Une erreur dans l’application iOS laissait des données TOTP sensibles en texte clair sur l’appareil.
Proton a corrigé une fuite dans la version iOS de sa nouvelle application Authenticator. L’erreur provoquait l’enregistrement des codes TOTP (Time-based One-Time Password) sensibles pour la 2FA en texte clair dans les fichiers journaux. Le problème a été corrigé dans la version 1.1.1 de l’application.
Informations sensibles dans les fichiers journaux
Un utilisateur Reddit a remarqué le bug lorsque des comptes 2FA ont disparu de l’application après la modification d’une étiquette. En examinant les fichiers journaux générés, il a découvert que les codes d’authentification secrets, notamment ceux de services sensibles comme Bitwarden, étaient visibles dans le fichier journal sur l’appareil.
Le problème était causé par une fonction dans le code iOS qui ajoutait les données TOTP à une variable. Cette variable était ensuite automatiquement écrite en texte clair dans les journaux locaux.
Désormais résolu
Proton souligne auprès de BleepingComputer que les journaux ne sont jamais envoyés à leurs serveurs et que toute synchronisation des codes est chiffrée de bout en bout. Néanmoins, le fichier journal présente un risque si les utilisateurs le partagent par inadvertance lors d’un rapport de bug ou d’une demande d’assistance.
La fuite ne pouvait pas être exploitée à distance. Cependant, les personnes malveillantes ayant un accès physique à l’appareil pouvaient facilement lire les codes secrets. Proton a modifié la journalisation pour éviter ce comportement.
lire aussi