Une attaque particulièrement bien ficelée cible les cartes SIM des téléphones mobiles, Réactions à la publication du 13/09/2019

[Lionel]

Des chercheurs en sécurité ont annoncé une nouvelle procédure de piratage visant directement les cartes SIM des mobiles et leur micro-logiciel intégré.

Ce type d'attaque est donc indépendant du type de smartphone utilisé et fonctionne au moins en partie sur tous les modèles.
L'attaque utilise des systèmes mis en place par les opérateurs pour communiquer directement avec leurs cartes SIM et pouvoir y mettre à jour certaines informations.

Dans la pratique, les pirates peuvent, en envoyant un SMS spécialement formaté au smartphone, accéder directement au contenu de la carte SIM et récupérer des informations comme la localisation de la puce ou encore le numéro identifiant unique de la puce.
Sur certains smartphone ne demandant pas la confirmation en cas d'appel déclenché, les pirates peuvent lancer des appels ou envoyer des messages.

La faille est activement exploitée, mais de manière ciblée, comme si les pirates et leurs commanditaires l'utilisaient pour tracer certaines personnes.
La faille ne fonctionnerait toutefois pas chez tous les opérateurs. Les principaux aux Etats-Unis ont déclaré ne pas être touchés. Il y aurait 30 pays touchés, pour un total de 1 milliard de personnes potentiellement concernées.

S'il n'était pas à visée malfaisante, on pourrait admirer le génie dont font maintenant preuve les équipes de pirates qui inlassablement traquent méthodiquement toutes les failles potentielles et mêmes celles que l'on n'aurait pu imaginer exister. Les temps sont durs pour le commun des mortels, probablement à un niveau historique, une époque où il n'est plus possible d'avoir une totale confiance dans un équipement connecté. Or, ils sont toujours plus nombreux.

Lien vers le billet original

[labon]

Waow. Et ce n’est pas un 1er avril !!!
Quid des e-sim ?
Bon après, si ce n’est pas cette faille, c’en est une autre, par principe.

[raoulito]

Je laisse iApx expliquer qu'on a jamais ete en sécurité, la différence c'est que now ya des gens dont le boulot est de trouver et publier les failles..
Encore un "c'etait mieux avant" bidon...

[g4hd]

Comment peut-on savoir si, oui, on est touché… ?

Par exemple, j’ai reçu plusieurs fois un mail phishing qui utilise précisément le masque de mon FAI, orange.

[TERRY]

Ça, et le fameux Sim-Swapping, ça commence à devenir anxiogène de recevoir un SMS...

[marc_os]

Sur certains smartphone ne demandant pas la confirmation en cas d'appel déclenché, les pirates peuvent lancer des appels ou envoyer des messages.
[...]
La faille ne fonctionnerait toutefois pas chez tous les opérateurs. Les principaux aux Etats-Unis ont déclaré ne pas être touchés. Il y aurait 30 pays touchés, pour un total de 1 milliard de personnes potentiellement impactées.

30 pays touchés et moi et moi.
Et nous en France ? Pas de déclaration ?

Et qu'en est-il des iPhone ?
Quels sont ces « certains smartphones » ?

Ce message a été modifié par marc_os - 13 Sep 2019, 10:26.

[Fafnir]

Il vaut mieux que ces failles apparaissent maintenant que lorsque la 5G sera déployé notamment avec les véhicules autonome.D'autre part est ce que iOS 13 change la donne?

[Ze Clubbeur]

Et qu'en est-il des iPhone ?
Quels sont ces « certains smartphones » ?

Relis la news
C'est la SIM qui est touchée donc, iPhone, Windows Phone ou encore Anddroïd phone, même combat.

[Pixelux]

La sécurité en informatique. C'est un désastre absolument gigantesque.

Je ne me souviens plus qui ici parlait que de ce faire greffé une puce électronique au cerveau en disant que c'était pas vraiment une bonne idée... Ce gars-là à parfaitement raison.

Et le silence de la presse à ce sujet est vraiment très éloquent. Je me demande quand les gens vont se réveiller ?

Ce message a été modifié par Pixelux - 13 Sep 2019, 11:13.

[bwaje]

Comment peut-on savoir si, oui, on est touché… ?

Par exemple, j’ai reçu plusieurs fois un mail phishing qui utilise précisément le masque de mon FAI, orange.

Là il s'agit de SMS, donc pas de formatage spécial qui puisse imiter une communication officielle, de plus les entreprises communiquent rarement via SMS.

[zero]

Il vaut mieux que ces failles apparaissent maintenant que lorsque la 5G sera déployé notamment avec les véhicules autonome.

Ce genre de "failles" seront certainement présentes les autorités y travaillent et avant c'était plus simple.

Ce message a été modifié par zero - 13 Sep 2019, 11:24.

[_Panta]

j'ai vu récemment un documentaire sur les vulnérabilité des API (Automate Programmable Industriel, en anglais Programmable Logic Controller, PLC), c'est la fête du slip - En gros tous ce qui contrôle les machines automate sur des réseaux de tout type, eau, électricité, gaz, le materiel de tout type de centrales, hydraulique à nucléaire etc sont pire que tous au niveaux sécuritaires car jamais pensé pour avant une date relativement récente . Donc au mieux c'est repensé par les grosses boites, soit c'est patché n'importe comment, ou laissé en l'état car on peut rien y faire . :fear:

Ce message a été modifié par _Panta - 13 Sep 2019, 11:44.

[iAPX]

Il vaut mieux que ces failles apparaissent maintenant que lorsque la 5G sera déployé notamment avec les véhicules autonome.

Ce genre de "failles" seront certainement présentes les autorités y travaillent et avant c'était plus simple.

Effectivement, la complexité étant la mère de tous les vices et celle-ci est exponentielle sur nos appareils.

La qualité logicielle a énormément progressé, avec moins de bugs par millions de ligne de code (et du code de plus haut-niveau), mais bien moins vite que le nombre total de lignes ainsi que la complexité amené par les communications entre processus et systèmes asynchrones.
La multiplication des ordinateurs (au sens original) dans nos appareils compliquant évidemment les choses, même dans les smartphone puisque le Modem et la puce SIM en sont aussi.

C'était plus sûr avant, mais on faisait bien moins de choses et avec très peu de lignes de code: la course aux fonctionnalités (le confort) tue la possibilité de sécuriser.

[Pixelux]

Je n'ai pas tellement de connaissances technique en sécurité.

En vous lisant, je me demande si c'est encore possible de faire la guerre de nos jours ?

En terme de lutte de pouvoir de conflit ?

A votre avis : quel sont les implications ?

Ce message a été modifié par Pixelux - 13 Sep 2019, 12:05.

[iAPX]

...
En vous lisant, je me demande si c'est encore possible de faire la guerre de nos jours ?
...

En fait on est tous en guerre, au quotidien, le grand-public ne la voit pas sauf lorsque des escarmouches la rende apparente mais c'est juste le sommet de l'iceberg.

Une partie de celle-ci sert d'ailleurs à déstabiliser l'opinion publique, les attaques par Ransomware par exemple n'étant plus uniquement le fait d'acteurs isolés ou de petits groupes, certaines me paraissant très suspectes car probablement venu d'acteurs gouvernementaux dont le but n'est pas de retirer de l'argent mais de paralyser et de désorganiser!

Ce message a été modifié par iAPX - 13 Sep 2019, 12:32.

[_Panta]

L'attaque sur les équipements des centrales iranienne est bien un acte de guerre, en tout cas il a été perçu comme ça - le virus faisait tourner les centrifugeuses a 40.000 Hertz, ou 2 Hertz, au lieu de 1000, ce qui en a explosé physiquement des centaines; C'était tellement vicieux, que le trojan, Stuxnet, avait enregistré une memoire cache de 1 mois d'activité normale avant d'attaquer, et balançait donc cette copie du mois precedent sur le systeme qui du coup de voyait pas les machines s'emballer

[bwaje]

j'ai vu récemment un documentaire sur les vulnérabilité des API (Automate Programmable Industriel, en anglais Programmable Logic Controller, PLC), c'est la fête du slip - En gros tous ce qui contrôle les machines automate sur des réseaux de tout type, eau, électricité, gaz, le materiel de tout type de centrales, hydraulique à nucléaire etc sont pire que tous au niveaux sécuritaires car jamais pensé pour avant une date relativement récente . Donc au mieux c'est repensé par les grosses boites, soit c'est patché n'importe comment, ou laissé en l'état car on peut rien y faire . :fear:

Aux USA il y a déjà eu par le passé des attaques contre des centrales de production d'électricité, des barrages par exemple...

[_Panta]

j'ai vu récemment un documentaire sur les vulnérabilité des API (Automate Programmable Industriel, en anglais Programmable Logic Controller, PLC), c'est la fête du slip - En gros tous ce qui contrôle les machines automate sur des réseaux de tout type, eau, électricité, gaz, le materiel de tout type de centrales, hydraulique à nucléaire etc sont pire que tous au niveaux sécuritaires car jamais pensé pour avant une date relativement récente . Donc au mieux c'est repensé par les grosses boites, soit c'est patché n'importe comment, ou laissé en l'état car on peut rien y faire . :fear:

Aux USA il y a déjà eu par le passé des attaques contre des centrales de production d'électricité, des barrages par exemple...

Yep, attaques sur des API obsoletes, la Californie est passé proche du black-out

[Guest_Neutral_ch_*]

Hum, c'est pas nouveau, par le passé il y avait un exploit quasi identique sur plus de 1/4 de sim existante sur la marché mondiale. Il me semble à l'époque dû a un algorithme de sécurité sur ces dernières datant des années 70"..

[marc_os]

Et qu'en est-il des iPhone ?
Quels sont ces « certains smartphones » ?

Relis la news
C'est la SIM qui est touchée donc, iPhone, Windows Phone ou encore Anddroïd phone, même combat.

Relis la partie de mon message que tu as supprimée de ta réponse, celle où je cite Lionel.
Peut-être, peut-être alors comprendras-tu alors ma question.

La faille ne fonctionnerait toutefois pas chez tous les opérateurs. Les principaux aux Etats-Unis ont déclaré ne pas être touchés. Il y aurait 30 pays touchés, pour un total de 1 milliard de personnes potentiellement impactées.

Quelle est la position d'Orange ?

Ah s'il y avait des journalistes d'investigation pour poser des questions...

[linus]

Je laisse iApx expliquer qu'on a jamais ete en sécurité, la différence c'est que now ya des gens dont le boulot est de trouver et publier les failles..
Encore un "c'etait mieux avant" bidon...

Avant il y avait des comptables dont certains pouvaient être malhonnêtes, maintenant il y a des gens dont le boulot est clairement de truquer les comptes et qui ont fait des écoles pour ça (optimisation fiscale, etc.)
Avant il y avait des commerçants dont certains pouvaient être malhonnêtes, maintenant le boulot d'un commercial est de savoir exactement comme voler son client, c'est-à-dire comment l'amener à vouloir n'importe quoi (surtout inutile comme un gros SUV en ville) et à truquer le produit (dieselgate par exemple).
Avant c'était pareil mais juste beaucoup plus artisanal. Ce qui a changé c'est que si avant ce type de comportement était le fait d'individus maintenant il y a des écoles pour cela et on forme énormément de gens intelligents a des boulots qui vont dans ce sens que chacun dit détester mais que chacun pratique (plus ou moins) et est également victime.
Le fils d'un ami m'a rapporté que son premier cours en école de commerce a été "Ici la morale n'a pas de place. Si vous avez des états d'âmes moraux, sortez et ne revenez pas."

[chombier]

Le fils d'un ami m'a rapporté que son premier cours en école de commerce a été "Ici la morale n'a pas de place. Si vous avez des états d'âmes moraux, sortez et ne revenez pas."

Avant, il y avait Dante Alighieri et l'Enfer.

Vous qui entrez ici, abandonnez toute espérance

[ades]

deux contributions intelligentes de suite, ça sent le miracle, pourtant… un vendredi 13 …

ps : naturellement je ne voulais pas dire du mal des autres…

[iSpeed]

Tout ça me fait rigoler. Il y a bien longtemps qu'on nous surveillent. Toutes les caméras qui sont placées notamment dans les aéroports sont bien pratique pour constituer une BD mondiale. Nos systèmes informatiques sont de vrais gruyère

[chombier]

je ne voulais pas dire du mal des autres…

L'enfer, c'est les autres

[baron]

L'enfer, c'est les autres

Les autres seraient donc pavés de bonnes intentions ?

[chombier]

L'enfer, c'est les autres

Les autres seraient donc pavés de bonnes intentions ?

Alors pour ce qui concerne la carte SIM, j'ai un doute...

D'ailleurs, qu'en disent les vrais journalistes d'investigation ? Lionel ? Un avis pour marc_os ?

[martremblay]

Je laisse iApx expliquer qu'on a jamais ete en sécurité, la différence c'est que now ya des gens dont le boulot est de trouver et publier les failles..
Encore un "c'etait mieux avant" bidon...

Avant il y avait des comptables dont certains pouvaient être malhonnêtes, maintenant il y a des gens dont le boulot est clairement de truquer les comptes et qui ont fait des écoles pour ça (optimisation fiscale, etc.)
Avant il y avait des commerçants dont certains pouvaient être malhonnêtes, maintenant le boulot d'un commercial est de savoir exactement comme voler son client, c'est-à-dire comment l'amener à vouloir n'importe quoi (surtout inutile comme un gros SUV en ville) et à truquer le produit (dieselgate par exemple).
Avant c'était pareil mais juste beaucoup plus artisanal. Ce qui a changé c'est que si avant ce type de comportement était le fait d'individus maintenant il y a des écoles pour cela et on forme énormément de gens intelligents a des boulots qui vont dans ce sens que chacun dit détester mais que chacun pratique (plus ou moins) et est également victime.
Le fils d'un ami m'a rapporté que son premier cours en école de commerce a été "Ici la morale n'a pas de place. Si vous avez des états d'âmes moraux, sortez et ne revenez pas."

Remarque idiote : "surtout inutile comme un gros SUV en ville"
Comme si nos actes d'achats étaient uniquement dictés par l'utilité ou poussés par des pubs ou des actions commerciales !
D'une part laisse ceux qui aiment les gros SUV, ou les trains électriques ou les chapeaux-claque acheter selon leur goût, oui, leur plaisir, car c'est la raison principale de leur choix, d'autre part réalise que la majorité des acquéreurs d'iphone ou de macbook pro le font par suivi de tendance… Choisis mieux tes exemples de moutons !
Je précise, car une autre idiotie suit en général la première, que je ne roule pas en gros SUV, que je ne possède plus de train électrique (hélas…) et que je ne porte ni montre ni chapeau.

[Baradal]

j'ai vu récemment un documentaire sur les vulnérabilité des API (Automate Programmable Industriel, en anglais Programmable Logic Controller, PLC), c'est la fête du slip - En gros tous ce qui contrôle les machines automate sur des réseaux de tout type, eau, électricité, gaz, le materiel de tout type de centrales, hydraulique à nucléaire etc sont pire que tous au niveaux sécuritaires car jamais pensé pour avant une date relativement récente . Donc au mieux c'est repensé par les grosses boites, soit c'est patché n'importe comment, ou laissé en l'état car on peut rien y faire . :fear:

Un vrai scénario à la Die Hard 4.

[zebigbug]

Je laisse iApx expliquer qu'on a jamais ete en sécurité, la différence c'est que now ya des gens dont le boulot est de trouver et publier les failles..
Encore un "c'etait mieux avant" bidon...

Avant il y avait des comptables dont certains pouvaient être malhonnêtes, maintenant il y a des gens dont le boulot est clairement de truquer les comptes et qui ont fait des écoles pour ça (optimisation fiscale, etc.)
Avant il y avait des commerçants dont certains pouvaient être malhonnêtes, maintenant le boulot d'un commercial est de savoir exactement comme voler son client, c'est-à-dire comment l'amener à vouloir n'importe quoi (surtout inutile comme un gros SUV en ville) et à truquer le produit (dieselgate par exemple).
Avant c'était pareil mais juste beaucoup plus artisanal. Ce qui a changé c'est que si avant ce type de comportement était le fait d'individus maintenant il y a des écoles pour cela et on forme énormément de gens intelligents a des boulots qui vont dans ce sens que chacun dit détester mais que chacun pratique (plus ou moins) et est également victime.
Le fils d'un ami m'a rapporté que son premier cours en école de commerce a été "Ici la morale n'a pas de place. Si vous avez des états d'âmes moraux, sortez et ne revenez pas."

Remarque idiote : "surtout inutile comme un gros SUV en ville"
Comme si nos actes d'achats étaient uniquement dictés par l'utilité ou poussés par des pubs ou des actions commerciales !
D'une part laisse ceux qui aiment les gros SUV, ou les trains électriques ou les chapeaux-claque acheter selon leur goût, oui, leur plaisir, car c'est la raison principale de leur choix, d'autre part réalise que la majorité des acquéreurs d'iphone ou de macbook pro le font par suivi de tendance… Choisis mieux tes exemples de moutons !
Je précise, car une autre idiotie suit en général la première, que je ne roule pas en gros SUV, que je ne possède plus de train électrique (hélas…) et que je ne porte ni montre ni chapeau.

Ben oui , beaucoup d'actes sont dictés par la publicité et le conditionnement.
Pourquoi la pub est elle si chére si elle n'est pas efficace ?

Certaines marques sont rentrées dans le langage commun , "mon frigidaire est en panne" " passe moi le scotch" " je n'ai pas de pc , mais un mac"
Dans les forums , certains reprennent la pub de maniére inconsciente en disant que Skoda c'est l'achat raisonnable à bon prix tirée du slogan "simply clever" sans argument ( voir les commentaires Caradisiac par exemple)

le plaisir de rouler en SUV a Paris ? Il faut m'expliquer : bloquer dans les bouchons , la galére pour se garer , rue parfois étroite, restriction de la circulation , faire attention à la visibilité autour de sa voiture ( oiétons , cyclistes , enfants ), désolé il n'y a aucun argument plaisir.

Quand aux actes d'achats , oui ils sont poussés par la pub et le conditionnement car c'est la facilité de choix.
Quand on achéte une TV, un ordinateur ou un appareil photo , combien se renseigne sur le produit ou lise des tests comparatifs ?

je prends volontairement les appareils photo qu'est ce qui fait vendre pour le néophyte ? le zoom et le prix.
Jamais , on ne regardera la basse lumiére par exemple. Combien achete des hybrides car c'est mieux ? sans jamais utilisé un seul réglage !
Combien vont trouver la qualité de photo excellente sur un capteur 4/3 en pleine nuit comme sur le canon sx70hs par exemple ? Alors que c'est de la bouillie de pixels ?

Apple est une entreprise qui ne vends pas de la technologie , mais du marketing , qui n'a jamais lu :
Quand Apple est en avance technologique , c'est la preuve que c'est une entreprise innovante
Quand Apple est en retard c'est une stratégie pour affiner ses produits , pendant que les autres se cassent la figurent ?

Apple n'est pas troisiéme , mais 1 er aprés deux autres concurents

"J'aime mon iphone car il est sexy " c'est une phrase X fois entendu , mais dans le mot sexy , il y a sex . explique moi le rapport entre les deux ?

Pourquoi un smartphone Asus se vends plus mal qu'un Xiaomi ? Simple les acheteurs te diront que ce dernier est mieux sans aucune justification ....

Apple, comme les autres, ne communique plus sur la technologie mais sur le design ou du réve .
Samsung a essayé de se mettre sur le créneau de la communication technologique résultat : baisse des ventes ...

En dehors de la technologie
Nutella
lors d'une promo de 70 % de réduction soit 1,41 € contre 4,70 d'ordinaire , cela à virer à la foire d'empoigne !
est ce que le nutella est un produit hors de prix ? est ce que c'est un produit rare ou essentiel ? la remise de 3 € est l'affaire du siécle?
Non , c'est le marketing et le conditionnement qui a guidé les réactions.

Pour nos amis hors de France
http://www.leparisien.fr/faits-divers/inte...018-7522050.php

Cuisine Connect
de lidl , rafraichissemnt de la mémoire.

https://www.msn.com/fr-fr/actualite/france/...asin/ar-AACtYqu
https://www.lyoncapitale.fr/actualite/monsi...on-coin-a-lyon/


L'histoire a montré que nous sommes conditionné , au début les américains ne voulaient pas entré en guerre , ce sont de campagnes a large échelle qui ont changé l'opinion
Hitler a écrit "mon combat" , ou il a préciser ses objectifs mais cela n'a pas empécher les foules de le vénérer et de vouloir donner sa vie pour lui . N'est pas un exemple de conditionnement à grande échelle ?
Aujourd'hui , quand on parle d'immigration d'un coté on nous parle de richesse , laquelle je ne sais pas et personne n'explique et de l'autre d'invasion.
Mais qui parlent de moderniser les pays pauvres ? Qui parlent de former des élites en afrique et de développe des marchés et des entreprises, lutter contre la corruption ? Personne !
On préfere accueillir la misére à coup de d'autosatisfaction , que de la tarir à sa source ....


le conditionnement à beaucoup d'avantage pas besoin de fournir d'efforts pour comprendre , on a les mêmes idées que le groupe, on est dans une position de confort.
la liberté de choix demande de l'investissement, la possibilité d'être hors de groupe donc seul , de se mettre en position inconfortable.