Connexion
Abonnez-vous

iOS : les données des utilisateurs circulent à travers des services cachés

Circulez, il n'y a rien à voir

iOS : les données des utilisateurs circulent à travers des services cachés

Le 23 juillet 2014 à 08h10

Un expert en sécurité a publié des révélations troublantes sur le fonctionnement interne d’iOS. Selon lui, le système mobile rassemble dans certaines zones des informations sensibles et personnelles sur l’utilisateur. Des zones qui peuvent être exploitées à distance, pour peu que l’on ait les bonnes informations techniques.

ios Zdziarski fuitesios Zdziarski fuites

Un torrent d'informations récupérées sans consentement de l'utilisateur 

Jonathan Zdziarski est un expert en sécurité, adepte du jailbreak, qui a présenté à la conférence Hope X des résultats assez troublants sur ses propres consultations du fonctionnement d’iOS. Au sein du système mobile, plusieurs services sont ainsi chargés de rassembler des données dans des zones particulières de la mémoire, pour les exposer à certains mécanismes. Que sont-ils ? C’est justement toute la question.

 

Pour Zdziarski, le problème est particulièrement sérieux. Parmi les services, le plus représentatif est « com.apple.mobile.file_relay ». Il peut récupérer une montagne d’informations personnelles :

  • La liste des positions géographiques enregistrées
  • Les données des différents comptes email, Twitter et autres réseaux sociaux et services de stockage distant
  • Une copie complète du carnet d’adresses, y compris les fiches qui ont été supprimées
  • Une copie complète de la pellicule photographique, où le téléphone stocke tous les clichés
  • Un cache de la structure des dossiers

Toutes ces informations sont placées dans un lieu unique et peuvent techniquement être accédées sans que le moindre mot de passe soit réclamé. Zdziarski indique ne pas savoir à quoi sert ce service, mais deux autres, nommés Pcapd et House_arrest pourraient avoir été mis en place pour permettre aux développeurs de gérer certains paramètres, ou à un support technique de réagir plus rapidement. Mais le premier permet de lire tout ce qui transite par le téléphone quand une connexion Internet est active, tandis que le second récupère des informations potentiellement sensibles dans les réseaux sociaux, le tout sans que le mode développeur ou support soit activé.

 

ios Zdziarski fuitesios Zdziarski fuites

De potentiels outils très puissants 

Évidemment, exploiter ces informations n’est pas à la portée du premier venu. Selon Zdziarski, c’est même assez compliqué. Mais il part d’un principe simple : si lui y est arrivé, d’autres pourront le faire, d’autant que le fonctionnement de ces services pose la question d’une potentielle récupération des données par les agences de renseignement. Lui-même s’est développé pour son propre compte un logiciel exploitant ces services, afin de contrôler l’activité des smartphones de ses enfants.

 

Zdziarski est lui-même appelé régulièrement sur le terrain pour intervenir dans des enquêtes où son expertise est nécessaire. Il explique ainsi que les forces de l’ordre seraient tout à fait capables d’exploiter de telles portes ouvertes dans iOS. Car même si l’iPhone, l’iPad ou l’iPod Touch n’est pas présent sur les lieux, tout ordinateur ayant servi à effectuer ne serait-ce qu’une seule synchronisation garde en réserve un fichier contenant des clés particulières, qui déverrouillent les fameuses informations.

 

ios Zdziarski fuitesios Zdziarski fuites

 

Ce problème de synchronisation ne s’arrête pas aux ordinateurs. Techniquement, tout appareil disposant de la capacité d’appairage, qu’elle soit en Wi-Fi ou en Bluetooth, peut être utilisé pour récupérer les clés. Zdziarski note cependant que la version 7 d’iOS ne permet plus de réaliser un appairage sans que l’utilisateur ait expressément donné son accord via, le plus souvent, une validation sur l’écran tactile. Toujours selon l’expert, les enquêteurs disposent ainsi d’une clé USB capable de travailler seule une fois branchée sur un ordinateur et de récupérer des informations. Il serait aisé de faire évoluer cette solution en tenant compte de ces découvertes. Techniquement, cela pourrait en fait être déjà le cas.

Des fonctions cachées, sans aucune documentation 

C’est bien là tout le souci : il s’agit de fonctionnalités existantes dans iOS mais qui n’ont aucune documentation. Si lui est parvenu à s’en servir et à détourner ces services pour les utiliser comme moyens de contrôle, la NSA peut en faire autant. L’agence n’a d’ailleurs pas nécessairement besoin d’accéder physiquement à un ordinateur ou un appareil synchronisé avec le smartphone si elle peut exploiter directement le service qui permet la lecture du flux à distance. La théorie semble d’autant plus valide que de très nombreux articles ont largement détaillé les méthodes parfois très élaborées de la NSA pour récupérer les informations dont elle a besoin.

 

Tout le danger réside dans le fait que ces fonctions existent et qu’aucune information n’est disponible à leur sujet. Dans une très longue présentation technique sur le sujet, Zdziarski passe d'ailleurs en revue les hypothèses de leur utilité. Mais qu’il s’agisse de support technique, de besoins des développeurs, d’iTunes ou de Xcode (l’environnement de développement intégré d’Apple), aucune ne lui semble acceptable.

 

ios Zdziarski fuitesios Zdziarski fuites

Services cachés, failles 0-day : même combat 

On peut facilement dresser un parallèle entre cette situation et les failles 0-day que la NSA a désormais la réputation de collectionner à son propre bénéfice. Et les dangers de ce genre de pratique sont très concrets : il est impossible de savoir à un instant T quels sont les autres acteurs à bénéficier des autres connaissances. En d’autres termes, si ces fonctions ont été créées pour des besoins basiques ou pour la NSA, le résultat est strictement le même : personne ne peut affirmer qu’elles ne sont pas déjà utilisées de manière malveillante.

 

Pour Zdziarski, rien n’empêche aujourd’hui une personne possédant les bonnes connaissances techniques de profiter de la situation. Il explique que même avec iOS 7, qu’il présente pourtant comme une vraie évolution en termes de sécurité, l’installation de malwares parfaitement invisible reste possible.

 

Aujourd’hui, il demande à Apple d’expliquer à quoi servent ces fonctions, comme il l’a indiqué à Ars Technica, car il estime ne pas pouvoir utiliser « d’autre mots que porte dérobée » : « Ses seuls buts sont de balancer des données, contourner le chiffrement et vous donner la même quantité de données que vous obtiendriez dans une sauvegarde du téléphone, parfois même davantage. Nous avons vraiment besoin que quelqu’un chez Apple se lève et explique ce que ça fait là. Il n’y a aucune raison logique à sa présence sur 600 millions d’appareils ».

Apple s’explique mais ne convainc pas

Jonathan Zdziarski a publié ses découvertes sur son blog vendredi 18 juillet, mais c’est un article publié par The Hacker News qui lui donnera finalement sa grande visibilité. Et Apple n’a pas tardé à réagir : dans une réponse publiée la nuit-même sous la forme d’explications techniques, la firme indique essentiellement que tout est normal.

 

Apple aborde chacun des trois services qui ont été cités précédemment dans cet article, en précisant son utilité :

  • com.apple.mobile.file_relay : rassemble des données de diagnostic qui pourront éventuellement servir plus tard, notamment par l’AppleCare, uniquement avec l’accord du client. Le service est séparé des sauvegardes classiques et n’a pas d’accès à l’ensemble des données du téléphone.
  • com.apple.mobile.pcapd : permet la capture des paquets de diagnostics d’un appareil iOS vers un ordinateur de confiance. Apple indique qu’il est utile lors de diagnostics d’applications ne fonctionnant pas, ou pour les VPN d’entreprise.
  • com.apple.mobile.house_arrest : le service est utilisé par iTunes pour le transfert des documents vers ou depuis un appareil iOS. Xcode s’en sert également pour transférer des données de test sur un appareil contenant une ou plusieurs applications en développement.

En d’autres termes, tout irait bien et chacun de ces services a été créé dans un but parfaitement légitime. La firme précise en outre que lors d’un échange entre un appareil iOS et un ordinateur de confiance, les données sont chiffrées avec des clés qui ne sont jamais partagées avec l’entreprise. Si la synchronisation sans fil est activée avec iTunes, ces services peuvent être utilisés à distance par l’ordinateur.

 

Cependant, Apple ne pouvait pas passer à côté d’une réponse plus claire sur des éventuels liens avec la NSA. Le site du support en ligne n’étant pas conçu pour ces questions, la firme a choisi de répondre directement au site iMore en indiquant qu’elle n’avait « jamais travaillé avec la moindre agence gouvernementale de quelque pays que ce soit pour créer une porte dérobée dans l’un de nos produits ou services ».

 

Jonathan Zdziarski a lui aussi réagi en publiant un autre billet sur son blog. Il ne croit absolument pas aux explications données par Apple, selon lesquelles « ces services sont uniquement destinés aux diagnostics ». Car si tel était le cas, il ne comprendrait pas pourquoi ces outils auraient besoin de rassembler des données « de nature extrêmement personnelle », en contradiction directe des explications données d’ailleurs par la firme.

 

Pour l’expert, de trop nombreux éléments contredisent Apple, sans parler de trainée de poudre laissée par les révélations successives d’Edward Snowden sur les capacités de la NSA. Il comprend le besoin pour la firme de posséder des outils de diagnostic, mais les trois cités précédemment vont bien au-delà de ces prérogatives, tout en brisant une forme de promesse implicite à l’utilisateur « quand il définit un mot de passe pour ses sauvegardes [chiffrées] : que les données sur son appareil ne pourront sortir de son téléphone que sous forme chiffrée ».

Commentaires (97)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ca me rappel je ne sais plus qu’elle reportage où le mec en branchant n’importe quel téléphone sur un PC, arrive à récupérer tout les historiques de conversation ainsi que les informations perso des amis sur facebook …

votre avatar







Konrad a écrit :



Le gars avait tout sur des appareils connectés à l’iCloud, et n’avait aucune sauvegarde ailleurs ? Sérieux ?!? <img data-src=" />



Règle No.1 de la sauvegarde : ne jamais faire confiance à un unique média… Même si ce média est le Cloud. <img data-src=" />







Ironiquement ici si il avait sauvegardé dans le cloud ça aurait été <img data-src=" />



La fonctionnalité “formate les iDevices” et supprime tous les fichier “locaux”, mais conserve quand même tout ce qui est dans le cloud … c’est même le but <img data-src=" />



Et justement ça avait permis une attaque “avec l’airplaine mode” :http://www.zdnet.com/ios-7s-airplane-mode-can-be-exploited-for-iphone-account-hi… où l’attaquant laisse même le téléphone se faire formatter, le réactive et le téléphone ira retélécharger toutes les conf/données & co depuis le cloud <img data-src=" />


votre avatar

Au lendemain de leur annonce de partenariat avec IBM pour porter des applications (comme l’ administration et la sécurité…) sur les terminaux Apple des entreprises et des industries (et percer sur ce marché) cela doit rassurer les futurs clients de savoir que la plate forme Apple est de base, ultra secure…

votre avatar







Aphelion a écrit :



C’est le genre de truc que finalement tu sais pertinemment au fond de toi que ça existe, mais t’a toujours envi que ça soit faux. Donc rien de choquant, simplement une confirmation. Après, si on devait arrêter d’acheter ou d’utiliser chaque appareil informatique possédant une backdoor, je suppose qu’on aurait pu qu’à retourner à l’Âge de Pierre…









Le problème n’est pas de savoir si au fond de toi tu le sais ou non. Moi je vois le souci autrement.



Depuis maintenant des années Microsoft se prend dans la tronche qu’il met des backdoors dans ces produits en se faisant conspuer par une bonne partie de la toile (à raison au passage si c’est avéré). Là Apple est pile poil dans la même escarcelle que le Microsoft que beaucoup décrivent mais c’est moins important/grave.. Deux poids, deux mesures.





Peu importe la socièté qui le fait, c’est inadmissible et encore plus quand pendant des années on a expliqué pendant ces keynotes que l’on est le boss de la sécurité sur mobile en comparaison des concurrents (or BB)…


votre avatar







Mr.Nox a écrit :



Depuis maintenant des années Microsoft se prend dans la tronche qu’il met des backdoors dans ces produits en se faisant conspuer par une bonne partie de la toile (à raison au passage si c’est avéré). Là Apple est pile poil dans la même escarcelle que le Microsoft que beaucoup décrivent mais c’est moins important/grave.. Deux poids, deux mesures.





Sauf qu’entre temps Snowden est passé par là, donc maintenant on s’y attend et on sait qu’on peut pas y faire grand chose, à part encourager les alternatives.



Ce n’est pas que c’est pas grave, juste qu’il y a plus de résignation.



Et au passage : s/ces/ses/g


votre avatar







Khalev a écrit :



Sauf qu’entre temps Snowden est passé par là, donc maintenant on s’y attend et on sait qu’on peut pas y faire grand chose, à part encourager les alternatives.



Ce n’est pas que c’est pas grave, juste qu’il y a plus de résignation.



Et au passage : s/ces/ses/g







Comme souvent, je ne me suis pas relu.. <img data-src=" />



Pour le reste, j’ai le souvenir que même après les révélations de Snowden il y avait eu ici même un gros débat sur la fameuse NSA_Key des produits MS. Deux poids, deux mesures.



Demain on prend le même article en mettant Google et les commentaires n’auront rien à voir, c’est une certitude.


votre avatar

Il déconnait pas quand il disait que la sword est aiguisée !

votre avatar







Mr.Nox a écrit :



Comme souvent, je ne me suis pas relu.. <img data-src=" />



Pour le reste, j’ai le souvenir que même après les révélations de Snowden il y avait eu ici même un gros débat sur la fameuse NSA_Key des produits MS. Deux poids, deux mesures.



Demain on prend le même article en mettant Google et les commentaires n’auront rien à voir, c’est une certitude.





Ça date pas de 15 ans ou un truc comme ça la NSA_KEY?


votre avatar

Je sais pas, j’ai juste vu que ça en parlait pas mal pour mettre en avant que MS était corrompu.

votre avatar







trash54 a écrit :



Sinon pourquoi même pas surpris et dans l’attente des même recherche sur Android, WP, BBOS, ….. quoi tous les OS pour smartphone







Android… enfin plutôt AOSP a au moins l’avantage d’être Open Source. C’est à dire que s’il existe de tels services “étranges”, au moins on a le code et peu vérifier si ce qu’ils font semble légitime.



Bien sûr, ça ne met pas à l’abri des bugs/failles plus ou moins intentionnels (cf histoire heartbleed), mais la situation est au moins largement moins “opaque”.


votre avatar







Konrad a écrit :



Oh, j’imagine que Vincent tient sa sword bien haut, bien affûtée et prête à tomber <img data-src=" />







Vu que ça coupe fort, c’est plus une épée mais une guillotine. <img data-src=" />


votre avatar







kade a écrit :



Ah bon, sur Androïd aussi ? Noooon ?

Merde alors. Moi qui…

Mince.







nan nan pas Android ! Google n’est pas comme ça <img data-src=" />


votre avatar







Mihashi a écrit :



Et comment il fait pour savoir que le destinataire a aussi un iphone?







Tel que je le comprends en voyant le comportement du miens :




  • Quand tu saisis un nouveau message, par défaut il est en mode “iMessage”

  • Au moment de l’envoi, il contacte le numéro en face et s’il est reconnu comme étant un iPhone également (je suppute qu’Apple utilise le numéro de tel comme identifiant…), ça passe par iMessage

  • Sinon, ça passe par SMS


votre avatar







neogamer67 a écrit :



nan nan pas Android ! Google n’est pas comme ça <img data-src=" />





Merci pour l’info, j’avoue que j’ai eu un doute <img data-src=" />


votre avatar







SebGF a écrit :



Tel que je le comprends en voyant le comportement du miens :




  • Quand tu saisis un nouveau message, par défaut il est en mode “iMessage”

  • Au moment de l’envoi, il contacte le numéro en face et s’il est reconnu comme étant un iPhone également (je suppute qu’Apple utilise le numéro de tel comme identifiant…), ça passe par iMessage

  • Sinon, ça passe par SMS





    Il me semble surtout qu’Apple a une belle BDD avec tous les numéros des iPhone. D’où l’intérêt de désinscrire son téléphone si on ne prend pas un iPhone histoire que le numéro soit rapidement supprimé de la BDD et ne pas louper de messages venant de ses amis ayant une pomme.


votre avatar







Mr.Nox a écrit :



Je sais pas, j’ai juste vu que ça en parlait pas mal pour mettre en avant que MS était corrompu.





Pour parler de MS corrompu je préfère parler de l’histoire de la Tunisie <img data-src=" />. C’est beaucoup plus clair.



Pour l’histoire NSA_KEY (la découverte date de 1999 selon Wikipedia), vu la taille de MS et leur présence au sein des USA j’hésite entre :




  • ils n’ont pas eu le choix sinon ils perdaient le marché

  • ils l’ont fait pour se garantir le marché

    J’aurais tendance à vouloir que ça soit la première solution, mais c’est mon côté naïf qui veut ça.


votre avatar







Khalev a écrit :



Pour parler de MS corrompu je préfère parler de l’histoire de la Tunisie <img data-src=" />. C’est beaucoup plus clair.



Pour l’histoire NSA_KEY (la découverte date de 1999 selon Wikipedia), vu la taille de MS et leur présence au sein des USA j’hésite entre :




  • ils n’ont pas eu le choix sinon ils perdaient le marché

  • ils l’ont fait pour se garantir le marché

    J’aurais tendance à vouloir que ça soit la première solution, mais c’est mon côté naïf qui veut ça.









    Peu importe et si c’est avéré c’est inadmissible et ça doit l’être peu importe la marque. Sur un site concurrent (même pas un site type macG) les fanboys en sont a se dire que le mec à été mandaté pour faire couler le contrat avec IBM ou que le type n’y connait clairement que dalle et qu’il raconte de la m#@!e… :facepalm:


votre avatar







Bylon a écrit :



Android… enfin plutôt AOSP a au moins l’avantage d’être Open Source. C’est à dire que s’il existe de tels services “étranges”, au moins on a le code et peu vérifier si ce qu’ils font semble légitime.



Bien sûr, ça ne met pas à l’abri des bugs/failles plus ou moins intentionnels (cf histoire heartbleed), mais la situation est au moins largement moins “opaque”.





Les mouchards d’Android ne sont probablement pas dans AOSP (trop visible car open source) mais dans les Google Services qui sont pré-installé sur 99% des appareils. C’est pas pour rien que toutes les applis Google demandent toutes les autorisations existantes sur le système (j’exagère à peine).


votre avatar







tsubasaleguedin a écrit :



Pour moi c’est le but d’imessage, court circuiter le reseau classique pour faire passer les “sms” sur le reseau apple et ainsi siphonner toute les conversations.



Le coté automatique n’arrange pas le concept ( deux iphone bascule imessage automtiquement au lieu de sms ).





Faux : iMessage est parfaitement désactivable !

Question : sur quels relais passent les iMessages ? Les mêmes que pour les SMS, non ? iMessage, c’est pas juste une surcouche aux SMS ???


votre avatar







Ewil a écrit :



Comment ca se passe si tu as un forfait sans data?







On peut désactiver iMessage ! Allez dans Régllages puis Messages, puis iMessages avec son “interrupteur” <img data-src=" />


votre avatar







Ewil a écrit :



Comment ca se passe si tu as un forfait sans data?









Ewil a écrit :



Comment ca se passe si tu as un forfait sans data?





tu fous quoi avec un Smartphone avec un forfait sans data ?



Mais sinon sans data, ça envoie en sms normaux <img data-src=" />


votre avatar

Si dans le fond l’analyse est pertinente je pense que ces demandes vont un peu loin.

Par exemple la demande de cryptage du FS dès le boot c’est bien, mais en cas de bug le risque de perte du contenu du télephone est élévé, c’est un risque qu’apple ne peut pas courrir.



Si on prend le cryptage du dd complet d’un pc en exemple, ca n’est valable que dans le cas d’une boite ultra blindé (ou de l’armé), la perte du contenu du disque devenant assez élévé.



C’est la meme chose pour les sauvegarde iphone avec mot de passe. Dans l’ideal c’est bien, dans les fait il y a une part non negligeable des utilisateurs qui oublient leur mot de passe. Moi si il n’y a pas de besoin imperieux je prefere ne pas en mettre.

Et je pense que pour les société qui ont de gros besoin en securité les telephones grand publics (quel qu’ils soit) ne sont absolument pas bon.

votre avatar

regardez vos dashboards…

votre avatar







misterB a écrit :



tu fous quoi avec un Smartphone avec un forfait sans data ?







Y a du wifi partout… pourquoi payer 15€ de plus pour de la 3G ?


votre avatar







pentest a écrit :



Il est tombé sur un iOS





<img data-src=" />


votre avatar







Ricard a écrit :



L’iPhone, le smartphone avec des vrais morceaux de NSA dedans.<img data-src=" />





post paranoïaque :

pour le peu que tu achètes un smartphone chinois android ( tu as peut-être de vrais morceaux de NSA et de vrais morceaux de chine dedans; comme ça tu fais le grand écart)

note rien ne dit non plus que les iphones étant construit en chine il n’ai pas non plus des backdoor chinoise ….


votre avatar







Zergy a écrit :



Le pire c’est qu’il n’y a pas à troller, ça doit êtrec’est pareil chez Android. :/





<img data-src=" />


votre avatar







monpci a écrit :



post paranoïaque :

pour le peu que tu achètes un smartphone chinois android ( tu as peut-être de vrais morceaux de NSA et de vrais morceaux de chine dedans; comme ça tu fais le grand écart)

note rien ne dit non plus que les iphones étant construit en chine il n’ai pas non plus des backdoor chinoise ….





Quitte à être backdooré à mort, je préfère que ce soit par la Chine.<img data-src=" />


votre avatar







Vanilys a écrit :



C’est simple, dans 90% des cas c’est :





  • “Nan mais de toute façon c’est pareil partout, donc t’inquiète hein..”

    =&gt; sous entendu : c’est pas grave, minimisons tout ça, car chez al concurrence ça doit sûrement être pareil





    Pour ma part, le sens de mon message plus haut était plutôt : c’est pareil chez tous les constructeurs, et c’est grave…



    Malheureusement il n’existe que peu d’alternatives : Cyanogen sans aucune appli Google, Firefox OS, voire Ubuntu pour smartphones (je ne sais pas où ça en est)…


votre avatar







Ewil a écrit :



Comment ca se passe si tu as un forfait sans data?







Faudra trouver l’intéret d’avoir un iphone (ou tout au tre smartphone d”ailleurs) sans un forfait data… Si c’est pour chez toi tu achetes une tablette :)



Sinon c’est pas mal comme trouvaille! Heureusement qu’il y a des gens comme ce ‘hackeur’ qui ont du temps à perdre pour chercher ce genre de choses.


votre avatar







Ewil a écrit :



Comment ca se passe si tu as un forfait sans data?





Et comment il fait pour savoir que le destinataire a aussi un iphone?


votre avatar







Konrad a écrit :



Pour ma part, le sens de mon message plus haut était plutôt : c’est pareil chez tous les constructeurs, et c’est grave…



Malheureusement il n’existe que peu d’alternatives : Cyanogen sans aucune appli Google, Firefox OS, voire Ubuntu pour smartphones (je ne sais pas où ça en est)…





Je parle pour les détracteurs qui refusent de voir ceci comme quelque chose de grave, donc tu n’étais pas ciblé ;-)


votre avatar

Mouhahahahahahahahahaha

votre avatar







Vanilys a écrit :



C’est simple, dans 90% des cas c’est :





  • “Nan mais de toute façon c’est pareil partout, donc t’inquiète hein..”

    =&gt; sous entendu : c’est pas grave, minimisons tout ça, car chez al concurrence ça doit sûrement être pareil



  • “Bof, j’ai rien à cacher”

    =&gt; Donc tout va bien, on peut continuer à collecter / centraliser / analyser / recouper toutes mes données personnelles, c’est pas grave. Et n’oublions pas que ce n’est pas seulement Apple qui peut récupérer ces infos, loin de là …



    De toute façon, ça changera rien : il y aura toujours autant de monde qui achètera le prochain iPhone 6. Seules, peut-être, certaines entreprises feront un peu plus attention, et encore …







    En fait, c’est pas du tout limité aux OS mobile… les OS pour desktop, les navigateurs, parfois les sites et applications directement font de la collecte d’informations pour du profiling depuis longtemps. C’est pas pour rien que des chercheurs en sécurité proposent de faire des clés de cryptage basées sur l’activité informatique d’un utilisateur et plus sur un code / mot de passe. C’est parce que ces données sont connues et utilisable.



    Si tu veux rester “vraiment” annonyme faut éviter tout produit informatique connecté/connectable. Même ceux de ton entourage! Bon courage…


votre avatar







Mihashi a écrit :



Et comment il fait pour savoir que le destinataire a aussi un iphone?







Je suppose qu’il tente le imessage voir si en face ca répond et le cas echeant bascule en sms.



votre avatar







jjeatedi a écrit :



Faudra trouver l’intéret d’avoir un iphone (ou tout au tre smartphone d”ailleurs) sans un forfait data… Si c’est pour chez toi tu achetes une tablette :)



Sinon c’est pas mal comme trouvaille! Heureusement qu’il y a des gens comme ce ‘hackeur’ qui ont du temps à perdre pour chercher ce genre de choses.







Tu peux avoir un iphone et un forfait a 2€ par exemple je voie pas le problème… et tu reponds pas a ma question :)


votre avatar







trouiller a écrit :



Si tu veux rester “vraiment” annonyme faut éviter tout produit informatique connecté/connectable. Même ceux de ton entourage! Bon courage…





Ça me fait penser à un tweet que j’ai vu ce matin:



Servers are like people.

I only trust them if they’re locked in my basement and unable to communicate with the outside world.


votre avatar







trouiller a écrit :



Si tu veux rester “vraiment” annonyme faut éviter tout produit informatique connecté/connectable. Même ceux de ton entourage! Bon courage…





Le problème n’est pas de rester anonyme ou pas… juste de se rendre compte qu’aucun des propos, photos, documents qu’on poste sur le net ne l’est…



Une fois qu’on a compris cela, l’utilisation qu’on fait du net devrait changer radicalement pour certains…


votre avatar







Ewil a écrit :



Tu peux avoir un iphone et un forfait a 2€ par exemple je voie pas le problème… et tu reponds pas a ma question :)







Quand tu as un forfait no data, tu coupe dans les parametres reseau les data.

Et dans ce cas il fait du sms.


votre avatar







carbier a écrit :



Le problème n’est pas de rester anonyme ou pas… juste de se rendre compte qu’aucun des propos, photos, documents qu’on poste sur le net ne l’est…





Oui <img data-src=" />







carbier a écrit :



Une fois qu’on a compris cela, l’utilisation qu’on fait du net devrait changer radicalement pour certains…





Ou pas (pour les même raisons que t’as évoqué avant) mais on peut toujours espérer <img data-src=" />


votre avatar

Est-ce que Tor fonctionne sous iOS au fait ?

Ils pourraient se le permettre maintenant.

votre avatar







tsubasaleguedin a écrit :



Je suppose qu’il tente le imessage voir si en face ca répond et le cas echeant bascule en sms.







Je crois me rappeler que Apple lie ton numéro de téléphone au téléphone sur leur serveur. Du coup ils savent que tel le numéro est utilisé par un iphone donc ils peuvent passer par iMessage. C’était le problème qu’avait rencontré une utilisatrice après avoir changé de téléphone. Apparemment elle ne recevait pas tout car il y avait un soucis. Le numéro de téléphone était toujours référencé chez Apple


votre avatar







tsubasaleguedin a écrit :



Quand tu as un forfait no data, tu coupe dans les parametres reseau les data.

Et dans ce cas il fait du sms.







Donc si tu fais pas ca, ca de fait du hors forfait ?


votre avatar







tsubasaleguedin a écrit :



Eu si tu parle du truc google rien a voir, sur un android, il court circuite pas le systeme de sms automatiquement en mode hangout quand c’est deux android.



Sur un iphone, à partir ou tu sms un autre iphone il bascule en imessage.

C’est aberrant.









Ewil a écrit :



Comment ca se passe si tu as un forfait sans data?









Mihashi a écrit :



Et comment il fait pour savoir que le destinataire a aussi un iphone?









tsubasaleguedin a écrit :



Je suppose qu’il tente le imessage voir si en face ca répond et le cas echeant bascule en sms.







Juste pour info (ça répond à toutes les questions en fait), l’appli Message sur iPhone utilise iMessage uniquement si c’est activé dans les paramètres, si ce n’est pas le cas, Message utilise uniquement des SMS/MMS, peu importe le correspondant.

Même chose lorsque qu’aucune connexion data n’est disponible (réseau merdique), il notifie l’envoi impossible en iMessage, et envoi un SMS à la place (le message n’apparait pas de la même couleur dans l’appli).



Et pour savoir si le correspondant à iMessage ou pas, c’est pas compliqué pour Apple, l’activation du service lie ton compte iCloud à ton numéro de téléphone. Donc je pense que pour chaque SMS que tu essai d’envoyer, ton téléphone fait une requête au serveur Apple pour savoir si le numéro X utilise iMessage ou non, si non, il doit envoyer en SMS.

D’ailleurs ce fonctionnement pose des problèmes, lorsqu’un utilisateur passe d’un iPhone à un autre téléphone, s’il n’a pas désactivé iMessage auparavant, il risque de louper quelques messages…



support.apple.com Apple


votre avatar

beh oui , apple a déjà perdu les client terroristes <img data-src=" />

votre avatar



la firme a choisi de répondre directement au site iMore en indiquant qu’elle n’avait « jamais travaillé avec la moindre agence gouvernementale de quelque pays que ce soit pour créer une porte dérobée dans l’un de nos produits ou services »





C’est vrai.

Apple crée la porte dérobée avant de travailler avec les agences gouvernementales.

Elle leur donne ensuite les indications pour exploiter cette faille.



Techniquement, elle ne travaille pas avec ces agences pour créer la porte dérobée.

votre avatar







tsubasaleguedin a écrit :



Sur un iphone, à partir ou tu sms un autre iphone il bascule en imessage.

C’est aberrant.









Sauf que tu peux désactiver iMessage et dans ce cas il continue en SMS.


votre avatar

Arriver à lire les infos “cachées” dans son propre iPhone.

Quel exploit !! <img data-src=" />

Chapeau <img data-src=" />

Je suis tout ébahi <img data-src=" />

Mais où va le monde <img data-src=" />



Que Apple puisse lire les infos, c’en est une chose.

Dans le cas de cet expert en sécurité, il faut qu’il ait sous la main mon iPhone… Avec ca je peut dormir tranquille <img data-src=" />

votre avatar







AlbertSY a écrit :



Arriver à lire les infos “cachées” dans son propre iPhone.

Quel exploit !! <img data-src=" />

Chapeau <img data-src=" />

Je suis tout ébahi <img data-src=" />

Mais où va le monde <img data-src=" />



Que Apple puisse lire les infos, c’en est une chose.

Dans le cas de cet expert en sécurité, il faut qu’il ait sous la main mon iPhone… Avec ca je peut dormir tranquille <img data-src=" />





<img data-src=" /> Ben dors tranquille alors… Apple veille sur toi…


votre avatar







AlbertSY a écrit :



Arriver à lire les infos “cachées” dans son propre iPhone.

Quel exploit !! <img data-src=" />

Chapeau <img data-src=" />

Je suis tout ébahi <img data-src=" />

Mais où va le monde <img data-src=" />



Que Apple puisse lire les infos, c’en est une chose.

Dans le cas de cet expert en sécurité, il faut qu’il ait sous la main mon iPhone… Avec ca je peut dormir tranquille <img data-src=" />





tu rigoles mais que deviennent ces données t-il si tu vends ton Iphone ?



Se rappeler aussi que la sécurité est faite aussi de petits détails (http://www.lefigaro.fr/secteur/high-tech/2012/08/08/01007-20120808ARTFIG00373-un… )


votre avatar







AlbertSY a écrit :



Arriver à lire les infos “cachées” dans son propre iPhone.

Quel exploit !! <img data-src=" />

Chapeau <img data-src=" />

Je suis tout ébahi <img data-src=" />

Mais où va le monde <img data-src=" />



Que Apple puisse lire les infos, c’en est une chose.

Dans le cas de cet expert en sécurité, il faut qu’il ait sous la main mon iPhone… Avec ca je peut dormir tranquille <img data-src=" />







Dors mon petit, dors. APPLE te dis merci :)


votre avatar







Zergy a écrit :



Le pire c’est qu’il n’y a pas à troller, ça doit être pareil chez Android. :/







heureusement qu’il nous reste windows phone… ;)


votre avatar



heureusement qu’il nous reste windows phone… ;)



Heureusement qu’ il nous reste sur le marché de l’ occasion des Ericsson GH 337 et autres Nokia 3310 ^^

votre avatar







picatrix a écrit :



heureusement qu’il nous reste windows phone… ;)





T’aurai pas un compte chez cluclupar hasard ? <img data-src=" />



Sinon les gars, vous aviez qu’a rester sous Symbian, et picétou


votre avatar







monpci a écrit :



tu rigoles mais que deviennent ces données t-il si tu vends ton Iphone ?



Se rappeler aussi que la sécurité est faite aussi de petits détails (http://www.lefigaro.fr/secteur/high-tech/2012/08/08/01007-20120808ARTFIG00373-un… )







En prenant possession du compte Apple du journaliste, les hackeurs ont également accès au service iCloud. Ce dernier permet d’accéder à toutes ses données depuis n’importe quel appareil ayant accès à Internet … mais aussi de les effacer grâce au service FindMy. Nos hackeurs ne s’en privent pas et effacent tous les documents, photos et vidéos contenus dans les disques durs des appareils de Mat Honan. Ce dernier n’a désormais plus rien.



Le gars avait tout sur des appareils connectés à l’iCloud, et n’avait aucune sauvegarde ailleurs ? Sérieux ?!? <img data-src=" />



Règle No.1 de la sauvegarde : ne jamais faire confiance à un unique média… Même si ce média est le Cloud. <img data-src=" />


votre avatar







tazvld a écrit :



Malheureusement, c’est de plus en plus difficile de faire du troll de qualité sur la NSA et les coloscopies.





Sinon, il y a Android qui est open source.





Avec le firmware modem open source bar qui va avec. <img data-src=" />


votre avatar







Thoscellen a écrit :



les gars, vous aviez qu’a rester sous Symbian, et picétou







J’y suis! Et depuis que Microsoft a racheté Nokia, sur le E72 les MAJ c’est la cata, en particulier pour maps (on peut mettre l’appli navigation à jour, mais impossible de pour la carto vendue comme “à vie”) etc…



Bref, le repreneur est fidèle sa réputation, la boite de Bill(y) Bug est passée par là même si quand ca se bloque y’a pas l’écran bleu car la stabilité aussi est en baisse avec le dernier firmware! Le problème c’est que ca n’incite pas trop les adeptes de la marque à racheter les nouveaux modèles sous windows phone qui ne sont pourtant pas mal à l’usage.



C’est assez débile en fait. Navrant commercialement même.



Mais bon, avoir un iPhone et ne même pas oser l’utiliser en réveil en vacances car j’aurais trop peur que la NSA m’entende voir voit (selon l’orientation favorable de la cam) b<img data-src=" />r… Non merci, je laisse ça aux pommes!

<img data-src=" />


votre avatar

C’est le genre de truc que finalement tu sais pertinemment au fond de toi que ça existe, mais t’a toujours envi que ça soit faux. Donc rien de choquant, simplement une confirmation. Après, si on devait arrêter d’acheter ou d’utiliser chaque appareil informatique possédant une backdoor, je suppose qu’on aurait pu qu’à retourner à l’Âge de Pierre…

votre avatar







trash54 a écrit :



et pour Hangout ??





C’est quoi Hangout?


votre avatar

Ca, ça fait mal, très mal. En même temps, on s’en doutait; non ? C’est pas vraiment une surprise, rassurez-moi ?

votre avatar







trash54 a écrit :



et pour Hangout ??







Eu si tu parle du truc google rien a voir, sur un android, il court circuite pas le systeme de sms automatiquement en mode hangout quand c’est deux android.



Sur un iphone, à partir ou tu sms un autre iphone il bascule en imessage.

C’est aberrant.


votre avatar







kade a écrit :



<img data-src=" />









trash54 a écrit :



La Sword vient de revenir de chez l’affuteur ? <img data-src=" />



Sinon pourquoi même pas surpris et dans l’attente des même recherche sur Android, WP, BBOS, ….. quoi tous les OS pour smartphone









Konrad a écrit :



Oh, j’imagine que Vincent tient sa sword bien haut, bien affûtée et prête à tomber <img data-src=" />







<img data-src=" />


votre avatar







YesWeekEnd a écrit :



Je suis curieux de lire les réactions partisanes

:popcorn:





Cadeau <img data-src=" />


votre avatar







tazvld a écrit :



Sinon, il y a Android qui est open source.





Le code des “Services Google” n’est pas OpenSource lui, mais ils ont approximativement accès à tout le contenu du téléphone, donc si on veut faire fuir des informations par là, on peut. Reste la solution de passer sur des solutions comme les ROMs Cyanogen en consorts mais ça concerne quel pourcentage des utilisateurs ??


votre avatar

Le soucis de la backdoor c’est :

D’où quelle vienne, tout le monde peut s’en servir.

Les pirates pour faire du vol d’info puis chantage.

Les gouvernements pour surveiller, déterminer qui n’est pas d’accord avec les idées communément admises et ranger les gens dans des cases : Parti politique, attirance sexuelles, avis sur tel et tel sujet puis ensuite catégorisation de la personne : “Personne à surveiller car tient des propos étranges”.



Entre les backdoor et le big data, il va falloir surveiller ce qu’on dit..

votre avatar

J attends vivement un smartphone Firefox assez puissant pour ne plus avoir à me soucier de tout ça !!!

votre avatar

Bref, le ver est dans la pomme, l’android est télécommandé et les fenêtres grandes ouvertes… <img data-src=" />

Peut-on faire confiance à SailfishOS, Ubuntu mobile, FirefoxOS ?

Si oui, c’est peut-être pour ça qu’ils ont tant de mal à percer sur le marché, car ils n’ont pas bénéficié de la bienveillante assistance et de l’expertise de la NS…<img data-src=" />

votre avatar



Le pire c’est qu’il n’y a pas à troller, ça doit être pareil chez Android. :/



Cela doit être effectivement le cas partout.



La principale qualité d’ un bon espion n’ est pas d’ espionner mais, de ne pas se faire prendre.



A ce petit jeu, Apple vient de se prendre un gros fail qui ne changera rien auprès de ses clients tant la question de sécurité est une notion bien secondaire dans le grand public.



Ce genre d’ info rendue public mais sur Blackberry, serait par contre et par exemple, un fail nettement plus monumental pour la société.

votre avatar







tic tac a écrit :



Cela doit être effectivement le cas partout.



La principale qualité d’ un bon espion n’ est pas d’ espionner mais, de ne pas se faire prendre.



A ce petit jeu, Apple vient de se prendre un gros fail qui ne changera rien auprès de ses clients tant la question de sécurité est une notion bien secondaire dans le grand public.



Ce genre d’ info rendue public mais sur Blackberry, serait par contre et par exemple, un fail nettement plus monumental pour la société.







Backberry sont déjà au fond du trou donc bon…


votre avatar

L’iPhone, le smartphone avec des vrais morceaux de NSA dedans.<img data-src=" />

votre avatar







YesWeekEnd a écrit :



Je suis curieux de lire les réactions partisanes

:popcorn:





C’est simple, dans 90% des cas c’est :





  • “Nan mais de toute façon c’est pareil partout, donc t’inquiète hein..”

    =&gt; sous entendu : c’est pas grave, minimisons tout ça, car chez al concurrence ça doit sûrement être pareil



  • “Bof, j’ai rien à cacher”

    =&gt; Donc tout va bien, on peut continuer à collecter / centraliser / analyser / recouper toutes mes données personnelles, c’est pas grave. Et n’oublions pas que ce n’est pas seulement Apple qui peut récupérer ces infos, loin de là …



  • “Faut arrêter avec la NSA, c’est du pipeau, elle collecte rien”

    =&gt; Ben tiens, les révélations d’Edward Snowden qui secouent le Monde depuis plusieurs mois, c’est peanuts et c’est même des mensonges (théorie du complot powa)



  • “Arrêtez ! En fait ce sont des services utiles pour l’utilisateur/développeur ! Rien à voir avec des portes dérobées !!”

    =&gt; Et la marmotte ….





    De toute façon, ça changera rien : il y aura toujours autant de monde qui achètera le prochain iPhone 6. Seules, peut-être, certaines entreprises feront un peu plus attention, et encore …


votre avatar







Zergy a écrit :



Le pire c’est qu’il n’y a pas à troller, ça doit être pareil chez Android. :/







Bah évidement que c’est pareil. Une société qui à réussi à faire passer l’espionnage massif de tout ces utilisateurs comme un argument économique favorable et qui est vu comme le chevalier blanc de l’IT, c’est du pain bénie pour la NSA.<img data-src=" />















<img data-src=" />


votre avatar







tsubasaleguedin a écrit :



Eu si tu parle du truc google rien a voir, sur un android, il court circuite pas le systeme de sms automatiquement en mode hangout quand c’est deux android.



Sur un iphone, à partir ou tu sms un autre iphone il bascule en imessage.

C’est aberrant.







Comment ca se passe si tu as un forfait sans data?


votre avatar







trash54 a écrit :



La Sword vient de revenir de chez l’affuteur ? <img data-src=" />



Sinon pourquoi même pas surpris et dans l’attente des même recherche sur Android, WP, BBOS, ….. quoi tous les OS pour smartphone





Ben on se souvient tous de la slide de la NSA avec toutes les entreprises qui collaborent : Microsoft, Apple, Google, Facebook… Donc effectivement il y a des chances pour qu’on trouve ce genre de pépite fourrée un peu partout <img data-src=" />



+1 ce n’est pas surprenant mais c’est très choquant… et pas rassurant.


votre avatar







Konrad a écrit :



Oh, j’imagine que Vincent tient sa sword bien haut, bien affûtée et prête à tomber <img data-src=" />







Avec un article pareil, j’espère qu’il a prévu des lames de secours ca va troller sec <img data-src=" />



Après sur le fond, c’est consternant, mais pas étonnant malheureusement ….


votre avatar

Je suis curieux de lire les réactions partisanes

:popcorn:

votre avatar

Perso j’ai un iPhone et d’autres produits Apple que j’apprécie, et je me doutais que ce genre de trucs existait. Pas surpris donc…



Maintenant, là clairement il me semble qu’Apple se fout de notre gueule : Le mec il montre des dumps où on voit des trucs en clair et les autres persistent à dire que c’est chiffré…

votre avatar







apwal a écrit :



Ca, c’est un article pour le vendredi…





Malheureusement, c’est de plus en plus difficile de faire du troll de qualité sur la NSA et les coloscopies.





Sinon, il y a Android qui est open source.


votre avatar







apwal a écrit :



on voit des trucs en clair et les autres persistent à dire que c’est chiffré…





C’est ça la force du truc. Tu vois un seul cluster de déchiffrement trouver quelque chose dans un dump en clair ?

<img data-src=" />


votre avatar



elle n’avait « jamais travaillé avec la moindre agence gouvernementale de quelque pays que ce soit pour créer une porte dérobée dans l’un de nos produits ou services ».





Non, ils n’ont pas travaillé avec les gouvernements, ils ont développé ça en amont et leur ont vendu l’accès ou donné s’ils étaient trop insistants. C’est se faire des amis dans les gouvernements ça. Et du coup, non, ils n’ont pas travaillé avec eux pour le créer.



C’est bien tourné, j’aime bien.

votre avatar







romainsromain a écrit :



Avec un article pareil, j’espère qu’il a prévu des lames de secours ca va troller sec <img data-src=" />



Après sur le fond, c’est consternant, mais pas étonnant malheureusement ….





C’est clair <img data-src=" />





Ceci dit, ca ne m’étonnerais pas de voir article analogue a propos d’android ! <img data-src=" />


votre avatar







tazvld a écrit :



Malheureusement, c’est de plus en plus difficile de faire du troll de qualité sur la NSA et les coloscopies.





De toute façon on s’est tous fait grillé par le post du blogger, du coup obligé de se concentrer un minimum sur le fond.



Concernant la news autant ce n’est pas suprenant, autant c’est très dangereux de la part d’Apple (et de toute autre compagnie qui ferait la même chose). Insérer des backdoor plus ou moins verbeuses qui sont accessibles sans sécurité sérieuse et sans prévenir l’utilisateur de leur utilisation (un backdoor donc) juste en espérant que ça ne se verra pas trop c’est plutôt stupide.


votre avatar

Il est tombé sur un iOS

votre avatar







YesWeekEnd a écrit :



Je suis curieux de lire les réactions partisanes

:popcorn:









voilà peu après ta demande <img data-src=" />







tazvld a écrit :



Malheureusement, c’est de plus en plus difficile de faire du troll de qualité sur la NSA et les coloscopies.





Sinon, il y a Android qui est open source.





votre avatar

Le pire c’est qu’il n’y a pas à troller, ça doit être pareil chez Android. :/

votre avatar







apwal a écrit :



Ca, c’est un article pour le vendredi…





heureusement que j’utilise pas un Iphone

quoi ….. ??? un android sous jelly beans c’est pas mieux … peut-être même pire !!!!


votre avatar

Apple toujours pareil non non on a rien fait

votre avatar

Pour moi c’est le but d’imessage, court circuiter le reseau classique pour faire passer les “sms” sur le reseau apple et ainsi siphonner toute les conversations.



Le coté automatique n’arrange pas le concept ( deux iphone bascule imessage automtiquement au lieu de sms ).

votre avatar







tsubasaleguedin a écrit :



Pour moi c’est le but d’imessage, court circuiter le reseau classique pour faire passer les “sms” sur le reseau apple et ainsi siphonner toute les conversations.



Le coté automatique n’arrange pas le concept ( deux iphone bascule imessage automtiquement au lieu de sms ).







et pour Hangout ??


votre avatar

Ca, c’est un article pour le vendredi…


votre avatar

Et moi qui rigole quand je valide les permissions d’accès à tout à une appli de location de voitures, ou en regardant tous mes déplacements sur une carte google <img data-src=" />

votre avatar







apwal a écrit :



Ca, c’est un article pour le vendredi quand Vincent à quelques heures devant lui pour surveiller…





<img data-src=" />


votre avatar



en indiquant qu’elle n’avait « jamais travaillé avec la moindre agence gouvernementale de quelque pays que ce soit pour créer une porte dérobée dans l’un de nos produits ou services ».





Ok alors. <img data-src=" />

















































<img data-src=" /><img data-src=" />

votre avatar

La Sword vient de revenir de chez l’affuteur ? <img data-src=" />



Sinon pourquoi même pas surpris et dans l’attente des même recherche sur Android, WP, BBOS, ….. quoi tous les OS pour smartphone

votre avatar

Oh, j’imagine que Vincent tient sa sword bien haut, bien affûtée et prête à tomber <img data-src=" />

votre avatar

C’est marrant, je ne sais pas pourquoi mais même si je trouve ça choquant, je ne suis pas vraiment surpris …

votre avatar







trash54 a écrit :



La Sword vient de revenir de chez l’affuteur ? <img data-src=" />



Sinon pourquoi même pas surpris et dans l’attente des même recherche sur Android, WP, BBOS, ….. quoi tous les OS pour smartphone





Ah bon, sur Androïd aussi ? Noooon ?

Merde alors. Moi qui…

Mince.



iOS : les données des utilisateurs circulent à travers des services cachés

  • Un torrent d'informations récupérées sans consentement de l'utilisateur 

  • De potentiels outils très puissants 

  • Des fonctions cachées, sans aucune documentation 

  • Services cachés, failles 0-day : même combat 

  • Apple s’explique mais ne convainc pas

Fermer