Une nouvelle étude montre que les canaux de communication entre différentes parties et parties de logiciels informatiques sont sujets à des failles de sécurité. Toute personne ayant accès à un ordinateur partagé – collègues, membres de la famille, ou des invités - peuvent l'attaquer ou le soumettre involontairement à des failles de sécurité.

Des chercheurs de l'Université d'Aalto et de l'Université d'Helsinki ont découvert plus de dix applications critiques pour la sécurité informatique qui sont vulnérables aux attaques internes. La plupart des vulnérabilités ont été trouvées dans les gestionnaires de mots de passe utilisés par des millions de personnes pour stocker leurs identifiants de connexion. Plusieurs autres applications se sont avérées tout aussi sensibles aux attaques et aux violations dans Windows, systèmes d'exploitation macOS et Linux.

Les logiciels informatiques démarrent souvent plusieurs processus pour effectuer différentes tâches. Par exemple, un gestionnaire de mots de passe comprend généralement deux parties :un coffre-fort de mots de passe et une extension pour un navigateur Internet, qui s'exécutent tous deux en tant que processus distincts sur le même ordinateur.

Pour échanger des données, ces processus utilisent un mécanisme appelé communication inter-processus (IPC), qui reste dans les limites de l'ordinateur et n'envoie pas d'informations à un réseau extérieur. Pour cette raison, L'IPC est traditionnellement considéré comme sécurisé. Cependant, le logiciel doit protéger sa communication interne des autres processus exécutés sur le même ordinateur. Autrement, des processus malveillants lancés par d'autres utilisateurs pourraient accéder aux données dans le canal de communication IPC.

"De nombreuses applications critiques pour la sécurité, incluant plusieurs gestionnaires de mots de passe, ne protégez pas correctement le canal IPC. Cela signifie que les processus d'autres utilisateurs exécutés sur un ordinateur partagé peuvent accéder au canal de communication et potentiellement voler les informations d'identification des utilisateurs, " explique Thanh Bui, un doctorant à l'Université Aalto.

Alors que les PC sont souvent considérés comme personnels, il n'est pas rare que plusieurs personnes aient accès à la même machine. Les grandes entreprises disposent généralement d'un système centralisé de gestion des identités et des accès qui permet aux employés de se connecter à n'importe quel ordinateur de l'entreprise. Dans ces scénarios, il est possible pour n'importe qui dans l'entreprise de lancer des attaques. Un attaquant peut également se connecter à l'ordinateur en tant qu'invité ou se connecter à distance, si ces fonctionnalités sont activées.

"Le nombre d'applications vulnérables montre que les développeurs de logiciels négligent souvent les problèmes de sécurité liés à la communication inter-processus. Les développeurs peuvent ne pas comprendre les propriétés de sécurité des différentes méthodes IPC, ou ils accordent trop de confiance aux logiciels et applications qui s'exécutent localement. Les deux explications sont inquiétantes, " dit Markku Antikainen, chercheur post-doctoral à l'Université d'Helsinki.

Suite à une divulgation responsable, les chercheurs ont signalé les vulnérabilités détectées aux fournisseurs respectifs, qui ont pris des mesures pour empêcher les attaques. La recherche a été réalisée en partie en coopération avec F-Secure, une entreprise finlandaise de cybersécurité.