nos newsletters
Abonnez-vous à Micro Hebdo : 1,23€ / n°
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à 01Business et Technologies : 3,20€ / n°
Abonnez-vous à la version digitale
Faille de sécurité sur Android : Google diffuse un correctif [MAJ]
Le moteur de recherche américain va pousser un patch pour corriger le problème de sécurité des terminaux Android révélé par des chercheurs allemands.
Mise à jour le 19 mai 2011
Google n’a pas tardé à réagir aux accusations des deux chercheurs allemands que nous évoquions hier. Dans un communiqué adressé au site AllThings Digital, la firme de Mountain View indique qu’elle a d’ores et déjà commencé à diffuser un patch « qui corrige une faille de sécurité potentielle qui pourrait, dans certaines circonstances, permettre à une tierce partie d’accéder aux données disponibles dans l’agenda et dans les contacts ». Google précise encore que ce correctif, qui sera installé sur tous les terminaux dans les prochains jours, ne nécessitera aucune action de la part des utilisateurs.
Première publication le 18 mai 2011
Des chercheurs en sécurité ont découvert qu'il est facile pour un pirate d'avoir accès à certaines données d'un utilisateur de smartphone Android connecté à un réseau Wi-Fi non protégé par un mot de passe.
C’est officiel, Android a son scandale « à la Firesheep ». En s'appuyant sur certaines études, deux chercheurs en sécurité allemands ont découvert que 99,7 % des téléphones et tablettes Android sont victimes d’une faille de sécurité importante. Celle-ci peut compromettre des données personnelles dès lors qu’un utilisateur a connecté son terminal à un réseau Wi-Fi ouvert, autrement dit non protégé par un mot de passe.
Les spécialistes ont montré que sur les récentes versions d’Android, jusqu’à la 2.3.4, un pirate peut récupérer facilement l’accès à certains services de Google d'un utilisateur légitime en « sniffant » les paquets de données qui circulent sur un réseau Wi-Fi non chiffré, exactement comme avec Firesheep. De cette manière, le hacker peut détourner la session – la technique est aussi appelée « sidejacking ». En utilisant le service à la place de l'utilisateur légitime, il peut accéder à ses données personnelles, les modifier, voire les effacer.
Le problème ne concerne pas Gmail, dont tous les échanges sont cryptés en HTTPS, mais au moins l’application d’agenda d’Android, ainsi que celle des contacts et la galerie de photos… Idem pour toutes les applications utilisant le protocole d’authentification ClientLogin, mis en cause par les chercheurs.
Jetons d'authentification non chiffrés
agrandir la photo
Ce code fait office de passerelle pour des applications afin de se connecter à un compte Google. Seule la connexion initiale (saisie de l’identifiant et du mot de passe) est sécurisée en HTTPS. Lorsqu’on se connecte ensuite, un « jeton d’identification » (authToken) est envoyé sur le réseau, sans cryptage. C’est ce petit fichier que le pirate peut récupérer, car il n’est pas lié ni à la session ni au mobile de l'utilisateur. La durée de vie d'un authToken étant de quinze jours, cela lui laisse le temps de l’exploiter.
Puis les chercheurs détaillent la facilité avec laquelle des données peuvent être récupérées en masse : « Pour collecter ces authToken à une large échelle, un pirate peut mettre en place un point d’accès Wi-Fi avec un SSID courant (T-Mobile, Starbucks…) sur un réseau sans fil non crypté. Avec les réglages par défaut, les téléphones Android se connectent automatiquement à un réseau déjà connu, et de nombreuses applications vont se synchroniser. Même si la synchronisation échoue (à moins que le pirate ne fasse aboutir les requêtes), il capturerait les authToken pour chaque service qui tente de se synchroniser. »
Comment se prémunir ?
Les deux Allemands estiment que Google ainsi que les développeurs d'applications pour Android devraient passer rapidement leurs programmes en HTTPS. Et conseillent aux utilisateurs de téléphones Android d'adopter la version 2.3.4, moins touchée (les contacts et l’agenda sont protégés), « le plus vite possible ». Plus facile à dire qu’à faire ! Les téléphones sont bien souvent bloqués à des versions antérieures, sans espoir de mise à jour.
Ils donnent cependant quelques conseils de bons sens : interdire la synchronisation automatique dans les réglages lorsqu’on se connecte à un réseau Wi-Fi ouvert, forcer l’appareil (dans les paramètres) à « oublier » un réseau Wi-Fi ouvert pour ne pas qu’il s’y reconnecte automatiquement… Et, solution ultime mais contraignante, ne pas se connecter à des points d’accès non protégés !
Actu précédente
Actu Suivante
Avis sur «Faille de sécurité sur Android : Google diffuse un correctif [MAJ]»
Sans blague !!
de
Pastafarien
, posté le 18 mai 2011 à 18h53
Donc en gros, ils ont découvert qu'utiliser des protocoles non chiffrés sur un réseau WiFi ouvert est risqué ?
Heureusement que ces chercheurs sont là pour nous apprendre ce que tout le monde sait depuis des années.
J'ai trouvé le prochain sujet d'étude : "Est-il dangereux de noter le code pin de sa carte bleu sur un post-it collé sur la carte ?"
Et pourquoi stigmatiser android, alors que le problème est le même avec un pc, un mac ou un autre smartphone ?
Heureusement que ces chercheurs sont là pour nous apprendre ce que tout le monde sait depuis des années.
J'ai trouvé le prochain sujet d'étude : "Est-il dangereux de noter le code pin de sa carte bleu sur un post-it collé sur la carte ?"
Et pourquoi stigmatiser android, alors que le problème est le même avec un pc, un mac ou un autre smartphone ?
alerter le modérateur
@Pastafarien
de
jean-85
, posté le 18 mai 2011 à 19h37
+1 Pastafarien n'importe quel amateur avertis peut récupérer tous le trafic sur un réseau wifi ouvert et ce indépendamment de la plate forme utilisée (microsoft apple, linux...)
Mais bon il faut bien lancé quelques troll sur un concurrent pour essayer de gratter des parts de marché
Mais bon il faut bien lancé quelques troll sur un concurrent pour essayer de gratter des parts de marché
alerter le modérateur
Tellement vrai
de
ChevignoN
, posté le 18 mai 2011 à 19h57
Je suis complètement d'accord.
Ils sont en train d'enfoncer des portes ouvertes ...
Ils sont en train d'enfoncer des portes ouvertes ...
alerter le modérateur
+1
de
Gautier571
, posté le 18 mai 2011 à 20h02
Totalement d'accord! Exclus mondiale, demain ces chercheurs viendront nous expliquer pourquoi le protocole FTP ne doit pas être utilisé sur un réseau public (tout du moins quand il y une authentification) :D
alerter le modérateur
+1
de
kalimerobleu
, posté le 19 mai 2011 à 07h55
Tout a fait raison une NEW comme du vent sur FB , sans aucune utilité , , ,
Un pirate va me prendre mes infos personnelles dans mon smartphone connecté en WIFI non sécurisé a Liège , , ,
Le mien sur 850 millions d'utilisateurs .
UNE HALLUCINATION TOTALE . . .
Un pirate va me prendre mes infos personnelles dans mon smartphone connecté en WIFI non sécurisé a Liège , , ,
Le mien sur 850 millions d'utilisateurs .
UNE HALLUCINATION TOTALE . . .
alerter le modérateur
ben non
de
https
, posté le 19 mai 2011 à 10h53
C'est pas enfoncer des portes ouvertes puisque sur un os non mobile normalement tout le trafic du navigateur avec les services google sont en https il est donc beaucoup moins facile de récupérer les jetons d'authentification cela est totalement indépendant du wifi.
Lisez un peu avant de dire n'importe quoi.
De là à penser qu'ils ont fait un boulot de chercheurs ...
Lisez un peu avant de dire n'importe quoi.
De là à penser qu'ils ont fait un boulot de chercheurs ...
alerter le modérateur
-1
de
djax66
, posté le 19 mai 2011 à 12h27
C'est à Google de s'assurer que les jetons soient cryptés et que ses applications utilisent un canal crypté.
Les utilisateurs n'ont pas le choix.
Quand je surfe sur google Contacts et Google Agenda, je prend garde à être en HTTPS. Mais quand mon téléphone synchronise les contacts et les agendas, c'est à l'application d'utiliser les voies cryptés.
Ici, la responsabilité est clairement dans les mains de Google.
Les utilisateurs n'ont pas le choix.
Quand je surfe sur google Contacts et Google Agenda, je prend garde à être en HTTPS. Mais quand mon téléphone synchronise les contacts et les agendas, c'est à l'application d'utiliser les voies cryptés.
Ici, la responsabilité est clairement dans les mains de Google.
alerter le modérateur
Petite erreur de frappe
de
tyranausor
, posté le 18 mai 2011 à 20h33
Le journaliste a écrit "s'apuuyant" au lieu de "s'appuyant"!
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
