Discussion :

[Gordon Fowler]

L'iPad ne serait pas assez sécurisé
D'après un hacker qui pense que la tablette peut devenir une machine à spams, voire pire


Le groupe de hackers Goatse Security vient d'accuser Apple de ne pas assez prendre au sérieux la sécurité de l'iPad.

En mars dernier, le groupe avait découvert une faille dans Safari, le navigateur d'Apple, qui est également présent en natif dans la nouvelle tablette de la marque à la pomme.

La faille en question a été colmatée dans la version desktop de l'application, mais pas dans celle de l'iPad. Résultat, le terminal serait une proie idéale pour des attaques à grande échelle de cyber-criminels (et ce d'autant plus qu'il bat des records de ventes, lire ci-avant).

Un des membres de Goatse Security, Escher Auernheimer, s'exprime aujourd'hui en des termes très durs contre Apple.

« Nous avons fait ceci [NDR : l'exploit] en mars, vous vous rendez compte, et Apple n'a toujours pas bougé pour sortir un patch pour l'iPad ». Et d'en conclure, assez radical, que « l'iPad n'est tout simplement pas une plateforme sûre pour ceux qui ont besoin d'un environnement sécurisé ».

Auernheimer va jusqu'à émettre l'hypothèse qu'un grand nombre d'iPads seraient déjà victime d'exploits.

Si Apple continue à ne rien faire, l'iPad deviendra - d'après lui - une machine à spams, voire pire, un outil pour les dénis de service (attaques qui consistent à saturer un site de demandes pour faire tomber le serveur qui l'héberge) ou pour des attaques de force brute.

Ce groupe de hacker n'est pas inconnu. Ses membres ont réussi la semaine dernière à s'approprier les noms et des informations sur de milliers d'utilisateurs d'iPad grâce à une faille dans les systèmes d'AT&T, l'opérateur qui collabore avec Apple pour la commercialisation de la tablette aux Etats-Unis.

« Quand nous avons rendu publiques [ces informations], nous l'avons fait comme un service à la Nation », écrit Auernheimer. Plusieurs hauts dirigeants, PDG, politiques, militaires et autres membres influents possèdent déjà un iPad. « Nous aimons l'Amérique et l'idée que les Russes ou les Chinois puissent corrompre les infrastructures américaines est un cauchemar ».

Une version de l'affaire qui n'est, on s'en doute, pas celle d'AT&T pour qui ces hackers sont des pirates irresponsables.

Mais derrière cette polémique, reste la question de base : l'iPad est-il un appareil sûr ou va-t-il devenir, comme le prédit Auernheimer, une machine à spams et un outil privilégié par les cyber-criminels souhaitant réaliser des dénis de service et des attaques de force brute ?


Source : Le billet de Auernheimer

[umeboshi]

« Quand nous avons rendu publiques [ces informations], nous l'avons fait comme un service à la Nation », écrit Auernheimer. Plusieurs hauts dirigeants, PDG, politiques, militaires et autres membres influents possèdent déjà un iPad. « Nous aimons l'Amérique et l'idée que les Russes ou les Chinois puissent corrompre les infrastructures américaines et un cauchemar ».

Heureusement que les Américains sont là pour sauver le monde

C'est pas très joli tout ça, résoudre une faille sur safari desktop et pas celui de l'ipad (et l'iphone?) c'est très con.

[Lutarez]

C'était couru d'avance ! La raison principale pour lesquelles les systèmes UNIX et d'Apple sont beaucoup moins touchés par les attaques repose sur le taux d'adoption de ces systèmes. Alors que Apple devient un concurrent de plus en plus sérieux face aux solutions de Microsoft, et que les parts de marché commencent à évoluer dans ce sens-là, il est normal que les hackers commencent à s'intéresser à ces systèmes qui n'étaient pas rentables pour eux jusqu'à présent.

Reste à savoir si la sécurité restera un argument de "vente" pour les systèmes concurrents de Microsoft...

[Marcos Ickx]

Safari Mobile n'étant pas une application qu'on met à jour via l'AppStore, il faut obligatoirement attendre une mise à jour de iOs pour que la faille de Safari Mobile soit comblée. Et j'ai bien peur qu'il faudra attendre la sortie de l'iOS 4 pour que cette faille soit comblée.

