Les applications mobiles vulnérables aux faux certificats Netcraft a identifié plusieurs dizaines de faux certificats en activité dans le monde usurpant l’identité de géants du web tels Facebook ou Google, mais aussi des banque en ligne et des services web populaires (le serveur de courrier de l’hébergeur GoDaddy aux Etats-Unis, la plateforme iTunes d’Apple…) L’on pourrait penser que cela n’est pas bien grave, car ces certificats n’étant pas signés par une autorité de confiance ils ne seront pas reconnus par les navigateurs. Oui mais voilà : ces sites (notamment Facebook, mais aussi les sites bancaires) sont de plus en souvent accédés depuis une application mobile et non par le biais d’un navigateur traditionnel. Et selon plusieurs études les applications mobiles ne testent pas toujours correctement la validité des certificats présentés par les serveurs. Ainsi selon des tests menés par la société IO Active, 40% des applications bancaires pour iOS ne valident pas correctement les certificats présentés par le serveur.
Faille WebView dans Android 4.3 : Google ne corrigera pas On le sait, la fragmentation d'Android qui a pour conséquence la multiplication des versions en circulation, amplifie les problèmes de sécurité de l'OS. Ainsi, d'anciennes versions du robot vert sont vulnérables à des failles qui ne sont pas corrigées comme Pileup, découverte en mars dernier. Dernier épisode en date, la découverte du cabinet en sécurité Rapid7 qui a repéré une faille critique dans Android 4.3 (plus les versions précédentes) localisée précisément dans le module WebView, utilisé pour afficher les pages Web. Sans donner de détails publics, les experts ont contacté Google qui a promptement réagi. Le géant américain ajoute que la meilleure façon d'être protégé est de mettre à jour son terminal. Le problème semble d'autant plus prégnant qu'Android 4.3, 4.2 et 4.1 représente encore 46% des terminaux en circulation (derniers chiffres diffusés par le moteur).
Faille SSL d'OS X : une erreur grossière pour une théorie du complot Malware sur Android ? N'ayez pas peur Après s'être consacré au renforcement de la sécurité d'Android ces dernières années, Google voit enfin des résultats tangibles. Selon les nouvelles statistiques publiées par l'éditeur, les terminaux dotés des nouvelles versions d'Android ont été infectés dans une proportion beaucoup moins grande que les terminaux tournant sur d'anciennes versions du système d'exploitation. Au moins un malware sur Nougat ? 0,25% de chance Par exemple, le pourcentage d'appareils Android contenant au moins une application potentiellement dangereuse (PHA, le terme utilisé par Google pour les logiciels malveillants Android) est supérieur à 0,5% sur les terminaux sous KitKat (4.x), Lollipop (5). .x) et Marshmallow (6.x). Cette proportion est bien moindre pour les versions plus récentes de l'OS. Google indique que 0,25% de tous les terminaux Android Nougat (7.x) contiennent au moins une PHA, tandis que le pourcentage pour Oreo (8.x) et à Pie (9.x) est encore plus réduit, avec respectivement 0,14% et 0,06%. .
Après la faille Heartbleed, naissance d'un fork d'OpenSSL : LibreSSL Suite au fiasco consécutif à la faille Heartbleed, un contre-projet est en tain de naître. Objectif : créer une déclinaison plus sûre de la libraire. Un fork d'OpenSSL est en train de naître. Il est lancé par des membres du projet OpenBSD suite à la faille survenue dans l'extension serveur Heartbleed (extension permettant de gérer le protocole de chiffrement). Baptisé LibreSSL, le fork d'OpenSSL est motivé par une critique principale : le nombre de contributeurs au projet OpenSSL ne serait pas suffisant pour analyser sérieusement le code, et en déloger les failles. Objectif de LibreSSL à court terme : proposer un fork d'OpenSSL au code complément revu et nettoyé des vulnérabilités qu'il pourrait encore contenir. A lire aussi : Akamai : son correctif pour la faille Heartbleed ne fonctionnait pas Un demi-million de sites web touchés par la faille Heartbleed Faille Heartbleed : quels sont les géants IT touchés Heartbleed : Cisco et Juniper touchés de plein fouet
La NSA recycle Android Android est le système d’exploitation mobile le plus vendu au monde. Mais aussi celui qui comporte le plus de failles de sécurité. Heureusement, l’Agence nationale de sécurité (NSA) américaine vient d’en publier une version améliorée. Et open source. Une louable attention qui soulève des soupçons. Son nom : SE Android, pour Security Enhanced (Sécurité Renforcée) Android. Pour faire simple, SE Android limite les dommages que pourrait entraîner une application malveillante sur les données du téléphone. Chaque jour, il se vend pas moins de 700 000 téléphones fonctionnant sous Android dans le monde. Open source, le code de SE Android l’est aussi. Entrée par la porte de derrière Car la NSA ne se contente pas de sécuriser les télécommunications du gouvernement américain, elle exerce également une mission de renseignement électromagnétique. Nous recueillons l’information que les adversaires des Etats-Unis souhaitent garder secrète. Sous-traitance bon marché
Heartbleed, la faille SSL qui fait mal Fort justement baptisée Heartbleed, la dernière vulnérabilité découverte au sein de la librairie Linux OpenSSL a de quoi, effectivement, faire saigner le coeur des administrateurs systèmes. Certains n’hésitent d’ailleurs pas à la comparer à la grande faille des clés OpenSSL sous Debian de 2008, en pire… La faille CVE-2014-0160 permet à un attaquant de récupérer jusqu’à 64k de la mémoire du serveur vulnérable. Et dans ces 64k, l’on peut y trouver en vrac la clé privée du serveur (le saint des saints qui protège les échanges chiffrés par SSL), ainsi que des morceaux d’informations entrains d’être échangés avec des clients et que l’on pense évidemment être à l’abris des regards indiscrets (des mots de passe, le contenu de conversations en cours, etc…). Les informations contenues dans les 64k renvoyés par le serveur sont aléatoires : il est impossible de « demander » spécifiquement à obtenir la clé privée du certificat serveur, par exemple.
Les pirates de Dark Caracal espionnent des smartphones Android dans le monde entier En poursuivant votre navigation sur ce site, vous acceptez nos CGU et l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts. Pour en savoir plus et paramétrer les cookies... Accueil GilbertKALLENBORN Journaliste Inscrivez-vous gratuitement à laNewsletter Actualités Des chercheurs en sécurité ont découvert une campagne d’espionnage probablement étatique qui a démarré au moins depuis 2012 et qui est opérée depuis le Liban. Des centaines de gigaoctets de données volées auprès de milliers de personnes dans plus de vingt pays, et cela en ciblant principalement des smartphones Android. Les victimes sont des personnes d’importance : des militaires, des activistes, des journalistes, des juristes, des membres de gouvernements, des entrepreneurs, etc. Gilbert KALLENBORN à suivre sur Tweeter Partager Ailleurs sur le web
Apple a-t-il ouvert une backdoor à Big Brother sur tous les terminaux iOS ?