Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Blackhat : non, le Blackphone n’a pas été « rooté » en 5 minutes

De l'importance d'installer les mises à jour

Blackhat : non, le Blackphone n'a pas été « rooté » en 5 minutes

Le 12 août 2014 à 08h40

Depuis hier, l'histoire se répand comme une traînée de poudre : le BlackPhone aurait été « rooté » en cinq minutes seulement. Coup de massue pour le smartphone ultra sécurisé ? Comme bien souvent, les choses sont loin d'être aussi simples. Explications.

Au début de l'année, Silent Circle et Geeksphone dévoilaient leur Blackphone, un smartphone de 4,7 pouces fonctionnant sur une version largement modifiée d'Android. Il mise tout sur la sécurité et la confidentialité, notamment avec la possibilité de chiffrer intégralement vos données. Il est donc évidemment attendu au tournant et le salon BlackHat qui se tenait il y a quelques jours était l'occasion de tester sa résistance.

 

Si l'on en croit certains retours, les résultats ne seraient pas à la hauteur : Justin Case (alias @TeamAndIRC) aurait « rooté » le téléphone en moins de cinq minutes. Mais les choses ne sont pas aussi simples que cela avec, en premier lieu, l'histoire des cinq minutes. En effet, il s'agit du temps nécessaire afin d'identifier une vulnérabilité, mais pas pour arriver à prendre le contrôle du smartphone.

 

 

Quoi qu'il en soit, Justin Case annonce avoir découvert trois moyens d'attaquer le Blackphone. Premièrement en accédant au menu du debug USB, ensuite en détournant une application censée effacer les données afin de monter en privilège et enfin en passant d'un simple utilisateur à « root ».

 

Dans un billet, Dan Ford, responsable de la sécurité du Blackphone, répond point par point. Tout d'abord, concernant le debug USB. Il indique qu'un problème aurait été découvert juste avant l'envoi du smartphone en production et, plutôt que de retarder cette étape, il a été désactivé temporairement. Pour la petite histoire, il s'agit d'un bug pouvant entraîner un démarrage en boucle infinie du téléphone lorsque le chiffrement était activé. Dan Ford ajoute que ce menu « caché » reviendra via une mise à jour qui sera prochainement déployée. Pour lui, il ne s'agit donc pas d'une faille.

 

Concernant le second point, la faille a en fait déjà été identifiée et corrigée le 31 juillet, avec une mise à jour déployée le 1er août (PrivateOS 1.0.2). Un point confirmé par Juste Case via ce tweet où il précise ne pas avoir mis à jour son smartphone. Le troisième point n'est par contre pas évoqué en détail et pour cause : il n'aurait finalement pas été présenté. « Nous pensons que cette vulnérabilité touche de nombreux fabricants OEM et pas uniquement le Blackphone. Quand elle sera rendue publique, nous proposerons une mise à jour plus vite que n'importe quel OEM » affirme le représentant de la société, visiblement sûr de lui.

 

BlackPhone 

 

Dans un autre message publié sur Twitter, @TeamAndIRC dresse un portrait assez peu flatteur de ses propres découvertes : « configuration non recommandée [NDLR : mise à jour non effectuée], accès physique, mot de passe utilisateur, pas de chiffrement, firmware non mis à jour. Impraticable comme une attaque dans la pratique ». L'honneur du Blackphone est donc à peu près sauf... du moins pour le moment.

 

Du côté de Blackphone, on se dit prêt en cas de découverte d'une faille : « nous contrôlons les mises à jour OTA, et nous sommes dans la capacité de boucher des failles dès qu'elles sont découvertes ». En effet, il est tout simplement impossible de garantir une fiabilité à 100 % dans le domaine de la sécurité informatique, mais il est néanmoins possible de limiter la casse, et surtout d'être réactif en cas de problème. C'est justement sur ce dernier point que le Blackphone doit maintenant faire ses preuves.

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

En même temps, quand on veut un truc vraiment plus secure, on se dirige vers un Hoox de Bull.

votre avatar

Je suis prêt à parier que la NSA a déjà planché sur le sujet et que si failles il y a, elles sont déjà exploitées <img data-src=" />

votre avatar



nous sommes dans la capacité de boucher des failles dès qu’elles sont découvertes





Dès qu’elles sont découvertes?

J’espère que c’est une erreur de traduction, parce que c’est assez grossier comme promesse.



Les gouvernements et d’autres acteurs moins scrupuleux ne vont pas aller gentiment rapporter rapporter à cet éditeur les 0day qu’ils découvrent /achètent. Du coup il peut s’écouler des années entre la découverte d’une faille critique et la correction. C’est pas spécifique à Android hein, c’est juste pour souligner le ridicule de certaines promesses marketing. D’autant plus que si un chercheur trouve une faille dans Android, c’est avec Google (et donc potentiellement avec la NSA) qu’il partagera sa découverte. Pas avec un OEM comme celui ci.

votre avatar







jmanici a écrit :



Dès qu’elles sont découvertes?

J’espère que c’est une erreur de traduction, parce que c’est assez grossier comme promesse.





Ou alors il voulait dire découverte par ses équipes.

Ce qui du coup ne garanti rien du tout <img data-src=" />


votre avatar







GierrePattaz a écrit :



En même temps, quand on veut un truc vraiment plus secure, on se dirige vers un Hoox de Bull.





Bull ? T’es vraiment sûr ? (cf. Amesys & co …)


votre avatar







GierrePattaz a écrit :



En même temps, quand on veut un truc vraiment plus secure, on se dirige vers un Hoox de Bull.





Sinon il y a la machine à écrire dans une salle sans porte ni fenêtre <img data-src=" />


votre avatar



Dans un autre message publié sur Twitter, @TeamAndIRC dresse un portrait assez peu flatteur de ses propres découvertes : « configuration non recommandée [NDLR : mise à jour non effectuée], accès physique, mot de passe utilisateur, pas de chiffrement, firmware non mis à jour. Impraticable comme une attaque dans la pratique ». L’honneur du Blackphone est donc à peu près sauf… du moins pour le moment.



Euh… j’ai pas compris. C’est des découvertes sur d’autres systèmes? Sur la faille mentionnée dans le paragraphe précédent ? Pas sur le Blackphone j’imagine mais comme c’est pas clair, la conclusion du paragraphe ne semble pas se rapporter aux propos de @TeamAndIRC…


votre avatar







k43l a écrit :



J’ai envie de dire :




  • Android, iPhone, WP, Firefox OS ou tout autre OS mobile le premier rempart c’est l’utilisateur !

    Y’a pas d’OS plus passoire qu’un autre par compte y’a des applications et des services qui eux sont un peu trop curieux.



    Sinon, y’a un truc bien… Pas de smartphone juste un ordi hors ligne <img data-src=" />

    Parce que faut dire ce qui est… On peut pas vouloir un smartphone et être un malade de la sécurité.

    Faut sacrifié un truc







    L’ordi hors ligne, la solution de GRR Martin pour qu’on ne puisse spoiler le prochain ASOIAF/GOT


votre avatar







k43l a écrit :



J’ai envie de dire :




  • Android, iPhone, WP, Firefox OS ou tout autre OS mobile le premier rempart c’est l’utilisateur !

    Y’a pas d’OS plus passoire qu’un autre par compte y’a des applications et des services qui eux sont un peu trop curieux.



    Sinon, y’a un truc bien… Pas de smartphone juste un ordi hors ligne <img data-src=" />

    Parce que faut dire ce qui est… On peut pas vouloir un smartphone et être un malade de la sécurité.

    Faut sacrifié un truc





    Oui c’est clair, mais il y a moyen de limiter les dégâts sans pour autant aller vivre sur une île déserte.

    Les ROMs AOSP, ghostery, LBE Privacy, qq réglages dans Android…

    Ce serait pas mal d’avoir un billet / tuto la dessus, pour les grands OS mobile du moins.


votre avatar







jmanici a écrit :



Dès qu’elles sont découvertes?

J’espère que c’est une erreur de traduction, parce que c’est assez grossier comme promesse.







Du tout. Ils peuvent le bricker à distance. Du coup plus de risques


votre avatar







Ricard a écrit :



Le mieux pour la sécurité reste un iPhone.<img data-src=" />





Il a une prise USB, c’est pas secure.


votre avatar







Baldurien a écrit :



Hum …. mais comment tu y accèdes alors ? :o





On a parlé de sécurité, pas de praticité <img data-src=" />


votre avatar







Cypus34 a écrit :



Euh… j’ai pas compris. C’est des découvertes sur d’autres systèmes? Sur la faille mentionnée dans le paragraphe précédent ? Pas sur le Blackphone j’imagine mais comme c’est pas clair, la conclusion du paragraphe ne semble pas se rapporter aux propos de @TeamAndIRC…







Il liste les conditions dans lesquelles les failles sus-cités peuvent être exploitées:




  • le blackphone cible à configuration non recommandée,

  • le pirate a un accès physique au smatphone et le mot de passe utilisateur,

  • le chiffrement à été désactivé

  • enfin le firmware installé n’est pas à jour.



    En conclusion les failles qu’il a découvertes sont quasi inexploitables.


votre avatar







Baldurien a écrit :



Hum …. mais comment tu y accèdes alors ? :o



C’est justement ici tout le génie de l’idée, sans l’interface chaise-clavier on supprime le principal vecteur de vulnérabilités.


votre avatar

Ho mon dieu ! Je suis passé de user à root sur mon mobile et j’ai tout les droits dessus !? <img data-src=" />

votre avatar







kwak-kwak a écrit :



C’est justement ici tout le génie de l’idée, sans l’interface chaise-clavier on supprime le principal vecteur de vulnérabilités.





Ben y aurait aucune faille si le système n’existait pas :)


votre avatar







canard_jaune a écrit :



Il liste les conditions dans lesquelles les failles sus-cités peuvent être exploitées:




  • le blackphone cible à configuration non recommandée,

  • le pirate a un accès physique au smatphone et le mot de passe utilisateur,

  • le chiffrement à été désactivé

  • enfin le firmware installé n’est pas à jour.

    En conclusion les failles qu’il a découvertes sont quasi inexploitables.





    Merci, c’est plus clair. <img data-src=" />

    En effet si toutes les conditions doivent être réunies, ça devient de suite plus compliqué à utiliser comme faille…


votre avatar

On ne peut pas installer Facebook Messenger sur un Blackphone ?

votre avatar







bilbonsacquet a écrit :



Bull ? T’es vraiment sûr ? (cf. Amesys & co …)







Pour avoir déployer le système dans mon entreprise, c’est du très lourd.

VPN/IPSEC, VoIP chriffré, SMS chiffré, téléphone + Secure Card lié.

Gateway hébergé en interne.



Pour de la sécurité “Civile” et après avoir étudié les autres solutions, ça m’a paru la plus “blindé”



Le système fonctionne en circuit fermé, pas de connexion avec Bull (Sauf certaines demandes très précise comme l’audit un apk avant déploiement)





votre avatar







jmanici a écrit :



Dès qu’elles sont découvertes?

J’espère que c’est une erreur de traduction, parce que c’est assez grossier comme promesse.



Les gouvernements et d’autres acteurs moins scrupuleux ne vont pas aller gentiment rapporter rapporter à cet éditeur les 0day qu’ils découvrent /achètent. Du coup il peut s’écouler des années entre la découverte d’une faille critique et la correction. C’est pas spécifique à Android hein, c’est juste pour souligner le ridicule de certaines promesses marketing. D’autant plus que si un chercheur trouve une faille dans Android, c’est avec Google (et donc potentiellement avec la NSA) qu’il partagera sa découverte. Pas avec un OEM comme celui ci.







Si c’est pas découvert je vois pas comment ils pourraient corriger quelque chose qu’ils ne connaissent pas. Le mieux serait de corriger la faille dès qu’elle existe mais c’est impossible car il doit déjà en avoir une centaine encore non trouvées.





votre avatar







Gericoz a écrit :



Si c’est pas découvert je vois pas comment ils pourraient corriger quelque chose qu’ils ne connaissent pas. Le mieux serait de corriger la faille dès qu’elle existe mais c’est impossible car il doit déjà en avoir une centaine encore non trouvées.





Une faille peut être découverte sans que l’équipe du blackphone ne soit au courant.


votre avatar







Gericoz a écrit :



Si c’est pas découvert je vois pas comment ils pourraient corriger quelque chose qu’ils ne connaissent pas. Le mieux serait de corriger la faille dès qu’elle existe mais c’est impossible car il doit déjà en avoir une centaine encore non trouvées.





Dès qu’elle est découverte =/= dès qu’elle est rendu public <img data-src=" />



Sinon:



« nous contrôlons les mises à jour OTA, et nous sommes dans la capacité de boucher des failles dès qu’elles sont découvertes »



Nous contrôlons les mises à jour OTA, nous contrôlons les mises à jour OTA … C’est vite dit … Je pense pas qu’ils aient réussi a outrepasser les opérateurs…


votre avatar



En effet, il est tout simplement impossible de garantir une fiabilité à 100 % dans le domaine de la sécurité informatique





Ah ils ont bien bossé les commerciaux des big ones!!!!

Je ne sais pas si il est possible d’avoir une sécurité à 100%, l’erreur reste humaine, ce que je sais c’est que les failles de sécurités que je connais de ces dernières auraient quasiment toutes (toutes??) pu êtres évitées avec un minimum de respect de principes de bases tel que : le contrôle des entrées utilisateurs ou les principes de gestion de la mémoire.

Pour moi il y a deux problèmes réels, les surcouches successives des bibliothèques aux templates en passant par les langages interprétés, qui font écran de fumée entre le programmeur et le code et permettent qu’une faille de sécurité puisse polluer des centaines d’applications.

Et le principe bien connu de “la promesse du commercial” qui insère le développement dans des délais si cours que la partie qualité et Beta test est souvent réalisée après le déploiement.



Quand à avoir un smartphone sécurisé pourquoi pas, à condition de pouvoir soi-même vérifier l’ensemble du code, et pas seulement de l’OS également des firmwares.

votre avatar







Nyquist a écrit :



Sinon il y a la machine à écrire dans une salle sans porte ni fenêtre <img data-src=" />







le tout dans une cage de faraday et avec une poubelle en métal pour pouvoir bruler la bande ;)



On va bientôt revoir émerger les conversations privées sans tout cet attirail inutile qui prend de la place dans les poches , n’a aucune autonomie et ne fais rêver qu’une bande de décérébrés… *



* ceci n’engage que moi.



votre avatar







arno53 a écrit :



Dès qu’elle est découverte =/= dès qu’elle est rendu public <img data-src=" />



Sinon:



Nous contrôlons les mises à jour OTA, nous contrôlons les mises à jour OTA … C’est vite dit … Je pense pas qu’ils aient réussi a outrepasser les opérateurs…





Pour les mises à jour OTA, je m’inscris en faux : feu mon Nokia N900 se mettait à jour par OTA et n’a jamais été supporté/personnalisé par un opératur (au moins français). Donc, ceci n’est pas un obstacle.


votre avatar







Nyquist a écrit :



Sinon il y a la machine à écrire dans une salle sans porte ni fenêtre <img data-src=" />





Hum …. mais comment tu y accèdes alors ? :o


votre avatar







Baldurien a écrit :



Hum …. mais comment tu y accèdes alors ? :o





Bah, avec le WIFI ! <img data-src=" />


votre avatar









Baldurien a écrit :



Hum …. mais comment tu y accèdes alors ? :o







T.A.R.D.I.S <img data-src=" />







zicklon a écrit :



le tout dans une cage de faraday et avec une poubelle en métal pour pouvoir bruler la bande ;)





Et le chapeau en alu sur la tête !


votre avatar

Le mieux pour la sécurité reste un iPhone.<img data-src=" />

votre avatar







Ricard a écrit :



Le mieux pour la sécurité reste un iPhone.<img data-src=" />







<img data-src=" /> <img data-src=" /> <img data-src=" />



votre avatar







Baldurien a écrit :



Hum …. mais comment tu y accèdes alors ? :o







avec un portail à la Portal ;)


votre avatar







Khalev a écrit :



Une faille peut être découverte sans que l’équipe du blackphone ne soit au courant.





Oui et donc impossible pour eux de proposer un patch sur un truc pas connu.







Ricard a écrit :



Le mieux pour la sécurité reste un iPhone.<img data-src=" />







Cela dépend , la sécurité nationale?


votre avatar

Je ne trouve pas d’édito, d’article ou autre concernant la protection de la vie privée sur des appareils Android.

Je sais qu’Android et vie privée ne riment pas, mais il existe des trucs pour se faire pomper un minimum d’infos personnelles.

Pourquoi la rédaction ne s’attaque elle pas à ce genre de billet?

votre avatar







jeanfrederic a écrit :



Je ne trouve pas d’édito, d’article ou autre concernant la protection de la vie privée sur des appareils Android.

Je sais qu’Android et vie privée ne riment pas, mais il existe des trucs pour se faire pomper un minimum d’infos personnelles.

Pourquoi la rédaction ne s’attaque elle pas à ce genre de billet?







J’ai envie de dire :




  • Android, iPhone, WP, Firefox OS ou tout autre OS mobile le premier rempart c’est l’utilisateur !

    Y’a pas d’OS plus passoire qu’un autre par compte y’a des applications et des services qui eux sont un peu trop curieux.



    Sinon, y’a un truc bien… Pas de smartphone juste un ordi hors ligne <img data-src=" />

    Parce que faut dire ce qui est… On peut pas vouloir un smartphone et être un malade de la sécurité.

    Faut sacrifié un truc


Blackhat : non, le Blackphone n’a pas été « rooté » en 5 minutes

Fermer