Trousseau vulnérable

18 juin 2015 17:03; Act: 18.06.2015 17:17 Print

Failles critiques sur OS X, iOS et les Samsung Galaxy

Apple et Samsung doivent chacun compter avec de sérieux problèmes de sécurité mettant en danger les données de leurs utilisateurs.

storybild

Apple et Samsung sont menacés par des malware capables de s'attaquer à plusieurs de leurs applications.

Sur ce sujet
Une faute?

Une équipe de chercheurs universitaires des États-Unis et de Chine a découvert sous les systèmes iOS et OS X des failles rendant vulnérable le trousseau d'accès, et par conséquent les mots de passe des utilisateurs. Mise au jour il y a six mois, la faille vient d'être rendue publique. Après avoir signalé à l'époque le problème de sécurité à Apple, l'équipe de chercheurs s'était engagée à retarder la publication de ses résultats. La faille n'a pour autant pas encore fait l'objet d'un correctif de la part de la firme de Cupertino.

Selon les chercheurs, qui ont réussi à faire valider par Apple une app permettant de cracker le trousseau d'accès, le malware caché est capable de s'attaquer aux communications d'autres applications comme Chrome, Evernote ou encore Facebook afin d'intercepter les mots de passe transitant vers le trousseau d'accès. Sur les 1 812 applications testées (1 612 sur OS X et 200 sur iOS), 88,6% étaient vulnérables.

AgileBits, l'éditeur de la populaire app de gestion de mots de passe 1Password, a indiqué ne pas avoir trouvé de solution permettant de limiter les risques. Du côté de Chrome, l'équipe de sécurité de Google a temporairement retiré l'intégration du trousseau d'accès, en attendant un correctif de la part d'Apple.

600 millions d'appareils en danger

Samsung n'est pas non plus épargné par les brèches de sécurité. La firme sud-coréenne a promis de diffuser un patch pour combler une faille liée au clavier Swiftkey installé par défaut sur sa gamme d'appareils mobiles Galaxy. Le correctif sera distribué au travers de sa suite de sécurité Samsung Knox afin d'accélérer le processus de mise à jour système, ce dernier pouvant prendre du temps à être diffusé par les différents opérateurs.

Le problème de sécurité a été présenté cette semaine à Londres à la conférence BlackHat Mobile Security Summit par le chercheur Ryan Welton. Il permet à des pirates d'installer et d'exécuter du code sur un smartphone Galaxy S4, S5 ou S6, soit plus de 600 millions d'appareils en circulation, en exploitant une faille du clavier Swiftkey. Cela permet de prendre le contrôle du téléphone, de la caméra du GPS ou encore du microphone.

(L'essentiel/man)

Vous venez de publier un commentaire sur notre site et nous vous en remercions. Les messages sont vérifiés avant publication. Afin de s’assurer de la publication de votre message, vous devez cependant respecter certains points.

«Mon commentaire n’a pas été publié, pourquoi?»

Notre équipe doit traiter plusieurs milliers de commentaires chaque jour. Il peut y avoir un certain délai entre le moment où vous l’envoyez et le moment où notre équipe le valide. Si votre message n’a pas été publié après plus de 72h d’attente, il peut avoir été jugé inapproprié. L’essentiel se réserve le droit de ne pas publier un message sans préavis ni justification. A l’inverse, vous pouvez nous contacter pour supprimer un message que vous avez envoyé.

«Comment s’assurer de la validation de mon message?»

Votre message doit respecter la législation en vigueur et ne pas contenir d’incitation à la haine ou de discrimination, d’insultes, de messages racistes ou haineux, homophobes ou stigmatisants. Vous devez aussi respecter le droit d’auteur et le copyright. Les commentaires doivent être rédigés en français, luxembourgeois, allemand ou anglais, et d’une façon compréhensible par tous. Les messages avec des abus de ponctuation, majuscules ou langages SMS sont interdits. Les messages hors-sujet avec l’article seront également supprimés.

Je ne suis pas d’accord avec votre modération, que dois-je faire?

Dans votre commentaire, toute référence à une décision de modération ou question à l’équipe sera supprimée. De plus, les commentateurs doivent respecter les autres internautes tout comme les journalistes de la rédaction. Tout message agressif ou attaque personnelle envers un membre de la communauté sera donc supprimé. Si malgré tout, vous estimez que votre commentaire a été injustement supprimé, vous pouvez nous contacter sur Facebook ou par mail sur feedback@lessentiel.lu Enfin, si vous estimez qu’un message publié est contraire à cette charte, utilisez le bouton d’alerte associé au message litigieux.

«Ai-je le droit de faire de la promotion pour mes activités ou mes croyances?»

Les liens commerciaux et messages publicitaires seront supprimés des commentaires. L’équipe de modération ne tolérera aucun message de prosélytisme, que ce soit pour un parti politique, une religion ou une croyance. Enfin, ne communiquez pas d’informations personnelles dans vos pseudos ou messages (numéro de téléphone, nom de famille, email etc).

L'espace commentaires a été désactivé
L'espace commentaires des articles de plus de 48 heures a été désactivé en raison du très grand nombre de commentaires que nous devons valider sur des sujets plus récents. Merci de votre compréhension.

Les commentaires les plus populaires

  • Ou va le monde le 19.06.2015 08:42 via via Mobile Report dénoncer ce commentaire

    il faut bien des failles pour pouvoir faire le jailbreak ;-))

  • boglob le 19.06.2015 07:47 via via Mobile Report dénoncer ce commentaire

    S4, S5, S5 c'est pas 600 millions d'exemplaires, verifier vos chiffres

Les derniers commentaires

  • Ou va le monde le 19.06.2015 08:42 via via Mobile Report dénoncer ce commentaire

    il faut bien des failles pour pouvoir faire le jailbreak ;-))

  • boglob le 19.06.2015 07:47 via via Mobile Report dénoncer ce commentaire

    S4, S5, S5 c'est pas 600 millions d'exemplaires, verifier vos chiffres