Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Certifi-gate : faille critique dans les outils de supports intégrés par les OEM dans Android

Tout ceci n'est qu'une pub déguisée pour les Nexus

Certifi-gate : faille critique dans les outils de supports intégrés par les OEM dans Android

Le 10 août 2015 à 14h45

Alors même que les utilisateurs d’Android luttent déjà contre la faille Stagefright, une autre importante vulnérabilité a été découverte. Elle réside dans les outils inclus dans le système pour permettre aux OEM de déclencher des réparations à distance. Une bonne partie des appareils est atteinte, mais il n’y a actuellement rien à faire pour se débarrasser du problème.

Sale temps pour Android, et plus particulièrement pour sa sécurité. La faille sur Stagefright commence à peine à être corrigée qu’une autre ombre se manifeste déjà, accentuant largement le débat sur la sécurité du système et surtout la manière dont elle est gérée. On peut d’ailleurs sentir que Google est au courant qu’il y a de sérieux problèmes dans la distribution des mises à jour, puisque dans une annonce presque conjointe avec Samsung, on a appris que les correctifs de sécurité seraient distribués sur une base mensuelle, à la manière d’un Microsoft (les Patch Tuesdays).

Une faille dans les outils utilisés par les OEM pour le support

Et il faut rapidement que ce système se mette en place, même s’il ne va toucher que les générations raisonnablement récentes d’appareils. Une nouvelle vulnérabilité est en effet déjà là, et son potentiel de dégâts est tout aussi important que Stagefright. Elle se nomme Certifi-gate et réside dans les outils intégrés le plus souvent au cœur-même d’Android pour permettre aux OEM de prendre la main pour des corrections à distance.

Ces outils, les « mobile Remote Support Tool » (ou mRST), ne sont pas forcément installés sur la totalité des modèles de smartphones Android, mais ils sont quand même très courants. Selon les chercheurs qui ont découvert la faille, Ohad Bobrov et Avi Bashan de la société Check Point, ce sont tout de même des milliards d’appareils qui sont vulnérables. Et en cas d’exploitation active, il n’y a rien que les utilisateurs puissent faire pour s’en prémunir, à part éventuellement éteindre leur téléphone ou leur tablette. Ou posséder un Nexus.

Vol de données, captures d'écran, enregistrement de l'activité

Le problème réside en effet dans la manière dont les constructeurs (et/ou les opérateurs de téléphonie mobile) utilisent les certificats électroniques pour signer les outils. Seuls les smartphones et tablettes issus des OEM sont donc touchés et aucun des Nexus n’intègre les mRST. Quand ils sont présents, ils possèdent des droits root, que l’utilisateur ait « rooté » son appareil ou non. Des droits logiques dans une optique de réparation à distance : il faut que le technicien en charge de l’opération puisse réaliser ses manipulations. Mais la faille permet théoriquement à n’importe quelle application de faire appel aux mRST et, dès lors, de déclencher de nombreuses actions avec assez de privilèges pour se transformer en véritable aspirateur à données personnelles.

Car le souci ne serait pas si sérieux si les outils pouvaient être désinstallés, ce qui est impossible en l’état. Check Point a quand même publié une petite application qui vous permettra de savoir si votre appareil est vulnérable, mais autant le signaler : cela a de fortes chances d’être le cas si votre appareil provient d’une des entreprises concernées.

Et en cas d’exploitation, une application donnée peut ainsi s’emparer facilement de nombreuses informations, surveiller les frappes au clavier, enregistrer tout ce qui se passe sur l’écran, enregistrer tous les sons autour du téléphone ou même déclencher l’installation d’autres applications, qu’on imagine facilement malveillantes. Posséder la dernière révision d’Android (5.1.1) ne change rien à la situation et il n’y a aucune solution miracle. Les sociétés touchées sont Archos, BenQ, Broadcom, Bullitt, CloudProject, Gigaset, Hisense, HTC, Huaqin, Huawei, Intel, Lenovo, LGEMC, Longcheer, Medion, Oppo, Pantech, Positivio, Prestigio, Quanta, Samsung, TCL, TCT, Unitech. Selon la société, tous ces constructeurs ont été mis au courant et des correctifs sont en cours de développement.

Attendre encore une fois le correctif... pour ceux qui l'auront

Ce qui pose une nouvelle fois la question problématique des modèles qui seront concernés. Comme on l’a vu avec Stagefright, et en dépit d’une annonce importante dans ce domaine, les appareils prévus pour recevoir le correctif ne sont guère nombreux. Chez Samsung par exemple, seuls les Galaxy S3, S4, S5, S6, S6 Edge, Note 4 et Note 4 Edge seront mis à jour. Chez HTC, les One M7, M8 et M9. Et malheureusement, il y a de fortes chances que les nouvelles mises à jour pour corriger la faille Certifi-gate concernent les mêmes modèles, les constructeurs venant clairement d’indiquer leurs priorités en cas de défaut majeur de sécurité.

Selon Google, il existe tout de même un facteur limitant : « Pour qu’un utilisateur soit affecté, il faudrait qu’il installe une application malveillante, ce que nous surveillons constamment avec VerifyApps et SafetyNet. Nous encourageons fortement les utilisateurs à n’installer des applications que depuis des sources de confiance, telles que Google Play ». VerifyApps est conçu effectivement pour faire remonter des données anonymes sur les applications qui seraient installées via d’autres méthodes, et Google se targue de pouvoir indiquer celles qui pourraient représenter un danger. Mais aucune barrière n’est absolue et il est tout à fait possible qu’une application passe au travers des mailles du filet, même s’il ne semble pas y avoir d’exploitation active de Certifi-gate actuellement (selon Google).

Commentaires (118)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

En même temps quitte à prendre un tel sous Android autant le prendre “nu” directement au créateur d’Android, à savoir donc Google.

 

 Jamais de soucis pour avoir une mise à jour, pas de surcouche inutile, etc etc.

votre avatar

Sauf si tu veux pouvoir utiliser une carte SD, une batterie extractible, un stylet à 1024 niveaux de pression avec reconnaissance d’écriture… Bah non un Nexus n’est pas une bonne idée. :/

votre avatar

Je me serais attendu au moins a avoir UN des modèles concernés :p

votre avatar

faut arrêter d’appeler ‘machin-gate’ le moindre problème technologique, ça en devient ridicule <img data-src=" />



(c’est pas envers Vincent mais la presse US en général qui nous sort ça..)

votre avatar







chris.tophe a écrit :



Je commence à comprendre que gratuit, ca veut dire moins que low cost





Bof, des failles 0day yen a dans beaucoup de logiciels (software, OS, etc), gratuit ou ultra chers ca change pas grand chose.


votre avatar

Y a pas sony dans le lot?

&nbsp;

Ça surprend. Ils sont pourtant coutumier de ce genre de problèmes…

votre avatar







jb18v a écrit :



faut arrêter d’appeler ‘machin-gate’ le moindre problème technologique, ça en devient ridicule <img data-src=" />



(c’est pas envers Vincent mais la presse US en général qui nous sort ça..)





Ho ça va toi, avec ton comment-gate !

&nbsp;





&nbsp;

<img data-src=" />&nbsp; ==&gt; []


votre avatar

Le HS se gâte…

votre avatar

Le fait que les mises à jour doivent être validées par le fournisseur de l’OS (Google), le fabricant du téléphone portable et le fournisseur de service (SFR/Orange/…), oui, c’est n’importe quoi.

Et de mémoire seuls les téléphones sous Android font ça.

votre avatar

D’où l’interêt de ne pas acheter de téléphone à l’opérateur, ça raccourci déjà un peu la chaîne.

votre avatar

un jour il vont nous trouver la faille bill Gate(s) ^^

&nbsp;ah oui pardons ca s’appel Microsoft :)

votre avatar

Bon, du coup, toujours pas de remise en cause sur le système de distribution d’Android ?



C’est en train de tellement partir en couille… Et je suis sûr que l’on est pas au bout de nos peines. Il doit y avoir encore plein de faille.

votre avatar

Il n’y a pas Motorola!

votre avatar

Et le note 3 pourtant bien plus récent que le GS3 on se le met bien profond??

votre avatar







Zergy a écrit :



Le fait que les mises à jour doivent être validées par le fournisseur de l’OS (Google), le fabricant du téléphone portable et le fournisseur de service (SFR/Orange/…), oui, c’est n’importe quoi.

Et de mémoire seuls les téléphones sous Android font ça.





Non, c’était déjà le cas pour les téléphones avant les smartphone, mais il n’y avait cependant pas de mise à jour (et aussi moins de risque d’attaque).


votre avatar

<img data-src=" />





alain57 a écrit :



un jour il vont nous trouver la faille bill Gate(s) ^^

 ah oui pardons ca s’appel Microsoft :)





<img data-src=" />


votre avatar

Krogoth a écrit :

Et le note 3 pourtant bien plus récent que le GS3 on se le met bien profond??



Le mot recent ne veut rien dire chez Samsung pour les MAJ, le galaxy S3 4G a une rom plus recente que le S5 Mini par exemple :) et les 2 tel non brander, le S3 est en 4.4.4 et le S5 mini en 4.4.2

&nbsp;

votre avatar







jb18v a écrit :



faut arrêter d’appeler ‘machin-gate’ le moindre problème technologique, ça en devient ridicule <img data-src=" />



(c’est pas envers Vincent mais la presse US en général qui nous sort ça..)





Pas content Gate ?


votre avatar

perso, je dirais plutôt “toujours pas de remise en cause du système d’exploitation”. Il y en a d’autres moins visés par les failles de sécurité ^^

votre avatar







sleipne a écrit :



perso, je dirais plutôt “toujours pas de remise en cause du système d’exploitation”. Il y en a d’autres moins visés par les failles de sécurité ^^







En soit, l’OS, d’Android n’est pas si mauvais. C’est grosso merdo un linux, , quelques bibliothèque, une VM compatible java des interfaces de programmation et des applications. (pour faire encore plus simple, Android, c’est une simple VM java sur un linux)

Pratiquement toutes les applications de bases sur android (contact, SMS, photo, bureau…) ne sont que des applications Android (java) au même titre que celle que tu trouves sur le store.

En théorie, les failles devrait être assez rare, elle ne devrait être lié qu’au noyau linux au bibliothèque ou à l’interface de programmation. Et normalement, vu que ces partie sont assez génériques et utilisé un peu partout (dans le monde du PC par exemple), normalement, ce ne devrait pas être des sources de failles.


votre avatar







data_gh0st a écrit :



Boarf, de toute façon Mme Michu est déjà exposée à presque tous les vecteurs d’attaque possibles, et les power users doivent utiliser une rom custom qui intégrera rapidement le patch.&nbsp;

Après, si vous voulez éviter ce mode de distribution, reste les Nexus, Apple, et Jolla. &nbsp;(peut être Win10 ? )





Michu ne sort jamais du store pour l’installation d’une app.

Encore un buzz pour pas grand chose….&nbsp;


votre avatar







jb18v a écrit :



faut arrêter d’appeler ‘machin-gate’ le moindre problème technologique, ça en devient ridicule <img data-src=" />



(c’est pas envers Vincent mais la presse US en général qui nous sort ça..)





Il y a pourtant le Bill-Gate qui pose un vrai problème technologique !


votre avatar

Youpi, mon Xiaomi MI4 n’est pas concerné ! Les vilains pirates des internets ne peuvent pas espionner mon téléphone, juste le gouvernement chinois ! <img data-src=" />

votre avatar

Puisque personne ne la fait…

Benjamin Gate ?

Je suis loin ==&gt; [ ]

votre avatar

C’est le même problème avec les Windows Phone, seul Apple n’a pas ces limitations

votre avatar

Cool je ne suis pas touché avec cyanogenmod sur un moto g 2014. Ce qui est pratique avec cyanogenmod, c’est que les des eux sont reactifs et font des Mans ttes les semaines, ce qui n’est pas le cas de messieurs les operateurs et constructeur de merde

votre avatar







M_Michu a écrit :



C’est qui est con , c’est que le suffixe -gate ne veut étymologiquement rien dire.

Ils ont juste détaché un nom propre totalement anodin en 2. <img data-src=" />





<img data-src=" />





M_Michu a écrit :



La Col-gate <img data-src=" />







c’est parti pour les blagues à bide <img data-src=" />





<img data-src=" />





mahn a écrit :



Puisque personne ne la fait…

Benjamin Gate ?

Je suis loin ==&gt; [ ]





<img data-src=" />


votre avatar

Je pressent que pas mal de chercheurs en sécu vont vouloir trouver LA faille qui fera le plus gros buzz. &nbsp;Du coup on est partit pour une petite série de news sur des failles Android.

&nbsp;Ça aura le mérite d’essayer de tirer la sécurité de l’OS vers le haut.

&nbsp;

&nbsp;/my life/ A priori sous cyanogen je suis tranquille /my life/&nbsp;

votre avatar







Zergy a écrit :



Le fait que les mises à jour doivent être validées par le fournisseur de l’OS (Google), le fabricant du téléphone portable et le fournisseur de service (SFR/Orange/…), oui, c’est n’importe quoi.

Et de mémoire seuls les téléphones sous Android font ça.







Je me demande comment aurait été l’informatique aujourd’hui si la moindre mise à jour WIndows il y a 10 ans devait être validée par le fabricant du PC et le FAI.

Voire du constructeur de chacun des composants…


votre avatar







Picos a écrit :



Je pense que l’on aura le même soucis sur Ubuntu Touch quand plus de constructeur seront dessus.





Encore faudrait il que des constructeurs soient dessus <img data-src=" />


votre avatar

Justement, aux dernières nouvelles, Windows 10 permettrait de lever ces limitations.

votre avatar

On est encore en train de cracher sur Win 10 et les donnés qu’il prenne et vous mettez un lien pour une aplli, censé vérifié la faille, qui prend les identités du tel et les réseaux lol, c’est tellement magique !!

votre avatar

Au final, si je comprend bien, c’est une faille de sécurité due à un outil tiers … un peu comme une faille flash ..&nbsp;

&nbsp;

&nbsp;il y a une boite qui vend des outils aux OEM, elle fait de la merde, tous les OEM l’installent et ça devient la faute d’Android … cool&nbsp;<img data-src=" />

votre avatar

Ils supportent le S3 et ils zappent le Note 3 ??? Sont fous ?&nbsp;<img data-src=" />

votre avatar

Le s3 (toutes versions de soc confondues) est un des téléphone les plus présent dans le parc Android, heureusement que Samsung va le patcher !

votre avatar







sanzi a écrit :





N’en dis pas plus ! <img data-src=" />


votre avatar

Ce vieux bashing anti Java doublé d’un puissant complexe de supérioté est tellement idiot que je ne saurais te suivre.

&nbsp;

Et pourtant qu’est-ce que je déteste Java !

votre avatar







Bejarid a écrit :



Ce vieux bashing anti Java doublé d’un puissant complexe de supérioté est tellement idiot que je ne saurais te suivre.

 

Et pourtant qu’est-ce que je déteste Java !





C89 saupoudré d’asm, il n’y a que ça de vrai. <img data-src=" />


votre avatar







risbo a écrit :



Ahah, Samsung qui zape son Note 3

&nbsp;

&nbsp;Le support chez Android c’est vraiment déplorable&nbsp;





Le note 3 sera bien patche, je sais pas où Nextinpact à trouve sa liste mais elle est fausse:

&nbsp;

&nbsphttp://www.frandroid.com/marques/google/301669_stagefright-google-publie-liste-d…

&nbsp;

&nbsp;Au final, ça reste un exploit tordu:

&nbsp;- il faut récupérer la clé d’un oem, ça se fait pas en 5 min

&nbsp;- il faut l’utilisateur installe une applications malveillante, hors play store, et en plus il faut qu’elle soit inconnu de chez Google car sinon l’antivirus d’Android la détecterait

&nbsp;

&nbsp;Et la c’est bon. Ben désolé, mais c’est bidon comme faille, c’est un cas théorique, en pratique on risque rien. Rien à voir avec Stagefrigth quoi.


votre avatar







after_burner a écrit :



Et le mRST, il est pas open source? comment se fait-il que de tel vulnérabilités aient pu filtrer sur androïd???







De ce que j’ai vu en cherchant un peu plus, ce sont vraiment des applications tierces sans aucun rapport avec direct avec Android.

Par exemple certains constructeurs ont un module Teamviewer intégré dans leurs versions de l’OS.



Le problème viendrait surtout du comment ils protègent les communications inter applications avec soit des certifs soit des méthodes plus ou moins bidons, parce que le canal de communication n’aurait aucune authentification intégrée si j’ai bien compris. (ils parlaient de “Binder”, je suppose que c’est ça ?)



Bref, ce problème tiendrait plus de l’OEM qui vérole lui-même l’OS livré avec son appareil, un peu comme Lenovo dernièrement avec son truc de merde collé dans ses PC.



Ce qui disait l’un des articles que j’ai lu concernant le rapport avec Android, c’est surtout que le système donne une grande ouverture et liberté pour l’OEM (c’est bien) mais derrière l’utilisateur est incapable de s’assurer que le système ne sera pas truffé de connasseries car l’OS étant verrouillé pour lui de base (ça c’est moins bien).


votre avatar

Donc ce n’est pas a la portée du premier pseudo pirate. Mais très utile pour n’importe quelle personne avec un petit peu de moyens. Installer une application une fois, invisible sur le téléphone, et c’est open bar ensuite. C’est idéal pour écouter l’ensemble des conversations de grands patrons français, de la chancelière allemande ou de brésiliens haut placés.





Au final c’est quand même Google le responsable : vu le nombre de constructeurs touchés cela signifie que c’est Google qui n’a pas mis a disposition une API optimisée et sécurisée pour ces besoins. Du coup bidouillage avec des bugs et failles …

votre avatar

:facepalm:&nbsp;

&nbsp;

&nbsp;Donc les failles de Flash c’est la faute de Microsoft, Apple et même les dev de linux ?&nbsp;<img data-src=" />

&nbsp;Bah oui, ils sont incapable de faire un OS sécurisé !

&nbsp;

&nbsp;Les moyens sécurisés elles y sont !&nbsp;

&nbsp;La question est &nbsp;: est ce que les devs du soft sont pas assez con pour les exploiter.

&nbsp;Si les OEM veulent se laisser des backdoor pour pouvoir faire des conneries, c’est forcément la faute de google ?&nbsp;

votre avatar

Payer pour aller en prison ? Pi’ quoi encore ? :p

votre avatar

Tu confonds Certifi-gate et Stagefright.

votre avatar

Quoi ? Même le Galaxy S3 sérieux ? Je n’y croyais plus personnellement. Déjà qu’ils avaient tout bonnement arrêté les mises à jour, je suis agréablement surpris de constater qu’ils vont faire une exception pour le S3 <img data-src=" />

votre avatar







flagos_ a écrit :



il faut l’utilisateur installe une applications malveillante, hors play store, et en plus il faut qu’elle soit inconnu de chez Google car sinon l’antivirus d’Android la détecterait





Je ne vois pas ce que ça a d’impossible. De quel antivirus tu parles ? Le truc intégré à Android pour détecter des applications malveillantes ? Pas sûr qu’il soit aussi efficace que ça et présent sur toutes les versions.



Installer hors du Play Store, rien de compliqué, même pour Mme Michu.


votre avatar







Nikodym a écrit :



C’est sûr qu’il y a des failles par centaines.

Quand on embauche des gens qui ont besoin d’un garbage collector pour coder, la qualité se fait forcément ressentir.

Qui a dit que Java, c’était plus safe ?

Un mauvais programmeur tant qu’il ne se sort pas les doigts du cul, restera un mauvais programmeur.

Java ne rajoute au final qu’une couche de complexité/médiocrité dans le process, mais permet d’embaucher

pas cher.





Je trouve personnellement Java est un bon langage orienté objet. On est pas au niveau de Smalltalk niveau objet, mais bon, celui là personne ne l’utilise. Le paradigme objet n’est pas mauvais en soit, bien utilisé, il permet justement de créer une couche d’abstraction supplémentaire.

En soit, des langages que je connais, java est celui qui t’empêche le plus de te tirer une balle de le pied. Ce qui en fait un langage de prédilection pour la formation et en particulier à la programmation orienté objet. Python ou javascript n’étant pas typé du tout, on peut faire des conneries sans jamais le savoir (dans le cadre de la formation, ce n’est pas vraiment top) et C++… Ha ! C++ ! pour lui c’est simple, tout est compliqué.

Comme tu le dis, un mauvais programmeur fera de la merde. Or dans la communauté java, il y en a plein. Ce n’est donc pas le langage qui est a blâmer, mais plus la communauté.







Nikodym a écrit :



C89 saupoudré d’asm, il n’y a que ça de vrai. <img data-src=" />







Autant dire, tu doit faire du système, et tu bosses sur du unix (linux ou BSD) en x86.



Niveau champs de mines, C n’est pas en reste. Bon, après c’est écrit dessus.

Mais bon, même dans un code spécialiser dans la sécurité, ça n’empêche pas de faire des connerie avec les tables et de balancer à qui le demande des parties de la mémoire d’un serveur….


votre avatar

Oui, c’est vrai, mais dans les autres cas, un patch est disponible, rapidement ou pas mais jamais on entend dire :“désolé on peut rien faire”

votre avatar

Certes mais ce n’est pas la faute d’Android, les purs produits Android (Nexus) sont mises à jour, le problème vient des constructeurs et/ou opérateurs qui modifient le système…



Tu n’as totalement tort car Google les autorisent à faire ces modifs, mais au final en regardant bien, le problème n’est pas Android.

votre avatar

revenez sur Blackberry si vous voulez de la sécurité !!&nbsp;

votre avatar

Ça me conforte dans l’idée d’être passé sous Firefox OS…

votre avatar

de toute façon, si tu ne viens pas à Blackberry, c’est BB qui ira à Android&nbsphttp://www.frandroid.com/rumeurs/302139_bleckberry-venice-de-nouveaux-cliches-mo…

&nbsp;

&nbsp;<img data-src=" />

votre avatar







Zergy a écrit :



Le fait que les mises à jour doivent être validées par le fournisseur de l’OS (Google), le fabricant du téléphone portable et le fournisseur de service (SFR/Orange/…), oui, c’est n’importe quoi.

Et de mémoire seuls les téléphones sous Android font ça.





Je ne trouve pas ça si surprenant. L’OS de la même manière que les applications sont soumise à vérification par Androïd.

Ça permet sans doute de vérifier que les constructeurs et FAI ne fassent pas n’importe quoi avec l’OS (et respectent la licence).



Ce que je trouve choquant, ce sont les constructeurs et FAI qui trainent à répercuter les MAJ (quand ils le font..) et surtout qui ne corrigent pas les failles sur les téléphones relativement récents.



Après effectivement, pour les failles critiques il faudrait peut-être revoir le système de validation par androïd pour gagner du temps, mais mon petit doigt me dit que ce sont les constructeurs et les FAI qui sont les plus poussifs dans le processus de correction/distribution..


votre avatar







Bob le Moche a écrit :



Ça me conforte dans l’idée d’être passé sous Firefox OS…





D’après ce qu’il est dit sur le site de Firefox OS, il y aura le même soucis avec un surcouche constructeur/FAI possible et le déploiement des majs à la responsabilité des constructeurs/FAI.

&nbsp;



&nbsp; ===========================================

&nbsp;Note&nbsp;: Le fabricant de votre appareil ainsi que votre

opérateur de réseau mobile sont chargés de vous fournir les mises à jour

système de Firefox&nbsp;OS.

&nbsp;===========================================

&nbsp;Source


votre avatar







SebGF a écrit :



De ce que j’ai vu en cherchant un peu plus, ce sont vraiment des applications tierces sans aucun rapport avec direct avec Android.

Par exemple certains constructeurs ont un module Teamviewer intégré dans leurs versions de l’OS.



Le problème viendrait surtout du comment ils protègent les communications inter applications avec soit des certifs soit des méthodes plus ou moins bidons, parce que le canal de communication n’aurait aucune authentification intégrée si j’ai bien compris. (ils parlaient de “Binder”, je suppose que c’est ça ?)



Bref, ce problème tiendrait plus de l’OEM qui vérole lui-même l’OS livré avec son appareil, un peu comme Lenovo dernièrement avec son truc de merde collé dans ses PC.



Ce qui disait l’un des articles que j’ai lu concernant le rapport avec Android, c’est surtout que le système donne une grande ouverture et liberté pour l’OEM (c’est bien) mais derrière l’utilisateur est incapable de s’assurer que le système ne sera pas truffé de connasseries car l’OS étant verrouillé pour lui de base (ça c’est moins bien).





J’y ait mis un peu de sarcasmes&nbsp;<img data-src=" />. J’en ai aucunes idées mais vu la description du mRST, je me doute fort que les constructeurs ne communiquent pas trop sur les outils leur permettant de garder le contrôle de l’appareil.

&nbsp;

&nbsp;C’est pas quelque chose qu’ils ont intérêt à communiquer au public.


votre avatar







Vekin a écrit :



Je ne vois pas ce que ça a d’impossible. De quel antivirus tu parles ? Le truc intégré à Android pour détecter des applications malveillantes ? Pas sûr qu’il soit aussi efficace que ça et présent sur toutes les versions.



Installer hors du Play Store, rien de compliqué, même pour Mme Michu.





Ben c’est pas que c’est compliqué, c’est juste que sacrément déconseillé. &nbsp;De toutes façons, si tu installés en dehors du store, tu prends déjà beaucoup de risques.

&nbsp;

&nbsp;L’antivirus sur Android reste un truc inutile en théorie mais à priori efficace. Google l’a mis en place au moment d’Android 4.0, donc c’est largement déployé, au cas où une faille ou une mauvaise habitude de charger en dehors fasse proliférer un virus. Une sorte de bouton rouge quoi.


votre avatar







khertan a écrit :



hum … blackberry … symbian (bon ca ok … c est mort …)







Il y a aussi Tizen, Firefox OS, WinCE<img data-src=" />


votre avatar

Et ce qui va protéger Mme Michu, c’est l’intérêt d’aller chercher une appli en dehors de Google Play. Pour Mme Michu, il est nul, du coup, la question de savoir si c’est facile ou non ne se pose même pas vraiment.

Pour le bricoleur du dimanche, il faut aller chercher une option dans le 3° niveau de menu, et les avertissements sont clairs, c’est pas quelque chose qu’on fait par erreur.

votre avatar







tazvld a écrit :



Je trouve personnellement Java est un bon langage orienté objet. On est pas au niveau de Smalltalk niveau objet, mais bon, celui là personne ne l’utilise. Le paradigme objet n’est pas mauvais en soit, bien utilisé, il permet justement de créer une couche d’abstraction supplémentaire.

En soit, des langages que je connais, java est celui qui t’empêche le plus de te tirer une balle de le pied. Ce qui en fait un langage de prédilection pour la formation et en particulier à la programmation orienté objet. Python ou javascript n’étant pas typé du tout, on peut faire des conneries sans jamais le savoir (dans le cadre de la formation, ce n’est pas vraiment top) et C++… Ha ! C++ ! pour lui c’est simple, tout est compliqué.

Comme tu le dis, un mauvais programmeur fera de la merde. Or dans la communauté java, il y en a plein. Ce n’est donc pas le langage qui est a blâmer, mais plus la communauté.





Java, conceptuellement parlant, pour ses auteurs, est une merveille du genre.

Le problème comme tu l’as dit, c’est la communauté de développeurs qu’il attire.







tazvld a écrit :



Autant dire, tu doit faire du système, et tu bosses sur du unix (linux ou BSD) en x86.



Niveau champs de mines, C n’est pas en reste. Bon, après c’est écrit dessus.

Mais bon, même dans un code spécialiser dans la sécurité, ça n’empêche pas de faire des connerie avec les tables et de balancer à qui le demande des parties de la mémoire d’un serveur….





Avec une certaine rigueur de travail (preuve, preuve, preuve…), on évite toujours les situations problématiques. Au delà, C ou Java, l’erreur est humaine.

Je ne fais pas de ‘système’, bien que j’ai été amené à concevoir des noyaux (avec des implémentations partielles du C ANSI), mais je ne suis pas ‘développeur’ <img data-src=" />

On travaille avec x86, arm et mips, et sur SPIR-V.


votre avatar







Nikodym a écrit :



Java, conceptuellement parlant, pour ses auteurs, est une merveille du genre.

Le problème comme tu l’as dit, c’est la communauté de développeurs qu’il attire.





Avec une certaine rigueur de travail (preuve, preuve, preuve…), on évite toujours les situations problématiques. Au delà, C ou Java, l’erreur est humaine.

Je ne fais pas de ‘système’, bien que j’ai été amené à concevoir des noyaux (avec des implémentations partielles du C ANSI), mais je ne suis pas ‘développeur’ <img data-src=" />

On travaille avec x86, arm et mips, et sur SPIR-V.







Je cite le Bjarne Stroustrup :





Bjarne Stroustrup a écrit :



C makes it easy to shoot yourself in the foot; C++ makes it harder, but when you do it blows your whole leg off.





Ainsi, C est particulièrement peu sécurisé au connerie humain, cependant d’autre langage plus haut niveau ne sont pas infaillible pour autant, c’est juste plus difficile à provoquer.


votre avatar







tazvld a écrit :



Je cite le Bjarne Stroustrup :



Ainsi, C est particulièrement peu sécurisé au connerie humain, cependant d’autre langage plus haut niveau ne sont pas infaillible pour autant, c’est juste plus difficile à provoquer.





Je n’aime pas C++ et tout ce qui va à l’encontre du zero-cost <img data-src=" />



Dennis Ritchie <img data-src=" />


votre avatar







Nikodym a écrit :



C’est sûr qu’il y a des failles par centaines.

Quand on embauche des gens qui ont besoin d’un garbage collector pour coder, la qualité se fait forcément ressentir.

Qui a dit que Java, c’était plus safe ?

Un mauvais programmeur tant qu’il ne se sort pas les doigts du cul, restera un mauvais programmeur.

Java ne rajoute au final qu’une couche de complexité/médiocrité dans le process, mais permet d’embaucher pas cher.







Tout à fait c’est ce que je me tue a dire. Regarde cette magnifique biiiip qu’est jboss. Un enchevêtrement de merde qui donne une bonne grosse bouze ingérable et inmaintenable, où il faut une équipe complète pour gérer le truc pour gagner quoi au final? Que le développeur n’ai pas trop à réfléchir…


votre avatar

Du coup on aurait pas trouvé LA faille qui permet de rooter n’importe quel téléphone ?

votre avatar







Alesk a écrit :



Tout à fait c’est ce que je me tue a dire. Regarde cette magnifique biiiip qu’est jboss. Un enchevêtrement de merde qui donne une bonne grosse bouze ingérable et inmaintenable, où il faut une équipe complète pour gérer le truc pour gagner quoi au final? Que le développeur n’ai pas trop à réfléchir…







Et je serais curieux de connaître le coût matériel, cpu, mémoire et électrique d’un pauvre Hello world dans jboss :)


votre avatar

Xperia z3 compact, pas de failles ! \o/

votre avatar

hum … blackberry … symbian (bon ca ok … c est mort …)

votre avatar

Et les galaxy a3, a5, a7 ? Milieu de gamme = pas de support ?

votre avatar







js2082 a écrit :



Y a pas sony dans le lot?

&nbsp;

Ça surprend. Ils sont pourtant coutumier de ce genre de problèmes…







Les rom Sony sont pas très loin des rom Android de base hein. Le seul pb pour moi est l’impossibilité de supprimer certaines applis ! Grrr


votre avatar

En effet à ma grande surprise Acer n’est pas concerné avec la tablette A500. De toutes façons je n’aurai pas espéré de support dans le cas contraire…

Par contre le Galaxy SII est vulnérable et y’aura pas de MàJ de la part de Samsung… :/.



Quelle galère ces MàJ avec Android en devant passer par l’acceptation du constructeur puis du FAI. C’est du n’importe quoi.

Y’a plus qu’à passer sous une ROM alternative ;-).

votre avatar

Ils sont quand même vachement sympas de nous proposer une app qui dit si on est touché ou pas. Et en échange ils ne prélèvent… bah, que des infos sur tous les appareils. Sacré deal pour se constituer une super base de données sur la peur, c’est pas comme si ça changeait quelque chose quelque soit le verdict du scanner.

&nbsp;Prochaine étape: Un antivirus placebo…. Ah, déjà fait. Bon, un app qui dit “Yo”… Mince, aussi… Toutes les apps utiles sont prises ont dirait.

&nbsp;

&nbsp;Aujourd’hui, on a appris qu’une application malveillante peut être… malveillante (et donc exploiter des failles)! Merci Check Point.

votre avatar

Vu la quantité de références que l’on trouve chez certains constructeurs, bon allez, chez samsung, ça fait pas un peu light de voir que seul les Galaxy S3 et+ et les Note 4 seront mis à jour pour une faille de sécurité???

&nbsp;



&nbsp;Et le mRST, il est pas open source? comment se fait-il que de tel vulnérabilités aient pu filtrer sur androïd???

&nbsp;



&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;

&nbsp;<img data-src=" /><img data-src=" />

&nbsp;

votre avatar

Ca fait mal… surtout que l’ensemble du parc est encore sous garantie…

&nbsp;

&nbsp;J’avais choisi ce téléphone pensant que le support durerait au moins deux ans, voir trois…

&nbsp;

&nbsp;‘fin bon, ça reste mieux que ce que HTC avait fait avec le Desire Z…

&nbsp;

&nbsp;Prochain téléphone : un BlackBerry ou un Windows Mobile 10

votre avatar







EMegamanu a écrit :



&nbsp;

&nbsp;Prochain téléphone : un BlackBerry ou un Windows Mobile 10





Un Nokia 3310 <img data-src=" />


votre avatar

Avec j’aurai un peu de mal à aller glandouiller sur Nxi malheureusement. ^^;

votre avatar

j’ai switché d’un iPhone 4 à un Samsung Galaxy Alpha. Même si je suis plus que satisfait de mon Galaxy, je reconnais que l’iPhone a quand même des qualités qui lui sont propre comme le sentiment que tu pourras garder ton téléphone 2-3 ans avant que celui semble obsolète. Android semble de plus en plus couvert de faille, Google repose sur ses acquis et&nbsp; ne corrige que la dernière version d’Android. Il est temps qu’un troisième acteur intervienne afin de les 2 mastodontes que son iOS et Android ne se repose pas sur leurs acquis

votre avatar







jiph a écrit :



Les rom Sony sont pas très loin des rom Android de base hein. Le seul pb pour moi est l’impossibilité de supprimer certaines applis ! Grrr







&nbsp; Comment ça, t’aime pas le market de jeux Playstation et le lecteur de musique Walkman ?

&nbsp;

&nbsp;

Dommage ils n’ont pas poussés le vice jusqu’à renommer le lecteur de vidéo Betamax…


votre avatar







tazvld a écrit :



Bon, du coup, toujours pas de remise en cause sur le système de distribution d’Android ?



C’est en train de tellement partir en couille… Et je suis sûr que l’on est pas au bout de nos peines. Il doit y avoir encore plein de faille.





C’est sûr qu’il y a des failles par centaines.

Quand on embauche des gens qui ont besoin d’un garbage collector pour coder, la qualité se fait forcément ressentir.

Qui a dit que Java, c’était plus safe ?

Un mauvais programmeur tant qu’il ne se sort pas les doigts du cul, restera un mauvais programmeur.

Java ne rajoute au final qu’une couche de complexité/médiocrité dans le process, mais permet d’embaucher pas cher.


votre avatar
votre avatar

Je n’évoque même pas ceux qui ont payé des flag chips pour avoir autant de médiocrité, tout ça pour avoir quelque chose qui ressemble à un produit Apple.

De là à accuser ces constructeurs de colombophilie, si je puis dire, il n’y a qu’un pas…

votre avatar







EMegamanu a écrit :



Avec j’aurai un peu de mal à aller glandouiller sur Nxi malheureusement. ^^;





Tant qu’à faire, tu devrais prendre un iBidule. <img data-src=" />


votre avatar

“Chez HTC, les One M7, M8 et M9.”



Même pas les Desire ? M’en vais retourner sous Cyanogen si ils font rien <img data-src=" />

votre avatar

Ahah, Samsung qui zape son Note 3

&nbsp;

&nbsp;Le support chez Android c’est vraiment déplorable&nbsp;

votre avatar







risbo a écrit :



Ahah, Samsung qui zape son Note 3

 

 Le support chez AndroidSamsung c’est vraiment déplorable





<img data-src=" />


votre avatar

<img data-src=" /> Je ne suis pas concerné !!!

votre avatar

Je commence à comprendre que gratuit, ca veut dire moins que low cost

votre avatar

Je suis également assez étonné de ne pas voir cet appareil dans la liste de ceux qui seront mis-à-jour.

&nbsp;

C’est vraiment un mauvais pas de Samsung pour ce coup. J’espère que les autres constructeurs ne feront pas pareils et que, peut être, Samsung revoit sa copie.

votre avatar

“Commentaire de atomusk supprimé 




     le   


      11/08/2015 à 09:47:40   


     :   


     Réponse à un commentaire supprimé"


&nbsp;Lol, c’est les effets de la double lame : NXi, le seul site ou les modos se swordent entre eux!



<img data-src=" />&nbsp;&nbsp;

<img data-src=" />

votre avatar

Il ne faut pas espérer quoi que ce soit avec Samsung. Installe une cyanogen et une partie de ces failles (StageFright) sont déjà corrigés.

&nbsp;

&nbsp;J’installe les nightlies et aucun problème sur mon Note 3.

votre avatar

non c’est de l’auto - modération de réponse à un Hors sujet&nbsp;<img data-src=" />

votre avatar

ha, c’est donc toi qui t’es auto-censuré après réflexion? Bon c’est de la double lame, mais ça provient du même rasoir. “La perfection au masculin”

<img data-src=" />

votre avatar

il parlait de la news “Alphabet”, je lui répondais d’attendre la news, donc quand elle est sortie, j’ai modéré les 2&nbsp;<img data-src=" />

votre avatar

C’est bien moins romantique comme tu l’expliques, je m’étais imaginé les doubles lames à la bonne vieille méthode bien moyenâgeuse (mode pulp fiction), bref.

&nbsp;

/me repart sur d’autres fantasmes.<img data-src=" />

votre avatar







atomusk a écrit :



il parlait de la news “Alphabet”, je lui répondais d’attendre la news, donc quand elle est sortie, j’ai modéré les 2 <img data-src=" />





Mais qu’est-ce que c’est que ces HS. <img data-src=" />


votre avatar

J’aime le fait que mon précédent post ait été supprimé simplement par ce que j’ai marqué “emoroid” plutôt qu’“Android”.

&nbsp;

&nbsp;Ça sent un peu l’excès de zèle là, Non ?

votre avatar

Ce qui me tue c’est qu’ils continuent a être actif pour le S4 (voir même le S3 dans cette news) alors que ces smartphone sont bien plus anciens (et moins cher à leur sortie donc moins haut de gamme).

votre avatar

Ca dépend, tu veux une seconde couche ?&nbsp;<img data-src=" />

&nbsp;

&nbsp;Je modère autant que possible les m$, les iSheep, pourquoi je modérerai pas emoroid ?&nbsp;<img data-src=" />

votre avatar

@Vincent Au fait, pourrais-tu nous préciser ta source concernant la liste des smartphones éligibles au correctif chez Samsung ?

&nbsp;



&nbsp;Merci.

votre avatar







atomusk a écrit :



Ca dépend, tu veux une seconde couche ?&nbsp;<img data-src=" />

&nbsp;

&nbsp;Je modère autant que possible les m$, les iSheep, pourquoi je modérerai pas emoroid ?&nbsp;<img data-src=" />





Lorsque c’est clairement orienté troll, je peux comprendre, mais là je ne faisais que comparer le système de mise à jour de Android à celui de FF OS.

&nbsp;L’utilisation de Emoroid est certes un trait d’humour foireux et le terme aurait pu être effacé ou remplacé, mais de la à supprimer tout le post, il ne faut pas charrier…


votre avatar

J’ai pas que ça à faire d’aller modifier vos commentaires&nbsp;<img data-src=" />

&nbsp;tu veux pas que je corrige tes fautes d’orthographe aussi (déjà si je corrigeais les miennes&nbsp;<img data-src=" />)

votre avatar

Si j’ai bien compris les nexus ne sont pas inpactés. Du coup pourquoi mettre une photo de Nexus 6 pour illustrer l’article?

votre avatar

parce que mettre tous les téléphones impactés serait plus compliqué ?&nbsp;<img data-src=" />

&nbsp;

&nbsp;

&nbsp;<img data-src=" />

votre avatar

Encore faut il qu il y ai une rom dispo pour ton tel … pour le galaxy a3 … c est niet

votre avatar







chris.tophe a écrit :



Je commence à comprendre que gratuit, ca veut dire moins que low cost







Je n’aime pas ce terme gratuit qui, utilisé , pourrait dédouaner Google/les constructeurs d’apporter tout le support nécessaire en se reposant sur cette soi-disant gratuité.



Jusqu’à preuve du contraire un client lambda achète un PACK complet (smartphone + OS) , étant donné Samsung par exemple ne distingue pas les prix d’un Galaxy sans OS et d’un galaxy complet.

Donc cette gratuité de l’OS n’est pas transparent pour l’utilisateur. Par conséquent il y a un devoir de correctifs, de supports et de mises à jours vis à vis des clients qui paient plein pot leurs appareils.



votre avatar

<img data-src=" />

votre avatar

Du coup, j’ai mis à jour ma tablette de 4.4.4 en 5.1, et pour l’instant, je n’ai constaté que des défauts de navigabilité (mineurs mais bon). Les fonctions prennent maintenant + de clics ou de mouvements pour s’activer (écran de déverrouillage, fonction avion, BP consommée, % de batterie, etc). Quand j’éteins ma tablette et la rallume, il garde en mémoire toutes les applications ouvertes (!!!) quand je fais ensuite défiler les applications.

C’est triste comme Google fait empirer l’expérience utilisateur au fil des saisons (boite de réception fouillis sur Gmail avec l’apparition des onglets, icônes incompréhensibles du grand public pour ex modifier l’objet du mail quand tu réponds, difficulté de trouver le lien de partage pour un album G+, etc).

votre avatar







jb18v a écrit :



faut arrêter d’appeler ‘machin-gate’ le moindre problème technologique, ça en devient ridicule <img data-src=" />



(c’est pas envers Vincent mais la presse US en général qui nous sort ça..)







Depuis que ça existe, t’a attendu 40 ans pour te révolter <img data-src=" />


votre avatar

gâteux-gate ?



–&gt;[]

votre avatar

Merci, j’avais pas vu. Ca veut dire qu’ils sont meilleurs que les autres ?

votre avatar

justement, c’est le seul dont le nom est justifié, dériver toutes les broutilles qu’on voit récemment sur le même modèle de nom, je trouve ça stupide <img data-src=" />

votre avatar







John Shaft a écrit :



gâteux-gate ?



–&gt;[]





Le Sea-gate <img data-src=" />


votre avatar

Ce n’est pas Google qui est à blâmer, si les constructeurs proposaient de base de l’Android stock pur et dur, et leurs personnalisations en options, on n’en serait pas là, ils sont responsable du peu de réactivité qu’ils ont sur le support et les mises à jour, google proposant généralement très vite les correctifs.



Le problème se situe surtout à ce niveau là.





De mon côté, sur smartphone Asus Zenfone 2 551ml (intel atom z3580 x86_64 [email protected] + 4Go de ram) avec CyanogenMod 12.1 installé en remplacement du système android customisé par Asus (ZenUI), non concerné par la faille.



CyanogenMod est un bon fork, quand le téléphone est bien supporté, d’autant que de base on peut esquiver toutes les applications google, et profiter d’un niveau de vie privée acceptable, l’OS intégrant un gestionnaire de permissions. :)

votre avatar

le Golden-gate aussi <img data-src=" />

votre avatar







sleipne a écrit :



perso, je dirais plutôt “toujours pas de remise en cause du système d’exploitation”. Il y en a d’autres moins visés par les failles de sécurité ^^





Le problème c’est que même les autres OS ont le même soucis :

&nbsp;

&nbsp;Extrait du site de Firefox OS :

&nbsp;

&nbsp;Note&nbsp;: Le fabricant de votre appareil ainsi que votre

opérateur de réseau mobile sont chargés de vous fournir les mises à jour

système de Firefox&nbsp;OS.

&nbsp;

&nbsp;Je pense que l’on aura le même soucis sur Ubuntu Touch quand plus de constructeur seront dessus.

&nbsp;



Ce problème est le même avec tout les OS disponibles. Que ce soit iOS ou Blackberry.


votre avatar

C’est qui est con , c’est que le suffixe -gate ne veut étymologiquement rien dire.

Ils ont juste détaché un nom propre totalement anodin en 2. <img data-src=" />

votre avatar

Va y avoir quelques gâteries à coup de sword dans 5 minutes <img data-src=" />

votre avatar







jb18v a écrit :



Le Sea-gate <img data-src=" />







La Col-gate <img data-src=" />







c’est parti pour les blagues à bide <img data-src=" />


votre avatar

Boarf, de toute façon Mme Michu est déjà exposée à presque tous les vecteurs d’attaque possibles, et les power users doivent utiliser une rom custom qui intégrera rapidement le patch.&nbsp;

Après, si vous voulez éviter ce mode de distribution, reste les Nexus, Apple, et Jolla. &nbsp;(peut être Win10 ? )

votre avatar

La Galaxy Tab S n’est pas concernée ?? où ils s’en foutent de leur tablette “haut de gamme” ?

&nbsp;



&nbsp;Sinon, quand on est “root”, on peut shooter l’appli/fichier ? existe-t-il une procédure quelque part ?

Certifi-gate : faille critique dans les outils de supports intégrés par les OEM dans Android

  • Une faille dans les outils utilisés par les OEM pour le support

  • Vol de données, captures d'écran, enregistrement de l'activité

  • Attendre encore une fois le correctif... pour ceux qui l'auront

Fermer