Powered By Blogger

Rechercher sur ce blogue

samedi 9 août 2014

Plusieurs cyberattaques au Conseil national de recherches du Canada (CNRC) par des Hackers Chinois


Le CNRC doit rebâtir son infrastructure informatique

Le CNRC doit rebâtir son infrastructure informatique

OTTAWA - À la suite de plusieurs cyberattaques dont il a été la cible récemment, le Conseil national de recherches du Canada (CNRC) a fait savoir, jeudi, qu'il sera dans l'obligation de mettre en place une toute nouvelle infrastructure des Technologies de l'information (TI) afin de minimiser le risque d'autres attaques.
Selon le CNRC, «la création d'une telle infrastructure sécurisée et intégrée au réseau du gouvernement pourrait prendre un an», peut-on lire dans le communiqué publié jeudi.
Ottawa a imputé la responsabilité de ces attaques à la Chine. Dans un communiqué publié mardi sur le site du Secrétariat du Conseil du Trésor, le gouvernement canadien a affirmé avoir «récemment détecté et confirmé une cyberintrusion dans l'infrastructure des technologies de l'information (TI) du CNRC par un acteur hautement perfectionné parrainé par l'État chinois».
L'ambassadeur chinois a publié de son côté une déclaration dans laquelle il niait ces allégations, les qualifiant de «non professionnelles».

Source.:

vendredi 8 août 2014

Microsoft fait un ménage radical dans le support d'Internet Explorer



Microsoft vient de trouver une solution radicale aux problèmes de support d’Internet Explorer sur l’ensemble des systèmes Windows. À compter du 12 janvier 2016, seule la version la plus récente du navigateur sera supportée sur une plateforme donnée.

Une situation actuellement complexe...

Microsoft est connue pour fournir des durées de support particulièrement longues sur certains produits. Windows par exemple bénéficie toujours de cinq ans de support classique, auxquels succèdent cinq années de support étendu. La seule différence pour ce dernier est que seules les failles de sécurité sont corrigées et il n’y a donc plus de nouvelles fonctionnalités.

Pour Internet Explorer, la maintenance suit celle du Windows sur lequel il est installé. Ce qui crée une jolie multiplication des dates de fin de support en fonction des cas. Mais l’éditeur a choisi de faire un grand ménage et de se simplifier la vie, peut-être inspiré dans ce domaine par les politiques en cours chez Google et Mozilla et qui ne s’embarrassent pas de détail : seule la dernière version disponible du navigateur est supportée (exception faite de la version ESR pour Firefox).

... mais qui sera largement simplifiée à partir du 12 janvier 2016 

La nouvelle philosophie est radicalement différente : seule la version la plus récente du navigateur sera supportée sur un système donné. Le cas le plus emblématique est Windows 7 : disponible à l’origine avec Internet Explorer 8, il en est aujourd’hui à la version 11. Ce qui donne en résumé :
  • Vista et Server 2008 : Internet Explorer 9
  • Windows 7 et Server 2008 R2 : Internet Explorer 11
  • Windows 8 et Server 2012 : Internet Explorer 10
  • Windows 8.1 et Server 2012 R2 : Internet Explorer 11
On remarque évidemment le cas étrange de Windows 8, dont la version d’Internet Explorer supportée est finalement plus ancienne que celle pour Windows 7. La raison est simple : Windows 8.1 est une mise à jour gratuite que Microsoft finira par considérer comme obligatoire, et qui est livrée avec Internet Explorer 11. Le 12 janvier 2016, date à laquelle ce nouveau support entrera en piste, est d’ailleurs la fin du support de Windows 8 également.

internet explorer 11
Internet Explorer 11 sous Windows 8.1

Il est évident que cette décision aura de larges répercussions sur le fonctionnement de l’entreprise car les équipes d’ingénieurs passeront beaucoup moins de temps à développer des correctifs. Si Internet Explorer 12 devait sortir demain sur Windows 8.1, Microsoft ne s’embêterait plus en effet à entretenir la version 11 sur ce même système.

Les utilisateurs, et particulièrement les entreprises, devront également se faire à cette décision. Si les mises à jour ne sont pas faites en temps et en heure, des failles finiront par être laissées ouvertes. Comme expliqué dans le billet de l’annonce, Microsoft mettra toutefois à disposition des entreprises des ressources particulières (Enterprise Mode) pour aider à garder en place les solutions développées pour une version en particulier, tout en continuant à installer les nouvelles moutures.


Source.:

jeudi 7 août 2014

Le FBI infecte les utilisateurs de TOR avec un malware




FBI TOR
Si vous suivez l'actualité IT, vous n'êtes pas sans connaître TOR, le réseau décentralisé offrant un certain anonymat à ses utilisateurs. Et vous n'êtes pas non plus sans savoir que le FBI, entre autre, use de pratiques pas très légales pour parvenir à ses fins. L'agence américaine déploie en effet des malwares chez les utilisateurs du réseau.
Suivez Gizmodo sur les réseaux sociaux ! Sur TwitterFacebook ou Google+ !
Mais rassurez-vous, c’est « dans un but tout à fait louable ». De la même manière que Google surveille vos données pour, le cas échéant, dénoncer un pédophile, le FBI a passé plusieurs années à installer des malwares sur les ordinateurs des utilisateurs du réseau TOR pour en identifier certains, et ce bien évidemment, à l’insu des différentes cours fédérales.
On doit cette révélation à Kevin Poulsen, ancien hacker black hat, de Wired, qui comprend les enjeux des deux camps. D’un côté, il est difficile de nier le besoin de ces « techniques d’investigation sur le réseau » pour pouvoir accéder aux fichiers des utilisateurs, à leur localisation et à l’historique pour pouvoir confondre ceux qui enfreignent la loi. Mais d’un autre côté, la technique est tout à fait discutable, un simple téléchargement comme il en existe tant sur le web.
Mais le seul et unique but du FBI est ici de trouver ceux qui propagent de la pédopornographie sur ce réseau. Selon Kevin Poulsen, « plus d’une dizaine d’utilisateurs » de ces sites de pédopornographie sur le réseau TOR ont été identifié pour être jugés.
Comme pour de nombreuses vulnérabilités informatiques, il est difficile de savoir précisément comment elles fonctionnent mais on imagine aisément que la technique peut cibler des utilisateurs totalement innocents. Et là, rien ne nous prouve qu’aucun innocent n’en ait été victime.
Qu’importe, le FBI, lui, a bien l’intention de continuer d’utiliser cette technique pour confondre ceux qui violeraient la loi.


REF.:

OS X 10.10 : Yosemite,de nouvelles fonctions de notification ,sans aucune concurrence

 Avec la version bêta publique de Yosemite maintenant disponible, CNET prend une plongée plus profonde chaque semaine avec de nouvelles caractéristiques individuelles de l'OS, cette semaine continue avec le centre de notification.



Il s'agit de la troisième d'une série de messages hebdomadaires autour de plusieurs fonctionnalités de Mac OS X 10.10 Yosemite. Lire les messages précédents pour Spotlight and Mail balisage.

Le nouveau centre de notification de Mac OS X 10.10 Yosemite devrait être beaucoup plus utile que jamais avec l'ajout de deux la vue Aujourd'hui et widgets. En fait, après l'avoir utilisé pour les deux dernières semaines, les mises à niveau du centre de notification dans le Yosemite déplacer le système d'exploitation encore plus loin de Windows, sauf si vous comptez Le Windows 8 tuiles vivre comme un bon moyen de vérifier les notifications (nouvelles: je ne peut).

Il est vrai que Mac OS X Mavericks avaient déjà un centre de notification, avec une diapositive fenêtre de la droite, vous pouvez accéder par un simple effleurement ou en touchant un bouton en haut à droite. Dans Yosemite vous avoir les mêmes fonctionnalités avec toutes les mises à jour habituelles, mais avec l'ajout de la nouvelle vue aujourd'hui et widgets à partir des applications de base de deux d'Apple (et éventuellement de logiciels tiers), vous aurez plus d'informations à portée de main .
Notifications dans Mavericks

Dans Mac OS X Mavericks, le centre de notification effectue admirablement avec des notifications toast (bulles flottantes pop-up) dans la partie supérieure droite de votre écran et une barre latérale pour suivre les dernières notifications. Les notifications toast vous permettent de répondre à un iMessage directement, par exemple, ou vous pouvez aligner un appel FaceTime entrant et répondre avec un iMessage tout à partir de la notification Toast.
mavericksliststyle.pngIn Mavericks vous obtenez un affichage de la liste de vos notifications. Il est utile, mais pas accrocheur. Captures d'écran par Jason Parker / CNET

Ce sont des outils utiles, mais quand il s'agit de la section de la barre latérale qui permet de suivre tous mes notifications Mavericks, c'est un peu moins utile. J'aime que je peux obtenir les derniers messages, e-mails non lus, et d'autres informations à partir d'applications, mais je dois admettre que la conception de la liste-comme l'a fait l'ouverture de la barre latérale une rareté.
Yosemite est un changement pour le mieux

Heureusement, dans le Yosemite, le centre de notification devient beaucoup plus utile. En plus d'être en mesure l'utilisation des notifications Toast et à revoir les messages manqués dans la barre latérale, Yosemite ajoute un autre onglet en haut à regarder la vue d'aujourd'hui.

Le point de vue de nos jours se connecte avec votre agenda, réseaux sociaux, des rappels, pour vous donner un aperçu rapide de votre journée. Vous pouvez voir des réunions et des rendez-vous, des rappels que vous avez configurés dans l'application Rappels, la météo actuelle dans votre région, et les anniversaires d'aujourd'hui afin que vous sachiez à qui envoyer un message. Tout cela est fait avec un design propre qui divise chaque catégorie judicieusement de sorte qu'il est facile à lire à un coup d'œil.
yosemitenotificationmain.pngIn Yosemite vous obtenez des rendez-vous du calendrier, la météo, et tous les autres widgets que vous voulez ajouter. Captures d'écran par Jason Parker / CNET
Aujourd'hui avec vue widgets

Ce qui rend le centre de notification de la barre latérale plus utile est l'ajout de widgets. Autrefois relégué au tableau de bord, vous allez maintenant être en mesure d'ajouter des principaux widgets Apple tels que votre calendrier, la météo, les stocks, les horloges mondiales, réseaux sociaux, une calculatrice et des rappels de sorte que vous pouvez interagir directement avec eux sans quitter le centre de notification. Tous ceux-ci viennent inclus avec Yosemite au lancement.

Apple dit vous serez également en mesure d'ajouter des widgets de tiers développeurs d'applications depuis le début Mac App Store lors de Yosemite lance cet automne.

Il est important de noter que le nouveau widget de soutien dans la vue d'aujourd'hui ne remplacera pas le tableau de bord. Les gens qui se sont habitués à l'utilisation du tableau de bord seront toujours en mesure de le faire comme avant, mais maintenant vous pouvez suivre à des widgets minute (comme les actions, par exemple) là où vous en avez besoin - dans le cadre de votre Aujourd'hui vue.
yosemitewidgetsadd.pngTouch modifier au bas du Centre de notification pour ajouter des widgets. Vous verrez sur la gauche ici que j'ai ajouté des horloges mondiales. Captures d'écran par Jason Parker / CNET
Dans une ligue par lui-même

Il existe déjà des systèmes de notification mis en place à la fois pour iPhone et Android (glissement vers le bas à partir du haut) et les deux sont de solides options pour l'examen des notifications entrantes et vous pouvez même ouvrir d'autres applications et services directement sur ​​chaque système respectif d'interagir avec les messages que vous recevez.

Sur les principaux systèmes d'exploitation de bureau, c'est une autre histoire. Le Centre de notifications de bureau d'Apple a fait ses débuts sur Mac avec Mountain Lion et a continué de s'améliorer à chaque nouvelle version, en ajoutant les fonctions que j'ai mentionnés ci-dessus dans le Yosemite.

Mais Windows 8 ne fait pas les notifications de la même façon. Au lieu de cela, vous obtenez pop-up notifications Grille-pain (similaires à Mac OS X) dans le coin supérieur droit qui a fini par disparaître si vous ne les voyez pas dans le temps. Mais voici le problème: Il n'y a pas encadré ou toute autre interface pour l'examen des notifications passées, donc si vous êtes loin de votre ordinateur lors de la notification de grille-pain apparaît et vous ne voyez pas, vous ne serez jamais su qu'il était là.

Votre autre option dans Windows 8 est pour afficher les vignettes dynamiques dans l'interface du menu Démarrer, qui vous montrent les mises à jour des différentes applications que vous y avez épinglé. Mais le problème ici est que les tuiles eux-mêmes ne sont pas interactifs, de sorte que vous ne pouvez pas cliquer mise à jour spécifique à interagir avec lui, et à la place de votre clic ne pourront ouvrir l'application la mise à jour origine.

Il ya eu beaucoup de discussions dans les forums sur la façon dont Windows peut mettre en place un centre de notification, mais pour l'instant l'aide d'une conception similaire à l'option Mac sidebar est nul. Comme vous le savez peut-être, un coup sur le côté droit d'un ordinateur Windows 8 fait apparaître la barre des charmes. Il ya des rumeurs que Windows 9 fera éliminer les Charms bar pour les configurations de bureau, mais jusqu'à ce que Microsoft chiffres sur une façon élégante de regarder vos notifications dernières, Mac OS X Yosemite est dans une ligue à part.
Prometteur, mais le support de développeur est la clé

Le centre de notification de Mac OS X continue de s'améliorer dans le Yosemite, mais il reste encore à voir comment les gens vont l'utiliser effectivement. À l'heure actuelle, nous savons que un noyau de quelques widgets d'Apple viendront inclus dans Yosemite et sommes plus sur la façon dont le jour du lancement de développeurs tiers, mais il est difficile de dire si elle va devenir une habitude régulière de glisser de la droite pour les utilisateurs réels .

Nous ne savons pas combien ou quel développeurs adopteront les widgets dans le centre de notification. Si les principaux acteurs sautent à bord, il pourrait devenir très utile pour interagir avec des applications et des services sur plusieurs fronts. sinon, c'est peut-être une façade.

Une chose est cependant sûre. Mac OS X Yosemite continue d'améliorer ces caractéristiques alors que Windows est encore a trouver ce qu'il faut faire.



REF.:

E-commerce et monétisation : Un avis en ligne sur deux est manipulé et il est dur de lutter



La moitié des avis en ligne sont, au mieux, biaisés et dans le pire des cas, créés de toutes pièces. Autre problème : la norme et les techniques pour endiguer ce phénomène « qui explose » sont peu efficaces.


Avis en ligne
Lorsqu'ils achètent en ligne, deux internautes sur trois font confiance aux avis des consommateurs laissés sur la fiche produit, rapportait Nielsen l'an dernier. Or, une enquête de la Répression des fraudes (DGCCRF) conduite en France auprès de 139 établissements depuis 2010 a rapporté que près de la moitié des avis (44,4%) sont biaisés. Un chiffre en constante inflation.

« Ce phénomène explose de façon exponentielle alors, devant l'étendue des dégâts, nous avons voulu faire un état des lieux », nous explique la DGCCRF, qui a formé une équipe de cyber-enquêteurs à plein temps sur ce sujet voilà quatre ans. Leur objectif est de débusquer les contrevenants au code de la consommation. En quatre ans, 17 avertissements et 23 procès-verbaux ont été dressés. Explications sur cette pratique.

Les méthodes de triche


  • La modération biaisée

Il existe plusieurs manières de faire reluire son e-reputation et celle de ses produits. Une pratique répandue identifiée par la DGCCRF est « la suppression de tout ou partie des avis de consommateurs négatifs au profit des avis positifs ». C'est ainsi que la société eKomi propose aux e-commerçants une « protection contre la diffusion d'évaluations négatives ou injustifiées » car « il est important de jouir d'une bonne réputation ».


Ekomi


Au-delà des produits et de leurs commentaires, les boutiques en ligne elles-mêmes sont évaluées par les internautes. Il existe plusieurs services de ce genre, comme FIA-NET. Il suffit de se rendre sur ce site pour vite constater que tous les services référencés brillent par un « indice de satisfaction » compris entre 9 et 10/10... Présent sur un site de vente, cet indice peut rassurer le consommateur. « En fait, lorsque des sites marchands contactent FIA-NET, on leur garantit une note supérieure à 9/10 », explique un observateur. A cela, l'intéressé répond tout simplement rompre le contrat lorsque une note descend sous un certain palier.

  • Le traitement différencié

Les avis négatifs peuvent être publiés, mais en suivant un processus qui finira par diminuer leur visibilité. La DGCCRF note que « des gestionnaires traitent les avis avec des délais différents selon qu'ils sont positifs ou négatifs : publication rapide des premiers ; publication différée des seconds. Cette pratique aboutit à une présentation trompeuse puisqu'elle fait apparaître une majorité d'avis positifs parmi les avis récents ».

Ces intermédiaires ont pour habitude de traiter chaque avis négatif comme un litige entre le consommateur et le marchand et, de ce fait, de leur réserver une médiation. Et lorsqu'elle aboutit, le message négatif n'est pas publié... Mais l'internaute ne saura jamais que certaines transactions ont donné lieu à des médiations.

D'après une étude menée par Orange Labs et Médiamétrie à la fin 2013, les avis négatifs dissuaderaient jusqu'à 93% des internautes d'acheter un bien ou un service. Si ce chiffre à lui-seul permet de comprendre pourquoi certains e-marchands censurent la mauvaise critique, Tom Brami, fondateur d'Avis-Vérifiés, estime au contraire que « publier les avis négatifs est la meilleure stratégie, car être transparent, c'est rassurant ».

  • Les faux avis

C'est la forme la plus extrême de manipulation de son e-réputation. Ces messages peuvent être rédigés par exemple par les équipes du service clients de l'e-marchand, ou confiés à des prestataires spécialisés, souvent installés à Madagascar ou à l'Île Maurice, ce qui est le cas de Rosemees. Melissa Bac, coordinatrice du développement des affaires dans cette société au millier de salariés, nous explique être capable de « mettre à disposition rapidement une équipe pouvant assurer une moyenne d'au moins 10 000 mots par jour ».

Au cours actuel, ce volume reviendra à 210 euros. Pour ce prix, l'e-marchand bénéficiera de « la correction, l'adaptation, la modération, le contrôle linguistique ainsi que tous les droits d'auteurs des textes ». Quand on demande à Rosemees si ses rédacteurs peuvent produire des fautes d'orthographe volontaires, car tous les consommateurs ne sont pas des disciples de Bernard Pivot, la société répond « éventuellement oui ».


Rosemees


Pour rédiger ces messages bidons, Rosemees explique qu'ils sont « basés sur une logique, une recherche et sur les expériences d'utilisateurs ». « L'idée même de la création d'avis est d'inviter des vrais utilisateurs et internautes à participer aux débats », poursuit la société, proposant aussi la rédaction de faux reportages.

Peut-on éviter la manipulation ?


  • La norme NF Service - Avis en ligne

Depuis un an, les e-commerçants ont la possibilité de faire certifier leur site par la norme NF Service - Avis en ligne. Adressé également aux « tiers de confiance », comme Trusted Shops ou Trustpilot, ce label ne peut être délivré que par Afnor Certification, un organisme lui-même validé par le Comité français d'accréditation. Cette norme permet entre autres d'encadrer les règles de collecte, de modération et de publication des avis en ligne et garantit la transparence, le sérieux et la fiabilité des méthodes employées par le site marchand.

Pour prétendre à son obtention, l'e-commerçant doit déposer un dossier de candidature qui déclenchera un audit de son site Internet mais aussi de ses locaux. « Une fois le label obtenu, il ne l'est pas une fois pour toutes. Le contrôle est à renouveler tous les ans et coûte de 3 000 à 5 000 euros », nous explique Benoît Phuez, chef de produit chez Afnor Certification. Avantage : il s'agit d'un standard, évitant que chacun ait sa propre recette. D'ici trois ans, cette norme devrait rejoindre l'Organisation internationale de normalisation.

  • Contraignante, elle est peu suivie...

A ce jour, seulement dix entreprises ont réalisé la démarche pour obtenir le logo NF Service - Avis en ligne. Citons GDF Suez ou LDLC côté vendeur, et Bazaarvoice ou Avis-Vérifiés côté société de gestion de la réputation. Malgré un regain d'intérêt depuis la publication du rapport de la DGCCRF fin juillet et « des discussions avec de gros acteurs », Benoît Phuez concède que le succès « n'est pas au rendez-vous ».

« Se mettre en conformité est une phase qui peut prendre du temps pour les grands sites marchands », explique-t-il pour justifier le manque d'engouement envers cette norme. Doit-on lire entre les lignes que ces sites de vente ont une politique d'avis clients actuellement désastreuse ? Benoît Phuez répond « qu'on ne peut pas dire ça, mais il y a possiblement des avis biaisés ». Mais pour être certifié, il existe une autre voie.


Afnor


Au lieu de subir un audit d'Afnor, les e-commerçants peuvent s'auto-déclarer en conformité. Moyennant 63,20 euros, n'importe qui peut télécharger le document PDF de 30 pages de la norme NF Z74-501, contenant les bonnes pratiques, et affirmer les respecter. Dans l'enquête de la Répression des fraudes, plusieurs cas abusifs ont déjà été identifiés... Il s'agit là d'une pratique commerciale trompeuse selon l'article L121-1 du Code de la consommation. Encore faut-il que le contrevenant soit démasqué par un client ou la DGCCRF.

Celle-ci reconnaît d'ailleurs que la norme NF Service « est hyper contraignante pour les e-marchands », si bien qu'ils « sont dissuadés de l'afficher » car « si ils ne la respectent pas, on leur tombe dessus... ». La Répression des fraudes conçoit cependant que cette certification est encore jeune, le recul pas suffisant.

  • Des solutions techniques imparfaites

La première solution pourrait être, curieusement, de laisser faire. Selon une étude menée conjointement par Orange Labs et Médiamétrie en novembre 2013, 90% des internautes déclaraient avoir déjà vu de faux avis en ligne, mais sans pour autant que cela remette en question la crédibilité du site marchand ou des produits. Malgré cela, autant d'internautes disent consulter les avis avant d'acheter en ligne, car ils les jugent utiles.

Mais au nom de l'honnêteté intellectuelle, il serait peut-être plus sage de les éradiquer. Brahim Ben Helal, chargé des ventes pour la France chez Trustpilot passe en revue les différentes techniques mises en place par sa société pour « vérifier la véracité » des avis : « Validations de commande, vérifications via le support technique, outils de contrôle pour détecter des adresses IP similaires et les faux comptes Facebook, etc. »

Andreas Munzel, maître de conférences en marketing à l'IAE de Toulouse et spécialiste des avis d'internautes explique sur le site du CNRS que les travaux des linguistes autour du mensonge ont conduit à des méthodes pour identifier certaines caractéristiques propres aux faux avis. « A l'aide d'indicateurs comme le style ou le niveau de langage, la longueur du texte ou l'emploi de certains mots, les chercheurs disent pouvoir distinguer les faux avis des vrais avec 90 % de certitude » - ce qu'ils invitent à tester sur le site Web Review Skeptic.

Mais ces prouesses « restent à évaluer », tempère Andreas Munzel, conscient que les agences spécialisées dans les faux avis « savent adapter leur style de rédaction aux plus récentes avancées des systèmes de détection ». Pour lui, le développement d'un filtre de détection devient « extrêmement difficile et fragile ».

La dernière piste serait d'imposer aux internautes de s'identifier avec leur identité avant de pouvoir poster. En attendant, le jeu du chat et de la souris se poursuit et les clients ne peuvent s'en remettre qu'à leur flair.

Source.:

Wikipedia : le droit à l’oubli est une « censure de l’information véridique »


L’encyclopédie en ligne prend position contre la décision de la Cour de justice européenne qui nuirait à liberté de l’information. Une réaction qui intervient après que Google a supprimé des liens pointant vers elle.



Wikipedia aura mis du temps à réagir mais prend aujourd’hui la parole avec force contre le droit à l’oubli, reconnu le 13 mai dernier par la Cour de justice européenne. Lors d’une conférence de presse qui s’est tenue ce matin à Londres, trois membres de la fondation Wikimedia ont déclaré que cette disposition constituait une « menace » contre l’encyclopédie en ligne et une « censure de l’information véridique ». Un communiqué envoyé dans la foulée parle, lui, d’un « impact direct et critique » sur Wikipedia.
Depuis l’instauration du droit à l’oubli, n’importe quel internaute peut demander à faire supprimer par un moteur de recherche les liens qui pointent vers des contenus ayant trait à sa vie privée. Le souci pour l’encyclopédie en ligne, c’est que Google lui a notifié la semaine dernière avoir accepté cinq demandes la concernant et supprimé 50 URL pointant vers elle. Selon le site Techcrunch, l’une des requêtes concernerait un article sur une mafia italienne, et une autre porterait un individu ayant passé du temps en prison.

Des suppressions de liens opaques et sans possibilité de recours

« Le projet Wikimedia, y compris Wikipedia, est fondé sur la croyance que n’importe qui n’importe où est en mesure d’avoir accès à la somme de toutes les connaissances. Mais cela n’est possible que si des gens peuvent contribuer et participer à ces projets sans réserve- c’est-à-dire que leur droit à créer du contenu, y compris controversé, doit être protégé », a déclaré le cofondateur de Wikipedia Jimmy Wales lors de la conférence de presse.
Par ailleurs, les membres de la fondation Wikimedia ont souligné le fait que tous les moteurs de recherche n’avertissaient pas les éditeurs de contenus de la suppression des liens. La procédure reste donc opaque et sans possibilité de recours. Dans le communiqué de presse diffusé sur son blog américain, Wikipedia précise : « Les résultats de recherches précises sont en train de disparaître en Europe sans aucune explication publique, aucune preuve réelle, pas de contrôle judiciaire, et aucun processus d'appel. Le résultat est un internet criblé de trous de mémoire, des lieux où les informations gênantes disparaissent tout simplement. »
Une prise de position qui va ravir Google, obligé malgré lui d’appliquer le droit à l’oubli. Rappelons que la société a prié Jimmy Wales d’entrer à son conseil consultatif chargé de réfléchir à la façon de gérer cette question. Mais Wales se défend de tout conflit d’intérêt.
Source :
Wikimedia US

whistleblower: Edward Snowden a fait des émules : il y a bien une seconde taupe à la NSA


L'hypothèse d’un second lanceur d'alerte au sein de la NSA se confirme. Des officiels américains ont avoué son existence et le fait qu’elle ait fourni de nouveaux documents secrets au site The Intercept.



Au début du mois de juillet, les médias allemands révélaient que la NSA cherchait à tracer tous ceux qui s’intéressent aux logiciels Tor et Tails Linux. Encore un coup d’Edward Snowden ? Pas vraiment, selon plusieurs experts en sécurité avançant l’hypothèse d’un nouveau lanceur d’alerte. C’est ce qu’ont confirmé hier des officiels américains à la chaîne CNN. Cette mystérieuse taupe serait même à l’origine des dernières révélations ce 7 août de The Intercept
Le site affirme que plus de 40% des personnes suspectées de terrorisme par le gouvernement américain n’auraient aucun lien avec une organisation de ce type. La base de données des individus soupçonnés aurait en effet particulièrement augmenté sous la présidence du président Obama et compterait maintenant 680 000 noms. The Intercept s'appuierait sur une source de « la communauté du renseignement ». Une source qui a eu accès à des documents classifiés, tout de même. En réponse à un tweet sur une seconde taupe, le collaborateur de Snowden et patron de The Intercept Glenn Greenwald a d'ailleurs répondu laconiquement : « Cela me semble clair ».
Source :
CNN
The Verge

Les objets connectés sont des passoires en matière de sécurité



Connexions Bluetooth bavardes, chiffrement de piètre qualité, politiques de protection des données personnelles inexistantes… Les accessoires connectés ont tendance à vous mettre à nu.


Votre dernière course en forêt, vos déplacements à l’étranger, vos phases de sommeil, votre consommation en nicotine ou alcool, vos cycles de menstruations (si vous êtes une femme), votre pression artérielle, votre activité sexuelle… Pour toute activité personnelle, il y a désormais une application mobile et un accessoire connecté pour capter ces informations, comme par exemple le Nike Fuel Band. Et les utilisateurs en raffolent, si l’on croit les analystes. Selon Pew Research Center, plus de 60 % des Américains utilisent ces outils pour améliorer leur performances sportives ou préserver leur bonne santé. D’ici à 2018, le nombre de ces accessoires connectés devrait dépasser les 485 millions d’unités. Un marché en plein boom que tous les grands acteurs cherchent à accaparer, à commencer par Google et Apple.

Mais ce marché est encore très balbutiant, et notamment en matière de protection de données personnelles. Symantec vient de publier, il y a quelques jours, un rapport d’analyse qui évalue le niveau de sécurité de tous ces engins. Résultat: la plupart des applications révèlent des failles flagrantes permettant à des tiers de récupérer des données à l’insu des utilisateurs. Une majorité des bracelets peuvent être localisés grâces à leurs puces Bluetooth. Activés en permanence, ils sont plutôt bavards et émettent une adresse physique de type MAC, ainsi que des identifiants divers et variés, qu’il est aisé de capter dans un rayon de 100 mètres.
C’est d’ailleurs ce que les analystes de Symantec ont fait: ils ont créé des sniffeurs Bluetooth basés sur une carte Raspberry Pi, qu’ils ont disséminés aux abords d’une compétition sportive, ou trimballés dans un sac à dos en plein milieu d’un centre commercial. Certes, ces données ne permettent pas d’identifier une personne, mais c’est un premier pas…

Des mots de passe transmis en clair

Autre problème: parmi les applications qui utilisent des services cloud pour stocker ou traiter les données captées, 20 % transmettent les identifiants en clair, sans aucun chiffrement. Parmi les 80 % restantes, certaines appliquent aux identifiants des fonctions de hachage de faible protection comme MD5, qui peut facilement être craqué par les cybercriminels. Dans un certain nombre de cas, la gestion de sessions laisse également à désirer, permettant par exemple de deviner ou de calculer des identifiants et ainsi d’accéder à des comptes utilisateurs. Enfin, plus de la moitié des applications (52 %) n’apportent aucune information sur la manière dont toutes ces données sont traitées et stockées, alors que c’est obligatoire dans bon nombre de pays. Et quand il existe un document d’information, celui-ci est souvent très vague. On peut donc douter du sérieux de ces fournisseurs en matière de protection des données personnelles. 
En somme: si toutes ces nouveaux appareils et applications semblent bien pratiques, il est conseillé de regarder en détail leur fonctionnement, histoire de pas se faire avoir !

REF.:

Black Hat 2014 : peut-on hacker un avion ?


Un expert affirme pouvoir pirater les systèmes de navigation et de sécurité à bord des avions et des navires qui utilisent des communications satellites. Il en fera la démonstration le 7 août prochain à la conférence Black Hat.



C’est l’une des interventions les plus attendues de la conférence Black Hat qui s’est ouverte dimanche dernier à Las Vegas. Ruben Santamarta, un expert en sécurité de 32 ans, devrait démontrer ce jeudi 6 août que l’on peut pirater… un avion !
Sur le site officiel de la conférence, le titre de son intervention est laconique : « Terminaux Satellites de communication : pirater par air, mer et terre. » En fait, il s’agit de démontrer que les solutions matérielles et logicielles d’aide à la communication et au pilotage qui utilisent les communications satellites dans l’aérospatiale et la navigation sont hautement vulnérables.
Concrètement, il a fonctionné par rétroingénierie. Il s’est procuré le matériel commercialisé par des sociétés comme Harris, Hugues, Cobham, Thuraya, JRC et Iridium. Après de multiples simulations en laboratoire à Madrid, il est en mesure d’affirmer aujourd’hui que 100% de ces dispositifs pourraient être hackés. Leurs points faibles ? Des algorithmes de cryptage insuffisants, des protocoles non protégés, des portes dérobées et parfois des mots de passe codés en dur dans l'appareil...

Des services d'urgence et des sites industriels stratégiques concernés

Ainsi, il est imaginable selon lui qu’une personne malveillante puisse enclencher ou arrêter le pilotage automatique d’un avion en utilisant le signal wi-fi à bord ou en s’introduisant à partir des systèmes de divertissement. Santamarta n'a toutefois pas pour l'instant détaillé sa technique d'attaque...
Mais ce n’est pas tout. Il estime que les navires, aéronefs, militaires, services d'urgence, services de médias et installations industrielles (plates-formes pétrolières, gazoducs, usines de traitement de l'eau, éoliennes, etc) qui utilisent également des communications satellites seraient concernés pour les mêmes raisons. Il affirme même pouvoir modifier le firmware de certains dispositifs en leur envoyant partir un simple SMS de configuration malveillant.
De l’aveu de Santamarta, ses expériences théoriques seraient cependant difficiles à reproduire dans la réalité. Mais il souhaite faire prendre conscience de la situation aux acteurs du marché. « Ces dispositifs sont complètement ouverts. L'objectif de cet exposé est de contribuer à changer cette situation », a déclaré l’expert à Reuters.
L’un des constructeurs mis en cause, le britannique Cobham, affirme que l’accès des dispositifs est restreint au personnel autorisé et qu’il faut intervenir physiquement sur le matériel pour le détourner. Faux, répond Santamarta qui promet des révélations ce jeudi. A suivre !
Source :
Le site de Black Hat

Comment une firme en sécurité peut s'enrichire facilement ?


 


Comment un gang de pirates a-t-il pu voler plus d’un milliard de mots de passe ?


Un petit groupe de cybercriminels a employé un botnet pour infiltrer des dizaines des milliers de sites web et récupérer une quantité gigantesque de données sensibles. Mais la firme qui a fait cette découverte en profite pour faire un formidable coup de com’ et vendre un service derrière. Bizarre.




La page d'accueil alarmiste de Hold Security, entreprise qui a révélé le piratage… Et qui propose une solution payante pour tenter d’y remédier.
Que vous soyez un expert en informatique ou un technophobe, à partir du moment où vous avez des données quelque part sur le web, vous pouvez être affecté par cette brèche. On ne vous a pas nécessairement volé directement. Vos données ont peut être été subtilisées à des services ou des fournisseurs auxquels vous avez confié des informations personnelles, à votre employeur, même à vos amis ou votre famille  ». Voilà le discours flippant de Hold Security pour décrire la gigantesque collection de données personnelles volées que cette entreprise de sécurité a mis au jour.
Les chiffres présentés donnent en effet le tournis : d’après Hold Security, un gang d’une douzaine de hackers russes baptisé CyberVor aurait donc récupéré pas moins de 4,5 milliards de combinaisons de mots de passe et de noms d’utilisateurs. En omettant les doublons, CyberVor aurait accès à plus d’un milliard de comptes sur des milliers de sites différents, qui seraient rattachés à 500 millions d’adresses e-mail. Le hack du siècle, en somme.  
Pour voler autant d’informations sensibles, CyberVor aurait usé de multiples sources et techniques, mais aurait surtout profité des services d’un botnet (un réseau de PC infectés par un logiciel malveillant) « qui a profité des ordinateurs des victimes pour identifier des vulnérabilités SQL sur les sites qu’ils visitaient. » Les membres de CyberVor auraient de cette manière identifié plus de 400 000 sites web vulnérables, qu’ils ont ensuite attaqué pour voler leur bases de données d’utilisateurs. 

Des détails qui clochent

Sauf qu’il y a quelques petits détails qui clochent dans cette histoire. A commencer par le fait que Hold Security profite de cette annonce hallucinante pour tenter de s’enrichir immédiatement, en misant sur la peur du hacker qu’il a généré. En gros, la firme propose aux entreprises et aux particuliers de se préinscrire à un service –payant même s’il y a un essai gratuit- qui leur permettra notamment de savoir si oui ou non ils sont concernés par cette fuite de données. Et ce n’est pas donné : comptez 120 dollars par mois si vous êtes une entreprise.
D’autre part, Hold Security se refuse à donner le moindre nom de site dont la base a été piratée. Ce peut être compréhensible : son patron Alex Holden l’explique dans le New York Times, il ne souhaite pas révéler le nom des victimes pour des raisons de confidentialité. Il y aurait pourtant des entreprises du Fortune 500 selon lui dans le lot.
Mais comme le fait remarquer Forbes, il semble pour le moins étonnant (mais pas totalement impossible) que de si grandes entreprises se soient fait berner par une injection SQL, une technique très connue des hackers… et des experts en sécurité qui protègent les sites importants de telles attaques.

Des infos de piètre qualité ?

Il y a aussi de nombreuses informations qui manquent, dans la description de Hold Security. Quels botnets ont été utilisés ? Comment le malware a-t-il été inoculé dans la machine des victimes ? Et surtout pourquoi, comme l’indique le New York Times, le gang se contente-t-il d’utiliser pour l’instant leur fabuleuse base de données pour… envoyer du spam sur les réseaux sociaux, alors qu’ils pourraient à priori faire bien plus de mal ?
En réalité, il se peut que les milliards de mots de passe collectés par CyberVor étaient déjà disponibles sur le web underground depuis bien longtemps. Hold Security l’avoue sur son site : « Au départ, le gang a acquis des bases de données d’identifiants sur le marché noir ». Une pratique fort courante chez les cybercriminels, mais qui ne repose pas sur le moindre hack : il suffit de payer. Il est fort possible que ces « collectionneurs » aient au fil du temps accumulé un nombre de données incroyable, mais pas forcément « fraîches » et donc de piètre qualité. Il se peut aussi que la technique de l’audit d’un site par un botnet ait été fructueuse… Sur des sites de moindre envergure, voire des sites perso, mal sécurisés, qui n’ont pas fourni à Cybervor de quoi faire autre chose que du spam sur Twitter.
Quoiqu’il en soit, l’annonce de Hold Security vous donne une excellente excuse pour changer dès aujourd’hui vos mots de passe, ça ne fait jamais de mal !
Source : Hold Security

mercredi 6 août 2014

Une vulnérabilité colossale et impossible à corriger touche tous les périphériques USB


Une faille de sécurité impossible à corriger a été découverte au niveau des puces des contrôleurs USB des périphériques. Leur firmware pourrait être reprogrammé pour contaminer des ordinateurs et d’autres accessoires USB afin d’être exploités par des cybercriminels.

Une vulnérabilité colossale et impossible à corriger touche tous les périphériques USB
Deux chercheurs en sécurité informatique du Security Research Lab de Berlin (Allemagne), ont mis en évidence une énorme vulnérabilité qui touche tous les périphériques dotés d’un connecteur USB. Qu’il s’agisse d’une souris, d’un clavier, d’une clé USB, ou de n’importe quel autre accessoire, ils ont réalisé que le firmware du contrôleur USB n’est pas sécurisé et peut être reprogrammé à tout moment.

Pour le prouver, ils ont créé un firmware dont le nom de mauvaise augure est BadUSB. Une fois injecté, il pourrait selon ses variantes transformer n’importe quel périphérique en boîte à outils pour cybercriminel. Le problème, c’est qu’il n’y a pas de moyen de renforcer la sécurité de ce firmware et qu’aucun logiciel antimalware n’est capable de détecter l’exploitation de cette faille.
Les chercheurs donneront plus de détails sur leur découverte lors de la conférence Black Hat USA qui se tient à actuellement à Las Vegas. (EP)


Source.:

Surveillance des activités de pédophiles avec le programme CyberTipline


Surveillance des photos dans Gmail : Google s'explique:

Google a apporté des précisions concernant la méthode qui lui a permis de détecter des activités illégales sur le compte Gmail du délinquant sexuel récemment arrêté à Houston. L'entreprise donne des détails sur sa démarche et sur l'obligation légale associée.


google logo gb sq
L'arrestation, le week-end dernier, d'un délinquant sexuel au Texas, réalisée avec le concours de Google, a partagé l'opinion. D'un côté, certains ont salué la démarche de l'entreprise, qui a permis d'arrêter un pédophile qui faisait du trafic de photos d'enfants via sa boîte Gmail. De l'autre, la situation a relancé le débat concernant la surveillance des données personnelles réalisée par Google auprès de ses utilisateurs.

L'entreprise a donné des précisions à l'AFP concernant ses pratiques : « Malheureusement, toutes les entreprises du Web doivent faire face à l'abus sexuel envers les enfants. C'est pourquoi Google supprime activement les images illégales de ses services, et les signale au National Center for Missing and Exploited Children (NCMEC) » explique le service. « Chaque image d'abus sexuel sur mineur est signée d'une empreinte numérique unique qui permet à nos systèmes d'identifier les photos, même au sein de Gmail. » Même si l'entreprise ne donne pas de détail concernant la technologie utilisée, elle en précise les limites : « Il est important de rappeler que nous n'utilisons ce procédé que pour identifier les photos liées aux abus sur les mineurs, et pas pour identifier du contenu électronique qui pourrait être associé à d'autres activités criminelles (par exemple, l'usage d'emails pour planifier un cambriolage). »

Expliqué ainsi, ce n'est pas forcément rassurant, mais l'idée est là : Google utilise des algorithmes qui lui permettent d'identifier un type de photos bien précis, uniquement dans le cadre de sa collaboration avec le NCMEC. L'organisme souligne de son côté que la loi fédérale exige que les fournisseurs de services Web signalent les contenus liés à des activités pédophiles dans le cadre du programme CyberTipline. La surveillance des contenus partagés sur les services de Google résulte donc, dans ce cadre, d'une obligation légale, et se limite à un unique type de contenu identifiable pour lequel l'entreprise confirme « une tolérance zéro ». De quoi éclaircir les intentions et surtout les obligations de l'entreprise face à ce type de contenu indéniablement condamnable.


Source.:

Dites pas "crowdsourcing", mais "production participative" !

La Commission générale de terminologie et de néologie a encore frappé en s'attaquant à un nouveau terme étranger à adapter en langue française. C'est donc le « crowdsourcing » qui était, cette fois-ci, au coeur de l'exercice.

Ne dites plus « crowdsourcing », mais « production participative » : la Commission générale de terminologie et de néologie a rendu son avis sur la question, et ce dernier a été publié dans le Journal officiel daté du 5 août.


Crowdsourcing JO

Pour rappel le « crowdsourcing » désigne la démarche visant à faire produire et étoffer du contenu par la communauté : sur Internet, Wikipédia s'avère être un bon exemple de « production participative », puisque l'encyclopédie en ligne est entre les mains de ses contributeurs.

Le terme choisi s'avère assez adapté mais, une fois encore, on peut douter de son usage au quotidien, dans la mesure où le mot « crowdsourcing » est installé depuis longtemps dans le vocabulaire des internautes. La Commission s'est maintes fois distinguée ces dernières années pour valoriser la langue française dans le dédale des expressions du Web : en septembre 2013, « Community Manager » est ainsi devenu « Animateur de communauté en ligne ». Plus tôt dans l'année, le terme « hashtag » a été mis de côté au profit du « mot-dièse », ce qui n'a pas pas manqué de faire réagir les adeptes des réseaux sociaux. Ca n'a pas non plus empêché le Petit Robert de la langue française de faire entrer dans ses pages le mot anglais au détriment de son équivalent français cette année.


Source.:

mardi 5 août 2014

Le Malware SynoLocker : les NAS de Synology visés par un ransomware



Des possesseurs de NAS de la marque Synology sont confrontés à un malware de type ransomware, qui cible les appareils du constructeur. Le logiciel malveillant chiffre le contenu du support de stockage, et réclame une rançon pour que l'utilisateur récupère l'accès à ses données.


Synology DS415 Play
Les ransomwares constituent une menace de plus en plus répandue dans le petit monde des logiciels malveillants. Après avoir pris le contrôle de la machine ciblée, ces malwares sont capables de chiffrer tout ou une partie des données, qui ne sont plus accessibles par l'utilisateur. Pour disposer de la clé de chiffrement permettant de résoudre le problème, ce dernier doit verser une rançon plus ou moins élevée. Une démarche qui ne garantit d'ailleurs pas que les pirates lui rendent l'accès aux fichiers au final.

Certains propriétaires d'un NAS Synology font actuellement l'amère expérience de ce type de menaces : un malware nommé Synolocker est en circulation, et les cible directement. Le logiciel malveillant n'est autre qu'une variante de Cryptolocker, l'un des ransomwares les plus en vogue. Une fois la machine contaminée - la démarche précise n'est pas encore connue - Synolocker réclame la somme de 0,6 bitcoin à l'utilisateur pour débloquer l'accès à ses fichiers. La somme en euros varie selon le cours de la crypto-monnaie mais il faut compter entre 250 et 300 euros à l'heure actuelle.



Synology a de son côté confirmé la menace, et indique travailler activement à son éradication en cherchant la faille liée au piratage, pour la combler au plus vite. L'entreprise promet de publier plus d'informations très rapidement. En attendant, il semble plus prudent pour les possesseurs d'un NAS de la marque de mettre hors-ligne leur machine en attendant un correctif.


REF.:

Vie privée : un étudiant autrichien lance une action collective mondiale contre Facebook



Max Schrems, un étudiant en droit autrichien, vient de lancer une action collective de grande ampleur à l'encontre de Facebook. Il invite tous les utilisateurs du réseau social qui se sentent lésés par les pratiques de la plateforme à le rejoindre pour une action en justice à l'échelle mondiale.

Logo Facebook
La croisade de Max Schrems contre Facebook continue : près de trois ans après avoir lancé l'initiative Europe vs Facebook, cet étudiant autrichien, qui a très tôt mis le doigt sur le stockage des données personnelles sur les serveurs du réseau social, a déjà déposé plus d'une vingtaine de plaintes à son nom contre l'entreprise américaine. Il vient de passer à la vitesse supérieure, en organisant une action collective à l'échelle mondiale.

Max Schrems a déposé une requête devant le tribunal de commerce de Vienne. La loi autrichienne permet à un groupe de plaignants de transférer à une seule personne, ici Max Schrems, ses demandes d'indemnisation. Sur son site, l'Autrichien de 26 ans explique qu'il compte réclamer 500 euros de dommages et intérêts pour chaque utilisateur de Facebook qui prendra part à cette class action. « Facebook a une longue liste de violations. Pour ce procès, nous avons choisi celles de bases, ou évidentes par rapport à la loi : la politique de confidentialité, la participation au programme PRISM, le Graph Search, les applications Facebook, le suivi sur d'autres pages Web (notamment via le bouton J'aime), les systèmes Big Data qui espionnent les utilisateurs ou encore le non-respect des demandes d'accès » explique Schrems.

L'initiative a le potentiel pour attirer un maximum de plaignants. Il est en effet possible d'y prendre part en 5 minutes, en remplissant un formulaire disponible en une multiplicité de langues, pour toucher un maximum des 1,30 milliard d'utilisateurs de Facebook. Quelques informations sont requises, et il faut donner une copie d'une pièce d'identité pour valider la demande. Pour les plaignants, l'action ne coûte rien : un organisme de financement allemand prendra en charge tous les frais en cas de défaite, mais gardera 20% des gains en cas de victoire. Il n'y a donc aucun risque à participer à cette action collective, qui recueille près de 40 000 plaignants à l'heure où ces lignes sont écrites.

Facebook action collective autriche
Les informations liées à l'assignation, fournies après avoir rempli le formulaire.
 
 

Black Hat 2014: une porte dérobée dans deux milliards de téléphones mobiles

 
 

Grâce à leurs outils d’administration, les opérateurs mobiles peuvent modifier à distance un grand nombre de données sur n’importe quel téléphone mobile. Le hic : ces outils sont très peu sécurisés.

Si vous avez un téléphone mobile, sachez qu’il y a quelqu’un qui peut y accéder en toute circonstance et modifier des données : c’est votre opérateur. C’est d’ailleurs totalement normal. Des outils logiciels cachés sont implémentés sur chaque appareil mobile avant sa commercialisation pour permettre aux opérateurs d’effectuer un certain nombre de tâches de gestion : mettre à jour le firmware, configurer le roaming, autoriser ou non la voix sur IP, effacer des données, changer le code PIN, installer ou désinstaller des applis, activer ou désactiver le Bluetooth, détecter les réseaux Wifi aux alentours, faire un reset d’usine, programmer des numéros d’appel courts, etc.    
Le problème, c’est que ces outils forts intrusifs ne sont pas très sécurisés. Deux chercheurs en sécurité d’Accuvant Labs - Mathew Solvik et Marc Blanchou - ont analysé ces logiciels et découvert qu’ils pouvaient être utilisés de manière mal intentionnée pour pirater un mobile à distance. Et comme la plupart des opérateurs utilisent plus ou moins le même logiciel (dont le nom sera dévoilé pendant leur présentation), le nombre de téléphones sujets à ce risque est très grand : plus de deux milliards dans le monde !

Risque maximum pour le BlackBerry Z10

Les chercheurs vont montrer tous les détails de leur recherche à l’occasion de la conférence BlackHat, qui se déroule cette semaine à Las Vegas (nous y serons !) Mais ils ont d’ores et déjà dévoilé certains éléments de cette énorme faille de sécurité auprès du magazine Wired. Ainsi, les téléphones les plus aisément « piratables » sont le HTC One M7 et le BlackBerry Z10. Certains iPhones figurent également sur la liste, mais seulement ceux distribués par l’opérateur américain Sprint et avec un système d’exploitation antérieur à iOS 7.0.4.
Une fois qu’un pirate accède à ces outils, il peut effectuer exactement les mêmes tâches administratives citées plus haut, en les adaptant en fonction de son objectif. Ainsi, la programmation de numéros courts permet, par exemple, d’y associer l’exécution d’une application. « A chaque fois que vous faites le 1 pour appeler votre maman, votre téléphone pourrait exécuter un code supplémentaire », explique Mathew Solvik.    

Mauvaise implémentation

Si ces outils de gestion peuvent être détournés, c’est parce qu’ils sont assez mal implémentés. Ainsi, il faut certes un mot de passe pour accéder à ces fonctions cachées, mais celui-ci peut être deviné assez facilement, car il est créé à partir d’éléments publics comme le numéro d’IMEI ou le numéro de série du téléphone. « Nous arrivons à calculer les mots de passe pour presque tous les appareils », souligne M. Solvik. Le chiffrement utilisé pour sécuriser les échanges entre l’opérateur et l’appareil peut également être contourné assez facilement.
Néanmoins - et c’est assez rassurant - les chercheurs expliquent ne pas avoir détecté d’attaques réelles basées sur cette faille de sécurité. Il faut dire que le « ticket d’entrée » est assez élevé. Un pirate doit non seulement se plonger dans la norme très rébarbative du protocole OMA-DM utilisé par ces logiciels mais il doit également se doter d’une station de base pour réaliser l’attaque. A moins qu’il n’arrive à prendre le contrôle à distance d’un boîtier femtocell, ce qui n’est pas impossible.
Mais la barre est désormais encore plus haute, car les deux chercheurs ont mené leur analyse en collaboration avec les opérateurs, qui vont désormais mettre à jour leurs outils pour combler la faille. Ouf, on est sauvé.   
Lire aussi :
Faire planter un réseau mobile national, c'est simple comme un coup de fil, le 24/04/2014
Suivez toute l'actu de la Black Hat 2014 et de la Defcon 22 avec notre dossier spécial
Source :
Wired