Apple Watch : Apple désactive l'application Walkie-Talkie à cause d'un problème de sécurité

Apple Watch : Apple désactive l'application Walkie-Talkie à cause d'un problème de sécurité, Réactions à la publication du 11/07/2019

Lionel Voir le profil	11 Jul 2019, 13:07 Message #1
BIDOUILLE Guru Groupe : Admin Messages : 55 339 Inscrit : 14 Jan 2001 Lieu : Paris Membre n^o 3	Apple a désactivé dans l'urgence l'application Walkie-Talkie disponible pour les Apple Watch et permettant d'échanger entre deux montres. Une faille de sécurité a été découverte. Elle permet de déclencher une conversation sans que l'utilisateur de la montre n'ait à l'accepter. En résumé, n'importe quelle Apple Watch peut devenir un micro espion à l'insu de son utilisateur. Dans un communiqué Apple annonce qu'elle rétablira la fonction aussi vite que possible, mais qu'à sa connaissance elle n'a pas été exploitée par des personnes malveillantes. En tout cas, cette faille était grave. C'est d'autant plus ennuyeux que la société ne cesse de communiquer sur la sécurité de ses produits et des données de ses clients. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con

Réponse(s)

arnobacle Voir le profil	11 Jul 2019, 21:59 Message #2
Macbidouilleur d'argent ! Groupe : Membres Messages : 568 Inscrit : 11 Sep 2004 Lieu : Triel/Seine Membre n^o 23 457	J'ai vu tellement d'effet "bizarre" de bug logiciel dans près de 40 ans de frottement aux systèmes logiciels que je ne suis plus étonné de rien ! Tu as peut-être raison sur ce point, faudrait voir le code, mais ma réaction était plus générale que sur ce sujet particulier, sitôt qu'un truc louche sur la sécurité arrive, on tombe dans le pseudo-complot, et ça, je pense que ça fausse la réalité et dessert le débat...

iAPX Voir le profil	11 Jul 2019, 22:14 Message #3
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 382 Inscrit : 4 Jan 2006 Lieu : dtq Membre n^o 52 877	Citation (arnobacle @ 11 Jul 2019, 16:59) J'ai vu tellement d'effet "bizarre" de bug logiciel dans près de 40 ans de frottement aux systèmes logiciels que je ne suis plus étonné de rien ! Tu as peut-être raison sur ce point, faudrait voir le code, mais ma réaction était plus générale que sur ce sujet particulier, sitôt qu'un truc louche sur la sécurité arrive, on tombe dans le pseudo-complot, et ça, je pense que ça fausse la réalité et dessert le débat... Ça n'a rien de "louche", c'est que ce que des gouvernements étrangers (aux USA) demandent, comme l'Australie par exemple, et il se trouve que le comportement est déjà parfaitement implémenté: on peut appeler cela un hasard, parler de bug, mais ça marche si bien et sur différentes plateformes que... Au passage il se trouve que je connais un peu la cryptographie (voir plus haut pour l'explication du fonctionnement du système), même un peu "chercheur en sécurité" avec un exploit publique très lourd sur MySQL en dehors de tout ce qui n'est pas publique. Mais @malloc et @Marc_OS vont expliquer qu'il faut des preuves avec des liens sur des pages nowhere sur Internet, sans pouvoir eux-même s'appliquer cette même norme (je les attends ) Ce message a été modifié par iAPX - 11 Jul 2019, 22:46. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!

chombier Voir le profil	12 Jul 2019, 20:57 Message #4
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 580 Inscrit : 20 Mar 2003 Membre n^o 6 765	Citation (iAPX @ 11 Jul 2019, 22:14) [...] Au passage il se trouve que je connais un peu la cryptographie (voir plus haut pour l'explication du fonctionnement du système [...] Tu connais un peu, mais lorsque tu expliques, tu déchiffres un message avec la clé publique de l'émetteur ? -------------------- késtananafout' (:

iAPX Voir le profil	12 Jul 2019, 21:00 Message #5
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 382 Inscrit : 4 Jan 2006 Lieu : dtq Membre n^o 52 877	Citation (chombier @ 12 Jul 2019, 15:57) Citation (iAPX @ 11 Jul 2019, 22:14) [...] Au passage il se trouve que je connais un peu la cryptographie (voir plus haut pour l'explication du fonctionnement du système [...] Tu connais un peu, mais lorsque tu expliques, tu déchiffres un message avec la clé publique de l'émetteur ? Oui, c'est une des étapes! Celle-là est l'authentification de l'Émetteur, puisque seul celui-ci peut avoir chiffré la clé "AuthenticatedKey" avec sa clé privé, prouvant ainsi sans-équivoque son identité. La précédente consiste à déchiffrer la clé de l'émetteur via sa clé privée (que seul le récepteur peut faire), c'est là où se trouve ce qu'on appelle couramment le "chiffrement", bien que ça soit le chiffrement d'une clé de chiffrement/déchiffrement symétrique. Sans cette étape n'importe qui pourrait chiffrer n'importe quoi avec la clé publique du destinataire en se faisant passer pour l'émetteur, c'est pour cela qu'aussi surprenante qu'elle soit à première vue, elle est indispensable! Pour résumer, pour pouvoir déchiffrer la clé permettant d'accéder au message, il faut qu'elle ai été chiffrée avec la clé publique du destinataire (seul lui peut le faire) et aussi avec la clé privée de l'émetteur, authentifiant l'émetteur et ne donnant accès qu'au destinataire. Ce message a été modifié par iAPX - 12 Jul 2019, 21:09. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!

chombier Voir le profil	12 Jul 2019, 21:05 Message #6
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 580 Inscrit : 20 Mar 2003 Membre n^o 6 765	Citation (iAPX @ 12 Jul 2019, 21:00) Citation (chombier @ 12 Jul 2019, 15:57) Citation (iAPX @ 11 Jul 2019, 22:14) [...] Au passage il se trouve que je connais un peu la cryptographie (voir plus haut pour l'explication du fonctionnement du système [...] Tu connais un peu, mais lorsque tu expliques, tu déchiffres un message avec la clé publique de l'émetteur ? Oui, c'est une des étapes! Celle-là est l'authentification de l'Émetteur, puisque seul celui-ci peut avoir chiffré la clé "AuthenticatedKey" avec sa clé privé, prouvant ainsi sans-équivoque son identité. La précédente consiste à déchiffrer la clé de l'émetteur via sa clé privée (que seul le récepteur peut faire), c'est là où se trouve ce qu'on appelle couramment le "chiffrement", bien que ça soit le chiffrement d'une clé de chiffrement/déchiffrement symétrique. Mais tu te rends compte que TOUT LE MONDE a accès à cette clé publique, et que ça ne sert à rien pour "déchiffrer" ? ou pas du tout ? Ce message a été modifié par chombier - 12 Jul 2019, 21:07. -------------------- késtananafout' (:

iAPX Voir le profil	12 Jul 2019, 21:11 Message #7
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 382 Inscrit : 4 Jan 2006 Lieu : dtq Membre n^o 52 877	Citation (chombier @ 12 Jul 2019, 16:05) Citation (iAPX @ 12 Jul 2019, 21:00) Citation (chombier @ 12 Jul 2019, 15:57) Citation (iAPX @ 11 Jul 2019, 22:14) [...] Au passage il se trouve que je connais un peu la cryptographie (voir plus haut pour l'explication du fonctionnement du système [...] Tu connais un peu, mais lorsque tu expliques, tu déchiffres un message avec la clé publique de l'émetteur ? Oui, c'est une des étapes! Celle-là est l'authentification de l'Émetteur, puisque seul celui-ci peut avoir chiffré la clé "AuthenticatedKey" avec sa clé privé, prouvant ainsi sans-équivoque son identité. La précédente consiste à déchiffrer la clé de l'émetteur via sa clé privée (que seul le récepteur peut faire), c'est là où se trouve ce qu'on appelle couramment le "chiffrement", bien que ça soit le chiffrement d'une clé de chiffrement/déchiffrement symétrique. Mais tu te rends compte que TOUT LE MONDE a accès à cette clé publique, et que ça ne sert à rien pour "déchiffrer" ? ou pas du tout ? Mais si, seul l'émetteur peut avoir chiffré la clé avec sa clé privée: ça authentifie la provenance du message. C'est pour ça que ça doit être fait avec la clé publique (connu de tous) de l'émetteur! Et il s'agit d'une action de déchiffrement de clé et non de message, prenant en entrée la clé déjà déchiffrée par le destinataire (avec sa propre clé privée) et à laquelle seul lui a accès. Ce message a été modifié par iAPX - 12 Jul 2019, 21:12. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!

chombier Voir le profil	12 Jul 2019, 21:20 Message #8
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 580 Inscrit : 20 Mar 2003 Membre n^o 6 765	Citation (iAPX @ 12 Jul 2019, 21:11) Et il s'agit d'une action de déchiffrement de clé et non de message, prenant en entrée la clé déjà déchiffrée par le destinataire (avec sa propre clé privée) et à laquelle seul lui a accès. Qu'il s'agisse de déchiffrer des clés ou des messages ne change rien à la faille. Une clé publique est, par définition, publique... S'en servir pour déchiffrer est totalement inutile. Voire stupide. Moi, perso, j'achète pas ton bidule. -------------------- késtananafout' (:

iAPX Voir le profil	12 Jul 2019, 21:23 Message #9
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 382 Inscrit : 4 Jan 2006 Lieu : dtq Membre n^o 52 877	Citation (chombier @ 12 Jul 2019, 16:20) Citation (iAPX @ 12 Jul 2019, 21:11) Et il s'agit d'une action de déchiffrement de clé et non de message, prenant en entrée la clé déjà déchiffrée par le destinataire (avec sa propre clé privée) et à laquelle seul lui a accès. Qu'il s'agisse de déchiffrer des clés ou des messages ne change rien à la faille. Une clé publique est, par définition, publique... S'en servir pour déchiffrer est totalement inutile. Voire stupide. Moi, perso, j'achète pas ton bidule. Qui peux chiffrer avec sa clé privée quelque-chose alors déchiffrable avec sa propre clé publique, connu de tous? Uniquement le possesseur de la clé privé. Ça authentifie non-équivoquement le processus. Ce message a été modifié par iAPX - 12 Jul 2019, 21:24. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!

chombier Voir le profil	12 Jul 2019, 21:30 Message #10
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 580 Inscrit : 20 Mar 2003 Membre n^o 6 765	Citation (iAPX @ 12 Jul 2019, 21:23) Qui peux chiffrer avec sa clé privée quelque-chose alors déchiffrable avec sa propre clé publique, connu de tous? Uniquement le possesseur de la clé privé. Ça authentifie non-équivoquement le processus. On ne "chiffre" pas un message avec une clé privée, mais avec la clé publique du destinataire... On "signe" un message avec sa propre clé privée, et le destinataire vérifie son authenticité avec la clé publique de l'émetteur. signé: chombier, pas expert du tout... -------------------- késtananafout' (:

iAPX Voir le profil	12 Jul 2019, 21:35 Message #11
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 382 Inscrit : 4 Jan 2006 Lieu : dtq Membre n^o 52 877	Citation (chombier @ 12 Jul 2019, 16:30) Citation (iAPX @ 12 Jul 2019, 21:23) Qui peux chiffrer avec sa clé privée quelque-chose alors déchiffrable avec sa propre clé publique, connu de tous? Uniquement le possesseur de la clé privé. Ça authentifie non-équivoquement le processus. On ne "chiffre" pas un message avec une clé privée, mais avec la clé publique du destinataire... On "signe" un message avec sa propre clé privée, et le destinataire vérifie son authenticité avec la clé publique de l'émetteur. signé: chombier, pas expert du tout... Ah je comprends mieux! Ce que tu appelles "signer" est en fait un chiffrement comme un autre, qui est effectivement fait avec la clé privée de l'émetteur pour l'authentifier et vérifiable grâce à sa clé publique (sa spécificité). Pour ça que j'appelle ça "chiffrer" car techniquement c'est un chiffrement, et que tu appelles ça "signer" puisque ce chiffrement permet de signer. La raison pour laquelle je n'appelle pas cela "signer" est qu'il y a différentes techniques permettant de signer des échanges (ou de s'authentifier), toutes étant dans la cryptographie mais pas nécessairement des chiffrements, un exemple étant l'usage de courbes elliptiques. Ce message a été modifié par iAPX - 12 Jul 2019, 21:42. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!

chombier Voir le profil	12 Jul 2019, 21:41 Message #12
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 580 Inscrit : 20 Mar 2003 Membre n^o 6 765	Citation (iAPX @ 12 Jul 2019, 21:35) Citation (chombier @ 12 Jul 2019, 16:30) Citation (iAPX @ 12 Jul 2019, 21:23) Qui peux chiffrer avec sa clé privée quelque-chose alors déchiffrable avec sa propre clé publique, connu de tous? Uniquement le possesseur de la clé privé. Ça authentifie non-équivoquement le processus. On ne "chiffre" pas un message avec une clé privée, mais avec la clé publique du destinataire... On "signe" un message avec sa propre clé privée, et le destinataire vérifie son authenticité avec la clé publique de l'émetteur. signé: chombier, pas expert du tout... Ah je comprends mieux! Ce que tu appelles "signer" est en fait un chiffrement comme un autre, qui est effectivement fait avec la clé privée de l'émetteur pour l'authentifier et vérifiable grâce à sa clé publique (sa spécificité). Pour ça que j'appelle ça "chiffrer" car techniquement c'est un chiffrement, et que tu appelles ça "signer" puisque ce chiffrement permet de signer. Nan. chiffrer, c'est chiffrer, et signer, c'est signer. Ce que j'appelle "chiffrer", bah c'est chiffrer. En anglais, dans de nombreuses RFC, c'est le "cipher". Ce que j'appelle "signer", bah c'est s'authentifier. En anglais, dans de nombreuses RFC, c'est le "MAC". Et là, tu t'es clairement mélangé les pinceaux. -------------------- késtananafout' (:

Les messages de ce sujet

Lionel Apple Watch : Apple désactive l'application Walkie-Talkie à cause d'un problème de sécurité 11 Jul 2019, 13:07

otto87 Au moins, c'est franc du collier avec réactio... 11 Jul 2019, 13:57

Lionel Citation (otto87 @ 11 Jul 2019, 13:57) Au... 11 Jul 2019, 14:06

captaindid Citation (otto87 @ 11 Jul 2019, 13:57) Au... 11 Jul 2019, 16:06

Xample Avec facetime et zoom ça fait quand même la 3e f... 11 Jul 2019, 14:20

Lionel Citation (Xample @ 11 Jul 2019, 14:20) Av... 11 Jul 2019, 14:59

iAPX Citation (Lionel @ 11 Jul 2019, 09:59) Ci... 11 Jul 2019, 18:55

chombier Citation (iAPX @ 11 Jul 2019, 18:55) Le d... 11 Jul 2019, 20:30

linus Citation (Lionel @ 11 Jul 2019, 15:59) Ci... 11 Jul 2019, 21:08

JayTouCon Citation (linus @ 11 Jul 2019, 21:08) Cit... 11 Jul 2019, 22:05

EricDu Citation (Lionel @ 11 Jul 2019, 08:59) Je... 11 Jul 2019, 23:56

iAPX Citation (Lionel @ 11 Jul 2019, 08:07) ..... 11 Jul 2019, 14:47

marc_os Citation (Lionel @ 11 Jul 2019, 13:07) En... 11 Jul 2019, 16:07

vlady Citation (marc_os @ 11 Jul 2019, 16:07) C... 11 Jul 2019, 18:12

Lionel Citation (marc_os @ 11 Jul 2019, 16:07) C... 12 Jul 2019, 07:23

zero Citation (marc_os @ 12 Jul 2019, 00:07) D... 13 Jul 2019, 04:45

JayTouCon Et quand on sait que la montre collecte des donné... 11 Jul 2019, 17:12

otto87 En même temps, existe-t-il encore des gens avec u... 11 Jul 2019, 19:11

arnobacle Citation (otto87 @ 11 Jul 2019, 19:11) En... 11 Jul 2019, 21:37

iAPX Citation (arnobacle @ 11 Jul 2019, 16:37)... 11 Jul 2019, 21:44

flan Citation (iAPX @ 11 Jul 2019, 21:44) le s... 12 Jul 2019, 05:39

iAPX Citation (flan @ 12 Jul 2019, 00:39) Cita... 12 Jul 2019, 13:16

flan Citation (iAPX @ 12 Jul 2019, 13:16) Cita... 12 Jul 2019, 18:01

iAPX Citation (flan @ 12 Jul 2019, 13:01) Cita... 12 Jul 2019, 20:41

flan Citation (iAPX @ 12 Jul 2019, 20:41) ... 13 Jul 2019, 06:37

chombier Citation (flan @ 13 Jul 2019, 06:37) Cita... 15 Jul 2019, 21:26

arnobacle J'ai vu tellement d'effet "bizarre... 11 Jul 2019, 21:59

iAPX Citation (arnobacle @ 11 Jul 2019, 16:59)... 11 Jul 2019, 22:14

chombier Citation (iAPX @ 11 Jul 2019, 22:14) [...... 12 Jul 2019, 20:57

iAPX Citation (chombier @ 12 Jul 2019, 15:57) ... 12 Jul 2019, 21:00

chombier Citation (iAPX @ 12 Jul 2019, 21:00) Cita... 12 Jul 2019, 21:05

iAPX Citation (chombier @ 12 Jul 2019, 16:05) ... 12 Jul 2019, 21:11

chombier Citation (iAPX @ 12 Jul 2019, 21:11) Et i... 12 Jul 2019, 21:20

iAPX Citation (chombier @ 12 Jul 2019, 16:20) ... 12 Jul 2019, 21:23

chombier Citation (iAPX @ 12 Jul 2019, 21:23) Qui ... 12 Jul 2019, 21:30

iAPX Citation (chombier @ 12 Jul 2019, 16:30) ... 12 Jul 2019, 21:35

chombier Citation (iAPX @ 12 Jul 2019, 21:35) Cita... 12 Jul 2019, 21:41

iAPX Citation (chombier @ 12 Jul 2019, 16:41) ... 12 Jul 2019, 21:47

chombier Citation (iAPX @ 12 Jul 2019, 21:47) Un M... 12 Jul 2019, 21:54

iAPX Citation (chombier @ 12 Jul 2019, 16:54) ... 12 Jul 2019, 21:58

chombier Citation (iAPX @ 12 Jul 2019, 21:58) C... 12 Jul 2019, 23:24

iAPX Citation (chombier @ 12 Jul 2019, 18:24) ... 12 Jul 2019, 23:54

chombier Citation (iAPX @ 12 Jul 2019, 23:54) Et d... 13 Jul 2019, 00:01

otto87 @rnobacle Les erreurs de codes sont humaines comme... 12 Jul 2019, 00:46

cyril1 Dommage ! Certainement la meilleure fonction d... 12 Jul 2019, 06:43

VSD Une faille peut en cacher une aitre ...c'est b... 12 Jul 2019, 06:44

iAPX Je vais en rajouter une couche sur les signatures:... 13 Jul 2019, 00:21

chombier Citation (iAPX @ 13 Jul 2019, 00:21) Je v... 13 Jul 2019, 00:39

iAPX Citation (chombier @ 12 Jul 2019, 19:39) ... 13 Jul 2019, 00:48

chombier Citation (iAPX @ 13 Jul 2019, 00:48) Je n... 13 Jul 2019, 00:57

iAPX Citation (chombier @ 12 Jul 2019, 19:57) ... 13 Jul 2019, 00:59

« Sujets plus anciens · Macbidouille Articles & News : Vos Réactions · Sujets plus récents »

1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))

0 membre(s) :