Nouveautés


Gestion du site

  1. Merci d'imprimer, découper à l'horizontale, distribuer et glisser partout, partout, partout notre feuillet publicitaire
  2. Nous ne nous impliquons pas en personne et ne référons pas d'avocats ou autres professionnels!
  3. Nous visons à vous épauler bénévolement le mieux possible, depuis plus de 25 ans, par l'information, pour vous garder libre et en santé.
  4. Pour partager avec d'autres jeunes ou parents concernés adhérez à : groupe public Facebook .
  5. Ce site reconstruit suite à sa 4 ème destructtion par le DPJ et ses complices, reçois plus de 60,000 visite par ans.
  6.  Si certains liens sont défectueux ou manquants, vous êtes invité à nous en informer.

Sondage

Moi je vote

Choix de langue

Outil de traduction gratuite de site Internet
by FreeWebsiteTranslation.com

Faille affectant Android et iOS

Des spécialistes en sécurité ont réussi à mettre au point une attaque pouvant extirper les clés de chiffrement employées par les appareils Android et iOS en enregistrant leurs émanations électromagnétiques.

http://branchez-vous.com/2016/03/03/nouvelle-faille-affectant-android-ios-rend-vulnerables-leurs-cles-de-chiffrement/

Pour exploiter la faille en question, les chercheurs utilisent une technique nommée attaque non-invasive par canal auxiliaire appliqué contre un algorithme de signature numérique très répandu par sa rapidité d’exécution, l’Elliptic Curve Digital Signature Algorithm.

Les chercheurs ont réalisé l’attaque avec succès en laboratoire, en employant une carte de son USB et un ordinateur portable bon marché situé sous la table où le téléphone était posé.

En plaçant une sonde à proximité d’un appareil mobile au moment où des opérations cryptographiques sont exécutées, un attaquant peut mesurer suffisamment d’émanations électromagnétiques pour extraire intégralement la clé secrète utilisée pour authentifier les données ou les transactions financières du détenteur de l’appareil. Comme le raconte Ars Technica, la même opération peut être effectuée en connectant un adaptateur trafiqué à un câble USB conventionnel. Dans ce contexte, une personne qui ne vérifie pas si son câble USB est réellement connecté à une prise murale pourrait s’exposer elle même à cette attaque simplement en voulant recharger son téléphone.

«Un attaquant peut mesurer furtivement ces effets physiques en maintenant une sonde magnétique à 2$ à proximité de l’appareil, ou en trafiquant un adaptateur USB connecté au câble USB du téléphone», expliquent les chercheurs des universités de Tel0Aviv et d’Adélaïde.

Ces derniers ont réalisé l’attaque avec succès en laboratoire, en employant une carte de son USB et un ordinateur portable bon marché situé sous la table où le téléphone était posé.

«En utilisant ces mesures, nous avons pu extraire l’intégralité des clés de chiffrement d’OpenSSL et CoreBitcoins sous iOS. Nous avons également observé la fuite partielle d’une clé d’OpenSSL sous Android et CommonCrypto sous iOS.»

Bien qu’ils n’ont pas été en mesure d’extraire l’intégralité de la clé utilisée par Android, les chercheurs demeurent persuadés que ce type d’attaque peut y être réalisé avec succès, citant les travaux d’une autre équipe de recherche qui aurait trouvé une vulnérabilité pouvant être exploitée par une attaque par canal auxiliaire sous Android contre l’API cryptographique Bouncy Castle.

À noter que si les versions 7.1.2 à 8.3 d’iOS se présentent comme étant vulnérables, iOS 9 comprend des défenses contre les attaques par canal auxiliaire empêchant celle-ci de se concrétiser. Toutefois, alors qu’Apple Play et les services employant la librairie cryptographique de cette version d’iOS sont immunisés, d’autres applications qui utilisent leur propre librairie cryptographique, comme le portefeuille CoreBitcoin qui privilégie la librairie CommonCrypto, peuvent être exploitées.

Enfin, comme vous l’aurez compris, ce type d’attaque exige qu’un pirate ait physiquement accès à l’appareil ciblé, ou du moins être situé à proximité de celui-ci. La victime doit être en train d’effectuer une opération qui transmet des données chiffrées au moment où l’attaquant est en train de mesurer les émanations électromagnétiques, et la durée de cet enregistrement sera variable selon les types d’opérations.

Mais aussi incroyable que ce type d’attaque puisse paraître, la prochaine fois que vous vous rendez dans un endroit publique pour vous amuser à effectuer des transactions bancaires avec votre téléphone, regarder d’abord sous la table et ne brancher pas votre câble avant de vous assurer qu’il n’y ait aucun intermédiaire entre celui-ci et la prise électrique.