Stagefright 2.0 : la faille de sécurité de retour, avec davantage d’appareils vulnérables

Google n'est pas mon ami. * https://fr.wikipedia.org/wiki/Critiques_de_Google#La_protection_de_la_vie_priv.C3.A9e * http://www.cnil.fr/linstitution/actualite/article/article/la-formation-restreinte-de-la-cnil-prononce-une-sanction-pecuniaire-de-150000-EUR-a-lencontre/ * http://www.lefigaro.fr/societes/2014/02/04/20005-20140204ARTFIG00426-google-redresse-d-un-milliard-d-euros-par-le-fisc.php * http://terminatorstudies.org/tag/google/ "Basic technical safeguards such as encryption — once considered esoteric and unnecessary — are now enabled by default in the products of pioneering companies like Apple, ensuring that even if your phone is stolen, your private life remains private." (seul occurrence d'"Apple") http://www.nytimes.com/2015/06/05/opinion/edward-snowden-the-world-says-no-to-surveillance.html Plusieurs occurrences d'"Apple" dans le second article. https://theintercept.com/2015/07/31/exclusive-edward-snowden-says-obama-administrations-war-encryption-just-doesnt-make-sense/ Mais dans aucun, je n'ai lu que "Snowden lui-même a dit que iOS est la plateforme la plus sûre".

C'est pas faux sauf que tu n'arrivera pas à le convaincre ou réfléchir(tu prendrais un caca avec un pomme dessus il achèterais pour vu que ça coûte au minimum 1k€)... j'ai déjà essayé et j'ai arrêté, trop de perte de temps je ne suis pas assistante sociale, il est clairement buté mais bon si tu aime prendre le temps bon courage à toi :)

Google est ton ami. Un éditorial du New York Times : Edward Snowden: The World Says No to Surveillance Un article dans The Intercept : exclusive-edward-snowden-says-obama-administrations-war-encryption-just-doesnt-make-sense/

Sans source, comment pourrais je te croire à propos de l'avis d'un tiers ?

Coucou, En gros qu'est-ce que je peux faire si jamais mon mobile samsung est infecté pour de bon? Un "retour usine" suffit ou cette faille permet-elle le root automatique par le méchant? ==>Donc retour au sérieux 3310? Cdt.

tout va bien je suis sur nexus :)

Et ton téléphone bête ne donnera pas tes contacts emails, ni ton calendrier, ni ton numéro de carte bleue à un hacker.

Il a changé d'avis depuis clairement.

Si ça sert. Je peux apprendre des faits, le convaincre sur certains points ou le faire réfléchir, apprendre comment mieux convaincre, et ceux qui connaissent moins les sujets ont plus d’éléments pour se faire leurs propres avis.

Les ordinateurs de proche perdent beaucoup d'intérêt quand ils ne sont pas connectés, donc de fait ils sont beaucoup connectés. Il n'y a pas de raison que ce ne soit pas opt-in, ce qui serait aussi bien pour la sécurité et ne ferait pas perdre de fonctionnalité, à condition que l'on croit le logiciel surtout s'il est privateur (on pourrait très bien faire un logiciel similaire sous licence libre ce qui serait beaucoup plus rassurant). "C'est juste un brevet qui parle de plein de choses dont cela. Et ce n'est pas mis en place." Qu'est ce que tu en sais que ce n'est pas mis en place ? Ce n'est pas parce que ça n'a à priori jamais été utilisé que ce n'est pas déjà programmé et dans au moins une version stable distribué au public. Une source pour "Snowden lui-même a dit que iOS est la plateforme la plus sûre" ? Moi, je me souviens de "iPhone Users Are 'Zombies' And Steve Jobs Was 'Big Brother'". http://www.huffingtonpost.com/2013/09/09/nsa-steve-jobs_n_3895375.html Je me souviens aussi que Snowden a dit utilisé Tails, une distribution GNU/Linux entièrement libre basée sur Debian. http://www.industrie-techno.com/nsa-pourquoi-snowden-a-choisi-le-systeme-d-exploitation-securise-tails.29505

Autant revenir sur un nokia 3310 sérieux, avec toutes ces failles. Y aura peut être toujours les failles pour choper le credit mais pas pour choper le contenu de notre compte en banque<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

Je crois que ça doit être toi qui a rien compris car ton smartphone de merde la dangerosité d'une faille n'a rien a voir avec un tel 2G

Hors sujet total. Ce n'est pas moi qui ait parlé d'Apple. Je ne fais que remettre les choses en place. Tu m'as l'air énervé. Pas encore reçu le correctif pour stagefright?

ta pas honte, c'est l’hôpital qui se fout de la charité tes uniquement sur se site pour casser les couilles à nous parler de tes ICrap... C'est toi qui viens chercher les gens et quand tu te rends compte qu'en fait tout le monde s'en contre fout et surtout te met dans les cordes pour chacun de tes arguments trop(beaucoup trop) usité tu commence à miauler de cette manière! On s'en fout des ICrap paye ton téléphone 900€ et lâche les gens, retourne sur macbidouille faire l'évangélisation de tes device!!! La discussion sur les mac on l'a eu tu n'avais tellement plus d'argument que tu étais obligé de mettre des photo du cern pour la jouer je suis un chercheur... ici ya déjà plusieurs vraie informaticiens qui ton donné leurs avis tu pourrais juste les lire et en prendre de la graine Mr je_sais_tout.

ça ne sert à rien de discuter avec Atlas, il est juste ici pour dire apple c'est mieux même si tu lui sort des arguments imparable il te dira en fin de compte qu'il s'en fout parce qu'un iphone 5 est "fluide"(très subjectif d'ailleurs de sa part) qu'un nexus 4 voila ses seuls répartis...

Ceres mais disons qu'avec le temps, les hackers s'intéressent moins à ce genre d'appareils.

Fais une restauration d'usine.

"Ce n'est pas parce qu'il y a plus de logiciels malveillants pour un OS qu'il est moins sécurisé." Ahahah Ah ah Ahahhemm... non il y a aussi la vitesse de correction des problèmes et la couverture des patch...et là Android est encore à la ramasse ahahah!

La suppression des applications se fait par le store. Une fois déconnecté ça ne fonctionne pas. C'est juste un brevet qui parle de plein de choses dont cela. Et ce n'est pas mis en place. Je n'oublie pas que Snowden lui-même a dit que iOS est la plateforme la plus sûre.

Ça on ne sait rien. Il reste probablement des failles dans iOS et Android. De plus, sur iOS, certaines sont intégrées volontairement comme la possibilité pour Apple (ou n'importe qui qui arriverait à en prendre l'accès) de supprimer des apps à distance sans consentement de l'utilisateur. Apple a même pensé à pouvoir désactiver les appareils qu'il conçoit et a déjà vendu, peut être est ce implémenté ou le sera prochainement. http://lejournaldusiecle.com/2012/09/05/grace-a-apple-la-police-peut-desactiver-vos-portables-lors-des-manifestations/

Oui, c'est une vrai question. De plus, je vois mal comment ça peut être évident alors qu'on ne sait que partiellement comment fonctionnent iOS et Windows.

Ce n'est pas parce qu'il y a plus de logiciels malveillants pour un OS qu'il est moins sécurisé. Tout dépend également de ce que l'on considère être un logiciel malveillant, par exemple certains comptent les systèmes de surveillance (donc pas mal d'applications Google, l'Apple AppStore, etc) et la prise en charge des DRM d'autres non.

Et malgré tout ca iOS n'a que quelques failles en plus qu'Android.

faudrai surtout arrêter de faire flipper les gens pour rien<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

"Une faille qui touche les appareils sous Android 5.0 Lollipop ou une version supérieure." Quand je pense qu'on me disait il y a quelques jours ici-même : "tu vas voir, si ton smartphone reste bloqué à Android 4.4, tu vas te prendre des milliions de failles de sécurité !" Ou pas...

Ils trouvent même des failles dans les antivirus, dernièrement chez kasperski par exemple, et les transforme ainsi en porte d'entrée dans les ordinateurs! o_0! Y a des failles partout, partout, partout! Avec android, au moins c'est sain parce qu'on en parle, mais d'un autre côté ça craint si t'as utilises toujours ton téléphone qui a plus de deux ans mais qui marche toujours très bien, car maintenant il est troué, il restera troué et tu peux te faire enfler à tout moment! Seule solution, ROM custom, mais tu perds toutes les fonctionnalités ajoutées par le constructeur!

Le code est lu quotidiennement par des milliers de codeurs à travers le monde (j'en fais partie). On peut donc découvrir des failles sans forcément chercher le mal, mais juste en travaillant techniquement sur un point précis. Exemple : Un téléphone qui plante, on découvre un débordement, c'est un bug. Ce bug pourrait être utilisé à des fins indésirables, mais en attendant, on s'en fout, on corrige. Il y a énormément plus de gens à travers le monde qui lisent le code d'Android pour l'améliorer que de gens qui lisent le code pour en chercher une faille utilisable à des fins malhonnêtes.

J'adore les chiffres. 95% par exemple. Un truc aussi énorme, ça doit pouvoir se justifier. Je ne nie absolument pas l'existence de la faille, mais 95%, je veux 2 explications. La première c'est la (les) version(s) de la bibliothèque incriminée, l'autre, c'est la méthode utilisée pour connaitre la version installée de cette bibliothèque sur les appareils Android en circulation. En l'absence de ces données, je pense pouvoir affirmer que 100% des gens ayant été un jour victime d'une faille ont mangé des carottes. Juste parce que je préfère les topinambours. Adaptez à vos fruits et légumes favoris.

Ben c'est de l'archi connu et répété depuis des années. À part certains aborigènes dans le désert australien, il doit pas y avoir grand monde qui ne le sait pas ! Sans dec. C'est une vraie question que tu posais ?

"donc moins de risque de faille" drôle de façon de penser. Un téléphone à clapet aura forcément plein de failles qui ne seront jamais corrigées. Et pas la peine de chercher, ce genre de téléphone en a plein qui ne sont jamais corrigées.

Ca ne fait aucun sens ce que tu dis. Si les hackers y arrivent les entreprises aussi... c'est d'ailleurs ce qu'elles font; Vous essayer d'inventer un avantage à être ouvert mais il n'y en a aucun.

Faille déjà corrigée, 2 jours après sa découverte. Donc d'une part c'était une faille locale sans possibilité d'attaque par le réseau, d'autre part elle est corrigée.

Faille déjà corrigée. Pas comme stagefright.

"l'avantgae incontesté de Android c'est son ouverture du code : la faille est en général trouvée par des "gentils"" je ne vois pas en quoi le fait que ce soit ouvert fasse que les failles soient plutot trouvées par des gentils. Tu peux expliquer car ça ne fait pas de sens pour moi. Je ne vois aucun avantage. Il n'y a que des désavantages sur Android pour la sécurité et ça se voit avec stagefright qui n'est toujours pas patché sur des centaines de millions de téléphones.

97% des malware mobiles sont sur Android. Source : il suffit de chercher das Google

"On est donc loin des apps infectées sur l'App Store d'Apple par exemple..." Non mais le culot ma parole !! Comme oses-tu parler de cela alors qu'il s'agissait d'une centaine d'applications qui ont été enlevée en trois jours après que le problème ait été trouvé et que c'est la première fois qu'autant d'applications étaient touchées, alors que de l'autre côté on a CONSTAMMENT des applications vérolées dans le Play Store !!! Mais tu te fous du monde ! Même Google dit que 0,15 % de ses téléphones sont touchés et tous les chiffres indiquent que les malware Android représentent plus de 97% des malware mobiles ! Non mais on croit rêver là, il faut arrêter le délire un moment !

"Windows n'est pas un système sans failles reconnues" et ce n'est aucunement ce qu'il était en train de dire. Argument épouvantail gros comme une maison.

Comment retourner les choses à l'envers. Sur une news qui dit que tous les téléphones Android sont touchés par une faille très importante, on attaque Apple. Du délire pur.

Source ? De ce que je constate, on découvre parfois après que le patch n'était que partiel (c'était par exemple le cas pour GNU BASH), mais pas qu'il introduit une ou plusieurs nouvelles failles.

Il y a beaucoup moins de code dans son appareil plus basique, donc moins de risque de faille. De plus, l'OS de son appareil plus basique est beaucoup moins utilisé qu'Android et iOS, il est donc moins intéressant de chercher et faire en sorte d'exploiter des failles de sécurité.

Quelqu'un qui casse est un cracker. https://www.gnu.org/philosophy/words-to-avoid.en.html#Hacker

Des failles sont aussi trouvées par des méchants (Vupen, Hacking Team, etc), mais eux ne le disent ni publiquement ni à des gens qui pourraient et voudraient corriger les failles.

Les patchs pour Windows XP qui les fournit encore ? Peux tu les développer toi-même ou commanditer quelqu'un pour le faire ? La solution pour que les utilisateurs aient des systèmes à jour n'est pas de laisser à uniquement un ou des tyrans le pouvoir de le faire, n'importe quel utilisateur devrait pouvoir aisément mettre à jour ses logiciels sans nécessiter d’intermédiaire de confiance s'il le souhaite.

"les médias grand public utilisent à tort le terme « hacker » dans le sens de cracker" https://fr.wikipedia.org/wiki/Hacker_%28programmation%29 "It is hard to write a simple definition of something as varied as hacking, but I think what these activities have in common is playfulness, cleverness, and exploration. Thus, hacking means exploring the limits of what is possible, in a spirit of playful cleverness. Activities that display playful cleverness have "hack value"." https://www.stallman.org/articles/on-hacking.html

Source(s) ? Explication(s) ?

On en sait rien, et c'est très dur à évaluer étant donné qu'une grande partie du code source de Windows et iOS est propriétaire. Pour ce qui est de Microsoft, qui offre une certaine transparence, Windows n'est pas un système sans failles reconnues. https://technet.microsoft.com/security/bulletin/

Tout à fait. Mais sur Windows Phone ou iOS, c'est MS ou Apple qui poussent les patchs sur tous les terminaux. Pas le développeur qui attend le bon vouloir du fabricant ou des opérateurs. Donc plusieurs millions de terminaux Android vont rester vulnérables à vie. Ca, c'est très intéressant pour un hacker. Savoir que le patch sera probablement jamais comblé. Ca donne envie de l'exploiter.

Ils ne le crient pas sur internet, ils émettent un avis de dangerosité. Zimprium vend des solutions de sécurité mobile pour les entreprises. La sécurité, trouver les failles avant les autres et proposer des correctifs avant ses concurrents est vital. Ca fait partie de leurs revenus. Eux trouvent et corrigent cette faille dans leurs solutions maison, même si ça ne leur rapporte pas d'argent directement, ça leur fait de la pub.

C'est tout de même un peu plus compliqué que de hacker le Windows de Mr Toutlemonde :)

il y a aussi des société qui font des outils et les revendent a des gouvernements a prix d'or..... un hacker le fait parfois pour se faire connaitre ou tout simplement pour faire chier une société elle, DOIT gagner de l'argent... Or juste en cherchant et publiant des failles ont ne gagne pas d'argent... Sauf bien sur a etre payer pour le faire, mais dans ce cas ils donneraient l'info a google sans le criéer sur le net .... (a moins d'etre payé par un concurrent ^^ )

pour avoir justement bosser dans des banques (en suisse ou c'est encore plus parano qu'en france) dans le service IT je peux t'assurer que tout ne tourne pas sur unix il y a des mainframe, des serveurs unix mais aussi des serveurs windows ET SURTOUT des clients windows qui justement envoient les commandes sur les serveurs je l'admet c'est securisé, genre sans carte a puce tu ne peux rien faire ... Mais la carte a puce est simplement la pour sauvegarder tes certificats, certificats que tu peux bien entendu extraire des cartes a puces.. si quelqu'un hack ton compte windows, il peut tres bien copier les certificats qui sont sur ta carte a puce et avec un keyloger savoir les mots de passe et hop connection au mainframe et passage de commandes ni vu ni connu sous la responsabilité de l'operateur... le plus dur est juste de hacker la bonne personne avec les bons droits... genre celle qui peut faire des commandes ou des virements

Totalement d'accord Et souvent, la correction d'une faille créé une nouvelle faille...

Et c'est grâce à l'open source que ces failles sont découvertes par des sociétés spécialisées, et pas par des hackers comme pour d'autres OS :)

Un Windows correctement paramétré, et tu n'es que simple utilisateur de la machine. Mais c'est bien plus complexe à paramétrer que sous Ubuntu, par exemple, où tu peux être admin, sans être Root :) Pour les banques, Windows, c'est pour la partie Office. Les logiciels bancaires sont sous de l'Unix, version propriétaire, en général. Windows, c'est juste pour le client, l'affichage en langage commun.

Moi, ce qui me rassure, c'est que ces failles sont découvertes par des sociétés, et pas par des hackers. L'exploitation de cette faille, contrairement à la précédente, est assez difficile. Tu dois attendre un soir de pleine lune, que Jupiter soit dans l'anneau intérieur de Saturne, et que les loups dansent la gigue :) On peut parler aussi des failles SSL de l'an dernier, présentes depuis 19 ans, tous systèmes confondus, de Windows à Linux, en passant par mac, Unix, RHEL, etc.), et corrigés en quelques jours pour Unix, Linux, Google et Microsoft, et en semaines/mois chez apple, par exemple. Cette faille n'a pas été exploitée (ne jamais dire jamais :) ). Des failles, il y en a et en aura, quelque soit le système, les OS étant beaucoup plus complexes que du Basic ou du CP/M. Aucun d'entre eux n'est invulnérable. Une simple erreur humaine peut être à l'origine de ça, comme le fameux Goto fail chez apple... ou des incompatibilités entre divers modules.

"dans un Windows d'un pauvre pecnaud qui te donnera quelques centimes tout au plus" Multiplie le pauvre péquenaud par 1 milliard, et les "quelques centimes" peuvent rapporter gros. Je dis ça...

sauf que malheureusement bien souvent les banques et autres organismes tournent justement sur windows .... mais je te rejoins sur le coté vulnérable... sur windows tu es admin de la machine, sur unix tu es UTILISATEUR et les droit ROOT tu les demandent que tres rarement... alors que sous windows .... bah comment dire tu les as tout le temps ... mais le hackeur preferera faire un outil pour windows... car s'il a seulement 0.1% de chance d'infecter ceux a qui il a envoyé l'outil, bah ca fera forcement un nombre bien plus important que les linuxiens ou macosxiens...

sur iOS et WP tu as pas le code source, donc plus compliquer de trouver une faille... faut vraiment tomber dessus par hasard ou se prendre grave la tete en reverse engineering alors que sur de l'open source, tu regarde le code source et pense a une facon d'exploiter un potentiel probleme... ensuite le parc Android est bien supperieur au parc iOS + WP reunis... donc le hqckeur/chercheur preferera trouver une faille sur CE systeme (qui en plus est plus simple a trouver du fait du code open source) que de se prendre la tete a trouver une faille sur un OS fermé qui impacte bien moins de monde... comme les createur de virus preferent s'amuser a concevoir leur cochonnerie pour windows plutot que pour linux ^^

Oui, mais selon certains, comme c'est apple, c'est forcément moins grave... :)

j'ai regardé que la première. bin c'est clairement une faille largement plus importante que ce stragefright 2.0 qui est presque plus théorique que pratique.

il faut comprendre que des failles de sécurité, il y en a quasi partout. c'est inévitable avec des OS aussi évolués de nos jours. l'avantgae incontesté de Android c'est son ouverture du code : la faille est en général trouvée par des "gentils" qui publient leur découverte, et qui donne lieu à correctif. et rapide en plus (on reproche à Microsoft de ne pas corriger des failles trouvées plusieurs années auparavent !!!). donc on se calme, on boit frais, et on attend le correctif (semaine prochaine).

http://www.clubic.com/os-mobile/iphone-os/actualite-780142-ios-9-faille-photos-contacts-sans-code.html http://www.zdnet.fr/actualites/ios-os-x-apple-epingle-a-nouveau-pour-des-grosses-failles-de-securite-39820996.htm http://www.masculin.com/high-tech/11576-virus-iphone-ipad/ ...

Il y a autant de failles partout. C'est juste que Android est de loin l'OS mobile le plus répandu et le plus utilisé (1,4 milliard d'utilisateurs), donc forcément c'est plus intéressant pour les hackers. Et les failles Stagefright ont été découvertes par une entreprise de cybersécurité, pas par des hackers. Et vu la complexité de l'exploitation de la faille, il y a très peu de chances qu'elle soit exploitée par des hackers... Et si c'est le cas, ça sera par une poignée de bons hackers qui cibleront une poignée d'utilisateurs. On est donc loin des apps infectées sur l'App Store d'Apple par exemple... Il faut arrêter de croire qu'Android est une passoire et que les autres OS sont des coffres forts, parce que c'est totalement faux. C'est aussi simple de pirater un Android qu'un Windows Phone ou un iOS... Crois moi ;)

Les ROM Custom fréquemment mises à jour ne sont plus touchées par ces failles depuis un moment... Et pour les impatients, un patch bloquant ces failles est déjà disponible sur XDA

Tu préfères trouver une faille dans un serveur Linux avec potentiellement des millions de numéros de carte bancaire dedans ou dans un Windows d'un pauvre pecnaud qui te donnera quelques centimes tout au plus ? Non, il y a une vraie question de vulnérabilité derrière, et pas seulement d'attention.

C'est toujours la même chanson : c'est l'OS qui concerne la majorité des utilisateurs qui retient le plus l'intérêt des pirates (et donc les failles sont plus souvent découvertes).

Lol tu es marrant toi... Des 3 OS, Android est clairement le moins sécurisé, donc si on veut plus de sécurité évidement qu'il faut quitter Android

pas "bourrés" de failles, mais il y en a, comme dans chaque OS. L'herbe n'est pas plus verte ailleurs : http://www.theverge.com/2015/9/20/9362585/xcodeghost-malware-app-store-security. http://www.tomsguide.fr/actualite/windows-phone-failles,47958.html

De toute façon, à partir du moment que vous êtes connecté à internet, que ce soit de grandes entreprises comme Apple, Microsoft, Google et j'en passe, on sera toujours vulnérable. Donc bon, je pense que la meilleur façon d’amoindrir les choses, c'est juste de faire attention à ce que nous faisons avec nos appareils connecté. Croire que l'on peut-être 100% en sécurité, c'est limite se mettre en danger...

oui ben si tu veux tu peux trouver ça "normal" malgré le fait que tout le monde a nos données (moi perso Facebook n'a rien ;) ) moi je trouve ça juste honteux qu'il y ait des failles de sécurité à qui mieux mieux... Surtout que pendant des années tout le monde s'est bien poilé à cracher à la gueule de Microsoft (windows est une passoire etc...) alors qu'on voit bien que c'est pareil ailleurs.

Oui c'est ça IOs et WP sont bourrés de failles, qu'est ce qu'il ne faut pas lire...

Tu n'as rien compris. Si un système comme android - ou google et de nombreux constructeurs investissent d'enormes moyens pour assurer la sécurité - possede quelques failles, ton clapet de merde doit etre bourre de failles suffit juste de chercher un peu

Ce genre de truc est exploitable par personne ou presque et dans certaines conditions très favorables... Faut arrêter de crier au loup pour pas grand chose Facebook à déjà les données de tout le monde... et si c'est pas Facebook c'est Amazon, Google, Apple etc... Et je sais pas qui est le plus voleur mais bon comme d'habitude certainement pas le petit hacker qui va prendre une photo de toi à poil ou taper dans ton compte en banque... ta banque, tes assurances s'en charge déjà

Apple et surtout Windows ont au moins autant voir plus de failles. Donc je ne vois pas en quoi c'est du pain bénit. On ne va pas quitter Android pour aller dans les systèmes passoires encore moins protégés.

Les téléphones avait déjà des soucis de sécu bien avant android, même un téléphone classique à clapet contient des failles qui seront commune aux autres en n'empêchera pas d'en prendre le contrôle.

Cool, au revoir.

Je viens de me prendre un telephone basique a clapet, bye bye smartphones, avec tout ces problèmes de sécurité chaque année je prends de l'avance et commence a migrer

Franchement ça fait peur la sécurité sur Android ! Du pain béni pour Apple et Windows phone tout ça...

avec la dernière mise a jour du patch Google, sur mon LG g4. miror link ne fonctionne plus. et mail a LG plusieurs foi sans réponse. y a t il d autre toucher aussi ‘ merci<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

Hé ben... On n'est pas sorti d'la berge...