IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une porte dérobée non documentée trouvée dans une montre intelligente pour enfants


Sujet :

Sécurité

  1. #1
    Chroniqueuse Actualités

    Femme Profil pro
    Rédacteur Web
    Inscrit en
    mars 2020
    Messages
    350
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur Web

    Informations forums :
    Inscription : mars 2020
    Messages : 350
    Points : 5 592
    Points
    5 592
    Par défaut Une porte dérobée non documentée trouvée dans une montre intelligente pour enfants
    Une porte dérobée, non documentée qui prend secrètement des clichés, trouvée dans une montre intelligente pour enfants :
    Le X4, fabriqué et développé conjointement en Chine, suscite des inquiétudes

    Le X4, une montre intelligente conçue pour les enfants, présente manifestement un niveau de sécurité dérangeant. Grâce à un seul texte chiffré, un chercheur en sécurité a pu accéder au X4 et enregistrer sa position en temps réel, prendre des photos avec son appareil photo, et même enregistrer du son.

    Une montre intelligente populaire conçue exclusivement pour les enfants contient une porte dérobée non documentée qui permet à quelqu'un de prendre des photos à distance, d'écouter les appels vocaux et de suivre les lieux en temps réel, a déclaré un chercheur. La smartwatch X4 est commercialisée par Xplora, un vendeur de montres pour enfants basé en Norvège.

    L'appareil, qui se vend environ 200 dollars, fonctionne sur Android et offre une série de fonctionnalités, notamment la possibilité de passer et de recevoir des appels vocaux vers des numéros approuvés par les parents et d'envoyer une émission SOS qui alerte les contacts d'urgence sur l'emplacement de la montre. Une application distincte fonctionnant sur les smartphones des parents leur permet de contrôler l'utilisation des montres et de recevoir des avertissements lorsqu'un enfant s'est égaré au-delà des limites géographiques fixées.

    Nom : screenshot_2020-10-14-x4.png
Affichages : 10548
Taille : 99,7 Ko

    Il s'avère que le X4 contient autre chose : une porte dérobée qui n'a pas été découverte que très récemment, grâce à une impressionnante enquête numérique. La porte dérobée est activée par l'envoi d'un message texte chiffré. Harrison Sand et Erlend Leiknes, chercheurs de la société de sécurité norvégienne Mnemonic, ont déclaré qu'il existe des commandes permettant de signaler discrètement la position de la montre en temps réel, de prendre un cliché et de l'envoyer à un serveur Xplora, et de passer un appel téléphonique qui transmet tous les sons à portée de voix.

    Sand et Leiknes ont également découvert que 19 des applications préinstallées sur la montre sont développées par Qihoo 360, une entreprise de sécurité et fabricant d'applications situé en Chine. Une filiale de Qihoo 360, 360 Kids Guard, a également conçu le X4 conjointement avec Xplora et fabrique le matériel de la montre. « Je ne voudrais pas de ce genre de fonctionnalité dans un appareil produit par une entreprise comme celle-là », a déclaré Sand, en faisant référence à la porte dérobée et à Qihoo 360.

    En juin dernier, Qihoo 360 a été placé sur une liste de sanctions du ministère américain du commerce. Le motif : les liens avec le gouvernement chinois rendaient l'entreprise susceptible de s'engager dans « des activités contraires aux intérêts des États-Unis en matière de sécurité nationale ou de politique étrangère ».

    L'existence d'une porte dérobée non documentée dans une montre provenant d'un pays ayant des antécédents connus en matière de piratage et d'espionnage est préoccupante. En même temps, cette porte dérobée particulière a une applicabilité limitée. Pour utiliser les fonctions, il faudrait connaître à la fois le numéro de téléphone attribué à la montre (elle a un emplacement pour une carte SIM d'un opérateur de téléphonie mobile) et la clé de chiffrement unique câblée dans chaque appareil.

    Dans une communication, Xplora a déclaré qu'il serait difficile d'obtenir à la fois la clé et le numéro de téléphone pour une montre donnée. L'entreprise a également déclaré que même si la porte dérobée était activée, il serait également difficile d'obtenir les données collectées. Le porte-parole a déclaré que la société avait vendu environ 100 000 montres intelligentes X4 à ce jour. La société est en train de lancer la X5. Il n'est pas encore précisé si ce modèle contient des fonctionnalités similaires à celles de la porte dérobée.

