IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 983
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 983
    Points : 207 871
    Points
    207 871
    Par défaut Il n'aura fallu que 10 minutes pour trouver des failles dans le chapelet « intelligent » lancé par le Pape
    Il n'aura fallu que 10 minutes pour trouver des failles dans le chapelet « intelligent » lancé par le Pape,
    pour inviter les fidèles à la prière partout dans le monde

    C’est au beau milieu du mois missionnaire extraordinaire (15 octobre 2019) que le Réseau mondial de prière du Pape a lancé l’eRosaire, un chapelet « intelligent » dont l’objectif est de permettre aux fidèles de prier partout dans le monde via une application. Développé et commercialisé par Acer, cet eRosaire peut être porté comme un bracelet. Il s’active en faisant le signe de croix, qui synchronise alors l’application (gratuite) avec un audioguide, des images exclusives et un contenu personnalisé sur la prière du Rosaire. Dans un billet, Vatican News note que le projet « réunit le meilleur de la tradition spirituelle de l’Église et les dernières avancées du monde technologique ».

    Physiquement, l'appareil se compose de dix grains de chapelet d'agate noire et d'hématite, et d'une « croix intelligente » qui stocke toutes les données technologiques reliées à l'application. Une fois activé, l'utilisateur a la possibilité de choisir entre le chapelet standard, un chapelet contemplatif et différents types de chapelets thématiques qui seront mis à jour chaque année. Enfin, une fois la prière commencée, le chapelet intelligent montre la progression de l'utilisateur à travers les différents mystères et garde la trace de chaque chapelet complété.

    Ce chapelet appartient à la famille de « Click To Pray », l’application officielle du réseau mondial de prière du pape (où le pape François a son profil personnel), qui permet à des milliers de personnes dans le monde entier de prier chaque jour. L’appareil guide son propriétaire et garde la mémoire de chaque chapelet complété. Disponible sur AppStore et GooglePlay le rosaire électronique est incorporé à l’application mobile « Click to pray » et coûte la modique somme de 99 €.

    « 10 % des recettes sont aussi reversées pour le développement du réseau mondial de prière du pape », explique le père Fornos qui a laissé entendre que de nouvelles innovations sont en cours de développement.

    Nom : pray.png
Affichages : 18180
Taille : 376,6 Ko

    Des vulnérabilités déjà découvertes

    Chez Fidus Information Security, spécialiste de la cybersécurité basé au Royaume-Uni, les chercheurs ont rapidement mis au jour des failles dans les systèmes backend utilisés par l'application Click to Pray, disponible pour iOS et Android.

    « Un de nos chercheurs a décidé de vérifier le code et, en à peine 10 minutes, a découvert des problèmes évidents », a expliqué Andrew Mabbitt, fondateur de Fidus. « On dirait que quelqu'un a pris une application de groupe de fitness et l'a intégrée au code existant qui laisse tout compte d'utilisateur piratable ».

    Chris, le chercheur qui a trouvé la faille a expliqué qu'il y avait deux problèmes principaux. Tout d'abord, lorsque vous installez l'application Click to Pray, vous êtes invité à créer un compte en ligne. Il y a trois manières de se connecter à l'application :
    • par une authentification Google
      ;
    • par une authentification Facebook
      ;
    • par une connexion par courrier électronique classique - il s’agit du paramètre problématique qui ne permet pas de saisir un mot de passe, mais plutôt un code PIN à 4 chiffres.

    En clair, votre profil peut être protégé par un code PIN à quatre chiffres, un moyen d'authentification qui peut tomber face à une attaque par force brute étant donné que l'utilisateur dispose de tentatives illimitées et aucun mécanisme n'est embarqué pour ralentir le processus.

    Ensuite, l'application communique avec ses systèmes backend via des appels d'API : sendPIN et resetPIN. En raison d'une vulnérabilité dans le code, il était possible d'envoyer l'adresse électronique d'un utilisateur via cette API et de récupérer le code PIN du compte correspondant dans un format lisible. Cela signifiait que si quelqu'un envoyait l'adresse électronique d'un inconnu, il pourrait avoir accès au profil Click to Pray correspondant, s'il en existait un.

    Il note que « le code PIN à 4 chiffres contrôle l’accès à l’application et, lors de la réinitialisation d’un compte utilisateur, est envoyé à l’e-mail enregistré. Lorsque l’application demande l’envoi d’un code PIN, elle appelle "resend_pin" qui envoie le code PIN à l’e-mail, mais renvoie également de manière catastrophique le code PIN à la réponse de l’API; permettant à quiconque d'obtenir le code PIN à 4 chiffres envoyé SANS accès par courrier électronique ».

    Voici un exemple de demande POST effectuée pour le compte d'utilisateur :

    Nom : utilisateur.png
Affichages : 5253
Taille : 104,3 Ko

    La réponse de l'API renvoyée à l'utilisateur contenant le code PIN (qui est également envoyé à l'e-mail enregistré) est visible ci-dessous:

    Nom : vrai.png
Affichages : 5066
Taille : 9,5 Ko

    Armés de cela, nous pouvons simplement nous connecter à l’application avec le code PIN fourni, ce qui permet de compromettre le compte avec un minimum d’effort.

    Bien que les comptes ne stockent rien de trop sensible à l'instar des informations financières, ils contiennent des données d'identification personnelle comme les noms et descriptions physiques de personnes. Dans des pays comme la Chine, où les catholiques ne sont pas très populaires, ce type de données pourrait être dommageable s’il était exposé.

    Le Père Frédéric Fornos, réseau mondial de prière du directeur international du pape, a déclaré que dès qu'il a été alerté des failles de sécurité de Fidus, il a mis les développeurs du Vatican sur le coup pour les corriger et il s'était engagé à produire un correctif dans les 24 heures. Selon Fidus, les développeurs ont déjà renforcé le logiciel, en quelque sorte. « Ils ont résolu le problème [de l’API], mais d’une manière très alambiquée », a souligné Mabbitt.

    « Désormais, lorsque l’API est appelée, vous ne pouvez pas extraire le code PIN à quatre chiffres [des données renvoyées]. Mais il n’existe toujours aucune protection contre le fait de forcer brutalement le code PIN, donc cette attaque reste réalisable ».

    D'ailleurs, Chris a noté que « le correctif a été publié dans les 36 heures suivant le signalement du problème. Il est intéressant de noter qu’il est toujours possible d’utiliser la vulnérabilité décrite ci-dessus pour récupérer un code PIN, bien que la réponse de l’API indique désormais 8 chiffres, tandis que l’e-mail de l’application fournit un code PIN à 4 chiffres correct. Il ne semble pas y avoir de corrélation directe entre le nouveau code confidentiel à 8 chiffres et le code confidentiel correct à 4 chiffres envoyé par courrier électronique. Il est probable que les données renvoyées ne soient pas aléatoires, mais plutôt obscurcies, bien qu'il n'ait pas encore été possible de procéder à l'ingénierie inverse de l'algorithme utilisé… pour le moment ».

    Par la suite, un porte-parole du Vatican a déclaré que les failles de l'API avaient également été repérées par un chercheur en sécurité répondant au pseudonyme Elliot Alderson et qui, comme Fidus, a rapporté en privé les bogues, mais a également envoyé le code du Vatican pour résoudre le problème.

    Quoi qu'il en soit, en se basant sur le nombre de téléchargements de l'application, il est possible qu'un millier de personnes se servent de ce chapelet numérique, ce qui réduit la portée potentielle d'une attaque lancée contre le dispositif. En plus, un porte-parole du Vatican a confirmé que le problème lié à la force brute a été résolu.

    eRosaire (1, 2), Android, iOS

    Sources : Fidus, Elliot Alderson

    Et vous ?

    Que pensez-vous de la « collaboration » entre religion et technologie en général, et de ce chapelet numérique en particulier ?

    Voir aussi :

    Google, Samsung, Xiaomi, Huawei et autres affectés par une faille zéro-day dans le système d'exploitation mobile Android, qui déverrouille l'accès root des appareils cibles
    GitHub de Microsoft annonce l'acquisition de Semmle, un outil d'analyse de code qui permet de détecter des failles de sécurité potentielles
    600 000 traceurs GPS pour enfants et personnes âgées utilisent « 123456 » comme mot de passe et ont des failles qui mettent la sécurité des personnes en danger
    Des milliers d'utilisateurs iOS ont été espionnés chaque semaine pendant deux ans par des hackers qui ont exploité 14 failles 0-day
    Images attachées Images attachées

  2. #2
    Membre régulier
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Avril 2019
    Messages
    44
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : Avril 2019
    Messages : 44
    Points : 119
    Points
    119
    Par défaut
    "Que pensez-vous de la « collaboration » entre religion et technologie en général, et de ce chapelet numérique en particulier ?"

    Je pense qu'il n'y a pas de raison pour que les Etats, et les grosses sociétés privées soient les seuls a avoir le droit de voler la vie privée des citoyens en les traquant

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Inscrit en
    Janvier 2014
    Messages
    1 559
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 559
    Points : 5 955
    Points
    5 955
    Par défaut
    En fait un Chapelet c'est une sorte de boulier simpliste antique qui sert au dévot naïf à parfaire son auto hypnose.

    Pour augmenter les profits autant inventer des versions informatisées de ces objets de superstition ridicule, c'est plus cher donc plus profitables financièrement. Bientôt :
    - Le distributeur automatique d'Ostie dans les Eglises désaffectées
    - Le collier électrique pour punir les dévot qui ont oublié de faire leurs prières en utilisant leur rosaire connecté, ou si il ont échappé un Juron "Oh mon dieu !"
    - La ceinture de chasteté connectée reliée au mobile de son conjoint
    - Le robot prêtre pour pallier aux manque des vocations, il est déjà la :


  4. #4
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 790
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 790
    Points : 7 285
    Points
    7 285
    Par défaut
    Diablerie !

  5. #5
    Membre actif
    Profil pro
    developpeur
    Inscrit en
    Septembre 2010
    Messages
    219
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : developpeur

    Informations forums :
    Inscription : Septembre 2010
    Messages : 219
    Points : 204
    Points
    204
    Par défaut l@ religion
    Aucun problème avec, chacun ses croyances du moment qu'il ne les impose pas aux autres.

  6. #6
    Membre averti
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    Février 2006
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : France, Vendée (Pays de la Loire)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : Industrie

    Informations forums :
    Inscription : Février 2006
    Messages : 114
    Points : 372
    Points
    372
    Par défaut
    Je croyais que c'était une blague "Clic to pray" ça sonne trop "Clic to pay"
    Mais non sur le site "https://www.prieraucoeurdumonde.net/click-to-pray-application-priere-du-pape/"
    il y est écrit : "Je reçois trois fois par jour par sms quelques pistes pour offrir ma journée, me souvenir de Dieu au milieu du jour, relire mes actions et mes rencontres le soir."

    Et bien le réchauffement climatique à de beau jour devant lui ,
    y'a plus qu'a le lancer pour toutes les autres religions et les datas center vont faire péter les degrés

    Que le seigneur soit avec vous et avec votre esprit. Amen.

  7. #7
    Membre averti
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    Février 2006
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : France, Vendée (Pays de la Loire)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : Industrie

    Informations forums :
    Inscription : Février 2006
    Messages : 114
    Points : 372
    Points
    372
    Par défaut
    Ah et que Mabbitt arrive à faire des violations d’accès sur une application de moins de 18 ans c'est encore une blague du meilleurs gout.
    Heureusement, il y a Fidus

    Tabernacle, d'ostie de calice, je suis maintenant sûr qu'il n'existe pas

  8. #8
    Membre confirmé Avatar de Kazh Du
    Homme Profil pro
    Développeur Java
    Inscrit en
    Novembre 2011
    Messages
    152
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 152
    Points : 561
    Points
    561
    Par défaut
    Que pensez-vous de la « collaboration » entre religion et technologie en général, et de ce chapelet numérique en particulier ?

    Je place ça au même niveau que la collaboration entre technologie et :
    • guerre
    • surveillance de masse
    • propagande


    Bref, que du bonheur

  9. #9
    Membre émérite

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2013
    Messages
    1 106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Conseil

    Informations forums :
    Inscription : Octobre 2013
    Messages : 1 106
    Points : 2 663
    Points
    2 663
    Par défaut
    "Pirater les tous Dieu reconnaîtra les sien !!!"

    Bon je sorts pour me confesser et me faire pardonner toutes les c*! que je dis ici.

  10. #10
    Membre régulier
    Homme Profil pro
    Etudiant
    Inscrit en
    Juin 2009
    Messages
    38
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Etudiant

    Informations forums :
    Inscription : Juin 2009
    Messages : 38
    Points : 94
    Points
    94
    Par défaut
    C'est Pape Ossible....

  11. #11
    Membre averti
    Homme Profil pro
    Ingénieur Développement Logiciel
    Inscrit en
    Septembre 2005
    Messages
    286
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Ingénieur Développement Logiciel
    Secteur : Service public

    Informations forums :
    Inscription : Septembre 2005
    Messages : 286
    Points : 434
    Points
    434
    Par défaut
    Une immersion certaine dans la vie privée des gens. L'on te dira par la suite "Tu n'as pas prier aujourd'hui", "tu n'as pas ...." Le pape aussi s'y met.

  12. #12
    Expert éminent sénior
    Avatar de Mat.M
    Profil pro
    Développeur informatique
    Inscrit en
    Novembre 2006
    Messages
    8 408
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Novembre 2006
    Messages : 8 408
    Points : 20 542
    Points
    20 542
    Par défaut
    Il n'aura fallu que 10 minutes pour trouver des failles dans le chapelet « intelligent » lancé par le Pape
    pourtant j'ai toujours cru que les voies du Seigneur étaient impénétrables...amen.
    Non ne vous offusquez pas c'était juste une ânerie de ma part

    Citation Envoyé par Stéphane le calme Voir le message
    Disponible sur AppStore et GooglePlay le rosaire électronique est incorporé à l’application mobile «Click to pray» et coûte la modique somme de 99€.
    Que Dieu soit loué et qu'il vous bénisse ,d'accord mais à 99euros ça fait cher de la location, vous ne trouvez pas ?

