Apple corrige la faille en rapport avec les SMS en publiant l'iPhone OS 3.0.1 [News]

[Kerod]

Nouveau : vendredi 31 juillet

Citation:

Plus tôt dans la soirée, Apple a mis en ligne une mise à jour de l'iPhone OS 3 qui corrige le problème de sécurité lié aux SMS dont la technique a été dévoilée plus tôt dans la journée.

Citation:

Que pensez-vous de la réactivité d'Apple face à la situation ?

Citation:

Aujourd'hui, on en sait un peu plus sur l'histoire du SMS

Nos deux spécialistes sécurité, Collin Mulliner et Charlie Miller, ont fait la démonstration de la faille. Ce qu'il en ressort c'est que le SMS n'a pour effet que de bloquer le mobile (officiel ou non) qui aura besoin, pour ses fonctions, de redémarrer, rien de plus simple.

Pour que le hacker arrive à récupérer les informations personnelles, il en faudrait plus, surtout trouver un moyen pour que le mobile se connecte à un serveur afin de transmettre les données. Donc pour le moment, il n'y a pas vraiment de raisons de s'inquiéter selon certains.

Au final, beaucoup de bruit pour pas grand chose, mais n'est-ce pas normal vu que pour beaucoup de personnes Apple est le mal en personne à cause de sa politique

jeudi 30 juillet

Citation:

Suite à la précédente affaire sur le cryptage des données sur l'iPhone, il semblerait que ce dernier soit la cible de tous les spécialistes en sécurité.

En effet, c'est maintenant au tour de Charlie Miller et Collin Mulliner, deux spécialistes en sécurité, qui ont annoncé de la conférence Black Hat qu'une faille de la fonction SMS de l’iPhone permettrait de prendre le contrôle du mobile !

Selon eux, il suffirait d'envoyer un SMS contenant une série de caractères particuliers ou une suite de messages " invisibles " afin d'ouvrir une " porte " mal sécurisée de l'Phone. Les seules solutions pour l’utilisateur suspicieux sont soit de bloquer les messages étranges qui lui parvient, soit d’éteindre immédiatement l’iPhone s’il perçoit un risque.

Charlie et Collin auraient tous deux prévenu Apple il y a près d'un mois, mais jusqu'à ce jour aucune mise à jour n’a été rendue publique.

Avant de jeter la pierre à Apple, il faut toutefois préciser que Google avec son Android souffrirait aussi d'une faille permettant un certain déni de service après l’envoi de plusieurs SMS et du côté de Windows Mobile c'est la même chose que pour l'iPhone du côté du contrôle par SMS.

Qu'en dites-vous ? Pourra-t-on enfin avoir un système sur un jour ?

24/07/2009 :

Citation:

D'après Jonathan Zdziarski, spécialiste en sécurité, l'iPhone serait doté d'un mauvais système de cryptage et il va même à dire : " Je ne pense pas qu’aucun de nous n’ait vu un cryptage aussi mal implémenté ".

Il va plus loin dans son analyse en nous disant que les données sensibles qui bénéficie du système de sécurité implémenté sur l'iPhone 3GS sont toutes aussi accessibles que sur les précédents modèles. Il continue son argumentation en nous fournissant des précisions concernant le mode d'extraction (accessible à tous) des données qui peuvent l'être en mois de deux minutes.

Ses propos ne risquent pas de plaire à Cupertino (Apple) qui voyait depuis peu de temps un véritable engouement des entreprises pour le nouvel iPhone 3GS et surtout ses fonctionnalités de cryptages.

Notons tout de même que le nouvel iPhone dispose d'une nouvelle puce permettant de crypter en AES 256 qui est un protocole standard dans l'industrie. On peut donc se demander si Apple travaille déjà à une amélioration de son système de cryptage afin de bénéficier de toutes les fonctionnalités qu'offre cette nouvelle puce.

En attendant, On voit déjà sur internet des recommandations proposant aux utilisateurs d'utiliser le déverrouillage par mot de passe en sélectionnant l'option d'auto-effacement des données au bout de 10 tentatives infructueuses.

Qu'en pensez-vous ?

[Greensource]

J'en pense qu'ils ont intérêt à faire attention, l'iPhone commence à être très répandu. Mais bon son hack au gars nécessite d'avoir accès à l'ordi du gars? Faut d'abord installer un ver dessus sa machine?

[Kerod]

Citation:

Envoyé par Greensource

Mais bon son hack au gars nécessite d'avoir accès à l'ordi du gars ?

Plutôt un accès à l'iPhone. Mais bon pour arriver à faire ça il faut qu'il ait en sa possession l'iPhone.

Personnellement je pense que ce problème peut survenir uniquement dans le cas où quelqu'un aurait accès à l'iPhone pendant une longue durée ce qui n'est pas souvent le cas. On ne prête pas à tout va son mobile...

[LordMacharius]

En revanche de mémoire on installe volontiers des programmes sur un Iphone

Vu que ceux-ci semblent se démocratiser , il y aura bien un petit malin pour récupérer les données sensibles et en faire usage !

Je pense qu'ils vont devoir régler ce problème au plus vite

[kedare]

cryptage de quoi ?

[APommePote]

Citation:

Envoyé par kedare

cryptage de quoi ?

Je pense à la même chose .. si l'on parle du cryptage du carnet d'adresse, des textos, des documents et de l'historique de navigation ... pardon mais c'est un faux problème.

Déjà que peu de monde crypte les données sensible de son ordinateur alors les données du téléphone ...

Par contre si l'on parle d'un cryptage des communications, je pense que le public concerné n'utilise pas le iphone.

[devouring strossus]

Citation:

Envoyé par LordMacharius

En revanche de mémoire on installe volontiers des programmes sur un Iphone

Vu que ceux-ci semblent se démocratiser , il y aura bien un petit malin pour récupérer les données sensibles et en faire usage !

Je pense qu'ils vont devoir régler ce problème au plus vite

Sinon on ne jailbreak pas son iphone et donc on ne télécharge que des applications de l'app store il n'y a pas de risque car tout les applications sont contrôlé attentivement ce qui provoque même des bouchons au niveau des validations des applications

[entreprise38]

Citation:

Envoyé par Kerod

Personnellement je pense que ce problème peut survenir uniquement dans le cas où quelqu'un aurait accès à l'iPhone pendant une longue durée ce qui n'est pas souvent le cas. On ne prête pas à tout va son mobile...

Malheureusement, le vol pur et simple dudit matériel reste la méthode la plus simple pour l'espionnage industriel.
Hiers : voler le portable d'un ingénieur, laissé 5 minutes sur le siège passager de sa voiture (c'est encore arrivé il y a quelques temps à un ingé du CEA militaire. Autant vous dire que ça doit chauffer pour lui).
Aujourd'hui : c'est encore plus petit, donc ça se vole encore plus facilement.

Une fois le matériel volé, le décryptage n'est qu'une question de temps, si cryptage il y a

[Kerod]

Citation:

Envoyé par APommePote

Je pense à la même chose .. si l'on parle du cryptage du carnet d'adresse, des textos, des documents et de l'historique de navigation ... pardon mais c'est un faux problème.

Le carnet d'adresse, textos et documents ne sont pas trop des données sensibles sur l'iPhone. Tu dois certainement pas avoir d'iPhone pour savoir que certaines données comme l'identifiant de compte iTunes ou même toute autres données pouvant amener par exemple l'utilisation frauduleuse de ton compte ou autre sont facilement déchiffrable avec un logiciel. Je ne pense pas que si tu en avais un tu aimerais que le possesseur de ton mobile (ce qui sous-entend que tu l'as perdu...) récupère tout ça et se fait passer pour toi...

Mais ce n'est qu'un exemple.

[Kenji]

J'en pense que l'article est bien léger. Il y a aucune source, aucune explication. Je lis l'article et je sais pas sur quelle partie du chiffrement et pourquoi il y a une vulnérabilité parce que jusqu'à preuve du contraire le chiffrement AES 256 est réputé sur.

[Kerod]

Sauf que l'AES 256 n'est pas encore utilisé...Il vient juste de voir le jour sur le 3GS et visiblement l'OS 3 ne l'utilise pas.

Le pourquoi de la vulnérabilité on ne le connait pas ! Apple ne sait pas prononcer pour le moment. Tout ce qu'on sait c'est que la vulnérabilité est issu d'une faille trouver pas des crackers...Ceux à l'origine de certains logiciels de débridage des fonctionnalités de l'iPhone dont GeoHot.

On ne peut qu'attendre pour avoir plus d'informations sur le sujet.

[Kenji]

Oki, merci pour les précisions

[Kerod]

Suite à la précédente affaire sur le cryptage des données sur l'iPhone, il semblerait que ce dernier soit la cible de tous les spécialistes en sécurité.

En effet, c'est maintenant au tour de Charlie Miller et Collin Mulliner, deux spécialistes en sécurité, qui ont annoncé de la conférence Black Hat qu'une faille de la fonction SMS de l’iPhone permettrait de prendre le contrôle du mobile !

Selon eux, il suffirait d'envoyer un SMS contenant une série de caractères particuliers ou une suite de messages " invisibles " afin d'ouvrir une " porte " mal sécurisée de l'Phone. Les seules solutions pour l’utilisateur suspicieux sont soit de bloquer les messages étranges qui lui parvient, soit d’éteindre immédiatement l’iPhone s’il perçoit un risque.

Charlie et Collin auraient tous deux prévenu Apple il y a près d'un mois, mais jusqu'à ce jour aucune mise à jour n’a été rendue publique.

Avant de jeter la pierre à Apple, il faut toutefois préciser que Google avec son Android souffrirait aussi d'une faille permettant un certain déni de service après l’envoi de plusieurs SMS et du côté de Windows Mobile c'est la même chose que pour l'iPhone du côté du contrôle par SMS.

Qu'en dites-vous ? Pourra-t-on enfin avoir un système fiable un jour ?

[nausicaä]

je serais tjrs surpris de voir comment une fonction aussi banale peut être mis en défaut et représenter un risque majeur de sécurité !

un SMS c'est juste un bout de texte affiché à l'écran, en principe rien de très sorcier à coder et pourtant même ça ils sont capable de foirer !

[GanYoshi]

Citation:

Envoyé par nausicaä

je serais tjrs surpris de voir comment une fonction aussi banale peut être mis en défaut et représenter un risque majeur de sécurité !

un SMS c'est juste un bout de texte affiché à l'écran, en principe rien de très sorcier à coder et pourtant même ça ils sont capable de foirer !

Vas-y vas leur apprendre la vie à ces débiles : http://www.apple.com/jobs/ca/fr/

[entreprise38]

Citation:

Envoyé par nausicaä

un SMS c'est juste un bout de texte affiché à l'écran, en principe rien de très sorcier à coder

Ca, c'est bien une réflexion de client
Ce n'est pas parce que la fonctionnalité semble basique que l'implémentation est rapide et aisée. De plus, gérer les SMS, ça ne se résume pas à afficher du texte. As-tu pensé à leur gestion dans le système, leur organisation, leur réception, leur émission, etc ?

[rt15]

Citation:

Envoyé par Herve-Loiret

Vas-y vas leur apprendre la vie à ces débiles : http://www.apple.com/jobs/ca/fr/

Genre Apple fais du dev en France... Ah tiens, si, sur les 18 propositions, 2 en dev, et sécu en plus.

Franchement, les SMS, ça doit pas être compliqué à mon avis... La gestion de trois caractères ça reste abordable. Surtout comparé à ce qu'on voit sur les mobiles maintenant (GPS...).
C'est juste qu'ils ont dû partir du principe que les SMS entrant étaient "sûrs" car envoyés par des téléphones "gentils" n'envoyant que des SMS bien formés (Pas de caractères bizarre ou d'informations erronées).

[nausicaä]

excusez moi, mais il y a des millions de téléphones qui reçoivent et envoient des SMS, ça fait 20 ans que la technologie existe et elle est exploité par toute l'industrie des telecom ....

si au bout de tout ce temps on ne sait tjrs pas coder une application aussi banale c'est qu'il y un problème.

ce que je veux dire par là, c'est qu'une brique aussi élémentaire et dont le fonctionnement/concept est connu et maîtrisé par l'industrie soit bâclé !

j'ai peut être le point de vue d'un client, mais j'avoue que lâcher 199 euros et un abonnement à plus 50 euros par mois pour avoir ce résultat c'est consternant !

[Kerod]

Je tiens à rajouter qu'Apple a publié un communiqué spécifiant que tous les problèmes de sécurités sont issus de manipulation frauduleuse (piratage) des possesseurs de iPhone.

Donc est-ce que ce nouveau problème avec le SMS fait suite à un déblocage frauduleux ou est-ce juste un problème de développement de l'interface SMS

[Bebeoix]

déblocage frauduleux, j'ai l'exploit sous les yeux. n'empêche que ça va rapporter pas mal jusqu'à que tous les iphones sont upgradé.