IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Android Discussion :

Android : la faille qui affecte 99% des terminaux (presque) corrigée [News]


Sujet :

Android

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Android : la faille qui affecte 99% des terminaux (presque) corrigée
    Android : Google colmate la faille qui touche 99% des utilisateurs
    En forçant les connexions HTTPS

    Mise à jour du 19/05/11 de Gordon Fowler


    Google n'a pas tardé à réagir après l'annonce d'une faille dans le processus d'identification d'Android à certains services Web utilisant des connections non chiffrées (lire ci-avant).

    Un des dangers de cette faille est la possibilité donnée à des tiers d'accéder aux contenus du Calendrier et des contacts du possesseur du smartphone.

    Aujourd'hui, Google fait savoir qu'il a résolu le problème en sortant un correctif qui oblige les terminaux sous Android à se connecter à ses services en HTTPS. Dans le cas où ce type de connexion ne sera pas possible, les services resteront inaccessibles.

    La société n'a pas donné de précisions supplémentaires sur ce patch, mis à part que les utilisateurs n'auront aucune manipulation à faire et que cette solution sera déployée dans les jours qui viennent. Ce qui laisse supposer que le patch ne devrait pas s'appliquer au système lui-même mais aux serveurs de Google.

    Les chercheurs de l'Université d'Ulm avaient également inclus Picassa dans les services touchés par la faille qu'ils ont découverte. Un service sur lequel Google serait également en train de travailler.

    Source : Communiqué à la presse


    Android : une faille affecterait 99% des terminaux
    Selon des chercheurs allemands

    Un groupe de chercheurs en sécurité de l'université d'Ulm en Allemagne a découvert une faille de sécurité touchant plus de 99% des terminaux sous Android. Elle peut être utilisée pour voler les informations d'identification des utilisateurs.

    Cette faille de sécurité serait due à une mise en œuvre incorrecte du protocole d'authentification ClientLogin dans la version 2.3.3 et antérieures d'Android.

    Le protocole ClientLogin est utilisé pour l'authentification par des applications comme Google Contacts, Calendar ou encore Picasa Web Albums. Lorsque l'utilisateur soumet ses informations d'identification, le protocole crée un jeton d'authentification (authToken) qui peut ensuite être utilisé pendant 14 jours pour toute connexion ultérieure à l'un de ses services.

    Les chercheurs ont découvert que dans le cas où l'utilisateur est connecté à un réseau WiFi non sécurisé, des pirates pourraient avoir accès aux jetons d'authentification.

    Des personnes malveillantes pourraient donc obtenir un accès complet aux données et aux API des services, consulter, modifier ou supprimer des contacts, des plannings, des événements ou tout autres données en rapport avec ces services Web.

    Selon les chercheurs, la vulnérabilité n'est pas limitée aux applications Google sur Android, mais également à toutes les applications qui utilisent le protocole ClientLogin avec HTTP plutôt que HTTPS.

    Les chercheurs allemands préconisent aux développeurs utilisant ClientLogin sur Android, d'utiliser également le protocole HTTPS en lieu et place de HTTP. Une autre solution consiste à passer par un protocole d'authentification plus sécurisé comme oAuth.

    Enfin, ils suggèrent à Google d'améliorer la sécurité sur Android en réduisant par exemple le temps de validité d'un jeton d'authentification ou en rejetant toutes les demandes de connexions ClientLogin HTTP non sécurisées.

    Google aurait déjà patché cette faille dans Android 2.3.4 pour les applications Contacts et Calendar (qui utilisent désormais HTTPS).

    Picasa Web Albums serait toujours exposé mais Google travaille déjà sur l'élaboration d'un correctif.

    Source : Université de Ulm

    Voir aussi les cours et tutoriels Android : http://android.developpez.com/cours/
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2005
    Messages : 541
    Points : 1 898
    Points
    1 898
    Par défaut
    Faille déjà patchée dans la version 2.3.4; mais combien de temps avant que l'update arrive chez l'utilisateur ? 6 mois ?
    Si ils pouvaient faire un système d'update correct ce serait vraiment une avancée.
    If it's free, you are not the customer, you are the product.

  3. #3
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 059
    Points
    149 059
    Par défaut
    Pour info, le problème des mises à jour trop lentes serait en cours de résolution,
    Cf. l'annonce faite la semaine dernière au Google I/O : http://www.developpez.com/actu/31868/

    Cordialement,

  4. #4
    Modérateur
    Avatar de Bisûnûrs
    Profil pro
    Développeur Web
    Inscrit en
    Janvier 2004
    Messages
    9 868
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Janvier 2004
    Messages : 9 868
    Points : 16 258
    Points
    16 258
    Par défaut
    Donc les personnes avec un téléphone ne pouvant même pas passer en version 2 d'Android se retrouvent avec cette faille à vie ?

  5. #5
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 481
    Points : 48 806
    Points
    48 806
    Par défaut
    ben en même temps quand t'es sur un réseau public (wifi non sécurisé) tu balance pas n'importe quoi, c'est du bon sens Tu peux balancer la même faille pour à peux près tous les site web où tu accède en http depuis un wifi non crypté (ex: developpez)

  6. #6
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Citation Envoyé par Neko Voir le message
    Faille déjà patchée dans la version 2.3.4; mais combien de temps avant que l'update arrive chez l'utilisateur ? 6 mois ?
    Si ils pouvaient faire un système d'update correct ce serait vraiment une avancée.
    Il y a déjà un système de mise à jour correct, mais ça n'arrange pas les constructeurs/opérateurs qui rajoutent leur propre surcouche ; ce n'est donc pas de la faute de Google.
    Par exemple, Android Froyo est sorti début août, il a fallu attendre jusqu'à octobre ou novembre pour que Orange se décide à publier la mise à jour pour les téléphones utilisant sa version modifiée.
    Mais je suis passé à CyanogenMod avant, et maintenant, j'ai les mises à jour très rapidement. La dernière version de CyanogenMod se base sur Android 2.3.4.

  7. #7
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2005
    Messages : 541
    Points : 1 898
    Points
    1 898
    Par défaut
    Citation Envoyé par ProgVal Voir le message
    Il y a déjà un système de mise à jour correct, mais ça n'arrange pas les constructeurs/opérateurs qui rajoutent leur propre surcouche ; ce n'est donc pas de la faute de Google.
    Par exemple, Android Froyo est sorti début août, il a fallu attendre jusqu'à octobre ou novembre pour que Orange se décide à publier la mise à jour pour les téléphones utilisant sa version modifiée.
    Mais je suis passé à CyanogenMod avant, et maintenant, j'ai les mises à jour très rapidement. La dernière version de CyanogenMod se base sur Android 2.3.4.
    Je peux me tromper, mais les mises à jour android demandent de re-télécharger et réinstaller tout le système, non ?
    Pourquoi ne pas utiliser un système de patch comme... heu... ben tous les autres OS en fait? Heureusement qu'on nous demande pas de réinstaller Windows, Linux ou Mac à chaque correction d'une faille, sinon on passerait notre temps à ça.
    If it's free, you are not the customer, you are the product.

  8. #8
    Membre expert
    Avatar de FailMan
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Janvier 2010
    Messages
    1 602
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2010
    Messages : 1 602
    Points : 3 917
    Points
    3 917
    Par défaut
    Citation Envoyé par ProgVal Voir le message
    Il y a déjà un système de mise à jour correct, mais ça n'arrange pas les constructeurs/opérateurs qui rajoutent leur propre surcouche ; ce n'est donc pas de la faute de Google.
    Par exemple, Android Froyo est sorti début août, il a fallu attendre jusqu'à octobre ou novembre pour que Orange se décide à publier la mise à jour pour les téléphones utilisant sa version modifiée.
    Mais je suis passé à CyanogenMod avant, et maintenant, j'ai les mises à jour très rapidement. La dernière version de CyanogenMod se base sur Android 2.3.4.
    Oui, enfin on a connu plus user-friendly pour mettre à jour son téléphone... Le quidam qui achète un Android devrait avoir le droit à un OS sécurisé, le fait de faire des mises à jour pour garder constante cette sécurité, c'est le lot de tous les OS, mais le fait de passer par des mods non officiels et pas connu qui lambda, ce n'est pas tellement le lot de tous les OS.
    Une erreur fréquente que les gens font quand ils tentent de réaliser quelque chose à l'épreuve des imbéciles est de sous-estimer l'ingéniosité de ceux-ci. - Douglas Adams

  9. #9
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Une fois le téléphone rooté, et ROM Manager installé, ça va tout seul. Les données sont conservées sans problème d'une mise à jour mineure à l'autre (mineur = le Z de X.Y.Z), maiq c'est vrai que pour passer d'une ROM a l'autre oubchanger de version majeure, il faut faire un "formattage". Mais il y a des outils pour les mises à jour comme Titanium Backup.
    Mais c'est vrai que c'est tout sauf Michu-friendly. Et j'ai eu assez de mal à rooter mon téléphone et changer de ROM, à cause des protections ajoutees par Orange (sachant que la plupart des tutos sont pour les operateurs americains....)

  10. #10
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    Mon Nexus S est passé en 2.3.4 lundi dernier...

  11. #11
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 059
    Points
    149 059
    Par défaut
    Android : Google colmate la faille qui touche 99% des utilisateurs
    En forçant les connexions HTTPS

    Mise à jour du 19/05/11


    Google n'a pas tardé à réagir après l'annonce d'une faille dans le processus d'identification d'Android à certains services Web utilisant des connections non chiffrées (lire ci-avant).

    Un des dangers de cette faille est la possibilité donnée à des tiers d'accéder aux contenus du Calendrier et des contacts du possesseur du smartphone.

    Aujourd'hui, Google fait savoir qu'il a résolu le problème en sortant un correctif qui oblige les terminaux sous Android à se connecter à ses services en HTTPS. Dans le cas où ce type de connexion ne sera pas possible, les services resteront inaccessibles.

    La société n'a pas donné de précisions supplémentaires sur ce patch, mis à part que les utilisateurs n'auront aucune manipulation à faire et que cette solution sera déployée dans les jours qui viennent. Ce qui laisse supposer que le patch ne devrait pas s'appliquer au système lui-même mais aux serveurs de Google.

    Les chercheurs de l'Université d'Ulm avaient également inclus Picassa dans les services touchés par la faille qu'ils ont découverte. Un service sur lequel Google serait également en train de travailler.

    Source : Communiqué à la presse

Discussions similaires

  1. Une faille critique dans Android affecterait 75 % des terminaux
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 30
    Dernier message: 26/09/2014, 10h28
  2. Android occupe 70 % des terminaux mobiles européens
    Par Stéphane le calme dans le forum Actualités
    Réponses: 9
    Dernier message: 03/07/2013, 20h22
  3. Bientôt une fonction officielle de scan des terminaux Android ?
    Par Hinault Romaric dans le forum Android
    Réponses: 8
    Dernier message: 16/10/2012, 13h41
  4. Réponses: 3
    Dernier message: 28/09/2010, 21h18
  5. stats qui affectent des requêtes en mode RULE
    Par joel90 dans le forum Oracle
    Réponses: 4
    Dernier message: 01/02/2005, 15h52

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo