La sécurité pendant la semaine 32 : faille Stagefright sur Android, nouvelles voitures piratées, Do Not Track 2.0

Les trois nouvelles les plus importantes, avec de longs commentaires et une pointe d’humour : la méchante faille Stagefright sur Android, les nouvelles voitures piratées et l’initiative de confidentialité Do Not Track 2.0

Il y a tout juste 23 ans, Microsoft lançait le système d’exploitation Windows 3.1, Apple commercialisait son premier iPhone PDA et Linus Torvalds sortait Linux avec une licence GNU. En 1992, Eugène Kaspersky a publié un livre qui contenait les descriptions détaillées de presque tous les virus connus à l’époque, ainsi que les méthodes pour les supprimer, parmi lesquelles le programme alors connu sous l’appellation V. En ce temps-là, le paysage des menaces n’était pas un gros problème : la description de tous les virus tenait dans un livre relativement petit et restait pertinente pendant les deux ou trois années suivantes.

 Le catalogue complet des malwares, écrit par Eugène Kaspersky en 1992

C’était la belle époque ! A présent, 325 000 nouveaux malwares nous arrivent chaque jour. Quant aux entreprises, elles sont confrontées presque chaque semaine à de nouvelles preuves de failles dans leurs systèmes de sécurité très grands (depuis les skateboards et les voitures jusqu’aux centrales nucléaires). Ce sont à la fois de bonnes et de mauvaises nouvelles : plus les gens penseront à protéger leurs données, leurs entreprises et leurs vies (ce qui, de nos jours, dépend des ordinateurs), et plus il y aura de chances que tout s’améliore.

Et maintenant, prenez du recul, détendez-vous et regardez ce qui se passe. A partir de maintenant, nous présenterons chaque lundi les trois nouvelles les plus importantes, avec des commentaires détaillés et une pointe d’humour. Ces nouvelles seront tirées de Threatpost et de Kaspersky Daily.

Stagefright : une faille sur Android qui n’a encore rien changé

Le récit du Threatpost. La réponse de Google. Les avertissements du CERT. Les conseils du Kaspersky Daily sur comment prévenir cette vulnérabilité.

Le magazine WIRED décrit Stagefright comme la pire des vulnérabilités découvertes sur Android à ce jour. Ce n’est pas vrai car la situation pourrait être beaucoup plus grave. La principale différence entre cette faille et d’autres, comme Heartbleed ou Shellshock, est qu’il n’y pas eu besoin d’inventer un nom original dans ce cas-là. En effet, Stagefright est une bibliothèque multimédia sur Android qui permet de lire des fichiers audio et des vidéos, et qui fait partie du projet de code source ouvert  sur Android. Techniquement, c’est un ensemble de vulnérabilités (les experts de Zimperium qui l’ont découvert lui ont réservé sept entrées dans le dictionnaire CVE) qui concerne principalement des dépassements de tampon.

Cette bibliothèque permet de reproduire divers sons et vidéos et, comme l’explique le journal ZDNet, elle a été conçue de manière à lire une vidéo  » avant que vous ne pensiez à la regarder « . Pour une raison mystérieuse, toutes ces tâches semblent souvent s’effectuer sans l’intervention de personne. En réalité, ce n’est pas si mystérieux, c’était juste plus facile à programmer de cette manière. Par ailleurs, sortir de l’application Android est plutôt simple, ce qui a été prévu en cas de problèmes de ce genre.

Ainsi, nous avons une preuve flagrante de cette vulnérabilité : il suffit d’envoyer un MMS sur un téléphone pour le pirater ! Il n’est même plus nécessaire d’activer le « téléchargement » du MMS : le téléphone l’ouvre tout seul, étant donné qu’il a été configuré de la sorte pour le confort de l’utilisateur. La situation est-elle si terrible ? Pas vraiment. Tout d’abord, depuis l’Android 4.1, la technologie Address Space Layout Randomization empêche la survenue des problèmes, ou du moins elle les contre en partie.

Ensuite, après la décision de révéler les vulnérabilités en cause, Zimperium a retenu le code d’exploit. De plus, grâce aux patches publiés, tout est presque revenu à la normale.

La réaction de Google a été intéressante. Voici un petit résumé de l’article correspondant sur le blog officiel d’Android :  » Tout va bien. Notre sandbox est géniale. Seul 0,15 % de nos appareils Android comporte l’application malveillante (avec beaucoup d’astérisques et de textes en petits caractères). Toutefois, pour que tout aille bien, les dispositifs Nexus auront des mises à jour de sécurité tous les mois « .

C’est très bien, mais qu’en est-il de tous les autres smartphones et tablettes sur Android ? L’initiative de Google ne résout pas le problème de fragmentation sur Android : retards systématiques des mises à jour pour les appareils les plus récents et les dernières versions OS, ainsi qu’absence d’actualisation des hardwares anciens.

Heureusement, HTC, Samsung, Sony, LG et quelques autres développeurs ont également déclaré qu’ils allaient mettre à jour leurs smartphones et leurs tablettes plus souvent à partir de maintenant. Par contre, tout n’est pas très clair, car ce que nous savons pour le moment, c’est que certains appareils recevront des mises à jour. Un jour. Peut-être. Si nous sommes gentils.

Quoi qu’il en soit, c’est un signe positif. Tôt ou tard, Android aura un mécanisme de mise à jour semblable à celui de Microsoft, le Patch Tuesday. Il y a tout juste un an, le même Adrian Ludwig, responsable de la sécurité Android chez Google, avait déclaré que tout allait bien en termes de sécurité et qu’il fallait simplement arranger un peu Google Play. C’est-à-dire que Stagefright va provoquer des changements très utiles. Du moins, c’est ce que nous pensons et espérons. Qu’est-ce qu’il y a d’autre à faire, après tout ?

Les voitures continuent d’être piratées

Le récit du Threatpost. Le récit précédent du Threatpost. Le compte-rendu de Kaspersky Daily  sur la conférence Black Hat. Et un autre rapport du DEF CON.

La semaine dernière, nous avons connu un événement marquant : le premier patch essentiel pour les voitures. Ou, plus précisément, pour les systèmes d’infodivertissement Uconnect utilisés par Fiat Chrysler, qui permettent : premièrement, de prendre le contrôle de fonctions autres que celles destinées au divertissement (en envoyant la voiture dans un fossé, par exemple) et, deuxièmement, de recevoir des connexions entrantes via des réseaux mobiles. Nous ne pouvons que reposter ce tweet :

Oui, mais c’était la semaine dernière. Cette semaine, une autre faille a été découverte, pas aussi impressionnante, mais quand même assez intéressante. Imaginez que vous soyez sous le soleil en Espagne, en Bulgarie, en Grèce ou n’importe où ailleurs. Vous louez une voiture, vous allez à la plage et vous vous baignez. Pendant ce temps, quelqu’un vous vole vos clés. Dans une situation normale, ça n’aiderait pas beaucoup le voleur : il faudrait qu’il trouve votre voiture parmi toutes les autres. Mais dans ce cas, votre véhicule est une voiture louée, et la plaque d’immatriculation est indiquée sur les clés.

En d’autres termes, vous feriez mieux d’aller à la piscine de l’hôtel ! Samy Kamkar, un chercheur indépendant en sécurité, a découvert qu’une telle situation est possible si vous utilisez l’application mobile télé-accès (OnStar RemoteLink), laquelle vous permet de trouver votre véhicule et même d’ouvrir les portières à distance pour les voitures GM. Samy Kamkar a rapidement conçu un dispositif miracle, qui intercepte les connexions entre les applications mobiles et la voiture elle-même. Ce dispositif doit simplement être situé près du propriétaire.

La situation n’est pas aussi terrible qu’elle n’y paraît. Les chercheurs ont déclaré que le problème venait de l’application, et non des voitures, et qu’une simple mise à jour pourrait le résoudre. Et voici une autre chose importante. Nous sommes nombreux à être habitués aux systèmes multimédia installés dans les voitures récentes : ils sont semblables à ceux d’Android et iOs, ils ont un écran tactile, parfois même un accès à Internet et plusieurs fonctions multimédia. Le problème, c’est qu’ils sont beaucoup plus lents et qu’ils ont beaucoup plus de bugs. Pour ne reprendre que l’expression utilisée par WIRED : comparés à Android, les systèmes multimédia des fabricants de voitures « craignent« .

Pourquoi ? Parce que ces éléments d’infodivertissement évoluent  simplement trop vite pour les fabricants de voitures conservateurs, qui se retrouvent alors à la traîne. Heureusement, il y a des exceptions.

L’industrie automobile est aussi à la traîne en termes de sécurité. Pour les professionnels de la sécurité, un bug d’Unconnect n’entraîne qu’exaspération. En plus, pour changer, la sécurité se retrouve en bas de la liste des préoccupations des constructeurs automobiles, car le « chiffrage non sécurisé » est facile et peu coûteux. Et c’est là que l’engrenage des attaques commence. Jusqu’à présent, l’isolation relative des technologies automobiles par rapport au monde informatique les avaient protégées, mais avec le temps, elle finira par devenir leur point le plus faible. Ces technologies seront piratées là où personne ne s’y attendait, étant donné qu’elles ne sont pas sécurisées. Mais faites ce que vous voulez !

Comment arrêter d’être suivi et commencer à profiter de la vie

Le récit. L’article de l’EFF.

Le mécanisme de Do Not Track est soutenu par tous les principaux navigateurs mais, malheureusement, il ne fonctionne pas. En fait, c’était une bonne idée : si vous, les utilisateurs, ne souhaitez pas être tracés par les bannières et les réseaux sociaux, les moteurs de recherche et les compteurs de visites, Google et autres, alors c’est chose faite ! Profitez de votre nouvelle vie privée.

En fait, oubliez-ça.  Cela fait déjà dix ans que cette idée a été proposée, mais rien n’a changé. Alors vous pouvez continuer de regarder les publicités pour des objets que vous avez déjà achetés, depuis les magasins où vous avez effectué vos acquisitions. Le problème, c’est que les grandes entreprises ne sont pas d’accord avec l’utilisation du Do Not Track et ne souhaitent pas respecter les utilisateurs qui ne veulent pas être tracés.

La fondation Electronic Frontier Foundation (EFF) voit la solution à ce problème dans un nouveau standard qui renforce les demandes de non suivi par les sites Web. Par exemple, si vous annoncez  que vous suivez ce principe, n’ajoutez pas les boutons des réseaux sociaux, lesquels ne le respectent pas. Si, pour des raisons techniques, vous avez besoin de suivre les activités des utilisateurs (pour acheter ou autoriser quelque chose, etc.), demandez-leur la permission.

Cependant, l’acceptation des nouvelles demandes de non suivi reste volontaire : aucun contrôle n’est effectué et aucun engagement n’est pris. L’EFF s’appuie sur le fait que, dans certains pays, la violation d’obligations volontairement acceptées peut donner lieu à des poursuites judiciaires. Toutefois, ces obligations ne sont pas contraignantes. Par conséquent, les nouvelles politiques annoncent franchement : cela peut avoir un effet sur les publicités ciblées mais, pour garantir une navigation entièrement anonyme sur Internet, seuls VPN et TOR sont vraiment utiles.

Un autre problème encore plus grave, c’est que la plupart des gens n’ont que faire d’être surveillés ou non. Les règles de Do Not Track sont débattues par un petit groupe d’activistes, mais mis à part eux, les utilisateurs ne prendraient pas la peine d’ouvrir encore une autre fenêtre de paramètres. Ce n’est pas une bonne chose. Et ce ne sont pas de grosses entreprises malveillantes qui souhaitent vous suivre.

Pour pouvoir être utilisées, les nouvelles technologies comme l’assistant vocal Cortana de Microsoft, Google Now ou encore Siri d’Apple rassemblent et traitent une quantité énorme de données sur l’appareil de l’utilisateur, et ce tout simplement car c’est nécessaire. Les personnes paranoïaques ne devraient alors par lire les Termes et conditions d’utilisation de Windows 10, où toutes les nuances sont rigoureusement décrites dans un langage juridique. Il est normal que nos appareils aient besoin de connaître beaucoup de choses sur nous, pour notre propre confort.

Mais plus les entreprises collectent de données sur nous, et plus le travail devient important pour les quelques personnes qui, sérieusement et sans aucun zèle, veulent offrir la possibilité de limiter la récolte de données. Que cette dernière soit réduite au strict minimum.

Quelles sont les autres nouvelles de la semaine ?

Le BIOS de Mac piraté. Et pas pour la première fois, d’ailleurs.

Des personnes malveillantes ont envoyé un ransomware au lieu de la mise à jour de Windows 10.

Un service de VPN a été découvert en Chine. En plus de posséder ses propres serveurs, il utilise des ordinateurs piratés pour casser les prix des activités criminelles.

Plus anciens

Famille de malwares « Protect ».

Découverte de dangereux virus résidents, qui ciblent les fichiers .com et .exe en cours d’exécution. Selon leur version, ils interrompent l’INT 21h et l’INT 1Ch ou l’INT 33h. Ils contiennent des chaînes  » File protection « .  » Protect-1157  » supprime les caractéristiques des fichiers et empêche le bon fonctionnement de la souris.  » Protect-1355  » apparaît sur les standards EGA et VGA avec un petit clignotement extrêmement agaçant.

Citations tirées de l’ouvrage  » Computer virus in MS-DOS « , par Eugène Kaspersky, 1992.

Clause de non-responsabilité : cet article ne reflète que l’opinion personnelle de l’auteur. Elle peut correspondre à la position de Kaspersky Lab, mais pas nécessairement. 

Conseils