Une faille majeure d'iOS 14.6 a permis d'espionner journalistes, avocats et ONG, Réactions à la publication du 19/07/2021

[downanotch]

Mais qu'avec les backdoors créées intentionnellement par Apple

C'est pas parce que tu le répètes en boucle que ça devient un fait avéré.

[Lionel]

Mais qu'avec les backdoors créées intentionnellement par Apple

C'est pas parce que tu le répètes en boucle que ça devient un fait avéré.

Tu as raison, clairement. Il faut donc se rendre à l'évidence, les ingénieurs Apple sont des quiches.

[downanotch]

Mais qu'avec les backdoors créées intentionnellement par Apple

C'est pas parce que tu le répètes en boucle que ça devient un fait avéré.

Tu as raison, clairement. Il faut donc se rendre à l'évidence, les ingénieurs Apple sont des quiches.

Comme ceux d'Android : https://source.android.com/security/bulletin/2021-07-01

Ce message a été modifié par downanotch - 20 Jul 2021, 07:48.

[joe75]

@iAPX : Merci d'avoir partagé tes interrogations sur ce dilemme aussi bien moral que technique pour la sécurité.
J'en sais beaucoup plus sur ce sujet graâce à toi.

[JayTouCon]

Mais qu'avec les backdoors créées intentionnellement par Apple

C'est pas parce que tu le répètes en boucle que ça devient un fait avéré.

Venant de toi, qui a mis 5 jours avant d’admettre que le lossless de la pomme ne fonctionnait pas avec les AirPods max alors que la pomme l’indiquait …

Les failles sous iOS sont comblées avec pas mal de retard. Tant que les serveurs de la pomme seront sur le sol US ce sera le Cloud act qui s’applique (et a priori hors US aussi si les serveurs sont en Europe mais ça coincera un peu plus)

Ce qui est gênant ici est qu’un virus a priori réservé à des états puisse être dispo pour des entités criminelles. C’est aussi pour cela que cette affaire sort aujourd’hui.

La prochaine fois que Tim va nous faire l’article sur la vie privée, tu viendras nous le vendre @downatoch, un peu comme l’ecologie avec des macs non réparables.

[downanotch]

Venant de toi, qui a mis 5 jours avant d’admettre que le lossless de la pomme ne fonctionnait pas avec les AirPods max alors que la pomme l’indiquait …

Petite précision : même les AirPods max en lightning ne pourront bénéficier du lossless

En fait, ce sera le format Lossless mais avec un encodage décodage de plus, donc une perte de fidélité. Pour ça qu'Apple dit que ce n'en est plus.

Si tu parles d'un casque où le signal analogique est reconverti en numérique comme pour l'AirPod Max, alors oui.

[JayTouCon]

Euh tu n’as toujours pas compris a priori. Le lossless ne fonctionnera pas avec les AirPod max. consulte tes donneurs d’ordre.

C’est peut être compliqué de l’annoncer à ceux qui ont déboursé 600€. Il faudra attendre la V2. Je te rappelle que ce sont des gens qui bossent pour la pomme qui l’ont annoncé, pas moi. Mais ce sera avec plaisir que je ressortirai tes messages ou tu le niais. De mémoire @lionel te l’avait rappelé

Mais plutôt que de faire diversion, et revenir au sujet, il me semble que c’est via iOS et pégasus que le journaliste a été démembré en Turquie. Cela aurait pu être évidemment avec un androïd vérolé mais comme Tim Cook nous bassine avec la vie privée, il serait souhaitable qu’il comble les failles de sécurité plutôt que de faire la morale à FB.

Pegasus ça date pas de l’année dernière. Ces failles n’ont pas été comblées. Pourquoi ?

[iAPX]

...
Pegasus ça date pas de l’année dernière. Ces failles n’ont pas été comblées. Pourquoi ?

Pegasus est le nom du produit de NSO.

Mais il a utilisé différentes failles au court du temps pour être introduit dans nos iPhone, failles qui sont récurrentes.
@keanus citait WebKit, qui est un nid à failles notamment par sa gestion mémoire, le use-after-free étant courant.
Je citais le système de réception des messages, qui a trop de droits pour son propre bien, et qui a encore et toujours des plantages amenant à de l'éxecution locale, sans information ni action utilisateur.

Bref il y a eu des failles, exploitées puis comblées, et de nouvelles sont apparues, dans les mêmes composants avec les mêmes effets, et rebelote et dix de der!

Alors soit les développeurs de Apple sont des quiches, il y en a partout, et on confie aux pires sans aucune formation en terme de sécurité le développement des parties les plus sensibles du code, sans peer-review sérieux et sans analyse de sécurité, c'est possible, soit il y a eu volonté...
Et de toute façon ce qui est indiscutable est que ça n'est pas acceptable quelles qu'en soient les raisons.

Ce message a été modifié par iAPX - 20 Jul 2021, 11:19.

[downanotch]

Euh tu n’as toujours pas compris a priori.

Sérieux, apprend à lire ou à comprendre…

Mais plutôt que de faire diversion

C'est toi qui a dévié sur le lossless, hein…

Pegasus ça date pas de l’année dernière. Ces failles n’ont pas été comblées. Pourquoi ?

Dans l'évaluation du rapport d'Amnesty par Citizen Lab ont peut lire :

The mechanics of the zero-click exploit for iOS 14.x appear to be substantially different than the KISMET exploit for iOS 13.5.1 and iOS 13.7, suggesting that it is in fact a different zero-click iMessage exploit.

Il s'agirait donc de nouvelles failles, ce qui suggère que les anciennes ont bien été comblées.

Alors soit les développeurs de Apple sont des quiches

Project Zero a un avis très différent, voici la conclusion de leur évaluation des amélioration concernant iMessage dans iOS 14 :

This blog post discussed three improvements in iOS 14 affecting iMessage security: the BlastDoor service, resliding of the shared cache, and exponential throttling. Overall, these changes are probably very close to the best that could’ve been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole. It’s great to see Apple putting aside the resources for these kinds of large refactorings to improve end users’ security. Furthermore, these changes also highlight the value of offensive security work: not just single bugs were fixed, but instead structural improvements were made based on insights gained from exploit development work.

Ce message a été modifié par downanotch - 20 Jul 2021, 11:45.

[Patounet1]

Bonjour,
En pratique, un journaliste, un membre d'une ONG, il fait comment pour pouvoir téléphoner, envoyer un e-mail, sans être espionné ?
Le chiffrement semble être dans ce cas inefficace !
Merci de laisser le pigeon voyageur de côté.

[Lionel]

Alors soit les développeurs de Apple sont des quiches

Project Zero a un avis très différent, voici la conclusion de leur évaluation des amélioration concernant iMessage dans iOS 14 :

This blog post discussed three improvements in iOS 14 affecting iMessage security: the BlastDoor service, resliding of the shared cache, and exponential throttling. Overall, these changes are probably very close to the best that could’ve been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole. It’s great to see Apple putting aside the resources for these kinds of large refactorings to improve end users’ security. Furthermore, these changes also highlight the value of offensive security work: not just single bugs were fixed, but instead structural improvements were made based on insights gained from exploit development work.

Donc toi aussi dans ce cas tu penches pour des failles volontaires ? On ferme la porte à double tour mais on laisse une lucarne ouverte. C'est ça ?

[iAPX]

Bonjour,
En pratique, un journaliste, un membre d'une ONG, il fait comment pour pouvoir téléphoner, envoyer un e-mail, sans être espionné ?
Le chiffrement semble être dans ce cas inefficace !
Merci de laisser le pigeon voyageur de côté.

En pratique il n'y a pas de solution absolument sûre, et certainement aucune contre des acteurs de niveau gouvernemental comme l'a découvert Jeff Bezos à ses dépends...

C'est pour ça que je ne recommande pas de messagerie chiffrée de bout-en-bout, dont Signal est le meilleur exemple, car ce sont des fausses sécurités.
Je préfère partir de l'idée que mes communication électroniques étaient, sont ou seront interceptés d'une manière ou d'une autre, et j'ai des preuves qu'elles l'ont été, il est quasi impossible d'avoir des preuves de l'absence d'interception, ad contrario.

Une possibilité serait d'avoir un appareil Android dédié à Signal, non-connecté à aucun réseau mobile après les setup initial pour bloquer naturellement les attaques réseau, et avec un pare-feu qui limiterait les échanges à Signal et son protocole (ses ports), en entrée et en sortie aussi, en se connectant en WiFi (peering avec son smartphone principal si nécessaire).

• Attaque réseau cellulaire: Non
• Attaque au travers de TCP/IP: Non, bloqué par le Pare-Feu
• Exploitation d'une faille 0-day dans Signal: Possible et Signal devient trop complexe pour être sûr
• Exploitation d'une faille 0-day dans son DNS local: Possible, mais extrêmement peu probable

En revanche, de manière irréaliste pour nombre de personnes, on peut avoir un matériel de chiffrement/déchiffrement GPG/PGP isolé, sans ports USB ouvert, et communiquant uniquement au travers d'un protocole série simple via un port série RS232C physique (USB <-> RS232C <-> USB).
Dans ce cadre-là on peut s'assurer de la sécurisation des échanges, et de la quasi-impossibilité d'attaques distantes.

Ce message a été modifié par iAPX - 20 Jul 2021, 12:16.

[downanotch]

Alors soit les développeurs de Apple sont des quiches

Project Zero a un avis très différent, voici la conclusion de leur évaluation des amélioration concernant iMessage dans iOS 14 :

This blog post discussed three improvements in iOS 14 affecting iMessage security: the BlastDoor service, resliding of the shared cache, and exponential throttling. Overall, these changes are probably very close to the best that could’ve been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole. It’s great to see Apple putting aside the resources for these kinds of large refactorings to improve end users’ security. Furthermore, these changes also highlight the value of offensive security work: not just single bugs were fixed, but instead structural improvements were made based on insights gained from exploit development work.

Donc toi aussi dans ce cas tu penches pour des failles volontaires ?

Absolument pas, des failles de sécurité — et plus généralement, des bugs — on en découvre régulièrement et dans tous les OS, c'est juste que la complexité et la vitesse d'évolution des logiciels aujourd'hui sont telles que c'est très difficile à éviter, et qu'en face il y a des ressources énormes qui sont mises pour trouver les bugs qui peuvent compromettre la sécurité et les exploiter.

[iAPX]

Le laboratoire de sécurité d'Amnesty International propose maintenant un outil open-source pour vérifier si un iPhone ou un smartphone Android ont été attaqués par le logiciel Pegasus de NSO: MVT dans ce repo GIT

Ça va permettre à tout un chacun de vérifier les traces laissées par ce logiciel d'espionnage à grande échelle.
On sait d'ailleurs que des quidams tout ce qu'il y a de plus banals ont aussi été espionnés.

PS: je ne suis pas touché, l'installation est chaotique (wheel, encore et toujours!), mais l'usage est simple et efficace!

Ce message a été modifié par iAPX - 20 Jul 2021, 22:26.

[joe75]

Euh tu n’as toujours pas compris a priori. Le lossless ne fonctionnera pas avec les AirPod max. consulte tes donneurs d’ordre.

C’est peut être compliqué de l’annoncer à ceux qui ont déboursé 600€. Il faudra attendre la V2. Je te rappelle que ce sont des gens qui bossent pour la pomme qui l’ont annoncé, pas moi. Mais ce sera avec plaisir que je ressortirai tes messages ou tu le niais. De mémoire @lionel te l’avait rappelé

Mais plutôt que de faire diversion, et revenir au sujet, il me semble que c’est via iOS et pégasus que le journaliste a été démembré en Turquie. Cela aurait pu être évidemment avec un androïd vérolé mais comme Tim Cook nous bassine avec la vie privée, il serait souhaitable qu’il comble les failles de sécurité plutôt que de faire la morale à FB.

Pegasus ça date pas de l’année dernière. Ces failles n’ont pas été comblées. Pourquoi ?

T'es très très lourd et manifestement tu ne connais rien à la qualité de l'audio en analogique non plus.
Reste sur le sujet ce sera plus sain pour tout le monde...et pas la peine non plus de faire des allusions ceux qui ont déboursé 600 euros pour l'airpods max (que je n'ai pas puisqu'il faut te le rappeler) sont certainement toujours aussi content de leur casque.

[Lionel]

Donc toi aussi dans ce cas tu penches pour des failles volontaires ?

