Aptoide : l’app store tiers victime d’une fuite de données

Aptoide : l’app store tiers victime d’une fuite de données

Pour se procurer de nouvelles applications sur Android, il y a le Google Play Store mais aussi de nombreux app store tiers, qui permettent aux utilisateurs qui ne disposent pas d’un accès au store officiel de récupérer des application. Aptoide est l’un des plus populaires : le service revendique 250 millions d’utilisateurs et 10 milliards de téléchargements d’applications via sa plateforme. Cela en fait donc une cible de choix pour les individus malveillant : comme le révélait la semaine dernière le compte Under the breach sur Twitter, un attaquant revendique sur un forum avoir récupéré la base de données utilisateurs d’Aptoide, contenant selon lui pas moins de 39 millions de comptes. Sur un forum, celui ci a déjà diffusé une partie de la base de donnée contenant 20 millions de comptes. Parmi les données exposées, on retrouve les adresses e-mail des utilisateur, les mots de passe hachés en SHA1, noms, date d’anniversaire, user agent et adresses IP des utilisateurs.

Aptoide a communiqué dimanche sur la faille et explique dans un post de blog que la fuite de données n’affecte que les utilisateurs ayant effectivement crée un compte sur le site d’Aptoide, pour commenter ou signaler une application proposée sur la plateforme. Au total, cette base de données représente 49 millions d’utilisateurs selon l’équipe d’Aptoide.

Mais tous ne sont pas affectés au même degré : ainsi les utilisateurs ayant choisi de créer un compte et de s’y connecter en passant par Google ou Facebook n’ont aucun mot de passe stocké dans la base de donnés (le token de connexion à leur compte Facebook ou Google suffit pour les authentifier sur la plateforme). Ce cas de figure représente 32 millions d’utilisateurs selon Aptoide. Reste 8,8 millions d’utilisateurs ayant choisi de s’inscrire via le site et grâce à un couple identifiant/mot de passe. Dans ce dernier cas de figure, les attaquants ont mis la main sur le hash des mots de passe des utilisateurs et ceux ci ne peuvent donc plus être considérés comme sécurisés : la fonction de hachage SHA1 présente des failles qui ne permettent pas de garantir la sécurité des mots de passe dérobés. Aptoide indique ainsi que les mots de passe trop faibles pourraient être décryptés grâce à une attaque de force brute.

L’équipe d’Aptoide indique que les investigations sont toujours en cours pour déterminer l’origine de la fuite et la façon dont les attaquants sont parvenus à mettre la main sur la base de données. Ils précisent néanmoins que parmi les données volées ne se trouvait aucune données bancaire ou de paiement. La plateforme indique avoir temporairement suspendu son système d’authentification, le temps d’investiguer la fuite de données, et que les mots de passe seront automatiquement réinitialisés lors de la remise en service.

Leave a Reply

Your email address will not be published. Required fields are marked *