IPB

Bienvenue invité ( Connexion | Inscription )

2 Pages V   1 2 >  
Reply to this topicStart new topic
> Apple Watch : Apple désactive l'application Walkie-Talkie à cause d'un problème de sécurité, Réactions à la publication du 11/07/2019
Options
Lionel
posté 11 Jul 2019, 13:07
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 53 370
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Apple a désactivé dans l'urgence l'application Walkie-Talkie disponible pour les Apple Watch et permettant d'échanger entre deux montres.
Une faille de sécurité a été découverte. Elle permet de déclencher une conversation sans que l'utilisateur de la montre n'ait à l'accepter.
En résumé, n'importe quelle Apple Watch peut devenir un micro espion à l'insu de son utilisateur.

Dans un communiqué Apple annonce qu'elle rétablira la fonction aussi vite que possible, mais qu'à sa connaissance elle n'a pas été exploitée par des personnes malveillantes.

En tout cas, cette faille était grave. C'est d'autant plus ennuyeux que la société ne cesse de communiquer sur la sécurité de ses produits et des données de ses clients.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
otto87
posté 11 Jul 2019, 13:57
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 891
Inscrit : 12 Jun 2009
Membre no 137 508



Au moins, c'est franc du collier avec réaction immédiate. Fini le temps des failles qui restent ouvertes bien longtemps après leur publication?


--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Mac Plus, SE 30,SI,CI,LC 1,2,3,4,imac G3, G4 Tour,imac intel, mac book 13",Dell Precision
Go to the top of the page
 
+Quote Post
Lionel
posté 11 Jul 2019, 14:06
Message #3


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 53 370
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Citation (otto87 @ 11 Jul 2019, 13:57) *
Au moins, c'est franc du collier avec réaction immédiate. Fini le temps des failles qui restent ouvertes bien longtemps après leur publication?

Apple amorce enfin de timides changements de paradigme. Elle sait que ses clients ne sont plus enclins au pardon aveugle.


--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
Xample
posté 11 Jul 2019, 14:20
Message #4


Adepte de Macbidouille
*

Groupe : Membres
Messages : 119
Inscrit : 18 Apr 2005
Membre no 37 339



Avec facetime et zoom ça fait quand même la 3e faille du genre en relativement peu de temps.
Go to the top of the page
 
+Quote Post
iAPX
posté 11 Jul 2019, 14:47
Message #5


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 953
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Lionel @ 11 Jul 2019, 08:07) *
...
En tout cas, cette faille était grave. C'est d'autant plus ennuyeux que la société ne cesse de communiquer sur la sécurité de ses produits et des données de ses clients.

Apple communique beaucoup sur le coté marketing "end-to-end encryption", ce qui était justement le cas du Talkie-walkie (en fait du FaceTime audio!) et n'a pas empêché ce beau joujou de leaker les conversations, permettant d'espionner des personnes, finalement une bug similaire à celle de FaceTime en groupe.

Ça devrait faire réfléchir sur la réelle sécurité des produits Apple, ou à chaque fois qu'on veut nous bourrer le mou avec "end-to-end encryption"...

Ce message a été modifié par iAPX - 11 Jul 2019, 14:49.


--------------------
Un Mac, un iPhone, un iPod, la première montre bracelet.
Go to the top of the page
 
+Quote Post
Lionel
posté 11 Jul 2019, 14:59
Message #6


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 53 370
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Citation (Xample @ 11 Jul 2019, 14:20) *
Avec facetime et zoom ça fait quand même la 3e faille du genre en relativement peu de temps.

Je suis persuadé que certains salariés d'Apple (et de toutes les société US) sont de fervents défenseurs de la sécurité nationale (ce n'est pas une critique) et plus fidèles à leur pays qu'à leur patron.
Le code de ces failles est plus que certainement made in NSA.
Lz seul vrai choix que l'on ait n'est pas d'être en sécurité, mais de choisir qui écoute, Chine, Etats-Unis, Russie...


--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
captaindid
posté 11 Jul 2019, 16:06
Message #7


Adepte de Macbidouille
*

Groupe : Membres
Messages : 71
Inscrit : 6 Sep 2004
Lieu : entre la chaise et le clavier
Membre no 23 160



Citation (otto87 @ 11 Jul 2019, 13:57) *
Au moins, c'est franc du collier avec réaction immédiate. Fini le temps des failles qui restent ouvertes bien longtemps après leur publication?

je pense que ça n'a rien à voir avec un changement d’éthique ou de comportement d'Apple.
ce ne sont pas des bugs qui ont été corrigés, ce sont des fonctionnalités cachées qui ont été sciemment introduites (à la demande de certaines agences américaines ?) et destinées à nous espionner. le problème c'est qu'elles ont été grossièrement implémentées et ça s'est vu ou ça n'allait pas tarder à se voir.

Apple s'étant déjà fait gauller avec ce genre de "bug" très louche (voir cette interrogation légitime de iAPX), il est urgent pour eux de faire bonne figure;
et comme ils ne sont pas les seuls à s'être fait gauller, je pense à Zoom il y a quelques jours, à whatsapp il n'y a pas longtemps, et plein d'autres, il est d’autant plus urgent pour Apple de s'extraire de cette suspicion généralisée qui doit bien commencer à monter auprès des utilisateurs


--------------------
"What else?" - George Clooney
Go to the top of the page
 
+Quote Post
marc_os
posté 11 Jul 2019, 16:07
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 369
Inscrit : 21 Apr 2006
Membre no 59 799



Citation (Lionel @ 11 Jul 2019, 13:07) *
En tout cas, cette faille était grave. C'est d'autant plus ennuyeux que la société ne cesse de communiquer sur la sécurité de ses produits et des données de ses clients.

C'est clair, ce serait bien mieux si Apple ne disait rien au lieu de tenter de jouer la transparence.

En vérité, au contraire je pense que « communiquer sur la sécurité de ses produits » c'est bien, mais que communiquer également sur les failles comblées au lieu de les passer sous silence c'est mieux, ce n'est pas « ennuyeux » non non, au contraire ça rappelle qu'aucune "sécurité" n'est donnée à priori, et je ne critiquerai pas comme toi le fait de se remettre en question et de corriger ses erreurs. (Petit rappel : Errare humanum est, et il n'y a que ceux qui ne font rien qui ne font jamais d'erreurs.) Tu ne fais jamais d'erreur ?

De plus, je ne doute pas une seconde que si Apple n'avait rien dit, et que si un petit malin avait découvert la chose, alors tu aurais crié, non hurlé au scandâle. Pour preuve, tu viens de le faire pour rien - même si c'est de manière soft en qualifiant la chose d' « ennuyeuse ».

Ce message a été modifié par marc_os - 11 Jul 2019, 16:25.


--------------------
-----------------
--JE-------SUIS--
--AHMED-CHARLIE--
--CLARISSA-YOAV--
-----------------
Go to the top of the page
 
+Quote Post
JayTouCon
posté 11 Jul 2019, 17:12
Message #9


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 3 625
Inscrit : 2 Sep 2010
Membre no 158 552



Et quand on sait que la montre collecte des données de santé on a un joli combo. Oui oui oui anonymisee bla blabla blah. Il y aura d’autres failles.
Go to the top of the page
 
+Quote Post
vlady
posté 11 Jul 2019, 18:12
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 847
Inscrit : 26 Jun 2010
Lieu : Paris
Membre no 155 873



Citation (marc_os @ 11 Jul 2019, 16:07) *
Citation (Lionel @ 11 Jul 2019, 13:07) *
En tout cas, cette faille était grave. C'est d'autant plus ennuyeux que la société ne cesse de communiquer sur la sécurité de ses produits et des données de ses clients.

C'est clair, ce serait bien mieux si Apple ne disait rien au lieu de tenter de jouer la transparence.

En vérité, au contraire je pense que « communiquer sur la sécurité de ses produits » c'est bien, mais que communiquer également sur les failles comblées au lieu de les passer sous silence c'est mieux, ce n'est pas « ennuyeux » non non, au contraire ça rappelle qu'aucune "sécurité" n'est donnée à priori, et je ne critiquerai pas comme toi le fait de se remettre en question et de corriger ses erreurs. (Petit rappel : Errare humanum est, et il n'y a que ceux qui ne font rien qui ne font jamais d'erreurs.) Tu ne fais jamais d'erreur ?

De plus, je ne doute pas une seconde que si Apple n'avait rien dit, et que si un petit malin avait découvert la chose, alors tu aurais crié, non hurlé au scandâle. Pour preuve, tu viens de le faire pour rien - même si c'est de manière soft en qualifiant la chose d' « ennuyeuse ».


Et pour le moment c'est toi qui hurles. wacko.gif


--------------------
Mac Pro late 2013 Xeon Quad 3.7GHz/16GB, écran Eizo EV2736W, Mac Book Air 11" 1.6GHz/4GB, iPhone 6s 64GB
Go to the top of the page
 
+Quote Post
iAPX
posté 11 Jul 2019, 18:55
Message #11


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 953
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Lionel @ 11 Jul 2019, 09:59) *
Citation (Xample @ 11 Jul 2019, 14:20) *
Avec facetime et zoom ça fait quand même la 3e faille du genre en relativement peu de temps.

Je suis persuadé que certains salariés d'Apple (et de toutes les société US) sont de fervents défenseurs de la sécurité nationale (ce n'est pas une critique) et plus fidèles à leur pays qu'à leur patron.
Le code de ces failles est plus que certainement made in NSA.
Lz seul vrai choix que l'on ait n'est pas d'être en sécurité, mais de choisir qui écoute, Chine, Etats-Unis, Russie...

Pour rebondir là-dessus, le Talkie-Walkie est du FaceTime audio, et a hérité de la même "bug" (backdoor) que FaceTime sous iOS: Apple a la capacité d'ajouter un correspondant dans une conversation (et sa clé publique) sans action ni information des personnes déjà présentes dans la conversation.

Apple a raison de dire qu'ils ne peuvent déchiffrer les messages précédemment échangés, aussi que la communication est chiffrée "end-to-end", mais il y a un mécanisme dans FaceTime et Talkie-Walkie permettant de ne pas notifier certains ajouts et de garder ces correspondants cachés de la liste des intervenants dans une conversation.
Dit autrement, Apple gère les clés publiques et leur injection, ainsi que leur non-notification et non-affichage, c'est le Maître des clés.
Je doute fort que ça soit une action individuelle par patriotisme, ça ressemble pour moi à une fonctionnalité qui n'est pas destinée au grand-public!!!

À chaque fois que vous entendez chiffrement bout-à-bout "end-to-end encryption", attendez-vous à une arnaque et surtout cherchez qui gère les clés: comme à Fort Boyard c'est le Maître des clés qui a le pouvoir wink.gif

PS: une description des mécanismes utilisés pour le fun, sachant que chaque correspondant à une clé privée (connue de lui seul) et une clé publique (accessibles à tous), Apple stockant la clé privée chiffrée, lui interdisant son accès si on utilise un mot-de-passe très fort, elle est récupérée via l'authentification iCloud/machin-chose, un dérivé du mot-de-passe permettant alors de la déchiffrer temporairement, par exemple pour un nouvel appareil, le déchiffrage étant alors fait dans celui-ci si proprement implémenté.

Authentification du message et chiffrement:
  1. Génération d'une clé de message (MessageKey) aléatoire pour éviter l'attaque par cryptanalyse différentielle
  2. Chiffrement du message avec la MessageKey, ne pouvant donc être déchiffré qu'en ayant connaissance de celle-ci (le message est donc protégé une fois pour toute)
  3. Chiffrement de la MessageKey par la clé privée de l'émetteur, pour l'authentifier, obtenant une AuthenticatedKey (phase d'authentification)
  4. Pour chaque destinataire, chiffrement de l'AuthenticatedKey par la clé publique de celui-ci (on a donc une liste destinataire->une clé à déchiffrer + un message chiffré une seule fois)


Déchiffrement avec vérification de l'authenticité:
  1. Le destinataire utilise sa clé privée pour déchiffrer la clé qui lui est destinée, obtenant ainsi l'AuthenticatedKey
  2. Le destinataire déchiffre alors l'AuthenticatedKey avec la clé publique de l'émetteur, obtenant la MessageKey (authentification de l'émetteur)
  3. Avec la MessageKey, le destinataire déchiffre le message commun (pas besoin de le dupliquer ni de le chiffrer différemment quelque-soit le nombre de destinataires)


Ce message a été modifié par iAPX - 11 Jul 2019, 19:32.


--------------------
Un Mac, un iPhone, un iPod, la première montre bracelet.
Go to the top of the page
 
+Quote Post
otto87
posté 11 Jul 2019, 19:11
Message #12


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 891
Inscrit : 12 Jun 2009
Membre no 137 508



En même temps, existe-t-il encore des gens avec un minimum de culture informatique qui puissent encore avoir un soupçon de confiance dans du matériel dont le design hardware et software, à tout les niveaux, est américain?


--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Mac Plus, SE 30,SI,CI,LC 1,2,3,4,imac G3, G4 Tour,imac intel, mac book 13",Dell Precision
Go to the top of the page
 
+Quote Post
chombier
posté 11 Jul 2019, 20:30
Message #13


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 008
Inscrit : 20 Mar 2003
Membre no 6 765



Citation (iAPX @ 11 Jul 2019, 18:55) *
Le destinataire déchiffre alors l'AuthenticatedKey avec la clé publique de l'émetteur, obtenant la MessageKey (authentification de l'émetteur)

Nan mais laugh.gif


--------------------
késtananafout' (:
Go to the top of the page
 
+Quote Post
linus
posté 11 Jul 2019, 21:08
Message #14


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 235
Inscrit : 24 Jun 2004
Lieu : Grenoble
Membre no 20 409



Citation (Lionel @ 11 Jul 2019, 15:59) *
Citation (Xample @ 11 Jul 2019, 14:20) *
Avec facetime et zoom ça fait quand même la 3e faille du genre en relativement peu de temps.