  13. #13
    Membre à l'essai
    Profil pro
    Employé
    Inscrit en
    Septembre 2007
    Messages
    19
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Employé

    Informations forums :
    Inscription : Septembre 2007
    Messages : 19
    Points : 18
    Points
    18
    Par défaut
    En tant que catholique, je dois dire que je trouve cette application parfaitement ridicule.
    Je suis déçu de constater que le Vatican se laisse prendre à ces niaiseries.
    Mon seul espoir c'est que cette faille tueras l'application dans l’œuf et leur retirera à jamais l'envie de recommencer.

  14. #14
    Membre éclairé

    Profil pro
    Inscrit en
    Mai 2003
    Messages
    322
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2003
    Messages : 322
    Points : 763
    Points
    763
    Billets dans le blog
    1
    Par défaut
    C'est une preuve de maturité de cette religion je trouve.

    Ils ne se sont pas arrêté à 'sciences = diable'.

    Il y a un potentiel énorme entre le monde de la spiritualité et les nouvelles technologies.

    En tant qu'agnostique, je suis séduit par l'approche.

  15. #15
    Membre chevronné

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    Juin 2002
    Messages
    611
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : Juin 2002
    Messages : 611
    Points : 2 083
    Points
    2 083
    Par défaut
    Bible de Jérusalem (traduction catholique ; mais la Second ou la TOB utilisent quasi les même mot)
    Matthieu 6:7 "Dans vos prières, ne rabâchez pas comme les païens: ils s'imaginent qu'en parlant beaucoup ils se feront mieux écouter.
    C'est extrait du sermon sur la montagne.
    Quand on sait à quoi sert un chapelet, électronique ou pas...... Voilà ce qu'en pensait l'initiateur du christianisme.

  16. #16
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 602
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 602
    Points : 4 129
    Points
    4 129
    Par défaut
    je suis surpris.

    android et facebook sont le diable.

    est ce a dire que le papa pactise avec le diable ?


  17. #17
    Membre extrêmement actif Avatar de ddoumeche
    Homme Profil pro
    Ingénieur recherche et développement
    Inscrit en
    Octobre 2007
    Messages
    1 687
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Singapour

    Informations professionnelles :
    Activité : Ingénieur recherche et développement

    Informations forums :
    Inscription : Octobre 2007
    Messages : 1 687
    Points : 2 014
    Points
    2 014
    Par défaut
    Citation Envoyé par vanquish Voir le message
    Bible de Jérusalem (traduction catholique ; mais la Second ou la TOB utilisent quasi les même mot)
    Il faut envoyer ce verset à Boris Jonhson, en proie à une armée de pharisien soit disant députés.

  18. #18
    Membre actif
    Profil pro
    developpeur
    Inscrit en
    Septembre 2010
    Messages
    219
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : developpeur

    Informations forums :
    Inscription : Septembre 2010
    Messages : 219
    Points : 204
    Points
    204
    Par défaut la théologie statistique
    Je trouve cela brillant, quand on voit que la jeunesse peut se faire manipuler par une Greta alors tout est possible :-)
    Non sérieusement, je trouve l'idée marketing brillante.

    Superstitions ou non, peut importe, le client a toujours raison.

  19. #19
    Membre éclairé Avatar de manuscle
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2004
    Messages
    488
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Distribution

    Informations forums :
    Inscription : Septembre 2004
    Messages : 488
    Points : 663
    Points
    663
    Par défaut
    Comme quoi les voies du seigneur sont bel et bien pénétrables!

  20. #20
    Membre averti
    Homme Profil pro
    Développeur Java
    Inscrit en
    Juin 2017
    Messages
    126
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 73
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Juin 2017
    Messages : 126
    Points : 329
    Points
    329
    Par défaut Einstein for ever
    Une preuve de plus que la c......e humaine est infinie. On croit avoir vu le pire et quelqu'un crée le plafond. En tant qu’athée, voir la religion s'abaisser à ce niveau de racolage est une preuve de plus que ce n'est que de la superstition.

Discussions similaires

  1. Script pour trouver des blocs dans un listing
    Par rambc dans le forum Général Python
    Réponses: 7
    Dernier message: 06/01/2012, 09h43
  2. Requete pour trouver des trous dans une suite
    Par Ben_Le_Cool dans le forum Langage SQL
    Réponses: 11
    Dernier message: 28/08/2009, 19h17
  3. Que faut il utiliser pour faire des recherches dans LDAP?
    Par kabouns dans le forum API standards et tierces
    Réponses: 5
    Dernier message: 04/08/2006, 16h24
  4. Réponses: 3
    Dernier message: 05/12/2005, 03h30
  5. Pb pour afficher des composants dans la palette
    Par Captain_JS dans le forum C++Builder
    Réponses: 1
    Dernier message: 12/07/2005, 19h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo