1.8.2009 par Aymeric.

En quelques jours, les nuages sombres de la sécurité informatique sont venus perturber l’azur paradisiaque qui dominait dans le monde merveilleux de l’utilisateurs d’iPhone:

Cela a d’abord été les critiques virulentes sur le niveau particulièrement bas du chiffrement matériel emabarqué dans l’iPhone 3GS a destination du marché des entreprises.

Et puis, patatras, Charles A. Miller d’Independant Security Evaluator et Collin Mulliner  de TU/Berlin nous font une démonstration de la prise de contrôle à distance d’un iPhone avec une salve de SMS au BlackHat de Las Vegas. 

Ils n’en était pas à leur coup d’essai puisqu’il avait déjà identifié en 2007 un “exploit”, un peu compliqué mais faisable quand meme.

Encore plus prés en juin 2009, il avait présenté l’exploit qui est la base de leur démonstration du jour. (Le détail de l’exploit  de juin 2009).

Et franchement, il ne fallait pas être un génie pour deviner que ce problème allait apparaître: l’Iphone 3GS fournit une fonctionnalité très demandée par les entrerprises : L’administration à distance et le blocage à distance!!!!

La seule présentation de cette fonctionnalité lors du Keynote du 3GS m’avait fait déjà imaginer le pire. Restait à le démontrer. Merci Monsieur Miller.

Toujours est-il qu’Apple s’est empressé de signer avec lui un accord de confidentialité, mais les jours passent et le correctif promis n’apparait pas. (Guettez le fimware 3.1)

Au passage, les vendeurs d’antivirus, qui doivent ne plus pouvoir contenir leur joie de voir ce nouveau marché potentiel s’ouvrir enfin, se mettent à parler et révélent l’existence de méchants chevaux de Troie, qui ciblaient déjà le Palm Zire, Google Android ou Windows Mobile.

Alors faut-il paniquer et éteindre son iPhone tout de suite?

Premier constat : Cette faille ne semble toucher que le 3GS (à vérifier) et sa fonction d’administration distante.

Deuxième constat: Pour l’exploiter, il faut recevoir plusieurs dizaines de SMS. (Donc si vous êtes “SMS spammés”, vous savez ce qu’il vous reste à faire: shutdown!) Mais ils ont l’air d’être invisibles les bougres!

N’oublions pas que, comme le dit d’ailleurs Charles Miller, l’iPhone est une plateforme beaucoup plus sûr que MacOS X (sic!) car il ne supporte pas les applets JAVA et Flash (resic!).

Mais enfin, un processeur à 600 Mhz, 256 Mo de RAM, 16 Go de stockage et une connexion réseau pouvant atteindre plusieurs Mega-bits vers Internet, ca ne vous rappele rien???

Ah oui bien sur, c’est ce qu’était un PC ou un MAC quand le marché des anti-virus a commencé à exploser.

Il y a quand même quelques grandes différences entre un iPhone et un PC ou un MAC:

1. L’iPhone n’est pas multitache!
2. L’iPhone ne permet pas à ses applications d’utiliser un espace de stockage local commun à moins qu’il soit sur Internet.

Et croyez moi, les génies qui ont ponduent ce mini-ordinateur de moins de 200g n’ont pas mis en place ces restrictions par hasard.

Cela veut dire que lorsqu’une application n’est pas visible, elle ne tourne pas!

Sauf bien sur si c’est l’OS qui est contaminé.

Mais le périmètre vital à défendre est quand même plus restreint.

Références:

BlackHat 2009 : http://www.blackhat.com/

En 2007: http://securityevaluators.com/content/case-studies/iphone//

BusinessMobile.fr :

Le SMS, talon d’Achille de l’iPhone

iPhone 3G S : le système de cryptage ne tient pas la route

Une faille de sécurité critique découverte dans l’iPhone 3G S

CNET :    L’iPhone et la faille des SMS piégés

Zataz :  Piratage de téléphone portable, explication

ZDNet :  Une première faille découverte dans l’iPhone d’Apple

Le Journal du Net : Black Hat : petites querelles de hackers et faille dans l’Iphone

Posté dans Sécurité informatique, Téléphone mobile, Meilleurs outils | Imprimer | 1 commentaire »

9.11.2008 par Aymeric.

Combien de fois depuis trois ans avez vous réinstallé les mêmes applications?

Combien de temps perdez-vous à synchroniser vos données?

Combien de temps perdez-vous à mettre à jour trois fois la même application sur vos trois ordinateurs différents?

A chaque changement de votre PC pour cause d’arrivée du dernier Quad Core au top de la technologie, ou à la perte du portable (encrypté bien sur!) dans le TGV  ou au crash du disque pour atterrissage de tête.

Bien sûr, en entreprise, un clic magique de l’administrateur réseau vous réinstalle un poste complet en un clin d’oeil! (Comment ça? “Ca marche jamais!” et “Y a pas tout, j’ai mis 3 plombes à tout réinstaller!“).

Chez vous, c’est encore pire!

Entre votre fils qui en est à sa troisième install de Warcraft sur le PC de Papa (”parce ki bourre à donf, avec sa carte SLI”), et votre femme qui vous demande pour la quatrième fois de réinstaller le dernier Larousse en couleur avec les recettes de cuisine super-chouette en bonus!

Et je ne vous parle même pas des cinq mises à jour hebdomadaires qui transforment n’importe quel allumage de PC en séance de clic forcéné sur le bouton “Update Yes? No?”

Heureusement, c’est fini!

La virtualisation du poste de travail couplée à l’explosion des capacités de stockage des clefs USB (16Go pour 59 € dans votre hyper préféré) va nous sauver de cet enfer.

D’ici un an maximum,(”Read my lips” comme disait l’autre) chacun aura son support miniature avec toute sa vie dessus et ses applications personnelles préférées.

Vous booterez dessus en un clin d’oeil et ou que vous soyez, ca sera toujours le même écran et les mêmes applications. Je vous garanti que ca change la vie. (En tout cas la mienne pour l’instant.)

Et ne me parlez pas des solutions en ligne, de Google Apps à Web Office en passant par le tiers de confiance OpenID (ben tiens!), elles sont mortes idem!

Personne ne sera assez fou pour confier toute sa vie à Google ou mySpace! (Quoique…j’hésite toujours à me génotyper sur 23andme!)

Quelques indices pour vous mettre sur la piste:

• Dans la barre de lien de FireFox 3.0 vous trouvez en troisième position PortableApps, l’outil permettant de rendre portables toutes vos applications OpenSource (FireFox, Thunderbird, Gimp, etc).
• Microsoft a lancé, depuis 2004, le projet StartKey (ex KeyChain) sur les base de U3 de SanDisk, permettant de déplacer facilement ses données et applications personnelles d’un Windows à un autre… en meme temps que sa licence Office.
• VMWare a racheté récemment ThinStall et sa solution de virtualisation du poste de travail.
• MojoPac nous a concocté une solution de poste XP virtualisé sur disque externe qui marche vraiement … sur une machine XP!
• Tous les disques durs portables sont maintenant livrés avec des outils du genre de Seagate Ceedo personal ou enterprise.
• Après les Linux portables ce sont les kits d’applications portables qui fleurissent comme les jonquilles au printemps. (LiveKey, LiberKey, PortableApps)
• Les drivers d’imprimantes unifiés apparaissent chez XEROX (vous savez, ceux qui ont inventé la souris!)
• Même, Bull, le dinosaure de l’informatique française sous perfusion depuis des années, nous sort GloBull son disque externe sécurisé qui boote sur n’importe quel PC, ou TrustWay PPS, sa cléf USB sécurisée.

En bref, l’installation du système d’exploitation a vécue!

Vive le poste de travail virtualisé!… sur n’importe quel OS?

PS: N’oubliez pas de sauvegarder et de crypter “toute votre vie” sur la clé USB!

Dès fois que vous la perdiez…

Posté dans Téléphone mobile, Meilleurs outils | Imprimer | Aucun commentaire »

13.9.2008 par Aymeric.

A quand l’interdiction de téléphoner dans les lieux publics?
Et une inscription “téléphoner peut tuer!” sur tous les téléphones mobiles?

Les assureurs américains de Nokia  sont en train de lacher leur client aux USA en lui faisant un procès pour ne pas avoir à payer d’indemnité aux participants au procès en “class actions” lancé contre le géant de la téléphonie mobile. (Mais bon, la Cour suprême du Texas a rejeté cette requête le 29 août 2008, obligeant les assureurs à défendre Nokia.)

Une grosse différence quand même entre un paquet de cigarettes et un téléphone mobile:
La dangerosité de la cigarette a été SCIENTIFIQUEMENT établie et démontrée, et les morts par cancer des poumons ou autres se comptent par millions!

Par contre, à ce jour, aucun décès n’a pu être clairement associé à l’usage de la téléphonie mobile, sauf peut-être au volant!!!

Vite!  vite! que l’étude Interphone aboutisse, pour que le principe de précauvention cesse d’être une règle de base de nos sociétés, et que le port de l’airbag pour piéton à gillet par-balles intégré ne deviennent obligatoire dès la naissance!

Heureusement, dans le même temps, la Mairie de Paris vient de publier un communiqué indiquant qu’elle continuera à déployer des bornes WIFI dans les bibliothèques de la capitale!

Ondes : les assureurs ne veulent plus couvrir Nokia
Position de la Ville sur le WiFi à Paris

Posté dans Wifi, Téléphone mobile, Société, Santé | Imprimer | Aucun commentaire »

25.6.2008 par Aymeric.

Vous connaissiez le principe de précaution?

Laissez tomber, c’est déjà dépassé: Nous en sommes maintenant, au “principe de précauvention“, (=précaution+prévention) découvert dans une de mes récentes lectures (”malsaines” disent certains ;-), “Avant qu’il ne soit trop tard“(1) du Pr Dominique Belpomme(2), cancerologue.
L’idée étonnante (mais pas si bête) est la suivante :

Ce n’est pas la peine d’avoir des preuves scientifiques d’un risque pour s’en prémunir!!!

Quoiqu’il en soit, le principe de précauvention s’attaque fortement à une nouvelle cible : Le téléphone mobile GSM (et peut être derrière le WIFI!).

Le très médiatique David Servan-Schreiber, neuropsychiatre survivant à un cancer du cerveau, a publié récemment un “appel à la population” (depuis Al Gore, c’est à la mode), pour nous alerter des dangers des ondes radios qui nous entourent. Une vingtaine de ses confrères médecins l’accompagnent dans cette démarche.

Alors, Paco Rabanomania(3) ou pas? En clair, faut-il s’inquiéter pour de vrai et appliquer à la lettre les dix “principes de précauvention” indiqués vis-à-vis de cette objet maléfique que devient notre téléphone mobile?

Et bien pour une fois, force m’est de constater que cette alerte s’appuie sur des expériences et des constats scientifiques sérieux. Malheureusement, si tout cela est vrai, nous ne le saurons que lorsque la première épidémie de “cancer du cerveau par GSM éclatera”, … si elle doit éclater.

Donc, en attendant, faites comme moi (et nombre de mes collègues “au courant”) depuis des années:

1. Regardez votre téléphone “de loin” pendant qu’il compose un numéro ca vous évitera de vous flasher le cerveau au max de la puissance d’émission.
2. Utilisez une oreillette Bluetooth (à la puissance d’émission 100 fois inférieure à celle du GSM), en gardant votre téléphone à la main ou sur une table devant vous.
3. Utilisez un téléphone fixe pour passer vos appels “longue durée” (en plus c’est meilleurs pour vos économies).

Le détail des recommandations sur le site de “DSS” :

http://www.guerir.fr/magazine/telephones-portables/appel-precaution-utilisation-telephones-portables

Le début de l’épidémie de mesure anti WIFI et GSM :

La ville de Paris enquête sur les risques sanitaires liées au Wifi.

Notes

(1) C’est mon médecin généraliste, qui commence à me connaître, qui m’a conseillé cette lecture attristante mais sérieuse!

(2) Le Pr Belpomme est récemment passé sous les phares de l’actualité, lorsqu’il a tenté d’attirer l’attention du grand public sur la négation faite dans les rapports officiels de l’incidence (ie le nombre) des cancers liés aux pesticides en Martinique.

(3) Paco Rabanne, le grand couturier, nous avait prédit la fin du Monde en 1999 avec la chûte de la station MIR sur la France!

Posté dans Technologies radio, Wifi, Téléphone mobile, Société, Santé | Imprimer | 2 commentaires »