IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une faille dans Linux affecte 8 terminaux Android sur 10
Aucun correctif n'est disponible pour le moment sur Android

Le , par Stéphane le calme

78PARTAGES

7  0 
Internet fonctionne sur le modèle TCP/IP (TCP étant littéralement le protocole de contrôle de transmissions). Constituant la base de la grande majorité des transferts sur internet, le protocole présentait cependant plusieurs vulnérabilités. L'une d'elles était sa susceptibilité à des attaques par injection de faux paquets, qui ne proviennent pas d'une des deux extrémités de la connexion TCP. Un sous-ensemble de ces attaques, les attaques en aveugle, concerne les cas où l'attaquant n'est même pas sur le chemin entre les deux extrémités (on dit qu'il est off-path, contrairement à une attaque de type Man-In-The-Middle) et doit deviner les numéros de séquence TCP pour que ses faux paquets soient acceptés.

Aussi, pour améliorer la robustesse du protocole TCP/IP contre les attaques de type Blind In-Window, Linux a décidé d’implémenter en 2012 les recommandations de la RFC 5961 dans la version 3.6 du noyau.

Mercredi dernier, durant le 25e Usenix Security Symposium, des chercheurs de la University of California at Riverside (UCR) ainsi que les chercheurs de la US Army Research Laboratory, ont prouvé qu’il était possible pour un assaillant de se servir d’une faille sur cette implémentation afin d’identifier des connexions client - serveur via TCP et, dans tous les cas, d’y mettre un terme. Dans le cas où les échanges ne s’avéraient pas chiffrés, l’assaillant a même la possibilité d’injecter du code ou des contenus frauduleux au sein de la communication.

Pour illustrer leur assertion, ils se sont servis d’une page du quotidien USA Today et ont injecté un code qui demande aux visiteurs d’entrer leurs courriels et leurs mots de passe.


Les développeurs du noyau Linux ont publié un correctif avec la version 4.7 du noyau il y a près de quatre semaines déjà, mais le correctif n'a pas encore été appliqué par la plupart des distributions. Précisons qu’il suffit qu’une des deux extrémités de la connexion soit vulnérable pour que l’attaque puisse être réalisée.

Selon les chercheurs de la UCR, cette vulnérabilité peut être utilisée pour servir de multiples desseins : mettre fin à des connexions, pirater des communications internet, lancer des attaques ciblées pour tracer les activités en ligne des utilisateurs, pirater des communications entre deux hôtes, dégrader la garantie d’anonymat fournie par des réseaux comme Tor. Selon eux, l’attaque est rapide et fiable, dure moins d'une minute et marche environ 90 pour cent du temps.

Lundi dernier, Andrew Blaich, un chercheur en sécurité de Lookout, une entreprise spécialisée dans la sécurité des terminaux mobiles, a indiqué que même les appareils tournant sur Android sont concernés : 8 appareils sur 10 de la flotte Android sont vulnérables à cette faille, soit les terminaux tournant à partir d’Android 4.4 Kitkat. Ce pourcentage représente un peu plus de 1,4 milliard de dispositifs (smartphones et tablettes) dans le monde selon le baromètre Statista.



Notons que le RFC 5961 n’a pas été complètement implémenté sur Windows et Mac, par conséquent ces plateformes ne sont théoriquement pas vulnérables.

Par ailleurs, Andrew Blaich note que bien que d’autres failles Android comme Stagefright ou Quadrooter pouvaient être plus critiques, l’attaque décrite s’avère pratique et à la portée de bon nombre de hackers. En effet, la vulnérabilité a été enregistrée comme étant CVE-2016-5696, ce qui en fait une vulnérabilité de sévérité moyenne. Toutefois, bien que l’exploiter n’est pas une chose aisée, le risque est bien présent, et en particulier pour les attaques ciblées.

Si un correctif est déjà déployé côté Linux même s’il n’est pas encore implémenté dans les principales distributions, côté Android, selon Andrew Blaich, le correctif n’est pas présent dans les dernières versions développeurs de la version Nougat (Android 7) et encore moins dans les versions du système d’exploitation déployées sur les terminaux actuellement en vente.

Un représentant de Google a déclaré que les ingénieurs de l'entreprise sont déjà au courant de la vulnérabilité et prennent les mesures appropriées. Le représentant a souligné le fait que la faille réside dans les versions vulnérables du noyau Linux et n'est pas spécifique à Android. Il a également précisé que l'équipe de sécurité Android a estimé que le risque est « modéré », contrairement à des vulnérabilités qu'elle a déjà eu à colmater qui étaient dans la catégorie « haute » ou « critique ».

Source : blog Lookout, Statista, blog Linux, RFC 5961

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de abriotde
Membre chevronné https://www.developpez.com
Le 16/08/2016 à 19:24
Elle est ou la fameuse Communauté ? Et Linus ? en vacances ??
Lis l'article avant de parler... Il est écris que la faille est corrigé sur Linux... mais pas déployé. Linus n'y peux rien. Qui plus est la faille est présente sur Linux car ils ont déployé des mesures de sécurité non encore implémentés chez les Windows et Apple... [Troll]Il faudrait peut être que Windows et Apple implément le SSH... Ah pardon le SSH est implémenté depuis la dernière version par contre le Telnet ne l'est pas encore sous Windows. Ils se mettent à jour avec 20 ans de retads, il faudrait pas en plus leur demander de rattraper le retard accumulé depuis 40 ans non plus. Pardon pour une interprétation correct du HTTP/Javascript Internet Explorer a eu a peine de 10 ans de retard... On continue [/Troll]
7  0 
Avatar de abriotde
Membre chevronné https://www.developpez.com
Le 17/08/2016 à 16:30
Je répondais à la Question "Elle est ou la fameuse Communauté ? en vacances ??". Sur la question de la réactivité de l'Open-Source qui n'est même plus a démontrer mais la personne qui a posé la question n'avait pas compris l'article et profitait de son ignorance pour inventer des faiblesse a l'Open-Source.
Après l'Open-Source a ses avantages et ses inconvénient, j'en conviens mais certainement pas plus d'inconvénient que le propriétaire. Et à choisir je préfère le côté philanthrope de l'Open-Source, la pérénité qu'il apporte et l'appropriation de la technologie qu'il permet au confort du propriétaire.
D'un point de vue sécuritaire, l'Open-Source est meilleur si la communauté est importante ce qui est le cas de Linux et pour cette raison, Linux est une référence. Ensuite ce n'est qu'une question de choix. Prendre la dernière version, non encore éprouvé et ne pas permettre de mise a jour du système est un suicide quelques soit la licence.
5  0 
Avatar de Voyvode
Membre émérite https://www.developpez.com
Le 18/08/2016 à 18:22
Citation Envoyé par Aeson Voir le message
Mdrrr la communaute n est meme pas foutue de mettre en standard un clavier representant 6 millions de personnes...
Et tu n’es même pas foutu d’en utiliser un correctement.

Citation Envoyé par Aeson Voir le message
Sinon.... vous avez vu que Powershell est OpenSource et tourne sous Linux mdrrr
Quand les moyens et les ressources sont la le service suit au moin... Avec TOUT les claviers 😉
Hors sujet et avec l’orthographe et la grammaire massacrées comme il faut.
5  0 
Avatar de vohufr
Membre éclairé https://www.developpez.com
Le 16/08/2016 à 22:54
Aeson > Est ce que tu ressens, tout au fond de toi, à quel point tes interventions, depuis la première de ce topic, sont totalement idiotes est inutiles ?
5  1 
Avatar de J@ckHerror
Membre expérimenté https://www.developpez.com
Le 18/08/2016 à 11:35
Citation Envoyé par Aeson Voir le message
Si tu sais pas utilise un pc j en peus rien. J ai jamais eu ce problemes. Par cobtre la derniere ditribution Linux que j ai essaye n avait meme pas le clavier Fr-be... bravo. Mdrrrr. Que la communaute commence a mapper tous les clavier avant de s y croire....
Je pense que tu es tout de même en train de nous faire un laius sur un monde que non seulement tu ne maitrise pas, mais que tu ne connais pas non plus (je ne parle pas de lancer un liveCD d'Ubuntu).
Perso j'ai les 2 expériences, je développe sur .net au niveau pro depuis plusieurs année et j'ai un bagage assez important dans le monde du libre d'un point de vue perso et lors de mes études (stage dans un labo de recherche sur la sécurité des réseaux distribués en pointe) et je peux te confirmer que des failles il y en a partout, la base de la sécurité étant de partir du principe que 100% de sécurité n'existe nulle part, la réactivité et la facilité de déploiement d'un correctif face à une menace et un critère bien plus important que le nombre de failles, et la communauté libre n'a plus de preuve à faire de ce coté là.

Bref ! Si tu parlais de choses que tu connais et maitrisais tu pourrais sans doute te rendre compte des âneries que tu nous sors, qui peuvent être certes distrayantes (au pire ridicule), mais qui trouveraient plus leurs places dans la taverne.

J@ck.
4  0 
Avatar de Beanux
Membre éclairé https://www.developpez.com
Le 19/08/2016 à 14:07
Pour ce qui est de claviers belges sous CentOs, ce qu'il nous sort est un ramassis de connerie. Depuis CentOs 5.5 (vu que c'est encore des environnement installé) le clavier belge peut être installé dans les options d'installation a peu près comme sur la capture d'écran.
Ma boite bosse sous CentOs, et je peste contre ce clavier, parce que les caractères spéciaux sont foutus n’importe ou (comprendre pas comme un clavier français).

Donc pour l'exactitude des propos on repassera.

Qui plus est, loin de moi l'idée de dénigrer cette personne, mais ces interventions sont tout sauf objectives, argumentées et ouvertes à la critique.
Juste l'échange sur le clavier est aberrant.
En gros rien de ce qui permet d’établir un dialogue raisonnable pour un échange de point de vue et d'argument. C'est mon point de vue qui prévaut point barre.

Si c'est intentionnel, c'est un troll, et si ça ne l'est pas c'est désespérant.

Edit: Une chose relativement étonnante, est que certains de ses messages sont tout à fait correctes (ponctuations, accents), tandis que d'autres sont complétement différents (comme ceux qu'on a actuellement).
4  0 
Avatar de edoms
Membre régulier https://www.developpez.com
Le 19/08/2016 à 15:41
Citation Envoyé par Aeson Voir le message
La realité est la... ce clavier n'est pas la par defaut lors de l'install... ce qui devrait etre le minimum a attendre d'un OS et de l'equipe qui le developpe...
Ben, il suffit de sélectionner la langue "Français (Belgique)" et le clavier est automatiquement défini en AZERTY BE.



Evidemment, tu n'as pas fait ça et tu as fait next pour continuer en anglais, idem pour moi, je suis en locale en_US mais j'ai un clavier AZERTY BE. Dans ce cas, il fallait effectivement définir le clavier :



Bref, j'ai rien compris à ton problème... T'es "Architecte DevOps", tu sais pas chercher un clavier dans une liste, et tu pars faire une demo client sans même tester avant ? C'est pas plus mal que tu sois pas arrivé au bout de l'install...

