29/04/2020

Zoom a révélé la semaine passée avoir dépassé les 300 millions de participants quotidiens à une réunion sur son service. Cela représente une augmentation de 50% par rapport aux 200 millions annoncés plus tôt ce mois-ci, et un bond énorme par rapport aux 10 millions en décembre. Pourtant ses impardonnables défauts commencent à être dénoncés.  Tout a commencé lorsque le FBI a signalé la présence de plusieurs failles de sécurité importantes. Celles-ci auraient notamment donné naissance au phénomène du “zoom-bombing” qui consiste à infiltrer des conversations vidéos sans y être invité et à la troubler ou, pire encore, à l’espionner. Depuis, d’autres exemples de perméabilité auraient été remarquées sur Mac, où des piratages de webcam auraient été perpétrés à travers Zoom. Depuis, des entreprises comme SpaceX, Google ou encore des établissements de la ville de New-York, ont banni l’utilisation de cette plateforme. Le PDG de Zoom, Eric Yuan, s’est publiquement excusé en direct sur YouTube et a assuré que son entreprise allait tout faire pour réparer de telles erreurs.

Pour nos conseils sur l’utilisation de Jitsi (alternative sécurisée à Zoom): ici

Dossier(s): Techniques et technologies Tags: Etats-Unis, Sécurité IT

24/04/2020

Deux vulnérabilités importantes ont été découvertes dans la dernière version d’iOS, le système d’exploitation des iPhone. Les deux failles ont été corrigées par Apple dans la version bêta d’iOS, et le seront de manière complète dans la prochaine mise à jour du logiciel. Les deux failles auraient été activement utilisées dans des tentatives d’espionnage d’un opérateur téléphonique japonais, des employés de services de sécurité en Arabie saoudite et en Israël, et un cadre d’une entreprise suisse. Des cibles qui suggèrent qu’elles pourraient avoir été exploitées par un groupe lié à un état. La dangerosité des failles est jugée sérieuse par plusieurs experts indépendants. L’une d’entre elles est une faille dite « zero click ». Elle peut fonctionner sans que la personne ciblée n’entreprenne aucune action, comme cliquer sur un lien frauduleux.

L’exploitation de la faille, observée pour la première fois en 2019, passait par l’envoi d’un courriel piégé, mais le destinataire n’avait pas besoin de l’ouvrir pour qu’il déclenche la faille. L’analyse des téléphones a posteriori semble par ailleurs montrer que le courriel avait été automatiquement effacé. Les failles dites « zero day », qui n’ont jamais été documentées auparavant, sont rares sur iOS. Elles sont le plus souvent découvertes par des experts qui les revendent sur des marchés spécialisés, où elles s’échangent pour de très fortes sommes. Dans la plupart des cas, l’exploitation de ces failles est un processus complexe et coûteux : la majorité des acheteurs de ce « produit » très particulier sont des services de renseignement, des groupes mafieux ou des entreprises du secteur de l’espionnage.

Dossier(s): Techniques et technologies Tags: Sécurité IT

22/03/2019

Apple vient de breveter une technologie « anti-interception », qui empêche les forces de police de localiser la position, les messages et les appels téléphoniques des utilisateurs. Le brevet explicite qu’une méthode développée par l’entreprise californienne permet de crypter les signaux envoyés entre les antennes mobiles et les téléphones portables. Cela a pour but de protéger les écoutes téléphoniques, que pourrait opérer policiers ou hackeurs. La technologie limite donc l’utilisation des boîtes dénommées « Stingray » : ces dernières sont des ponts téléphoniques qui sont utilisées pour suivre les positions des utilisateurs de smartphones, écouter leurs appels et lire leurs messages.

Dossier(s): Archives Techniques et technologies Tags: Sécurité IT

24/12/2018

La police de Liège en Belgique déclare qu’elle s’équipe d’un nouveau logiciel « d’analyse et d’exploitation des réseaux sociaux de la zone », pour un budget de 26.000 euros et qui serait capable d’analyser le contenu des réseaux sociaux. Ce logiciel serait opérant d’ici quelques semaines. Il permettra aux forces de l’ordre de poursuivre un double objectif : faire du renseignement et mener des enquêtes judiciaires.

Source de renseignement et d’archive, les réseaux sociaux sont aussi un lieu d’organisation sur lequel les autorités cherchent à avoir plus de contrôle, notamment pour prévoir ce qui selon eux relèvent d’un trouble à l’ordre public.

Dossier(s): Archives Belgique Tags: Belgique, Sécurité IT

26/11/2018

Une faiblesse du système de sécurisation par empreinte digitale vient d’être mise en évidence par les chercheurs de l’Université de New-York et de l’Université du Michigan. Cette faiblesse vient d’une relève d’empreintes approximative, seuls quelques points de notre empreinte sont identifiés pour verrouiller le téléphone. Ce n’est pas tant une faiblesse du système qu’une obligation, car en augmentant la précision des points de repère de l’empreinte, l’ouverture serait régulièrement bloquée. En effet, suivant l’état du doigt, l’empreinte bouge et se modifie.

En se basant sur plus de 6000 empreintes, les chercheurs ont dégagé des empreintes « passes-partout ». À partir de l’intelligence artificielle, des ajustements sont mis en place afin d’obtenir ce résultat passe-partout qui affiche déjà un taux de réussite de près de 20%.

Dossier(s): Archives Techniques et technologies Tags: Etats-Unis, Sécurité IT