Lorsque vous travaillez avec de l'argent en ligne, il est important de vous assurer que toutes vos données sont en sécurité, même lorsque vous parlez d'une crypto-monnaie numérique comme Bitcoin. Plus tôt ce mois-ci, Naked Security a eu un article sur un bug dans l'application Coinbase pour les smartphones et tablettes Android qui a provoqué une certaine frayeur chez certaines personnes.
Bryan Stern, un chercheur en sécurité, a rendu public sa connaissance de la faille dans la façon dont l'application gère les connexions SSL dans son GitHub blog du 27 juin 2014. Avant cet article, il avait fait des allers-retours avec Coinbase, qui disait que la faille n'était pas vraiment grave. Stern a écrit:
Avec une connexion SSL compromise, un attaquant pourrait obtenir le contrôle total du compte d'un utilisateur en volant son jeton d'accès. Un attaquant pourrait également intercepter une demande d'envoi de bitcoins et modifier à la fois le montant et l'adresse de destination.
Alors que l'application Android de Coinbase vérifie en fait le TLS certificat présenté lorsqu'il se connecte à un serveur Coinbase et s'assure qu'il est signé par une autorité de certification (CA) reconnue, Stern ne pense pas que cela soit suffisant. D'autres applications financières qui utilisent des clients HTTPS prennent généralement des mesures supplémentaires pour recoupement le TLS certificats, ajoutant une autre couche de sécurité.
Andreas Antonopoulos et d'autres de Bitcoin ont audité de manière indépendante la sécurité et la solvabilité de Coinbase, et l'application est désormais disponible pour les utilisateurs du monde entier. Coinbase a essayé de tracer la ligne entre la sécurité et la commodité pour les utilisateurs, et certains pensent qu'ils font un travail correct avec la tâche périlleuse.
Tout cela conduit à une question: toutes les applications financières sont-elles sécurisées? En janvier de cette année, Ariel Sanchez de IOActive a examiné 40 applications bancaires iOS différentes. La recherche a révélé qu'environ 40% des applications connectées via HTTPS sans valider les certificats du tout. Comme vous le savez, c'est un énorme risque pour la sécurité sur Internet moderne.
Et pour revenir à Coinbase, il y a encore d'autres préoccupations qui ne sont pas strictement liées à SSL /TLS. L'un des plus gros problèmes est que les clés privées sont conservées par Coinbase et ne sont pas données à l'utilisateur. "Ce que j'ai appris en ayant des pièces sur Mtgox: si vous, et vous seul, ne possédez pas les clés privées, vous ne possédez pas les pièces", a déclaré Introshine en ligne selon un article dans CryptoCoinsNews.
Voici quelques conseils de sécurité à garder à l'esprit avant d'en installer un sur votre appareil mobile.
- N'utilisez pas d'applications mobiles pour les transactions financières à moins que vous ne sachiez qu'elles sont entièrement sûres
- Utilisez un ordinateur de bureau ou un ordinateur portable protégé avec un navigateur grand public pour effectuer vos opérations bancaires
- Si vous utilisez des applications bancaires mobiles, assurez-vous de vous connecter avec un VPN pour plus de sécurité et de tranquillité d'esprit
Suivre les conseils ci-dessus vous aidera à rester en sécurité. Bien que Coinbase et d'autres aient la sécurité en tête lorsqu'ils publient des applications mobiles, il est important de vous assurer de prendre vous-même des mesures pour protéger vos données financières en ligne.
