Vous trouverez dans ce thème des actualités, en France et dans le monde, sur les innovations digitales et numériques, en passant par la cybersécurité ou confiance numérique, l'informatique en nuage, les mégadonnées ainsi que le management des services et de projet
En prenant la main à point nommé sur une application mobile, un outil malveillant peut subtiliser des informations sensibles. Une nouvelle technique redoutable, qui devrait faire des ravages.
Stéphane NEREAU's insight:
Voici le mode opératoire de cette attaque : imaginons que l’ouverture de la fenêtre de connexion de l’application eBay demande 13,5 Ko de mémoire vive. Le logiciel malveillant fonctionne en tâche de fond et surveille la mémoire consommée par le système (une information librement accessible). Lorsque cette dernière grimpe de 13,5 Ko, il affiche sa propre fenêtre de connexion – identique à celle de l’application eBay – par-dessus celle de ladite application. Et le tour est joué.
Le système mobile Apple (iOS) comporterait des portes dérobées (backdoors). Plus de 600 millions de terminaux (iPhone, iPad, iPod Touch) seraient concernés.
Stéphane NEREAU's insight:
Le 18 juillet dernier lors de la conférence HOPE X de New York, le chercheur en sécurité Jonathan Zdziarski (aka Nervegas, spécialiste de la sécurité iOS et contributeur à plusieurs jailbreak iOS) à dévoilé des vulnérabilités volontairement implémentées par Apple dans son système d’exploitation mobile.
Plusieurs actualités récentes sont venues bousculer la sécurité, pourtant fer de lance, des produits de Apple (Goto fail, Touch ID, jailbreak…). Thibaut Gadiolet, expert en sécurité pour Lexsi, décortique dans cette tribune les failles et mécanismes de sécurité d’iOS.
Stéphane NEREAU's insight:
Plusieurs actualités récentes sont venues bousculer la sécurité, pourtant fer de lance, des produits de la marque à la pomme. On pense notamment à :
• La faute de code grossière ou volontaire rendant possible l’interception des communications SSL [1] • L’introduction de la biométrie avec Touch ID et des questionnements quant à la conservation des empreintes digitales au regard des opérations menées par le NSA • Le contournement des mécanismes de sécurité : - L’exploitation de Siri depuis l’écran de déverrouillage pour passer un appel, accéder à l’historique d’appel et la liste des contacts - La désactivation de la fonction “Find my iPhone” sans connaissance du mot de passe associé - L’accès au “centre de contrôle” sans connaissance du mot de passe de déverrouillage, permettant ainsi l’usurpation des comptes email, Facebook ou encore Twitter. • Le Jailbreak “untethered” toujours d’actualité et fonctionnant sur la dernière version [2] d’iOS (7.0.6)
En réponse aux polémiques et failles de sécurité, Apple a récemment mis à jour son livre blanc sur la sécurité des systèmes iOS [3]. Au sein de ce billet, nous nous concentrons tout d’abord sur la problématique du Jailbreak puis sur les interrogations autour de Touch ID en mettant en lumière les affirmations relatives à ces sujets.
Apple a découvert une faille informatique dans ses produits, jugée critique par les experts, et pouvant affecter tous ses appareils, à savoir les smartphones iPhone, les tablettes iPad ainsi que les ordinateurs Mac. Une vulnérabilité au sein de iOS en est la cause.
Stéphane NEREAU's insight:
La dangerosité de la faille a rapidement donné lieu sur les réseaux à une déferlante d’articles et de précisions, le hashtag « #Gotofail » devenant le signal de ralliement. Le chercheur indépendant Ashkan Soltani (qui avait notamment aidé à prouver que les liens envoyés sous Skype étaient surveillés de manière proactive) s’est ainsi étonné sur Twitter qu’Apple ne procède pas systématiquement aux tests qui auraient permis de détecter ce type de comportement. Mais dans le guide de sécurité fourni par l’entreprise, il est demandé que les « données invalides ou inattendues » soient autant testées que les données attendues. Pour Adam Langley, de chez Google, il s’agit d’une erreur d’autant plus grave qu’elle est grossière.
Suite à l’émergence du problème qui touche le code de Safari et affecte la vérification d’authenticité des serveurs, avec les risques que cela comporte, Apple vient de mettre en place un site, Gotofail.com, qui vous permet de tester vos appareils Apple à partir du navigateur Safari. Un autre site non officiel permet aussi de faire le test.
Adthief a été repéré pour la première fois en mars 2014. Ce programme affecte les iPhones jailbreakés et détourne les revenus publicitaires générés depuis ces terminaux. Dans un papier, Axelle Apvrille détaille les résultats de ses recherches sur ce malware.
Stéphane NEREAU's insight:
L’alerte avait été tirée par des chercheurs en sécurité chinois en mars 2014. L’un d’entre eux relayait alors sur les forums chinois la découverte d’une étrange librairie sur son iPhone. Celle-ci modifiait l’identifiant du développeur afin de détourner les fonds générés par les clics de l’utilisateur. Pour faire simple, chaque clic que l’utilisateur effectuait gênerait bien des revenus publicitaires, mais ceux-ci n’étaient pas reversés à l’annonceur légitime et filaient sur le compte du créateur du malware.
Malgré l’assurance donnée par Apple aux utilisateurs, un bug d’iOS se traduit par l’absence de chiffrement des pièces jointes, ce qui expose les entreprises à des vols de données.
Stéphane NEREAU's insight:
Problème, selon un chercheur en sécurité, Andreas Kurtz, cette affirmation ne se confirme pas dans les faits et les pièces jointes (sous MobileMail.app) sont ainsi en réalité stockées en clair sur le terminal. Une mauvaise nouvelle pour les entreprises qui pensaient ces documents protégés.
Des chercheurs en sécurité ont identifié une faille dans les versions les plus récentes d'iOS permettant à une application d'enregistrer toutes les actions faites sur l'écran tactile.
Stéphane NEREAU's insight:
Par ailleurs, les chercheurs de FireEye affirment avoir trouvé un moyen pour contourner le processus d'examen d'Apple pour valider une « application espionne ». « Nous avons créé une application expérimentale de monitoring pour les versions iOS 7.0.x non jailbreakées », expliquent dans un blog Min Zheng, Hui Xue et Tao Wei. Ils ajoutent que « cette application de monitoring peut enregistrer en arrière-plan toutes les actions sur l'écran tactile comme augmenter le volume, appuyer sur le TouchID ou sur le bouton de retour à la page d'accueil. Ensuite l'application peut envoyer les évènements à un serveur distant ».
C’est en tout cas ce qu’affirme la startup française Pradeo qui, grâce à son moteur baptisé « Trust Revealing », analyse le comportement des applications mobiles.
Stéphane NEREAU's insight:
« Le soupçon de malveillance que nous avions a été confirmé », souligne Clément Saad, cofondateur de Pradeo. Application utilisée par près de 50 millions de personnes dans le monde, Go Weather affiche la météo sur les smartphones iOS ou Android.
To get content containing either thought or leadership enter:
To get content containing both thought and leadership enter:
To get content containing the expression thought leadership enter:
You can enter several keywords and you can refine them whenever you want. Our suggestion engine uses more signals but entering a few keywords here will rapidly give you great content to curate.
Voici le mode opératoire de cette attaque : imaginons que l’ouverture de la fenêtre de connexion de l’application eBay demande 13,5 Ko de mémoire vive. Le logiciel malveillant fonctionne en tâche de fond et surveille la mémoire consommée par le système (une information librement accessible). Lorsque cette dernière grimpe de 13,5 Ko, il affiche sa propre fenêtre de connexion – identique à celle de l’application eBay – par-dessus celle de ladite application. Et le tour est joué.