Insécurité du logiciel privateur
Le logiciel non libre (privateur) est très souvent malveillant (conçu pour maltraiter les utilisateurs). Il est contrôlé par ses développeurs, ce qui les met en position de pouvoir vis-à-vis des utilisateurs ; c'est l'injustice de base. Les développeurs et les fabricants exercent souvent ce pouvoir au détriment des utilisateurs qu'ils devraient servir.
Cela prend habituellement la forme de fonctionnalités malveillantes.
Cette page répertorie des failles de sécurité de logiciels privateurs, failles clairement établies qui ont de graves conséquences ou méritent d'être mentionnées pour d'autres raisons. Bien que la plupart de ces failles soient involontaires, et donc ne constituent pas à proprement parler des fonctionnalités malveillantes, nous les signalons pour montrer que le logiciel privateur n'offre pas autant de sécurité que le prétendent les média.
Cela ne signifie pas que le logiciel libre est immunisé contre les bogues. La différence entre les logiciels libres et privateurs à cet égard réside dans le traitement des failles de sécurité : les utilisateurs de programmes libres ont la possibilité de les étudier et éventuellement de corriger les bogues qu'ils trouvent (souvent au sein d'une communauté puisqu'ils peuvent se communiquer le programme), alors que les utilisateurs de programmes privateurs sont forcés de s'en remettre au développeur pour les corrections.
Si le développeur ne s'occupe pas du problème (ce qui est souvent le cas pour les systèmes embarqués et les anciennes versions), les utilisateurs n'ont pas de recours. Et même si le développeur publie une version corrigée, elle peut contenir de nouvelles fonctionnalités malveillantes en plus des corrections.
Si vous avez connaissance d'un exemple qui devrait se trouver sur cette page mais n'y figure pas, n'hésitez pas à écrire à <webmasters@gnu.org> pour nous en informer. Merci de fournir les URL d'une ou deux références fiables et spécifiques pour l'étayer.
Vulnérabilité induite par l'UEFI
L'UEFI rend les ordinateurs vulnérables à des menaces persistantes sophistiquées qui sont à peu près impossibles à détecter une fois installées. Voici quelques détails techniques.
Kaspersky a découvert cet exemple par hasard, mais n'a pas de méthode générale pour tester la présence de rootkits similaires dans les ordinateurs.
Le logiciel non libre ne sécurise pas votre ordinateur. Bien au contraire, il vous empêche d'essayer de le sécuriser. L'UEFI est un programme non libre nécessaire au démarrage qui est impossible à remplacer; en fait, c'est un rootkit de bas niveau. Tout ce que fait Intel pour contrer vos essais d'échapper à son pouvoir protège également les rootkits infectant l'UEFI.
Au lieu de permettre à Intel, AMD, Apple et peut-être ARM d'imposer la sécurité par la tyrannie, nous devrions faire adopter une loi qui les oblige à laisser les utilisateurs installer le logiciel de démarrage de leur choix et à rendre disponible l'information nécessaire à son développement – une sorte de droit de réparer au niveau de l'initialisation.
-
2024-01
Les disques Blu-ray Ultra HD sont bourrés de maliciels de la pire espèce. Entre autres, leur lecture sur PC exige le module Intel SGX, qui non seulement a de nombreuses vulnérabilités affectant la sécurité, mais n'est plus utilisé depuis 2022 dans les principaux modèles de CPU Intel.
-
2023-11
Les ordinateurs basés sur x86 and ARM et livrés avec l'interface UEFI sont potentiellement vulnérables à un défaut de conception appelé LogoFAIL. Un cracker peut remplacer le logo du BIOS par une version modifiée contenant du code malveillant. Les utilisateurs ne peuvent pas corriger ce défaut car il réside dans le micrologiciel non libre de l'UEFI qu'ils ne peuvent pas remplacer.
-
2022-11
Des hackers ont découvert des douzaines de faille de sécurité (au sens restreint habituel) dans les automobiles de nombreuses marques.
« Sécurité au sens restreint habituel » signifie sécurité contre des tiers inconnus. Nous nous intéressons à la sécurité au sens large, contre le constructeur aussi bien que contre des tiers inconnus. Il est clair que chacune de ces vulnérabilités peut être exploitée également par le constructeur et par tout gouvernement qui pourrait mettre suffisamment de pression sur lui pour le forcer à coopérer.
-
2022-10
Le chiffrement de Microsoft est faible et vulnérable.
Le chiffrement est un domaine délicat où il est facile de se planter. Il est judicieux d'exiger un logiciel de chiffrement qui soit (1) libre et (2) audité par des spécialistes.
-
2022-08
Un chercheur en sécurité a découvert que le navigateur intégré à TikTok pour iOS injecte dans les pages web externes du code JavaScript pouvant enregistrer les frappes. Ce code est capable de suivre toutes les activités de l'utilisateur et de récupérer n'importe quelle information personnelle saisie sur ces pages. Nous n'avons aucun moyen de vérifier la déclaration de la société TikTok selon laquelle il n'est là que pour des raisons techniques. Certaines des données auxquelles il accède pourraient bien être enregistrées sur les serveurs de l'entreprise et même communiquées à des tiers. Cela ouvre la porte à une surveillance étendue, y compris par le gouvernement chinois (avec lequel TikTok est lié indirectement). Il y a aussi un risque que ces données soient volées par des crackers et utilisées pour lancer des attaques de maliciels.
Les navigateurs intégrés à Instagram et Facebook se comportent de manière similaire. La différence principale est qu'Instagram et Facebook permettent aux utilisateurs d'accéder aux sites tiers avec leur navigateur par défaut, tandis que TikTok rend ceci presque impossible.
Le chercheur n'a pas étudié les versions pour Android des navigateurs intégrés, mais nous n'avons aucune raison de supposer qu'elles sont plus sûres que les versions pour iOS.
(Notez que cet article utilise le terme « hackers » à mauvais escient.)
-
2022-07
En exploitant un bogue dans le logiciel des voitures Tesla les pirates informatiques peuvent installer de nouvelles clés, déverrouiller la porte, démarrer le moteur et même empêcher le véritable propriétaire d'accéder à sa voiture.
Un cracker a même rapporté qu'il avait pu désactiver les systèmes de sécurité de 25 voitures et en prendre le contrôle.
(Notez que ces articles utilisent le terme « hackers » à mauvais escient.) -
2022-02
Une faille de sécurité de Microsoft Windows a causé l'infection d'ordinateurs par Redline, le logiciel voleur de données, qui a utilisé pour cela un faux installateur de mises à jour pour Windows 11.
-
2022-01
Une faille critique dans iOS permet à un attaquant de modifier une étape de l'arrêt du système en faisant croire à l'utilisateur que le téléphone est éteint alors qu'en fait il fonctionne toujours. L'utilisateur ne peut pas faire la différence entre l'extinction réelle et l'extinction simulée.
-
2021-11
Des centaines de conducteurs de Tesla se sont trouvés incapables de déverrouiller leur voiture par suite d'une panne d'appli trouvant son origine dans la dépendance de l'appli aux serveurs de la société.
-
2021-11
Des chercheurs de Google ont détecté dans macOS une vulnérabilité « zero-day » que des crackers ont utilisée pour cibler les visiteurs de sites web pro-démocratiques hongkongais, ceux d'un organe de presse et d'une organisation syndicale et politique.
(Notez que cet article utilise le terme « hackers » à mauvais escient.)
-
2021-08
Différents modèles de caméras de surveillance, d'enregistreurs vidéo numériques et de moniteurs pour bébé qui fonctionnent avec du logiciel privateur ont une faille de sécurité qui permettrait à des attaquant d'espionner le flux vidéo.
-
2021-07
Le logiciel espion Pegasus utilise des vulnérabilités des systèmes d'exploitation privateurs pour smartphones pour espionner. Il peut enregistrer les appels, copier les messages et filmer les gens secrètement. Il existe une analyse technique de ce logiciel espion en format PDF.
Un système d'exploitation libre laisserait les gens corriger ces bogues, mais dans l'état actuel des choses ils seront obligés d'attendre que les entreprises le fassent.
(Notez que cet article utilise le terme « hackers » à mauvais escient.)
-
2021-07
Une vulnérabilité détectée récemment dans Microsoft Windows permet à des pirates d'avoir accès au système d'exploitation pour installer des programmes, voir et supprimer des données et même créer de nouveaux comptes utilisateurs avec tous les droits.
L'entreprise de recherche en sécurité a divulgué accidentellement des instructions sur la manière d'exploiter cette faille, mais les utilisateurs de Windows attendent toujours que Microsoft la corrige – si cela arrive un jour.
(Notez que cet article utilise le terme « hackers » à mauvais escient.)
-
2021-06
L'appli TikTok pour smartphone collecte des informations et identifiants biométriques. Son éditeur récupère tout ce qui est à sa portée et fait ce qu'il veut avec.
-
2021-05
Apple est en train de déplacer les comptes iCloud de ses clients vers un centre de données contrôlé par le gouvernement chinois. Elle stocke déjà les clés de chiffrement sur ces serveurs pour obéir à l'autorité chinoise, ce qui rend toutes les données des utilisateurs chinois accessibles au gouvernement.
-
2021-05
Un fabricant d'accessoires pour motards vend des vestes équipées d'airbag avec plusieurs méthodes de paiement, dont un système d'abonnement basé sur du logiciel privateur qui empêche l'airbag de se gonfler si les paiements ne sont pas faits à temps.
Le fabricant dit qu'il y a une période de grâce de 30 jours si on saute une mensualité, mais ce n'est pas une excuse pour porter atteinte à la sécurité du motard.
-
2021-05
Le gouvernement des États-Unis est, paraît-il, en train d'envisager un partenariat avec des sociétés privées pour surveiller les activités privées en ligne et les communications numériques des citoyens américains.
Ce qui crée l'opportunité de cette tentative est le fait que ces sociétés espionnent déjà les activités des utilisateurs. Et ceci, parce que les gens utilisent du logiciel non libre et des desservices en ligne qui les espionnent.
-
2021-04
Des chercheurs ont mis au jour dans Zoom des vulnérabilités zero-day qui peuvent servir à lancer des attaques par exécution de code à distance. Ils en ont fait la démonstration en exploitant successivement trois failles, le tout sans aucune interaction de l'utilisateur.
-
2021-03
Le piratage d'au moins 150 000 caméras de surveillance fonctionnant avec un logiciel de Verkada a permis aux crackers d'accéder aux enregistrements de divers gymnases, hôpitaux, prisons, écoles et commissariats de police.
C'est faire du tort au public que de communiquer les enregistrements de caméras dites « de sécurité » à une entreprise chez qui le gouvernement peut aller les chercher n'importe quand, sans même avertir les personnes concernées.
(Notez que cet article utilise le terme « hackers » à mauvais escient.)
-
2021-03
C'est une faille de sécurité dans le serveur de messagerie de Microsoft 365 qui a récemment permis un piratage affectant au moins trente mille organisations aux États-Unis. On ne sait pas s'il y en a d'autres, mais l'histoire et l'expérience nous disent que ce n'est pas la première fois qu'un programme privateur est responsable d'un désastre, et probablement pas la dernière.
-
2021-02
Des chercheurs en sécurité de SentinelOne ont découvert une faille de sécurité de Microsoft Windows Defender qui était restée cachée pendant douze ans. Si ce programme avait été libre, plus de gens auraient eu une chance de détecter le problème, et donc il aurait été corrigé plus tôt.
-
2021-01
Un pirate a pris le contrôle de cages de chasteté connectées et exigé une rançon. Ces cages sont contrôlées par une appli mobile privatrice.
(Notez que cet article utilise le terme « hackers » à mauvais escient.)
-
2020-12
Des espiogiciels commerciaux sont capables d'extraire les mots de passe des iMonstres et d'utiliser le micro et la caméra, entre autres choses.
-
2020-12
Cet abus de pouvoir de la part de Zoom montre à quel point ce pouvoir est dangereux. Le fond du problème n'est pas la surveillance ou la censure, mais plutôt le pouvoir que possède Zoom. Cette société tire son pouvoir pour partie de l'utilisation de son serveur, mais aussi, pour une autre partie, de son programme client non libre.
-
2020-12
L'administration des États-Unis est confrontée à la plus grande vague de piratage informatique depuis des années : du code malveillant a été introduit subrepticement dans un logiciel privateur de SolarWinds nommé Orion, ce qui a donné la possibilité à des crackers de surveiller les courriels internes dans certaines des plus importantes agences gouvernementales.
(Notez que cet article utilise le terme « hackers » à mauvais escient.)
-
2020-12
Il a été prouvé que certaines applis de Baidu collectaient des données personnelles sensibles pouvant servir à surveiller les utilisateurs leur vie durant. La vie privée d'1,4 milliards de gens partout dans le monde est ainsi compromise par ces applis privatrices. De plus, les données rassemblées par Baidu peuvent être communiquées au gouvernement chinois, ce qui constitue un danger pour certaines personnes.
-
2020-11
Les routeurs wifi Wavelink et JetStream ont des portes dérobées universelles qui permettent à des personnes non authentifiés, non seulement de les contrôler à distance, mais aussi de contrôler n'importe quel appareil connecté au réseau. Il est prouvé que cette vulnérabilité est activement exploitée.
Si vous envisagez d'acheter un routeur, nous vous invitons à en choisir un qui fonctionne avec du logiciel libre. Toute tentative d'y introduire une fonctionnalité malveillante (par exemple à l'occasion d'une mise à jour du micrologiciel) sera détectée par la communauté et vite corrigée.
Si malheureusement vous possédez un routeur qui fonctionne avec du logiciel privateur, pas de panique ! Il est peut-être possible de remplacer son micrologiciel avec un système d'exploitation libre comme libreCMC. Si vous ne savez pas comment faire, vous pouvez trouver de l'aide auprès d'un groupe d'utilisateurs GNU/Linux de votre région.
-
2020-11
Apple a intégré à ses ordinateurs un maliciel de surveillance qui lui rapporte ce que font les utilisateurs.
Ces fuites de données durent déjà depuis deux ans et les rapports ne sont même pas chiffrés. Le maliciel rapporte à Apple quel utilisateur ouvre quel programme et à quel moment. Il donne aussi à Apple le pouvoir de saboter les activités informatiques de l'utilisateur.
-
2020-10
Depuis une mise à jour de septembre 2020; Samsung force ses utilisateurs de Hong Kong et Macau à utiliser un DNS public situé en Chine continentale pour leurs smartphones, ce qui est source de grande inquiétude, entre autres pour leur vie privée.
-
2020-08
TikTok a exploité une vulnérabilité d'Android pour obtenir les adresses MAC d'utilisateurs.
-
2020-06
Une faille de sécurité désastreuse touche des millions de produits connectés.
De ce fait, n'importe qui peut attaquer l'utilisateur, pas seulement le fabricant.
-
2020-04
Une faille de sécurité de Microsoft Teams (un programme privateur) pourrait permettre à un GIF malveillant de voler des données personnelles, et ainsi de prendre le contrôle de « l'ensemble des comptes utilisateurs d'une organisation ».
-
2020-04
Le nouveau système anti-triche de Riot Games est malveillant ; sous Windows, il s'exécute au démarrage, au niveau du noyau. C'est un logiciel non sécurisé qui augmente la surface d'attaque du système d'exploitation.
-
2019-11
Ring, la sonnette connectée d'Amazon, avait une faille de sécurité qui permettait à des attaquants d'accéder au mot de passe wifi de l'utilisateur et d'espionner la maisonnée au travers d'appareils de surveillance connectés.
La connaissance du mot de passe wifi ne serait pas suffisante pour espionner de manière significative si ces appareils étaient munis de dispositifs de sécurité adéquats comme le chiffrement. Mais de nombreux appareils fonctionnant avec du logiciel privateur en sont dépourvus. Bien entendu, ils sont aussi utilisés par leur fabricants pour commettre des indiscrétions.
-
2019-08
Une série de vulnérabilités trouvées dans iOS permettaient aux attaquants d'accéder à des données sensibles stockées dans les iMonstres: messages privés, mots de passe, photos et carnet d'adresses.
Le défaut intrinsèque de sécurisation des iMonstres et d'autant plus pertinent que le logiciel privateur d'Apple rend les utilisateurs totalement dépendants d'Apple, ne serait-ce que pour un semblant de sécurité. Il signifie également que ces appareils ne sont pas sécurisés du tout contre la société Apple elle-même.
-
2019-08
Parmi 21 antivirus pour Android étudiés par des chercheurs en sécurité, huit se sont révélés incapables de détecter un virus de test. Tous demandaient des permissions à risque ou contenaient des traceurs publicitaires, et sept étaient plus dangereux que la moyenne des 100 applis Android les plus populaires.
(Notez que cet article qualifie ces applis privatrices de free (dans le sens de « gratuites »). Il aurait dû dire plutôt gratis.)
-
2019-07
Plusieurs applis pour Android pistent les utilisateurs même quand ils disent de ne pas leur donner accès à la géolocalisation.
Cela fait intervenir une faille apparemment involontaire d'Android, qui est exploitée sciemment par les applis malveillantes.
-
2019-05
Les utilisateurs pris dans la nasse d'un iMonstre sont des proies faciles pour d'autres attaquants, et la censure des applis empêche d'autres sociétés de découvrir le mécanisme de ces attaques.
La censure des applis par Apple est fondamentalement injuste et serait inexcusable même si elle n'entraînait pas, en plus, des menaces pour la sécurité.
-
2019-03
Le protocole « Conexus » de télémétrie, conçu par Medtronics, contient deux vulnérabilités qui affectent plusieurs modèles de défibrillateurs implantables et les appareils auxquels ils se connectent.
Ce protocole existe depuis 2006 et des vulnérabilités similaires ont été découvertes en 2008 dans un protocole de communication plus ancien de Medtronics. Cela montre qu'on ne peut pas faire confiance aux développeurs de logiciel privateur pour corriger les bogues de leurs programmes.
-
2019-02
La sonnette vidéo de Ring est conçue pour que le fabricant (maintenant Amazon) puisse regarder en permanence. En fait, il se trouve que n'importe qui peut en faire autant, et peut également falsifier les vidéos.
La vulnérabilité à des attaques extérieures est vraisemblablement involontaire et il est probable qu'Amazon la corrigera. Cependant nous ne pensons pas qu'Amazon changera la conception de l'appareil, qui lui permet, à elle, de regarder.
-
2018-09
Des chercheurs ont découvert un moyen de cacher des commandes vocales dans d'autres flux audio. Elles sont inaudibles pour les humains, mais Alexa et Siri peuvent les entendre.
-
2018-08
Depuis début 2017, les téléphones Android collectent les adresses des antennes voisines, même quand les services de géolocalisation sont désactivés, et ils envoient ces données à Google.
-
2018-08
Des crackers ont trouvé moyen de contourner les dispositifs de sécurité d'un appareil d'Amazon et de le transformer en appareil d'écoute à leur profit.
Ils ont eu beaucoup de mal à faire ça. Ce serait beaucoup plus facile pour Amazon, et si un gouvernement comme celui de la Chine ou des États-Unis disait à Amazon de le faire sous peine de cesser de vendre le produit dans leur pays, pensez-vous qu'Amazon aurait la force morale de refuser ?
(Ces crackers sont probablement aussi des hackers, mais s'il vous plaît n'utilisez pas le terme « hacker » dans le sens de « briseurs de sécurité ».)
-
2018-07
Siri, Alexa et tous les autres systèmes de commande vocale peuvent être piratés par des programmes qui envoient les commandes sous forme d'ultrasons inaudibles par les humains.
-
2018-07
Certains téléphones de Samsung envoient des photos aux contacts de leur propriétaire de manière aléatoire.
-
2017-12
L'un des risques de « l'Internet des dangers » est que, si votre service Internet vous lâche, vous perdez le contrôle de vos appareils domotiques.
Par mesure de sécurité, n'utilisez pas d'appareil connecté à Internet.
-
2017-11
La porte dérobée intentionnelle du « Moteur de gestion Intel » a aussi des portes dérobées non intentionnelles.
-
2017-11
Amazon a récemment invité ses clients à se faire pigeonner en permettant aux livreurs d'ouvrir leurs portes d'entrée. Et vous savez quoi ? Le système a une énorme faille de sécurité.
-
2017-09
La mauvaise sécurisation de certaines voitures rend possible l'activation à distance des airbags.
-
2017-09
Une pompe intraveineuse « intelligente » destinée aux hôpitaux est connectée à Internet. Naturellement, son système de sécurité a été piraté.
(Notez que cet article utilise le terme « hackers » pour désigner des pirates informatiques – aussi appelés crackers.)
-
2017-08
La mauvaise sécurisation de beaucoup d'appareils de l'Internet des dangers permet aux fournisseurs de services d'espionner les gens qui les utilisent.
Ne vous laissez pas avoir, rejetez tous ces objets dangereux.
(C'est dommage que l'article utilise le terme « monétiser ».)
-
2017-06
De nombreux modèles de caméras connectées ont des portes dérobées.
C'est une fonctionnalité malveillante, mais également une énorme faille de sécurité puisque n'importe qui, y compris un cracker malintentionné, peut trouver ces comptes et les utiliser pour s'introduire dans les caméras des utilisateurs.
-
2017-06
De nombreux modèles de caméras connectées sont extrêmement mal sécurisées. Elles ont des comptes utilisateurs avec des mots de passe codés en dur, non modifiables, et il n'y a pas moyen non plus de supprimer ces comptes.
-
2017-06
La porte dérobée des processeurs Intel – Intel Management Engine – a eu une faille de sécurité très grave pendant 10 ans.
Cette vulnérabilité permettait aux crackers d'accéder à l'interface web de la « technologie Intel de gestion active » (AMT) de l'ordinateur avec un mot de passe vide et leur donnait des droits d'administrateur pour accéder au clavier, à la souris et au moniteur, entre autres privilèges.
Dans les processeurs récents d'Intel il est impossible de désactiver le Management Engine, ce qui n'améliore en rien la situation. Ainsi, même les utilisateurs qui se préoccupent activement de leur sécurité ne peuvent rien faire pour se protéger, à part utiliser des machines qui ne sont pas livrées avec la porte dérobée.
-
2017-05
Le code privateur qui fait fonctionner les pacemakers et les pompes à insuline, ainsi que d'autres dispositifs médicaux, est rempli de failles de sécurité monstrueuses.
-
2017-05
Un pilote audio de Conexant préinstallé sur 28 modèles de portables HP (HD Audio Driver Package, versions 1.0.0.46 et précédentes) journalisait les frappes de l'utilisateur dans un fichier local. Tout processus qui avait accès au système de fichiers ou à l'API MapViewOfFile pouvait y accéder. De plus, d'après modzero, la « fuite de données transitant par le canal caché de stockage [Covert Storage Channel] permet aux auteurs de maliciels de capturer les saisies clavier sans prendre le risque de voir l'analyseur heuristique de l'antivirus classer cette action comme malveillante ».
-
2017-05
Des exploits utilisant certains bogues de Windows, développés par la NSA puis divulgués par le groupe Shadowbrokers, servent maintenant à attaquer un grand nombre d'ordinateurs sous Windows avec un logiciel de rançon [ransomware].
-
2017-04
De nombreux appareils sous Android peuvent être piratés via leur puce Wi-Fi à cause d'un bogue dans le micrologiciel [firmware] non libre de Broadcom.
-
2017-03
Lorsque le lave-vaisselle désinfecteur de Miele se connecte à l'Internet des dangers, sa sécurisation est en dessous de tout.
Par exemple, un cracker aurait la possibilité d'accéder au système de fichiers du lave-vaisselle, de l'infecter avec un maliciel et de forcer la machine à attaquer d'autres appareils connectés au réseau. Puisque ces lave-vaisselles sont utilisés dans les hôpitaux, une attaque de ce type pourrait mettre en danger des centaines de vies humaines.
-
2017-03
La CIA a exploité des vulnérabilités présentes dans les téléviseurs et téléphones « intelligents » pour fabriquer un logiciel malveillant qui se sert de leur micro et de leur caméra pour espionner, tout en les faisant paraître inactifs.
-
2017-02
Les jouets « CloudPets » équipés de micros divulguent les conversations des enfants au fabricant. Et vous savez quoi ? Des pirates informatiques ont trouvé moyen d'accéder au produit de cet espionnage.
Le fait que le fabricant et le FBI puissent écouter ces conversations est de toute façon inacceptable.
-
2017-02
Si vous achetez du matériel « intelligent » d'occasion (voiture, système domotique, téléviseur, frigo ou autre), le précédent propriétaire peut continuer à le contrôler à distance.
-
2017-02
Les applis mobiles servant à communiquer avec une voiture intelligente, mais imprudente, sont très mal sécurisées.
Et de plus, la voiture contient un modem cellulaire qui dit en permanence où elle se trouve à Big Brother. Si vous possédez une voiture de cette sorte, vous seriez bien avisé de débrancher le modem afin de désactiver le pistage.
-
2017-01
Un cracker pourrait transformer les senseurs de l'Oculus Rift en caméras de surveillance après s'être introduit dans l'ordinateur auquel ils sont connectés.
(Malheureusement, l'article utilise le terme impropre de « hackers » pour désigner des pirates informatiques.)
-
2017-01
Des téléphones Samsung possèdent une faille de sécurité qui permet d'installer un logiciel de rançon en passant par un SMS
-
2017-01
WhatsApp possède une fonctionnalité qui a été décrite comme une « porte dérobée » car elle permet aux gouvernements d'annuler son chiffrement.
Les développeurs disent que ce n'était pas prévu pour être une porte dérobée et ils peuvent très bien avoir raison. Mais il reste une question cruciale : est-ce que cette porte dérobée est vraiment opérationnelle ? Puisque le programme n'est pas libre, nous ne pouvons pas le vérifier en l'étudiant.
-
2016-12
Les jouets « intelligents » Mon amie Cayla et i-Que peuvent être contrôlés à distance par un mobile ; il n'est pas nécessaire d'y avoir accès physiquement. Ceci permettrait à des crackers d'écouter les conversations de l'enfant et même de lui parler à travers ses jouets.
Cela signifie qu'un cambrioleur pourrait dire à l'enfant de déverrouiller la porte d'entrée pendant que Maman a le dos tourné.
-
2016-10
Les réseaux 4G LTE sont extrêmement mal sécurisés. Des tiers peuvent en prendre le contrôle et les utiliser pour des attaques de « l'homme du milieu »
-
2016-08
À cause d'un défaut de sécurité, il est facile d'ouvrir les portes de 100 millions de voitures construites par Volkswagen.
-
2016-08
Des « rançongiciels » [ransomware] ont été développés pour un thermostat qui utilise du logiciel privateur.
-
2016-08
Une faille d'Internet Explorer et Edge permet à un attaquant de récupérer les identifiants du compte Microsoft si l'utilisateur se laisse piéger et suit un lien malveillant.
-
2016-07
Les messages « effacés » de WhatsApp ne sont pas complètement effacés. Ils peuvent être récupérés par différents moyens.
-
2016-07
Voici une critique à moitié aveugle de la sécurité d'une appli pisteuse. Elle a mis en évidence des failles béantes permettant à n'importe qui de fouiner dans les données personnelles de l'utilisateur. Mais elle ne se préoccupe aucunement du fait que l'appli envoie les données personnelles à un serveur, où le développeur les récupère en totalité. Ce « service » est pour les pigeons !
Ce serveur a sûrement une « politique de confidentialité », qui sûrement ne vaut rien puisque c'est le cas de presque toutes.
-
2016-07
Une vulnérabilité dans l'interface de programmation (API) Image I/O d'Apple permettait à un attaquant d'exécuter du code malveillant à partir de toute application utilisant cette API pour afficher un certain type de fichier image.
-
2016-07
Un bogue dans la bibliothèque privatrice ASN.1, qui est utilisée dans les relais de téléphonie aussi bien que dans les téléphones cellulaires et les routeurs, permet à des tiers de prendre le contrôle de ces systèmes.
-
2016-06
Les antivirus ont tant d'erreurs qu'ils peuvent ajouter des failles de sécurité.
GNU/Linux n'a pas besoin d'antivirus.
-
2016-05
le système « Smart Home » (maison intelligente) de Samsung a une grosse faille de sécurité ; des personnes non autorisées peuvent le contrôler.
Samsung prétend que c'est une plateforme « ouverte » et que le problème est donc en partie la faute des développeurs d'applis. C'est évidemment le cas si les applis sont du logiciel privateur.
Un truc portant le nom de « Smart », quel qu'il soit, va très probablement vous avoir jusqu'au trognon.
-
2016-04
Un bogue dans l'appli « Messages » des iTrucs permettait à un site malveillant d'extraire tout l'historique de messagerie de l'utilisateur.
-
2016-04
Un logiciel malveillant a été trouvé dans les caméras de surveillance disponibles chez Amazon.
Une caméra qui enregistre localement sur un support physique et n'a pas de connexion réseau ne représente pas une menace de surveillance, que ce soit par observation directe des gens au moyen de la caméra, ou par l'intermédiaire d'un logiciel malveillant infectant la caméra.
-
2016-03
Plus de 70 modèles de caméras de surveillance connectées au réseau ont des failles de sécurité qui permettent à n'importe qui de s'en servir pour regarder.
-
2016-03
De nombreuses applis privatrices de paiement transmettent les données personnelles de manière non sécurisée. Le pire, toutefois, est que le paiement n'est pas anonyme.
-
2016-02
La « Leaf » de Nissan a un modem de téléphonie mobile intégré qui permet à n'importe qui d'accéder à distance à ses ordinateurs et de changer différents réglages.
C'est facile parce que le système n'a pas d'authentification quand on y accède par modem. Cependant, même s'il demandait une authentification, vous ne pourriez jamais être sûr que Nissan n'y aurait pas accès. Le logiciel de la voiture est privateur, ce qui signifie qu'il exige de ses utilisateurs une confiance aveugle.
Même si personne ne se connecte à distance à la voiture, le modem de téléphonie mobile permet à l'opérateur de tracer en permanence les déplacements de la voiture ; il est toutefois possible de l'enlever physiquement.
-
2016-02
Un pacemaker fonctionnant avec du code privateur a été mal configuré et aurait pu tuer la personne dans lequel il était implanté. Pour trouver ce qui n'allait pas et le faire réparer, cette personne a dû décompiler le logiciel de l'appareil qui règle à distance les paramètres du pacemaker (ce qui violait potentiellement les droits du fabricant selon la DMCA – loi américaine sur le copyright). Si ce système avait fonctionné avec du logiciel libre, il aurait pu être réparé beaucoup plus tôt.
-
2015-10
Les moniteurs de forme physique FitBit ont une vulnérabilité au niveau du Bluetooth, qui permet à l'attaquant d'envoyer à ces appareils des logiciels malveillants pouvant ensuite se propager aux ordinateurs et aux autres moniteurs Fitbit avec lesquels ils interagissent.
-
2015-10
Les disques durs « à chiffrement automatique » utilisent pour ce faire un micrologiciel [firmware] privateur, auquel par conséquent on ne peut pas se fier. Les disques My Passport de Western Digital ont une porte dérobée.
-
2015-08
Des chercheurs en sécurité informatique ont découvert une vulnérabilité dans les dongles de diagnostic utilisés pour le traçage et l'assurance des véhicules, qui permet de prendre le contrôle à distance d'une voiture ou d'un camion au moyen d'un SMS.
-
2015-07
Des crackers ont été en mesure de prendre le contrôle à distance de la « Jeep connectée ». Ils ont pu suivre les déplacements de la voiture, démarrer et arrêter le moteur, activer et désactiver les freins, et plus encore.
Chrysler et la NSA peuvent très probablement faire de même.
Si vous possédez une voiture qui contient un modem téléphonique, ce serait une bonne idée de le désactiver.
-
2015-06
En raison du défaut de sécurité de certaines pompes à perfusion, des crackers pourraient les utiliser pour tuer des patients.
-
2015-05
De nombreuses applis pour smartphones utilisent des méthodes d'authentification non sécurisées quand vous stockez vos données personnelles dans des serveurs distants. De ce fait, vos informations personnelles (adresses de courriel, mots de passe ou données de santé, par exemple) restent vulnérables. Beaucoup de ces applis étant privatrices, il est difficile, voire impossible, de savoir lesquelles présentent un risque.
-
2015-05
Les pompes à perfusion Hospira, qui sont utilisées pour administrer des médicaments à des patients, sont considérées comme « les périphériques IP les moins sécurisés que j'ai jamais vus » par un chercheur en sécurité informatique.
Selon le médicament qui est perfusé, l'insécurité pourrait ouvrir la porte au meurtre.
-
2015-04
Pendant quatre ans, MacOS X a eu une porte dérobée intentionnelle qui pouvait être exploitée par des attaquants pour obtenir les privilèges du superutilisateur root.
-
2014-05
Une appli qui empêche le « vol d'identité » (accès aux données personnelles) en sauvegardant les données de l'utilisateur sur un serveur spécial a été désactivée par son développeur qui y avait découvert une faille de sécurité.
Ce développeur semble être consciencieux dans ses efforts de protection des données personnelles contre les tiers en général, mais il ne peut pas les protéger contre l'État. Au contraire ! Confier vos données au serveur de quelqu'un d'autre, si elles ne sont pas chiffrées au préalable, revient à fragiliser vos droits.
-
2014-04
Bon nombre d'appareils médicaux ont une sécurisation en dessous de tout, et ce peut être mortel.
-
2014-02
Grâce à la mauvaise sécurisation de WhatsApp, les écoutes deviennent un jeu d'enfant.
-
2013-12
Certaines mémoires flash ont des logiciels modifiables, ce qui les rend vulnérables aux virus.
Nous n'appelons pas cela une « porte dérobée » parce que c'est normal de pouvoir installer un nouveau système dans un ordinateur si l'on y a accès physiquement. Cependant, il ne faut pas que les clés USB et les cartes mémoire soient modifiables de cette façon-là.
-
2013-12
Des terminaux de paiement tournant sous Windows ont été piratés et transformés en botnet afin de récupérer les numéros de cartes de crédit des clients.
-
2013-11
La NSA peut aller chercher des données dans les smartphones, que ce soit les iPhones, les Android ou les Blackberry. Bien que l'article soit peu détaillé, il semble que cette opération n'utilise pas la porte dérobée universelle qui, on le sait, se trouve dans presque tous les téléphones portables. Il est possible qu'elle exploite différents bogues. Il y a de plus une multitude de bogues dans le logiciel de radio des téléphones.
-
2013-09
La NSA a mis des portes dérobées dans des logiciels de cryptographie non libres. Nous ne savons pas lesquels, mais nous pouvons être sûrs que parmi eux il y a des systèmes largement utilisés. Cela confirme qu'on ne peut pas faire confiance à la sécurité des logiciels non libres.
-
2013-09
La FTC (Commission fédérale du commerce) a sanctionné une entreprise pour avoir fabriqué des webcams comportant des failles de sécurité telles qu'il était facile pour n'importe qui de regarder ce qui était filmé.
-
2013-08
Le logiciel non libre remplaçable des disques durs peut être écrit sur le disque par un programme non libre. Ceci rend tout système vulnérable à des attaques persistantes que les outils d'analyse normaux ne détecteront pas.
-
2013-07
Il est possible de tuer des gens en prenant le contrôle d'implants médicaux par radio. Vous trouverez un complément d'information sur BBC News et sur le blog d'IOActive Labs Research.
-
2013-07
Dans les « maisons intelligentes », on découvre des vulnérabilités stupides permettant les intrusions.
-
2012-12
Des crackers ont trouvé moyen de briser la sécurité d'un téléviseur « intelligent » et d'utiliser sa caméra pour regarder les gens qui sont en train de regarder la télévision.
-
2011-03
Il est possible de prendre le contrôle de l'ordinateur de bord de certaines voitures au moyen de logiciels malveillants infectant des fichiers musicaux. Et également au moyen de la radio. Vous trouverez des informations supplémentaires sur le site de l'Automotive Security And Privacy Center.