Actualités

Black Hat USA 2014 : environ 2 milliards de téléphones mobiles seraient concernés par une faille critique (et moi, et moi, et moi ?) !

C’est un fait, on en serait presque aseptisé par sa virulence : le piratage est partout et ne dort jamais (certains, d’ailleurs, préconise une solution radicale pour endiguer le phénomène…) sur Internet et dans la vie de tout les jours qui est de plus en plus connectée avec des appareils / terminaux informatiques. Le Black Hat USA, qui se déroule actuellement dans la ville du péché, à Las Vegas, du 2 au 7 Août 2014, démontre comme chaque année que le piratage n’a jamais été aussi bien-portant  : C’est, notamment, le cas concernant cette grave faille qui toucherait pas moins, en théorie, plus de 2 milliards de téléphones mobiles et qui, grâce à un outils d’administration interne et propre aux opérateurs, permettrait à un individu malveillant de prendre le contrôle à distance du terminal en question !

 

carte du monde_version informatique

 

En effet, cette découverte, on la doit principalement à deux chercheurs travaillant pour la section laboratoire d’Accuvant, une société spécialisée dans les solutions de sécurités personnalisées, Mathew Solnik et Marc Blanchou, expliquant ainsi que via le truchement de ce fameux logiciel de gestion qu’utilise la plupart des opérateurs téléphoniques (le nom sera connu demain, lors de la conférence donnée sur le sujet par les deux experts, le 6 Août au Black Hat USA !), une personne malintentionnée peut, alors, avoir tout les privilèges sur le téléphone mobile piraté et ce, quelque soit, quasiment, sa plateforme (Androïd, iOS, Blackberry…).

 

faille OMA DM_Accuvant

Les deux chercheurs accusent, de plus, la facilité de s’introduire dans cet outil interne propre aux opérateurs avec un mot de passe contenant forcément une donnée propre au téléphone mobile donnée. L’algorithme pour le pirater est donc relativement simple à établir. Si, pour l’heure, la teneur de cette découverte se dévoilera demain au Black Hat USA, Mathew Solvik et Marc Blanchou ont notifié que deux smartphones étaient principalement concernés, le Blackberry Z10, et le HTC One M7 ainsi que certaines gammes de l’iPhone, en notant que ce dernier était concerné pour un iOS installé antérieur à la version 7.0.4.

 

Fake ID_Bluebox

En aparté, une faille Androïd existante depuis 2010 mais seulement reconnue depuis Avril 2014 sera, elle aussi, présentée au Black Hat USA le 6 Août également, par Bluebox, un éditeur de solutions informatiques spécialisé dans les technologies mobiles. En effet, étant présente depuis la version 2.1 (“Eclair”), cette dangereuse faille – nommée Fake ID – tardivement mise en lumière permettrait à un individu malveillant d’avoir une élévation de privilèges sur un terminal mobile donné via un malware qui, grâce à une usurpation d’identité à travers une signature électronique d’une application approuvée (certificats) par le système : “Fake ID peut être utilisé par un malware pour s’affranchir de la sandbox normale pour les applications et réaliser une ou plusieurs actions : insérer un cheval de troie dans une application en se faisant passer pour Adobe Systems, accéder aux données de paiement NFC en usurpant l’identité de Google Wallet, ou prendre le contrôle complet de l’appareil en se faisant passer pour 3LM“, expliquer Jeff Forristal dans son billet du 29 Juillet 2014, du blog de la société. Pour l’heure, notons que Google a corrigé cette faille via une rustine mais la firme de Moutain View recommande de ne télécharger qu’auprès de sites officiels reconnus / certifiés, d’obtenir la dernière mise à jour d’Androïd pour son terminal mobile et bien évidemment de ne pas aller sur des sites Internet suspects (en terme de contenu et d’url).

Ainsi, ces deux grandes vulnérabilités seront toutes deux présentées à la fameuse conférence du Black Hat USA, le 6 Août prochain, soit demain où nous en apprendrons, d’ici là, un peu plus… Pour l’heure, les chercheurs de la section laboratoire d’Accuvant, ont tenu à relativiser la gravité de la faille, certes présente, mais nécessitant, pour son exécution, entre-autres, un matériel et une organisation précise : en effet, l’individu malveillant doit posséder une station de base (assez encombrant et onéreux si on n’est pas un opérateur !) et la connaissance du langage OMA-DM, un protocole spécifique à l’univers mobile. Quand à la faille Fake ID sous Androïd, là aussi, un patch correctif a, donc, déjà été publié par les soins de Google qui, toutefois, appelle à la prudence comme expliqué un peu plus haut. Bref, de quoi y penser puis d’oublier en se rassurant sur ces arguments / faits qui en font ressurgir un autre : l’impuissance de l’utilisateur qui subit, à la manière d’un voyageur regardant le paysage par la fenêtre, ces attaques avec des appareils tout sauf fiables en matière de vie privée… Mais bon, à ce qu’il paraît c’est la vie !… A méditer !

 

Sources :

– Faille relative aux 2 milliards, environ, de téléphones mobiles : Zone-numerique.com

– Faille Fake ID : Zdnet.fr




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.4.0