Une faille majeure d'iOS 14.6 a permis d'espionner journalistes, avocats et ONG, Réactions à la publication du 19/07/2021

[Lionel]

La société israélienne NSO est spécialisée dans le développement d'outils de piratage destinés aux forces de l'ordre et gouvernements légitimes.
Un des exploits du logiciel qu'elle vend à ces autorités permet de prendre le contrôle d'un appareil sous iOS 14.6. L'attaque n'est évidemment pas détaillée mais elle serait liée à un message spécialement formaté. Le simple fait de le recevoir, sans même cliquer sur un quelconque lien permettrait d'installer un cheval de Troie capable de récupérer le contenu de l'appareil mais aussi d'allumer à distance son micro et transmettre les conversations alentours.

Il semble que des journalistes, avocats et employés d'ONG aient été ainsi espionnés. Si NSO se défend d'avoir commercialisé son logiciel à des personnes malveillantes, il est aussi possible que ce produit ait été sorti de son contexte par des personnes habilitées à l'utiliser.

Il n'en demeure pas moins qu'une faille majeure de plus existe toujours sous iOS et son module iMessage et permet la prise de contrôle d'un appareil avec une facilité déconcertante. Espérons que la prochaine mise à jour comble cette faille, ce qui nous laissera un peu de répit en attendant la suivante.

Lien vers le billet original

[g4hd]

Comment cette info ultra discrète a-t-elle pu fuiter ? et pour le profit de qui ?

Quoi qu'il en soit, saluons la performance !

[jt_69.V]

La société israélienne NSO est spécialisée dans le développement d'outils de piratage destinés aux forces de l'ordre et gouvernements légitimes.

C'est bien là qu'est le problème en fait. Un gouvernement est il légitime quand il espionne ses journalistes ?
Je n'ai pas vu si il y avait des preuves d'utilisation de ce logiciel par le gouvernement français sur des citoyens Français ?
Mais avec un ministre de la justice mis en examen qui continue d'exercer ses fonctions comme si de rien n'était, plus rien ne m'étonne...

[neo2003]

Pourquoi des ONG, alors que ce sont elles les garantes d'une certaine transparence dans le monde occulte des gouvernants ?!?!

[Lionel]

Pourquoi des ONG, alors que ce sont elles les garantes d'une certaine transparence dans le monde occulte des gouvernants ?!?!

Tu as globalement raison, mais sous le terme ONG on trouve parfois des choses qui sont certes des "organisations non gouvernementales" mais qui ont parfois des activités douteuses.
C'est une remarque, pas une critique de la critique.

[zebigbug]

Mais avec un ministre de la justice mis en examen qui continue d'exercer ses fonctions comme si de rien n'était, plus rien ne m'étonne...

Mis en examen, ne signifie pas coupable.

[iAPX]

Pourquoi des ONG, alors que ce sont elles les garantes d'une certaine transparence dans le monde occulte des gouvernants ?!?!

Justement pour cette raison là, le rapport d'Amnesty International est excellent d'ailleurs et rapporte qu'ils ont leur propre laboratoire de sécurité!

Pour le reste, comme d'habitude le point d'entrée est un message, avec exécution locale muni de tous les droits, sans information ni action de l'utilisateur.
Une constante chez Apple, un processus avec trop de droits pour son propre bien, depuis les origines, mal foutu et amberlificoté coté code pour perdre les analystes, depuis les origines, et des failles régulières, depuis les origines. Une backdoor pour appeler un chat un chat.

Ce message a été modifié par iAPX - 19 Jul 2021, 11:48.

[Celeri]

Une constante chez Apple, un processus avec trop de droits pour son propre bien, depuis les origines, mal foutu et amberlificoté coté code pour perdre les analystes, depuis les origines, et des failles régulières, depuis les origines. Une backdoor pour appeler un chat un chat.

Il ne faut pas confondre faille et backdoor : la première est involonaire, telle que tu l'as décrite, mais la seconde est une entrée dérobée laissée sciemment ouverte afin que des personnes dans la confidence puissent l'exploiter. Donc là non, désolé mais tu appelles un chat un chien.

[iAPX]

Une constante chez Apple, un processus avec trop de droits pour son propre bien, depuis les origines, mal foutu et amberlificoté coté code pour perdre les analystes, depuis les origines, et des failles régulières, depuis les origines. Une backdoor pour appeler un chat un chat.

Il ne faut pas confondre faille et backdoor : la première est involonaire, telle que tu l'as décrite, mais la seconde est une entrée dérobée laissée sciemment ouverte afin que des personnes dans la confidence puissent l'exploiter. Donc là non, désolé mais tu appelles un chat un chien.

C'est une backdoor: tout est fait depuis les origines pour pouvoir permettre l'exécution locale avec des droits maximum juste avec un message, sans information ni action utilisateur.

Le message à utiliser est différent, mais la backdoor est présente depuis très longtemps, elle a été recréée de différentes façons pour obtenir les mêmes résultats finaux.
Quand le problème a été identifié de multiples fois, et lié à des activités d'espionnages à chaque fois, que le bousin est réécrit encore une fois sous prétexte de sécuriser l'entrée mais qu'on retrouve encore et toujours le même problème, ça n'est pas une erreur, ça n'est pas une bug, c'est une backdoor.

Il y avait d'ailleurs une backdoor similaire sur Android via la réception de vidéos, qui elle aussi a été refaite avec du code emberlificoté pour prétendre l'avoir enlevé alors qu'elle était présente de nouveau, mais ça c'est vu...
C'est essentiellement le même schéma.

"Once is happenstance. Twice is coincidence. Three times is enemy action." - Ian Fleming

[jt_69.V]

Mais avec un ministre de la justice mis en examen qui continue d'exercer ses fonctions comme si de rien n'était, plus rien ne m'étonne...

Mis en examen, ne signifie pas coupable.

Oui bien sûr, mais ça veut dire quand même qu'il existe "des indices graves ou concordants" sur la réalité de l'infraction commise. Et pour un ministre de la justice, ça la fout mal je trouve. Et en l'occurence c'est la cour de justice de la république qui a décidé de la mise en examen. Ils n'ont pourtant pas tendance à être très sévère d'habitude

[Lionel]

Mais avec un ministre de la justice mis en examen qui continue d'exercer ses fonctions comme si de rien n'était, plus rien ne m'étonne...

Mis en examen, ne signifie pas coupable.

Oui bien sûr, mais ça veut dire quand même qu'il existe "des indices graves ou concordants" sur la réalité de l'infraction commise. Et pour un ministre de la justice, ça la fout mal je trouve. Et en l'occurence c'est la cour de justice de la république qui a décidé de la mise en examen. Ils n'ont pourtant pas tendance à être très sévère d'habitude

On évite de se disperser s'il vous plaît

[olrik]

Hello. Et comment faire pour se prémunir de la chose. Comment vérifier si on est la cible de ce logiciel espion. Comment le supprimer ?

[otto87]

Hacker un téléphone avec un sms LOL.... la culture de la secu chez la pomme est fabuleuse.....

[ungars]

Mais avec un ministre de la justice mis en examen qui continue d'exercer ses fonctions comme si de rien n'était, plus rien ne m'étonne...

Mis en examen, ne signifie pas coupable.

Là, le Ministre est bien coupable en fait. Les faits sont établis...

Hacker un téléphone avec un sms LOL.... la culture de la secu chez la pomme est fabuleuse.....

Je serait curieux de voir la tête du SMS en effet : il doit contenir des codes héxa correspondant à du code machine ?

Une constante chez Apple, un processus avec trop de droits pour son propre bien, depuis les origines, mal foutu et amberlificoté coté code pour perdre les analystes, depuis les origines, et des failles régulières, depuis les origines. Une backdoor pour appeler un chat un chat.

Il ne faut pas confondre faille et backdoor : la première est involonaire, telle que tu l'as décrite, mais la seconde est une entrée dérobée laissée sciemment ouverte afin que des personnes dans la confidence puissent l'exploiter. Donc là non, désolé mais tu appelles un chat un chien.

C'est une backdoor: tout est fait depuis les origines pour pouvoir permettre l'exécution locale avec des droits maximum juste avec un message, sans information ni action utilisateur.

Le message à utiliser est différent, mais la backdoor est présente depuis très longtemps, elle a été recréée de différentes façons pour obtenir les mêmes résultats finaux.
Quand le problème a été identifié de multiples fois, et lié à des activités d'espionnages à chaque fois, que le bousin est réécrit encore une fois sous prétexte de sécuriser l'entrée mais qu'on retrouve encore et toujours le même problème, ça n'est pas une erreur, ça n'est pas une bug, c'est une backdoor.

Il y avait d'ailleurs une backdoor similaire sur Android via la réception de vidéos, qui elle aussi a été refaite avec du code emberlificoté pour prétendre l'avoir enlevé alors qu'elle était présente de nouveau, mais ça c'est vu...
C'est essentiellement le même schéma.

"Once is happenstance. Twice is coincidence. Three times is enemy action." - Ian Fleming

https://insolentiae.com/projet-pegasus-le-c...-de-telephones/ ?

[otto87]

Hacker un téléphone avec un sms LOL.... la culture de la secu chez la pomme est fabuleuse.....

Je serait curieux de voir la tête du SMS en effet : il doit contenir des codes héxa correspondant à du code machine ?

Sans doute un hack à coup de message pollué par des morceaux d'expression régulière, dépassement de tampon et c'est parti!!!

Un peu comme les noms de réseau foireux qui casse le wifi...

[olrik]

Hacker un téléphone avec un sms LOL.... la culture de la secu chez la pomme est fabuleuse.....

L'article que j'ai lu indique que les ANDROID et les iPHONE seraient concernés et en recevant un SMS mais sans avoir besoin de l'ouvrir ???

C'est si gros que je me demande si l'article est fiable.

Au fait ma culture remonte à 1982 et j'en connais un rayon sur les appareils et systèmes que j'ai utilisés. Mais je reste humble et j'apprends tout les jours. D'où ma question sur ce PEGASUS et sur mon iPhone.

Ca me semble légitime et je ne vois pas en quoi cela mérite un LOL.

[iAPX]

Hacker un téléphone avec un sms LOL.... la culture de la secu chez la pomme est fabuleuse.....

L'article que j'ai lu indique que les ANDROID et les iPHONE seraient concernés et en recevant un SMS mais sans avoir besoin de l'ouvrir ???

C'est si gros que je me demande si l'article est fiable.
...

C'est fiable, ça a été analysé.

C'est gros, mais c'est une backdoor, et ça pose des questions bien plus profondes du coté de Apple.
Bien sûr c'est pas comme si Apple donnait ses clés iCloud à la Chine pour qu'elle espionne sa population...

Ce message a été modifié par iAPX - 19 Jul 2021, 17:12.

[otto87]

Ca me semble légitime et je ne vois pas en quoi cela mérite un LOL.

Ça ne mérite pas un lol si tu t'imagines qu'aie une réelle sécurité informatique...

Tout caviardés, que tu passes par l'application, l'os, le cpu ou même au niveau des couches réseaux sans même parler des algo de cryptographie qui sont transparent pour les services.
C'est beau de voir les plus gros espions du monde se faire passer pour des chantres de la liberté et de la vie privé...

[Daniel31]

Un sujet grave, avec d'évidence une backdoor créée par Apple, maintes fois changée mais toujours présente.
Qui devrait donc tous nous interroger.

+1000

belle série d'article dans Le Monde. (essentiellement pour abonnés)

et en anglais The Guardian

Les cibles sont en grande partie des journalistes, avocats et militants des droits de l'homme.

[iAPX]

...
Les cibles sont en grande partie des journalistes, avocats et militants des droits de l'homme.

Pour moi Apple a choisi son camp.

Comme en Chine en offrant au Parti Communiste Chinois les clés de déchiffrement de tout compte iCloud Chinois, sans contrôle d'accès, pour aider la surveillance de masse.
(probablement le pourquoi d'un message de déflection, aussi vulgaire que ridicule)

Il y a donc une backdoor, encore et toujours, dans nos iPhone, permettant à certains de nous espionner discrètement.
Et terminant avec des gouvernements totalitaires espionnants les ONG, leurs opposants, en vue de les identifier, les arrêter, les torturer et les éliminer.

Apple est finalement plus à l'aise avec l'Arabie Saoudite ou la Chine qu'avec des démocraties à qui elle se permet de donner des leçons...
Là aussi ça devrait nous faire nous interroger. Et résister.

Ce message a été modifié par iAPX - 19 Jul 2021, 21:14.

[JayTouCon]

on se souvient du fameux téléphone d'Alexandre de la contrescarpe dont les SMS s'effaçaient à distance.

quand ce sont des journalistes, avocats, adversaires politiques la question de la légitimité et de la légalité à de quoi surprendre, puisque dès lors que c'est énoncé, l'on voit bien que ça ne tient pas une seule seconde. NSO commercialise un virus pour espionner avec des conséquences tragiques. comme si les kamikazes et autres utilisaient tranquille leur téléphone en envoyant des sms .

il y a de fortes 'chances' pour que si l'info sorte aujourd'hui son ou ses remplaçants existent déjà depuis quelques temps. cela fait quelques années que l'info trainait (3/4 ans il me semble) sans en connaitre l'ampleur. à part ça (c'est secondaire) à la différence d'android, IOS est exactement le même sur tous les téléphones pomme dans le monde entier. en cracker un c'est le jackpot. on l'a vu dans l'actualité récente avec des assassinats ciblés. rarement pour des affaires terro.

pour que cela soit plus 'propre' on peut demander à un pays très ami ou très lié d'espionner ses opposants politiques, à charge de faire la même chose pour ledit pays.

même si cela peut faire sourire à priori, ce n'est pas pour rien que depuis une dizaine d'années, la colombophilie à retrouvé un certain regain d'intérêt mais ni chez les journalistes, ni chez les avocats et encore moins chez les politiques, cibles de ce projet.

[SonyTEL]

Je pensais que ça remontait en 2019 ?

https://www.francetvinfo.fr/monde/proche-or...is_4707199.html

[marcmame]

Mais avec un ministre de la justice mis en examen qui continue d'exercer ses fonctions comme si de rien n'était, plus rien ne m'étonne...

Mis en examen, ne signifie pas coupable.

Non mais mis en examen pour un MINISTRE DE LA RÉPUBLIQUE et donc pas toi ni moi, signifie l'impossibilité d'exercer sereinement ses fonctions d'états, encore plus lorsqu'on est à la tête de ce département qui vient de te mettre en examen, et la perte de confiance globale de la population envers cette personne et tout ceux (président et premier ministre) qui le maintienne en place avec leur soutien.

[iAPX]

Tiens une seconde déflexion pour tuer le sujet: dès qu'on parle de Apple et de Chine ça semble créé des évènements délétères.

De manière intéressante les règles devant s'appliquer permettent alors de facilement faire couler un sujet, en les corrompant.

Et je vais le remettre bien en place: Apple a donné les clés de déchiffrement iCloud au Parti Communiste Chinois via une des entreprises qu'il contrôle, permettant à celui-ci un espionnage de masse de sa population. Sans que Apple ni personne ne puisse le contrôler ou le vérifier.
Ça devrait faire réfléchir sur ce qu'est Apple, qui se permet de donner des leçons à des gouvernements démocratiquement élus (mais sans verser d'impôts faut pas déconner non plus).

Et ce sujet est à propos d'une backdoor évidente créée pr Apple pour les organisations US mais identifié par NSO (ou ses fournisseurs), et exploité par des gouvernements totalitaires pour atteindre à la liberté des personnes et des organisations.
À la fin ce sont des arrestations, des tortures, des executions ou "disparitions". De l'horreur avec la complicité de Apple, en Chine comme ailleurs.

Ce message a été modifié par iAPX - 19 Jul 2021, 22:25.

[baron]

Hello. Et comment faire pour se prémunir de la chose. Comment vérifier si on est la cible de ce logiciel espion. Comment le supprimer ?

Avec un coût estimé de 25.000$ par cible, il y a peu de chances qu'on décide de t'espionner.

Néanmoins, en cas de doute, tu peux étudier le rapport du labo d'analyse d'Amnesty international :
• https://www.amnesty.org/en/latest/research/...groups-pegasus/

++++++++++

A noter que depuis son apparition, le logiciel Pegasus s'est attaqué aussi bien aux smartphones tournant avec iOS qu'Android.

Si on parle plus d'attaques récentes sur iOS, c'est en partie parce que ce système documente mieux les actions réalisées dessus et permet dès lors des recherches d'infection plus fructueuses (cf. point 10. du rapport i-dessus).

++++++++++

Quelques articles antérieurs :
• iOS 9.3.5 disponible - Jeudi 25 août 2016
• Les échanges avec iCloud pourraient être espionnés - Vendredi 19 juillet 2019
• Une faille 0 click utilisée pour compromettre des iPhone - Mardi 22 décembre 2020

[iAPX]

Hello. Et comment faire pour se prémunir de la chose. Comment vérifier si on est la cible de ce logiciel espion. Comment le supprimer ?

Avec un coût estimé de 25.000$ par cible, il y a peu de chances qu'on décide de t'espionner.

Néanmoins, en cas de doute, tu peux étudier le rapport du labo d'analyse d'Amnesty international :
• https://www.amnesty.org/en/latest/research/...groups-pegasus/

++++++++++

A noter que depuis son apparition, le logiciel Pegasus s'est attaqué aussi bien aux smartphones tournant avec iOS qu'Android.

Si on parle plus d'attaques récentes sur iOS, c'est en partie parce que ce système documente mieux les actions réalisées dessus et permet dès lors des recherches d'infection plus fructueuses (cf. point 10. du rapport i-dessus).

++++++++++

Quelques articles antérieurs :
• iOS 9.3.5 disponible - Jeudi 25 août 2016
• Les échanges avec iCloud pourraient être espionnés - Vendredi 19 juillet 2019
• Une faille 0 click utilisée pour compromettre des iPhone - Mardi 22 décembre 2020

Un autre point et paradoxal en apparence: mon avis personnel est que la sécurité individuel ainsi que la protection de sa vie privée est largement supérieure sous iOS (sauf en Chine évidemment). En général.

Mais qu'avec les backdoors créées intentionnellement par Apple, iOS est bien moins sûr contre les attaques de niveau gouvernemental que Android, et c'est vérifiable depuis quelques années avec le prix de marché des failles de l'un et de l'autre: une faille Android est bien plus chère car plus rare.

Il est évident que Apple collabore activement, comme en Chine.
Alors que si Google/Alphabet veut vendre nos informations privées et notre profilage, tout est fait pour protéger des dictatures totalitaires, sans concession.
Et là, moi, ça me pose un véritable problème, être avec le collabo qui protège en général, ou de l'autre coté ceux qui nous sucent nos vies privées mais nous protègent des gouvernements?

C'est un véritable putain de problème, où il n'y a pas de blanc et de noir, mais uniquement une zone grise, alors que seulement Android permet de contrôler, de retrouver le contrôle, de se protéger, c'est complexe car pas conçu pour. Mais c'est possible sous Android et pas sous iOS.
Très clairement iOS est encore le mieux pour la plupart, mais quand on est ciblé ou ciblable, Android est au-dessus.

PS: Fabrice Epelboin sur le Pegasus de NSO, avec qui j'ai eu des échanges sur différents sujets liés à la cybersécurité.

Et je suis sous iOS, non parce que je suis dans le cas général, au contraire que ça soit avec la DGSE Française puis le SCRS Canadien en liaison avec la NSA et la CIA. Je suis donc un paradoxe. Et depuis une vingtaine d'année je joue avec eux.
Ça peut inclure des courriels pour râler contre leurs systèmes de surveillance limitant ma liaison Internet en passant par Boston (ils ont résolu le problème)

Ce message a été modifié par iAPX - 20 Jul 2021, 00:16.

[baron]

PS: Fabrice Epelboin sur le Pegasus de NSO, avec qui j'ai eu des échanges sur différents sujets liés à la cybersécurité.

Même si le bonhomme est connu, j'ai souvent un peu de peine avec les information relayées par une chaîne, Russia Today, dont l'affiliation politique fait peu de doutes.

[keanus]

Rien ne permet de dire qu'Apple a "intentionnellement mis des BackDoors". Celui qui affirme doit prouver.

Dans le cas de Pegasus, ce sont pas moins 3 failles 0 day qui ont été exploitées et la plus importante car vecteur de l'installation est dans la librairie de WebKit.

En clair : pour éviter de voir son iPhone compromis, le 1er des réflexe est d'éviter d'utiliser SAFARI pour un autre navigateur qui n'utilise aucune des librairies WebKit.

Apple doit permettre aux autres navigateurs de se faire facilement une place au seing de son écosystème bien trop fermé qui est justement le ver dans la pomme.

Le pire c'est que cette faille de WebKit n'est certainement plus le vecteur d'infection puisque depuis 9.3.5 la CVE a été patché.

Mais faut pas prendre NSO pour des idiots, ils ont forcément trouvé d'autres failles a exploiter et ce sont toutes les "Apps made in Apple" qui sont forcément les vecteurs d'infection qui seront privilégiés puisque installées et utilisées par défaut sur tout iPhone.

La moralité de l'histoire est que SI APPLE n'est pas capable d'assurer une sécurité de ses utilisateurs avec son système fermé, alors elle doit permettre à ses Utilisateurs de l'ouvrir soit par l'utilisation d'Apps concurrentes aux siennes ou au Jailbreak permettant de surveiller les racines d'iOs et de permettre à ses utilisateurs de monitorer l'activité du processeur et les vitesses réseaux afin de détecter toute activité anormale.

Enfin d'associer une diode à la caméra et au micro quand ils sont actifs sans que la diode ne puisse être découplée autrement que par une éviction physique de celle ci.

Etre espionné par la caméra et le micro sans que l'utilisateur ne puisse s'en rendre compte est simplement une "GROTESQUE et INADMISSIBLE erreur Hardware d'Apple" qui "NE PERMET PAS A L'UTILISATEUR" de pouvoir se rendre compte qu'il est espionné.

Un diode de caméra active indécouplable est une "boucle de sécurité" qu'Apple aurait dû prévoir comme pour les webcams de Logitech qui ont le mérite d'exister même si elle peuvent être découplées.

Le Législateur devrait imposer au fabricant de mettre en place des options de sécurité incontournables que l'utilisateur pourrait masquer.
Eventuellement un bouton comme celui du "mode silencieux" qui couperait cam et micro hors appels émis.

C'est dingue comme Apple fait de plus en plus mal son travail : ils ne pensent qu'à rajouter des fonctions, toujours plus de fonctions dont tout le monde ou presque se fout, mais aucune avancée significative au niveau de la sécurité.

Et je résumerai que ce genre d'espionnage à grande échelle est le pire des dangers car "L'intimité de chacun est le dernier rempart de la Démocratie pour tous".


Hey Mister Tim COOK, si tu me lis, affiche ma maxime dans les couloirs et bureaux qu'utilisent tes Ingénieurs pour leur rappeler que le plus important c'est la sécurité des Clients et pas leur confort !

LA SECURITE toujours avant toutes les autres matières.

[iAPX]

PS: Fabrice Epelboin sur le Pegasus de NSO, avec qui j'ai eu des échanges sur différents sujets liés à la cybersécurité.

Même si le bonhomme est connu, j'ai souvent un peu de peine avec les information relayées par une chaîne, Russia Today, dont l'affiliation politique fait peu de doutes.

Peux-tu me citer une chaîne ou un channel YouTube sans aucune affiliation politique aujourd'hui mon grand

Quand j'étais jeune dans les années 70 (on a presque le même âge), il y avait Le Monde, une référence tout autant acceptée par les gens de droite que mon père communiste ou ma mère socialiste, car c'était à juste titre une référence. Le Monde fut une référence, indiscutable.
Aujourd'hui et très malheureusement nous n'avons plus accès à un média de référence, et donc oui c'est RT France. Mais BFM TV ou CNews sont ils neutres? Vraiment?!?

PS: @keanus résume pas mal bien la chose

Ce message a été modifié par iAPX - 20 Jul 2021, 00:33.

[zero]

Oh, la belle Backdoor !

Il est claire que la sécurité chez Apple, c'est juste une façade marcketing. Apple pense d'abord à la sécurité de son business. La majeur partie des mises à jour du système et du matériel ont été faites dans ce sens.

[downanotch]

Mais qu'avec les backdoors créées intentionnellement par Apple

C'est pas parce que tu le répètes en boucle que ça devient un fait avéré.

[Lionel]

Mais qu'avec les backdoors créées intentionnellement par Apple

C'est pas parce que tu le répètes en boucle que ça devient un fait avéré.

Tu as raison, clairement. Il faut donc se rendre à l'évidence, les ingénieurs Apple sont des quiches.

[downanotch]

Mais qu'avec les backdoors créées intentionnellement par Apple

C'est pas parce que tu le répètes en boucle que ça devient un fait avéré.

Tu as raison, clairement. Il faut donc se rendre à l'évidence, les ingénieurs Apple sont des quiches.

Comme ceux d'Android : https://source.android.com/security/bulletin/2021-07-01

Ce message a été modifié par downanotch - 20 Jul 2021, 07:48.

[joe75]

@iAPX : Merci d'avoir partagé tes interrogations sur ce dilemme aussi bien moral que technique pour la sécurité.
J'en sais beaucoup plus sur ce sujet graâce à toi.

[JayTouCon]

Mais qu'avec les backdoors créées intentionnellement par Apple

C'est pas parce que tu le répètes en boucle que ça devient un fait avéré.

Venant de toi, qui a mis 5 jours avant d’admettre que le lossless de la pomme ne fonctionnait pas avec les AirPods max alors que la pomme l’indiquait …

Les failles sous iOS sont comblées avec pas mal de retard. Tant que les serveurs de la pomme seront sur le sol US ce sera le Cloud act qui s’applique (et a priori hors US aussi si les serveurs sont en Europe mais ça coincera un peu plus)

Ce qui est gênant ici est qu’un virus a priori réservé à des états puisse être dispo pour des entités criminelles. C’est aussi pour cela que cette affaire sort aujourd’hui.

La prochaine fois que Tim va nous faire l’article sur la vie privée, tu viendras nous le vendre @downatoch, un peu comme l’ecologie avec des macs non réparables.

[downanotch]

Venant de toi, qui a mis 5 jours avant d’admettre que le lossless de la pomme ne fonctionnait pas avec les AirPods max alors que la pomme l’indiquait …

Petite précision : même les AirPods max en lightning ne pourront bénéficier du lossless

En fait, ce sera le format Lossless mais avec un encodage décodage de plus, donc une perte de fidélité. Pour ça qu'Apple dit que ce n'en est plus.

Si tu parles d'un casque où le signal analogique est reconverti en numérique comme pour l'AirPod Max, alors oui.

[JayTouCon]

Euh tu n’as toujours pas compris a priori. Le lossless ne fonctionnera pas avec les AirPod max. consulte tes donneurs d’ordre.

C’est peut être compliqué de l’annoncer à ceux qui ont déboursé 600€. Il faudra attendre la V2. Je te rappelle que ce sont des gens qui bossent pour la pomme qui l’ont annoncé, pas moi. Mais ce sera avec plaisir que je ressortirai tes messages ou tu le niais. De mémoire @lionel te l’avait rappelé

Mais plutôt que de faire diversion, et revenir au sujet, il me semble que c’est via iOS et pégasus que le journaliste a été démembré en Turquie. Cela aurait pu être évidemment avec un androïd vérolé mais comme Tim Cook nous bassine avec la vie privée, il serait souhaitable qu’il comble les failles de sécurité plutôt que de faire la morale à FB.

Pegasus ça date pas de l’année dernière. Ces failles n’ont pas été comblées. Pourquoi ?

[iAPX]

...
Pegasus ça date pas de l’année dernière. Ces failles n’ont pas été comblées. Pourquoi ?

Pegasus est le nom du produit de NSO.

Mais il a utilisé différentes failles au court du temps pour être introduit dans nos iPhone, failles qui sont récurrentes.
@keanus citait WebKit, qui est un nid à failles notamment par sa gestion mémoire, le use-after-free étant courant.
Je citais le système de réception des messages, qui a trop de droits pour son propre bien, et qui a encore et toujours des plantages amenant à de l'éxecution locale, sans information ni action utilisateur.

Bref il y a eu des failles, exploitées puis comblées, et de nouvelles sont apparues, dans les mêmes composants avec les mêmes effets, et rebelote et dix de der!

Alors soit les développeurs de Apple sont des quiches, il y en a partout, et on confie aux pires sans aucune formation en terme de sécurité le développement des parties les plus sensibles du code, sans peer-review sérieux et sans analyse de sécurité, c'est possible, soit il y a eu volonté...
Et de toute façon ce qui est indiscutable est que ça n'est pas acceptable quelles qu'en soient les raisons.

Ce message a été modifié par iAPX - 20 Jul 2021, 11:19.

[downanotch]

Euh tu n’as toujours pas compris a priori.

Sérieux, apprend à lire ou à comprendre…

Mais plutôt que de faire diversion

C'est toi qui a dévié sur le lossless, hein…

Pegasus ça date pas de l’année dernière. Ces failles n’ont pas été comblées. Pourquoi ?

Dans l'évaluation du rapport d'Amnesty par Citizen Lab ont peut lire :

The mechanics of the zero-click exploit for iOS 14.x appear to be substantially different than the KISMET exploit for iOS 13.5.1 and iOS 13.7, suggesting that it is in fact a different zero-click iMessage exploit.

Il s'agirait donc de nouvelles failles, ce qui suggère que les anciennes ont bien été comblées.

Alors soit les développeurs de Apple sont des quiches

Project Zero a un avis très différent, voici la conclusion de leur évaluation des amélioration concernant iMessage dans iOS 14 :

This blog post discussed three improvements in iOS 14 affecting iMessage security: the BlastDoor service, resliding of the shared cache, and exponential throttling. Overall, these changes are probably very close to the best that could’ve been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole. It’s great to see Apple putting aside the resources for these kinds of large refactorings to improve end users’ security. Furthermore, these changes also highlight the value of offensive security work: not just single bugs were fixed, but instead structural improvements were made based on insights gained from exploit development work.

Ce message a été modifié par downanotch - 20 Jul 2021, 11:45.

[Patounet1]

Bonjour,
En pratique, un journaliste, un membre d'une ONG, il fait comment pour pouvoir téléphoner, envoyer un e-mail, sans être espionné ?
Le chiffrement semble être dans ce cas inefficace !
Merci de laisser le pigeon voyageur de côté.

[Lionel]

Alors soit les développeurs de Apple sont des quiches

Project Zero a un avis très différent, voici la conclusion de leur évaluation des amélioration concernant iMessage dans iOS 14 :

This blog post discussed three improvements in iOS 14 affecting iMessage security: the BlastDoor service, resliding of the shared cache, and exponential throttling. Overall, these changes are probably very close to the best that could’ve been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole. It’s great to see Apple putting aside the resources for these kinds of large refactorings to improve end users’ security. Furthermore, these changes also highlight the value of offensive security work: not just single bugs were fixed, but instead structural improvements were made based on insights gained from exploit development work.

Donc toi aussi dans ce cas tu penches pour des failles volontaires ? On ferme la porte à double tour mais on laisse une lucarne ouverte. C'est ça ?

[iAPX]

Bonjour,
En pratique, un journaliste, un membre d'une ONG, il fait comment pour pouvoir téléphoner, envoyer un e-mail, sans être espionné ?
Le chiffrement semble être dans ce cas inefficace !
Merci de laisser le pigeon voyageur de côté.

En pratique il n'y a pas de solution absolument sûre, et certainement aucune contre des acteurs de niveau gouvernemental comme l'a découvert Jeff Bezos à ses dépends...

C'est pour ça que je ne recommande pas de messagerie chiffrée de bout-en-bout, dont Signal est le meilleur exemple, car ce sont des fausses sécurités.
Je préfère partir de l'idée que mes communication électroniques étaient, sont ou seront interceptés d'une manière ou d'une autre, et j'ai des preuves qu'elles l'ont été, il est quasi impossible d'avoir des preuves de l'absence d'interception, ad contrario.

Une possibilité serait d'avoir un appareil Android dédié à Signal, non-connecté à aucun réseau mobile après les setup initial pour bloquer naturellement les attaques réseau, et avec un pare-feu qui limiterait les échanges à Signal et son protocole (ses ports), en entrée et en sortie aussi, en se connectant en WiFi (peering avec son smartphone principal si nécessaire).

• Attaque réseau cellulaire: Non
• Attaque au travers de TCP/IP: Non, bloqué par le Pare-Feu
• Exploitation d'une faille 0-day dans Signal: Possible et Signal devient trop complexe pour être sûr
• Exploitation d'une faille 0-day dans son DNS local: Possible, mais extrêmement peu probable

En revanche, de manière irréaliste pour nombre de personnes, on peut avoir un matériel de chiffrement/déchiffrement GPG/PGP isolé, sans ports USB ouvert, et communiquant uniquement au travers d'un protocole série simple via un port série RS232C physique (USB <-> RS232C <-> USB).
Dans ce cadre-là on peut s'assurer de la sécurisation des échanges, et de la quasi-impossibilité d'attaques distantes.

Ce message a été modifié par iAPX - 20 Jul 2021, 12:16.

[downanotch]

Alors soit les développeurs de Apple sont des quiches

Project Zero a un avis très différent, voici la conclusion de leur évaluation des amélioration concernant iMessage dans iOS 14 :

This blog post discussed three improvements in iOS 14 affecting iMessage security: the BlastDoor service, resliding of the shared cache, and exponential throttling. Overall, these changes are probably very close to the best that could’ve been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole. It’s great to see Apple putting aside the resources for these kinds of large refactorings to improve end users’ security. Furthermore, these changes also highlight the value of offensive security work: not just single bugs were fixed, but instead structural improvements were made based on insights gained from exploit development work.

Donc toi aussi dans ce cas tu penches pour des failles volontaires ?

Absolument pas, des failles de sécurité — et plus généralement, des bugs — on en découvre régulièrement et dans tous les OS, c'est juste que la complexité et la vitesse d'évolution des logiciels aujourd'hui sont telles que c'est très difficile à éviter, et qu'en face il y a des ressources énormes qui sont mises pour trouver les bugs qui peuvent compromettre la sécurité et les exploiter.

[iAPX]

Le laboratoire de sécurité d'Amnesty International propose maintenant un outil open-source pour vérifier si un iPhone ou un smartphone Android ont été attaqués par le logiciel Pegasus de NSO: MVT dans ce repo GIT

Ça va permettre à tout un chacun de vérifier les traces laissées par ce logiciel d'espionnage à grande échelle.
On sait d'ailleurs que des quidams tout ce qu'il y a de plus banals ont aussi été espionnés.

PS: je ne suis pas touché, l'installation est chaotique (wheel, encore et toujours!), mais l'usage est simple et efficace!

Ce message a été modifié par iAPX - 20 Jul 2021, 22:26.

[joe75]

Euh tu n’as toujours pas compris a priori. Le lossless ne fonctionnera pas avec les AirPod max. consulte tes donneurs d’ordre.

C’est peut être compliqué de l’annoncer à ceux qui ont déboursé 600€. Il faudra attendre la V2. Je te rappelle que ce sont des gens qui bossent pour la pomme qui l’ont annoncé, pas moi. Mais ce sera avec plaisir que je ressortirai tes messages ou tu le niais. De mémoire @lionel te l’avait rappelé

Mais plutôt que de faire diversion, et revenir au sujet, il me semble que c’est via iOS et pégasus que le journaliste a été démembré en Turquie. Cela aurait pu être évidemment avec un androïd vérolé mais comme Tim Cook nous bassine avec la vie privée, il serait souhaitable qu’il comble les failles de sécurité plutôt que de faire la morale à FB.

Pegasus ça date pas de l’année dernière. Ces failles n’ont pas été comblées. Pourquoi ?

T'es très très lourd et manifestement tu ne connais rien à la qualité de l'audio en analogique non plus.
Reste sur le sujet ce sera plus sain pour tout le monde...et pas la peine non plus de faire des allusions ceux qui ont déboursé 600 euros pour l'airpods max (que je n'ai pas puisqu'il faut te le rappeler) sont certainement toujours aussi content de leur casque.

[Lionel]

Donc toi aussi dans ce cas tu penches pour des failles volontaires ?

Absolument pas, des failles de sécurité — et plus généralement, des bugs — on en découvre régulièrement et dans tous les OS, c'est juste que la complexité et la vitesse d'évolution des logiciels aujourd'hui sont telles que c'est très difficile à éviter, et qu'en face il y a des ressources énormes qui sont mises pour trouver les bugs qui peuvent compromettre la sécurité et les exploiter.

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.
Laisse tomber tu es coincé.

Bonjour,
En pratique, un journaliste, un membre d'une ONG, il fait comment pour pouvoir téléphoner, envoyer un e-mail, sans être espionné ?
Le chiffrement semble être dans ce cas inefficace !
Merci de laisser le pigeon voyageur de côté.

En pratique il n'y a pas de solution absolument sûre, et certainement aucune contre des acteurs de niveau gouvernemental comme l'a découvert Jeff Bezos à ses dépends...

C'est pour ça que je ne recommande pas de messagerie chiffrée de bout-en-bout, dont Signal est le meilleur exemple, car ce sont des fausses sécurités.
Je préfère partir de l'idée que mes communication électroniques étaient, sont ou seront interceptés d'une manière ou d'une autre, et j'ai des preuves qu'elles l'ont été, il est quasi impossible d'avoir des preuves de l'absence d'interception, ad contrario.

Une possibilité serait d'avoir un appareil Android dédié à Signal, non-connecté à aucun réseau mobile après les setup initial pour bloquer naturellement les attaques réseau, et avec un pare-feu qui limiterait les échanges à Signal et son protocole (ses ports), en entrée et en sortie aussi, en se connectant en WiFi (peering avec son smartphone principal si nécessaire).

• Attaque réseau cellulaire: Non
• Attaque au travers de TCP/IP: Non, bloqué par le Pare-Feu
• Exploitation d'une faille 0-day dans Signal: Possible et Signal devient trop complexe pour être sûr
• Exploitation d'une faille 0-day dans son DNS local: Possible, mais extrêmement peu probable

En revanche, de manière irréaliste pour nombre de personnes, on peut avoir un matériel de chiffrement/déchiffrement GPG/PGP isolé, sans ports USB ouvert, et communiquant uniquement au travers d'un protocole série simple via un port série RS232C physique (USB <-> RS232C <-> USB).
Dans ce cadre-là on peut s'assurer de la sécurisation des échanges, et de la quasi-impossibilité d'attaques distantes.

En fait, il y a une solution. Avoir un téléphone mobile au nom d'une autre personne, un tiers, le plus éloigné possible de nous (pas un proche direct) et en changer régulièrement. Personne ne peut écouter tout le monde en même temps.

[iAPX]

...
En fait, il y a une solution. Avoir un téléphone mobile au nom d'une autre personne, un tiers, le plus éloigné possible de nous (pas un proche direct) et en changer régulièrement. Personne ne peut écouter tout le monde en même temps.

Il sera toujours identifiable, par les réseaux auxquels il se connecte et via la géolocalisation minimaliste des réseaux cellulaires, en rapprochant celles-ci sur la durée avec la position connue de la personne.

L'identification pourra aussi être faite ou corroborée par empreinte vocale.

En fait, de mon point-de-vue, on est fichu quoiqu'on fasse ou presque!
La NSA s'est donnée comme mission d'écouter et surveiller tout le monde, et ils sont incroyablement bon, probablement les meilleurs de loin, avec un budget pharaonique.

Ce message a été modifié par iAPX - 20 Jul 2021, 16:31.

[ades]

ou alors pas de smartphone du tout.

Question est ce qu'un vieux sonyericson 750 (je crois, pas envie de monter dans des combles non isolés), donc un tel qui ne fait que téléphoner peut être attaqué ?

Je crois avoir compris que non, les com seront interceptables, mais ce serait sans doute très compliqué pour un état x de surveiller un individu y téléphonant dans un état z…

si quelqu'un sait…

Ce message a été modifié par ades - 20 Jul 2021, 16:42.

[iAPX]

ou alors pas de smartphone du tout.

Question est ce qu'un vieux sonyericson 750 (je crois, pas envie de monter dans des combles non isolés), donc un tel qui ne fait que téléphoner peut être attaqué ?

Je crois avoir compris que non, les com seront interceptables, mais ce serait sans doute très compliqué pour un état x de surveiller un individu y téléphonant dans un état z…

si quelqu'un sait…

Là c'est facile, c'est l'enfance de l'art pour certains états si ils ont conçu ou on réussi à rentrer dans les équipements réseaux.
Comme de plus les communications ne sont pas chiffrées de bout-en-bout, même pas besoin de hacker le téléphone mobile.

Si Angela, François et le Manu d'amour ont été écoutés, c'est sans espoir pour qui que ce soit.

Ce message a été modifié par iAPX - 20 Jul 2021, 17:10.

[captaindid]

En fait, il y a une solution. Avoir un téléphone mobile au nom d'une autre personne, un tiers, le plus éloigné possible de nous (pas un proche direct) et en changer régulièrement. Personne ne peut écouter tout le monde en même temps.

ouvrir une ligne au nom d'un tiers, d'accord, mais de qui? Paul Bismuth?

[iAPX]

[JayTouCon]

Euh tu n’as toujours pas compris a priori.

:lo
Sérieux, apprend à lire ou à comprendre…

ne fais pas semblant de fuir en coupant le message ou ça t'arrange. contrairement à ce que tu as affirmé sur l'autre fil les AirPods max ne sont pas losless. cette info a été donnée par la pomme elle même, tu l'as nié pendant des jours. 650 euros pour un produit qui ne dispose pas du losslees. c'est pour cela que tu as embrayé sur le dolby atmos dans le fil original. ça vient du codec BT tu le sais. pour s'en approcher il faut le câble à 80 euros et le dongle jack/lightning. en gros un port jack avec un casque filaire. or la pomme ne commercialise plus de téléphone avec une prise jack et encore moins de casque filaire.

fin du H.S sauf si tu nies encore ou si ce message est supprimé. ce n'est pas parce que tu es payé par la pomme que tu peux raconter n'importe quoi. contente toi des communiqués de presse validés ou rameute du monde, des 'nouveaux membres'.

concernant Pegasus, il y a aussi un souci de taille. l'ancien Ambassadeur de France aux US était aussi consultant chez N.S.O il y a encore quelques jours. ça fait tâche..
quant aux infos concernant le Maroc, il serait très étonnant que ce pays l'ait fait de son propre chef, c'est beaucoup trop risqué.

en général à un certain niveau, on part du principe que l'on est écouté. donc ça ne surprend personne. pour les journalistes, représentants des droit de l'homme etc, etc c'est plus compliqué. ils ne vont pas changer 12 fois de téléphones par jour avec des lignes différentes.

concernant IOS la défense de la pomme c' est assez mauvais. 'qu'est ce que vous voulez ma bonne dame, on fait tout ce qu'on peut mais c'est inévitable' rideau, voilàààà merci Ivan.
soit ils n'ont pas les compétences pour combler et identifier les failles sur leur propre OS (ils n'ont pass assez de sous sans doute pour recruter ?)
soit ils laissent des failles en raison d'une demande de tels ou tels.
Après android c'est plein de virus . venez chez nous on préserve la vie privée.

[DOMY]

Je ne sais pas ce que cela vaut, mais .... je viens de lire ceci :

Tehtris, l'arme fatale française contre le logiciel espion Pegasus
Le logiciel espion israélien Pegasus, qui a infecté les smartphones de journalistes et militants du monde entier, est très difficilement détectable.
La pépite cyber française Tehtris est un des rares acteurs à savoir dénicher le malware.
https://www.challenges.fr/entreprise/defens...-pegasus_774097

https://tehtris.com/fr/produits/tehtris-mtd/

PS: je n'ai aucune action dans le " bouzin " !

Ce message a été modifié par DOMY - 20 Jul 2021, 20:25.

[DOMY]

En fait, de mon point-de-vue, on est fichu quoiqu'on fasse ou presque!

Il reste une solution .... ne pas raconter "sa vie et les choses sensibles" au téléphone.
La paranoia, c'est pas forcément une maladie, ça peut aussi être une éthique, un mode de survie.

Ben Laden, l'avait bien pigé, et ça lui a permis de "durer" une décennie avant de se faire choper, alors que c'était l'homme, le plus recherché du monde.
Toute chose étant égale .... toi iAPX .... "l'homme le moins recherché du monde", tu devrais durer un ou deux siècles,
avant de te faire pécho, pour tes moeurs de Montréalais débridées ! (Mode humour)

Ce message a été modifié par DOMY - 20 Jul 2021, 20:34.

[iAPX]

En fait, de mon point-de-vue, on est fichu quoiqu'on fasse ou presque!

Il reste une solution .... ne pas raconter "sa vie et les choses sensibles" au téléphone.
La paranoia, c'est pas forcément une maladie, ça peut aussi être une éthique, un mode de survie.
...

Pas besoin de paranoïa, on peut quand-même être surpris de la proportion de personnes, dès l'adolescence, faisant des sexfies, les conservant et les envoyant à tout un chacun.
Ou échangeant n'importe quoi au travers de systèmes électroniques.

Et on devrait se souvenir de l'affaire Petraeus, où des messages privés très compromettants ont été utilisé au bon moment contre quelqu'un.
Qui sait où vous serez dans 10ans ou 20ans, et quelles pourraient être les conséquences de la divulgation publiques de vos messages voir vos sexfies.

Un peu de retenu ne fait pas de mal...

PS: je ne suis pas un ange, essayez de ne pas mélanger ce qui peut vous identifier et ce qui est très privé, pour avoir un déni crédible si votre mère devait le voir un jour!

Ce message a été modifié par iAPX - 20 Jul 2021, 20:46.

[DOMY]

Keep cool ... je pensais que tu avais compris le mode second degré humoristique de mon post.

PS: Je ne suis pas ministre, tu peux me tutoyer !

Ce message a été modifié par DOMY - 20 Jul 2021, 20:55.

[downanotch]

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.

Donc le chirurgien qui t'assure qu'il fera tout pour sauver un proche, c'est du flan parce qu'il n'y parviendra pas dans 100 % des cas ?

Pffff…

[downanotch]

contrairement à ce que tu as affirmé sur l'autre fil les AirPods max ne sont pas losless. cette info a été donnée par la pomme elle même, tu l'as nié pendant des jours.

Tu dis vraiment n'import quoi. Non seulement je ne l'ai jamais nié, mais 6h après que tu aies mentionné ce fait, je le confirmais en réponse au message de Lionel.

soit ils n'ont pas les compétences pour combler et identifier les failles sur leur propre OS

Identifier TOUTES les failles c'est quasiment impossible, on trouve régulièrement des bugs qui existent depuis des années... On peut citer l'exemple de sudo, pourtant une commande super sensible sur les Unix-like, où il a fallu 10 ans avant qu'on identifie une faille critique, malgré le fait que le code est ouvert et qu'il a probablement été vu par des milliers de développeurs au cours de ces dix années. Mais probablement que c'était tous des quiches

[chombier]

Identifier TOUTES les failles c'est quasiment impossible, on trouve régulièrement des bugs qui existent depuis des années... On peut citer l'exemple de sudo, pourtant une commande super sensible sur les Unix-like, où il a fallu 10 ans avant qu'on identifie une faille critique, malgré le fait que le code est ouvert et qu'il a probablement été vu par des milliers de développeurs au cours de ces dix années. Mais probablement que c'était tous des quiches

Dans ce cas, il serait plus honnête de ne PAS dire que la sécurité est au centre de toutes leurs préoccupations lorsqu'ils communiquent sur leur OS, parce qu'au final, c'est du pipeau pour justifier leur fermeture aux logiciels soi-disant non conformes selon leurs règles arbitraires.
Ils passent juste pour des bouffons...

[jeandemi]

Il reste une solution .... ne pas raconter "sa vie et les choses sensibles" au téléphone.
La paranoia, c'est pas forcément une maladie, ça peut aussi être une éthique, un mode de survie.

C'est ce que les Allemands ont fait en 1944 pour la préparation de l'offensive des Ardennes : rien par radio (à part un trafic "normal" pour faire illusion), tout par estafettes et un minimum par téléphone
Les Alliés n'y ont vu que du feu!

[chombier]

Euuuh... Godwin ?

[edit]
Sinon, avant les allemands, y'avait Jules Cesar.
[/edit]

Ce message a été modifié par chombier - 21 Jul 2021, 00:01.

[Patounet1]

En fait, il y a une solution. Avoir un téléphone mobile au nom d'une autre personne, un tiers, le plus éloigné possible de nous (pas un proche direct) et en changer régulièrement. Personne ne peut écouter tout le monde en même temps.

Donc il n'y a que les voyous qui pourront être à l'abri, de cette surveillance : ils utiliseront, quelques heures, des téléphones volés, avant de les revendre ?
Et les ordinateurs, qu'en est-il ? L'utilisation de FileVault, et de Gnu GP pour les courriels, est-ce plus sûr ?

[jeandemi]

Euuuh... Godwin ?

Il n'y a pas d'allusion ou de comparaison avec le nazisme, j'ai juste fait l'évocation d'une technique de guerre, il me semble également utilisée par les alliés avant le débarquement de Normandie, mais ça je n'en suis pas certain
Les Soviétiques l'ont également utilisé avant Uranus (l'encerclement de Stalingrad) et l'opération Bagration (destruction du groupe d'armées "Mitte" )

[captaindid]

Qui sait où vous serez dans 10ans ou 20ans, et quelles pourraient être les conséquences de la divulgation publiques de vos messages voir vos sexfies.

pas besoin d'attendre si longtemps, l'effet peut être immédiat
cf l'affaire Benjamin Griveaux, je ne sais pas si tu connais ce triste sire, vu de l'autre côté de l'atlantique, que depuis cette affaire je surnomme Benjamin grivois.
sinon un résumé de l'affaire ici

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.

Donc le chirurgien qui t'assure qu'il fera tout pour sauver un proche, c'est du flan parce qu'il n'y parviendra pas dans 100 % des cas ?

Pffff…

ben non c'est pas du flan! il t'a dis qu'il fera tout pour y arriver, pas qu'il y arrivera!
obligation de moyens,oui mais jamais obligation de résultats
car on ne contrôle/sait jamais tout
concernant Apple, on est plus dans la backdoor intentionnelle car à chaque correction de "bug" (ou backdoor découverte?) une nouvelle bug tout aussi compromettante apparait, étonnant non?

Ce message a été modifié par captaindid - 21 Jul 2021, 11:44.

[iAPX]

En fait, il y a une solution. Avoir un téléphone mobile au nom d'une autre personne, un tiers, le plus éloigné possible de nous (pas un proche direct) et en changer régulièrement. Personne ne peut écouter tout le monde en même temps.

Donc il n'y a que les voyous qui pourront être à l'abri, de cette surveillance : ils utiliseront, quelques heures, des téléphones volés, avant de les revendre ?
Et les ordinateurs, qu'en est-il ? L'utilisation de FileVault, et de Gnu GP pour les courriels, est-ce plus sûr ?

La surveillance de masse ne vise typiquement pas les voyous ou la criminalité, étant organisé par des instances n'ayant pas de mission afférente, et le risque pourrait être de révéler leurs actions envers un grand nombre juste pour faire arrêter quelques petits malandrins.

Pour la criminalité organisé, je conseille de chercher les articles sur le Anon Phone du FBI, c'est du lourd, c'est du pur génie et ça a marché au-delà des espérances!
Bravo le FBI!

Pour ce qui concerne les actions comme celles permises par Pegasus, qui existent aussi pour nos ordinateurs, Mac ou PC, ni FileVault ni PGP/GPG ne protègent, et il faut se souvenir que le stockage de nos iPhone est lui-aussi chiffré (de manière similaire à FileVault 2), et que leurs messageries chiffrées de bout-en-bout ont aussi été affectées par ces attaques.
Il faut un Air Gap respecté absolument, comme l'ont appris à leurs dépends les Iraniens, ou un mode de communication entièrement contrôlé, donc très limité (série en RS232C par exemple, pas série par USB direct, idéalement via du low-tech 8250!).

Ce message a été modifié par iAPX - 21 Jul 2021, 13:11.

[TERRY]

N'empêche qu'en pleine campagne mondiale "Privacy. That's iPhone", l'ampleur que prend l'affaire Pegasus en ce moment doit faire claquer quelques portes en ce moment du côté de Cupertino.....

Ce message a été modifié par TERRY - 21 Jul 2021, 16:36.

[Celeri]

Donc toi aussi dans ce cas tu penches pour des failles volontaires ?

Absolument pas, des failles de sécurité — et plus généralement, des bugs — on en découvre régulièrement et dans tous les OS, c'est juste que la complexité et la vitesse d'évolution des logiciels aujourd'hui sont telles que c'est très difficile à éviter, et qu'en face il y a des ressources énormes qui sont mises pour trouver les bugs qui peuvent compromettre la sécurité et les exploiter.

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.
Laisse tomber tu es coincé.

Désolé Lionel, mais c'est toi qui as l'air coincé dans un schéma (assez classique, hélas) du "tous idiots ou tous pourris". L'histoire de la technologie est remplie de situations ou de petites erreurs entraînent d'énormes conséquences sans pour autant que les responsables soient des incapables ou malintentionnés. Un exemple qui me viennent à l'esprit : les navettes Challenger et Columbia : peut-on soupçonner raisonnablement que la NASA n'était pas capable de gérer son programme ou qu'elle se fichait des victimes potentielles ? Un peu de nuance, tout de même.

Apple n'a jamais dit que l'iPhone est absolument sûr, mais seulement qu'ils sont les plus respectueux de la vie privée sur le marché, ce qui n'est pas très difficile à soutenir face à une concurrence qui se résume à Google et la vision qu'on lui connaît. Et ça ne sera pas remis en cause par l'affaire Pegasus (il n'est a priori pas moins rare sur Android, juste plus difficile à retrouver car sur iOS ce sont justement les logs du système qui permettent de tracer son activité).

La complexité d'un OS moderne est telle que, personnellement, je continue de penser qu'Apple n'a pas pu avoir l'idée de laisser ces failles volontairement, en se disant "bah, c'est pas grave si ça peut un jour torpiller un des piliers de notre communication". Au passage, à ceux qui se la jouent "c'était des failles ultra-faciles à trouver", je pense que si c'était le cas, alors de nombreux outils de jailbreak se seraient basés dessus depuis longtemps : quand on s'intéresse à comment fonctionne ceux qui existent, on se rend compte assez vite combien ils sont déjà très complexes.

Quoi qu'on en dise, la situation la plus probable reste qu'il n'y a pas de backdoor intentionnelle là-dedans, juste des produits qui ne sont pas infaillibles (ça n'existe pas) et une entreprise qui a su mobiliser des ressources techniques ultra-spécialisées et des moyens financiers énormes en ciblant leur clientère du côté d'états en demande d'outils d'espionnage puissants (et ça, ça existe).

[iAPX]

....
Un exemple qui me viennent à l'esprit : les navettes Challenger et Columbia : peut-on soupçonner raisonnablement que la NASA n'était pas capable de gérer son programme ou qu'elle se fichait des victimes potentielles ? Un peu de nuance, tout de même.
...

Pour Challenger, absolument, à la fois incapable de gérer son programme et en se foutant des victimes potentielles.
La quantité d'erreurs est incroyable, et elles ont des conséquences monumentales, incluant des choix de résultats plutôt que de sécurité des personnes.
On lance malgré les avis contraires de techos... boum!

Quand à Apple, ses backdoors sur iMessage sont présentes sous la même forme depuis trop longtemps, trop régulièrement, et les processus associés ont trop de droits depuis les origines et pas de sandboxing efficace.
Il y a volonté à ce point-là, pas erreur.

Ce message a été modifié par iAPX - 21 Jul 2021, 17:31.

[Celeri]

....
Un exemple qui me viennent à l'esprit : les navettes Challenger et Columbia : peut-on soupçonner raisonnablement que la NASA n'était pas capable de gérer son programme ou qu'elle se fichait des victimes potentielles ? Un peu de nuance, tout de même.
...

Pour Challenger, absolument, à la fois incapable de gérer son programme et en se foutant des victimes potentielles.
La quantité d'erreurs est incroyable, et elles ont des conséquences monumentales, incluant des choix de résultats plutôt que de sécurité des personnes.
On lance malgré les avis contraires de techos... boum!

Quand à Apple, ses backdoors sur iMessage sont présentes sous la même forme depuis trop longtemps, trop régulièrement, et les processus associés ont trop de droits depuis les origines et pas de sandboxing efficace.
Il y a volonté à ce point-là, pas erreur.

Dès que j'ai lu "absolument", j'ai su qu'on allait avoir du lourd en face, et je ne me suis pas tompé.

La cause de la désintégration de Challenger a été identifiée : l'entreprise qui fabriquait les joints toriques avait largement surestimé leur résistance dans des conditions de froid extrême. On a donc un vice caché d'un sous-traitant + des conditions météo qu'on ne peut pas reproduire en situation de test complet : une "quantité incroyable d'erreurs" parfaitement imputable à la NASA, donc. J'alertais déjà sur ton manque de nuance dans mon message précédent, et ça se confirme...

Ce message a été modifié par Celeri - 21 Jul 2021, 18:11.

[iAPX]

Dès que j'ai lu "absolument", j'ai su qu'on allait avoir du lourd en face, et je ne me suis pas trompé.

La cause de la désintégration de Challenger a été identifiée : l'entreprise qui fabriquait les joints toriques avait largement surestimé leur résistance dans des conditions de froid extrême. On a donc un vice caché d'un sous-traitant + des conditions météo qu'on ne peut pas reproduire en situation de test complet : une "quantité incroyable d'erreurs" parfaitement imputable à la NASA, donc. J'alertais déjà sur ton manque de nuance dans mon message précédent, et ça se confirme..

Effectivement, je me permettrais pour ton éducation d'ajouter une petite pièce d'information, ce qui n'est pas dans le complaisant rapport officiel
Je peux en foutre des tonnes là-dessus, maintenant l'histoire est connue.
The New York Times. Discovery UK. Le documentaire de Jayson Payne sur le vol STS-51-L qui a reçu un Emmy, "a rush to launch".
Les problème du joint torique ont été reproduit avec un verre d'eau glacée lors des auditions. Pas du rocket science

Les officiels de la NASA n'ont pas voulu écouter les ingénieurs, qui connaissaient les risques, les problèmes de ces joints étant pourtant connus. Et boum.
Je répète, la NASA avec Challenger a été incompétente et c'est foutu de l'existence de ses propres astronautes.

Nota bene: je ne pense pas être connu pour ma modération, même si justement je suis connu de la modération

Ce message a été modifié par iAPX - 21 Jul 2021, 23:48.

[Lionel]

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.

Donc le chirurgien qui t'assure qu'il fera tout pour sauver un proche, c'est du flan parce qu'il n'y parviendra pas dans 100 % des cas ?

Pffff…

Tu dois être aux abois pour en arriver à ce genre de comparaison.
Il y a une différence énorme. Le chirurgien a une obligation de moyen. Apple a une obligation de résultat.
C'est du légal, donc essaye de trouver une parade.

[Patounet1]

Bonjour,
Pourquoi les états ne poursuivent pas cette entreprise qui vend des logiciels d'espionnage ?
Après tout, nous poursuivons ceux qui vendent de la drogue, un mandat d'arrêt international contre les dirigeants de cette entreprise et également les actionnaires, pour vente, complicité de vente, de logiciels malveillants, les calmerait, et éviterait que ce genre d'officine se multiplie ?

[Lionel]

Bonjour,
Pourquoi les états ne poursuivent pas cette entreprise qui vend des logiciels d'espionnage ?

Parce que ce sont leurs clients.

[iAPX]

Bonjour,
Pourquoi les états ne poursuivent pas cette entreprise qui vend des logiciels d'espionnage ?
Après tout, nous poursuivons ceux qui vendent de la drogue, un mandat d'arrêt international contre les dirigeants de cette entreprise et également les actionnaires, pour vente, complicité de vente, de logiciels malveillants, les calmerait, et éviterait que ce genre d'officine se multiplie ?

Ces logiciels sont des armes à mon sens, et tendent de plus en plus à être qualifiés comme tels.
Tu as déjà vu des gros fabricants d'armes être poursuivi toi?

Et qui irait poursuivre ces compagnies?
Des états réalisant exactement la même chose, ou faisant -aussi- parti de leurs clients?

Ce qui est ennuyeux est la complicité active de Apple, car une backdoor créé pour une agence gouvernementale devient le lendemain celle de pays étrangers voir ennemis, et le surlendemain celles de mafias organisées!
On le sait depuis longtemps, la NSA et la CIA ont leur responsabilité dans l'affaire depuis des décennies, surtout la première car ayant un budget énorme pour les faire créer (carrément!), mais les deux car quand découvrant des failles ils les gardent pour les exploiter, au détriment des citoyens et sociétés de leur propre pays, ainsi que de la sécurité dudit pays!

Et je me demande bien ce que peut foutre le DoHS dont ça fait parti des missions, malgré son budget annuel gargantuesque de 51 Milliards de dollars USD.
Broche à foin!

Ce message a été modifié par iAPX - 22 Jul 2021, 11:34.

[joe75]

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.

Donc le chirurgien qui t'assure qu'il fera tout pour sauver un proche, c'est du flan parce qu'il n'y parviendra pas dans 100 % des cas ?

Pffff…

Tu dois être aux abois pour en arriver à ce genre de comparaison.
Il y a une différence énorme. Le chirurgien a une obligation de moyen. Apple a une obligation de résultat.
C'est du légal, donc essaye de trouver une parade.

Je ne comprends pas.
obligation de résultat envers qui? les clients, les actionnaires, les Etats? Ou simplement pour conserver les personnes qui lui font confiance.
C'est la première fois que j'entend parler d'une obligation contractuelle sur une plateforme pour des failles de sécurité.

Si la faille ne peut être comblée c'est à l'acheteur de migrer vers un système plus sécurisé ou de changer ses habitudes.

[iAPX]

...
Si la faille ne peut être comblée c'est à l'acheteur de migrer vers un système plus sécurisé ou de changer ses habitudes.

C'est un vice caché.

[Patounet1]

............
Ces logiciels sont des armes à mon sens, et tendent de plus en plus à être qualifiés comme tels.
Tu as déjà vu des gros fabricants d'armes être poursuivi toi?

Et qui irait poursuivre ces compagnies?
Des états réalisant exactement la même chose, ou faisant -aussi- parti de leurs clients?.......

Des armes, je ne sais pas si ce sont des armes ? Même si ces logiciels peuvent entraîner la mort de façon indirecte, le logiciel ne tue pas directement. Il y a des règles qui régulent les ventes d'armes. Peut-être pas quand c'est un pays, mais pour une entreprise vendre des armes à certains pays, certains groupes, est interdit, ou du moins très régulé. Ceux qui vendent des armes à des terroristes, des groupes paramilitaires, des voyous, sont poursuivis pour complicité au minimum, si elles sont utilisées pour tuer, blesser des innocents, des civils. Toutes les armes sont numérotées, ont en connaît l'origine, et on est capable d’en retrouver le fabricant.
En plus, ces logiciels peuvent être dupliqués et tomber entre les mains de n'importe qui. Il faudrait qu'un juge se saisisse du problème et lance des poursuites contre les entreprises, leurs dirigeants, et ceux qui les soutiennent financièrement, puisqu'elles ont servi à surveiller des innocents, des civils.
Sinon, dans pas longtemps, des centaines d'officines vont vendre ce type de logiciel plus ou moins abouti.

[ades]

les armes ne sont pas forcement létales ni matérielles (même si, une bonne vielle lacrymo dans la tronche d'une vielle -> direct cimetière, pareil pour plein d'autres…).

Et puis regarde dans des dictionnaire la définition du mot "arme". En gros ''tout dispositif permettant de nuire à ' l'ennemi'…"
Pegasus rentre dans cette catégorie…
Ceux qui vendent des armes ne sont jamais poursuivis ni punis.

Ni colt, ni Browning, ni l'entreprise produisant les AK 455, ni Dassault, ni les nombreuses entreprises Fçaises, produisant explosifs et autres grenades offensives, gaz de combat, mines antipersonnelles ne sont poursuivis.

Ceux qui sont poursuivis ce sont les amateurs…
Pour ce qui est d'un juge, va avoir du boulôt… la majorité des dirigeants mondiaux sont compromis,il n' y-a qu'à observer la discrétion de certains états, même quand leur dirigeant a été espionné par un autre état…

[iAPX]

Belle naïveté @Patoutnet1

"arme", tu devrais demander à Jeff Bezos, l'homme le plus riche du monde, si l'Arabie Saoudite ne l'a pas atteint... (mais il est solide ce gars, bonne réponse!)
"terroriste", tu devrais vraiment te demander si ce mot a encore du sens vu par qui et contre qui il a été utilisé.
Ces "armes" sont vendus et pas à "n'importe qui", mais tout va bien dans le meilleur des mondes possibles

Des armes sont vendus tous les jours à des pouvoirs totalitaires incluant des armes informatiques, opprimant leurs peuples, traitant leurs opposants de terroristes, à commencer par des ONG qui dans certains cas ont du fuir le pays, c'est ça la réalité.

Et les principaux clients de NSO Group sont des pays ultra-totalitaires, et de manière amusante les mêmes pays Musulmans qui veulent éradiquer Israël, incluant devant les Nations Unis, ça c'est du pragmatisme bi-latéral ou je ne m'y connais pas!

Israël est un pays développant un nombre incroyable de technologies, pour moi le plus avancé dans ces domaines, il y a plus de cinquante ans leurs tanks pouvaient tout seul s'enfouir dans le sable du désert pour que seule la tourelle dépasse, avec une clim capable de maintenir 20º à l'intérieur par plus de 50º sous le cagnard pour que leurs soldats soient parfaitement efficient même si devant attendre plusieurs jours en pleine fournaise. Aujourd'hui encore inégalés et qui ont foutu une grosse raclée à certains en 7 jours.
Et dans un monde où tout est contrôlé par l'informatique, où la guerre est devenue informatique, c'est le pays le plus créatif de technologies informatique par tête de pipe, y-compris liées à la défense. (ou aux CPU des iPhone, iPad, Mac apple Silicon ou même Intel, etc.)
En permettant la vente de ces technologies à des pays pourtant hostiles, ils s'assurent aussi qu'elles ne peuvent être utilisées contre eux, du pur génie!

Et à la fin du fin, le Président macron a été hacké, des hommes politiques Français ont été hackés, des journalistes d'investigation Français ont été hackés.
Leurs communications, leurs échanges privés, leurs discussions privées hors usage du smartphone (eh oui!), leur position, leurs déplacements donc, leurs contacts, leurs échanges par SMS/MMS, par WhatsApp, Signal ou autres, leurs emails, leurs calendriers, tout...
Et par un régime totalitaire, grâce à NSO et Apple.

Ce type d'arme a maintenant une vingtaine d'année, McAfee lui-même les a utilisé comme particulier contre des membres d'organisations gouvernementales US, il est temps de se protéger efficacement quitte à ralentir l'apparition de fonctionnalités amusantes pour le péquin moyen (Signal ), mais génératrices de complexités et de failles, mais aussi et avant tout les failles volontaires comme celles dans iMessage.
Ça se voit et c'est vraiment pas beau...

PS: c''est dirigé contre NSO dans ce cas, une société Israëlienne, mais souvenez-vous bien qu'en Europe, en Italie, il y a HackingTeam avec les mêmes clients, les mêmes régimes totalitaires. Les mêmes exactions, en Europe, sous notre nez avec l'accord de nos élus Européens, l'accord des dirigeants Européens et aussi contre nous. Le problème est le manque de sécurité, pas fondamentalement NSO ou HackingTeam qui en abusent.

Ce message a été modifié par iAPX - 22 Jul 2021, 20:34.

[baron]

Donc le chirurgien qui t'assure qu'il fera tout pour sauver un proche, c'est du flan parce qu'il n'y parviendra pas dans 100 % des cas ?

Pffff…

Tu dois être aux abois pour en arriver à ce genre de comparaison.
Il y a une différence énorme. Le chirurgien a une obligation de moyen. Apple a une obligation de résultat.
C'est du légal, donc essaye de trouver une parade.

Je ne comprends pas.
obligation de résultat envers qui? les clients, les actionnaires, les Etats? Ou simplement pour conserver les personnes qui lui font confiance.
C'est la première fois que j'entend parler d'une obligation contractuelle sur une plateforme pour des failles de sécurité.

Si la faille ne peut être comblée c'est à l'acheteur de migrer vers un système plus sécurisé ou de changer ses habitudes.

J'imagine qu'il s'agit d'une obligation de résultat par rapport aux allégations de la marque (application de la garantie de conformité voire risque de poursuites pour publicité mensongère).

[zero]

Je ne sais pas si c'est dû aux histoires de failles, à Apple très conciliant avec la Chine, aux problèmes récurants de batteries, à tout ou autres mais les iPhones semblent être en grande perte de progression.



Ce message a été modifié par zero - 23 Jul 2021, 07:45.

[Lionel]

Je ne comprends pas.
obligation de résultat envers qui? les clients, les actionnaires, les Etats? Ou simplement pour conserver les personnes qui lui font confiance.

La loi est simple. Un commerçant fait sa publicité ou s'engage sur une chose, il doit la tenir avec une obligation de résultat.
Apple ne cesse de vanter la sécurité de ses appareils, elle se doit de s'y tenir. Or, on en est à combien de failles pour les seuls modules Webkit et iMessage ces derniers mois ? Apple affirme des choses qui sont fausses. En d'autres termes c'est de la publicité trompeuse.

[joe75]

...
Si la faille ne peut être comblée c'est à l'acheteur de migrer vers un système plus sécurisé ou de changer ses habitudes.

C'est un vice caché.

Je ne comprends pas.
obligation de résultat envers qui? les clients, les actionnaires, les Etats? Ou simplement pour conserver les personnes qui lui font confiance.

La loi est simple. Un commerçant fait sa publicité ou s'engage sur une chose, il doit la tenir avec une obligation de résultat.
Apple ne cesse de vanter la sécurité de ses appareils, elle se doit de s'y tenir. Or, on en est à combien de failles pour les seuls modules Webkit et iMessage ces derniers mois ? Apple affirme des choses qui sont fausses. En d'autres termes c'est de la publicité trompeuse.

Merci c'est plus clair, même si moi j'étais resté sur la promesse et l'engagement d'Apple de respecter la vie privée en réduisant le tracking publicitaire par les applications.
Pas d'une protection absolue qui est impossible à garantir selon moi

Bon c'est vrai que personnellement je suis dans le macrocosme android et windows, j'ai une pratique très limitée d'iOS ou de MacOS.

Tout ce que j'ai lu c'est qu'Apple fait des efforts sans relâche pour assurer la sécurité sur ses smartphones (l'obligation de résultats est selon moi un sujet à débattre)

en 2019 : https://www.apple.com/fr/newsroom/2019/09/a...t-ios-security/
"Garantir la sécurité des appareils est un travail sans fin, et nos clients peuvent être sûrs que cela constitue l’une de nos principales préoccupations. Le système iOS offre un niveau de sécurité sans égal car la sécurité des produits et logiciels Apple est sous notre responsabilité de bout en bout. Dans le monde entier, les équipes chargées de la sécurité de nos produits renouvellent constamment leurs processus afin d’intégrer de nouvelles protections et de corriger les vulnérabilités dès qu’elles sont identifiées. Nous ne relâcherons jamais nos efforts pour assurer la sécurité de nos utilisateurs."

et plus récemment https://belgium-iphone.lesoir.be/2021/01/29...-dans-messages/

Je reçois des mises à jour de sécurité mensuelle sur mon smartphone android, je me dis bien que si de nouvelles failles (exploitables ou pas ) sont trouvées régulièrement, je n'ai jamais
pensé que iOS en serait écarté non plus.

J'ai même eu le cas d'une image (ouverte et testée volontairement) qui faisait planter (empêchant même le redémarrage) mon smartphone android par exemple.

Ce message a été modifié par joe75 - 23 Jul 2021, 08:31.

[el fifito]

Je ne comprends pas.
obligation de résultat envers qui? les clients, les actionnaires, les Etats? Ou simplement pour conserver les personnes qui lui font confiance.
C'est la première fois que j'entend parler d'une obligation contractuelle sur une plateforme pour des failles de sécurité.

ce sont des obligations légales selon l'activité professionnelle d'une personne morale ou physique.
- obligation de résultat
- obligation de moyen

Un moteur de recherche devrait te trouver l'explication détaillée ça en 0,2 seconde

[joe75]

Je ne comprends pas.
obligation de résultat envers qui? les clients, les actionnaires, les Etats? Ou simplement pour conserver les personnes qui lui font confiance.
C'est la première fois que j'entend parler d'une obligation contractuelle sur une plateforme pour des failles de sécurité.

ce sont des obligations légales selon l'activité professionnelle d'une personne morale ou physique.
- obligation de résultat
- obligation de moyen

Un moteur de recherche devrait te trouver l'explication détaillée ça en 0,2 seconde

Ben sans troller je ne vois toujours pas...

Une responsabilité morale peut être mais pas une obligation de résultat.

Dans Google : obligation légale apple sécurité

https://www.apple.com/legal/privacy/fr-ww/

Sinon, un article sur 01net sur le sujet


https://www.01net.com/actualites/pourquoi-l...es-2046322.html

Ils ne parlent pas non plus d'obligation de résultat dans les engagements de confidentialité ..Je ne vois pas comment Apple se serait engagé là dedans.
A mon avis c'est largement sujet à interprétation...

Les iphones peuvent être utilisés comme outil professionel mais sont-il certifés pour ça?

Je n'ai pas testé mais Samsung a le programme Knox pour certifier la sureté de ses smartphones en entreprise...ce qui limite aussi le nombre
D'applications car il n' y a plus d'accès au playstore dr google.

Ce message a été modifié par joe75 - 25 Jul 2021, 20:36.

[iAPX]

Ben sans troller je ne vois toujours pas...
...

Ben là.

Bug, appelées aussi malfaçons logicielles, qui sont des vices cachés.
Publicité mensongère.
etc.

[joe75]

Ben sans troller je ne vois toujours pas...
...

Ben là.

Bug, appelées aussi malfaçons logicielles, qui sont des vices cachés.
Publicité mensongère.
etc.

Amusant, je connaissais la version détournée de cette image ou pub du CES 2020

https://iphonesoft.fr/2020/01/24/utilisateu...es-iphone?AMP=1

"Apple affichait à Las Vegas une grande publicité sur fond noir avec une police blanche.
On pouvait y voir "Ce qui se passe sur votre iPhone, reste sur votre iPhone".

Pour attirer l'attention sur les sauvegardes iCloud non chiffrées, Joey Banks a ajouté en astérisque "Sauf si vous faites une sauvegarde".

Ouais je comprend votre point de vue à tous mais je ne le partage pas...
Et il s'agit d'une pub qu'on peut interpréter(*) à loisir pas d'un contrat rédigé en bonne et due forme
Moi ce que je comprend c'est que Apple fait la promesse de ne pas utiliser les données (car elle ne fonctionne pas sur le modèle de google et de la régie publicité)

https://iphonesoft.fr/2021/07/02/ue-exhorte...itrust-securite

Enfin bon obligation de résultat ou pas, je suis le premier à reconnaître que se faire pirater son tel en recevant un simple sms sans même avoir besoin de l'ouvrir c'est du n'importe quoi cette faille et inacceptable sur un outil de communication

A.la limite, ça pourrait être un motif de retour du tel pour un utilisateur mais prouver que Apple était conscient du bug ou de la faille avant.la commercialisation...

Ce message a été modifié par joe75 - 26 Jul 2021, 06:27.

[Lionel]

Ouais je comprend votre point de vue à tous mais je ne le partage pas...
Et il s'agit d'une pub qu'on peut interpréter(*) à loisir pas d'un contrat rédigé en bonne et due forme
Moi ce que je comprend c'est que Apple fait la promesse de ne pas utiliser les données (car elle ne fonctionne pas sur le modèle de google et de la régie publicité)
A.la limite, ça pourrait être un motif de retour du tel pour un utilisateur mais prouver que Apple était conscient du bug ou de la faille avant.la commercialisation...

Ce n'est pas un point de vue, c'est un fait. Apple fait de la publicité mensongère. Ce qu'ils affirment est faux, pas sujet à interprétation.
Je ne leur reproche pas réellement les failles, tout le monde en a et c'est devenu un business de les débusquer. Je leur reproche seulement de faire croire qu'ils sont infaillibles.

[downanotch]

Your phone stays safe with built-in security

When you have Android, you have security that’s right there out of the box and never stops working

You’re protected at every turn

https://www.android.com/what-is-android/

[Lionel]

Your phone stays safe with built-in security

When you have Android, you have security that’s right there out of the box and never stops working

You’re protected at every turn

https://www.android.com/what-is-android/

Comme dab, en ultime recours, "Apple n'est pas la seule". C'est vrai, mais je n'ai pas vu Google, Samsung ou un autre l'affirmer dans des publicités grand public.
Je finirais par réécrire un jour le manuel secret auquel les gens comme toi se réfèrent pour gérer les crises d'image. Merci de tant m'en apprendre sur le sujet même si c'est répétitif.
Il y manque d'ailleurs une rubrique, ou alors tu ne l'as pas lu. "Si le problème n'est pas grave, feindre de le condamner pour gagner en crédit".

[maclinuxG4]

Bonjour,
Pourquoi les états ne poursuivent pas cette entreprise qui vend des logiciels d'espionnage ?

Parce que ce sont leurs clients.

C'est un peu plus compliqué, la société qui vend ce produit , généralement à des étatiques,il ya en génrale un usage réglement, afin d'évite l'abus.
Le problème, est qu'ils auraient été vendu à d'autres organisations , beaucoup moins scrupuleuses, et avide d'information au détriment du reste, et en font un usage propre

cette société ne donnera jamais la liste des clients (confidentiel sociéte).

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.

Donc le chirurgien qui t'assure qu'il fera tout pour sauver un proche, c'est du flan parce qu'il n'y parviendra pas dans 100 % des cas ?

Pffff…

Tu dois être aux abois pour en arriver à ce genre de comparaison.
Il y a une différence énorme. Le chirurgien a une obligation de moyen. Apple a une obligation de résultat.
C'est du légal, donc essaye de trouver une parade.

Je ne comprends pas.
obligation de résultat envers qui? les clients, les actionnaires, les Etats? Ou simplement pour conserver les personnes qui lui font confiance.
C'est la première fois que j'entend parler d'une obligation contractuelle sur une plateforme pour des failles de sécurité.

Si la faille ne peut être comblée c'est à l'acheteur de migrer vers un système plus sécurisé ou de changer ses habitudes.

En france, un responsable sécuritaire (ANSI pas loin...) est responsable pénalement
Au UK, si des données ont fuité, tu aura un amender si salé, que tu aurais du faire de la cybercurité

Au USA, le bien, au sens juridique, à une définition étendue, qu'en france, nous n'avons pas: ce bien et le service doivent etre efficient, et etablir une confiance.

par contre, j aimerai idniqué, que maitriser 150 000 ligne de codes, il y as 15 ans, c'état réalisable, mais N milions de lignes de code:
A-aucun dev ne lit l'ensemble du code
B-la maitrise du dev est lié l'environenment auquel il contribut.
C-la complexité des bugs n'est pas linaire en ligne de code... il y as un introduction de bug, de defaut de design et autre, peu à peu.

C'est l'activitée des tests "pentests" de les debusquées


Je concède, chez apple, il y as des portes qui vont claquées...

Ce message a été modifié par maclinuxG4 - 2 Aug 2021, 13:54.

[joe75]

Ouais je comprend votre point de vue à tous mais je ne le partage pas...
Et il s'agit d'une pub qu'on peut interpréter(*) à loisir pas d'un contrat rédigé en bonne et due forme
Moi ce que je comprend c'est que Apple fait la promesse de ne pas utiliser les données (car elle ne fonctionne pas sur le modèle de google et de la régie publicité)
A.la limite, ça pourrait être un motif de retour du tel pour un utilisateur mais prouver que Apple était conscient du bug ou de la faille avant.la commercialisation...

Ce n'est pas un point de vue, c'est un fait. Apple fait de la publicité mensongère. Ce qu'ils affirment est faux, pas sujet à interprétation.
Je ne leur reproche pas réellement les failles, tout le monde en a et c'est devenu un business de les débusquer. Je leur reproche seulement de faire croire qu'ils sont infaillibles.

Bon ben on verra bien, si Apple se fait poursuivre aux USA ou ailleurs pour publicité mensongère

Pour rétablir la balance, https://www.theatlantic.com/technology/arch...privacy/581680/

Ce message a été modifié par joe75 - 26 Jul 2021, 15:03.

[Lionel]

Ouais je comprend votre point de vue à tous mais je ne le partage pas...
Et il s'agit d'une pub qu'on peut interpréter(*) à loisir pas d'un contrat rédigé en bonne et due forme
Moi ce que je comprend c'est que Apple fait la promesse de ne pas utiliser les données (car elle ne fonctionne pas sur le modèle de google et de la régie publicité)
A.la limite, ça pourrait être un motif de retour du tel pour un utilisateur mais prouver que Apple était conscient du bug ou de la faille avant.la commercialisation...

Ce n'est pas un point de vue, c'est un fait. Apple fait de la publicité mensongère. Ce qu'ils affirment est faux, pas sujet à interprétation.
Je ne leur reproche pas réellement les failles, tout le monde en a et c'est devenu un business de les débusquer. Je leur reproche seulement de faire croire qu'ils sont infaillibles.

Bon ben on verra bien, si Apple se fait poursuivre aux USA ou ailleurs pour publicité mensongère

Pour rétablir la balance, https://www.theatlantic.com/technology/arch...privacy/581680/

Pour la refaire pencher. Note que je n'en ai pas fait une brève.
https://timesofindia.indiatimes.com/gadgets...ow/84757188.cms

[iAPX]

...
Pour la refaire pencher. Note que je n'en ai pas fait une brève.
https://timesofindia.indiatimes.com/gadgets...ow/84757188.cms

Ça fait plaisir de voir des créateurs et dirigeants d'entreprise qui sont capable de dire haut et clair ce qu'ils pensent.

C'est évident que NSO Group ou HackingTeam utilise souvent des backdoors créées initialement pour des agences Américaines, dont la NSA en premier lieu, ayant un budget pharaonique pour cette tâche très spécifique!
Et que dans ce cas précis, Apple a une complicité passive en ayant créé encore une fois une backdoor exactement au même endroit!

Ce message a été modifié par iAPX - 26 Jul 2021, 16:46.

[joe75]

Très juste et merci pour ce lien Lionel.

J'ai particulièrement aimé le rapprochement sur le mode de fonctionnement entre le parti politique autoritaire chinois et la société Apple :-)

[iAPX]

Très juste et merci pour ce lien Lionel.

J'ai particulièrement aimé le rapprochement sur le mode de fonctionnement entre le parti politique autoritaire chinois et la société Apple :-)

Et là pour foutre la merde, consciemment, il faut se souvenir que Apple c'est aussi la retraite de nombreux Américains et bientôt des Français, via BlackRock.

Et là...

Je recommande la lecture de "The Great Reset" (PDF - Anglais) qui n'est pas une théorie du complot écrite sur un coin de table dans le Luberon en fumant de la beu, mais un ouvrage écrit par un des créateurs du sommet de Davos (entre autres) avec un cigare au coin des lèvres et du Cognac millésimé (Ô le coquin, mais j'y ai accès aussi via des amis et un fabricant de fût, j'ai même mon propre fût de Cognac!), et discuté dans le dernier sommet.
Il y a des conséquences observables en France, correspondant totalement à l'ouvrage. Votre avenir? lisez!

Ce message a été modifié par iAPX - 27 Jul 2021, 22:31.

[zero]

Le laboratoire de sécurité d'Amnesty International propose maintenant un outil open-source pour vérifier si un iPhone ou un smartphone Android ont été attaqués par le logiciel Pegasus de NSO: MVT dans ce repo GIT

Pour en être sûr, ça semble plus compliqué que d'utiliser un simple logiciel.

https://www.amnesty.org/en/latest/research/...groups-pegasus/

Il n'y a sûrement pas que quelques failles exploitées. Apple a du pain sur la planche.

Ce message a été modifié par zero - 29 Jul 2021, 01:27.