Je suis persuadé que certains salariés d'Apple (et de toutes les société US) sont de fervents défenseurs de la sécurité nationale (ce n'est pas une critique) et plus fidèles à leur pays qu'à leur patron.
Le code de ces failles est plus que certainement made in NSA.
Lz seul vrai choix que l'on ait n'est pas d'être en sécurité, mais de choisir qui écoute, Chine, Etats-Unis, Russie...

Je serais bien intéressé à savoir comme on fait pour choisir cela selon toi.
Si tu penses au fait de choisir le pays du constructeur, c'est juste augmenter la probabilité d'écoute par son pays de référence, sans annuler celles des autres. Apple conçoit, mais ne fabrique pas. Pour macOS, des parts sont sans doute soutraitées en Inde ou ailleurs.
Go to the top of the page
 
+Quote Post
arnobacle
posté 11 Jul 2019, 21:37
Message #15


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 568
Inscrit : 11 Sep 2004
Lieu : Triel/Seine
Membre no 23 457



Citation (otto87 @ 11 Jul 2019, 19:11) *
En même temps, existe-t-il encore des gens avec un minimum de culture informatique qui puissent encore avoir un soupçon de confiance dans du matériel dont le design hardware et software, à tout les niveaux, est américain?

bonsoir à tous,
existe-t-il encore des gens avec un minimum de culture informatique qui puissent imaginer qu'un logiciel soit sans bug en particulier au niveau de la sécurité où les "hackeurs" sont des des codeurs ou décodeurs particulièrement pointus ?
je ne nie pas le côté très "intéressé" de nos fabricants-vendeurs de machine et logiciel, mais, sans être particulièrement bisounours, je pense qu'il faut quand même modérer la parano générale et voir n'importe quel bug comme un acte volontaire !

Arnauld
PS ça faisait bien longtemps que je n'avais pas posté, mais là, je n'ai pas résisté wink.gif


--------------------
mi esposa : imacG3 400 DV 13go, 640 mo, 10.3.9 + HDD externe FW laCie 120go --- moi : imacG5 1,8 17", 80go, 1go, 10.3.9
et pour ma fille : macmini 1,25, 40 go, 1 go et tiger --- mon fils un PC 2, 4 ghz...
Go to the top of the page
 
+Quote Post
iAPX
posté 11 Jul 2019, 21:44
Message #16


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 953
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (arnobacle @ 11 Jul 2019, 16:37) *
Citation (otto87 @ 11 Jul 2019, 19:11) *
En même temps, existe-t-il encore des gens avec un minimum de culture informatique qui puissent encore avoir un soupçon de confiance dans du matériel dont le design hardware et software, à tout les niveaux, est américain?

bonsoir à tous,
existe-t-il encore des gens avec un minimum de culture informatique qui puissent imaginer qu'un logiciel soit sans bug en particulier au niveau de la sécurité où les "hackeurs" sont des des codeurs ou décodeurs particulièrement pointus ?
je ne nie pas le côté très "intéressé" de nos fabricants-vendeurs de machine et logiciel, mais, sans être particulièrement bisounours, je pense qu'il faut quand même modérer la parano générale et voir n'importe quel bug comme un acte volontaire !

Arnauld
PS ça faisait bien longtemps que je n'avais pas posté, mais là, je n'ai pas résisté wink.gif

C'est que ça n'est pas une "bug", pas plus que le problème affectant similairement FaceTime audio+video (là il s'agit de FaceTime audio techniquement), mais de la possibilité de rajouter un interlocuteur dans une conversation sans que celui-ci soit signalé à ceux déjà présent, ni ne soit affiché dans la liste des interlocuteurs.

C'est une volonté.

Et dès qu'on entend "end-to-end encryption", on devrait se méfier car on s'apprête à nous la mettre profond.
Aucun système de chiffrement "end-to-end" actuellement populaire n'a pas eu de failles de sécurité qui casse absolument tout ça dans sa configuration par défaut, et j'inclus WhatsApp, le système du gouvernement Français (ayant hérité d'une bug backdoor similaire), PGP, etc.

Ce message a été modifié par iAPX - 11 Jul 2019, 21:48.


--------------------
Un Mac, un iPhone, un iPod, la première montre bracelet.
Go to the top of the page
 
+Quote Post
arnobacle
posté 11 Jul 2019, 21:59
Message #17


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 568
Inscrit : 11 Sep 2004
Lieu : Triel/Seine
Membre no 23 457



J'ai vu tellement d'effet "bizarre" de bug logiciel dans près de 40 ans de frottement aux systèmes logiciels que je ne suis plus étonné de rien !
Tu as peut-être raison sur ce point, faudrait voir le code, mais ma réaction était plus générale que sur ce sujet particulier, sitôt qu'un truc louche sur la sécurité arrive, on tombe dans le pseudo-complot, et ça, je pense que ça fausse la réalité et dessert le débat...


--------------------
mi esposa : imacG3 400 DV 13go, 640 mo, 10.3.9 + HDD externe FW laCie 120go --- moi : imacG5 1,8 17", 80go, 1go, 10.3.9
et pour ma fille : macmini 1,25, 40 go, 1 go et tiger --- mon fils un PC 2, 4 ghz...
Go to the top of the page
 
+Quote Post
JayTouCon
posté 11 Jul 2019, 22:05
Message #18


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 3 625
Inscrit : 2 Sep 2010
Membre no 158 552



Citation (linus @ 11 Jul 2019, 21:08) *
Citation (Lionel @ 11 Jul 2019, 15:59) *
Citation (Xample @ 11 Jul 2019, 14:20) *
Avec facetime et zoom ça fait quand même la 3e faille du genre en relativement peu de temps.

Je suis persuadé que certains salariés d'Apple (et de toutes les société US) sont de fervents défenseurs de la sécurité nationale (ce n'est pas une critique) et plus fidèles à leur pays qu'à leur patron.
Le code de ces failles est plus que certainement made in NSA.
Lz seul vrai choix que l'on ait n'est pas d'être en sécurité, mais de choisir qui écoute, Chine, Etats-Unis, Russie...

Je serais bien intéressé à savoir comme on fait pour choisir cela selon toi.
Si tu penses au fait de choisir le pays du constructeur, c'est juste augmenter la probabilité d'écoute par son pays de référence, sans annuler celles des autres. Apple conçoit, mais ne fabrique pas. Pour macOS, des parts sont sans doute soutraitées en Inde ou ailleurs.

il y a différentes méthodes. du constructeur au 'cloudeur'. parfois c'est plus à l'ancienne en se 'connectant' terme poli sur des câbles sous marins comme ce fut le cas il y a quelques années.
la pomme applique le patriot act et le cloud act avec un renversement total de la charge de la preuve pour ce dernier. c'est valable pour microsoft évidemment mais la pomme est plus gentille, plus sympa et préserve la vie privée en la repeignant en or rose.
porter en permanence une 'montre' qui indique les pulsations cardiaques, une géolocalisation et un déverrouillage du bidule par le visage, en rajoutant le paiement c'est à dire les données bancaires c'est juste magnifique. ensuite on rajoute les éléments de langage pour le vendre et 'sauver des vies'

vendre le matos est une chose, détenir les données en est une autre. la pomme se rapproche de plus en plus de Facebook & en plus le fait payer.

edit : le slogan quand c'est gratuit c'est vous le produit, et pour faire croire le contraire le slogan inversé : si vous nous payez vous êtes protégé.

Ce message a été modifié par JayTouCon - 11 Jul 2019, 22:09.
Go to the top of the page
 
+Quote Post
iAPX
posté 11 Jul 2019, 22:14
Message #19


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 953
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (arnobacle @ 11 Jul 2019, 16:59) *
J'ai vu tellement d'effet "bizarre" de bug logiciel dans près de 40 ans de frottement aux systèmes logiciels que je ne suis plus étonné de rien !
Tu as peut-être raison sur ce point, faudrait voir le code, mais ma réaction était plus générale que sur ce sujet particulier, sitôt qu'un truc louche sur la sécurité arrive, on tombe dans le pseudo-complot, et ça, je pense que ça fausse la réalité et dessert le débat...

Ça n'a rien de "louche", c'est que ce que des gouvernements étrangers (aux USA) demandent, comme l'Australie par exemple, et il se trouve que le comportement est déjà parfaitement implémenté: on peut appeler cela un hasard, parler de bug, mais ça marche si bien et sur différentes plateformes que...

Au passage il se trouve que je connais un peu la cryptographie (voir plus haut pour l'explication du fonctionnement du système), même un peu "chercheur en sécurité" avec un exploit publique très lourd sur MySQL en dehors de tout ce qui n'est pas publique. Mais @malloc et @Marc_OS vont expliquer qu'il faut des preuves avec des liens sur des pages nowhere sur Internet, sans pouvoir eux-même s'appliquer cette même norme (je les attends tongue.gif )

Ce message a été modifié par iAPX - 11 Jul 2019, 22:46.


--------------------
Un Mac, un iPhone, un iPod, la première montre bracelet.
Go to the top of the page
 
+Quote Post
EricDu
posté 11 Jul 2019, 23:56
Message #20


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 272
Inscrit : 13 Aug 2009
Membre no 140 600



Citation (Lionel @ 11 Jul 2019, 08:59) *
Je suis persuadé que certains salariés d'Apple (et de toutes les société US) sont de fervents défenseurs de la sécurité nationale (ce n'est pas une critique) et plus fidèles à leur pays qu'à leur patron.

Dans une société comme Apple, je présume que chaque ligne de code est documentée et revue par plusieurs personnes. Ça m'étonnerait qu'un codeur puisse ajouter une porte dérobée ou une autre fonctionnalité sans que ses supérieurs ne le remarque.


--------------------
Mac Pro (2010) : 3.46GHz 12-core Xeon + GTX 680 + 48GB RAM + 2TB Apricorn/Micron M500 raid + 6TB HD + Sierra Hackintosh (Clover) : GA-H170M-D3H + Core i7-6700K 4GHz + GTX 950 + 64Gb RAM + 1TB Samsung SSD + Sierra MacBook Air (Early 2014) 13" : 1.7GHz Core i7 + 8GB RAM + 512GB SSD + Sierra MacBook Pro (Mid-2012) 13" : 2.5 GHz Core i5 + 16GB RAM + 500GB SSD + Sierra MacBook Pro (Late 2011) 15" : 2.4GHz Core i7 + 16GB RAM + 500GB SSD + Sierra Mac mini (Mid-2011) : 2.7GHz Core i7 + 16Gb RAM + 480GB SSD + Sierra Mac Mini (Mid-2010) : 2.4GHz Core 2 duo + 8GB RAM+ 275GB SSD + High Sierra
Go to the top of the page
 
+Quote Post
otto87
posté 12 Jul 2019, 00:46
Message #21


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 891
Inscrit : 12 Jun 2009
Membre no 137 508



@rnobacle
Les erreurs de codes sont humaines comme tout un chacun peut en faire (je suis le premier à en faire smile.gif)
Mais autant d'erreur dans le même sens, ça pue la NSA a plein nez! Et c'est dans la lois de ce pays. Ne pas le reconnaître est juste un signe d’analphabétisme avancé...
Ne pas le voir est soit une jeunesse d'esprit pré snowden, soit un aveuglement massif!
Et ça empêche pas que de vieux bugs existent sans la NSA et ça n’empêche pas que de nouveaux bug existent avec la NSA!
Les gens n'ont pas compris que nous sommes en guerre depuis des dizaines d'années, pas besoin d'armes conventionnelles pour la faire, il y a les guerres juridiques, économiques, même pas besoin de mort directement imputables, même s'ils existent...
Les Usa passent à la vitesse supérieure avec l'extraterritorialité de leurs droits sur le dollars, qui est la plus grosse fumisterie de tout les temps!


--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Mac Plus, SE 30,SI,CI,LC 1,2,3,4,imac G3, G4 Tour,imac intel, mac book 13",Dell Precision
Go to the top of the page
 
+Quote Post
flan
posté 12 Jul 2019, 05:39
Message #22


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 549
Inscrit : 1 Jul 2006
Membre no 63 808



Citation (iAPX @ 11 Jul 2019, 21:44) *
le système du gouvernement Français (ayant hérité d'une bug backdoor similaire), PGP, etc.

Quelle « backdoor » similaire ?
Go to the top of the page
 
+Quote Post
cyril1
posté 12 Jul 2019, 06:43
Message #23


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 385
Inscrit : 28 Oct 2006
Membre no 71 556



Dommage ! Certainement la meilleure fonction de la Watch qui disparaît !

Je ====> happy.gif


--------------------
MAC_PRO & Ecran : DELL 30' 3007WFP- SSD Crucial M500 - I.Mac - MacBook - MacBookPro - Time Capsule - FAI : ORANGE _Fibre Reflex's : Nikon D300 / D3S / D4 - Iphone 8 & 8 Plus - Ipad Pro 12,9.

MacBook Pro (2011) 17' / 16GO @ 1600 / SSD Apple 256 Go - = Boot en 7 Sec ! <=====Bug de la Carte Graphique... Il aura tenu jusqu'en février 2018 ! - Remplacé par un; IMac 21' 4K - I7 @4,2ghz - 32Go - SSD 512 Go.

Go to the top of the page
 
+Quote Post
VSD
posté 12 Jul 2019, 06:44
Message #24


Macbidouilleur de Nancy
*****

Groupe : Membres
Messages : 2 893
Inscrit : 28 Oct 2002
Lieu : Nancy
Membre no 4 381



Une faille peut en cacher une aitre ...c'est bien connu ! laugh.gif
Un jour il y en aura une énorme et on viendra à se taper dessus !
Mes montres m'ont indiquées depuis plus de 54 ans l'heure et la date cela me suffit !
Je n'ai pas besoin de savoir comment va mon coeur, si je pête de travers etc...
Les montres gadgets et autres fioritures (enceintes etc...) très peu pour moi !
Go to the top of the page
 
+Quote Post
Lionel
posté 12 Jul 2019, 07:23
Message #25


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 53 370
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Citation (marc_os @ 11 Jul 2019, 16:07) *
Citation (Lionel @ 11 Jul 2019, 13:07) *
En tout cas, cette faille était grave. C'est d'autant plus ennuyeux que la société ne cesse de communiquer sur la sécurité de ses produits et des données de ses clients.

C'est clair, ce serait bien mieux si Apple ne disait rien au lieu de tenter de jouer la transparence.

En vérité, au contraire je pense que « communiquer sur la sécurité de ses produits » c'est bien, mais que communiquer également sur les failles comblées au lieu de les passer sous silence c'est mieux, ce n'est pas « ennuyeux » non non, au contraire ça rappelle qu'aucune "sécurité" n'est donnée à priori, et je ne critiquerai pas comme toi le fait de se remettre en question et de corriger ses erreurs. (Petit rappel : Errare humanum est, et il n'y a que ceux qui ne font rien qui ne font jamais d'erreurs.) Tu ne fais jamais d'erreur ?

De plus, je ne doute pas une seconde que si Apple n'avait rien dit, et que si un petit malin avait découvert la chose, alors tu aurais crié, non hurlé au scandâle. Pour preuve, tu viens de le faire pour rien - même si c'est de manière soft en qualifiant la chose d' « ennuyeuse ».

Tu ne comprendras décidément rien dans ton aveuglement.
Je ne critique pas qu'ils aient annoncé la faille, c'est bien et de toute façon elle aurait été connue dans tous les cas.
Je constate seulement que cela tombe mal au niveau médiatique.

Citation (EricDu @ 11 Jul 2019, 23:56) *
Citation (Lionel @ 11 Jul 2019, 08:59) *
Je suis persuadé que certains salariés d'Apple (et de toutes les société US) sont de fervents défenseurs de la sécurité nationale (ce n'est pas une critique) et plus fidèles à leur pays qu'à leur patron.

Dans une société comme Apple, je présume que chaque ligne de code est documentée et revue par plusieurs personnes. Ça m'étonnerait qu'un codeur puisse ajouter une porte dérobée ou une autre fonctionnalité sans que ses supérieurs ne le remarque.

Il suffit alors que le code soit ajouté par le dernier de la chaîne avant le déploiement, ou plus simplement que certains ferment les yeux.
Tu sais, ces bouts de code ne sont pas targués, code pirate, ce sont des chaînes disséminées, parfois déjà utilisées par ailleurs, et il suffit d'un bon branchement pour que la bonne cascade soit lancée.
Ici, on parle d'un interlocuteur invisible qui s'ajoute (ce que demandent les services secrets anglais en passant). Donc, il faut juste un bout de code qui contourne l'invitation et la notification, pas besoin d'être long, puisqu'il ne fait que se brancher après les vérifications de sécurité.


--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
iAPX
posté 12 Jul 2019, 13:16
Message #26


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 953
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (flan @ 12 Jul 2019, 00:39) *
Citation (iAPX @ 11 Jul 2019, 21:44) *
le système du gouvernement Français (ayant hérité d'une bug backdoor similaire), PGP, etc.

Quelle « backdoor » similaire ?

Il y avait une gross bug Française dans le système de communication du gouvernement Français, mais aussi une backdoor permettant de suivre des conversations de groupe sans être visible dans la conversation.
Le code vient d'un système Open-Source utilisé dans des messageries chiffrées "end-to-end", et comme d'hab... laugh.gif


--------------------
Un Mac, un iPhone, un iPod, la première montre bracelet.
Go to the top of the page
 
+Quote Post
flan
posté 12 Jul 2019, 18:01
Message #27


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 549
Inscrit : 1 Jul 2006
Membre no 63 808



Citation (iAPX @ 12 Jul 2019, 13:16) *
Citation (flan @ 12 Jul 2019, 00:39) *
Citation (iAPX @ 11 Jul 2019, 21:44) *
le système du gouvernement Français (ayant hérité d'une bug backdoor similaire), PGP, etc.

Quelle « backdoor » similaire ?

Il y avait une gross bug Française dans le système de communication du gouvernement Français, mais aussi une backdoor permettant de suivre des conversations de groupe sans être visible dans la conversation.
Le code vient d'un système Open-Source utilisé dans des messageries chiffrées "end-to-end", et comme d'hab... laugh.gif

Oui, je me souviens bien du bug pour la version internet de Tchap (qui n'est pas « Le système de communication du gouvernement français », juste un outil mis à disposition des gens pour leur éviter d'utiliser WhatsApp ou Telegram).
Mais cette backdoor ne me dit rien, aurais-tu quelque chose de plus précis ?
Go to the top of the page
 
+Quote Post
iAPX
posté 12 Jul 2019, 20:41
Message #28


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 953
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (flan @ 12 Jul 2019, 13:01) *
Citation (iAPX @ 12 Jul 2019, 13:16) *
Citation (flan @ 12 Jul 2019, 00:39) *
Citation (iAPX @ 11 Jul 2019, 21:44) *
le système du gouvernement Français (ayant hérité d'une bug backdoor similaire), PGP, etc.

Quelle « backdoor » similaire ?

Il y avait une gross bug Française dans le système de communication du gouvernement Français, mais aussi une backdoor permettant de suivre des conversations de groupe sans être visible dans la conversation.
Le code vient d'un système Open-Source utilisé dans des messageries chiffrées "end-to-end", et comme d'hab... laugh.gif

Oui, je me souviens bien du bug pour la version internet de Tchap (qui n'est pas « Le système de communication du gouvernement français », juste un outil mis à disposition des gens pour leur éviter d'utiliser WhatsApp ou Telegram).
Mais cette backdoor ne me dit rien, aurais-tu quelque chose de plus précis ?

"La messagerie de l'État Français", j'ai trouvé cette formulation ici, et principalement utilisée au sein du gouvernement, avec "500 utilisateurs des cabinets ministériels".

Pour le reste ça vient de la description des problèmes rencontrés par le hacker après avoir réussi à s'inscrire (la bug franco-française étant sur l'inscription, le reste étant d'origine).

Ce message a été modifié par iAPX - 12 Jul 2019, 20:56.


--------------------
Un Mac, un iPhone, un iPod, la première montre bracelet.
Go to the top of the page
 
+Quote Post
chombier
posté 12 Jul 2019, 20:57
Message #29


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 008
Inscrit : 20 Mar 2003
Membre no 6 765



Citation (iAPX @ 11 Jul 2019, 22:14) *
[...] Au passage il se trouve que je connais un peu la cryptographie (voir plus haut pour l'explication du fonctionnement du système [...]

Tu connais un peu, mais lorsque tu expliques, tu déchiffres un message avec la clé publique de l'émetteur ? laugh.gif


--------------------
késtananafout' (:
Go to the top of the page
 
+Quote Post
iAPX
posté 12 Jul 2019, 21:00
Message #30


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 953
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (chombier @ 12 Jul 2019, 15:57) *
Citation (iAPX @ 11 Jul 2019, 22:14) *
[...] Au passage il se trouve que je connais un peu la cryptographie (voir plus haut pour l'explication du fonctionnement du système [...]

Tu connais un peu, mais lorsque tu expliques, tu déchiffres un message avec la clé publique de l'émetteur ? laugh.gif

Oui, c'est une des étapes!

Celle-là est l'authentification de l'Émetteur, puisque seul celui-ci peut avoir chiffré la clé "AuthenticatedKey" avec sa clé privé, prouvant ainsi sans-équivoque son identité.
La précédente consiste à déchiffrer la clé de l'émetteur via sa clé privée (que seul le récepteur peut faire), c'est là où se trouve ce qu'on appelle couramment le "chiffrement", bien que ça soit le chiffrement d'une clé de chiffrement/déchiffrement symétrique.

Sans cette étape n'importe qui pourrait chiffrer n'importe quoi avec la clé publique du destinataire en se faisant passer pour l'émetteur, c'est pour cela qu'aussi surprenante qu'elle soit à première vue, elle est indispensable!

Pour résumer, pour pouvoir déchiffrer la clé permettant d'accéder au message, il faut qu'elle ai été chiffrée avec la clé publique du destinataire (seul lui peut le faire) et aussi avec la clé privée de l'émetteur, authentifiant l'émetteur et ne donnant accès qu'au destinataire.

Ce message a été modifié par iAPX - 12 Jul 2019, 21:09.


--------------------
Un Mac, un iPhone, un iPod, la première montre bracelet.
Go to the top of the page
 
+Quote Post

2 Pages V   1 2 >
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 16th October 2019 - 11:02