Version imprimable du sujet

Écrit par : Lionel 3 Dec 2019, 16:24

Une faille qualifiée de 0-Day touche des appareils sous Android, même à jour. La faille permet à des logiciels malveillants de se faire passer pour leurs pendants légitimes déjà installés. Une fois sur place ces logiciels obtiennent l'accès à des informations sensibles comme l'enregistrement audio, vidéo, la lecture de messages reçus...
36 applications exploitent cette vulnérabilité et les pirates semblent particulièrement intéressés par le fait d'usurper l'identité des utilisateurs pour siphonner leurs comptes en banque.

Pour rappel, les smartphones sont de plus en plus souvent utilisés comme clés d'authentification bancaire, que ce soit par des messages échangés ou des clés électroniques installées dessus. Prendre le contrôle des appareils et voir ce qui s'y passe permet de fait d'outrepasser toutes les sécurités mises en place.

Dans le détail, la vulnérabilité d'Android se cache dans un process appelé TaskAffinity. Elle permet, si l'on a les bonnes autorisations, d'interagir avec d'autres applications. La faille permet d'en obtenir de très hautes sans efforts.

http://macbidouille.com/news/2019/12/03/une-faille-sous-android-est-activement-exploitee-pour-siphonner-des-comptes-en-banque

Écrit par : divoli 3 Dec 2019, 17:27

La routine. Plus qu'à attendre la rustine (pour les terminaux qui bénéficient encore de mises à jour). De plus, des dizaines d'applications exploitant cette faille se trouvaient sur le Play Store, carrément, avant que Google ne les supprime.
https://www.phonandroid.com/malware-android-grave-faille-securite-permet-vider-compte-bancaire.html

Écrit par : Oncle Sophocle 3 Dec 2019, 19:18

Moi j'm'en phous, mon téléphone ne me sert qu'à téléphoner, recevoir ou envoyer des SMS (pas des emails), gérer mes alertes de calendrier, et très épisodiquement et seulement quand j'en ai besoin, à me connecter à l'internet quand je veux utiliser mon logiciel de cartographie. Et jamais pour payer les achats.
Cela dit, chacun choisit les risques qu'il veut prendre...

Écrit par : ekami 3 Dec 2019, 19:23

Ça me rappelle les conversations avec les personnes qui me demandent de regarder leur Tél androïd pour "le mettre à jour" mais la plupart du temps "Houps ! c'est pas possible, c'est comme ça, il n'y à rien à faire…"
Ils comprennent alors le concept de "fragmentation" d'Androïd, son principal pb depuis…sa naissance !

Écrit par : LordJohnWhorfin 3 Dec 2019, 20:06

Tout à fait d'accord, mais tu cours bien moins de risques en utilisant ApplePay qu'en payant avec une carte de crédit, surtout en ligne.

Écrit par : otto87 3 Dec 2019, 20:41

Pas de sans contact, la carte bleu doit toujours rester visible chez le commerçant et code envoyé par SMS à chaque paiement en ligne. C'est magique, ça marche avec un dumbphone à 30 euros Et en plus personne, n'a envie de piquer mon téléphone! Et oui, 2 ou 3 fois par ans, je pleure de ne pas avoir de GPS

Écrit par : Patounet1 3 Dec 2019, 20:49

Bonjour,
Peut-être mais en utilisant à la fois la CB et ApplePay, tu multiplies les risques, à moins que tu aies renoncé à utiliser ta CB, (c'est peut-être possible dans une métropole ?)

Écrit par : SpacetitoX 3 Dec 2019, 21:54

Encore une journée ou l'ont m'a dit android c'est bien mieux car c'est ouvert... Qu'est-ce que je me marre.

Écrit par : otto87 3 Dec 2019, 22:06

Et encore une journée ou un type sous-entend que le code proprio c'est mieux... https://www.forbes.com/sites/thomasbrewster/2019/03/27/millions-are-being-lost-to-apple-pay-fraudwill-apple-card-come-to-the-rescue/#4fc45b56622f
Voila ce qui arrive quand on utilise des arguments fallacieux! L'ouverture du code est par nature plus sécurisé même si ça n’empêche pas des erreurs!

Écrit par : ungars 3 Dec 2019, 23:23

Oui, c'est super, comme ceci https://news.sophos.com/fr-fr/2018/10/19/bug-ssh-serieux-cybercriminels-capables-se-connecter-gentiment/

Écrit par : otto87 4 Dec 2019, 00:50

Parfait Apple l'utilise (à moi la force du boomerang! ) , le cumul du libre et du proprio
Mais bon c'est facile de critiquer ceux qui corrigent les failles en quelques heures quand un autre les laisse traîner pendant des mois, et même les laisse traîner pendant des mois alors que des gros barbus les ont corrigées en quelques heures
Bordel les méfaits de la religion!
PS : j'ai aussi été un religieux, mais bon je m'en suis sorti!

Écrit par : dtb06 4 Dec 2019, 05:04

Tu te crois à l'abri avec les SMS ?
https://www.nextinpact.com/brief/des-millions-de-sms-trouves-dans-une-base-de-donnees-en-acces-libre-10515.htm

Écrit par : codeX 4 Dec 2019, 08:38

Tu ne devrais pas te vanter d’avoir été religieux. C’est le genre de dogme qui attaque fort les neurones et qui laisse des traces de débilité même quand on a tout fait pour y échapper.

Sinon, à part ça, le 500éme plus gros se porte bien ?

Écrit par : downanotch 4 Dec 2019, 09:12

Apple utilise OpenSSH, pas libssh.

Écrit par : malhomme 4 Dec 2019, 09:36

Intéressant. mon smartphone est une clef obligatoire d'accès au réseau sécurisé de mon entreprise cliente par délivrance d'un token calculé.
Bon c'est pas non plus critique, c'est juste le secteur nucléaire d'une grande entreprise française d'électricité.

Écrit par : mirmidon 4 Dec 2019, 10:15

Si tu utilises maps.me tu n'as même plus besoin de te connecter, sauf pour faire les mises à jours (je n'en fais pas plus d'une par an)

Écrit par : zebigbug 4 Dec 2019, 10:33

La faille la plus importante sur Android c'est l'utilisateur qui accorde l’accès a ses contacts ou ses données à des applications comme la lampe de poche.
Sur coyote par exemple le logiciel gps demande un accès pour gérer les appels , j'ai posé la question , je n'ai jamais eu de réponses.
Pourquoi un avertisseur de danger doit il passer des appels ??
Hier une émission expliquait que sur android , on pouvait hacker le système via une fausse application , qui demandait de nombreux accès validés par l'utilisateur.

Mais personnellement je me marre aussi quand je vois des gens achetés des iphone 7
Smartphone Apple iPhone 7 Noir 32 GO 439,00€
Ecran compact 4,7" soit 11,9 cm
Stockage élevé 32 Go
Batterie standard 1960mAh
Mémoire RAM 2 Go

Smartphone Xiaomi Mi 9T Pro Noir 429
Ecran large 6,4" soit 16,25 cm
Stockage élevé 64 Go
Batterie très longue durée 4000mAh
Mémoire RAM 6 Go

vi vi moi aussi je me marre .

Oui mais l'iphone est mit à jour plus souvent , va t on me répondre...

Oui et non selon les marques , il existe des roms alternatives .

Mais est il si important que cela de mettre le téléphone a jour ?
Cette question , je me la pose sérieusement surtout en terme de sécurité.
Tous les piratages des téléphones sont du a des applications et leurs droits.
les failles sur les téléphones android ou Apple nécessite d'avoir un accès physique à l'appareil.

Si une personne a la réponse , j'apprécierais beaucoup

Écrit par : SartMatt 4 Dec 2019, 10:36

À priori, ce malware ne présente pas de risque à ce niveau là.

Tout d'abord, il ne permet pas de visualiser ce qui s'affiche sur l'écran du téléphone, il ne peut que récupérer une partie de ce qui est saisi, récupérer les SMS, les photos et certains autres fichiers. Dans l'application de génération de token de ta boîte, il pourra récupérer le mot de passe que tu saisis pour générer un token, et rien d'autre. Mais ce mot de passe est totalement inutile ailleurs que dans l'application installée sur ton téléphone.

Ensuite, quand bien même il arriverait à lire le token généré par l'application, par exemple s'il arrivait à déclencher un screenshot, le token fourni par l'application mobile ne suffit pas à se connecter au VPN, il faut aussi ton id d'employé, qui n'est pas renseigné dans l'application (donc pas accessible pour celui qui aurait éventuellement capturé ce que donne l'application*), et surtout, il faut que tu ais sur ton poste les certificats qui vont bien pour te connecter au VPN. En installant le même logiciel VPN sur un poste non fourni par la boîte, même en ayant tes identifiants, ça ne marchera pas (j'en connais qui ont essayé...).

* il peut par contre éventuellement le récupérer si tu le saisis dans une autre application de la boîte, qui passe par l'autre système d'authentification, celui où tu saisis ton identifiant d'employé et ton mot de passe. Mais pour ça il faut qu'il simule l'écran de connexion de ces applications, et là le risque en pratique est très faible : c'est un écran spécifique, avec le logo de la boîte, etc... Le pirate lambda qui cherche surtout à s'en mettre plein les poches en récupérant des infos bancaires, il va pas s'amuser à reproduire cet écran. Donc à moins d'une attaque vraiment très ciblée, il n'y a pas trop de risque. Et même face à une attaque ciblée, il faut quand même aussi que l'attaquant ait les certificats de la boîte pour la connexion VPN, et ça c'est pas sur le téléphone qu'il les récupérera, vu que le téléphone ne se connecte pas au VPN.

Écrit par : g4hd 4 Dec 2019, 11:04

Je fais plusieurs fois par mois des achats sur le net.
Au moment du paiement, si l'option PayPal existe, je la choisis.
En effet, c'est vraiment leur métier, les manipulations sont simples et franches, il y a un relevé d'achats et surtout : je n'ai jamais lu que PayPal ait été braqué… ce serait trop grave pour leur existence !

Mais souvent, c'est un paiement via une app cryptée et https où le choix est contraint CB ou Visa avec tous les numéros et même le code à 3 chiffres.
Ensuite, je dois valider avec un code aléatoire à retourner…
Bon ! Ce sont des sites ayant pignon sur rue, mais j'ai toujours une appréhension.

Selon vous, quelle meilleure alternative pour des achats sur le net ?

Écrit par : SartMatt 4 Dec 2019, 11:21

Le mieux, je pense que c'est d'utiliser des numéros de CB jetables. Si ta banque n'offre pas cette possibilité, il y a le service https://www.max.fr/ qui permet de le faire gratuitement. Bon, il y a toutefois un côté serpent qui se mord la queue si tu te fais piquer tes identifiants d'accès à l'application Max... Mais ces identifiants ne sont pas à saisir à chaque fois, une fois l'application configurée tu peux utiliser la biométrie, ce qui limite le risque de te les faire piquer.

Une autre solution peut être d'utiliser une carte sur laquelle tu peux bloquer/débloquer la carte à la volé, voire mieux, bloquer/débloquer le droit d'acheter sur Internet. Tu débloques, tu fais ton achat, tu rebloques. Mais du coup ça ne marche pas sur certains sites qui n'envoient pas la demande à la banque immédiatement... La plupart des néo-banques et banques en ligne offrent cette possibilité. Cette fonction est notamment disponible chez Max (blocage Internet et blocage hors France), chez Orange (blocage Internet et blocage global), Revolut (blocage global) et ING (blocage global). De mémoire, c'est aussi dispo chez Fortuneo, uniquement pour le blocage Internet.

L'idéal serait une application permettant de générer des CB jetables après une authentification "en dur", via une clé FIDO U2F, ou tout bêtement en lisant via NFC la CB physique. Le seul risque que je vois dans ce cas, c'est si le pirate intercepte le numéro jetable et arrive à l'utiliser avant que le commerçant ne l'ait utilisé... Pour ça l'étape suivante serait que chaque commerçant ait un identifiant de débiteur et qu'à la génération de la CB jetable tu renseignes cet identifiant, pour que la CB soit directement verrouillée sur ce débiteur, alors qu'actuellement une CB jetable est juste verrouillée sur le premier débiteur à l'utiliser (parfois même par verrouillée du tout, avec juste un plafond de débit).

Écrit par : Oncle Sophocle 4 Dec 2019, 11:46

Quand j'envoie ou reçois des SMS, mon téléphone n'est pas connecté (ni WiFi, ni BT, ni 4G) et je ne lis que les SMS émis par des personnes (famille, fournisseurs...) auxquelles je sais avoir donné mon n° de téléphone. Qu'est-ce que je risque ?

Écrit par : malhomme 4 Dec 2019, 12:00

Merci de tes explications didactiques et ton soin de les partager ici.

Écrit par : danyaile 4 Dec 2019, 15:25

La meilleure alternative selon moi : utiliser des cartes virtuelles à usage unique.
Malheureusement selon les banques leur usage est payant ou gratuit mais restreint à un certain nombre par mois.

Cordialement,

Écrit par : djdoxy 4 Dec 2019, 20:34

Ah ces banquiers... ils ne perdent par leur sale habitude de nous faire payer (à nous) les assurances qui les protegent (eux)
Quand on prend un crédit par exemple, c'est le client qui paie l'hypoteque... et sa levée!

En cas d'utilisation frauduleuse de votre carte bancaire (=sans votre signature, votre code confidentiel ou le code 3D Secure recu par texto) alors elle obligation de vous rembourser (sans que vous ayez à souscrire une quelconque assurance (articles L.133-18 et L.133-23 du Code monétaire et financier)

Écrit par : Tom25 5 Dec 2019, 00:03

J'espère avoir mal compris ce que j'ai lu plus haut. Je m'emporte contre les religions quand certains l'utilisent pour justifier des actes malveillants, mais traiter tous ceux qui ont la foi de décérébrer me choque.

Écrit par : zero 5 Dec 2019, 01:32

Oui, enfin, ça dépend où l'on achète. Il y a des sites où l'on peut acheter via un système comme Paypal par exemple. Ça protège mieux l'acheteur que ces "cartes" à usage unique.

Écrit par : SartMatt 5 Dec 2019, 09:39

En France, on est bien mieux protégé par une carte à usage unique que par PayPal : avec une carte à usage unique, tu bénéficies de la même protection légale que sur les CB. En cas de transaction frauduleuse, tu as juste à la contester, sans avoir à rien justifier, et la banque est obligée d'annuler l'opération, et c'est ensuite à elle d'éventuellement prouver que ta contestation n'était pas légitime. La banque doit annuler la transaction et toutes ses conséquences (si par exemple tu t'es retrouvé à découvert, même si c'était pas directement après cette opération, elle doit annuler les agios). Et ces CB à usage unique permettent aussi de s'assurer que le commerçant ne prélèvera pas plus que ce qu'il avait indiqué, ce qui n'est pas toujours le cas avec PayPal (PayPal propose différents modes de transactions, dans certains cas tu autorises le commerçant à émettre plusieurs prélèvements et sans limite de montant).

Avec PayPal, au mieux ils te remboursent juste la transaction frauduleuse, sans les éventuelles conséquences indirectes (découverts, etc...), avec un délai de remboursement plus long (une transaction CB, ça doit être immédiat... la fois où ça m'est arrivé, c'était annulé avant même que j'ai reçu l'accusé de réception de mon courrier), un délai de contestation plus court (tu n'as que 60 jours pour contester, contre 13 mois pour une CB). Et cerise sur le gâteau, ça passe par l'interface client de PayPal, ce qui fait que si ton compte PayPal a été volé et que tu n'y accèdes plus, ça devient très compliqué de contester...


Accessoirement, à la base la question que se posait g4hd est quelle est la meilleure alternative quand PayPal n'est pas proposé : https://forum.macbidouille.com/index.php?act=Post&CODE=02&f=8&t=414289&qpid=4302845
Donc la meilleure alternative à PayPal, c'est PayPal Comme quoi, y a pas que mes messages que tu lis pas avant de répondre...

Pour ceux qui trouveraient le message de g4hd trop long pour être lu, un petit résumé :

Écrit par : zero 6 Dec 2019, 01:58

J'utilise souvent PayPal pour faire des achats. Je paie la somme indiquée et on m'envoie l'achat une fois le paiement effectué. Le commerçant ne peut pas prélèver plus. J'ai parfois enclenché des litiges (on a 6 mois pour ça et non pas 60 jours!) parce que je n'ai rien reçu ou l'objet ne correspondait pas, j'ai été remboursé peu de temps après sans réel justification.

Écrit par : SartMatt 6 Dec 2019, 08:19

Encore une fois, ça dépend du mode de paiement PayPal utilisé... Il y a des modes (les plus souvent utilisés) où tu donnes ton autorisation pour une seule transaction et un montant précis, mais il y a aussi des modes qui permettent plusieurs transactions sans limite (utilisés notamment pour les paiements récurrents, mais je suis déjà tombé sur des cas où c'était utilisé pour du non récurrent... par exemple, là tout de suite, en consultant la liste de mes autorisations dans PayPal, je vois qu'en plus des sociétés auprès de qui j'ai des abonnements, j'ai des autorisations pour la Fnac, pour Epic Games, pour Steam, pour Microsoft... et autant je me rappelle l'avoir donnée pour les trois dernières, autant pour la première, je l'ai visiblement fait sans même m'en rendre compte...).

Après, le risque c'est aussi et surtout le risque de vol d'identifiants, et là là question du montant autorisé ou non ne se pose pas, celui qui a volé les identifiants donne les autorisations qu'il veut.

Je veux bien te croire sur parole. Mais le site de PayPal, il dit bien 60 jours : https://www.paypal.com/fr/webapps/mpp/security/suspicious-activity

"Vous avez 60 jours après la transaction pour nous signaler qu'il s'agit d'une transaction frauduleuse."

Et de toute façon, même 6 mois, ça reste une protection inférieure à celle de la CB, tout en étant une protection limitée au remboursement de la transaction et à la bonne volonté de PayPal, là où la protection sur la CB consiste en une annulation de la transaction, avec toutes ses conséquences directes et indirectes (précisément, la loi dit : "rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu") et sans délai ("immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant").

Écrit par : zero 6 Dec 2019, 10:07

SartMatt, tu réagis sur ce que tu as dis pas sur ce que j'ai dit. Je parle de litige à cause d'un achat qui s'est mal passé. Comme le l'ai dit, ça dépend où l'on achète (j'aurais dû mettre aussi "et de ce qu'on achète" spécialement pour toi.)
Sinon, pour un abonnement, je ne sais pas. J'en ai jamais pris avec PayPal et je ne savais pas qu'on pouvait le faire avec une carte à usage unique.

Écrit par : malhomme 6 Dec 2019, 10:31

Et c'est surtout théorique. Parfois quand ça arrive on est remboursé et parfois non (ça vient de m'arriver, vendeur injoignable, mais qui répond à paypal, cloture automatique du litige.

Écrit par : SartMatt 6 Dec 2019, 11:20

La base de la discussion, c'est le niveau de risque de différentes solutions de paiement en ligne, pas spécifiquement dans le cas d'un achat qui s'est mal passé, mais plutôt dans le cas d'un piratage. Je réponds donc de manière générale, sur la base de l'ensemble des possibilités qu'offre chaque solution. Parce que la fiabilité d'une solution se détermine d'après l'ensemble des possibilités qu'elle offre, pas uniquement d'après les cas particuliers qu'on a déjà utilisé... Si PayPal offre la possibilité de faire des prélèvements récurrents, le fait que toi, dans ton usage de PayPal, tu ne sois jamais tombé sur un commerçant utilisant cette possibilité, ça ne rend pas pour autant cette possibilité inexistante dans PayPal, donc elle doit tout de même être prise en compte.

J'ai pas dit que les autorisations multiples sous PayPal sont uniquement pour les abonnements. J'ai même bien dit que j'ai au moins 4 exemples de cas où c'est utilisé pour autre chose que des abonnements (Fnac, Epic, Steam et Microsoft, 4 commerçants auprès desquels je n'ai jamais souscrit à un abonnement), donc un où je me suis même pas rendu compte que je donnais une autorisation multiple (Fnac, les 3 autres c'est volontaire, j'ai lié mon compte PayPal à mes comptes Epic, Steam et Microsoft pour les achats dans leurs boutiques). J'ai l'impression que dans le cas de la Fnac c'est systématique à chaque fois qu'on règle via PayPal, parce que j'avais déjà révoqué l'autorisation par le passé, et elle est revenue...

Quand aux cartes jetables (et non pas à usage unique...), elles permettent en général les abonnements, car elles sont limitées à un plafond et à une durée de validité (par exemple, avec Max, on peut créer une carte jetable valable de 1 mois à 2 ans), pas à un nombre de transaction (par contre, en général toutes les transactions doivent venir du même débiteur, ce qui sécurise, puisque si le numéro est volé, un autre débiteur ne pourra pas l'utiliser). Et le fait d'avoir ce plafond permet de bloquer les utilisations multiples qu'on aurait autorisé sans s'en rendre compte : si je fais un achat de 50€ à la Fnac avec une carte que j'ai plafonnée à 50€, même si je donne sans m'en rendre compte l'autorisation à la Fnac de conserver les infos de paiement et de refaire des débits ultérieurement, en pratique elle ne pourra pas le faire. Alors qu'avec PayPal, elle peut.
La Fnac étant à priori honnête, elle ne va bien entendu pas me faire des débits en douce sans que je demande rien, donc à ce niveau il n'y a pas de risque. Par contre si quelqu'un pirate mon compte Fnac, avec l'autorisation PayPal il va pouvoir faire des achats à mes frais, alors que si j'avais payé avec une carte jetable il ne pourrait pas.

Écrit par : zero 6 Dec 2019, 12:56

Par contre mon message si.
Il n'est pas impossible que Paypal soit piraté mais si on y met que la somme pour les achats à faire. Il n'y aura pas de transaction si il n'y a pas de provision. Le risque est faible donc.


Moi, non plus.

Écrit par : SartMatt 6 Dec 2019, 15:41

Avec l'alimentation qui n'est possible que par virement bancaire, et avec les délais que ça implique, ça veut dire que tu dois faire ton panier, regarder le montant, lancer le virement et attendre qu'il arrive chez PayPal avant de pouvoir enfin valider ton achat... Pas pratique du tout, surtout avec le commerces d'aujourd'hui qui fonctionne beaucoup par ventes flash et avec des prix qui sont actualisés très régulièrement...

À moins que ça fonctionne différemment selon les pays ou les comptes (mon compte, je pouvais l'alimenter par CB à une époque, et c'était instantané... mais ça fait très longtemps que ce n'est plus possible, probablement à cause des différents détournements que ça permettait : utilisation d'une CB volée pour alimenter le compte, réception de paiement de tiers via leur CB pour contourner les frais de paiement PayPal, alimentation du compte pour profiter du cashback d'une CB, etc...).