Sinon pour revenir à l'article, la faille est corrigée depuis un bail dans la mainline, le problème c'est qu'il faut à la fois que Google merge ça dans Android, et surtout que les constructeurs déploient le correctif. C'est le dernier point qui pose problème, comme toujours (sauf Apple parce qu'ils ont la main sur tout )
4  0 
Avatar de vohufr
Membre éclairé https://www.developpez.com
Le 17/08/2016 à 18:50
Citation Envoyé par Aeson Voir le message
N importe quoi. Ca c est verifie avec OpenSsl et Bash... 15 ans pour decouvrir un failles dans des soft si utilisé... alors que le code est disponoble a tous le monde. Les entreprises ne se trompe pas d ailleurs. Regardez les part de marche des desktop et des serveurs d entreprise. Les OS libre sont trop chere a maintenir donc pas maintenus et donc vulnerable. De plus, on le voit encore ici, il est tres difficile avec les moyens a leur disposition de fournir des services digne de ce nom. La faille est reparee oui, mais si elle reste sur le PC de dev elle ne sert a rien. Avoir un code super mais aucun support ou suive efficace ne sert a rien.

Enfin soit... traite moi de troll ca me fera bien marrer...
MDR, t'as raison, une petite illustration de ce qui arrive très souvent :

8h00 "Installation des mise à jour, veuillez ne pas éteindre ou redémarrer votre ordinateur"
8h02 20% .......
8h05 60% .......
8h07 61% .......
...
8h11
95% .......
8h12 "Mise à jour impossible, désinstallation des modifications effectuées..."
8h15 80% .......
8h17 78% .......
...
8h19 "Redémarrage de l'ordinateur..."
8h20 "Installation des mise à jour, veuillez ne pas éteindre ou redémarrer votre ordinateur"
8h21 20% .......
8h25 60% .......
8h27 61% .......
...
8h31
95% .......
8h32 "Mise à jour impossible, désinstallation des modifications effectuées..."
8h35 80% .......
8h37 78% .......
...
8h42 "Redémarrage de l'ordinateur..."

8h43 "mot de passe :"

On peut enfin travailler et oui, c'est sur que c'est à jour...
3  0 
Avatar de vohufr
Membre éclairé https://www.developpez.com
Le 18/08/2016 à 21:31
Citation Envoyé par Aeson Voir le message
Plus d arguments ? Lol
Comme t'as trop l'air bête en en demandant encore

Citation Envoyé par Aeson Voir le message
Mdrrr la communaute n est meme pas foutue de mettre en standard un clavier representant 6 millions de personnes...
Ca fait super pro lors d une demo...

Et l argument de dire que le mappage d un clavier prendrait trop de place est simplement con. Dsl.

Sinon.... vous avez vu que Powershell est OpenSource et tourne sous Linux mdrrr
Quand les moyens et les ressources sont la le service suit au moin... Avec TOUT les claviers 😉
Parce que toi en tant que pro, tu fais des démos d'un truc que t'as pas testé avant et que visiblement tu ne comprends pas ??? Ha ben je confirme que t'as pas eu l'air pro malin et ça explique que tu peux l'avoir mauvaise..

Et puis, juste comme ça hein, je vois pas pourquoi on mettrait le clavier fr-be en défaut.... Car ça fait du coup 7,394 milliards de personnes potentielles qui ne veulent pas d'un clavier fr-be.

Pour terminer, pour info, lorsque tu lances une install, ça te demande de choisir le clavier.
[ ] fr_BE ISO-8859-1
[ ] fr_BE.UTF-8 UTF-8
[ ] fr_BE@euro ISO-8859-15
je vois pas fr-be ??? vraiment il n'y est pas, et pourtant j'ai cherché... je cherche encore.... Quelqu'un peut m'aider ?
3  0 
Avatar de vohufr
Membre éclairé https://www.developpez.com
Le 18/08/2016 à 22:08
Citation Envoyé par Aeson Voir le message
https://www.centos.org/forums/viewto...ic.php?t=47098

Mais vas y. Poste l ecran d install....
OK



Ca me fait plaisir de te rendre service, t'imagines même pas, j'ai installé virtualbox et téléchargé centos juste pour toi
3  0