Cela faisait longtemps que nous n’avions plus parlé du Blackphone. Le téléphone de Geeksphone et Silent Circle, sorti discrètement en juin dernier, avait eu droit à une grande campagne de promotion sur Internet pour vanter son incroyable sécurité et la quasi-inviolabilité de ses données. Le Blackphone est en effet installé sous PrivatOS, une version modifiée d’Android KitKat qui permet à la fois de chiffrer les communications grâce à l’usage d’un VPN et d’avoir l’œil sur les permissions des applications. Bref, le Blackphone était vendu comme l’un des téléphone les plus sûrs au monde, ce qui n’a pas manqué d’aiguiser l’appétit des hackers.
Et parmi ces hackers se trouvent @TeamAndIRC, un développeur qui a réussi à rooter le Blackphone à l’occasion de la conférence américaine Black Hat. Le hacker en question aurait mis moins de 5 minutes pour trouver la faille dans le téléphone et aurait notamment utilisé Android Debug Bridge (ADB) pour y parvenir. Blackphone n’a d’ailleurs pas tardé à réagir et a publié un billet sur le site blogging Medium pour expliquer plus en détail la faille.
Ce qu’il faut retenir de cette histoire, c’est que Blackphone a déjà mis en ligne un premier correctif (via une mise à jour OTA) pour protéger son téléphone. La société précise que d’autres suivront rapidement. Mais @TeamAndIRC indique que cette faille aurait pu être trouvée rapidement si Blackphone avait lancé un test CTS (Compatibility Test Suite) afin de vérifier l’intégrité de ce téléphone réputé inviolable.
Maintenant que @TeamAndIRC a réussi à passer la sécurité du Blackphone, le hacker indique qu’il va désormais travailler à trouver des failles dans la sécurité des téléphones BlackBerry, un autre acteur bien connu pour communiquer outrageusement sur la sécurité de ses appareils.
Mise à jour : Comme nous l’ont fait remarquer de nombreux lecteurs, cette actualité comportait quelques imprécisions.
Le hackeur @TeamAndIRC, ou Justin Case de son véritable nom, a bel et bien réussi à rooter le téléphone. Comme il est précisé dans cette actualité, la faille a été trouvée en cinq minutes mais le root a demandé plus de temps. La deuxième chose à préciser, c’est que Justin Case a bel et bien réussi à rooter un BlackPhone, mais il a utilisé trois moyens particuliers pour y parvenir : accès au menu du debug USB (ADB), détournement d’une application particulière du téléphone et enfin accès root du téléphone.
Le problème, c’est que Justin Case a utilisé ces méthodes sur un BlackPhone qui n’était pas mis à jour et dont la plupart des failles qu’il a exploité étaient déjà corrigées par BlackPhone. Le hackeur est le premier à le reconnaître sur Twitter que si son root a bien fonctionné, il est en pratique pratiquement impossible à réitérer sur un BlackPhone mis à jour depuis le début du mois. En d’autres termes, le BlackPhone tel qu’on peut se le procurer aujourd’hui n’a toujours pas réussi à être rooté et reste pour le moment inviolé.
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
Tor est sécurisé. Le protocole HTTP sans passer par un réseau anonymisant te permet aussi d’accéder à des sites peu recommandables, si le navigateur web ou l'OS est une passoire ce n'est pas la faute de HTTP ou de Tor. Passer à Tor peut être utile, mais je suis parfaitement d'accord que ce n'est pas sur 100%, ce ne sera de toute façon probablement jamais le cas en informatique.
Je parle des problèmes de sécurité liés à une navigation dans les bas-fonds du Web. Naviguer dans le Deep Web serait tout sauf sûr. Je ne critique pas les vertus libertaires de Tor, où des opposants aux dictatures sanguinaires peuvent renverser ces dernières pour y installer des démocraties. Je dis qu'il ne faut pas oublier que Tor abrite aussi une quantité astronomique de sites peu recommandables (et le mot est faible), et qu'en ce sens il est tout sauf sécurisé. Je rappelle aussi qu'on y est pas à l'abri de la NSA malgré la couche d'anonymosation et que sa ne sert à rien de passer de Internet à Tor sous prétexte qu'ils nous espionnent et autres paranoïas dans ce genre.
Mon dieu, que j'aime les gens qui ne savent pas, mais qui t'expliquent quand même... Nan mais LOL, anéfé! Tout d'abord, ne confondez pas Linux, qui est un noyau, avec des distributions Linux (Android, Ubuntu, Debian, Archlinux, etc...). Si vous vous étiez renseigné, vous sauriez que les noyaux compatibles UNIX (comme Linux, ou Darwin d'Apple) sont bien plus sécurisés que Windows. Et cela pour plusieurs raisons: 1. Par défaut, un utilisateur n'est pas administrateur (root) 2. Tant qu'un fichier n'est pas explicitement déclaré comme exécutable (le fameux chmod +x monfichier), non ne peut rien en faire 3. Linux est Open-Source. Plusieurs personnes peuvent faire des audits de sécurité, et commiter des patchs si ils trouvent des failles. Patchs qui se retrouvent très rapidement inclus dans le repo, contrairement à Microsoft et sesPatch Tuesday. 4. Linux, c'est très rarement la jungle: très peu de personnes compilent leurs logiciels sous Linux ou les choppent via telecharger-logiciel-pirate-gratuit.su. Ils téléchargent souvent leurs logiciels via des dépôts maintenus par la communauté (aptitude, pacman, yum, Google Play Store), ce qui limite grandement les possibilités d'infections. Alors, non, Linux/Mac OS ne sont pas sécurisés à 100% de nos jours, mais oui, il n'y a aucune raison d'affirmer que Linux se fera pwner dès que le grand public l'adoptera en masse.
Tor permet de tenter d'anonymiser le trafic d'une manière décentralisée et coopérative (ce qui n'est pas le cas des VPN). Il permet aussi de contourner la censure. Ce n'est pas parce que la NSA surveille quelque chose que ça le rend totalement inefficace... De quels problèmes de sécurité parles tu ?
De quoi protège Tor ? Tor c'est le Deep Web, sa loi de la jungle et les gros problèmes de sécurité majeurs qui vont avec. Et puis la NSA le surveille, tout comme le "Web référencé".
Linux sécurisé ? Nan mais LOL ! Linux n'est pas plus sécurisé qu'un autre. Il est juste moins attaqué car moins de gens l'utilisent (avec les données potentielles qui vont avec). Le jour où Ubuntu explosera et atteindra des gros chiffres style "40% de PDM", cet argument du "Linux est plus sécurisé que le reste" sera enterré depuis belle lurette. C'est d'ailleurs le cas sur mobile avec Android, où il vaut mieux avoir un antivirus sur le téléphone.
De l'importance du facteur humain dans les failles de sécurité. Peut-être que les BlackPhones actuellement vendus sont OK, mais des anciens BlackPhones non mis à jour sont vulnérables, eux.
TITRE POURRI ET RACOLEUR À MORT !!!!! VOUS NE VÉRIFIEZ MÊME PAS LES INFOS QUE VOUS ÉCRIVEZ, ET PIRE, VOUS INVENTEZ !!!! BANDE DE MITOS, PAS UN POUR RATTRAPER L'AUTRE !!! EN TOUT CAS C'EST QUAND MÊME DE LA DAUB CE BLACKPHONE.......-------Envoyé depuis l'application Humanoid pour tablette
Personnellement j'aime le concept de ce téléphone... Cependant, NON, l'argument du soit disant "Anti-NSA" ne justifie pas de vendre à 630$ un téléphone qui a les specs d'un Wiko à 200€...
Dans la théorie, root ne permet que d'avoir des droits speciaux et tout de même limites. Dans la pratique, tout peut être fait - sous mobile du moins, sur les PC accès en écriture, etc... Mais un système pourrait très bien limiter les possibilites. Par contre en mode kernel en mode hote sur le processeur (pour notamment decoreler l'équivalent en mode virtuel), la tu pourrais avoir tout : dma, contrôle des processus etc... Ce mode est d'ailleurs l'ultime graal d'une bonne attaque
outrageusement pour BlackBerry c'est un peu fort, BB communique beaucoup sur la sécurité de leur chiffrement car c'est justement leur point fort. Et jusqu'à maintenant aucun constructeur alliant hardware et software ne font mieux, et les solutions BB sont impeccable. -------Envoyé depuis l'application Humanoid pour smartphone
C'est mieux....
Des précisions ont été ajoutées dans l'article :)
La news a été mise à jour avec des détails supplémentaires.
Enfin ça après... C'est comme tout, tu perds ton portemonnaie on peut te prendre ton argent dedans On te vole ton coffre fort avec les moyens il sera ouvert On te vole ton téléphone t'as plus ton téléphone... Ca ils y peuvent rien
Je suis d'accord, dès qu'on te vole physiquement ton téléphone ou qu'il est entre les mains d'une personne, on peut plus parler de sécurité.
Pas mal ton résumé. je le mets dans mes favoris de ce pas.
Et c'est de plus en plus fréquent...
article au rabais, info totalement fausse, aucune vérification des sources: http://www.nextinpact.com/news/89185-blackhat-non-blackphone-na-pas-ete-roote-en-5-minutes.htm http://www.lesnumeriques.com/telephone-portable/blackphone-p19651/mis-a-mal-blackphone-promesses-securite-tiennent-bon-n35516.html
Si tu veux du vraiment pro et tu n'es pas satisfait, paye toi un vrai magazine comme Android MT.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
c'est quoi cet article de merde qui verifie meme pas ses sources et donne une version totalement fause de la vérité ? http://www.lesnumeriques.com/telephone-portable/blackphone-p19651/mis-a-mal-blackphone-promesses-securite-tiennent-bon-n35516.html
100% libre à l'exception de certains drivers, comme : https://android.googlesource.com/device/lge/mako/+/77f8e6b51a8f26ea9288a9186179511a92c07df0/proprietary-blobs.txt
Faut il encore être root Si tu root tu dois être conscient de ça .-. Tant que tu le root pas t'es tranquille non?
https://prism-break.org/fr/categories/android/ Pour les emails (avec APG et K-9 Mail sur Android) : https://emailselfdefense.fsf.org/fr/ Tor pour Android : https://www.torproject.org/docs/android.html Ne pas se faire traquer par les publicités ; https://sufficientlysecure.org/index.php/adaway/ https://addons.mozilla.org/fr/firefox/addon/adblock-edge/ Si tu veux "juste" te passer de Google : http://spanti-nicola.legtux.org/fr/documents/tutorials/computing/os/android/without-google-as-a-user.html
Si tu es root, tu as accès à tous les fichiers/données de ton téléphone y compris les clés permettant de crypter/décrypter.
Je ne trouve pas d'édito, d'article ou autre concernant la protection de la vie privée sur des appareils Android. Je sais qu'Android et vie privée ne riment pas, mais il existe des trucs pour se faire pomper un minimum d'infos personnelles. Pourquoi la rédaction ne s'attaque elle pas à ce genre de billet?
« Android et sécurité font deux » Ah bon? Et à quel niveau? Parce que la grande force d'Android, ça reste quand même le duo gagnant noyau Linux + logiciels 100% open source.
Faut vraiment arrêter de vouloir nous faire tout avaler. <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Bah là non seulement ils sont dans l'erreur mais ils ne sont pas réactifs non plus, le pseudo root date d'hier vers 17h. Quand tu apprends plus de chose sur les commentaires des news que dans les news en elles-mêmes, il est temps de passer son chemin.
http://www.nextinpact.com/news/89185-blackhat-non-blackphone-na-pas-ete-roote-en-5-minutes.htm?utm_source=PCi_RSS_Feed&utm_medium=news&utm_campaign=pcinpact Voila !
Tu te rends compte facilement de la différence d'un blog pseudo journalistique et un vrai site d'info. Mieux vaut être réactif et risquer d'être dans l'erreur, ou prendre le temps et ne poster que des infos vérifiées ? Le choix de la rédac est à faire.
Merci encore FrAndroid pour ce grand travail de journalisme, d'investigation.. On peut vraiment avoir confiance en vos articles, très bonnes sources. [/Mode Ironie Off]
En même temps, Android et sécurité font deux. Donc c'est pas surprenant. Et puis à moins d'avoir un chiffrement des données comme les militaires, tout est crackable "aisément".
Faux, le téléphone n'est pas rooté. Juste une faille découverte. http://www.nextinpact.com/news/89185-blackhat-non-blackphone-na-pas-ete-roote-en-5-minutes.htm désinformation bonjour :)
Je suis pas sur de voir le lien entre la possiblité de root et la securité au niveau du cryptage des données... On peut m'expliquer? :/
euh...il me semble que cette actualité a déjà été labellisé comme étant fausse... Il a trouvé une faille en 5 min uniquement parce qu'il utilisait un téléphone sorti d'usine sans les mis à jour et sans le chiffrement activé. C'est comme si on se vantait d'avoir trouver une faille dans windows XP v1.00 en 2014..
"BlackBerry, un autre acteur bien connu pour communiquer outrageusement sur la sécurité de ses appareils." Est-ce qu'on peut qualifier d'outrageux quelque-chose qui, jusqu'à maintenant du moins, est mérité ?
Faux : http://www.nextinpact.com/news/89185-blackhat-non-blackphone-na-pas-ete-roote-en-5-minutes.htm
C'est de la connerie ce téléphone "Anti-NSA".
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix