1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 655
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 655
    Points : 88 992
    Points
    88 992

    Par défaut Accusé de mettre les données des utilisateurs en danger sur son Xiaomi Mi 4 par Bluebox

    Accusé de mettre les données des utilisateurs en danger sur son Xiaomi Mi 4 par Bluebox,
    le constructeur chinois se défend

    Il y a quelques jours, la société en sécurité des données Bluebox a publié un rapport concernant ses trouvailles suite à leurs tests du smartphone Xiaomi Mi 4. Des résultats pas très réjouissants pour le constructeur chinois derrière le smartphone. En effet, non seulement l’entreprise à découvert un logiciel malveillant installé sur le dispositif, mais en plus, un publiciel se faisait pour une application Google sans compter le fait que le téléphone présentait plusieurs failles de sécurité. De plus, le système d’exploitation tournant sur le dispositif a été identifié comme une version non certifiée Android. Il s’agit d’un système basé en grande partie sur le fork Android MIUI.

    Bluebox a rappelé trois implications majeures au fait qu’un smartphone fasse usage d’une version non certifiée d’Android : tout d’abord, cela signifie qu’il n’est pas autorisé à utiliser des services Google y compris sa vitrine de téléchargements Google Play (le Mi4 a sa propre plateforme de téléchargements). Ensuite, les dispositifs ne sont pas tenus de passer la batterie de tests d’approbation de Google avant que le dispositif ne soit mis sur le marché. Enfin, les dispositifs peuvent être distribués avec des failles connues dans la sécurité (qui ont été colmatées dans les versions certifiées par Google).

    « Nous avons effectué plusieurs tests à la recherche des malwares les plus répandus ainsi que de nombreux scan antivirus sur le Mi 4 pour déterminer si des applications douteuses étaient préinstallées dans le dispositif. Nous avons utilisé plusieurs scanners pour compiler une liste compréhensive puisque certains scanners ne retournaient rien et d’autres taguaient des applications différentes. À la fin, nous avons trouvé six applications suspectes qui pouvaient être considérées comme étant des malwares, spyware ou adware » a expliqué l’expert en sécurité.

    Concernant la sécurité de l’appareil en elle-même, Bluebox note que « non seulement le dispositif a été trouvé vulnérable à toutes les vulnérabilités que nous avons recherchées (exception faite d’Heartbleed qui était vulnérable seulement avec Android 4.1.1), mais en plus, il était rooté et avais un mode débogage USB activé sans être préparé à communiquer avec un ordinateur ». Le système en lui-même s’identifie comme étant Android Kitkat 4.4.4, pourtant quelques bizarreries et conflits qui ont emmené les chercheurs à se demander si le build de ce software a été conçu pour des tests ou pour le consommateur final : par exemple, le système ressemblait à une combinaison de KitKat et de précédentes versions et la majorité des failles de sécurité ainsi que des bogues ont été directement reliés à d’anciennes versions Android.

    Le rapport de Bluebox a été publié jeudi dernier, après qu’ils aient certifié avoir reçu des réponses du constructeur chinois. Pourtant, par la voix de son vice-président Hugo Barra, Xiaomi a expliqué qu’il pense que les tests Bluebox « n’ont pas utilisé un MIUI ROM standard, puisque notre build ROM et OTA ROM ne sont jamais rootés et nous ne préinstallons pas des services comme YT Service, PhoneGuardService, AppStats, etc. ». Le responsable a indiqué que Bluebox a acheté son Mi4 à un revendeur physique en Chine et aurait donc pu avoir en sa possession une contrefaçon. Bluebox, qui n’a pas été totalement convaincu, a alors déclaré « travailler de concert avec Xiaomi pour obtenir des clarifications suite à certains résultats ».

    Ce n’est qu’hier que Bluebox a mis à jour ses découvertes en admettant qu’il s’agit bel et bien d’une contrefaçon « très réussie » ; « le niveau de détail dans cette contrefaçon qui ressemblait et se comportait comme l’original était extraordinaire. Elle avait les mêmes structures internes, la batterie et les étiquettes sur les composants qui sont généralement utilisés par des personnes en ligne pour déterminer l’authenticité d’un dispositif s’il n’est pas allumé ». Et de préciser que la quantité d’effort qui a été fourni pour déterminer l’authenticité du dispositif est bien au-delà des capacités du client lambda qui pourra chercher à se rassurer de son achat.

    « Avec le vaste marché parallèle des dispositifs mobiles en Chine, non seulement, il arrive que des parties tierces falsifient le logiciel vendu sur les smartphones, mais en plus, il y a des produits contrefaits qui sont presque indiscernables des produits originaux dehors. Ceci arrive indépendamment de la marque, affectant à la fois les entreprises chinoises et étrangères qui vendent des smartphones en Chine » a expliqué Xiaomi. Plus de peur que de mal donc au final.

    Source : Bluebox
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 514
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 514
    Points : 7 048
    Points
    7 048

    Par défaut

    Je voudrai pas dire mais mettre un titre comme ça puis parler de l'innocence de la société au bout de très long paragraphes...
    J'ai même failli ne pas tout lire, donc j'imagine très bien l'idée qui va en ressortir par la majorité des lecteurs : une idée fausse car ils n'auront pas lu les 2% de mots qui redonnent du crédit à cette entreprise.
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  3. #3
    Rédacteur

    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2003
    Messages
    695
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juillet 2003
    Messages : 695
    Points : 1 071
    Points
    1 071

    Par défaut

    Idem, je trouve le titre trompeur et mal adapté à l'histoire complète.
    D'autant plus que xiaomi intéresse de plus en plus de monde, moi compris.

    Merci en tout cas pour l'article, mais change le titre.
    "Accusé à tord de mettre....."
    Articles sur developpez.com
    - Gestion des exceptions avec PHP5
    - Chiffrement et hash en PHP contre l'attaque Man in the middle
    - Aedituus - Espace membre sécurisé en PHP5

  4. #4
    Nouveau membre du Club
    Homme Profil pro
    Inscrit en
    août 2011
    Messages
    63
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : août 2011
    Messages : 63
    Points : 36
    Points
    36

    Par défaut

    Je suis d'accord le titre est trompeur.

Discussions similaires

  1. Android L chiffrera par défaut les données des utilisateurs
    Par Hinault Romaric dans le forum Android
    Réponses: 11
    Dernier message: 11/11/2014, 23h41
  2. Réponses: 0
    Dernier message: 01/10/2014, 10h29
  3. Réponses: 17
    Dernier message: 31/10/2013, 23h58
  4. Un bug majeur de Snow Leopard efface les données des utilisateurs
    Par Gordon Fowler dans le forum Actualités
    Réponses: 75
    Dernier message: 19/10/2009, 22h47

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo