Publié le

En 2018, le nom d’un président ne fait toujours pas un bon mot de passe

SplashData a publié son Top 100 des pires mots de passe de l’année 2018. On y retrouve le classique « 123456 » et ses déclinaisons, mais également le prénom du président américain Donald Trump.

On ne le répétera jamais assez, ne prenez pas vos mots de passe à la légère. Ces derniers donnent accès à vos mails, réseaux sociaux, informations privées, etc. Il est donc important de s’assurer que ces sésames soient aussi difficiles à pirater que possible, car le web regorge de dangers à ce niveau-là.

Hélas, la leçon a bien du mal à passer. L’entreprise spécialisée SplashData — qui édite le gestionnaire de mots de passe SplashID — a publié son Top 100 des pires mots de passe de l’année 2018. Cette liste se base sur une analyse d’un peu plus de 5 millions d’identifiants ayant été divulgués sur Internet cette année.

Tout en haut de ce classement du pire, on trouve sans surprise des mots de passe non sécurisés qui semblent exister depuis la nuit des temps. En haut de la liste, l’indétrônable « 123456 » règne encore et toujours suivi par quelques variantes avec plus ou moins de chiffres.

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

Donald Trump s’invite dans la liste

Comme le révèle The Verge, le mot de passe « donald » s’est invité pour la première fois dans ce Top 100 à la 23e place. Celui-ci prouve que beaucoup d’internautes continuent d’utiliser des noms de célébrité — ici celui de Donald Trump, le président des États-Unis — pour protéger leurs données.

Hélas, c’est là l’une des pires pratiques en termes de sécurité. Encore une fois, prenez le temps d’établir des mots de passe forts et difficilement devinables pour mieux vous protéger.

À lire sur FrAndroid : Sécurité : notre sélection des meilleurs gestionnaires de mots de passe

The Verge

Source: Frandroid

Publié le

Face ID, lecteur d’empreintes, scanner d’iris : comment votre smartphone se protège… et vous protège

Nos smartphones contiennent nombre d’informations sur notre vie personnelle qu’il est important de protéger. Pour cela, les smartphones utilisent diverses technologies dites biométriques pour s’assurer que la personne qui déverrouille l’appareil est bien son propriétaire. Faisons le point sur la reconnaissance faciale, le scanner d’iris et le lecteur d’empreintes.

Paramétrage du scanner d’iris

Certains se rappelleront qu’à l’époque, pour déverrouiller son téléphone, il fallait appuyer sur le bouton principal juste en dessous de l’écran puis sur # (ou une combinaison similaire). Cette astuce servait bien plus à éviter d’allumer le téléphone par erreur dans sa poche qu’à vraiment le protéger. Mais les choses ont changé, les téléphones ont évolué.

Pour une meilleure sécurité, nos appareils ont commencé à se protéger par des mots de passe et des codes secrets, mais cette période a surtout précédé l’avènement des solutions biométriques telles que les lecteurs d’empreintes digitales, les reconnaissances faciales 3D ou encore les scanners d’iris.

Le terme « biométrique » ne parle peut-être pas à tout le monde. Dans ce dossier, nous allons revenir sur ce qu’il signifie et expliquer le fonctionnement des diverses technologies qui protègent votre smartphone afin de mieux comprendre pourquoi elles sont plus sûres et fiables.

La biométrie, c’est quoi ?

Si l’on ne se fie qu’à l’étymologie du mot, la biométrie consiste à mesurer ce qui est vivant. Mes lecteurs et lectrices avisés mesureront sans doute le caractère très abstrait de cette définition un chouia trop sommaire. Ce qu’il faut comprendre, c’est que les capteurs biométriques embarqués par nos smartphones analysent des traits physiques uniques à chaque être humain.

Vos empreintes digitales ont très peu de chance de ressembler à celles d’une autre personne. La forme de votre visage n’est pas la même que celles des milliards de personnes qui cohabitent avec vous sur Terre. Vos yeux aussi sont uniques et ce n’est pas une mièvrerie pour vous séduire. Ces données physiques permettent aujourd’hui à un smartphone de savoir s’il est déverrouillé par son vrai possesseur. Et si c’est une tierce personne — éventuellement mal intentionnée — qui tente d’accéder aux contenus de l’appareil, ce dernier ne s’ouvrira pas. Voilà pour la théorie.

Maintenant, passons au petit tour d’horizon des différentes techniques biométriques embarquées par nos smartphones.

Lecteur d’empreintes : de l’optique à l’ultrasonique

Le lecteur d’empreintes digitales, autrefois réservé aux modèles haut de gamme, est rapidement devenu la solution biométrique la plus répandue sur nos smartphones. Au point d’équiper des appareils de moins de 200 euros. Apposé jusqu’ici à l’avant, à l’arrière ou sur la tranche du téléphone, le lecteur d’empreintes vient progressivement se loger sous l’écran comme on a pu le voir sur le OnePlus 6T, le Huawei Mate 20 Pro et bientôt, selon toute vraisemblance, sur le Samsung Galaxy S10.

Or, il faut savoir que la grande majorité des lecteurs d’empreintes utilisés aujourd’hui sont optiques. Le fonctionnement de ces derniers est assez simple : ils enregistrent une simple image de votre empreinte. Quand vous déverrouillez votre smartphone, ce dernier se contente de comparer votre doigt à l’image qu’il a sauvegardé. La méthode fonctionne très bien, mais elle n’est pas aussi sûre qu’une technologie plus avancée : les lecteurs d’empreintes ultrasoniques.

Le capteur d’empreintes sous l’écran du OnePlus 6T

Cette solution est en effet plus sûre… mais elle n’est pas encore totalement aboutie. Quoique… Qualcomm a récemment présenté son lecteur d’empreintes ultrasonique 3D Sonic Sensor que l’on a de fortes chances de retrouver sous l’écran du Galaxy S10. En 2015, le géant américain présentait déjà un capteur similaire baptisé Sense ID. Les solutions ultrasoniques ont l’avantage non seulement de fonctionner avec les doigts humides ou gras, mais aussi d’assurer un plus haut niveau de sécurité.

Pourquoi ? Tout simplement parce que ce genre de lecteur émet des ondes sonores à haute fréquence (comme un sonar). Lesdites ondes se réverbèrent sur le doigt de l’utilisateur et permettent ainsi au téléphone de dresser une carte détaillée de votre doigt, presque comme une sorte d’échographie. Ce support est donc beaucoup plus précis et bien plus difficile à berner qu’une image classique.

Les futurs terminaux haut de gamme ne devraient pas tarder à adopter massivement les lecteurs d’empreintes ultrasoniques, sauf peut-être ceux qui préféreront tout miser sur la reconnaissance faciale.

Reconnaissance faciale : deux écoles

Avec l’iPhone X, Apple a fait deux choses assez marquantes. D’une part, il s’est débarrassé du lecteur d’empreintes, de l’autre, il l’a remplacé par un système de reconnaissance faciale 3D qu’il a appelé Face ID. La mention « 3D » est importante à prendre en compte ici. Le téléphone modélise en effet le visage afin de s’appuyer sur une maquette bien plus précise qu’une simple photo.

Pour cela, Face ID utilise évidemment le capteur photo frontal, mais à cela s’ajoute : le capteur de luminosité ambiante, une caméra, un illuminateur infrarouge et un projecteur de points. À ce propos, sachez que la reconnaissance faciale 3D d’Apple projette environ 30 000 points sur le visage et fonctionne même la nuit. Et vous l’aurez compris, plus ce nombre est grand, plus la solution est fiable et précise. Toujours aussi éclairés qu’au début de la lecture de cet article, vous noterez que cette technologie requiert de multiplier les capteurs à l’avant. C’est en partie ce qui a engendré l’énorme encoche sur le front de l’iPhone X.

Lien YouTube

Plusieurs téléphones se sont empressés de copier ce design controversé créant ainsi un effet de mode qui a duré toute une année. Parmi ces derniers, on trouve tout de même quelques appareils ayant adoptés l’encoche moins par imitation que par réelle volonté de proposer, eux aussi, une reconnaissance faciale 3D sécurisée fonctionnant également dans les environnements obscurs. On pense au Xiaomi Mi 8 Explorer ou au Huawei Mate 20 Pro qui souffre tous les deux d’un notch relativement imposant. Nous devons également mentionner l’ingénieux Oppo Find X qui a su embarquer cette technologie sans souffrir de l’encoche.

Les solutions de reconnaissance faciale 3D coûtent cher à implémenter. Mais par confort d’utilisation, un très grand nombre de constructeurs Android fournissent une reconnaissance faciale basique ne reposant que sur une image en 2D du visage de l’utilisateur. Cette technique permet de profiter de cette fonctionnalité même sur des appareils moins onéreux. Nous vous recommandons tout de même de rester prudents.

La reconnaissance faciale de l’Oppo Find X

D’autant plus que même la reconnaissance faciale 3D n’est pas encore infaillible, comme l’ont déjà prouvé Apple et Huawei.

Scanner d’iris

L’iris est une membrane qui compose nos yeux. Elle se contracte dans un environnement lumineux et se dilate dans les lieux sombres ou la nuit. C’est simple : il s’agit de toute la partie colorée qui entoure la pupille — le rond noir en son centre. Or toutes les petites lignes qui composent l’iris diffèrent d’un humain à l’autre et Samsung a misé essentiellement sur ce fait pour concevoir la sécurité biométrique de ses smartphones. En guise d’exemple, on citera le dernier haut de gamme, le Galaxy Note 9.

Les algorithmes de Samsung exploitent la caméra frontale et un illuminateur infrarouge pour détecter toutes les irrégularités (et donc particularités) de l’iris de l’utilisateur. Des irrégularités qui sont transformées en point pour former une maquette de l’œil (on en revient toujours à ces notions). Le scanner d’iris, même s’il est également sujet à quelques erreurs, a souvent été considéré comme étant plus sûr que les lecteurs d’empreintes.

L’arrivée du scanner d’iris sur les Galaxy Note 7 avait fait grand bruit… et puis ils se sont mis à exploser…

Toutefois, malgré cette réputation, Samsung songerait à l’abandonner pour le Galaxy S10. Notez également que le géant sud-coréen n’est pas le premier à avoir exploré cette technologie. En 2015, par exemple, le Nokia Lumia 950 XL, s’aventurait déjà sur ces terres irisées.

Ce que l’on retient

Après ce rapide tour d’horizon, on retiendra surtout que les capteurs biométriques reposent essentiellement sur le fait de s’équiper au mieux pour former une maquette — ou carte, ou plan, appelez cela comme vous voulez — précise de la zone du corps analysée. Pour améliorer leurs solutions, les constructeurs cherchent des méthodes pour glaner des données aussi complètes que possible. Plus les capteurs ont d’informations, plus les caractéristiques uniques de l’utilisateur sont repérées et, à terme, plus grande sera la sécurité du smartphone.

Source: Frandroid

Publié le

Cet outil de surveillance identifie des personnes juste en regardant comment elles marchent

Juste en observant la démarche de certaines personnes, l’outil de surveillance développé par l’entreprise Watrix est capable de connaître leurs identités. Le système est déjà utilisé en Chine.

Sur le plan technologique, la Chine évoque plusieurs choses. On pense forcément à ces entreprises ultras concurrentielles qui ne cessent de croître. Mais ce qui vient en tête également, ce sont les technologies de pointe exploitées par le régime pour surveiller sa population. On pense notamment aux lunettes à reconnaissance faciale qui équipent certains policiers ou au système de notation des citoyens.

Les autorités chinoises ont déjà déployé de très nombreuses caméras à travers le territoire — dont plusieurs sont équipées elles aussi de solutions de reconnaissance faciale — pour surveiller les citoyens. Mais l’Empire du Milieu ne s’arrête pas là et a déjà commencé à utiliser une autre technologie qui pousse la surveillance un cran plus loin.

Dis-moi comment tu marches, je te dirai qui tu es

À Pékin et à Shanghai, la Chine utilise un système capable d’identifier des personnes simplement en observant la forme de leur corps ou la manière dont elles marchent. Watrix, l’entreprise qui a développé cet algorithme, affirme que ce dernier peut, de cette façon, reconnaître un individu à 50 mètres de distance même quand il tourne le dos à la caméra ou si son visage est couvert, lit-on dans Associated Press.

Crédit image : Mark Schiefelbein, Associated Press

« Il n’y pas besoin de la coopération des gens pour que nous puissions connaître leur identité », affirme le patron de Watrix. « L’analyse de la démarche ne peut pas être bernée par une personne qui boite, qui marche en canard ou qui se penche, car nous analysons toutes les caractéristiques du corps entier », ajoute-t-il.

Le but affiché est de pouvoir repérer les criminels en fuite dans une foule. Entre nous, on ne va pas se cacher que cela fait un peu flipper.

Associated Press

Source: Frandroid

Publié le

iOS 12.1 : la nouvelle mise à jour n’est pas totalement sécurisée

À peine déployé, iOS 12.1 souffre déjà d’une faille de sécurité permettant d’accéder aux données de l’iPhone. Le problème ? Les nouveaux appels groupés sur FaceTime…

La mise à jour iOS 12.1 a été déployée voilà quelques heures sur les iPhone et iPad compatibles et Jose Rodriguez, un chercheur en sécurité espagnol, a déjà découvert une faille de sécurité. Celle-ci permet de contourner le verrouillage d’un iPhone et d’accéder aux informations stockées sur un smartphone qui aurait été trouvé ou volé.

Comme le chercheur le démontre en vidéo à TheHackerNews, le problème provient de la nouvelle fonctionnalité d’appels groupés de FaceTime. Pour réaliser l’opération, il faut :

  1. Demander à Siri « qui je suis » ou le faire appeler votre appareil
  2. Appelez le numéro pour faire sonner l’iPhone à déverrouiller
  3. Décrochez et transformez l’appel en FaceTime
  4. Rendez-vous dans le menu « + » en haut à droite pour ajouter une personne à l’appel

En faisant cela, vous aurez alors accès à tout le répertoire du téléphone, ainsi qu’à des informations supplémentaires en utilisant 3D Touch. Cette manipulation a d’ailleurs été reproduite à la rédaction de Numerama, confirmant sa simplicité d’utilisation.

Notons cependant que la personne malintentionnée utilisant cette astuce ne pourra pas accéder à la totalité des informations contenues dans l’iPhone.

Une seule protection

La mise à jour étant toute récente, il faudra bien sûr attendre qu’Apple prenne connaissance du problème et le corrige dans une future mise à jour. En attendant, le seul moyen de se protéger de ce type d’attaque est de désactiver Siri sur l’écran de verrouillage en se rendant dans les paramètres du smartphone, dans la section « Face ID et code ».

TheHackerNews

Source: Frandroid

Publié le

Une faille de sécurité sert d’excuse à Google pour fermer Google+, son réseau social fantôme

Alphabet, la maison-mère de Google, a pris la décision de fermer Google+ d’ici 10 mois suite à une énorme faille de sécurité. Celle-ci n’a a priori pas été exploitée alors qu’elle concernait un très grand nombre d’utilisateurs.

En 2011, alors que Facebook vivait une success-story sans précédent, Google a voulu également profiter d’une telle popularité en lançant son propre réseau social : Google+. Et le moins que l’on puisse dire, c’est que cela a été un cuisant échec. Cette plateforme n’a jamais su attirer un public conséquent et son nom a souvent été associé à l’idée d’un désert inhabité.

Sauf que Google+ continuait de survivre malgré tout depuis toutes ces années. Mais voilà que la firme de Mountain View s’est trouvé une parfaite excuse pour fermer son réseau social en y découvrant une gigantesque faille de sécurité. C’est en effet ce que révèle le Wall Street Journal — repris par 9to5Google.

Fermeture permanente de Google+

Le média américain nous apprend qu’au printemps dernier, Google a mis le doigt sur une faille de sécurité mettant en péril les données privées de centaines de milliers d’utilisateurs de Google+ — et je ne pense pas trop m’avancer en affirmant que nous sommes nombreux à posséder un compte Google+ même s’il est inactif. Mais que l’on se rassure, le géant du web n’a pas repéré, à ce jour, la moindre utilisation malveillante des données exposées.

Le Wall Street Journal affirme que Google n’a pas souhaité communiquer publiquement sur ce problème. Néanmoins, on peut également lire que cet incident a provoqué une série de mesures prises par Alphabet (maison-mère de Google) en interne portant sur la confidentialité des données des internautes. Celles-ci « comprennent la fermeture permanente de toutes les fonctionnalités dédiées au grand public de Google+ », affirment les sources.

Encore 10 mois à vivre maximum

Si un développeur tiers avait découvert ce bug logiciel, il aurait pu accéder aux noms complets, adresses email, dates de naissance, sexes, photos de profil, lieux de résidence, emplois ou encore statuts relationnels des utilisateurs de Google+ pendant une période allant de 2015 à mars 2018. Les numéros de téléphone, les messages envoyés ou les agendas des personnes touchées n’ont pas été impactés.

L’arrêt progressif de l’interface utilisateur de Google+ aura lieu dans les dix prochains mois. En août 2019, l’application web et mobile ne sera plus disponible pour quiconque. Toute la partie du réseau social dédiée aux entreprises (pour avoir un réseau interne par exemple) continuera d’exister.

9to5Google

Source: Frandroid

Publié le

Sécurité : notre sélection des meilleurs gestionnaires de mots de passe

Les gestionnaires de mots de passe permettent de conserver, à un seul et même endroit, la totalité de nos mots de passe utilisés sur Internet. Il est donc important de choisir le bon. Voici notre sélection des meilleures applications gratuites ou payantes.

password

Quand on parle de sécurité sur Internet, le sujet le plus récurrent est sans doute celui des mots de passe. Pour se garantir la meilleure sécurité possible, il faut à la fois choisir des mots de passe différents de service en service, mais aussi des mots de passe complexes. Suivre ces deux recommandations peut devenir complexe, c’est là qu’intervient le gestionnaire de mots de passe.

Ce dernier enregistre dans un coffre-fort sécurisé tous vos identifiants et mots de passe, il n’y a donc plus qu’un seul mot de passe à retenir : celui du coffre-fort (il faut donc créer un bon mot de passe). Ce type de solution est de plus en plus populaire, pour sa facilité d’utilisation au quotidien. En effet, les gestionnaires permettent le plus souvent de compléter automatiquement les champs de connexion, ce qui apporte un gain de temps et de confort non négligeable. Sécurité oblige, il faut prendre soin de sélectionner le bon gestionnaire de mots de passe.

Les applications gratuites

Bon gestionnaire de mot de passe ne rime pas forcément avec application payante, loin de là. Nous avons sélectionné quelques services qui ont fait leurs preuves et qui sont proposés gratuitement.

À ce titre, on peut mentionner le projet open source KeePass, la seule solution officiellement labellisée par l’ANSSI, et l’application KeePass2Android basée sur le projet. Ce premier service a la particularité d’utiliser un coffre-fort hors-ligne que vous pouvez éventuellement synchroniser avec un stockage dans le cloud (Google Drive, Dropbox, OneDrive, etc.).

C’est le coup de coeur de FrAndroid : BitWarden, plus moderne et maintenu par un seul développeur, mais également gratuit, libre et open source. Le service propose une application sur la plupart des plateformes et se synchronise facilement dans le cloud. Le service propose un chiffrement des données de bout en bout, ce qui signifie que Bitwarden ne pourra pas connaître le contenu des données stockées. Mieux, il est même possible de créer une instance du service sur son propre serveur, pour pouvoir garantir soi-même la sécurité des données. N’hésitez pas à consulter notre article dédié à ce gestionnaire.

LastPass est l’un des historiques du secteur. Ce gestionnaire de mots de passe privé est très simple à utiliser et propose des mises à jour très régulièrement. Le service se rémunère avec un abonnement premium surtout destiné aux professionnelles et entreprises, il permet de partager facilement le contenu du coffre-fort et y stocker des fichiers.



Keepass2Android



Philipp Crocoll (Croco Apps)

Télécharger pour Télécharger gratuitement sur Google Play | Télécharger

Télécharger pour Télécharger gratuitement sur Google Play | Télécharger



LastPass



LogMeIn, Inc.

sur l’App Store | Télécharger
Télécharger pour Télécharger gratuitement sur Google Play | Télécharger

Les applications payantes

Certains gestionnaires de mots de passe sont disponibles exclusivement avec des abonnements payants. C’est le cas de 1Password et Dashlane qui sont souvent recommandés pour leur facilité d’utilisation et la clarté de leur interface. L’abonnement se paye à l’année, entre 35 et 40 euros, et les applications mobiles sont incluses. La différence avec les services gratuits se fait aussi sur les services fournis. Dashlane intègre par exemple un service de VPN avec son abonnement.



1Password



AgileBits

Télécharger pour Télécharger gratuitement sur Google Play | Télécharger

sur l’App Store | Télécharger
Télécharger pour Télécharger gratuitement sur Google Play | Télécharger

Source: Frandroid

Publié le

La reconnaissance faciale empêche les enfants de trop jouer sur leur smartphone en Chine

Le géant Tencent a annoncé qu’il allait utiliser la reconnaissance faciale pour empêcher les mineurs de passer trop de temps sur son jeu mobile le plus populaire en Chine, King of Glory.

La reconnaissance faciale sur nos smartphones sert à sécuriser les appareils pour que, en théorie, seul notre visage puisse le déverrouiller. En Chine, cette technologie va encore plus loin puisqu’elle sert également à limiter le temps de jeu des mineurs. En effet, Tencent, le géant du jeu vidéo mobile — que l’on connait en Europe notamment pour PUBG sur mobile — a fait une annonce en ce sens.

Empêcher la surconsommation de jeux mobiles

On apprend dans le South China Morning Post que l’éditeur veut utiliser la reconnaissance faciale pour détecter les mineurs qui jouent trop longtemps à son titre phare dans l’Empire du Milieu : King of Glory — baptisé Arena of Valor en Occident. Cette décision fait suite à des polémiques récurrentes dans le pays pointant du doigt la surconsommation de jeux mobiles par les mineurs qui provoquerait, entre autres, plusieurs cas de myopie. Tencent était souvent accusé à cet égard.

L’éditeur avait déjà déployé certaines fonctionnalités pour restreindre le temps de jeu à 1 heure par jour pour les enfants de 12 ans et moins. L’écran se floutait également lorsqu’il était trop rapproché du visage. Mais ces précautions peuvent assez facilement être contournées par les joueurs avec un minimum d’ingéniosité.

L’entreprise souhaite donc prendre des mesures supplémentaires pour un contrôle plus strict grâce à la reconnaissance faciale. Le visage du joueur sera alors comparé à ceux enregistrés dans la base de données de la sécurité publique — le régime chinois utilise beaucoup les technologies de reconnaissance faciale pour surveiller la population.

Cette nouveauté a déjà été testée auprès de 1000 utilisateurs de King of Honor. Rappelons que ce jeu compte 200 millions de joueurs au total. Reste à savoir si cette mesure sera adaptée à l’ensemble des jeux de Tencent en Chine.

Télécharger pour Télécharger gratuitement sur Google Play | Télécharger

South China Morning Post

Source: Frandroid

Publié le

La Chine a-t-elle espionné Apple et Amazon avec une micropuce ?

Bloomberg vient de publier une enquête qui affirme que les chaînes d’assemblage de cartes mères situées en Chine auraient installé des micropuces pour espionner les entreprises américaines. Des faits graves, Apple et Amazon ont réagi dans la foulée.

Bloomberg Businessweek a publié des informations concernant une histoire d’espionnage, l’affaire remonte à 3 ans et le média américain a mené une enquête depuis. Selon eux, l’armée chinoise aurait inséré des micropuces sur les cartes mères de serveurs Supermicro pour fournir au gouvernement chinois la possibilité d’espionner les entreprises américaines.

Selon le rapport cité par Bloomberg, les enquêteurs auraient découvert que l’espionnage a touché près de 30 entreprises, dont Apple et Amazon, ainsi qu’une grande banque et des sous-traitants gouvernementaux aux États-Unis.

L’affaire des micropuces qui espionnent les américains

Les sous-traitants chinois de Super Micro Computer auraient placé une micropuce d’espionnage sur les cartes mères. Elles feraient la taille d’un grain de riz et seraient donc très difficile à détecter.

Cette micropuce permettrait d’injecter son propre code ou de modifier l’ordre des instructions que le CPU doit exécuter. L’objectif est de créer une porte dérobée dans n’importe quel réseau informatique relié à ces machines piégées. Bloomberg explique que la porte dérobée permet de surveiller les serveurs et même récupérer leurs données. Néanmoins, aucune donnée n’aurait été récupérée, mais l’ampleur de l’attaque n’a pas été clairement identifiée.

Les serveurs Super Micro Computer sont utilisés par de très nombreuses entreprises ; ce sont notamment les cartes mères qui équipaient les serveurs de l’App Store et de l’assistant Siri. Apple aurait eu environ 7 000 cartes mères fabriquées du constructeur dans ses centres de données lorsque son équipe de sécurité est tombée sur les fameuses puces.

Selon Bloomberg, Apple aurait découvert les micropuces suspectes sur les cartes mères aux alentours de mai 2015, après avoir détecté une activité réseau anormale et des problèmes de microprogramme. Deux sources internes d’Apple indiquent que l’entreprise aurait signalé l’incident au FBI, tout en menant une enquête interne. Les 7 000 serveurs Super Micro Computer auraient été remplacés en l’espace de quelques semaines.

Cet espionnage a-t-il eu lieu ?

Apple n’a pas tardé à réagir officiellement concernant cette histoire. Voici la traduction de son communiqué :

Au cours de cette année, Bloomberg nous a contactés à plusieurs reprises pour nous faire part de réclamations, parfois vagues et parfois complexes, concernant un incident de sécurité présumé chez Apple.

Chaque fois, nous avons mené des enquêtes internes rigoureuses fondées sur leurs enquêtes et, chaque fois, nous n’avons trouvé absolument aucune preuve à l’appui d’aucune d’entres elles.

Nous avons donné des réponses factuelles à maintes reprises et de façon constante, dans un compte rendu, réfutant pratiquement tous les aspects de l’histoire de Bloomberg au sujet d’Apple. Sur ce point, nous pouvons être très clairs : Apple n’a jamais trouvé de micropuces malveillantes, de « manipulations matérielles » ou de vulnérabilités délibérément implantées dans un serveur. Apple n’a jamais eu aucun contact avec le FBI ou toute autre agence au sujet d’un tel incident. Nous n’avons connaissance d’aucune enquête du FBI, pas plus que nos contacts dans les forces de l’ordre.

En réponse à la dernière version du récit de Bloomberg, nous présentons les faits suivants : Siri et Topsy n’ont jamais partagé de serveurs ; Siri n’a jamais été déployé sur des serveurs qui nous ont été vendus par Super Micro ; et les données Topsy étaient limitées à environ 2 000 serveurs Super Micro, et non 7 000. Aucun de ces serveurs ne contient de micropuces malveillantes.

En pratique, avant que les serveurs ne soient mis en production chez Apple, ils sont inspectés pour détecter les failles de sécurité et nous mettons à jour tous les microprogrammes et logiciels avec les dernières protections. Nous n’avons pas découvert de vulnérabilités inhabituelles dans les serveurs que nous avons achetés chez Super Micro lorsque nous avons mis à jour le firmware et le logiciel conformément à nos procédures standards.

Nous sommes profondément déçus que, dans leurs relations avec nous, les journalistes de Bloomberg n’aient pas été ouverts à la possibilité qu’eux-mêmes ou leurs sources puissent se tromper ou être mal informées. Notre supposition est qu’ils confondent leur histoire sur un incident survenu en 2016, lors duquel nous avons découvert un pilote infecté sur un seul serveur Super Micro dans un de nos laboratoires. Cet événement unique a été considéré comme accidentel et non comme une attaque ciblée contre Apple.

Bien qu’il n’y ait eu aucune allégation selon laquelle les données des clients étaient en cause, nous prenons ces allégations au sérieux et nous voulons que les utilisateurs sachent que nous faisons tout notre possible pour protéger les données personnelles qu’ils nous confient. Nous voulons aussi qu’ils sachent que ce que Bloomberg rapporte sur Apple est faux. Apple a toujours cru en la transparence dans la manière dont nous traitons et protégeons les données. S’il y avait un événement comme Bloomberg News l’a prétendu, nous serions ouverts à ce sujet et nous travaillerions en étroite collaboration avec les services gouvernementaux.

Les ingénieurs d’Apple effectuent des contrôles de sécurité réguliers et rigoureux pour s’assurer que nos systèmes sont sûrs. Nous savons que la sécurité est une course sans fin et c’est pourquoi nous consolidons constamment nos systèmes contre les pirates et hackers de plus en plus sophistiqués qui ciblent nos données.

Pour résumer, Apple nie les faits publiés par Bloomberg. Selon l’entreprise américaine, il n’a jamais été question d’un tel espionnage, même si Apple évoque tout de même avoir mis fin à ses relations commerciales avec l’entreprise chinoise.

De son côté, Super Micro Computer a déclaré ne pas avoir connaissance d’une telle enquête, tandis qu’Amazon a démenti avoir eu connaissance d’un incident sur la chaîne logistique.

Les responsables chinois n’ont pas abordé directement le rapport, affirmant que « la sécurité de la chaîne d’approvisionnement est une question d’intérêt commun. La Chine est également une victime.« .

Il est encore tôt pour connaître le fin mot de l’histoire, mais ce n’est pas la première ni la dernière histoire d’espionnage. Les soupçons sont exprimés de façon récurrente concernant les groupes technologiques présents en Chine. D’ailleurs, ZTE et Huawei sont dans le viseur du gouvernement Trump et des services de renseignement dans cette optique.

L’enquête de Bloomberg est disponible à cette adresse.

Bloomberg

Source: Frandroid

Publié le

L’app de la semaine : un gestionnaire de mots de passe simple, gratuit et soucieux de votre vie privée

Chaque semaine, FrAndroid vous propose de découvrir un jeu ou une application Android qui nous plait particulièrement. Aujourd’hui, on vous propose de découvrir Bitwarden, un gestionnaire de mots de passe simple, gratuit, libre et open source qui ne néglige pas votre vie privée.

La question des mots de passe est un problème récurant de sécurité informatique. Il est préférable d’avoir des mots de passe complexes et différents pour chacun de ses services, mais il est difficile de tous les mémoriser. Deux solutions existent, se créer une recette permettant de mémoriser tous ses mots de passe, ou les confier à un gestionnaire de mots de passe. Ce type de service, souvent très simple à utiliser, permet de sauvegarder tous vos identifiants dans un coffre-fort numérique qui ne s’ouvrira qu’avec votre mot de passe. En d’autres termes, vous n’aurez plus qu’un seul mot de passe à mémoriser, celui du coffre-fort.

Les gestionnaires les plus connus sont sans doute 1Password, LastPass ou encore Dashlane, mais j’ai récemment basculé vers une solution moins connue, Bitwarden.

Tous les ingrédients pour être le gestionnaire idéal

Contrairement aux autres services, Bitwarden réunit tout ce que j’attends d’un gestionnaire de mots de passe. Le service est gratuit, simple à utiliser et se base sur du code open source et libre. Très concrètement, Bitwarden s’installe sur à peu près toutes les plateformes (Android, iOS, Windows, MacOS, Linux, Web, Bash, etc.) et synchronise ses données dans le cloud. Le service propose aussi une extension pour de nombreux navigateurs sur PC. Grâce au chiffrement de bout en bout AES 256 bits, hachées et salées (PBKDF2 SHA-256), l’éditeur du service n’aura jamais accès à vos identifiants. Seul l’utilisateur possède la clé, le mot de passe du coffre-fort, permettant de déverrouiller l’ensemble. Pour les utilisateurs avancés, Bitwarden propose même d’héberger son coffre-fort sur son propre serveur grâce à Docker, ce que j’ai fais.

L’interface est très simple à utiliser. Le coffre-fort peut importer vos mots de passe depuis d’autres services ou navigateur (si vos mots de passe sont stockés sur Chrome ou Firefox notamment), générer de nouveaux mots de passe sécurisés, et stocker d’autres types de données précieuses, telles que des notes sécurisées, des éléments d’identité ou des moyens de paiement. Tout cela permet de remplir automatiquement les formulaires, les champs de paiement et se connecter automatiquement grâce aux mots de passe stockés.

Le remplissage automatique proposé par Bitwarden

L’application comme le service sont très régulièrement mis à jour par le développeur et créateur de Bitwarden. Depuis iOS 12 et Android 9.0 Pie, l’application peut automatiquement remplir les champs, même dans les autres applications ou les navigateurs, ce qui est très pratique en mobilité pour ne plus avoir à taper ses mots de passe. Surtout, il est possible de déverrouiller son coffre fort facilement et rapidement sur mobile grâce à la biométrie, avec Touch ID ou Face ID sur iPhone, ou avec le lecteur d’empreintes sur Android.

C’est le genre d’application qui est peut-être un peu pénible à configurer la première fois, mais qui apporte énormément de confort au quotidien. Elle m’a convaincu par son approche pro-consommateur, ne cherchant pas absolument à collecter ses données personnelles. Je peux désormais me connecter à tout mes services très facilement sur chaque appareil où je configure mon compte Bitwarden. Elle me permet aussi d’avoir un mot de passe complexe différent et généré aléatoirement sur chacun de mes services. Un vrai coup de cœur.

Télécharger pour Télécharger gratuitement sur Google Play | Télécharger

À lire sur FrAndroid : Notre sélection des meilleurs gestionnaires de mots de passe : LastPass, Dashlane, KeePass

Source: Frandroid

Publié le

50 millions de comptes Facebook affectés : comment changer son mot de passe et se protéger ?

Facebook a annoncé aujourd’hui qu’une faille de sécurité importante avait été utilisée le 25 septembre dernier, cette dernière a touché au moins 50 millions de comptes Facebook.

Le plus grand réseau social au monde a communiqué sur une faille de sécurité en publiant une déclaration selon laquelle une « attaque » sur son système a conduit à « la divulgation d’informations » affectant les 50 millions d’utilisateurs :

Notre enquête en est encore à ses débuts. Mais il est clair que les attaquants ont exploité une faille du code de Facebook qui affectait « Voir en tant que », une fonctionnalité qui permet aux utilisateurs de voir à quoi ressemble leur propre profil. Cela a permis de récupérer des jetons d’accès à Facebook, qu’ils pouvaient ensuite utiliser pour prendre le contrôle des comptes des gens. Les jetons d’accès sont l’équivalent des clés numériques qui permettent aux utilisateurs de rester connectés à Facebook. Ils n’ont donc pas besoin de ressaisir leur mot de passe chaque fois qu’ils utilisent l’application.

Facebook a pris des mesures rapide : le réseau a déconnecté au moins 90 millions d’utilisateurs de leurs comptes par mesure de sécurité, procédure standard lors de violations de données. Ils ont également réinitialisé les jetons d’accès des comptes et désactivé temporairement la fonctionnalité « Voir en tant que ».

Facebook n’a toujours pas communiqué sur l’origine de l’attaque ou sur les comptes d’utilisateurs spécifiques concernés.

Que pouvez-vous faire pour protéger votre compte Facebook ?

La première étape est de changer votre mot de passe. Il suffit de se rendre dans les paramètres depuis l’application. Dans la catégorie Sécurité, vous pourrez facilement changer votre mot de passe. D’ailleurs, Numerama vous donne quelques conseils pour choisir un bon mot de passe.

Nous vous conseillons également de vérifier les dernières connexions de votre compte Facebook, vous pourrez détecter rapidement si une connexion a eu lieu dans un lieu étrange. Enfin, vous pouvez aussi vérifier les connexions autorisées sur différents appareils et les désactiver si nécessaire. Même chose avec les applications qui ont accès à votre compte, il est toujours nécessaire de vérifier celles qui ont besoin réellement d’un accès.

Enfin, nous vous conseillons également d’activer l’authentification à deux facteurs, c’est une option qui permet de bloquer un certain nombre de connexions frauduleuses en rajoutant une étape d’authentification par SMS. D’ailleurs, découvrez nos 9 règles de sécurité à absolument suivre.



Facebook



Facebook

Télécharger pour Télécharger gratuitement sur Google Play | Télécharger

 

Source: Frandroid