Dommage.

[ironzorg]

« Quand nous avons rendu publiques [ces informations], nous l'avons fait comme un service à la Nation », écrit Auernheimer. Plusieurs hauts dirigeants, PDG, politiques, militaires et autres membres influents possèdent déjà un iPad. « Nous aimons l'Amérique et l'idée que les Russes ou les Chinois puissent corrompre les infrastructures américaines est un cauchemar ».

C'est assez incroyable de constater l'arrogance et l'hypocrisie dont ils font preuve: balancer sur le web des informations confidentielles n'est qu'un moyen de se vanter, en aucun un service. La seule qu'ils auraient du faire après l'exploitation c'est de contacter AT&T ainsi qu'Apple.

[argonath]

Malheureusement l'"histoire" de la sécurité informatique montre bien que contacter les responsables directement marche rarement pour signaler une faille, la rendre publique est le seul moyen de garantir une réaction rapide. De plus, prétendre qu'il est "irresponsable" de divulguer les exploits s'est dénier aux utilisateurs finaux le droit de connaitre la sécurité de leur matériel

[xelab]

C'était couru d'avance ! La raison principale pour lesquelles les systèmes UNIX et d'Apple sont beaucoup moins touchés par les attaques repose sur le taux d'adoption de ces systèmes. Alors que Apple devient un concurrent de plus en plus sérieux face aux solutions de Microsoft, et que les parts de marché commencent a évolué dans ce sens-là, il est normal que les hackers commencent à s'intéresser à ces systèmes qui n'étaient pas rentables pour eux jusqu'à présent.

Reste à savoir si la sécurité restera un argument de "vente" pour les systèmes concurrents de Microsoft...

On ressort toujours cet argument, pourtant énormément de serveurs sont sur Unix ou Linux...

[Perplexe]

Le jeu consiste à trouver le plus gros buz du moment et de se greffer dessus avec des titres bien tapageurs pour bénéficier des mots clé associés, s'assurant ainsi la première place dans les résultats des moteurs de recherche.

C'est ce qu'a fait cette boîte "Goatse" qui est maintenant dotée d'une personalité numérique probablement très supérieure à sa stature réelle.

La faille AT&T est décrite comme suit :

Goatse Security obtained its data through a script on AT&T's website, accessible to anyone on the internet. When provided with an ICC-ID as part of an HTTP request, the script would return the associated email address, in what was apparently intended to be an AJAX-style response within a Web application. The security researchers were able to guess a large swath of ICC IDs by looking at known iPad 3G ICC IDs, some of which are shown in pictures posted by gadget enthusiasts to Flickr and other internet sites, and which can also be obtained through friendly associates who own iPads and are willing to share their information, available within the iPad "Settings" application.

To make AT&T's servers respond, the security group merely had to send an iPad-style "User agent" header in their Web request. Such headers identify users' browser types to websites.

The group wrote a PHP script to automate the harvesting of data. Since a member of the group tells us the script was shared with third-parties prior to AT&T closing the security hole, it's not known exactly whose hands the exploit fell into and what those people did with the names they obtained. A member tells us it's likely many accounts beyond the 114,000 have been compromised.

Bref, un web developer a commis une imprudence en retournant automatiquement une adresse email client lorsqu'il recevait un identifiant de carte SIM + header ipad.

Le truc, c'est que les headers envoyés par les mobiles peuvent être très complets. Ça c'est un iphone (le mien) :

HTTP headers supplied by your browser (80.125.176.121):
Host: pgl.yoyo.org
User-Agent: Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0_1 like Mac OS X; fr-fr) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A400 Safari/528.16
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: fr-fr
Accept-Encoding: gzip, deflate
X-Vfprovider: SFR
X-Vfstatus: 10
X-Nokia-Bearer: UMTS
Servicecontrolinfo: 18+=-
X-Nokia-Gid: 256071628134689
X-Nokia-Connection-Mode: TCP
X-Nokia-Gateway-Id: NWG/4.1/Build79
X-Nokia-Ipaddress: 10.115.249.94
Via: 1.1 proxy.cwg.net (proxy)
X-Forwarded-For: 10.115.249.94, 10.115.249.94
Cache-Control: max-age=259200
If-Modified-Since: Tue, 15 Jun 2010 18:34:02 GMT
Connection: Keep-Alive
Pragma: no-cache
X-Bluecoat-Via: 4E602D01B7A6BF50

et si je le mets là, c'est qu'après vérification, il ne contient pas grand chose d'absolument individuel (si ce n'est que je suis chez SFR).

Maintenant on trouve des headers beaucoup plus gênants :

Location:
HTTP_X_CELL_TOWER_CURRENT_ID="0"
HTTP_X_CELL_TOWER_CURRENT_SIGNAL_STRENGTH="-256"
HTTP_X_CELL_TOWER_CURRENT_TIME="5/15/2009 6:13:4 GMT/Zulu"
HTTP_X_CELL_TOWER_PREVIOUS_ID="13338"
HTTP_X_CELL_TOWER_PREVIOUS_TIME="5/14/2009 13:58:17 GMT/Zulu"
HTTP_X_CELL_TOWER_SIGNAL_PREVIOUS_STRENGTH="-70"
HTTP_X_GPS_CURRENT_ALTITUDE="-1962.0 m"
HTTP_X_GPS_CURRENT_DIRECTION="335.5829"
HTTP_X_GPS_CURRENT_LATITUDE="39.474105"
HTTP_X_GPS_CURRENT_LONGITUDE="-104.912521"
HTTP_X_GPS_CURRENT_SPEED="20.93 m/s"
HTTP_X_GPS_CURRENT_TIME="5/14/2009 11:44:16 GMT/Zulu"
HTTP_X_GPS_PREVIOUS_ALTITUDE="-1962.0 m"
HTTP_X_GPS_PREVIOUS_DIRECTION="357.64343"
HTTP_X_GPS_PREVIOUS_LATITUDE="39.474105"
HTTP_X_GPS_PREVIOUS_LONGITUDE="-104.912521"
HTTP_X_GPS_PREVIOUS_SPEED="26.93 m/s"
HTTP_X_GPS_PREVIOUS_TIME="5/14/2009 11:43:58 GMT/Zulu"

Owner Information:
HTTP_X_EMAIL_ADDRESS="john.doe@5o9inc.com"
HTTP_X_NAME="John Doe"
HTTP_X_ZIPCODE="96849"

Custom Data Fields:
HTTP_X_ME_CUSTOM_ITEM_1="1"
HTTP_X_ME_CUSTOM_ITEM_2="2"
HTTP_X_ME_CUSTOM_ITEM_3="3"
HTTP_X_ME_CUSTOM_ITEM_4="4"

Device:
HTTP_X_BROWSER_HEIGHT="480"
HTTP_X_BROWSER_VERSION="4.6.0.167"
HTTP_X_BROWSER_WIDTH="320"
HTTP_X_CARRIER="SRVC=0 TYPE=7"
HTTP_X_DEVICE_OS="4.6.0.167 (Platform 4.0.0.157)"
HTTP_X_DEVICE_TYPE="BlackBerry 9000"
HTTP_X_SCREEN_COLORS="65536"
HTTP_X_SCREEN_HEIGHT="480"
HTTP_X_SCREEN_RESOLUTION="Horz=8547PPM Vert=8547 PPM"
HTTP_X_SCREEN_WIDTH="320"

Windows Mobile Specific Fields:
HTTP_X_ME_ALLOW_ALL_DOMAINS="No"
HTTP_X_ME_CONVERT_NMEA="Yes"
HTTP_X_ME_DSR_SENSITIVITY="Yes"
HTTP_X_ME_JSAPI_ALLOW="Yes"
HTTP_X_ME_JSAPI_VERSION="JSAPI/1.2.3

Enfin, le ICCID n'est pas à proprement parler une information confidentielle (il est notamment imprimé sur le carton du téléphone -dans le cas de package sim+mobile- ou de la carte sim, donc visible dans les magasins) et si le système informatique de l'opérateur est bien conçu, il ne mène pas aux données personnelles de l'utilisateur.

En bref:
L'ipad "machine à spam" ? => faille du site web AT&T : rien à voir avec l'ipad lui même;
"l'iPad n'est tout simplement pas une plateforme sûre" ? => on parle de Safari et non de l'ipad et il ne semble même pas qu'il y ait une faille. Il existe d'ailleurs une alternative avec Opera.

Se faire un nom sur internet n'est pas très difficile. Même en racontant des carabistouilles.

Sources :
Browser-headers
Mobiforge.com
Chris Padget Blog
Exposé très intéressant sur la sécurité GSM
Un appareil très utile pour capter le IMSI des mobiles à portée

[tenebriox]

J'aime bien une métaphore de charlie miller qui résume plutôt bien le phénomène : “Mac OS X est comme une ferme à la campagne dépourvue de verrous, tandis que Windows est une maison avec des barreaux aux fenêtres dans le coin mal famé de la ville’”

[pascalfares]

Bonjour,

En cours ou en réunions le produit pourrait être attractif! vous ne croyez pas?

[atb]

Bonjour,

En cours ou en réunions le produit pourrait être attractif! vous ne croyez pas?

D’où il sort celui là ?

Combien on te paie pour dire cela ? J’aimerais moi aussi arrondir mes fins de mois

[Perplexe]

J'aime bien une métaphore de charlie miller qui résume plutôt bien le phénomène : “Mac OS X est comme une ferme à la campagne dépourvue de verrous, tandis que Windows est une maison avec des barreaux aux fenêtres dans le coin mal famé de la ville’”

Sauf que ce n'est pas tout à fait exact.

Windows n'a vraiment découvert les vertus du superuser pour ce qui concerne ses os grand-public qu'assez récemment, au contraire de tous les unix-like qui intègrent cette notion depuis des décennies, et Os X depuis sa sortie.

Et comme ce principe n'a été intégré qu'à posteriori, il ne semble jamais l'avoir été de manière vraiment efficace, comme en témoigne cet article.

Que Windows évolue dans un quartier mal famé, c'est clair, mais les unix-like ne sont pas non plus à la campagne puisqu'ils font tourner une grande majorité des serveurs web. Ils sont par contre moins au contact direct de l'utilisateur, c'est vrai.

[Perplexe]

D’où il sort celui là ?

Combien on te paie pour dire cela ? J’aimerais moi aussi arrondir mes fins de mois

Je suis persuadé que ça viendra plus vite que tu ne veux le croire. Et on te demandera comment diffuser en temps réel sur chaque ipad le rapport annuel tel qu'il est présenté au video projecteur, ce que te tâcheras de faire au mieux pour faire plaisir à ton patron et garder ta place.

[atb]

Je suis persuadé que ça viendra plus vite que tu ne veux le croire. Et on te demandera comment diffuser en temps réel sur chaque ipad le rapport annuel tel qu'il est présenté au video projecteur, ce que te tâcheras de faire au mieux pour faire plaisir à ton patron et garder ta place.

Ah mais je n’en doute pas ! Tant que je gagne honnêtement ma vie.

Par contre, Perplexe, les articles sur la sécurité des GSM sont vraiment intéressants. Puis-je en avoir quelqu’un en français, stp ?

En ce qui concerne la sécurité de l’ipad, je dirais que tous les systèmes informatiques sont vulnérables aux attaques. L’ipad, windows, unix, oracle ou autre n’échappent pas à la règle. C’est ce qui fait progresser l’informatique d’ailleurs.

A mon avis, la question à se poser : C’est en cas de découverte de faille, Apple est-il assez réactif pour corriger cela ? Va-t-il nous sortir un patch, ou une manip à faire ? Ou juste désactiver les fonctionnalités en attendant les prochaines versions ?

[Perplexe]

Ah mais je n’en doute pas ! Tant que je gagne honnêtement ma vie.

Par contre, Perplexe, les articles sur la sécurité des GSM sont vraiment intéressants. Puis-je en avoir quelqu’un en français, stp ?

Désolé, c'est tout ce que j'ai trouvé.

En ce qui concerne la sécurité de l’ipad, je dirais que tous les systèmes informatiques sont vulnérables aux attaques. L’ipad, windows, unix, oracle ou autre n’échappent pas à la règle. C’est ce qui fait progresser l’informatique d’ailleurs.

Bien d'accord. Ce qui me gêne c'est l'amalgame opportuniste pratiqué par beaucoup de gens/sociétés dont l'objectif unique est de profiter d'un buz en cours.

A mon avis, la question à se poser : C’est en cas de découverte de faille, Apple est-il assez réactif pour corriger cela ? Va-t-il nous sortir un patch, ou une manip à faire ? Ou juste désactiver les fonctionnalités en attendant les prochaines versions ?

Mon Mac m'emmerde depuis 1 heure pour que j'accepte une mise à jour de sécurité.

Ils en ont sorti 12 depuis le début de l'année, soient 2 par mois. La liste est visible ici.

La mise à jour automatique marche très bien sous Mac os X, depuis le début (2001). La seule chose que je regrette énormément, c'est que les mises à jour nécessitant un reboot étaient très rares avant 2006, alors qu'aujourd'hui elles sont majoritaires.

[Marcos Ickx]

Le jeu consiste à trouver le plus gros buz du moment et de se greffer dessus avec des titres bien tapageurs pour bénéficier des mots clé associés, s'assurant ainsi la première place dans les résultats des moteurs de recherche.

C'est ce qu'a fait cette boîte "Goatse" qui est maintenant dotée d'une personalité numérique probablement très supérieure à sa stature réelle.

Ce dont tu fais référence ici, c'est le trou coté site web d'AT&T

Ce groupe de hacker n'est pas inconnu. Ses membres ont réussi la semaine dernière à s'approprier les noms et des informations sur de milliers d'utilisateurs d'iPad grâce à une faille dans les systèmes d'AT&T, l'opérateur qui collabore avec Apple pour la commercialisation de la tablette aux Etats-Unis.

Mais, cette boite avait également signalé avant la sortie de l'iPad un énorme trou de sécurité dans le navigateur web Safari. Et Apple n'a bouché ce trou de sécurité que sur Mac OS X et pas encore sur iPad, iPod Touch et iPhone.

Et c'est là le gros problème, d'où le titre de la news disant que l'iPad (tout comme l'iPhone et l'iPod Touch) n'est pas sécurisé à cause de cette faille dans Safari Mobile.

[Perplexe]

D'accord, je comprends beaucoup mieux.

La plupart des articles que j'ai trouvés imputent la fuite AT&T à une faille de l'iPad, et je n'arrive pas à trouver grand chose sur la faille Safari.

Il semble que ce soit celle mise à jour lors d'un concours de hack en mars dernier. Elle est effectivement assez inquiétante.

Sinon la dernière mise à jour de sécurité concerne bien Safari (4 et 5) et cette histoire d'utilisation de ports en dehors de la plage normale, si j'ai bien compris.

Est-ce cette faille qui est corrigée sur Mac Os X mais pas sur Safari mobile ?

[Marcos Ickx]

Est-ce cette faille qui est corrigée sur Mac Os X mais pas sur Safari mobile ?

Si j'ai bien compris, oui. Mais suis pas sûr à 100%

[Marcos Ickx]

D'accord, je comprends beaucoup mieux.

La plupart des articles que j'ai trouvés imputent la fuite AT&T à une faille de l'iPad,

Oui, je sais. Leur titre étaient tourné de façon très maladroite (ou express), faisant croire que la faille du site d'AT&T était en fait une faille coté iPad, ce qui n'était pas le cas. C'est juste qu'ils ont pu acquérir les adresses emails de ceux qui s'étaient pré-inscrits sur le site d'AT&T pour avoir l'iPad.
C'est limite scandaleux. Mais c'était pas le cas de la news écrite par Gordon. Il a bien fait la distinction entre les 2 problèmes.

[Perplexe]

L'iPad ne serait pas assez sécurisé
[B][SIZE="1"]« Quand nous avons rendu public [ces informations], nous l'avons fait comme un service à la Nation », écrit Auernheimer. Plusieurs hauts dirigeants, PDG, politiques, militaires et autres membres influents possèdent déjà un iPad. « Nous aimons l'Amérique et l'idée que les Russes ou les Chinois puissent corrompre les infrastructures américaines est un cauchemar »

Je crois qu'on peut aussi exercer un peu de sens critique sur les affirmations de ce type qui part dans une tirade nationaliste douteuse pour justifier sa position, et qu'Engadget décrit comme un antisémite camé.

Maintenant, à Apple de corriger cette faille au plus vite avant qu'elle ne soit exploitée en masse. Et utilisons Opéra en attendant.