IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une faille critique dans Android affecterait 75 % des terminaux


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Une faille critique dans Android affecterait 75 % des terminaux
    Une faille critique dans Android affecterait 75 % des terminaux
    elle a été qualifiée de « catastrophe pour la vie privée »

    Android de nouveau sous le feu des projecteurs pour une faille critique pouvant affecter près de 75 % des utilisateurs de smartphones sous le système d’exploitation mobile. La faille permettrait d’accéder à l’ensemble des données de navigation d’un mobinaute (cookies, mots de passe, stockage local, etc.).

    La faille toucherait le navigateur d’Android Open Source Project (AOSP). Elle a été découverte par le chercheur en sécurité Rafay Baloch en début de ce mois. La vulnérabilité se situerait au niveau de la façon dont le navigateur exécute du code JavaScript.

    Généralement, les navigateurs sont conçus de telle sorte qu’ils sont capables d’isoler les scripts JavaScript d’un site Web de façon à ce qu’ils ne soient pas en mesure d’accéder au contenu d’un autre site. Les navigateurs le font en appliquant la Same Origin Policy (SOP). La Same Origin Policy restreint la manière dont un document ou un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine. Ainsi, les scripts peuvent lire et modifier uniquement les ressources partageant la même origine qu'eux. Le protocole, l’hôte et le port permettent de déterminer si deux pages ont la même source.

    Le navigateur d’AOSP n’appliquerait pas la SOP, permettant ainsi aux scripts d’accéder sans restriction aux ressources d’autres sites. Ce manquement pourrait être exploité par un pirate pour injecter du code JavaScript malveillant dans d’autres sites Web. Ces scripts malveillants pourront à leur tour lire toutes les informations manipulées à partir de ces sites.

    « Imaginez que vous visitez un site compromis alors que vous avez votre webmail ouvert dans une autre fenêtre. Le pirate pourra lire vos emails. Pire, il pourra récupérer une copie de vos cookies de session et détourner complètement votre session pour lire et écrire des mails en votre nom », alerte Rapid7, une entreprise de Boston spécialisée dans la sécurité des systèmes informatiques, dans un billet de blog.

    La faille affecte toutes les versions d’Android, à l’exception d’Android 4.4 KitKat. Le navigateur d’AOSP est utilisé par défaut dans les anciennes versions d’Android, en dehors des versions ultérieures à Android 4.2, qui utilisent Chrome comme navigateur par défaut.

    Rapid7 a déjà intégré un module à Metasploit pour permettre de détecter le problème. Pour rappel, Metasploit est un outil de développement et d'exécution d'exploit à distance. Pour les développeurs de Metasploit, cette faille est une « catastrophe pour la vie privée. »

    Google aurait été informé du problème. La réaction de la firme est encore attendue.

    Source : Rapid7


    Et vous ?

    Utilisez-vous une version d’Android vulnérable ? Quel navigateur utilisez-vous sous l’OS ?

    Que pensez-vous de cette faille ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 167
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 167
    Points : 4 647
    Points
    4 647
    Par défaut
    C'est bien, mais je ne peux pas mettre à jour... sauf racheter un nouveau smartphone.

  3. #3
    Membre éclairé
    Homme Profil pro
    Technicien réseau
    Inscrit en
    Juin 2011
    Messages
    414
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Suisse

    Informations professionnelles :
    Activité : Technicien réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2011
    Messages : 414
    Points : 803
    Points
    803
    Par défaut
    Et voilà l'un des deux majeurs problèmes d'Android 1 les mises à jours sont longues à venir au client (Maj google -> Maj constructeur -> Maj opérateur -> client) et la gestions des autorisations pour une application soit tu accepte tout soit rien à l'install, alors qu'avec Apple tu peux, si je me trompe pas accepter un par un en tout temps chaque autorisations

  4. #4
    Membre éprouvé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2007
    Messages
    697
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Janvier 2007
    Messages : 697
    Points : 1 241
    Points
    1 241
    Par défaut
    @Zefling : ou tu peux tout simplement installer un navigateur alternatif. ce n'est pas ce qui manque sur Android.
    Mais il doit y avoir une (énorme) faille dans leur process de validation pour laisser passer ça

  5. #5
    Membre éprouvé Avatar de 4sStylZ
    Homme Profil pro
    Null
    Inscrit en
    Novembre 2011
    Messages
    314
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Null
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 314
    Points : 1 056
    Points
    1 056
    Par défaut
    C'est une faille dans le navigateur par défaut alors, pas dans Android?

  6. #6
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par 4sStylZ Voir le message
    C'est une faille dans le navigateur par défaut alors, pas dans Android?
    [THEORIEDUCOMPLOT=ON]
    C'est pour forcer les utilisateurs à aller sous chrome
    [THEORIEDUCOMPLOT=OFF]

  7. #7
    Membre régulier

    Inscrit en
    Janvier 2011
    Messages
    28
    Détails du profil
    Informations forums :
    Inscription : Janvier 2011
    Messages : 28
    Points : 75
    Points
    75
    Par défaut A désinstaller
    J'utilise uniquement Firefox.

    Si le navigateur par défaut est bogué c'est une raison supplémentaire de le désinstaller.

    Malheureusement, avec Android, certaines applications sont impossibles (enfin presque) à désinstaller.
    A bientôt
    Guy

  8. #8
    Membre du Club
    Profil pro
    Inscrit en
    Mai 2008
    Messages
    49
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2008
    Messages : 49
    Points : 64
    Points
    64
    Par défaut
    normalement chrome est remplacé par le navigateur de base (enfin du moins sur les versions plus recentes d'android...)

  9. #9
    Membre extrêmement actif Avatar de eldran64
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2008
    Messages
    341
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2008
    Messages : 341
    Points : 1 515
    Points
    1 515
    Par défaut
    [HS = on]
    A quand des smartphones dont on choisirait le matos indépendamment de l'OS (comme sur les pc)?
    [HS = off]

    Le plus simple reste de servir de chrome quand on est sous android.

    Sinon je plussoie: il existe une tonne de navigateur sous android et ils sont largement mieux que celui par défaut. Par ex: Chrome, Firefox.
    Tout le monde devrait avoir de l'esprit critique car personne ne pourra m'apporter la preuve de l'absence de celui-ci

  10. #10
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    J'avoue que je ne comprends pas. Le navigateur par défaut d'Android est vraiment mauvais, mais ce n'est pas grave, parce que Google fournit par ailleurs gratuitement un des meilleurs navigateurs mobiles existant, Chrome. Je pose donc la question : mais qu'attend Google pour liquider une fois pour toute le navigateur par défaut et pour fournir Chrome à la place, en standard dans Android ? Si c'est une question de licence (Chrome n'est pas open-source), on doit sûrement pouvoir faire un Chromium pour Android ou un truc approchant...

    Personnellement, je n'utilise que Firefox, la version Android étant tout à fait géniale. Mais de toutes façons, le navigateur par défaut d'Android, c'est un peu comme Internet Exploder sur Windows : je m'en sers une fois, pour downloader Firefox.

  11. #11
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 530
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 530
    Points : 3 877
    Points
    3 877
    Par défaut
    Réponse de Google : "On est au courant, c'est la NSA qui nous a demandé cette faille"

  12. #12
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    Citation Envoyé par macslan Voir le message
    Et voilà l'un des deux majeurs problèmes d'Android 1 les mises à jours sont longues à venir au client (Maj google -> Maj constructeur -> Maj opérateur -> client) et la gestions des autorisations pour une application soit tu accepte tout soit rien à l'install, alors qu'avec Apple tu peux, si je me trompe pas accepter un par un en tout temps chaque autorisations
    Opérateur ? Les mises à jour ne passent pas par l'opérateur. A moins peut-être d'acheter son smartphone chez un opérateur, mais qui fait encore ça ?

  13. #13
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Citation Envoyé par Traroth2 Voir le message
    Opérateur ? Les mises à jour ne passent pas par l'opérateur. A moins peut-être d'acheter son smartphone chez un opérateur, mais qui fait encore ça ?
    Malheureusement, encore beaucoup de gens via les "points" ou les "forfaits sponsorisés"
    Bien qu'il soit très régulièrement démontré que c'est une belle arnaque qui masque un crédit à la conso,ce type de formule a encore beaucoup de succès...

  14. #14
    Membre expert

    Développeur NTIC
    Inscrit en
    Janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 33

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : Janvier 2011
    Messages : 1 670
    Points : 3 942
    Points
    3 942
    Par défaut
    Citation Envoyé par Zefling Voir le message
    C'est bien, mais je ne peux pas mettre à jour... sauf racheter un nouveau smartphone.
    Je pense que si justement, c'est d'ailleurs là l'avantage d'Android.

    C'est quoi ton portable?

    Utilisez-vous une version d’Android vulnérable ? Quel navigateur utilisez-vous sous l’OS ?
    Non, 4.4.2 avec Firefox ou Orbot + son navigateur.

    Que pensez-vous de cette faille ?
    Sans surprise.

    Citation Envoyé par macslan Voir le message
    Et voilà l'un des deux majeurs problèmes d'Android 1 les mises à jours sont longues à venir au client (Maj google -> Maj constructeur -> Maj opérateur -> client) et la gestions des autorisations pour une application soit tu accepte tout soit rien à l'install, alors qu'avec Apple tu peux, si je me trompe pas accepter un par un en tout temps chaque autorisations
    Sauf que sur PommePhone tu ne peux pas :

    1) installer l'os que tu veux (Android modifié toi même ou par une team ou même encore Linux, ceci incluant les mises à jour bien entendu).

    2) Choisir toi même les autorisations que tu donnes ou pas à telle ou telle application.

    3) Personnaliser ton OS.

    4) Utiliser Tasker.

    5) Rooter en deux clics.

    6) Voir si ton clavier va taper une majuscule ou une minuscule (mais quelle connerie ce clavier de merde sur l'iphone !)

    7) utiliser le NFC comme tu veux

    8) Streamer ton contenu comme tu veux.

    9) utiliser Flash

    Je continue ?

    Citation Envoyé par eldran64 Voir le message
    [HS = on]
    A quand des smartphones dont on choisirait le matos indépendamment de l'OS (comme sur les pc)?
    [HS = off]

    Le plus simple reste de servir de chrome quand on est sous android.

    Sinon je plussoie: il existe une tonne de navigateur sous android et ils sont largement mieux que celui par défaut. Par ex: Chrome, Firefox.
    Q1 2015 : Ara Project.
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  15. #15
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 167
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 167
    Points : 4 647
    Points
    4 647
    Par défaut
    Citation Envoyé par atha2 Voir le message
    @Zefling : ou tu peux tout simplement installer un navigateur alternatif. ce n'est pas ce qui manque sur Android.
    Mais il doit y avoir une (énorme) faille dans leur process de validation pour laisser passer ça
    J'ai fait ça un temps, mais c'est bien trop instable, pas assez de place, donc j'ai fini par le virer. Le téléphone a 3 ans (Xperia Arc)... Mais ça me fait chier de devoir le changer alors qu'il fonctionne très bien.

    Citation Envoyé par Mr_Exal Voir le message
    Je pense que si justement, c'est d'ailleurs là l'avantage d'Android.

    C'est quoi ton portable?
    Perso, il n'y a plus de mise à jour et même en custom pour mon smartphone depuis un baille. Enfin, j'en ai eu marre de chercher à un moment, peut-être que je me trompe.

  16. #16
    Inactif  
    Homme Profil pro
    Analyste-Programmeur / Intégrateur ERP
    Inscrit en
    Mai 2013
    Messages
    2 511
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Analyste-Programmeur / Intégrateur ERP
    Secteur : Bâtiment

    Informations forums :
    Inscription : Mai 2013
    Messages : 2 511
    Points : 10 335
    Points
    10 335
    Par défaut
    Citation Envoyé par Saverok Voir le message
    Malheureusement, encore beaucoup de gens via les "points" ou les "forfaits sponsorisés"
    Bien qu'il soit très régulièrement démontré que c'est une belle arnaque qui masque un crédit à la conso,ce type de formule a encore beaucoup de succès...
    Un crédit à la conso de 0€ ?? Ca doit pas leur rapporter grand chose en intérêts...

    Non le seul vrai inconvénient, c'est que cela te force à rester chez l'opérateur 1 an ou 2 de plus, et c'est un inconvénient, que si tu souhaites en changer.


    Mais sinon tu accumules les points chaque mois en fonction du montant de ta facture (mais même si cela n'en générait pas, tu paierais la même facture, donc cela ne change rien de ce coté la), et au final au bout de X mois, tu peux avoir un téléphone pour 0€ (si tu es un peu patient et que tu ne veux pas forcement le tout tout dernier modèle, histoire de ne pas devoir rajouter d'argent), du coup, je vois pas trop ou se situe l'aspect crédit conso ?

    Après peut-être dans le cas où tu veux un dernier modèle et que même avec l'abonnement, il te reste de l'argent à mettre, mais en général, c'est prélevé direct sur ta prochaine facture, donc pareil, je vois pas trop ?

    Tu aurais une source fiable à ce propos ?

  17. #17
    Membre éclairé
    Homme Profil pro
    Technicien réseau
    Inscrit en
    Juin 2011
    Messages
    414
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Suisse

    Informations professionnelles :
    Activité : Technicien réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2011
    Messages : 414
    Points : 803
    Points
    803
    Par défaut
    Citation Envoyé par Zirak Voir le message
    Un crédit à la conso de 0€ ?? Ca doit pas leur rapporter grand chose en intérêts...

    Non le seul vrai inconvénient, c'est que cela te force à rester chez l'opérateur 1 an ou 2 de plus, et c'est un inconvénient, que si tu souhaites en changer.


    Mais sinon tu accumules les points chaque mois en fonction du montant de ta facture (mais même si cela n'en générait pas, tu paierais la même facture, donc cela ne change rien de ce coté la), et au final au bout de X mois, tu peux avoir un téléphone pour 0€ (si tu es un peu patient et que tu ne veux pas forcement le tout tout dernier modèle, histoire de ne pas devoir rajouter d'argent), du coup, je vois pas trop ou se situe l'aspect crédit conso ?

    Après peut-être dans le cas où tu veux un dernier modèle et que même avec l'abonnement, il te reste de l'argent à mettre, mais en général, c'est prélevé direct sur ta prochaine facture, donc pareil, je vois pas trop ?

    Tu aurais une source fiable à ce propos ?
    Moi cela me va très bien j'ai un note 2 que je changerai pour le 4 lors de la prochaine offre, par contre le galaxy note iphone 6 plus je ne vais pas le prendre

  18. #18
    Expert confirmé Avatar de AoCannaille
    Inscrit en
    Juin 2009
    Messages
    1 409
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 1 409
    Points : 4 713
    Points
    4 713
    Par défaut
    Citation Envoyé par Zirak Voir le message
    Un crédit à la conso de 0€ ?? Ca doit pas leur rapporter grand chose en intérêts...
    qui te dis que c'est à 0€? comme le prix vendu est fondu dans le prix du forfait, tu ne sais pas exactement combien tu paye le portable.
    Si en cumulé tu payes un portable 550€ alors qu'il est à 500€ dans le commerce, il y a un taux d'interêt de 10% -- qui peut donc même être considéré comme un taux d'usure -- sans que personne puisse le contrôler du coup.

    Tu aurais une source fiable à ce propos ?
    par concept même du "tout compris", pas de source fiable trouvable. Au mieux on peut comparer le prix des forfaits équivalents avec/sans téléphone mais les opérateurs font une offre suffisamment "fouillis" pour que ce soit trop difficile pour le commun des mortels. C'est le genre d'études que peuvent mener les association de consommateurs...

  19. #19
    Membre éclairé
    Homme Profil pro
    Technicien réseau
    Inscrit en
    Juin 2011
    Messages
    414
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Suisse

    Informations professionnelles :
    Activité : Technicien réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2011
    Messages : 414
    Points : 803
    Points
    803
    Par défaut
    Citation Envoyé par AoCannaille Voir le message
    qui te dis que c'est à 0€? comme le prix vendu est fondu dans le prix du forfait, tu ne sais pas exactement combien tu paye le portable.
    Si en cumulé tu payes un portable 550€ alors qu'il est à 500€ dans le commerce, il y a un taux d'interêt de 10% -- qui peut donc même être considéré comme un taux d'usure -- sans que personne puisse le contrôler du coup.


    par concept même du "tout compris", pas de source fiable trouvable. Au mieux on peut comparer le prix des forfaits équivalents avec/sans téléphone mais les opérateurs font une offre suffisamment "fouillis" pour que ce soit trop difficile pour le commun des mortels. C'est le genre d'études que peuvent mener les association de consommateurs...
    Avec ou sans offre le prix de l'abonnement reste le même

  20. #20
    Membre expert

    Développeur NTIC
    Inscrit en
    Janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 33

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : Janvier 2011
    Messages : 1 670
    Points : 3 942
    Points
    3 942
    Par défaut
    Citation Envoyé par macslan Voir le message
    Moi cela me va très bien j'ai un note 2 que je changerai pour le 4 lors de la prochaine offre, par contre le galaxy note iphone 6 plus je ne vais pas le prendre
    Ce tricheur
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

Discussions similaires

  1. Réponses: 4
    Dernier message: 05/07/2015, 11h51
  2. Linux et Unix affectés par une faille critique dans Bash
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 60
    Dernier message: 22/11/2014, 06h12
  3. Adobe corrige une faille critique dans Flash
    Par Francis Walter dans le forum Sécurité
    Réponses: 0
    Dernier message: 06/02/2014, 21h09
  4. Réponses: 3
    Dernier message: 14/08/2013, 13h08
  5. Un hacker surdoué de 12 ans trouve une faille critique dans Firefox
    Par Gordon Fowler dans le forum Actualités
    Réponses: 22
    Dernier message: 28/10/2010, 10h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo