![]() |
Bienvenue invité ( Connexion | Inscription )
![]() |
![]()
Message
#1
|
|
![]() BIDOUILLE Guru ![]() ![]() ![]() ![]() ![]() Groupe : Admin Messages : 55 525 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 ![]() |
Vous avez certainement tous entendu parler du groupe NSO. Cette société est celle qui développe le logiciel Pegasus. Ce logiciel utilise des failles de sécurité iOS afin de débloquer des iPhone ou même d'espionner des utilisateurs iOS à leur insu. Il a souvent fait la une de l'actualité quand des personnalités politiques en vue, dont des dirigeants d'État, ont été espionnées grâce à lui.
En théorie, la société NSO commercialise ce logiciel uniquement à des forces de l'ordre dûment agréées mais ce qui est légitime et acceptable dans un pays ne l'est pas forcément dans un autre où les victimes peuvent être situées. Voici ce qu'en dit Apple: "Les appareils Apple sont le matériel grand public le plus sécurisé du marché, mais les entreprises privées qui développent des logiciels espions parrainés par l'État sont devenues encore plus dangereuses. Bien que ces menaces de cybersécurité n'affectent qu'un très petit nombre de nos clients, nous prenons toute attaque contre nos utilisateurs très au sérieux, et nous travaillons constamment à renforcer la sécurité et la protection de la confidentialité dans iOS pour assurer la sécurité de tous nos utilisateurs." Vu ainsi, la poursuite semble totalement légitime et conforte la rhétorique d'Apple sur la sécurité de ses utilisateurs. Toutefois, Pegasus n'existe que parce qu'il y a des failles de sécurité et on sait combien le programme d'Apple de rachat de ces failles est faillible avec des non paiements, des non reconnaissances des développeurs... Bref, Apple dans cette position ne fait que défendre le fantasme commercial qu'elle vend au niveau publicité. On devrait plutôt dire qu'elle vendait car étrangement, on a infiniment moins de publicités à ce sujet depuis quelques semaines. Il faut être réellement candide pour croire que l'on peut avoir un appareil connecté en permanence au réseau sans risquer de le voir corrompu à un moment ou un autre. Maintenant, ce ne sont plus des pirates à la petite semaine qui cherchent des failles mais des groupes, étatiques ou pas, et dans tous les cas des ingénieurs très doués et très bien rémunérés, qui inlassablement cherchent toute faille permettant de contourner les protections mises en place. Avec le jailbreak, Steve Jobs avait parlé d'un jeu de chat et de souris. Il en va de même au niveau de la sécurité globale et les souris ont toujours un coup d'avance. Le vrai danger n'est pas de savoir que le système est faillible, mais bien de croire qu'il est infaillible. Donc, quoi qu'en dise Apple, non vos données ne sont pas en totale sécurité sur votre appareil iOS. Elles le sont seulement autant que possible sur un smartphone avec lequel vous êtes en permanence connecté à des dizaines de services et, depuis peu, connecté même s'il est éteint. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
![]() |
![]()
Message
#2
|
|
Macbidouilleur d'Or ! ![]() ![]() ![]() ![]() ![]() Groupe : Membres Messages : 15 387 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 ![]() |
Détaille un peu alors par rapport à ce qui est affirmé ici que avec le double-factor… ils ne peuvent pas acccéder à nos infos ? Ça me paraît intéressant pour tout le monde ici. ... Le 2FA ou MFA ne sert qu'à valider l'accès au compte. Alors que le mot-de-passe est utilisé pour valider celui-ci mais aussi sert à deriver une clé de chiffrement qui protège nos données et nos autres clés dans iCloud. (c'est d'ailleurs peu-ou-prou ce qu'est la Recovery Key). Il est possible de demander accès à nos clés, incluant celles utilisées dans "Find my...", mais elles ne sont censé être stockées que chiffrées par Apple, donc inutilisable. La connaissance du mot-de-passe employé (ou de la Recovery Key) permet à tout moment de déchiffrer ces clés. C'est pour ça que sans avoir lu ce document, je peux parier qu'ils n'indiquent nulle part ce qui advient de nos mot-de-passe, hors stockage (probablement en PBKDF2/sha-2). La clé de chiffrement est chez Apple, notre mot-de-passe sert à y accéder, le problème est qu'il se ballade partout, donc la clé de chiffrement n'est pas protégée. Il faut toujours se demander qui génèrent ou possède les clés, sous quelles formes, et qui y a accès et sous quelles conditions. C'est l'arnaque. En résumé, "end-to-end encryption" ou "chiffrement de bout en bout" est généralement du blahblah de PR. Avec quelques exceptions notables. Comme l'a démontré l'affaire ProtonMail, personne n'est à l'abri, et surtout pas avec des systèmes et sociétés nous le promettant ![]() Salut IAPX, c'etait quoi l'affaire Protomail? ProtonMail qui prétend n'avoir pas de logs, mais qui en a créé à la demande de la Justice Suisse où ils sont basés, au moins pour un compte. Ils n'ont pas de logs, mais si une agence US le désire, ils en créeront... Ce message a été modifié par iAPX - 25 Nov 2021, 19:44. |
|
|
![]() ![]() |
Nous sommes le : 18th July 2025 - 05:40 |