Archives par mot-clé : mobile

Google présente un ensemble de 11 failles de sécurité de type Zero Day

L’équipe de spécialistes de recherche de faille de sécurité de Google le Project Zero est dans une lancée depuis certains moments pour décrypter un ensemble de piratages informatiques qui ont compromis durant l’année 2020, plusieurs systèmes d’exploitation mobile et ordinateur.

À savoir Android, Windows et iOS. Parmi cette vulnérabilité détectée par les chercheurs du Project zéro, 3 de ces failles de sécurité pouvait offrir la possibilité à des pirates informatiques bénéficier des actions à travers le navigateur de iOS safari ou encore de Google Chrome. Elles sont à leur suite près de 4 failles de sécurité de nature critiques qui furent décrites par les chercheurs.

Cet article va aussi vous intéresser : Une faille de type « zero-day » découverte sur le navigateur Chrome de Google

C’est en début d’année que ces chercheurs décident de commencer l’explication de cette faille de sécurité. Cela suite à une observation d’une vague d’attaques informatiques sur plusieurs systèmes d’exploitation à la fois. Tout d’abord, cela commencé par l’explication de 4 failles de sécurité de nature critique à la base de cette chaîne d’attaque informatique à savoir :

– CVE-2020-6428 (TurboFan dans Chrome) ;

– CVE-2020-0938 ;

– CVE-2020-1020 (Font dans Windows) ;

– CVE-2020-1027 (WindowsCSRSS).

Récemment les chercheurs de Google nous livrent des explications sur les autres failles :

« Les vulnérabilités couvrent un spectre assez large de problèmes, d’une faille JIT moderne à d’importants problèmes de cache relatifs à des bugs de police », a détaillé la chercheuse en sécurité du Google Project Zero, Maddie Stone « Dans l’ensemble, chacun de ces exploits a fait l’objet d’un travail de compréhension approfondie ». Elle ajoute par ailleurs : « Parmi les 7 dernières failles analysées, la CVE-2020-15999 s’est montrée particulièrement redoutable, utilisant une méthode d’exploit jusqu’alors jamais observée par l’équipe de chercheurs de Google grâce à des méthodes d’offuscation variées ayant nécessité beaucoup de temps pour les comprendre. ».

Parmi les vulnérabilité découverte, il y a celles qui furent par la suite passer au crible par les spécialistes du géant américain en 4 couleurs. Ce sont notamment :

– CVE-2020-17087 (débordement de mémoire tampon Windows dans cng.sys) ;

– CVE-2020-16009 (Chrome TurboFan type confusion) ;

– CVE-2020-16010 (dépassement de mémoire tampon Chrome pour Android) ;

– CVE-2020-27930 (lecture/écriture dans la stack arbitraire de Safari via polices Type 1) ;

– CVE-2020-27950 (divulgation de mémoire noyau iOS XNU Kernel dans des messages mach) ;

– CVE-2020-27932 (iOS type confusion au niveau noyau).

Dans leur enquête, sécurité informatique de Google en découvert qu’il existait deux serveurs qui ont permis aux pirates informatiques d’activer leur exploit à travers une attaque appelée watering hole (point d’eau). La première qui a été active sur une durée d’une semaine ciblait principalement les systèmes Windows et iOS.  La seconde, attaque de nature opérationnelle, qui a duré 36 heures visait exclusivement les systèmes Android.

« Au total, nous avons collecté: 1 chaîne d’attaque complète ciblant Windows 10 entièrement corrigée avec Google Chrome, 2 chaînes d’attaque partielles entièrement corrigées ciblant 2 terminaux Android 10 différents avec Google Chrome et le navigateur Samsung, et des exploits RCE pour iOS 11-13 et un exploit d’escalade de privilèges pour iOS 13 » souligne Maddie Stone. « Les terminaux sous iOS, Android et Windows étaient les seuls que nous avons testés alors que les serveurs étaient encore actifs. L’absence d’autres chaînes d’exploitation ne signifie pas que ces chaînes n’existaient pas », ajoute-elle.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Traçage mobile : « TousAntiCovid » fait mieux que StopCovid avec ses 3 millions de téléchargements en quelques semaines

Après l’échec du premier logiciel de traçage mobile StopCovid, le gouvernement français a initié nouvelles applications connu sur la dénomination de « TousAntiCovid ».

Cet article va aussi vous intéresser : Les erreurs qui ont plombé l’application StopCovid en France

Elle a été présenté le 20 octobre dernier à Rennes. Contrairement à la précédente qui n’a grappiller que 2,7 millions de téléchargements en près de 5 mois, la nouvelle semble encore des avec les aspirations des Français. Déjà supposer que la position de ces dernières faces aux déploiements des applications de traçage mobile a évolué depuis lors. Il faudrait aussi rappeler que l’on fait face à une seconde phase de contamination en masse au coronavirus. C’est pour cette raison comme moins de 8 jours, la nouvelle application de traçage mobile destiné à contrôler les interactions et à déterminer l’étendue des contaminations a été téléchargée près de 3 millions de fois. Une belle réussite pour le moment.

Le temps qu’elle a été lancé précisément le 2 juin dernier. Ici, nous parlons de StopCovid, la première version de l’application de traçage mobile français. Face à plusieurs difficultés, les initiateurs ont dû envisager une refonte du programme informatique. Pour dire vrai, la première tentative ne faisait pas l’unanimité et n’intéressait pas apparemment les français dans leur grand ensemble. Mais depuis lors, il semblerait que les données aient changé, surtout avec la nouvelle vague de contamination au covid-19 et leur confinement qui est finalement annoncé à nouveau en France. Discours du président Emmanuel Macron le mercredi dernier, de manière officielle le confinement pour 4 semaines au moins : « Nous devons collectivement déployer beaucoup plus massivement l’application TousAntiCovid qui sera un instrument de la sortie de cette phase de confinement. ». 

De son côté le secrétaire d’État chargé au numérique de gouvernement mais c’est Cédric O écrivait : « Pour ceux qui continuent à travailler, pour réussir la sortie du confinement et rouvrir les bars et restaurants… en contrôlant la diffusion du virus, nous devons être encore plus nombreux. ».

On suppose alors que les différents appels du gouvernement à prendre nouvelle application comme une solution idoine de la part de la population a été entendu. On se rappelle alors que durant le mois d’août, le spécialiste des infections à l’hôpital Bichat à Paris, le docteur Xavier Lescure mettait de son en évidence la nécessité du déploiement d’une application de traçage mobile et surtout de son amélioration vu la situation : « Seules les solutions digitales peuvent être efficaces à ce stade-là » indiquait le spécialiste à l’époque.

Le vendredi dernier, plus de 2 289 personnes ont été enregistrées par l’application comme des cas contacts alors que 24 307 personnes ont été signalées comme non positives au coronavirus. Ce sont les chiffres du moment et encourageants il faut l’avouer.

En dépit de ce relatif succès de la nouvelle application, il faudrait mentionner que le nombre de téléchargement est bien loin derrière celle utilisées au Royaume-Uni ou même en Allemagne. Un autre problème soulevé par la direction générale de la santé. Le nombre de personnes qui désinstalle l’application après l’avoir installée s’élève à près de 1,3 million. Ce qui réduit nettement le nombre d’utilisateurs actifs à environ 4,4 millions d’utilisateur pour le moment. Par rapport à l’exemple allemande ou encore britannique, l’écart est nettement énorme, surtout pour les applications qui ont été téléchargée par environ 15 à 20 millions de personnes.

« Il y a une volonté très nette de jouer sur l’ambiguïté du nouveau nom. TousAntiCovid n’est selon lui qu’une « mise à jour mineure de StopCovid » considère Baptiste Robert, un professionnel de la sécurité informatique, l’un des premiers opposant à l’application de traçage mobile à ses débuts. « Le changement de nom, de logo et le rajout de différentes statistiques font qu’il y a eu un bond des téléchargements, mais les chiffres restent relativement faibles » note l’expert

Dans un sens, il faut relever l’effort réalisé et les concepteurs de l’application. En particulier les échanges d’identifiant anonyme passant par la technologie Bluetooth. Une technologie qui n’a pas véritablement suscité suffisamment de confiance pour télécharger beaucoup plus que cela. Mais au-delà de cela, la nécessité ne demande-t-elle pas de faire fi de certaines méfiances.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les erreurs qui ont plombé l’application StopCovid en France

Après littéralement l’échec du projet d’application de traçage du gouvernement Français, les spécialistes sont revenus sur la question qui ont pu être la cause de ce problème.

Parmi plusieurs insuffisances remarquées, il y a 3 qui en particulier qui ont attiré l’attention des observateurs et qui seraient selon eux la cause du fiasco de StopCovid.

Cet article va aussi vous intéresser : Focus sur l’application StopCovid du gouvernement Français : l’heure du bilan est arrivée

Il faut noter que l’application a été approuvée avant son déplacement par l’Assemblée nationale. Mis à la disposition de grand public à partir du 2 juin, l’outil avait pour objectif d’analyser les interactions dans le but d’informer les personnes concernées dans la mesure où elles ont été en contact avec d’autres qui plus tard où ont déjà été dépistées positif au coronavirus. Malheureusement le projet a littéralement été un fiasco. Moi seulement le taux de téléchargement est inférieur à l’attente, mais dans un certain sens, les Français n’ont pas eu confiance à cet outil.

Alors on s’interroge légitimement de savoir quel a été le problème. Qu’est-ce qui n’a pas marché convenablement ? Qu’est-ce qui a été la cause de ses échecs ?

Dans cet article, nous allons aborder les trois problèmes majeurs qui en donner le coup de grâce à l’application de traçage.

Selon les observations le premier problème qui aurait entraîné la suite de l’application de traçage et son design par le comité. Le fait que le comité chargé de piloter le projet était trop étendu donc exposait d’une certaine manière Initiative a beaucoup de contradictions d’imperfection liée à la nature humaine même. « Officiellement, le gouvernement avance sur un projet piloté par l’institut de recherche publique Inria, en lien avec le comité Care nommé par l’Élysée pour faire face à l’épidémie. La Direction interministérielle du numérique (Dinum) et l’Agence nationale de sécurité informatique (Anssi) s’attellent au codage et à la protection de la future application, parfois en écoutant quelques start-up. Par exemple, Unspread (une émanation de l’agence Fabernovel) a fait des propositions sur le design de l’application. ». Avec tous ces structures gouvernementales et agences, il y a eu l’apport de certaines structures privées qui étaient chargées de participer à leur manière à l’effort du développement de l’application dont Dassault Systems, CapGemini, Sopra-Steria, Orange et Sia Partners.

Une ribambelle de structures qu’ils ont plutôt rendue le chose peu plus compliqué qu’abordable. Peut-être que si une agence de l’État avec un acteur privé, s’était contenté et tout simplement de développer le projet cela aurait été encore plus potable voire abordable.

Le fait qu’il y ait eu autant de structures dans la réalisation de projets de l’application de traçage j’appréhende beaucoup plus souvent un aspect politique que technique. Pour un projet aussi limité, avoir autant de participants étaient beaucoup plus un handicap qu’un atout. Et depuis le début tout le monde le savait.  « Outre la lenteur qu’elle induit dans les prises de décision, les risques de cette approche, caricaturée sous le nom de « design par comité », sont bien connus : choix techniques contre-productifs, déresponsabilisation à tous les étages et quasi-impossibilité de changer son fusil d’épaule en cas de pépin, façon Titanic à l’approche de l’iceberg. » explique certains observateurs.

Concernant la seconde erreur, important sur un mauvais choix de l’architecture de l’application. Et cela a même été révélé par le secrétaire d’État chargé du numérique, M Cédric O : « Apple aurait pu nous aider à faire en sorte que cela marche encore mieux sur les iPhones. Ils n’ont pas souhaité le faire, pour une raison d’ailleurs que je ne m’explique guère, a expliqué le ministre. Qu’une grande entreprise qui ne s’est jamais aussi bien portée en termes économiques n’aide pas un gouvernement à lutter contre la crise, il faudra s’en souvenir le moment venu. ».

On se demande alors pourquoi Apple a refusé son aide à l’État français, dans le cadre de StopCovid, comme le mentionne le secrétaire chargé au numérique. Tout simplement parce qu’au détriment de la proposition faite par Google et Apple, de mettre à la disposition des Etats, des outils permettant de faciliter le déploiement de solutions de traçage, la France a voulu développer son architecture propre à elle. Caractérisé par la centralisation des données récoltées. Ce qui est totalement opposé au système développé et proposé par les 2 géants en américains.

La troisième erreur a porté sur la communication. En effet le style de communication envisagée par le gouvernement n’était pas de nature à obtenir la confiance des Français. Par exemple le secrétaire d’État chargé au numérique déclaré ceci : « En fait, il n’y a même pas de données : personne n’aura accès à qui est contaminé, et personne ne sera capable de retracer qui a contaminé qui. ». Il est évident que cela est totalement faux. Car à moins d’être totalement déconnecté de la réalité, toutes applications de ce genre génèrent et collectent bien évidemment des informations susceptibles d’être relié aux utilisateurs.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Traçabilité : quand la question de sécurité se pose au niveau de l’usage des restaurants

Les restaurants rouvriront bientôt si cela n’a déjà commencé.

Avec la réalité de traçage mobile imposée par le gouvernement pour assurer le déconfinement, ces établissements devront alors collecter certaines informations sur leur clientèle. Mais cela pourrait-il aider à garantir la sécurité sanitaire des usagers concernés ? Du moins c’est ce qu’il pense le gouvernement suisse, qui l’a ordonné aux différents établissements de restauration. Une autre question se pose alors : qu’en sera-t-il la sécurité de ces informations ?

Cet article va aussi vous intéresser : Traçage mobile et déconfinement : l’application de gouvernement ne fait toujours pas l’unanimité auprès des experts

« Les restaurateurs auront eu leur lot d’incertitudes lors de ces dernières semaines. Après la longue hésitation du Conseil fédéral sur la date de réouverture possible des restaurants avec accueil de clients sur place, la branche de la gastronomie a pris peur la semaine du 4 mai, avec l’énoncé des mesures de sécurité. Il était évident que la distanciation sociale préconisée dans l’espace public allait devoir être appliquée, de même que la limitation du nombre de personnes alors même que les rassemblements publics ne sont toujours pas autorisés. » souligne Matthieu Hoffstetter, Journaliste. Mais le problème se situe au niveau des faits que les responsables des établissements de restauration, ont l’ordre de collecter les données des personnes qui fréquenterons leurs espaces. Cette collecte concerne tout aussi bien les personnes qui ont passé des réservations que ceux ne l’ont pas fait. Il s’agira alors de recueillir :  Les noms ; prénom ; date de naissance ; numéro de téléphone : mais aussi les heures d’arrivées et de départs de chaque client, et nom des serveurs s’occupant de chacune des tables.

Au vu d’une telle exigences de la part du gouvernement Suisse, plusieurs propriétaires   et gérants de restaurant ont exprimé leurs mécontentement face à une telle situation tout en émettant des réserves sur l’aspect légal de la chose. Car plusieurs obstacles juridiques font frein où rendent difficile la mise en exécution de cette exigence du gouvernement. Tout d’abord, la question de l’habilitation. Car en vertu de quoi un personnel de restauration serait-il en mesure d’exiger certaines informations, souvent de nature personnelle? Le second problème concerne le stockage. Comment un établissement qui n’avait pas une telle vocation pourrait stockée une quantité pareille de données en toute sécurité ? Car comment prouver à sa clientèle que leurs données seront protégées convenablement ? Autant d’interrogations que les propriétaires essaient de mettre en avant pour s’échapper de cette contrainte « Vous avez déjà des établissements qui ne peuvent plus (rouvrir) pour des raisons économiques, d’autres parce que le plan de sécurité à mettre en place avec les mesures de sécurité de 2 mètres n’est pas possible dans leur type d’établissement », déclarait le vendredi dernier M. Laurent Terlinchamp, président de la Société des cafetiers, restaurateurs et hôteliers de Genève, lors d’un entretien sur la RTS. Il n’a pas d’ailleurs manqué de soulever le fait que « bon nombre d’entre nous seront ouverts ».

Depuis lors, la collecte qui à l’origine était obligatoire est devenue facultative. Les gérants et patrons de restaurants voulant faire partie de ce lot, peuvent le faire par volontariat. Et cela est préférable pour plusieurs responsables. D’un autre côté, Certains avaient même commencer à prévoir les méthodes adéquate pour réussir ce pari. « Certains confrères envisageaient de mettre stylos et papiers sur les tables et demander aux clients de remplir les données. Mais du coup, il y a un contact. Si on nous interdit les journaux et magazines, ce n’est pas pour générer du contact autrement. Avec une solution informatique et notamment le QR code, on rationalise et on accélère le processus, on évite des files d’attente à l’entrée des établissements et on sécurise tout le monde, notre personnel, nos clients et leurs données ». Expliquait Pour Antoine Remor, propriétaire du « Café Remor » à Genève. Ce dernier n’est pas le seul à avoir pensé à une solution informatique. Salar Shahna, entrepreneur et initiateur du World XR Forum, un événement mondial sur la thématique des réalités virtuelles et augmentées, qui se tient chaque année à Crans-Montana. En collaboration avec un spécialiste de la sécurité des moyens de stockages informatiques du nom de Pierre-Edouard Hunkeler ; le développeur Luc Deschenaux et l’investisseur Stanley Zwirn, ils créent « Facepass », une plateforme dédiée au restaurants, pour les aider dans leurs collectés d’informations en bonne et due forme. « Les clients se connectent à un site web, renseignent les données exigées en moins de deux minutes et font un selfie pour s’identifier, et ils reçoivent ensuite leur facepass, un QR code, soit sur leur smartphone, soit en version papier par courrier. Et quand ils se rendent dans un restaurant, il suffit au restaurateur de scanner le facepass avec son smartphone pour que la visite soit enregistrée, lors de l’arrivée » notait Salar Shahna. Il ajoute par ailleurs : « Nous dissocions les données personnelles, avec les photos, noms, prénoms, date de naissance sur un serveur sécurisé, et les données du restaurant avec l’heure d’arrivée et de départ et le nom du serveur ou de la serveuse sur un autre serveur. Et toutes les données sont cryptées et effacées au bout de 14 jours, conformément aux règles édictées par les autorités fédérales ».

Une telle solution est-elle viable sur un surface plus importante, et sur de long terme ? Seul l’avenir nous le dira.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La liste du géant Américain pour la sécurité de sa boutique d’application Google Play Store

Google pour assurer une sécurité optimale de sa boutique d’applications, a conclu un partenariat avec plusieurs entreprises spécialisées dans la sécurité informatique.

On peut citer parmi elles notamment ESET, Lookout et Zimperium. cela démontre clairement que Google à lui seul n’est pas en mesure de protéger les milliers d’applications qu’il héberge sur le Play Store. Mais cela montre aussi dans un autre sens la volonté du géant américain de ne pas se laisser prendre par surprise.

Cet article va aussi vous intéresser : Les applications sur Google Play Store commence à s’infecter de porno et de programmes malveillants

Cependant plusieurs médias ne se gênent pas pour critiquer la firme de mountain view, le décrivant comme étant impuissant et incapable. cependant la firme américaine n’en démord pas et continue de compter sur ses partenaires en matière de sécurité informatique pour l’aider à continuer la sécurisation sa plate-forme. D’où la mise en place de l’initiative de « App Defense Alliance », qui réunit Google – Zimperium – ESET – Lookout, dont le but est de former le bouclier de défense du PlayStore contre les programmes malveillants ou les logiciels à objectifs illégaux.

On sait que dans les débuts Google s’occupait tout seul de protéger sa plate-forme avec son outils Play Protect qui se chargeait d’analyser chaque jour, plusieurs applications qui étaient hébergée, pour s’assurer qu’aucune d’entre elles ne fonctionnent de façon anormale. On Comptabilise environ 50 milliards d’applications scanner par jour, ce qui est un chiffre énorme pour un seul programme de sécurité. ce qui explique notamment les raisons pour lesquelles, il arrive des fois que des programmes malveillants arrivent à s’échapper des mailles du filet. Et à ce sujet les exemples sont légions. en effet presque chaque année on découvre sur le Play Store de Google des centaines d’applications voire plusieurs centaines être infectées où en voie d’infection par un programme malveillant.

De 2016 à 2019 en passant par 2017 et 2018, plusieurs fois, il était détecté des cas d’applications infectées sur la plateforme de Google, ce qui a obligé l’entreprise américaine à intervenir après coup pour essayer de faire le ménage sur dans sa boutique. On sait que les exemples sont assez nombreux et que tout ceci doit motiver et empressé Google à revoir sa politique de lutte contre les logiciels malveillants. et sans essayer d’extrapoler l’enjeu, cette lutte est véritablement de taille. en effet, en se limitant simplement aux chiffres officiels, on sait que Android est un système d’exploitation existant sur environ 2,5 milliards de smartphone à travers le monde. sans oublier les autres technologies qui se fonde sur ce système de base tel que des montres connectées, des voitures connectées, des tablettes et même des téléviseurs. on se rend bien compte que Google à lui tout seul n’est pas de taille pour assurer la sécurité de tous cet écosystème qui s’étend de plus en plus.

C’est alors que l’on voit, l’importance de l’intervention d’être un partenaire de Google dans le domaine de la sécurité. Le but de Google à travers ce partenariat n’est plus simplement de lutter contre les programmes malveillants, mais tout simplement, les empêcher de franchir la limite de sa boutique d’application. « Le partage des connaissances et la collaboration de l’industrie sont des aspects importants pour protéger le monde contre les attaques », souligne Google tentant d’expliquer sa nouvelle stratégie : « nous savons qu’il y en a d’autres qui font du bon travail pour trouver et protéger contre les attaques. (…) Nous croyons que travailler ensemble est la meilleure façon de devancer les tiers malveillants. L’union fait la force. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage