Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 783
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 783
    Points : 124 478
    Points
    124 478
    Par défaut Il n'aura fallu que 10 minutes pour trouver des failles dans le chapelet « intelligent » lancé par le Pape
    Il n'aura fallu que 10 minutes pour trouver des failles dans le chapelet « intelligent » lancé par le Pape,
    pour inviter les fidèles à la prière partout dans le monde

    C’est au beau milieu du mois missionnaire extraordinaire (15 octobre 2019) que le Réseau mondial de prière du Pape a lancé l’eRosaire, un chapelet « intelligent » dont l’objectif est de permettre aux fidèles de prier partout dans le monde via une application. Développé et commercialisé par Acer, cet eRosaire peut être porté comme un bracelet. Il s’active en faisant le signe de croix, qui synchronise alors l’application (gratuite) avec un audioguide, des images exclusives et un contenu personnalisé sur la prière du Rosaire. Dans un billet, Vatican News note que le projet « réunit le meilleur de la tradition spirituelle de l’Église et les dernières avancées du monde technologique ».

    Physiquement, l'appareil se compose de dix grains de chapelet d'agate noire et d'hématite, et d'une « croix intelligente » qui stocke toutes les données technologiques reliées à l'application. Une fois activé, l'utilisateur a la possibilité de choisir entre le chapelet standard, un chapelet contemplatif et différents types de chapelets thématiques qui seront mis à jour chaque année. Enfin, une fois la prière commencée, le chapelet intelligent montre la progression de l'utilisateur à travers les différents mystères et garde la trace de chaque chapelet complété.

    Ce chapelet appartient à la famille de « Click To Pray », l’application officielle du réseau mondial de prière du pape (où le pape François a son profil personnel), qui permet à des milliers de personnes dans le monde entier de prier chaque jour. L’appareil guide son propriétaire et garde la mémoire de chaque chapelet complété. Disponible sur AppStore et GooglePlay le rosaire électronique est incorporé à l’application mobile « Click to pray » et coûte la modique somme de 99 €.

    « 10 % des recettes sont aussi reversées pour le développement du réseau mondial de prière du pape », explique le père Fornos qui a laissé entendre que de nouvelles innovations sont en cours de développement.

    Nom : pray.png
Affichages : 16072
Taille : 376,6 Ko

    Des vulnérabilités déjà découvertes

    Chez Fidus Information Security, spécialiste de la cybersécurité basé au Royaume-Uni, les chercheurs ont rapidement mis au jour des failles dans les systèmes backend utilisés par l'application Click to Pray, disponible pour iOS et Android.

    « Un de nos chercheurs a décidé de vérifier le code et, en à peine 10 minutes, a découvert des problèmes évidents », a expliqué Andrew Mabbitt, fondateur de Fidus. « On dirait que quelqu'un a pris une application de groupe de fitness et l'a intégrée au code existant qui laisse tout compte d'utilisateur piratable ».

    Chris, le chercheur qui a trouvé la faille a expliqué qu'il y avait deux problèmes principaux. Tout d'abord, lorsque vous installez l'application Click to Pray, vous êtes invité à créer un compte en ligne. Il y a trois manières de se connecter à l'application :
    • par une authentification Google
      ;
    • par une authentification Facebook
      ;
    • par une connexion par courrier électronique classique - il s’agit du paramètre problématique qui ne permet pas de saisir un mot de passe, mais plutôt un code PIN à 4 chiffres.

    En clair, votre profil peut être protégé par un code PIN à quatre chiffres, un moyen d'authentification qui peut tomber face à une attaque par force brute étant donné que l'utilisateur dispose de tentatives illimitées et aucun mécanisme n'est embarqué pour ralentir le processus.

    Ensuite, l'application communique avec ses systèmes backend via des appels d'API : sendPIN et resetPIN. En raison d'une vulnérabilité dans le code, il était possible d'envoyer l'adresse électronique d'un utilisateur via cette API et de récupérer le code PIN du compte correspondant dans un format lisible. Cela signifiait que si quelqu'un envoyait l'adresse électronique d'un inconnu, il pourrait avoir accès au profil Click to Pray correspondant, s'il en existait un.

    Il note que « le code PIN à 4 chiffres contrôle l’accès à l’application et, lors de la réinitialisation d’un compte utilisateur, est envoyé à l’e-mail enregistré. Lorsque l’application demande l’envoi d’un code PIN, elle appelle "resend_pin" qui envoie le code PIN à l’e-mail, mais renvoie également de manière catastrophique le code PIN à la réponse de l’API; permettant à quiconque d'obtenir le code PIN à 4 chiffres envoyé SANS accès par courrier électronique ».

    Voici un exemple de demande POST effectuée pour le compte d'utilisateur :

    Nom : utilisateur.png
Affichages : 3785
Taille : 104,3 Ko

    La réponse de l'API renvoyée à l'utilisateur contenant le code PIN (qui est également envoyé à l'e-mail enregistré) est visible ci-dessous:

    Nom : vrai.png
Affichages : 3751
Taille : 9,5 Ko

    Armés de cela, nous pouvons simplement nous connecter à l’application avec le code PIN fourni, ce qui permet de compromettre le compte avec un minimum d’effort.

    Bien que les comptes ne stockent rien de trop sensible à l'instar des informations financières, ils contiennent des données d'identification personnelle comme les noms et descriptions physiques de personnes. Dans des pays comme la Chine, où les catholiques ne sont pas très populaires, ce type de données pourrait être dommageable s’il était exposé.

    Le Père Frédéric Fornos, réseau mondial de prière du directeur international du pape, a déclaré que dès qu'il a été alerté des failles de sécurité de Fidus, il a mis les développeurs du Vatican sur le coup pour les corriger et il s'était engagé à produire un correctif dans les 24 heures. Selon Fidus, les développeurs ont déjà renforcé le logiciel, en quelque sorte. « Ils ont résolu le problème [de l’API], mais d’une manière très alambiquée », a souligné Mabbitt.

    « Désormais, lorsque l’API est appelée, vous ne pouvez pas extraire le code PIN à quatre chiffres [des données renvoyées]. Mais il n’existe toujours aucune protection contre le fait de forcer brutalement le code PIN, donc cette attaque reste réalisable ».

    D'ailleurs, Chris a noté que « le correctif a été publié dans les 36 heures suivant le signalement du problème. Il est intéressant de noter qu’il est toujours possible d’utiliser la vulnérabilité décrite ci-dessus pour récupérer un code PIN, bien que la réponse de l’API indique désormais 8 chiffres, tandis que l’e-mail de l’application fournit un code PIN à 4 chiffres correct. Il ne semble pas y avoir de corrélation directe entre le nouveau code confidentiel à 8 chiffres et le code confidentiel correct à 4 chiffres envoyé par courrier électronique. Il est probable que les données renvoyées ne soient pas aléatoires, mais plutôt obscurcies, bien qu'il n'ait pas encore été possible de procéder à l'ingénierie inverse de l'algorithme utilisé… pour le moment ».

    Par la suite, un porte-parole du Vatican a déclaré que les failles de l'API avaient également été repérées par un chercheur en sécurité répondant au pseudonyme Elliot Alderson et qui, comme Fidus, a rapporté en privé les bogues, mais a également envoyé le code du Vatican pour résoudre le problème.

    Quoi qu'il en soit, en se basant sur le nombre de téléchargements de l'application, il est possible qu'un millier de personnes se servent de ce chapelet numérique, ce qui réduit la portée potentielle d'une attaque lancée contre le dispositif. En plus, un porte-parole du Vatican a confirmé que le problème lié à la force brute a été résolu.

    eRosaire (1, 2), Android, iOS

    Sources : Fidus, Elliot Alderson

    Et vous ?

    Que pensez-vous de la « collaboration » entre religion et technologie en général, et de ce chapelet numérique en particulier ?

    Voir aussi :

    Google, Samsung, Xiaomi, Huawei et autres affectés par une faille zéro-day dans le système d'exploitation mobile Android, qui déverrouille l'accès root des appareils cibles
    GitHub de Microsoft annonce l'acquisition de Semmle, un outil d'analyse de code qui permet de détecter des failles de sécurité potentielles
    600 000 traceurs GPS pour enfants et personnes âgées utilisent « 123456 » comme mot de passe et ont des failles qui mettent la sécurité des personnes en danger
    Des milliers d'utilisateurs iOS ont été espionnés chaque semaine pendant deux ans par des hackers qui ont exploité 14 failles 0-day
    Images attachées Images attachées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    avril 2019
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : avril 2019
    Messages : 22
    Points : 56
    Points
    56
    Par défaut
    "Que pensez-vous de la « collaboration » entre religion et technologie en général, et de ce chapelet numérique en particulier ?"

    Je pense qu'il n'y a pas de raison pour que les Etats, et les grosses sociétés privées soient les seuls a avoir le droit de voler la vie privée des citoyens en les traquant

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    768
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 768
    Points : 3 051
    Points
    3 051
    Par défaut
    En fait un Chapelet c'est une sorte de boulier simpliste antique qui sert au dévot naïf à parfaire son auto hypnose.

    Pour augmenter les profits autant inventer des versions informatisées de ces objets de superstition ridicule, c'est plus cher donc plus profitables financièrement. Bientôt :
    - Le distributeur automatique d'Ostie dans les Eglises désaffectées
    - Le collier électrique pour punir les dévot qui ont oublié de faire leurs prières en utilisant leur rosaire connecté, ou si il ont échappé un Juron "Oh mon dieu !"
    - La ceinture de chasteté connectée reliée au mobile de son conjoint
    - Le robot prêtre pour pallier aux manque des vocations, il est déjà la :

    « L’humour est une forme d'esprit railleuse qui s'attache à souligner le caractère comique, ridicule, absurde ou insolite de certains aspects de la réalité »

  4. #4
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 050
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 050
    Points : 3 778
    Points
    3 778
    Par défaut
    Diablerie !
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  5. #5
    Membre habitué
    Profil pro
    developpeur
    Inscrit en
    septembre 2010
    Messages
    201
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : developpeur

    Informations forums :
    Inscription : septembre 2010
    Messages : 201
    Points : 173
    Points
    173
    Par défaut l@ religion
    Aucun problème avec, chacun ses croyances du moment qu'il ne les impose pas aux autres.

  6. #6
    Membre actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    février 2006
    Messages
    105
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Vendée (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Industrie

    Informations forums :
    Inscription : février 2006
    Messages : 105
    Points : 289
    Points
    289
    Par défaut
    Je croyais que c'était une blague "Clic to pray" ça sonne trop "Clic to pay"
    Mais non sur le site "https://www.prieraucoeurdumonde.net/click-to-pray-application-priere-du-pape/"
    il y est écrit : "Je reçois trois fois par jour par sms quelques pistes pour offrir ma journée, me souvenir de Dieu au milieu du jour, relire mes actions et mes rencontres le soir."

    Et bien le réchauffement climatique à de beau jour devant lui ,
    y'a plus qu'a le lancer pour toutes les autres religions et les datas center vont faire péter les degrés

    Que le seigneur soit avec vous et avec votre esprit. Amen.

  7. #7
    Membre actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    février 2006
    Messages
    105
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Vendée (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Industrie

    Informations forums :
    Inscription : février 2006
    Messages : 105
    Points : 289
    Points
    289
    Par défaut
    Ah et que Mabbitt arrive à faire des violations d’accès sur une application de moins de 18 ans c'est encore une blague du meilleurs gout.
    Heureusement, il y a Fidus

    Tabernacle, d'ostie de calice, je suis maintenant sûr qu'il n'existe pas

  8. #8
    Membre averti Avatar de Kazh Du
    Homme Profil pro
    Développeur informatique
    Inscrit en
    novembre 2011
    Messages
    98
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 98
    Points : 319
    Points
    319
    Par défaut
    Que pensez-vous de la « collaboration » entre religion et technologie en général, et de ce chapelet numérique en particulier ?

    Je place ça au même niveau que la collaboration entre technologie et :
    • guerre
    • surveillance de masse
    • propagande


    Bref, que du bonheur
    Merci d'ajouter un sur les tags qui vous ont aidé

  9. #9
    Membre chevronné

    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2013
    Messages
    724
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2013
    Messages : 724
    Points : 1 881
    Points
    1 881
    Par défaut
    "Pirater les tous Dieu reconnaîtra les sien !!!"

    Bon je sorts pour me confesser et me faire pardonner toutes les c*! que je dis ici.
    Consultez mes articles sur l'accessibilité numérique :

    Comment rendre son application SWING accessible aux non voyants
    Créer des applications web accessibles à tous

    YES WE CAN BLANCHE !!!

    Rappelez-vous que Google est le plus grand aveugle d'Internet...
    Plus c'est accessible pour nous, plus c'est accessible pour lui,
    et meilleur sera votre score de référencement !

  10. #10
    Membre régulier
    Homme Profil pro
    Etudiant
    Inscrit en
    juin 2009
    Messages
    34
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Etudiant

    Informations forums :
    Inscription : juin 2009
    Messages : 34
    Points : 109
    Points
    109
    Par défaut
    C'est Pape Ossible....

  11. #11
    Membre averti
    Profil pro
    Un Poste
    Inscrit en
    septembre 2005
    Messages
    250
    Détails du profil
    Informations personnelles :
    Âge : 41
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Un Poste
    Secteur : Service public

    Informations forums :
    Inscription : septembre 2005
    Messages : 250
    Points : 315
    Points
    315
    Par défaut
    Une immersion certaine dans la vie privée des gens. L'on te dira par la suite "Tu n'as pas prier aujourd'hui", "tu n'as pas ...." Le pape aussi s'y met.

  12. #12
    Expert éminent sénior

    Profil pro
    Développeur informatique
    Inscrit en
    novembre 2006
    Messages
    6 884
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : novembre 2006
    Messages : 6 884
    Points : 14 506
    Points
    14 506
    Par défaut
    Il n'aura fallu que 10 minutes pour trouver des failles dans le chapelet « intelligent » lancé par le Pape
    pourtant j'ai toujours cru que les voies du Seigneur étaient impénétrables...amen.
    Non ne vous offusquez pas c'était juste une ânerie de ma part

    Citation Envoyé par Stéphane le calme Voir le message
    Disponible sur AppStore et GooglePlay le rosaire électronique est incorporé à l’application mobile «Click to pray» et coûte la modique somme de 99€.
    Que Dieu soit loué et qu'il vous bénisse ,d'accord mais à 99euros ça fait cher de la location, vous ne trouvez pas ?
    Ce dont on ne peut parler il faut le taire ( Wittgenstein )

  13. #13
    Futur Membre du Club
    Profil pro
    Employé
    Inscrit en
    septembre 2007
    Messages
    16
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Employé

    Informations forums :
    Inscription : septembre 2007
    Messages : 16
    Points : 7
    Points
    7
    Par défaut
    En tant que catholique, je dois dire que je trouve cette application parfaitement ridicule.
    Je suis déçu de constater que le Vatican se laisse prendre à ces niaiseries.
    Mon seul espoir c'est que cette faille tueras l'application dans l’œuf et leur retirera à jamais l'envie de recommencer.

  14. #14
    Membre averti

    Profil pro
    Inscrit en
    mai 2003
    Messages
    169
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2003
    Messages : 169
    Points : 316
    Points
    316
    Billets dans le blog
    1
    Par défaut
    C'est une preuve de maturité de cette religion je trouve.

    Ils ne se sont pas arrêté à 'sciences = diable'.

    Il y a un potentiel énorme entre le monde de la spiritualité et les nouvelles technologies.

    En tant qu'agnostique, je suis séduit par l'approche.

  15. #15
    Membre éprouvé

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    juin 2002
    Messages
    446
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : juin 2002
    Messages : 446
    Points : 1 121
    Points
    1 121
    Par défaut
    Bible de Jérusalem (traduction catholique ; mais la Second ou la TOB utilisent quasi les même mot)
    Matthieu 6:7 "Dans vos prières, ne rabâchez pas comme les païens: ils s'imaginent qu'en parlant beaucoup ils se feront mieux écouter.
    C'est extrait du sermon sur la montagne.
    Quand on sait à quoi sert un chapelet, électronique ou pas...... Voilà ce qu'en pensait l'initiateur du christianisme.
    --
    vanquish

  16. #16
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 143
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 143
    Points : 2 512
    Points
    2 512
    Par défaut
    je suis surpris.

    android et facebook sont le diable.

    est ce a dire que le papa pactise avec le diable ?


  17. #17
    Membre extrêmement actif Avatar de ddoumeche
    Homme Profil pro
    Ingénieur recherche et développement
    Inscrit en
    octobre 2007
    Messages
    1 187
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Singapour

    Informations professionnelles :
    Activité : Ingénieur recherche et développement

    Informations forums :
    Inscription : octobre 2007
    Messages : 1 187
    Points : 2 153
    Points
    2 153
    Par défaut
    Citation Envoyé par vanquish Voir le message
    Bible de Jérusalem (traduction catholique ; mais la Second ou la TOB utilisent quasi les même mot)
    Il faut envoyer ce verset à Boris Jonhson, en proie à une armée de pharisien soit disant députés.

  18. #18
    Membre habitué
    Profil pro
    developpeur
    Inscrit en
    septembre 2010
    Messages
    201
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : developpeur

    Informations forums :
    Inscription : septembre 2010
    Messages : 201
    Points : 173
    Points
    173
    Par défaut la théologie statistique
    Je trouve cela brillant, quand on voit que la jeunesse peut se faire manipuler par une Greta alors tout est possible :-)
    Non sérieusement, je trouve l'idée marketing brillante.

    Superstitions ou non, peut importe, le client a toujours raison.

  19. #19
    Membre éclairé Avatar de manuscle
    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2004
    Messages
    486
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Distribution

    Informations forums :
    Inscription : septembre 2004
    Messages : 486
    Points : 656
    Points
    656
    Par défaut
    Comme quoi les voies du seigneur sont bel et bien pénétrables!
    Les idiots sont ceux qui ne posent jamais de question!

  20. #20
    Membre à l'essai
    Homme Profil pro
    Développeur Java
    Inscrit en
    juin 2017
    Messages
    22
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 68
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : juin 2017
    Messages : 22
    Points : 22
    Points
    22
    Par défaut Einstein for ever
    Une preuve de plus que la c......e humaine est infinie. On croit avoir vu le pire et quelqu'un crée le plafond. En tant qu’athée, voir la religion s'abaisser à ce niveau de racolage est une preuve de plus que ce n'est que de la superstition.

Discussions similaires

  1. Script pour trouver des blocs dans un listing
    Par rambc dans le forum Général Python
    Réponses: 7
    Dernier message: 06/01/2012, 09h43
  2. Requete pour trouver des trous dans une suite
    Par Ben_Le_Cool dans le forum Langage SQL
    Réponses: 11
    Dernier message: 28/08/2009, 19h17
  3. Réponses: 5
    Dernier message: 04/08/2006, 16h24
  4. Réponses: 3
    Dernier message: 05/12/2005, 03h30
  5. Pb pour afficher des composants dans la palette
    Par Captain_JS dans le forum C++Builder
    Réponses: 1
    Dernier message: 12/07/2005, 19h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo