Archives par mot-clé : iphone

FBI Vs Apple : violation du système de confiance

Pourquoi la demande du FBI auprès d’Apple constitue une violation du système de confiance … une question qui va bien au delà du chiffrement des données.

En résumé, on demande à Apple de démonter le système de confiance utilisé depuis plus de 20 ans pour sécuriser Internet. Cette action du gouvernement américain -qui exige de pouvoir utiliser des certificats Apple- constitue un détournement et un piratage d’Internet. La question n’est pas de décrypter un téléphone utilisé par un terroriste.

Les certificats constituent le socle de la cybersécurité. Si le gouvernement est autorisé à utiliser les certificats Apple, il contrôle le logiciel qui contrôle en grande partie l’accès aux logiciels, à Internet et aux applications. Il en prendra alors le contrôle et le détournera.

L’enjeu de la demande du FBI et le défi d’Apple ne se limitent pas à un seul téléphone chiffré utilisé par un terroriste. C’est une violation du système de confiance à base de certificats [numériques] sur lequel reposent les logiciels et Internet ! Le FBI souhaite qu’Apple utilise un certificat Apple pour signer le logiciel qui s’exécutera ensuite (ce que le FBI appelle le fichier logiciel signé de l’iPhone [‘‘signed iPhone Software File’’]). Ces tactiques rappellent celles utilisées pour rendre Stuxnet si efficace – un malware signé à l’aide de certificats valides qui avait pu s’exécuter sans éveiller la méfiance. La requête du FBI risque de marquer un précédent, car elle porte, non sur le fait de casser le chiffrement, mais sur le fait de casser le logiciel. D’où la réponse de Tim Cook : ‘‘Le gouvernement demande à Apple de pirater ses propres utilisateurs et de saper les avancées réalisées depuis plusieurs décennies dans le domaine de la sécurité pour assurer la protection de nos clients.’’

Or, la plus grosse ‘‘avancée’’ dans le cas présent est l’intérêt croissant que les cybercriminels portent au système de confiance créé par les certificats tel que nous le connaissons, et les attaques dont il fait l’objet. Les logiciels font tourner le monde et c’est le rôle des certificats TLS ou les signatures de code de distinguer ce qui est digne de confiance de ce qui ne l’est pas, de trier le bon grain de l’ivraie. Le logiciel signé par Apple ne deviendrait pas seulement une arme convoitée, ce serait également un prototype supplémentaire dans le manuel d’attaques des méchants, comme l’a été Stuxnet il y a 6 ans.

Qu’est-ce que cela signifie pour les entreprises du Global 5000 ? À une époque où certificats et clés suscitent de plus en plus l’intérêt des gouvernements et les convoitises de personnes mal intentionnées, je dirais qu’il est d’autant plus important de connaître les certificats et clés auxquels l’on peut se fier, pour protéger ceux que l’on utilise.

La réponse rapide et légitime d’Apple au FBI contraste fortement avec un autre grand problème de sécurité qui a concerné tous les utilisateurs de smartphones et d’ordinateurs dans le monde. L’autorité de certification chinoise CNNIC, une entité du gouvernement chinois qui contrôle le ‘‘Grand Pare-feu de Chine’’ et surveille le cybercomportement des citoyens de l’Empire du Milieu, était jugée digne de confiance par l’ensemble des navigateurs, ordinateurs, smartphones et tablettes Microsoft, Apple et Google. Or, la CNNIC a été impliquée dans une tentative d’usurpation de Google en Égypte – un incident auquel Google et Mozilla ont rapidement réagi en jetant le discrédit sur la CNNIC. Face aux dizaines de milliards de dollars de chiffres d’affaires en jeu chaque trimestre sur le marché chinois, Apple et Microsoft n’ont pas bougé pendant des mois. Apple a discrètement choisi de faire confiance à certains certificats CNNIC, tandis que Microsoft a laissé faire. L’incident n’a pas reçu la même couverture médiatique que la requête du FBI. Malheureusement, dans le cas de la CNNIC et contrairement à aujourd’hui, Apple n’a pas réagi. Son absence de réaction rapide ou publique a donné l’impression que la firme à la pomme faisait passer ses intérêts financiers chinois devant la sécurité et la confidentialité des données de tous les utilisateurs d’iPhone, d’iPad et de Mac à travers le monde. La réactivité d’Apple à la demande du FBI est un changement bienvenu et nous espérons qu’à l’avenir, l’entreprise ferait de même en cas d’incidents impliquant les autorités chinoises. [Kevin Bocek, VP Threat Intelligence and Security Strategy, Venafi]

Fuite de données via un iPhone 5

Un client de l’opérateur Telstra se retrouve avec les messages du répondeur de l’ancien propriétaire d’un iPhone 5.

Richard Thornton est Australien. Ce client de l’opérateur Telstra souhaitait changer d’iPhone. Bilan, il va effacer le contenu de son téléphone, réinitialiser « USINE » l’appareil, retirer sa carte sim. Bref, les actions logiques pour toutes personnes souhaitant revendre son matériel et ne pas laisser de traces dans l’ordiphone. Apple propose d’ailleurs une procédure à suivre avant de vendre ou de céder votre iPhone, iPad ou iPod touch.

Sauf que Richard Thornton a eu une très mauvaises surprises. Le nouveau propriétaire du téléphone de Richard reçoit les messages vocaux laissés sur le répondeur de l’ancien possesseur du smartphone. L’acheteur de l’iPhone d’occasion est aussi client de TelStra. Lorsque l’iPhone 5 a été mis hors tension, puis de nouveau branché, l’appareil d’Apple a téléchargé les messages vocaux de M. Thornton dans l’application de messagerie vocale visuelle du téléphone. Messages qu’il est possible d’écouter complétement.

La compagnie de téléphone n’a pas encore déterminé la cause du problème. « Ils connaissent les symptômes, mais ils ne savent pas la cause« , indique Thornton.

Procédure à suivre avant de vendre votre iPhone, iPad ou iPod touch

Si vous avez jumelé une Apple Watch avec votre iPhone, mettez fin au jumelage.
Sauvegardez les données de votre appareil iOS.
Touchez Réglages > iCloud. Faites défiler la page vers le bas et touchez Déconnexion. Sous iOS 7 ou version antérieure, touchez Supprimer le compte.
Touchez à nouveau Déconnexion, puis Supprimer de l’iPhone, et saisissez enfin votre mot de passe.
Rendez-vous à nouveau dans Réglages > Réinitialiser > Effacer contenu et réglages. Si vous avez activé la fonctionnalité Localiser mon iPhone, il peut être nécessaire de saisir votre identifiant Apple et votre mot de passe.
Si vous êtes invité à saisir le code d’accès de votre appareil, ou celui applicable aux restrictions, effectuez cette opération. Touchez ensuite Effacer [appareil].
Contactez votre opérateur pour connaître la procédure à suivre en cas de changement de propriétaire. Si vous n’utilisez pas de carte SIM avec votre appareil, adressez-vous également à lui pour savoir comment faire bénéficier le nouveau propriétaire de votre forfait. (SMH)

Contourner iOS 9 LockScreen en 30 secondes

Utiliser SIRI pour contourner l’écran de verrouillage des nouveaux appareils d’Apple fonctionnant sous iOS9.

Une faille de sécurité a été découverte dans le nouvel OS d’Apple, iOS 9, sorti en septembre. Il permet d’exploiter Siri afin de contourner l’écran de verrouillage des téléphones et autres tablettes de la grosse pomme. Le « truc » permet d’accéder aux contacts et aux photos stockées dans l’appareil en 30 secondes. La faille n’est toujours pas corrigée dans la mise à jour 9.1.

La firme de Cupertino a annoncé que plus de 50% des appareils ont été mis à jour

La faille est d’une simplicité enfantine. Il est même étonnant qu’aucun test interne n’eut été réalisé face à ce genre de « bug ». Comment cela marche ? D’abord faire 4 erreurs lors de la demande de votre mot de passe. Attention, au bout de 5 tentatives, votre téléphone sera bloqué. Une protection classique. Dans cette 5ème tentative, tapez trois chiffres et laissez le dernier espace vide. Cliquez sur le bouton « Home » et fournissez un 4ème chiffre aléatoire. L’appareil sera bloqué, mais SIRI sera lancé. Demandez l’heure à Siri et cliquez sur l’îcone « Horloge ». Rajoutez une nouvelle horloge en cliquant sur +. Enregistrez cette horloge avec le nom de votre choix. Sélectionnez l’option « Partagez », ouvrez un nouveau message. Dans le champ « À », ouvrez la page info… et vous voilà avec un accès complet aux contacts et photos stockées dans le téléphone !

Pour éviter ce désagrément à la sauce « Big Brother », allez dans « paramètres », puis « code d’accès », sélectionnez l’option « Autoriser lors du verrouillage ». Bloquez l’accès à Siri quand l’accès à votre téléphone est bloqué par un mot de passe.

80% des infections malveillantes visent Windows

Selon un rapport d’Alcatel Lucent, le premier système d’exploitation visé par les logiciels malveillants serait Windows.

Le rapport d’Alcatel Lucent indique que depuis le début du deuxième trimestre de 2015, les smartphones sous Windows et les PC sous Windows étaient responsables de plus de 80% des infections par des logiciels malveillants. Dans cet intervalle, le nombre de logiciels malveillants visant Android a continué de croître considérablement, mais ce taux d’infection a été considérablement réduit (20%) depuis le début du premier trimestre 2015. L’iPhone et le Blackberry représentaient moins de 1% des infections totales. La baisse des potentialités pirates pour Android serait due à l’effort de Google pour protéger son OS et les applications diffusées par sa boutique officielle, le Google Play Store. [Le rapport]

iOS 9 : bonne pratique de sécurité

La version finale d’iOS 9 est disponible dès ce 16 septembre ! À cette occasion, voici les bonnes pratiques en matière de sécurité iOS.

Bien que les appareils et les OS Apple aient une réputation de sécurité forte, 84 % des vulnérabilités mobiles découvertes l’an dernier ont touché iOS, selon le dernier rapport de Norton by Symantec sur les menaces de sécurité Internet (ISTR). D’ailleurs, une récente famille de logiciels malveillants, appelée KeyRaider, a compromis un nombre record de comptes d’utilisateurs sur les iPhones jailbreakés.

Ci-dessous, vous trouverez trois conseils de sécurité pour iOS 9 à utiliser pour protéger vos informations personnelles. D’abord, utiliser un mot de passe Apple ID fort et unique. Le nouvel iOS 9 exige désormais un code à six chiffres plutôt que quatre. Si ce dernier est couplé avec un mot de passe Apple ID fort qui utilise des lettres, des chiffres et des symboles, il sera plus difficile pour les criminels de deviner les mots de passe.

Ensuite, DataSecurityBreach.fr vous conseiller d’activer l’authentification à deux facteurs (Comme pour double authentification Gmail, Facebook, Dropbox, …) Dans iOS 9, une authentification à deux facteurs, une couche supplémentaire de sécurité, est étendue à iTunes et iCloud, et les utilisateurs devraient l’activer immédiatement. Celle-ci oblige les utilisateurs à entrer un code de vérification unique de six chiffres (envoyé à un dispositif de confiance) ainsi que leur adresse e-mail et mot de passe lorsque l’ils se connectent à leur compte à partir d’un nouveau navigateur ou terminal.

Enfin, désactiver l’accès à Siri depuis l’écran de verrouillage. Siri est l’assistant personnel intelligent iOS, mais bien qu’utile, Siri peut aussi être un risque de sécurité. Il y a eu plusieurs cas dans le passé où Siri a été utilisé pour contourner l’écran de verrouillage de l’iPhone. Empêcher Siri d’être utilisé à partir de l’écran de verrouillage va protéger les appareils de ces types de hacks.

Faille pour OS X et iOS

Les chercheurs en sécurité de Kaspersky Lab ont découvert une vulnérabilité au cœur de « Darwin », un élément open source issu des deux systèmes d’exploitation OS X et iOS. Cette faille, dénommée « Darwin Nuke », expose les ordinateurs sous OS X 10.10 et mobiles sous iOS 8 à des attaques par déni de service (DoS) déclenchées à distance, capables d’endommager les appareils et d’impacter les réseaux d’entreprise auquel ceux-ci seraient connectés. Les experts appellent donc les utilisateurs à installer les mises à jour OS X 10.10.3 et iOS 8.3, qui ne présentent plus cette vulnérabilité.

L’analyse de la vulnérabilité par Kaspersky Lab révèle que les mobiles menacés concernent ceux qui sont dotés de processeurs 64 bits et d’iOS 8, à savoir les iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad Air 2, iPad mini 2 et iPad mini 3.

La vulnérabilité « Darwin Nuke » est exploitée lors du traitement d’un paquet IP d’une taille donnée et comportant des paramètres IP incorrects. Des pirates peuvent déclencher à distance une attaque DoS sur un système OS X 10.10 ou iOS 8, en envoyant à la cible un paquet réseau incorrect dont le traitement va faire « planter » le système. Les chercheurs de Kaspersky Lab ont découvert que le problème ne se produit que si le paquet IP remplit les conditions suivantes :

  • longueur de l’en-tête IP égale à 60 octets ;
  • taille des informations IP utiles inférieure ou égale à 65 octets ;
  • paramètres IP incorrects (longueur, classe, etc.).

« À première vue, il est très difficile d’exploiter cette faille car les conditions à remplir ne sont pas banales. Cependant des cybercriminels persévérants peuvent réussir à paralyser des équipements, voire à perturber l’activité de réseaux d’entreprise. Les routeurs et les pare-feux suppriment généralement les paquets incorrects en termes de taille mais nous avons découvert plusieurs combinaisons de paramètres IP incorrects qui permettent de franchir les routeurs Internet. Nous conseillons à tous les utilisateurs d’OS X 10.10 et iOS 8 d’installer les mises à jour OS X 10.10.3 et iOS 8.3 », commente à DataSecurityBreach.fr Anton Ivanov, analyste senior en malware chez Kaspersky Lab.

Les produits de Kaspersky Lab protègent OS X contre la vulnérabilité « Darwin Nuke » grâce à la fonction Network Attack Blocker. A commencer par Kaspersky Internet Security for Mac 15.0, qui détecte cette menace sous le nom DoS.OSX.Yosemite.ICMP.Error.exploit.

Conseils pour renforcer la sécurité des ordinateurs Mac :

  1. Utiliser un navigateur web réputé pour résoudre rapidement les problèmes de sécurité.
  2. Exécuter « Mise à jour de logiciels » et installer sans délai les mises à jour disponibles.
  3. Utiliser un gestionnaire de mots de passe pour parer plus facilement aux attaques de phishing.
  4. Installer une solution de sécurité performante.

Arnaque aux couleurs d’Ikea

L’enseigne de meubles suédoises vient d’alerter ses clients francophones d’une arnaque en ligne à ses couleurs. Prudence !

« Cher client, souligne la marque Ikea sur son compte officiel Facebook, Nous tenions à vous avertir que des offres illégitimes circulent via Facebook. IKEA n’est pas l’auteur de ces offres vous proposant des chèques-cadeau à gagner; il s’agit probablement d’une collecte de données personnelles. » Le ton est donné pou l’enseigne IKEA, il faut dire aussi que depuis quelques jours, plusieurs fausses pages annoncent des bons cadeaux. Pour cela, il faut devenir amis et légitimer cette page en lui offrant un « j’aime » qui officialise l’honneté, aux yeux de vos ami(e)s, de ce soit disant jeux de Noël.

Attention, ne le faites pas. D’ailleurs, ce genre de pages tournent aussi pour « gagner des iPhones » ; « réduction sur votre console de jeux nouvelles générations. » …

Pour protéger vos données, nous vous recommandons vivement de ne pas donner suite à ces offres, et de ne pas les partager.

Deux rançonneurs d’iPhone sous les verrous

La section K, les renseignements russes, ont mis la main sur ce qui semble être les rançonneurs d’iPhone qui avaient defrayé la chronique, fin mai. Pour rappel, le rançongiciel pour iPhone bloquait les précieux smartphones d’Apple. Le logiciel malveillant bloquait les smartphones et réclamait de l’argent.

Le Ministère de l’Intérieur Russe vient d’indiquer que des suspects avaient été arrêtés dans cette affaire. Les suspects ont été arrêtés dans le sud de Moscou. Ils sont âgés de 23 et 16 ans. Le service presse du département K du Ministère de l’Intérieur russe indique que les deux hommes ont été incarcérés.

Lors de la perquisition, du matériel informatique, des cartes SIM et des téléphones utilisés dans des activités illégales ont été saisis. Ils risquent quelques années de prison.

Les pièces jointes envoyées d’un iPhone ne sont pas sécurisées

Le chercheur en sécurité Andreas Kurtz vient de lâcher un grain de sable dans la communication d’Apple. La grosse pomme affirmait que les documents communiquées par courriel d’un iPhone ou d’un Ipad étaient sécurisés quand elles étaient sauvegardés dans ces « précieux ». Les pièces jointes ne pouvaient être lues, car chiffrées « à partir des capacités de chiffrement matériel de l’iPhone et de l’iPad, la sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS« . Bref, un charabia qui indique que l’on peut dormir tranquille, c’est « secure ».

Sauf que Kurtz vient de démontrer le contraire. Via son iPhone 4, sous iOS 7, et une fois l’option de protection des données activée, le chercheur s’est rendu compte que ses courriels étaient bien inaccessibles. Les pièces jointes, elles, étaient lisibles et non sécurisées. Inquiétant, Apple semble au courant de la faille et ne l’a toujours pas corrigé. La nouvelle version d’iOS (V. 7.1.1) n’a pas pris en compte cette potentialité malveillante, et ne la corrige pas. C’est étonnant, car Andreas Kurtz a prouvé qu’il était possible à un malveillant de mettre la main sur les données envoyées d’un appareil Apple.

 

Faille pour iOS 7 : vol de données possibles

Une vulnérabilité découverte dans iOS 7. Piratage de vos photos, e-mails, comptes Twitter et Facebook en deux coups de doigt. Le nouveau iPhone, et les « anciennes » versions sous iOS 7 vont donner quelques petites frayeurs à leurs fiers propriétaires. Une faille permet de déverrouiller le téléphone et accéder aux petits secrets du « précieux » d’Apple. Les voleurs d’iPhone peuvent rendre le verrouillage totalement inutile en lançant une simple petite application. L’appli ‘timer’, qui se lance à partir du panneau de commande, est le fautif. La technique est simple, elle avait déjà fait un bel effet sur les « anciens » iPhone, mais aussi sur les Samsung 4. DatasecurityBreach.fr vous explique le « truc ». Pour faire sauter le mot de passe : « Timer », mettre l’iPhone hors tension et  appuyer deux fois sur le bouton « home ». Bilan, l’écran multitâche s’ouvre et l’accès à l’appareil photo s’ouvre, donnant par rebond accès à Facebook, Twitter, aux e-mails et SMS. Vous comprenez pourquoi il existe déjà une mise à jour d’iOS7 : iOS 7.0.1.

Mise à jour : Lookout a découvert que cette nouvelle menace va au-delà de l’application Horloge, l’application Calculatrice étant également concernée. Un accès complet à la liste des contacts est possible. Pour se sécuriser, en attendant le patch complet, direction les « Paramètres des Applications » ; sélectionnez les Réglages du « Centre de contrôle » et désactiver « Centre de contrôle », « Centre de notification» et «Siri» pour le verrouillage de l’écran.

Biométrie… sécurité bon pied bon œil pour Apple ?

Apple a présenté son nouveau smartphone équipé d’un lecteur d’empreintes digitales. « C’est un bon début pour sécuriser son mobile mais ce n’est pas suffisant », souligne à DataSecurityBreach.fr Marc Rogers, Responsable de recherches chez Lookout, leader de la sécurité pour téléphones mobiles et tablettes. Les technologies de reconnaissance d’empreintes digitales sont pratiques Elles sont en effet plus pratiques que les codes PIN, si bien que de nombreux utilisateurs n’ont recours qu’à cette méthode. Mais, utilisées seules, elles n’offrent pas beaucoup plus de sécurité que les codes à 4 chiffres.

La reconnaissance d’empreintes digitales doit être associée à d’autres méthodes d’authentification
Dans les environnements ultra sécurisés, tels que les installations militaires, les technologies de reconnaissance d’empreintes digitales sont généralement associées à d’autres solutions biométriques, de reconnaissance rétinienne ou de la géométrie de la main, par exemple. Car les empreintes digitales peuvent être relevées et reproduites. D’où l’importance d’installer un second système d’authentification, biométrique ou par code PIN. Il est toujours risqué de ne miser que sur une seule méthode de sécurité. Les technologies de reconnaissance d’empreintes digitales ont des limites, qu’il est crucial de connaître afin de les utiliser en toute connaissance de cause.

Les technologies de reconnaissance d’empreintes digitales sont vulnérables
Une empreinte digitale peut tout à fait être reproduite. Et les techniques de reproduction risquent d’ailleurs d’évoluer au gré de l’adoption des systèmes de reconnaissance d’empreintes digitales. Sans compter que les voleurs peuvent toujours forcer leurs victimes à déverrouiller un système.

Les technologies de reconnaissance d’empreintes digitales participent à lutter contre les vols de téléphones
La sécurité de terminaux mobiles est un défi particulièrement complexe. La bonne nouvelle est qu’Apple et d’autres fabricants de terminaux mobiles ont décidé de s’y atteler ensemble. Leur objectif : déterminer quels mécanismes de sécurité associer pour compliquer la tâche des voleurs. Nul doute que la reconnaissance d’empreintes digitales fera partie de l’équation. Il reste à découvrir comment Apple mettra cette technologie au service des consommateurs.

Il n’y a pas de recette miracle pour protéger les terminaux mobiles
Tout ce qui est fait par l’homme peut être défait par l’homme. Il est donc indispensable de combiner plusieurs technologies qui compliqueront la tâche des attaquants et les dissuaderont de passer à l’acte.

Un nouveau Kit pour bloquer des sites web

Nous ne donnerons pas le nom de l’outil, histoire de ne pas voir débouler les zozos du web et éviter des attaques DDoS contre des sites web qui ne demandent rien. Un internaute, qui semble être franco/belge, vient d’annoncer sur un forum dédié au piratage, la commercialisation d’un Bot, que DataSecurityBreach.fr a baptisé Le Chat Fou, capable de lancer des attaques électroniques sous la forme de Déni Distribué de Service (DDoS) : UDP, TCP, HTTP et Slowloris.

« Basé sur une source d’un simple HTTP botnet, Axxx Cxx est un projet personnel que j’ai débuté il y a 5 mois, à pu lire DataSecurityBreach.fr. Ce bot a été fait pour soutenir un grand nombre d’autres bots. » L’objet est commercialisé. Le codeur d’A.C. commercialise son outil « Le prix est de 40 € pour le panel + serveur + mises à jour + support« . Il est réclamé 10 € pour une installation sur un hébergement personnel et 1€ pour modifier les DNS.

Une option assez étonnante est proposée par A.C. Il est possible d’accéder à l’espace d’administration depuis son iPhone et de lancer des attaques. Ce bot est diffusé dans sa version 1.2. Bref, un outil qui risque de permettre aux pousses bouton de dire : T’es mort, t’as vu !

Pirater un iPhone, possible avec un simple chargeur.

Des universitaires chercheurs de l’université de George Institute of Technology ont trouvé le moyen de piéger un iPhone 5. Via un hack hardware, les étudiants ont mis au point un chargeur, baptisé Mactans, capable d’injecter un code, malveillant ou non. La découverte sera présentée à la veille du Defcon, lors de la conférence de sécurité Blackhat. Pour réussir le tour de passe-passe, les bidouilleurs ont utilisé une carte Texas Instruments BeagleBoard. Prix de l’arme … 45 dollars. « Malgré la pléthore de mécanismes de défense d’iOS, nous avons injecté avec succès le logiciel de notre choix dans les appareils Apple de la dernière génération et qui exécutent la dernière version de leur système d’exploitation … Tous les utilisateurs sont concernés, notre approche ne nécessite pas d’appareil jailbreaké, ni d’interaction de la part de l’utilisateur. » explique les hackers.