les mots de passe et les numéros de téléphone qui se comptent par millions.
Selon le rapport de Comparitech, pas moins de 7 millions d’adresses mail, quelque 4,4 millions d’identifiants et 1 million de mots de passe avec 5 millions de numéros de mobiles ont été rendus visibles suite à cette erreur constatée sur Firebase. Par ailleurs, les chercheurs ont également pu débusquer un certain nombre d’applications dangereuses qui utilisent Firebase. Par la suite, ces analystes ont voulu tester la sécurité d’accès pour prouver l’efficacité d’une exposition restreinte au public. Cependant, le rapport a confirmé des contenus complets facilement soustraits, concernant des informations sensibles. Face à ce problème, Comparitech a décidé de supprimer toutes les données qu’ils ont pu consulter afin de se conformer aux procédures de sécurité. À l’occasion, ils ont établi une requête PUT pour révéler tout accès en écriture sur les données en question.
Tour d’horizon sur les alternatives possibles pour remédier aux fuites d’informations
Écarter les risques d’erreurs de configuration comme ceux détectés sur Firebase est un problème que l’on pourrait résoudre de manière assez simple. Il faut ainsi faire en sorte que la base de données soit correctement configurée au moment de son implantation. Il est cependant à préciser que ce procédé n’est pas tout à fait facile à réaliser. Ainsi, chaque développeur d’application devra se conformer aux directives définies dans les chartes Firebase de Google. Quoi qu’il en soit, le rapport a été signalé auprès de Google, la société à laquelle appartient Firebase. En retour, elle a affirmé son assurance envers Firebase en mentionnant que cette plateforme dispose d’un certain nombre de fonctionnalités qui peuvent faciliter le travail des développeurs en toute sécurité. La firme s’engage également à émettre des notifications aux informaticiens en cas d’erreurs de configuration, tout en proposant des recommandations pour la correction.
1 comments