L'application, MobileSitter, va stocker les mots de passe, les codes PIN (numéros d'identification personnelle) and TAN (numéros d'authentification de transaction). Ces codes secrets sont cryptés puis affichés suite à la saisie d'un mot de passe maître.
Le danger avec le stockage des mots de passe dans ces applications est qu'il existe des méthodes, qu'un pirate peut utiliser pour obtenir ce mot de passe maître. L'attaquant peut tenter des attaques "brute-force" ou par dictionnaire, où les différents mots de passe sont essayés par des programmes automatisés, a déclaré Rachid El Khayari, chargé de recherche dans les systèmes mobiles sécurisées au Fraunhofer. Certaines applications de stockage de mot de passe ne limite pas le nombre de fois où les mots de passe peuvent être entrés, dit-il.
Le MobileSitter, quoi qu'il en soit, retournera toujours une réponse, peu importe le mot de passe maître entré. Si le code PIN de votre carte de crédit est "5555", mais qu'un mot de passe maître erroné est entré, le MobileSitter va décrypter une valeur basée sur ce mot de passe erroné, par exemple "8901."
"Il ne répond pas à la question qui est de savoir si le mot de passe maître est juste ou faux," dit El Khayari.
Les attaquants ne sauraient pas si la valeur retournée est incorrecte tant qu'ils n'auront pas essayé d'utiliser la carte. Si l'attaquant a obtenu la carte de crédit de la victime et a tenté de retirer de l'argent mais à plusieurs reprises indiqué un code PIN erroné, les guichets automatiques auront généralement gardé la carte après quelques tentatives.
L'utilisateur du MobileSitter peut également définir des règles concernant le retour de certaines informations. Par exemple, une règle peut être créée pour retourner uniquement des codes PIN à 4 chiffres lorsque ces informations sont demandées afin que l'attaquant pense qu'il a obtenu un code PIN au lieu d'un code secret, El Khayari dit.
"Lorsque vous demandez un code PIN et que l'on vous montre des lettres, vous savez que ce n'est pas la bonne réponse», a déclaré El Khayari.
Qu'advient-il si l'utilisateur de MobileSitter entre un mot de passe principal erroné ? MobileSitter affichera une icône, comme une étoile rouge, que l'utilisateur a choisi lors de la création du mot de passe maître. Si un mot de passe incorrect est entré, l'utilisateur verra une icône incorrecte et saura ainsi qu'il doit essayer de nouveau. L'attaquant ne saura pas reconnaitre cette icône.
Fraunhofer vend directement MobileSitter pour € 9.90 (US $ 13.45) à partir de son site Web. Fraunhofer propose une version en "Brand label" et également une licence pour les fabricants pour pré-installer MobileSitter.
MobileSitter est compatible avec les téléphones compatibles Java qui permettent d'accéder au système de fichiers d'un téléphone mobile. Fraunhofer prévoit de sortir une version pour iPhone d'Apple cette année. Une version pour le système d'exploitation Android est aussi en préparation, dit El Khayari.
Auteur : Jeremy Kirk, Computerworld Security (traduit de l'anglais)
Continuer avec Linkedin