Archives de catégorie : ios

Apple, Cybersécurité, ID, Identité numérique, ios, iOS, Logiciels, Mise à jour, Particuliers, Smartphone, Téléphonie, Vie privée

Fuite de données via un iPhone 5

Un client de l’opérateur Telstra se retrouve avec les messages du répondeur de l’ancien propriétaire d’un iPhone 5.

Richard Thornton est Australien. Ce client de l’opérateur Telstra souhaitait changer d’iPhone. Bilan, il va effacer le contenu de son téléphone, réinitialiser « USINE » l’appareil, retirer sa carte sim. Bref, les actions logiques pour toutes personnes souhaitant revendre son matériel et ne pas laisser de traces dans l’ordiphone. Apple propose d’ailleurs une procédure à suivre avant de vendre ou de céder votre iPhone, iPad ou iPod touch.

Sauf que Richard Thornton a eu une très mauvaises surprises. Le nouveau propriétaire du téléphone de Richard reçoit les messages vocaux laissés sur le répondeur de l’ancien possesseur du smartphone. L’acheteur de l’iPhone d’occasion est aussi client de TelStra. Lorsque l’iPhone 5 a été mis hors tension, puis de nouveau branché, l’appareil d’Apple a téléchargé les messages vocaux de M. Thornton dans l’application de messagerie vocale visuelle du téléphone. Messages qu’il est possible d’écouter complétement.

La compagnie de téléphone n’a pas encore déterminé la cause du problème. « Ils connaissent les symptômes, mais ils ne savent pas la cause« , indique Thornton.

Procédure à suivre avant de vendre votre iPhone, iPad ou iPod touch

Si vous avez jumelé une Apple Watch avec votre iPhone, mettez fin au jumelage.
Sauvegardez les données de votre appareil iOS.
Touchez Réglages > iCloud. Faites défiler la page vers le bas et touchez Déconnexion. Sous iOS 7 ou version antérieure, touchez Supprimer le compte.
Touchez à nouveau Déconnexion, puis Supprimer de l’iPhone, et saisissez enfin votre mot de passe.
Rendez-vous à nouveau dans Réglages > Réinitialiser > Effacer contenu et réglages. Si vous avez activé la fonctionnalité Localiser mon iPhone, il peut être nécessaire de saisir votre identifiant Apple et votre mot de passe.
Si vous êtes invité à saisir le code d’accès de votre appareil, ou celui applicable aux restrictions, effectuez cette opération. Touchez ensuite Effacer [appareil].
Contactez votre opérateur pour connaître la procédure à suivre en cas de changement de propriétaire. Si vous n’utilisez pas de carte SIM avec votre appareil, adressez-vous également à lui pour savoir comment faire bénéficier le nouveau propriétaire de votre forfait. (SMH)

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, ios, Justice, loi, OS X, Particuliers, Smartphone, Vie privée

Mamie veut récupérer le mot de passe de l’iPad de son défunt mari

Un commentaire

Une grand mère souhaite pouvoir utiliser l’iPad de son défunt mari. Apple lui réclame une ordonnance du tribunal pour récupérer le mot de passe.

Je ne sais pas pour vous, mais l’affaire qui vise Peggy Bush, une grand mère canadienne de 72 ans et Apple me fait dire que la manipulation de l’opinion publique au sujet des mots de passe des téléphones et tablettes vient de débuter une nouvelle phase.

Je m’explique. La petite dame a perdu son mari. Décédé, monsieur est parti avec le mot de passe qui permet d’accéder à l’iPad familial. Bilan, la veuve a demandé à Apple le précieux sésame. Réponse de la firme américaine, la dame doit obtenir une ordonnance du tribunal pour récupérer le mot de passe de son défunt époux. « J’ai pu obtenir des pensions, des avantages du gouvernement fédéral. Mais d’Apple, je ne pouvais  pas obtenir un mot de passe ridicule. »

L’opinion public manipulé ? Imaginez le tollé. Apple, refuse d’aider une grande mère. Vite une loi pour faire plier les sociétés à fournir le mot de passe demandé par les familles. Pour finir l’histoire, Peggy ne voulait pas récupérer des photos sur la tablette… elle veut jouer aux jeux installés sur l’iPad.

Avouons aussi que ce problème sera de plus en plus récurant. Nous allons tous mourir laissant derrière nous mots de passe de sites web, forums, réseaux sociaux, smartphones… Comme j’ai déjà pu l’écrire sur le site zataz, il va falloir penser à se rapprocher de son notaire pour sauvegarder les précieux et les rendre disponibles aux proches parents.

Android, Cybersécurité, Espionnae, ios, Particuliers, Sécurité, Smartphone, Social engineering, Vie privée, Windows phone

NSA : l’espionnage toujours en cours

Le Wall Street Journal a rapporté que la NSA a espionné le Premier ministre israélien Benjamin Netanyahu et ses principaux collaborateurs.

Le président Obama et son administration continuent l’espionnage des alliés et alliés « pour du semblant ». Le Wall Street Journal a confirmé l’espionnage numérique du Premier ministre israélien Benjamin Netanyahu et de ses principaux collaborateurs. Comme le rapporte le WSJ, une mise sur écoute « de certaines conversations privées avec les législateurs américains et des groupes américano-juif». La NSA voulait clairement emmagasiner de l’information sur les tentatives de sabotage des accords avec l’Iran.

Ce qui est « marrant » dans cette histoire, c’est de lire les propos de toutes sortes d’internautes, tel que le politique Pete Hoekstra. Ce dernier a passé de nombreuses années à défendre les programmes de surveillance de la NSA. Aujourd’hui, il s’indigne de cette mise sur écoute massive de dirigeants israéliens. En 2014, Pete Hoekstra se moquait du Brésil et de l’Allemagne. Deux nations qui montraient du doigt l’espionnage de ses dirigeants par la National Security Agency.

Android, Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, ios, Logiciels, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Windows phone, Wordpress, Wordpress

Double authentification pour votre site web

Un commentaire

Vous avez un site web ? En plus de votre mot de passe d’accès à votre espace d’administration utilisez la double authentification.

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, gMail, Amazon, DropBox, Facebook, DataSecurityBreach.fr vous propose la même sécurité dédiée à votre site Internet. Ce mode d’emploi est à destination des utilisateurs de WordPress.

La validation en deux étapes contribue à protéger le compte d’un utilisateur contre les accès non autorisés au cas où un tiers parviendrait à obtenir son mot de passe. Même si une personne malveillante parvient à décrypter, deviner ou dérober un mot de passe, elle ne peut se connecter si elle ne dispose pas des informations de validation supplémentaires de l’utilisateur. Ces dernières se présentent sous la forme de codes que seul l’utilisateur peut obtenir via son mobile ou via une signature chiffrée contenue dans une clé de sécurité.

Mode d’emploi double authentification WordPress

Commençons par la base, télécharger l’application qu’il faudra installer dans votre smartphone. Plusieurs choix possibles : Google Authenticator ; Authy ; encore FreeOTP ou encore Duo Mobile Authentication. Ensuite, installer sur votre site Internet l’application dédiée. Une fois c’est deux actions réalisées, direction l’espace « utilisateurs » de votre espace web. Sélectionnez votre identité. Dans cette partie, apparait un espace baptisé « Code secret ».

Cliquez, soit sur « créer nouveau code secret » ou « Montrer le QR Code« . Il vous suffit de lancer l’application mobile. Ensuite, sélectionner le menu, en haut à droite du logiciel. De choisir « configurer un compte« . Plusieurs choix : de viser le QR Code avec votre ordiphone (le plus simple). Rentrer le code secret, la clé fournie, généré par l’application dans votre site web. Dorénavant, une seconde entrée de mot de passe apparaît dans votre ouverture d’administration. Il suffira d’y insérer le code fourni par votre téléphone portable.

Des hébergeur tels que OVH propose aussi la double authentification.
Android, Base de données, Cybersécurité, Entreprise, Fuite de données, ios, Mise à jour, OS X, Sécurité, Smartphone, Téléphonie, Windows phone

Une entreprise sur dix possède au moins un terminal infecté ayant accès aux données d’entreprise

Les données contenues dans le rapport « L’état de la sécurité des applis » de MobileIron révèlent également la liste des principales applis grand public blacklistées.

À l’heure où les collaborateurs choisissent les smartphones et les tablettes pour travailler, les applis mobiles deviennent des outils professionnels indispensables. Suite aux récentes attaques mobiles telles que XcodeGhost, Stagefright, Key Raider et YiSpecter, une quantité sans précédent de données professionnelles mobiles s’est vue menacée. MobileIron a publié aujourd’hui de nouvelles statistiques relatives à l’«état de la sécurité des applis», qui comprennent des informations concernant la manière dont les entreprises utilisent et protègent leurs applis mobiles.

« Dans la mesure où de plus en plus de processus commerciaux sont mobilisés, les hackers s’intéressent aux applis mobiles afin de profiter de l’incapacité des entreprises à prévenir et à détecter les menaces mobiles » a déclaré à DataSecurityBreach.fr Mike Raggo, directeur de la recherche sur la sécurité chez MobileIron. « Afin de protéger les données sensibles contre les menaces de demain, les entreprises doivent repenser leur approche en matière de sécurité en adoptant une architecture mobile fondamentalement différente. »

Principales applis grand public blacklistées
Les collaborateurs sont susceptibles de stocker des documents professionnels sur des applis personnelles de synchronisation et de partage de fichiers d’entreprise (EFSS), ce qui contribue à placer des données professionnelles sensibles en dehors du cadre de la protection du service informatique. Cinq des dix premières applis grand public blacklistées par les clients de MobileIron sont des applis EFSS.

1. Dropbox (EFSS)
2. Angry Birds
3. Facebook
4. OneDrive (EFSS)
5. Google Drive (EFSS)
6. Box (EFSS)
7. Whatsapp
8. Twitter
9. Skype
10. SugarSync (EFSS)

« Les versions grand public des applis EFSS effraient les départements informatiques dans la mesure où des données professionnelles sont susceptibles d’être égarer. Heureusement, les versions d’entreprise d’un grand nombre de ces applis sont disponibles, » déclare à Data Security Breach Raggo. « Les entreprises sont en mesure d’offrir à leurs collaborateurs l’expérience qu’ils désirent tout en protégeant leurs données d’entreprise, mais ceci exige une transformation de l’état d’esprit qui consiste à passer de la restriction à l’autorisation. »

Les applis mobiles sont menacées
Dans la mesure où le travail évoluera dans le futur de plus en plus vers la mobilité, il en sera de même pour le détournement des données et la cybercriminalité. Les récentes attaques ont ciblé les applis et les systèmes d’exploitation mobiles afin d’exfiltrer des données sensibles, et de nombreuses entreprises n’étaient pas préparées. Par exemple, les applis iOS infectées par le logiciel malveillant XcodeGhost peuvent collecter des informations relatives aux terminaux puis crypter et charger ces données vers des serveurs gérés par des agresseurs. La société de détection de logiciels malveillants FireEye a identifié plus de 4 000 applis infectées sur l’App Store, tandis que la société de gestion des risques relatifs aux applis mobiles Appthority a révélé que la quasi-totalité des organisations détenant au moins 100 terminaux iOS possédaient au moins un terminal infecté.

Le défi relatif aux terminaux et aux applis mobiles réside dans le fait que l’utilisateur – et non l’administrateur informatique – exerce généralement le contrôle. Les terminaux deviennent non conformes pour diverses raisons. Par exemple, un terminal se révélera non conforme dès lors que l’utilisateur procédera à un jailbreak ou à un root de son terminal, si le terminal fonctionne sur une ancienne version du système d’exploitation que le département informatique ne prend plus en charge, ou dès lors que l’utilisateur aura installé une appli que le département informatique a blacklisté. MobileIron a révélé les éléments suivants :

Dans ces différents cas, bien que les technologies traditionnelles de sécurité ne soient pas en mesure d’entreprendre les actions nécessaires pour protéger les données d’entreprise, MobileIron est en mesure de le faire. Dès lors qu’un terminal se révèle non conforme, MobileIron entreprend automatiquement plusieurs actions destinées à protéger les informations d’entreprise, notamment en envoyant une alerte à l’utilisateur, en bloquant l’accès des terminaux et applis aux ressources d’entreprise, ou en supprimant tous les courriers électroniques et les applis d’entreprise.

« Les organisations d’aujourd’hui possèdent un ensemble beaucoup trop divers de technologies de sécurité, qui sont rarement pleinement intégrées entre elles. Même lorsqu’elles sont intégrées, elles incluent rarement des informations relatives aux terminaux et aux applis mobiles, » a poursuivi Raggo. « La bonne nouvelle pour les entreprises utilisant une solution de gestion de la mobilité d’entreprise c’est qu’elles disposent des informations dont elles ont besoin sur l’état des terminaux et des applis mobiles pour protéger leurs informations d’entreprise. »

Principales raisons pour lesquelles les terminaux deviennent non conformes
Les entreprises recourant à des solutions de gestion de la mobilité d’entreprise (GME) telles que MobileIron peuvent établir des politiques destinées à garantir que les collaborateurs appropriés bénéficient de l’accès mobile approprié à partir du terminal approprié. Si les administrateurs informatiques ne procèdent pas à l’automatisation de la mise en quarantaine des terminaux dès lors qu’ils se révèlent non conformes, les données d’entreprises sont susceptibles d’être menacées.

Voici les principales raisons pour lesquelles un terminal devient non conforme aux politiques d’entreprise :
Le terminal n’est pas mis en contact avec la plateforme de GME.
L’administration a été désactivée afin que la solution de GME ne puisse plus intervenir à distance sur un terminal.
Le terminal n’est pas conforme aux règles qui bloquent, exigent ou autorisent une appli particulière.

Il est temps de repenser la sécurité mobile
Dans la mesure où des cyber-agresseurs utilisent des logiciels malveillants mobiles pour voler des données professionnelles sensibles, les entreprises doivent envisager des solutions de protection contre la perte de données dans le cadre de leurs stratégies de sécurité. Un seul terminal infecté peut rendre les entreprises vulnérables à des attaques coûteuses.

Android, Cybersécurité, ios, Sécurité, Smartphone, Téléphonie, Windows phone

Sur les traces d’un smartphone perdu

L’éditeur Avast a « égaré » 20 téléphones aux Etats-Unis et suivi leur trace afin de connaître leur parcours.

Pour communiquer sur un des ses outils de sécurité informatique, ici une application contre le vol de téléphone portable, Avast Software a dévoilé les résultats d’une expérience au cours de laquelle la société a volontairement perdu et suivi la trace de vingt smartphones aux Etats-Unis.

Dix téléphones ont été abandonnés à divers endroits de New York, et dix autres à San Francisco. Avant de disperser les appareils, Avast avait préalablement installé trois applications de sécurité sur chaque téléphone : l’application gratuite Avast Anti-Theft, Lookout Mobile Security et Clean Master. L’éditeur avait également veillé à inscrire sur chaque périphérique l’adresse à laquelle il pouvait être retourné en cas de perte.

Sur vingt appareils, seuls quatre téléphones sont revenus chez Avast, tandis que les autres ont pu faire des périples hauts en couleurs. Sur une période de cinq mois, les analystes ont utilisé l’application Anti-Theft afin de suivre les mobiles perdus et ont découverts que la majorité des téléphones perdus ont été remis à neuf grâce à une réinitialisation aux paramètres d’usine. L’outil de l’éditeur serait la seule application de sécurité ayant « survécu » à la réinitialisation. Un appareil semble avoir voyagé dans un navire cargo transatlantique vers l’Inde, où il est actuellement utilisé par son nouveau propriétaire (Quid de la carte SIM, de l’abonnement, du réseau en mer ?). Un téléphone a pris un aller simple vers la République Dominicaine. Un appareil se trouve chez un prêteur sur gages. Un téléphone semble maintenant appartenir à un conducteur de taxi et fais des zigzags dans les rues de San Francisco

« Plus de 3 millions de téléphones sont égarés chaque année, déclare Gagan Singh à DataSecurityBreach.fr, Président de la gamme mobile chez Avast. Heureusement, grâce à Avast Anti-Theft, les utilisateurs ont la possibilité de tracer et de retrouver un téléphone perdu, ou de supprimer à distance les données qu’il contient si ce dernier est irrécupérable. Au vu du nombre de données personnelles que nous stockons sur nos téléphones à l’heure actuelle, il est fort utile de pouvoir retrouver son téléphone ou de supprimer son contenu si vous l’égarez. »

De bons samaritains
Alors que la plupart des appareils perdus continuent de parcourir le monde, quatre personnes ont toutefois renvoyé le téléphone qu’ils ont retrouvé. Comment savaient-ils qu’ils appartenaient à Avast ? Parmi celles-ci, Quiana W. de Brooklyn, a écrit : « Je sais ce que ça fait de perdre quelque chose, un portefeuille comme un téléphone, j’espère donc que cela incitera d’autres personnes à en faire de même. »

Apple, Chiffrement, cryptage, Cybersécurité, ios, iOS, Logiciels, Sécurité, Smartphone

Bouilloires connectées, piratage assuré

Les bouilloires connectées peuvent permettre de mettre la main sur les mots de passe wifi de leurs utilisateurs.

Les objets connectés, petit bonheur pour geek. Sauf que la sécurité, et c’est pourtant pas faute d’en parler, est encore le point faible du matériel tant vanté par le marketing et les agences de communication. C’est d’ailleurs le produit phare de ce noël 2015. Tout va être connecté, du jouet au slip !

A Londres, Ken Munro, un chercheur, a joué avec l’application ikettle. Sa mission, gérer les bouilloires connectées Smarter avec un smartphone. Sauf que le « truc » est tellement bien sécurisé qu’il permet d’intercepter les identifiants de connexion au compte wifi sur lequel est connecté la bouillante dame.

IKettle est conçu pour enregistrer les précieuses secondes passées à attendre l’eau chaude. (The Register)

Apple, Cybersécurité, ios, iOS, Logiciels, Mise à jour, OS X, Patch, Smartphone, Social engineering

Sécurité de l’AppStore : la fin du mythe ou simple retour à la réalité ?

Apple et son Store victimes d’une attaque de sécurité majeure ! Une centaine d’Apps infectées par le biais d’une librairie utilisée par les développeurs ! La forteresse aura tenu longtemps, mais elle a fini par céder et l’actualité nous rappelle quelques vérités élémentaires en matière de sécurité informatique.

Peut-on faire confiance à un acteur mondial, fut-il Apple, pour traiter à l’échelle planétaire, et pour tout le monde, la sécurité des Apps ? Qui n’a jamais tenté de publier une application mobile sur l’AppStore, n’imagine pas les moyens et les efforts déployés par Apple pour effectuer des contrôles de sécurité poussés sur les applications mobiles distribuées sur son store. C’est un fait indéniable. Et c’est une réalité vécue quotidiennement par tous les développeurs. Apple évalue, Apple contrôle, Apple audite … Et Apple rejette les Apps qui ne répondent pas à ses exigences de sécurité. Cela ne fait aucun doute. Apple ne bâcle pas le travail en matière de sécurité. Il en va de son image. Mais pour autant est-il bien raisonnable d’imaginer qu’un acteur unique, fut-il le plus puissant de la sphère numérique, puisse promettre au monde entier un espace de sécurité absolue, contrôlé par lui seul et sur la base de règles qui lui sont propres ? Certes il est confortable et rassurant de le croire. Certes les preuves sont réelles des efforts consentis par Apple pour offrir à ses clients le store le plus sécurisé de la planète numérique.

Mais hélas, la réponse est non ! Et la preuve vient d’en être apportée par l’actualité récente. Apple est faillible car il est simplement impossible à échelle mondiale de garantir un espace de sécurité universel, commun pour tous, et cela, indépendamment du contexte d’usage des Apps, des terminaux mobiles et des systèmes d’information avec lesquels ils interagissent. La sécurité numérique est une notion subjective. Chaque entreprise voit la sécurité à sa porte avec ses propres règles, adaptées à ses spécificités et à ses composants sensibles. Imaginer le contraire relève quasiment de l’inconscience.

Les entreprises ne peuvent pas faire l’économie d’ajouter leur propres contrôles de sécurité aux contrôles d’Apple, fussent-ils les plus rigoureux. Agir différemment reviendrait à considérer dans le monde physique que la sureté du territoire national étant prise en charge par les services de l’Etat, il n’est pas nécessaire pour l’entreprise d’assurer sa propre sécurité et celle de ses personnels.

Apple n’y est pour rien. La firme de Cupertino aura beau multiplier les contrôles de sécurité. Ils ne couvriront jamais les exigences propres d’une banque, d’un opérateur de télécommunication ou d’un distributeur d’énergie. La sécurité numérique d’une entreprise est aussi et avant tout son affaire propre ! L’entreprise peut-elle faire confiance à ses seules équipes internes et/ou à ses prestataires, pour s’assurer de la sécurité de ses propres Apps ?

La première réponse qui vient à l’esprit est naturellement oui. Après tout, les équipes internes savent bien ce qu’elles font. Quant aux prestataires, ils sont encadrés et contrôlés, et ils auraient beaucoup à perdre à introduire des comportements malveillants au sein des applications mobiles qu’ils développent.

Hélas ! L’actualité d’Apple révèle combien le monde numérique est lié et interdépendant. La malveillance n’est pas venue des équipes de développement, qu’elles soient internes ou externes. Elle était simplement logée dans les outils qu’ils avaient à leur disposition … Dès lors la vieille histoire du cheval de Troie se réécrit en version numérique et la désormais fameuse librairie X code aura permis aux pirates de prendre la citadelle Apple en douceur.

Mais au final, et en toute bonne foi, des équipes de développement auront livré une application comportant une portion de code malveillant.

La leçon qu’il faut en retenir est simple : en matière d’applications mobiles, comme dans tous les domaines, la confiance implique le contrôle. Les entreprises doivent s’assurer que leurs applications et l’ensemble des éléments qui les composent sont auditées avec soin et cela dans les multiples et complexes ramifications qui constituent leur code informatique complet.

Peut-on aborder la sécurité des Apps au sein de l’entreprise de manière binaire ?
Une application doit être saine ou malveillante. Autorisée ou bloquée. Oui ou non, les questions de sécurité ne doivent accepter que ces seules réponses. Bien entendu, le monde des applications mobiles serait idéal si les réponses de sécurité étaient simplement binaires. Mais ce monde idéal n’existe pas. La sécurité est une notion relative. Chaque entreprise doit la considérer selon ses règles propres. En vérité, les applications se classent en 3 grandes catégories :

Les applications saines. Leur comportement ne présente pas de risque pour l’entreprise et ses collaborateurs. Pour autant, sur des critères qui ne relèvent pas de la sécurité, elles peuvent être interdites dans un cadre professionnel, à l’exemple des Apps de jeu électronique.

Les applications malveillantes. Indépendamment du contexte particulier d’une entreprise, certains malwares sont de véritables malwares universels. Une App de type « Ransomware » qui prend en otage les données de l’utilisateur (en les chiffrant) contre paiement d’une rançon, est à proscrire.

Et les applications « grises ». Elles sont saines pour certains. Elles sont malveillantes pour d’autres. L’interprétation de leur comportement dépend du contexte de l’entreprise. Une application qui récupère la géolocalisation de l’utilisateur peut être considérée comme dangereuse ou non, selon le contexte de l’entreprise.

La « zone grise » apporte de la complexité dans la gestion de la sécurité des Apps car elle possède des frontières à géométrie variable. Il convient à chaque entreprise de définir ses règles propres pour contrôler cette partie de l’univers des Apps qu’elle propose à ses salariés.

L’expérience révèle qu’à ce jour la majorité des entreprises oublient les Apps grises. Elles délèguent à un acteur mondial comme Apple le soin de gérer pour leur compte la question de la sécurité des Apps. Mais cela est impossible. Un acteur mondial ne peut déployer que des règles universelles communes pour tous. Or, les Apps grises doivent être traitées au cas par cas. D’autant que les technologies qui permettent une gestion personnalisée existent désormais sur le marché. (Par Clément Saad, Président de l’entreprise Pradeo)

Android, Chiffrement, cryptage, Cybersécurité, ios, Justice, Sécurité, Smartphone, Windows phone

Révéler son mot de passe de téléphone aux autorités n’est pas une obligation

Justice : un tribunal américain indique que les autorités ne peuvent pas contraindre des suspects à révéler le mot de passe de leur téléphone.

Un juge de Pennsylvanie a indiqué, la semaine dernière, que des personnes accusés par les autorités d’un délit, peuvent invoquer leur droit et faire appel au Cinquième amendement pour ne pas fournir les informations permettant de se connecter à leur matériel informatique protégé par un mot de passe. Forcer des suspects à renoncer à leurs mots de passe de téléphone cellulaire est une violation du droit constitutionnel contre l’auto-incrimination, indique le juge fédéral Mark Kearney.

Un jugement intéressant au moment ou le FBI fait un important lobbying auprès du législateur pour contrôler le plus possible l’utilisation du chiffrement par les utilisateurs de matériel téléphonique et informatique. James Comey, le patron du Federal Bureau of Investigation, proposant même aux entreprises de réfléchir avec l’agence à des solutions plus souple pour les agents fédéraux, lors de leurs enquêtes. Bref, une porte cachée dans le matériel et système de chiffrement.

Il faut savoir qu’en France, la loi oblige les individus entendus par les force de l’ordre à fournir les mots de passe de leur ordinateur, de leur téléphone portable (ainsi que leurs clés de chiffrement). En cas de refus, en cas de peine, le juge peut doubler la sentence. (The Hill)

Apple, Cybersécurité, Espionnae, ID, Identité numérique, ios, Logiciels, Mise à jour, OS X, Particuliers, Patch, Smartphone

Contourner iOS 9 LockScreen en 30 secondes

Utiliser SIRI pour contourner l’écran de verrouillage des nouveaux appareils d’Apple fonctionnant sous iOS9.

Une faille de sécurité a été découverte dans le nouvel OS d’Apple, iOS 9, sorti en septembre. Il permet d’exploiter Siri afin de contourner l’écran de verrouillage des téléphones et autres tablettes de la grosse pomme. Le « truc » permet d’accéder aux contacts et aux photos stockées dans l’appareil en 30 secondes. La faille n’est toujours pas corrigée dans la mise à jour 9.1.

La firme de Cupertino a annoncé que plus de 50% des appareils ont été mis à jour

La faille est d’une simplicité enfantine. Il est même étonnant qu’aucun test interne n’eut été réalisé face à ce genre de « bug ». Comment cela marche ? D’abord faire 4 erreurs lors de la demande de votre mot de passe. Attention, au bout de 5 tentatives, votre téléphone sera bloqué. Une protection classique. Dans cette 5ème tentative, tapez trois chiffres et laissez le dernier espace vide. Cliquez sur le bouton « Home » et fournissez un 4ème chiffre aléatoire. L’appareil sera bloqué, mais SIRI sera lancé. Demandez l’heure à Siri et cliquez sur l’îcone « Horloge ». Rajoutez une nouvelle horloge en cliquant sur +. Enregistrez cette horloge avec le nom de votre choix. Sélectionnez l’option « Partagez », ouvrez un nouveau message. Dans le champ « À », ouvrez la page info… et vous voilà avec un accès complet aux contacts et photos stockées dans le téléphone !

Pour éviter ce désagrément à la sauce « Big Brother », allez dans « paramètres », puis « code d’accès », sélectionnez l’option « Autoriser lors du verrouillage ». Bloquez l’accès à Siri quand l’accès à votre téléphone est bloqué par un mot de passe.