    Nom : Screenshot_2020-10-14 Undocumented backdoor that covertly takes snapshots found in kids’ smartwa.png
Affichages : 4211
Taille : 624,6 Ko
    Un câble USB modifié fixé à l'arrière d'une montre X4


    Sand et Leiknes ont découvert la porte dérobée grâce à une impressionnante rétro-ingénierie. Ils ont commencé avec un câble USB modifié qu'ils ont soudé sur des broches exposées au dos de la montre. En utilisant une interface pour mettre à jour le micrologiciel de l'appareil, ils ont pu télécharger le micrologiciel existant sur la montre. Cela leur a permis d'inspecter l'intérieur de la montre, y compris les applications et les différents codes installés.

    Un package qui s'est démarqué s'intitule "Persistent Connection Service". Il démarre dès que l'appareil est allumé et se répète dans toutes les applications installées. Lorsqu'il interroge chaque application, il établit une liste d'intentions - ou de frameworks de messagerie - qu'il peut utiliser pour communiquer avec chaque application.

    Les soupçons des chercheurs ont été encore plus éveillés lorsqu'ils ont trouvé des interfaces portant les noms suivants :

    WIRETAP_INCOMING (écoutes téléphoniques entrantes)
    WIRETAP_BY_CALL_BACK (l'écoute téléphonique par rappel)
    COMMAND_LOG_UPLOAD (téléchargement du journal des commandes)
    REMOTE_SNAPSHOT (photo à distance)
    SEND_SMS_LOCATION (envoyer un SMS de localisation)

    Après avoir fouillé davantage, les chercheurs ont découvert que les dispositifs étaient activés par des messages SMS chiffrés avec la clé câblée. Les journaux du système lui ont montré que la clé était stockée sur une puce flash, il a donc vidé le contenu et l'a obtenu : #hml;Fy/sQ9z5MDI=$. La rétro-ingénierie a également permis au chercheur de déterminer la syntaxe nécessaire pour activer la fonction de la prise de photo à distance.

    « L'envoi du SMS a déclenché la prise d'une photo de la montre et celle-ci a été immédiatement téléchargée sur le serveur de Xplora. Il n'y avait aucune indication sur la montre qu'une photo avait été prise. L'écran est resté éteint tout le temps », a écrit Sand. Sand a également dit qu'il n'avait pas activé les fonctions d'écoute ou de signalement des lieux, mais avec un peu plus de temps, a-t-il dit, il est sûr qu'il aurait pu le faire.

    Comme le notent les chercheurs et Xplora, l'exploitation de cette porte dérobée serait très difficile, car il faut connaître à la fois la clé de chiffrement unique réglée en usine et le numéro de téléphone attribué à la montre. Pour cette raison, il n'y a aucune raison pour que les personnes qui possèdent un appareil vulnérable paniquent. Il n'est cependant pas impossible que la clé soit obtenue par une personne ayant des liens avec le fabricant. Et bien que les numéros de téléphone ne soient généralement pas publiés, ils ne sont pas vraiment privés non plus.

    Cette porte dérobée souligne les risques que pose le nombre croissant d'appareils courants fonctionnant avec des microprogrammes qui ne peuvent être inspectés de manière indépendante sans les mesures hardies employées par Mnemonic. Les failles de la montre montrent que les problèmes de sécurité ne touchent pas que les adultes. Les choix que font les parents quant à l'utilisation des technologies par leurs enfants peuvent également avoir des conséquences considérables.

    Sources : Mnemonic, US department of commerce

    Et vous ?

    Avez-vous déjà été intéressé par (ou avez-vous acheté) un tel produit ?
    Si oui, qu'est-ce qui vous oriente vers tel produit plutôt qu'un autre ?
    Que pensez-vous de la découverte des chercheurs de Mnemonic ? Êtes-vous surpris de voir autant d'appareils concernés par ces failles ?

    Voir aussi :

    L'Allemagne interdit la vente de montres connectées destinées aux enfants. Les considérant comme des dispositifs d'espionnage

    Jouets connectés : le FBI avertit les parents des dangers, pour la sécurité et la vie privée de leurs enfants

    600 000 traceurs GPS pour enfants et personnes âgées utilisent « 123456 » comme mot de passe, et ont des failles qui mettent la sécurité des personnes en danger

    Le FBI tire la sonnette d'alarme sur les risques de sécurité auxquels peuvent faire face les téléviseurs connectés. Et prodigue quelques conseils
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 274
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 274
    Points : 2 954
    Points
    2 954
    Par défaut
    et maintenant il veulent mettre l'appareil photo sous l’écran des téléphone de sorte qu'ont oublient complétement leur présence

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2017
    Messages
    1 072
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 1 072
    Points : 3 758
    Points
    3 758
    Par défaut
    Et comme d'habitude, cela inquiète, mais rien n'est fait pour faire cesser la pratique...

  4. #4
    Membre expérimenté
    Homme Profil pro
    Ingénieur en génie logiciel
    Inscrit en
    juin 2012
    Messages
    599
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Ingénieur en génie logiciel
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juin 2012
    Messages : 599
    Points : 1 530
    Points
    1 530
    Par défaut
    au final ils ont été capable de faire ce que les anglais font depuis un bon moment... accéder à ta caméra de portable, ordinateur, tv, prendre des photos sans qu'un témoins lumineux soit affiché..... merci Snowden..

  5. #5
    Membre actif
    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2019
    Messages
    59
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : septembre 2019
    Messages : 59
    Points : 213
    Points
    213
    Par défaut
    Citation Envoyé par marc.collin Voir le message
    au final ils ont été capable de faire ce que les anglais font depuis un bon moment... accéder à ta caméra de portable, ordinateur, tv, prendre des photos sans qu'un témoins lumineux soit affiché..... merci Snowden..
    les américains* ?

  6. #6
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 274
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 274
    Points : 2 954
    Points
    2 954
    Par défaut
    pas de les americains, tout le monde

  7. #7
    Membre averti
    Profil pro
    Inscrit en
    février 2007
    Messages
    191
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : février 2007
    Messages : 191
    Points : 428
    Points
    428
    Par défaut qu esperer d une dictature ?
    Vu la complexite du programme et de son action cachee, on peut deja etre sur que c est pas un oubli (genre un outil de debug qui est resté)
    Apres il faut pas oublier que la chine est une dictature qui espionne massivement sa propre population (je parle ici des han, pas des ouigours) alors il vont pas se gener pour espionner les habitants des autres pays

  8. #8
    Membre éclairé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    281
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 281
    Points : 659
    Points
    659
    Par défaut
    Citation Envoyé par Anselme45 Voir le message
    Et comme d'habitude, cela inquiète, mais rien n'est fait pour faire cesser la pratique...
    A part interdire la vente, il n'y a pas grand chose à faire. Et eXploser la tronche d'Xplora ?

  9. #9
    Membre éclairé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    281
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 281
    Points : 659
    Points
    659
    Par défaut
    Solution radicale : boycotter cette merde.

  10. #10
    Membre à l'essai
    Homme Profil pro
    comptabilité administration
    Inscrit en
    septembre 2014
    Messages
    11
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : comptabilité administration
    Secteur : Administration - Collectivité locale

    Informations forums :
    Inscription : septembre 2014
    Messages : 11
    Points : 12
    Points
    12
    Par défaut
    terrible

    Il y a un "jouet" qui a un grand succés chez les enfants : le "KidiCom Advance" de VTech société taïwanaise bien connu pour ses jouets électroniques premiers âges.
    Cet espèce de "téléphone portable" pour enfants nécessite une appli sur les martphones des parents et donc accéder au wifi, et par là-même envoyer et recevoir des messages dans sa sphère et aussi de prendre des photos et des selfies et de les transmettre...Bon il y a un contrôle parental mais aucune certitude qu'il n'y ait de porte dérobée...Aucune confiance ne peut être accordée aux chinois : un de leurs ingénieurs -qui a circulé en Europe et aux States - a admis avoir pratiqué un espionnage industriel, et ce constamment...

    le problème est donc la non-fiabilié des chinois quant à la sécurité, domaine largement ouvert par les américains...

Discussions similaires

  1. Réponses: 1
    Dernier message: 10/04/2019, 00h52
  2. Réponses: 5
    Dernier message: 28/05/2018, 02h46
  3. Réponses: 0
    Dernier message: 20/12/2017, 13h43
  4. Réponses: 5
    Dernier message: 22/12/2016, 21h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo