iPhone : vos données personnelles peuvent être piratées !

Alerte sur le smartphone d'Apple ? La citadelle du Californien ne serait pas aussi imprenable qu'il le prétend !

L'iPhone et l'AppStore ont de plus en plus de fans. Ils sont attirés par les qualités, indéniables, de ces deux "productions" d'Apple. Pour les rassurer, la marque californienne a multiplié à l'envi les infos rassurantes. Les deux principales sont la vérification des applications disponibles sur l'AppStore et l'installation des applications sur l'iPhone dans des "bacs à sable" (en clair, ces appli' ne pourraient pas communiquer entre elles, ce qui éviterait ainsi une infection virale ou un piratage).

Ca, c'est le discours officiel d'Apple.

Des experts le remettent en cause.

Lors de la dernière conférence Black Hat organisée en janvier aux Etats-Unis, Nicolas Seriot, un expert en sécurité informatique d’origine suisse qui travaille à la Haute Ecole d’Ingénieurs et de Gestion du Canton de Vaud, a présenté son petit logiciel qui a fait sensation.

Appelé SpyPhone, il est capable d’accéder à des données personnelles de l'iPhone : historique de recherches sur YouTube, données des comptes de messagerie électronique et du carnet d’adresses, cache de saisie du clavier virtuel.

Heureusement, pour l'instant, SpyPhone est une application "proof-of-concept". Mais selon lui, ce genre d'outil malveillant pourrait se retrouver dans l'AppStore car il existe des méthodes permettant de leurrer la plate-forme d'Apple en cryptant le logiciel.

Toujours selon Nicolas Seriot, l'iPhone aurait des failles qui ne sont toujours pas corrigées par Apple. "La sécurité s’améliore globalement avec chaque nouvelle version de l’iPhone, mais des. principes de base en matière de sécurité ne sont toujours pas mis en œuvre correctement [...] il est dangereux pour Apple de nier l’existence de vulnérabilités”, indique-t-il dans son livre blanc.

En attendant que le Californien les corrige - ou démente ces informations - il est conseillé de prendre quelques précautions : nettoyer régulièrement les recherches récentes dans le navigateur et le cache du clavier.

Mais les failles de l'iPhone et de l'AppStore se trouveront aussi sur l'ordinateur de l'utilisateur !

Une société américaine est en train de développer un outil capable de récupérer toutes les données de l'iPhone sauvegardées sur le PC.

A chaque fois que l’on raccorde son iPhone à son ordinateur via le port USB, iTunes lance une sauvegarde avant de le synchroniser. Ces données sont stockées sur le PC.

Une fois installé sur le PC, le logiciel en question peut donc mettre la main dessus.

La preuve avec cette capture d'écran !

Sans trop de difficultés puisque la majorité (voire la quasi totalité !) des utilisateurs ne chiffre pas la sauvegarde des données de leur iPhone. Or, on ne peut pas jeter la pierre à Apple car cette option est disponible sur iTunes !

Conclusion : chiffrez vos sauvegardes !

PS : merci à FZ

Arme anti HADOPI : un logiciel pour faire du P2P caché !

On parle de plus en plus d'HADOPI. Les premières mises en garde des internautes, qui feraient trop de téléchargement illégal, pourraient être envoyées en avril.

Pour ne pas être écoutés par les offices chargées de surveiller les internautes, il existe le module Perseus qui s'installe sur Firefox.

Les développeurs de ce module ne vont pas s'arrêter là. Ils sont en train de préparer un client léger P2P. Il permettra à deux personnes de communiquer - et d'échanger des données - sans risque d'être espionnées...

Une mauvaise nouvelle pour Thierry Lhermitte ;-)

Anti HADOPI : nouvelle version du module Firefox

Comme prévu, le module Perseus pour Firefox 3.6 (Windows et Linux) est disponible depuis le 31 janvier.

Pour rappel, cette technologie est destinée à protéger les flux de toutes natures contre l'écoute abusive ou illégale et ainsi assurer, avec un un excellent niveau de sécurité, interdisant sauf à y consacrer des moyens très importants (plusieurs dizaines d'heures de supercalculateur) d'accéder aux données échangées.

Perseus a été développée par Eric Filiol et Eddy Deligne, de l'ESIEA.

En clair, cette solution est une mauvaise nouvelle pour les officines (dont TMG qui a notamment pour actionnaire l'acteur Thierry Lhermitte...) chargées de traquer les internautes. Elles ne pourraient pas "voir" ce qu'ils téléchargent !

Mais Perseus ne doit pas être considéré uniquement comme une efficace arme anti-HADOPI.

Cette solution permet aussi :

1- Une protection contre l'activité d'espionnage de codes malveillants à grande échelle (par exemple, les botnets qui pour éviter la détection préfèrent écouter sur les ports non standards plutôt que de hooker des ressources surveillées par les antivirus, enfin ceux qui le font réellement).

2- Une protection des communications à partir de pays "non démocratiques" vers des pays démocratiques.

3- Une protection des communications professionnelles discrètes dans des pays où le contrôle de la cryptographie est fort.

Perseus semble tellement intéressant que Google a créé une page spéciale.

iPad : attention aux faux sites Apple

Les escrocs sont rapides à mettre en place leurs pièges et ils savent lire la presse. Ayant repéré le buzz autour de l'iPad d'Apple, ils ont créé de faux sites vendant soi-disant la tablette magique.

Selon le site ItEspresso, "les pirates ont utilisé les mots-clés “Apple Tablet Announcement” ou “annonce de la tablette Apple” pour créer de faux liens menant vers un malware".

La suite est classique : l'internaute est invité à cliquer sur un lien pour acheter l'iPad. En réalité, il arrive sur une page web qui lui annonce que son ordinateur est infecté et que la meilleure solution pour s'en débarrasser et d'acheter les antivirus qu'ils proposent !

Evidemment tout est faux, sauf l'arnaque : le site n'a fait aucune analyse du PC mais il vous affiche quand même des résultats inquiétants indiquant que vous avez des codes malveillants. Et les antivirus qu'ils vendent sont bidons. Ce sont de faux antivirus.

Malgré le buzz autour de l'iPad d'Apple, il ne faut donc pas s'emballer.

Restez vigilant...

N'écrivez pas à Ben Laden avec Gmail !

On vous espionne ! Selon un article de CNN de l'expert en sécurité Bruce Schneier, il semblerait que les pirates, qui ont attaqué Google China, soient passés par une backdoor de Gmail.

Pour simplifier, une backdoor, est une porte d'entrée laissée, volontairement ou pas, pour accéder à une application. Mais l'utilisateur lambda n'est pas au courant de l'existence de cet accès...

Le plus inquiétant est que cette backdoor de Gmail a été requise par les autorités judiciaires américaines. En clair, l'Etat américain a demandé, et obtenu, que Google lui donne un accès à son trafic. De quoi faciliter ainsi la tâche de la NSA qui peut ainsi surveiller les emails échangés via Gmail.

Autre raison d'être inquiet : cette backdoor n'était pas très sécurisée puisque des pirates s'y sont engouffrés...

Par conséquent, il ne faut mieux pas écrire à Ben Laden en utilisant le service de messagerie de Google ;-)

Mais Google n'est pas la seule société à avoir accepté (avait-elle le choix....) la mise en place d'une backdoor. Et les Etats-Unis ne sont pas non plus les seuls à avoir demandé ce genre d'accès à des entreprises du net. De telles mesures ont été mises en place dans plusieurs pays à peu près en même temps que les lois anti-terrorisme...

Mais la France aussi a demandé des backdoor !

Lors d'une conference donnée au SSTIC 2004, une personne dans la salle avait demandé à un représentant de Microsoft si sa société avait mis en place une backdoor à la demande de la NSA ? Le représentant de Microsoft a été clair : "pour la NSA je ne sais pas, je travaille pour Microsoft France. Mais la Défense française nous l'a demandé et nous l'avons fait".

A lire aussi mon billet sur Windows 7

No comment...

PC portable : "Apple m'a tuer" !

L'iPad a envahi le web avant les magasins ! Après l'iPod, l'iPhone, Apple sort un nouvel appareil très intéressant (en tous les cas, moi, je suis déjà emballé avant de l'avoir testé...).

Cette ardoise magique va "révolutionner" de nombreux domaines. Ce n'est pas moi qui le dit mais quelqu'un de beaucoup plus calé que moi : Jean-Louis Gassée, qui a dirigé un moment la recherche et le développement d'Apple. En un mot respect.

Sur le site du Point, il explique en effet : "C'est une tablette magique qui va être aussi révolutionnaire que l'iPhone. Certes, à mon avis, elle ne se vendra pas aussi bien que ce smartphone, mais elle va apporter énormément à ses partenaires, dans le domaine du cinéma, des jeux vidéo, de la presse, ou encore de l'édition".

Mais c'est surtout sa conclusion qui m'a le plus étonné, dans un premier temps, et qui m'a aussitôt après convaincu : "Ce qui est amusant, c'est qu'après avoir contribué de manière cruciale à la naissance et à la diffusion de l'ordinateur personnel, Apple contribue à tourner cette page."

Dans un prochain billet, l'iPad et la sécurité informatique...

A suivre.

Pourquoi passer sous Linux ou Windows ?

Linux, c'est nul ! Linux, c'est bien ! Windows, c'est nul, Windows, c'est bien !

Ces affirmations tranchées ne valent rien. Chacun se fait sa propre opinion en partant de son expérience.

Après mon billet dans lequel je demandais s'il fallait mieux être sous Windows ou sous Linux pour être protégé contre les virus, des visiteurs m'ont demandé pourquoi être sous GNU/Linux tout simplement ?

Voici donc pourquoi je suis passé sous GNU/Linux depuis fin décembre 2008 :

1-Par curiosité et envie de tester des distributions GNU/Linux afin de savoir - un peu - de quoi je parle.

2-Parce que j’en avais marre de faire des défragmentations régulières sous XP, Vista et 98. Parce que j'en avis marre d'attraper des codes malveillants (que celui qui a un PC sous Windows sans un seul code malveillant me contacte; ça m’intéresse…), même en faisant attention. Parce que j'en avais marre d’être obligé d’avoir une panoplie de logiciels de sécurité plus ou moins efficaces…

3-Parce que j’en ai marre aussi de l’hégémonie de Microsoft. Demain, j'en aurais peut-être marre de l'hégémonie de Google et de son côté Big Brother (pas de son côté technique car il faut reconnaître que la plupart de ses applications tournent bien).

Résultat, je suis passé sous GNU/Linux fin décembre 2008.

Bilan rapide :

1- Ca marche, dès l’installation et les mises à jour terminées, pour faire de la bureautique, du surf et récupérer ses emails. Trois applications qui correspondent à 90% des fonctions que font M. et Me Michu ! Et de moi !

2- Quelques soucis avec certaines distributions et principalement Opensuse (trop lourd, trop complet et pas assez explicite) et Fedora (pas vraiment d’affinités avec la communauté suite à quelques échanges avec le forum).

Aujourd’hui, j’ai un PC de bureau en dual boot Ubuntu/Seven et un PC portable Debian/Mandriva/Vista. Concernant la mise à jour d’Ubuntu de 9.04 à 9.10, elle ne m’a posé aucun soucis si on suit les conseils de Canonical : mettre à jour d’abord sa configuration et les logiciels déjà installés et passer ensuite à la version suivante.

Néanmoins, tout n’est pas parfait sous GNU/Linux pour un amateur comme moi.

Il faut être motivé lorsqu’on est confronté à quelques soucis.

Ce fut le cas avec l’installation de Virtualbox et la gestion des périphériques USB (un grand merci aux deux personnes du forum Mandriva qui m’ont aidé tout le week end dernier). Ce fut aussi le cas à mes débuts avec l’accès cauchemardesque à mon 2e disque dur interne (un grand merci à Christophe, Cyril et Claude).

Un peu de galère aussi pour synchroniser mon agenda et mes contacts Evolution avec mon iphone. Là aussi, après quelques déboires, j’ai trouvé sur le forum Ubuntu une personne qui a fait un tutoriel très clair. Merci.

Il me reste néanmoins un soucis : Canon (comme d'autres fabricants...) ne livrant pas beaucoup de drivers pour GNU/Linux, je galère pour faire tourner ma pixma MP550. Malgré de nombreuses heures sur des forums et l’essai de nombreux drivers, rien n’y fait : j’imprime via Seven sous Virtualbox.

Bref, je suis content d’avoir découvert ces distributions GNU/Linux et cette communauté. Pour faire juste de la bureautique (et avoir la chance que son imprimante et ses quelques périphériques disposent de drivers Linux fournis par leurs fabricants…) et du surf, Ubuntu, Mandriva et Debian sont parfaits pour le grand public et cette fameuse Me Michu.