+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    640
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 640
    Points : 13 698
    Points
    13 698

    Par défaut Un chercheur en sécurité découvre 40 failles de type zero day dans Tizen, le système d’exploitation de Samsung

    Un chercheur en sécurité découvre 40 failles de type zero day dans Tizen, le système d’exploitation de Samsung,
    la firme doit-elle craindre une nouvelle débâcle ?

    En épluchant la pile de documents publiés par Wikileaks au sujet des opérations d’espionnage des États-Unis, l’on a pu avoir plus de lumière sur les capacités et activités des agences américaines déployées à travers le monde pour espionner les utilisateurs. En parcourant ces dossiers, l’on a découvert que la CIA, l’agence américaine de renseignement, de concert avec le MI5, le service de renseignement du Royaume-Uni ont mis en œuvre depuis 2014 un malware baptisé « Weeping Angel » capable d’infecter à distance une TV Samsung et enregistrer furtivement les bruits émis à proximité de la télévision. Cela pose un véritable problème de sécurité du côté de Samsung et un niveau élevé d’intrusion dans la vie privée des utilisateurs.

    Toutefois, si vous aviez été choqué par la sécurité des TV Samsung après la révélation de cette menace, l’on est encore loin du compte face aux nouvelles failles qui viennent d’être mises à nu par Amihai Neiderman, le chercheur en sécurité israélien connu déjà pour avoir découvert une faille dans le firmware du routeur utilisé par la municipalité de Tel-Aviv et qui aurait pu être utilisée pour pirater les données circulant via le Wifi de la ville.

    Depuis lundi, Neiderman a encore fait parler de lui après avoir rapporté la découverte de 40 failles de type zero day dans le système d’exploitation Tizen développé par Samsung pour ses TV, ses montres connectées, ses smartphones, ses réfrigérateurs et bien d’autres équipements. L’entreprise se réclame de 30 millions de TV fonctionnant avec ce système, plusieurs modèles de smartwatches dont les montres Gear S2, Gear 2 Neo et Gear S3 tournant avec lui ainsi qu’un nombre limité de téléphones le supportant. La firme sud-coréenne envisage même d’accroître le nombre de téléphones tournant avec ce système pour passer à 10 millions cette année et prévoit également d’équiper sa nouvelle ligne de machines à laver et de réfrigérateurs avec ce système. C’est dire combien de fois ce système est présent dans l’environnement de Samsung.

    Toutefois, si l’on s’en tient aux déclarations faites par Neiderman, tous ces équipements fonctionnant avec Tizen seraient donc à la merci de pirates s’ils parvenaient à exploiter les failles découvertes par ce dernier. Dans son rapport, Neiderman explique que son aventure a commencé il y a huit mois lorsqu’il a acquis un téléviseur Samsung fonctionnant avec Tizen. Constatant les bogues des applications sur son téléviseur intelligent, il a acheté des smartphones Tizen afin d’examiner de plus près le code sous-jacent.

    Après avoir examiné le code du système de ces appareils, Neiderman note que lorsque Samsung a abandonné Bada, son ancien système d’exploitation, le code de ce système a été intégré à Tizen. En conséquence, plusieurs failles ont été délivrées avec ce nouveau système. Un des exemples décrits par Neiderman est que les développeurs de Tizen ont largement utilisé la fonction Strcpy() pour répliquer les données en mémoire. Toutefois, cette fonction est connue par les développeurs comme présentant des risques de débordement de mémoire. C’est pourquoi beaucoup préféreront utiliser d’autres fonctions pour éviter ce problème, mais ce ne fut pas le cas pour les développeurs de Tizen qui en ont largement fait usage.

    Pour Neiderman, « c’est peut-être le pire code qu’il ait jamais vu ». Il ajoute que les développeurs ont fait tout ce qui n’est pas recommandé de faire. Pour lui, ce code aurait été écrit par des personnes qui n’ont aucune notion en sécurité. Il conclut en affirmant que ce qui a été fait avec Tizen est pareil que « prendre un étudiant de premier cycle et le laisser programmer votre logiciel ».

    Dans la flopée de failles découvertes, Neiderman rapporte que toutes les vulnérabilités découvertes permettent de prendre le contrôle à distance des appareils fonctionnant avec Tizen. Une des vulnérabilités jugées préoccupantes par le chercheur en sécurité est la possibilité de délivrer du code malveillant à un appareil en utilisant le magasin d’applications de Tizen similaire à Google Play pour Android. Par ailleurs, il est possible de mettre à jour le système Tizen avec n’importe quel code malicieux, les logiciels Tizen s’exécutant avec des privilèges élevés. En outre, à l’heure où le chiffrement des données dans les applications et systèmes n’est plus à discuter, les développeurs de Samsung ont pris sur eux de mettre de côté le chiffrement des connexions dans certaines circonstances. Cela signifie qu’un pirate pourrait aisément accéder à ces données, les espionner ou même les modifier.

    Après la découverte de ces failles, Neiderman a contacté Samsung qui n’aurait pas prêté une grande attention à ses découvertes. Cependant, après avoir rapporté la découverte de failles à Motherboard puis à la conférence sur la sécurité organisée par Kaspersky Lab depuis lundi dernier, Samsung aurait approché l’expert afin de travailler avec lui pour corriger toutes ces vulnérabilités.

    Aussi, vu l’importance de failles recensées, il est clair que si Samsung avait l’intention de se défaire peu à peu d’Android au profit de son système d’exploitation maison, ce changement devrait encore prendre du temps au risque d’exposer les utilisateurs à des risques de sécurité et d’amener les pirates à se frotter les mains.

    Mais au-delà des failles rapportées, l’entreprise doit-elle redouter un éloignement massif des utilisateurs vis-à-vis de ses produits ? L’an dernier, elle a essuyé un revers cinglant avec des problèmes matériels détectés dans les Galaxy Note 7. L’entreprise pourrait-elle connaître à nouveau une fuite des utilisateurs au profit des produits des autres entreprises ? Ou pensez-vous que la découverte de ces failles n’aura pas d’impact significatif sur les produits de la firme ?

    Source : Motherboard, Fortune

    Et vous ?

    Que pensez-vous de ces failles découvertes ? Entraîneront-elles une fuite massive des utilisateurs chez Samsung ?

    Quelle image de Samsung retenez-vous au regard de la négligence relevée par Neiderman dans le code de Tizen ?

    Voir aussi

    WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
    Samsung : votre SmartTV vous espionne, son système de reconnaissance vocale enregistre tout ce que vous dites

    La Rubrique Sécurité, Forum Sécurité, Cours et tutoriels Sécurité, FAQ Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau membre du Club
    Homme Profil pro
    Technicien industrialisation
    Inscrit en
    octobre 2002
    Messages
    25
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pas de Calais (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien industrialisation
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : octobre 2002
    Messages : 25
    Points : 30
    Points
    30

    Par défaut

    Bonjour a tous,

    Vous allez peut-être pouvoir m'éclairer ?
    Je me demande comment l'expert en sécurité sait que la fonction Strcpy() a été utilisé sans avoir lu le source ? En décompilant puis en comparant les opcode de chaque instructions du micro ?

    Merci et bonne journée

  3. #3
    Expert éminent
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    5 634
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 5 634
    Points : 7 749
    Points
    7 749

    Par défaut

    Citation Envoyé par Patrick PETIT Voir le message
    Je me demande comment l'expert en sécurité sait que la fonction Strcpy() a été utilisé sans avoir lu le source ? En décompilant puis en comparant les opcodes de chaque instruction du micro ?

    Citation Envoyé par Olivier Famien Voir le message
    [...] Après avoir examiné le code du système de ces appareils, Neiderman note que lorsque Samsung a abandonné Bada, son ancien système d’exploitation, le code de ce système a été intégré à Tizen. En conséquence, plusieurs failles ont été délivrées avec ce nouveau système.
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  4. #4
    Membre actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    avril 2013
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Bâtiment

    Informations forums :
    Inscription : avril 2013
    Messages : 76
    Points : 267
    Points
    267

    Par défaut

    Citation Envoyé par Patrick PETIT Voir le message
    Bonjour a tous,

    Vous allez peut-être pouvoir m'éclairer ?
    Je me demande comment l'expert en sécurité sait que la fonction Strcpy() a été utilisé sans avoir lu le source ? En décompilant puis en comparant les opcode de chaque instructions du micro ?

    Merci et bonne journée

    Tizen est open source.

    https://source.tizen.org/


    Il est d'ailleurs principalement développé conjointement par Intel et Samsung et non pas le coréen seul.
    Et Samsung en tant que constructeur l'implémente dans ses appareils.

  5. #5
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2005
    Messages
    84
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2005
    Messages : 84
    Points : 61
    Points
    61

    Par défaut

    Je ne pense qu'un système sans failles existe. Aujourd'hui c'est chez Samsung, surement demain chez un autre constructeur

  6. #6
    Nouveau membre du Club
    Homme Profil pro
    Technicien industrialisation
    Inscrit en
    octobre 2002
    Messages
    25
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pas de Calais (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien industrialisation
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : octobre 2002
    Messages : 25
    Points : 30
    Points
    30

    Par défaut

    Citation Envoyé par vanskjære
    Tizen est open source.
    Je ne savais pas que c'était open source. Du coup je comprends mieux

    Merci

  7. #7
    Membre expérimenté
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    734
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 734
    Points : 1 612
    Points
    1 612

    Par défaut

    ca sert à quoi tizen ? ca équipe quoi comme appareils ?

  8. #8
    Membre actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    avril 2013
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Bâtiment

    Informations forums :
    Inscription : avril 2013
    Messages : 76
    Points : 267
    Points
    267

    Par défaut

    Citation Envoyé par Aiekick Voir le message
    ca sert à quoi tizen ? ca équipe quoi comme appareils ?
    C'est un OS multi-plateforme type android avec linux en tant que noyaux et compatible Firefox OS.

    Ça peux équiper des smartphone (utilisé que par samsung de façon anecdotique pour le moment : gamme Z#) ainsi que les autres types appareilles électroménager ou audio visuel, à priori très prisé toujours chez samsung .

    Les applications disponible pouvant être développé pour la plateforme sont au choix en C++, soit html5/js sans navigateur nécessaire, application Android porté sous un clone de dalvik.

    Après je sais pas si c'est en voie d'augmentation en terme d'utilisation chez Samsung mobile ou pas.
    Je suis tombé sur une news d'un nouveau téléphone mais datant d'Aout dernier.

Discussions similaires

  1. Réponses: 32
    Dernier message: 08/03/2017, 08h38
  2. Une faille zero day dans Flash Player menace Windows, Mac OS X et Linux
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 6
    Dernier message: 05/05/2014, 13h17
  3. Une nouvelle faille zero-day dans IE10 a été découverte
    Par Francis Walter dans le forum Sécurité
    Réponses: 3
    Dernier message: 28/02/2014, 08h51
  4. Réponses: 28
    Dernier message: 09/12/2013, 11h53
  5. Microsoft confirme une faille Zero-Day dans IE8
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 3
    Dernier message: 10/05/2013, 09h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo