Archives de catégorie : Smartphone

Heartbleed, de retour dans nos smartphones

Nous vous en parlions à l’époque, la faille heartbleed a été découverte/exploitée aussi dans les smartphones. Des millions d’appareils sous Android, non mis à jour (4.1.1 et antérieur), le sont encore. Un chercheur vient de lancer une alerte indiquant que des millions de smartphones sont tributaires des mises à jour des opérateurs, constructeurs. Bref, la faille OpenSSL fait encore des dégâts.

Luis Grangela, scientifiques portuguais, indique qu’une méthode de piratage exploitant Heartbleed peut être exploitée par des pitrates. Sa méthode utilise le Wi-Fi et des smartphones Android. Son attaque, baptisée Cupidon, est basée au niveau des tunnels TLS. Pour le chercheur, iOS d’Apple ne serait pas épargné.

Renforcer la sécurité de l’Internet des Objets

Wind River, éditeur de logiciels pour systèmes connectés intelligents, annonce un profil sécurité pour Wind River Linux, un logiciel certifiable selon le profil de protection GPOS (General Purpose Operating System) des Critères Communs, et ce, jusqu’au niveau d’assurance EAL 4.

Grâce à une connectivité plus importante entre les différents équipements, l’adoption d’une approche de développement bien établie et s’appuyant sur des normes telles que celles des Critères Communs peut aider à dissiper les inquiétudes en matière de sécurité autour de l’Internet des Objets (IdO). En outre, Wind River publie également la dernière version de Carrier Grade Profile for Wind River Linux, une plate-forme clé en main qui permet aux clients de bénéficier d’une distribution Linux de classe opérateur (Carrier Grade Linux CGL).

Ce profil sécurité se présente sous la forme d’un module logiciel à haute valeur ajoutée pour Wind River Linux. Il fournit de nouvelles fonctionnalités de sécurité permettant aux développeurs de faire face aux futures menaces liées à la montée en puissance de l’IdO. Ses principales fonctionnalités (un noyau renforcé, un démarrage sécurisé, un espace utilisateur axé sur la sécurité, ainsi que la base Wind River Linux compatible avec le Yocto Project) s’intègrent parfaitement avec les outils de validation, la documentation et les spécifications de prise en charge matérielle.

« Avec l’Internet des Objets, les besoins en matière de connectivité et de sécurité des équipements se complexifient ; malgré cela, les entreprises sont obligées de respecter des calendriers et des budgets de développement restreints, commente Dinyar Dastoor, vice-président en charge de la gestion des produits chez Wind River. Notre nouveau profil sécurité pour Wind River Linux fournit une plate-forme informatique sécurisée et fiable conforme aux normes de l’industrie. Elle permet aux clients de réduire leurs cycles de développement et de commercialiser plus rapidement leurs produits en proposant la sécurité, les performances et l’expérience utilisateur nécessaires pour les équipements d’aujourd’hui, de plus en plus intelligents et connectés, tous secteurs confondus. »

Avec l’effervescence résultant de tendances telles que l’Internet des Objets, les développeurs sont confrontés à de nouvelles problématiques de complexité pour gérer des projets nécessitant davantage de sécurité, d’informations, et de meilleures performances. Avec ce profil sécurité, les clients peuvent tirer parti des meilleures pratiques de sécurité appliquées dans de nombreuses industries et intégrées au profil de protection des Critères Communs. En outre, en cas d’évaluation nécessaire, il réduit les coûts et les délais de développement, de certification et de maintenance d’une distribution Linux complète en respectant le système d’évaluation des Critères Communs. Le profil sécurité fournit également un kit de certification afin de pouvoir certifier la conformité aux exigences fonctionnelles avec le niveau d’assurance requis. En démontrant que leurs produits fonctionnent sur une plate-forme de certification Wind River, les développeurs peuvent progresser bien plus rapidement au sein du processus de certification, habituellement complexe et coûteux. Avec l’aide de Wind River, les clients peuvent commercialiser leurs produits bien plus rapidement et répondre aux exigences de sécurité d’une variété de secteurs, tels que l’aérospatiale, la défense, l’automobile, l’industrie ou les réseaux.

D’autre part, la nouvelle version du profil Carrier Grade fournit la prise en charge du dernier noyau Linux 3.10 LTSIet de la prise en charge étendue d’une variété d’architectures matérielles. Ce profil inclut également la virtualisation des fonctions de routage et de transfert (VRF — Virtual Routing and Forwarding) avec des conteneurs permettant de fournir de manière transparente des fonctionnalités de niveau opérateur au sein d’un environnement virtualisé. À l’heure où le trafic de données repousse les limites des réseaux des opérateurs, et où l’industrie évolue vers des fonctions de virtualisation des fonctions réseau (NFV), il est essentiel de conserver une fiabilité de niveau opérateur et de se conformer aux exigences strictes en matière de performances et de sécurité définies par les accords de niveaux de services (SLA) garantis par les opérateurs à leurs clients aujourd’hui.

Wind River Linux offre une plate-forme Linux de classe commerciale ainsi qu’une expérience utilisateur aisée grâce à un ensemble riche de fonctionnalités basées sur les toutes dernières technologies open source, à des outils de développement totalement intégrés, à une équipe d’assistance présente dans le monde entier et à des services d’experts. Développé sur l’infrastructure de développement Yocto Project, Wind River Linux améliore la compatibilité entre les différentes plates-formes et l’interopérabilité des composants.

 

Protection contre les applis mobiles qui exploitent nos infos personnelles

McAfee, la nouvelle filiale d’Intel Security, vient d’annoncer la version 4.1 de McAfee Mobile Security (MMS). L’outil dédié aux smartphones et tablettes  permet d’exécuter instantanément des contrôles de confidentialité.

Grâce à ces analyses, l’utilisateur est en mesure d’identifier les applications partageant ses informations personnelles à outrance. MMS 4.1 détecte et supprime les malwares et recherche également d’autres menaces à la sécurité. Une fois le produit installé, McAfee simplifie la réalisation de ces analyses pour l’utilisateur. Cette nouvelle version de McAfee Mobile Security permet aussi aux utilisateurs de supprimer les applications présentant d’importants risques viraux. A noter que l’ensemble des éditeurs d’antivirus propose ce genre d’outil : Gdata, … Très vite, vous allez vous rendre compte que plus de la moitié de vos applications installées, ou non, collectent des informations.

80 % des applications mobiles sont en mesure de localiser leur utilisateur

D’après le ‘Consumer Mobile Security Report’, 80 % des applications mobiles sont en mesure de localiser leur utilisateur, 82 % connaissent l’ID code de l’appareil et 57 % les traquent lors de l’utilisation de leur téléphone. De plus, les applications qui collectent agressivement et sans nécessité des données démultiplient la dangerosité des banques de données, 35 % d’entre elles contiennent des logiciels malveillants.

« Les données personnelles collectées par les applications peuvent être bénéfiques à l’amélioration de l’expérience du mobile de l’utilisateur. Cependant, nombre d’entre elles collectent davantage d’informations que nécessaire, menaçant ainsi la vie privée et la sécurité des informations relatives à l’utilisateur », précise David Grout, Directeur Europe du Sud chez McAfee. « McAfee Mobile Security responsabilise l’utilisateur en lui précisant les informations auxquelles les applications ont accès et en les aidant à protéger leur identité et leurs informations personnelles. »

Le contrôle de la confidentialité proposé fournit des renseignements à l’utilisateur quant aux applications qu’il a installées sur son smartphone ou sa tablette. L’analyse applicative détermine la quantité d’informations à laquelle chaque application peut accéder et qu’elle peut partager, les répertorie ensuite par niveau de sensibilité et compare également les associations d’URL à risque. Quand une application se comporte sensiblement différemment des applications de même catégorie, le niveau de risque est relevé et pris en compte dans son niveau de dangerosité. Grâce à cette option, l’utilisateur peut en un seul clic désinstaller les applications suspectes.

Les autorisations applicatives les plus inquiétantes sont celles qui identifient les ID des smartphones et des tablettes, qui permettent de localiser précisément l’utilisateur (grâce au réseau Wi-Fi ou aux tours relais) et celles qui lisent ou suivent les SMS pouvant contenir des messages privés ou des informations sensibles de type autorisation de transactions bancaires.

Les pièces jointes envoyées d’un iPhone ne sont pas sécurisées

Le chercheur en sécurité Andreas Kurtz vient de lâcher un grain de sable dans la communication d’Apple. La grosse pomme affirmait que les documents communiquées par courriel d’un iPhone ou d’un Ipad étaient sécurisés quand elles étaient sauvegardés dans ces « précieux ». Les pièces jointes ne pouvaient être lues, car chiffrées « à partir des capacités de chiffrement matériel de l’iPhone et de l’iPad, la sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS« . Bref, un charabia qui indique que l’on peut dormir tranquille, c’est « secure ».

Sauf que Kurtz vient de démontrer le contraire. Via son iPhone 4, sous iOS 7, et une fois l’option de protection des données activée, le chercheur s’est rendu compte que ses courriels étaient bien inaccessibles. Les pièces jointes, elles, étaient lisibles et non sécurisées. Inquiétant, Apple semble au courant de la faille et ne l’a toujours pas corrigé. La nouvelle version d’iOS (V. 7.1.1) n’a pas pris en compte cette potentialité malveillante, et ne la corrige pas. C’est étonnant, car Andreas Kurtz a prouvé qu’il était possible à un malveillant de mettre la main sur les données envoyées d’un appareil Apple.

 

Faille pour le lecteur Adobe PDF dédié à Android

Les smartphones et tablettes deviennent de véritables nids à problémes. Après les fuites de données via les applications malveillantes, des systèmes de sécurité bancals, voici venir une faille dans un outil que nous aurions pu penser « propre ». Il a été découvert que l’application, pour Android, du logiciel Adobe Reader PDF était faillible à une vulnérabilité qui permet à un pirate de compromettre les documents stockés dans l’appareil et les fichiers stockés sur la carte SD du matos. Le lecteur Adobe exploite du javascript mal sécurisé (pleonasme ? ndr). Le chercheur néerlandais en sécurité Yorick Koster a vérifié avec succès l’existence de la vulnérabilité dans la version 11.1.3 du lecteur Adobe pour Android. Le bug a été corrigé dans la dernière version 11.2.0. Il est donc fortement conseillé de mettre à jour l’outil. Un code de démonstration « poc » est proposé. Il va créer un fichier .txt lorsqu’un utilisateur ouvre un fichier pdf spécialement conçu pour utiliser la version vulnérable d’Adobe Reader.

 

0Day pour Microsoft Word

Microsoft vient de lancer une alerte au sujet de pirates informatiques exploitant un 0day, une faille non publique, permettant d’exploiter une vulnérabilité dans Microsoft Word. La vulnérabilité permet d’exécuter du code arbitraire dans le système vulnérable. « Cette vulnérabilité pourrait permettre l’exécution de code à distance si un utilisateur ouvre un fichier RTF spécialement conçu à l’aide d’une version affectée de Microsoft Word » informe le géant américain.

Le problème affecte, selon le Microsoft Security Advisory 2953095, Microsoft Word 2003, 2007, 2010, 2013, Word Viewer et Microsoft Office 2011 pour Mac. Les exploits repérés ont attaqués des utilisateurs de Microsoft Word 2010.

Microsoft est en train de créer un correctif pour cette faille de sécurité. En attendant, un « patch » temporaire Fix it empêche l’ouverture de fichiers RTF dans Microsoft Word. Autre suggestion pour vous empêcher d’être victime de cette possibilité malveillante, configurer votre messagerie de manière à lire les messages au format texte brut.

Pour rappel, Microsoft va cesser le support pour Windows XP et Office 2003 le 8 avril 2014. Après cette date, les produits Office 2003 ne recevront plus : De prise en charge assistée. De mises à jour de contenu en ligne. De mises à jour logicielles depuis Microsoft Update. Les mises à jour incluent des mises à jour qui permettent de protéger l’ordinateur contre les virus dangereux, les logiciels espions et autres logiciels malveillants qui peuvent subtiliser vos informations personnelles.

 

Une faille dans le cœur d’Android

Six vulnérabilités dans le fonctionnement d’Android pourraient permettre à un pirate de prendre la main sur votre matériel. Des chercheurs de l’Université Américaine de l’Indiana, secondés par leurs mécènes (Microsoft), ont découvert plusieurs vulnérabilités dans l’OS de Google, Android.

Les ingénieurs expliquent qu’il serait possible à un pirate de prendre la main sur les privilèges de la machine via des applications malveillantes… et autorisées par Google et les utilisateurs. Bilan, les Applis prennent le pouvoir quand de nouvelles fonctionnalités apparaissent dans Android.

Des fonctions qui s’intègrent automatiquement dans les applications quand l’OS se met à jour. De nouvelles fonctions que les utilisateurs subissent et ne peuvent contrer. Des privilèges imposés qui ont rapidement été repérés par des malveillants. Les chercheurs ont diffusé une application piégée sur Google Play et l’AppStore d’Amazon pour leur démonstration. « Ces vulnérabilités affectent tous les appareils Android dans le monde » expliquent les chercheurs, soit plusieurs centaines de millions d’utilisateurs.

En gros, quand une application est installée, vous découvrez la liste des autorisations de la dite application (faut-il encore lire la liste, ndr). Quand l’OS se met à jour, et propose de nouvelles fonctionnalités, ces dernières sont intégrées dans les applications… sans que vous en soyez au courant.Bilan, des « bonus » qu’exploitent certaines applications sans que vous en soyez alerter.

Google avait déjà corrigé une faille de ce type, en 2013. Une vulnérabilité, découverte par la société Bleubox, qui visait Android depuis 4 ans.

Un écureuil pour sécuriser vos connexions

Le projet SQRL permet de sécuriser une connexion sans taper le moindre mot de passe. Étonnante, mais néamoins très sympathique idée que celle proposée par Gibson Research Corporation. SQRL, que vous pouvez prononcer (en anglais, ndr) « squirrel » (Ecureuil), est un système de sécurité qui permet de se passer de mot de passe, de one-time-code authenticators à la sauce Google ou tout autre codes envoyés par SMS pour exploiter la double autentification d’un site Internet, d’une connexion à une administration ou tout autre espace sécurisé.

GRC explique que son idée élimine de nombreux problèmes inhérents aux techniques traditionnelles de connexion. Dans sa démonstration, l’utilisateur scanne le QRCode présent dans une page de connexion. Un espace qui réclame, à la base, login et mot de passe. Sauf qu’ici, l’utilisateur n’a pas à rentrer la moindre donnée. Il scanne et SQRL se charge de l’authentification et de la connexion.

Chaque QRCode contient un long chiffre aléatoire généré afin que chaque présentation de la page de connexion affiche un QR code différent. Une paire de clés publiques spécifiques au site est générée. Une clé privée, liée au site, se charge de sécuriser le tout. Bref, l’interaction avec le clavier disparait. Laissant plus aucune possibilité aux logiciels espions révant de vous voler vos « précieux ».

Voir aussi
http://xkcd.com

Portes ouvertes sur vos données pour les Samsung Galaxy ?

Vous possedez un smartphone Galaxy de Samsung ? Vous allez apprécier l’annonce effectuée par la Free Software Foundation qui vient d’annoncer la découverte d’une porte cachée, une backdoor, dans les appareils android de la marque sud coréenne. Tout en travaillant sur Replicant, une version entièrement gratuite/libre d’Android, un concepteur a découvert que le logiciel propriétaire de Samsung, en cours d’exécution sur le processeur d’applications en charge de gérer le protocole de communication avec le modem, met en œuvre une porte dérobée qui permet au modem d’effectuer des opérations sur le système de fichiers, le tout à distance. Bilan, il serait possible à celui qui connait le « truc », d’accéder à aux données personnelles stockées dans le materiel.

Autant dire que le système de chiffrement que propose Samsung ne servirait à rien face à ce tour de passe-passe. Les Galaxy S3, Galaxy Note 2 et le Galaxy Nexus sont concernés. Paul Kocialkowski, développeur de Replicant, propose aux clients Samsung d’interpeller publiquement le constructeur pour une explication sur cette porte cachée et éliminer cet outil intrusif. Faut-il encore qu’il eut été au courant que le logiciel indépendant d’Android, qui gére les « baseband chips », était « piégé ». Nous imaginons difficilement que la société commerciale tente de jouer avec le feu en cachant, bien mal, ce système espion.

A noter que Replicant propose un patch bloquant cette backdoor. Une façon de faire un peu de pub à Replicant face à l’annonce de Knox, le système de sécurité de Samsung ? Korben propose une lettre à envoyer à Samsung. Une idée proposée par la FsF.

« Bonjour,

Je tiens à exprimer mon mécontentement suite à la découverte, dans la gamme Galaxy de vos smartphones, d’une puissante backdoor dans la puce baseband. Etant moi-même propriétaire d’un Samsung Galaxy S3, j’aimerais que vous me disiez ce que vous faites de cette backdoor, qui visiblement permet un contrôle total sur le smartphone et ses données.

A l’heure des révélations d’Edward Snowden et de la mise en cause de nombreuses grandes sociétés comme Google ou Microsoft, il est dommage de constater que Samsung rejoint le banc des accusés en offrant à n’importe qui sachant y faire, NSA en tête, la possibilité de prendre le contrôle total de n’importe quel smartphone, incluant les messages, les fichiers, le GPS et la caméra.

J’attends donc de votre part des explications, et bien sûr une correction de ce système qui ne peut pas être un simple erreur. Il est temps de mettre fin à l’espionnage de masse. En tant que leader dans les nouvelles technologies, au lieu de conforter un système de surveillante malsain, Samsung devrait au contraire montrer la voie d’une technologie au service de ses utilisateurs, et non l’inverse.

Merci d’avance.
Cordialement« 

DaVFI devient Uhuru

La solution de sécurité français baptisée DAVFI change de nom. C’est ce que nous apprend le communiqué de presse de Nov’IT, reçu à la rédaction. Le projet DAVFI, le démonstrateur d’Antivirus Français vient d’être rebaptisé UHURU. Uhuru est un mot Swahili qui signifie Liberté et Indépendance. D’après Nov’IT, cela correspondrait à l’ouverture de sa solution informatique. Le logo, un singe.

DAVFI reste le nom du projet de R&D financé pour partie par le Fonds national pour la Société Numérique (FSN). La version pour smartphones et tablettes sont baptisées Uhuru Mobile. Uhuru Mobile fonctionne sur les smartphones de dernière génération basés sur le système Android comme, Nexus, Samsung, Sony … Uhuru Mobile comporte un système d’exploitation sécurisé pour smartphones, tablettes et PC (sous Android) ; des modules de détection dynamique et comportementale de codes malveillants ; un magasin d’applications certifiées et donc installables sur les équipements ; des outils de validations des applications à intégrer au magasin ; une console centralisée de gestion de la flotte de terminaux. Uhuru Mobile, doit sécuriser les smartphones via du chiffrement des données, des conversations et des sms, ainsi que la protection contre les codes malveillants et l’exploitation de vulnérabilités.

Son modèle est notamment basé sur le contrôle d’intégrité de chaque application, il s’accompagne d’une librairie d’applications préalablement certifiées. La librairie dispose à ce jour plus de 450 applications. Toute entité pourra par ailleurs disposer de sa propre librairie ainsi que des outils de test et certification. Des efforts soutenus de R&D ont été réalisé pour l’évaluation des applications tierces, en vue de pouvoir proposer aux utilisateurs des applications de confiance. Certaines applications utilisent la géolocalisation sans réelle légitimité. Plutôt que de les exclure, Nov’IT a choisi d’intégrer un système envoyant de fausses informations de géolocalisation afin que l’utilisateur de soit pas tracé à son insu.

Uhuru Mobile sera présenté au salon Mobile World Congress 2014. Le consortium DAFVI va recevoir 5,5 millions d’euros de budget pour la R&D. Le consortium DAFVI regroupe : Nov’IT, L’école ESIEA, Qosmos, Teclib et DCNS Research.

Uhuru sera commercialisé à partir d’avril 2014. Nov’IT, à travers ses partenaires intégrateurs, proposera aussi une offre complète comprenant les téléphones avec l’OS installé, le magasin d’applications et les outils de gestion de la flotte mobile.