Absolument pas, des failles de sécurité — et plus généralement, des bugs — on en découvre régulièrement et dans tous les OS, c'est juste que la complexité et la vitesse d'évolution des logiciels aujourd'hui sont telles que c'est très difficile à éviter, et qu'en face il y a des ressources énormes qui sont mises pour trouver les bugs qui peuvent compromettre la sécurité et les exploiter.

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.
Laisse tomber tu es coincé.

Bonjour,
En pratique, un journaliste, un membre d'une ONG, il fait comment pour pouvoir téléphoner, envoyer un e-mail, sans être espionné ?
Le chiffrement semble être dans ce cas inefficace !
Merci de laisser le pigeon voyageur de côté.

En pratique il n'y a pas de solution absolument sûre, et certainement aucune contre des acteurs de niveau gouvernemental comme l'a découvert Jeff Bezos à ses dépends...

C'est pour ça que je ne recommande pas de messagerie chiffrée de bout-en-bout, dont Signal est le meilleur exemple, car ce sont des fausses sécurités.
Je préfère partir de l'idée que mes communication électroniques étaient, sont ou seront interceptés d'une manière ou d'une autre, et j'ai des preuves qu'elles l'ont été, il est quasi impossible d'avoir des preuves de l'absence d'interception, ad contrario.

Une possibilité serait d'avoir un appareil Android dédié à Signal, non-connecté à aucun réseau mobile après les setup initial pour bloquer naturellement les attaques réseau, et avec un pare-feu qui limiterait les échanges à Signal et son protocole (ses ports), en entrée et en sortie aussi, en se connectant en WiFi (peering avec son smartphone principal si nécessaire).

• Attaque réseau cellulaire: Non
• Attaque au travers de TCP/IP: Non, bloqué par le Pare-Feu
• Exploitation d'une faille 0-day dans Signal: Possible et Signal devient trop complexe pour être sûr
• Exploitation d'une faille 0-day dans son DNS local: Possible, mais extrêmement peu probable

En revanche, de manière irréaliste pour nombre de personnes, on peut avoir un matériel de chiffrement/déchiffrement GPG/PGP isolé, sans ports USB ouvert, et communiquant uniquement au travers d'un protocole série simple via un port série RS232C physique (USB <-> RS232C <-> USB).
Dans ce cadre-là on peut s'assurer de la sécurisation des échanges, et de la quasi-impossibilité d'attaques distantes.

En fait, il y a une solution. Avoir un téléphone mobile au nom d'une autre personne, un tiers, le plus éloigné possible de nous (pas un proche direct) et en changer régulièrement. Personne ne peut écouter tout le monde en même temps.

[iAPX]

...
En fait, il y a une solution. Avoir un téléphone mobile au nom d'une autre personne, un tiers, le plus éloigné possible de nous (pas un proche direct) et en changer régulièrement. Personne ne peut écouter tout le monde en même temps.

Il sera toujours identifiable, par les réseaux auxquels il se connecte et via la géolocalisation minimaliste des réseaux cellulaires, en rapprochant celles-ci sur la durée avec la position connue de la personne.

L'identification pourra aussi être faite ou corroborée par empreinte vocale.

En fait, de mon point-de-vue, on est fichu quoiqu'on fasse ou presque!
La NSA s'est donnée comme mission d'écouter et surveiller tout le monde, et ils sont incroyablement bon, probablement les meilleurs de loin, avec un budget pharaonique.

Ce message a été modifié par iAPX - 20 Jul 2021, 16:31.

[ades]

ou alors pas de smartphone du tout.

Question est ce qu'un vieux sonyericson 750 (je crois, pas envie de monter dans des combles non isolés), donc un tel qui ne fait que téléphoner peut être attaqué ?

Je crois avoir compris que non, les com seront interceptables, mais ce serait sans doute très compliqué pour un état x de surveiller un individu y téléphonant dans un état z…

si quelqu'un sait…

Ce message a été modifié par ades - 20 Jul 2021, 16:42.

[iAPX]

ou alors pas de smartphone du tout.

Question est ce qu'un vieux sonyericson 750 (je crois, pas envie de monter dans des combles non isolés), donc un tel qui ne fait que téléphoner peut être attaqué ?

Je crois avoir compris que non, les com seront interceptables, mais ce serait sans doute très compliqué pour un état x de surveiller un individu y téléphonant dans un état z…

si quelqu'un sait…

Là c'est facile, c'est l'enfance de l'art pour certains états si ils ont conçu ou on réussi à rentrer dans les équipements réseaux.
Comme de plus les communications ne sont pas chiffrées de bout-en-bout, même pas besoin de hacker le téléphone mobile.

Si Angela, François et le Manu d'amour ont été écoutés, c'est sans espoir pour qui que ce soit.

Ce message a été modifié par iAPX - 20 Jul 2021, 17:10.

[captaindid]

En fait, il y a une solution. Avoir un téléphone mobile au nom d'une autre personne, un tiers, le plus éloigné possible de nous (pas un proche direct) et en changer régulièrement. Personne ne peut écouter tout le monde en même temps.

ouvrir une ligne au nom d'un tiers, d'accord, mais de qui? Paul Bismuth?

[iAPX]

[JayTouCon]

Euh tu n’as toujours pas compris a priori.

:lo
Sérieux, apprend à lire ou à comprendre…

ne fais pas semblant de fuir en coupant le message ou ça t'arrange. contrairement à ce que tu as affirmé sur l'autre fil les AirPods max ne sont pas losless. cette info a été donnée par la pomme elle même, tu l'as nié pendant des jours. 650 euros pour un produit qui ne dispose pas du losslees. c'est pour cela que tu as embrayé sur le dolby atmos dans le fil original. ça vient du codec BT tu le sais. pour s'en approcher il faut le câble à 80 euros et le dongle jack/lightning. en gros un port jack avec un casque filaire. or la pomme ne commercialise plus de téléphone avec une prise jack et encore moins de casque filaire.

fin du H.S sauf si tu nies encore ou si ce message est supprimé. ce n'est pas parce que tu es payé par la pomme que tu peux raconter n'importe quoi. contente toi des communiqués de presse validés ou rameute du monde, des 'nouveaux membres'.

concernant Pegasus, il y a aussi un souci de taille. l'ancien Ambassadeur de France aux US était aussi consultant chez N.S.O il y a encore quelques jours. ça fait tâche..
quant aux infos concernant le Maroc, il serait très étonnant que ce pays l'ait fait de son propre chef, c'est beaucoup trop risqué.

en général à un certain niveau, on part du principe que l'on est écouté. donc ça ne surprend personne. pour les journalistes, représentants des droit de l'homme etc, etc c'est plus compliqué. ils ne vont pas changer 12 fois de téléphones par jour avec des lignes différentes.

concernant IOS la défense de la pomme c' est assez mauvais. 'qu'est ce que vous voulez ma bonne dame, on fait tout ce qu'on peut mais c'est inévitable' rideau, voilàààà merci Ivan.
soit ils n'ont pas les compétences pour combler et identifier les failles sur leur propre OS (ils n'ont pass assez de sous sans doute pour recruter ?)
soit ils laissent des failles en raison d'une demande de tels ou tels.
Après android c'est plein de virus . venez chez nous on préserve la vie privée.

[DOMY]

Je ne sais pas ce que cela vaut, mais .... je viens de lire ceci :

Tehtris, l'arme fatale française contre le logiciel espion Pegasus
Le logiciel espion israélien Pegasus, qui a infecté les smartphones de journalistes et militants du monde entier, est très difficilement détectable.
La pépite cyber française Tehtris est un des rares acteurs à savoir dénicher le malware.
https://www.challenges.fr/entreprise/defens...-pegasus_774097

https://tehtris.com/fr/produits/tehtris-mtd/

PS: je n'ai aucune action dans le " bouzin " !

Ce message a été modifié par DOMY - 20 Jul 2021, 20:25.

[DOMY]

En fait, de mon point-de-vue, on est fichu quoiqu'on fasse ou presque!

Il reste une solution .... ne pas raconter "sa vie et les choses sensibles" au téléphone.
La paranoia, c'est pas forcément une maladie, ça peut aussi être une éthique, un mode de survie.

Ben Laden, l'avait bien pigé, et ça lui a permis de "durer" une décennie avant de se faire choper, alors que c'était l'homme, le plus recherché du monde.
Toute chose étant égale .... toi iAPX .... "l'homme le moins recherché du monde", tu devrais durer un ou deux siècles,
avant de te faire pécho, pour tes moeurs de Montréalais débridées ! (Mode humour)

Ce message a été modifié par DOMY - 20 Jul 2021, 20:34.

[iAPX]

En fait, de mon point-de-vue, on est fichu quoiqu'on fasse ou presque!

Il reste une solution .... ne pas raconter "sa vie et les choses sensibles" au téléphone.
La paranoia, c'est pas forcément une maladie, ça peut aussi être une éthique, un mode de survie.
...

Pas besoin de paranoïa, on peut quand-même être surpris de la proportion de personnes, dès l'adolescence, faisant des sexfies, les conservant et les envoyant à tout un chacun.
Ou échangeant n'importe quoi au travers de systèmes électroniques.

Et on devrait se souvenir de l'affaire Petraeus, où des messages privés très compromettants ont été utilisé au bon moment contre quelqu'un.
Qui sait où vous serez dans 10ans ou 20ans, et quelles pourraient être les conséquences de la divulgation publiques de vos messages voir vos sexfies.

Un peu de retenu ne fait pas de mal...

PS: je ne suis pas un ange, essayez de ne pas mélanger ce qui peut vous identifier et ce qui est très privé, pour avoir un déni crédible si votre mère devait le voir un jour!

Ce message a été modifié par iAPX - 20 Jul 2021, 20:46.

[DOMY]

Keep cool ... je pensais que tu avais compris le mode second degré humoristique de mon post.

PS: Je ne suis pas ministre, tu peux me tutoyer !

Ce message a été modifié par DOMY - 20 Jul 2021, 20:55.

[downanotch]

Donc tu confirmes que ce que ce raconte Apple sur la sécurité, la confidentialité, c'est du flan commercial puisque intenable dans les faits.

Donc le chirurgien qui t'assure qu'il fera tout pour sauver un proche, c'est du flan parce qu'il n'y parviendra pas dans 100 % des cas ?

Pffff…

[downanotch]

contrairement à ce que tu as affirmé sur l'autre fil les AirPods max ne sont pas losless. cette info a été donnée par la pomme elle même, tu l'as nié pendant des jours.

Tu dis vraiment n'import quoi. Non seulement je ne l'ai jamais nié, mais 6h après que tu aies mentionné ce fait, je le confirmais en réponse au message de Lionel.

soit ils n'ont pas les compétences pour combler et identifier les failles sur leur propre OS

Identifier TOUTES les failles c'est quasiment impossible, on trouve régulièrement des bugs qui existent depuis des années... On peut citer l'exemple de sudo, pourtant une commande super sensible sur les Unix-like, où il a fallu 10 ans avant qu'on identifie une faille critique, malgré le fait que le code est ouvert et qu'il a probablement été vu par des milliers de développeurs au cours de ces dix années. Mais probablement que c'était tous des quiches

[chombier]

Identifier TOUTES les failles c'est quasiment impossible, on trouve régulièrement des bugs qui existent depuis des années... On peut citer l'exemple de sudo, pourtant une commande super sensible sur les Unix-like, où il a fallu 10 ans avant qu'on identifie une faille critique, malgré le fait que le code est ouvert et qu'il a probablement été vu par des milliers de développeurs au cours de ces dix années. Mais probablement que c'était tous des quiches

Dans ce cas, il serait plus honnête de ne PAS dire que la sécurité est au centre de toutes leurs préoccupations lorsqu'ils communiquent sur leur OS, parce qu'au final, c'est du pipeau pour justifier leur fermeture aux logiciels soi-disant non conformes selon leurs règles arbitraires.
Ils passent juste pour des bouffons...

[jeandemi]

Il reste une solution .... ne pas raconter "sa vie et les choses sensibles" au téléphone.
La paranoia, c'est pas forcément une maladie, ça peut aussi être une éthique, un mode de survie.

C'est ce que les Allemands ont fait en 1944 pour la préparation de l'offensive des Ardennes : rien par radio (à part un trafic "normal" pour faire illusion), tout par estafettes et un minimum par téléphone
Les Alliés n'y ont vu que du feu!