Une faille dans Linux affecte 8 terminaux Android sur 10
Aucun correctif n'est disponible pour le moment sur Android
Le 2016-08-16 16:14:30, par Stéphane le calme, Chroniqueur Actualités
Internet fonctionne sur le modèle TCP/IP (TCP étant littéralement le protocole de contrôle de transmissions). Constituant la base de la grande majorité des transferts sur internet, le protocole présentait cependant plusieurs vulnérabilités. L'une d'elles était sa susceptibilité à des attaques par injection de faux paquets, qui ne proviennent pas d'une des deux extrémités de la connexion TCP. Un sous-ensemble de ces attaques, les attaques en aveugle, concerne les cas où l'attaquant n'est même pas sur le chemin entre les deux extrémités (on dit qu'il est off-path, contrairement à une attaque de type Man-In-The-Middle) et doit deviner les numéros de séquence TCP pour que ses faux paquets soient acceptés.
Aussi, pour améliorer la robustesse du protocole TCP/IP contre les attaques de type Blind In-Window, Linux a décidé d’implémenter en 2012 les recommandations de la RFC 5961 dans la version 3.6 du noyau.
Mercredi dernier, durant le 25e Usenix Security Symposium, des chercheurs de la University of California at Riverside (UCR) ainsi que les chercheurs de la US Army Research Laboratory, ont prouvé qu’il était possible pour un assaillant de se servir d’une faille sur cette implémentation afin d’identifier des connexions client - serveur via TCP et, dans tous les cas, d’y mettre un terme. Dans le cas où les échanges ne s’avéraient pas chiffrés, l’assaillant a même la possibilité d’injecter du code ou des contenus frauduleux au sein de la communication.
Pour illustrer leur assertion, ils se sont servis d’une page du quotidien USA Today et ont injecté un code qui demande aux visiteurs d’entrer leurs courriels et leurs mots de passe.
Les développeurs du noyau Linux ont publié un correctif avec la version 4.7 du noyau il y a près de quatre semaines déjà, mais le correctif n'a pas encore été appliqué par la plupart des distributions. Précisons qu’il suffit qu’une des deux extrémités de la connexion soit vulnérable pour que l’attaque puisse être réalisée.
Selon les chercheurs de la UCR, cette vulnérabilité peut être utilisée pour servir de multiples desseins : mettre fin à des connexions, pirater des communications internet, lancer des attaques ciblées pour tracer les activités en ligne des utilisateurs, pirater des communications entre deux hôtes, dégrader la garantie d’anonymat fournie par des réseaux comme Tor. Selon eux, l’attaque est rapide et fiable, dure moins d'une minute et marche environ 90 pour cent du temps.
Lundi dernier, Andrew Blaich, un chercheur en sécurité de Lookout, une entreprise spécialisée dans la sécurité des terminaux mobiles, a indiqué que même les appareils tournant sur Android sont concernés : 8 appareils sur 10 de la flotte Android sont vulnérables à cette faille, soit les terminaux tournant à partir d’Android 4.4 Kitkat. Ce pourcentage représente un peu plus de 1,4 milliard de dispositifs (smartphones et tablettes) dans le monde selon le baromètre Statista.
Notons que le RFC 5961 n’a pas été complètement implémenté sur Windows et Mac, par conséquent ces plateformes ne sont théoriquement pas vulnérables.
Par ailleurs, Andrew Blaich note que bien que d’autres failles Android comme Stagefright ou Quadrooter pouvaient être plus critiques, l’attaque décrite s’avère pratique et à la portée de bon nombre de hackers. En effet, la vulnérabilité a été enregistrée comme étant CVE-2016-5696, ce qui en fait une vulnérabilité de sévérité moyenne. Toutefois, bien que l’exploiter n’est pas une chose aisée, le risque est bien présent, et en particulier pour les attaques ciblées.
Si un correctif est déjà déployé côté Linux même s’il n’est pas encore implémenté dans les principales distributions, côté Android, selon Andrew Blaich, le correctif n’est pas présent dans les dernières versions développeurs de la version Nougat (Android 7) et encore moins dans les versions du système d’exploitation déployées sur les terminaux actuellement en vente.
Un représentant de Google a déclaré que les ingénieurs de l'entreprise sont déjà au courant de la vulnérabilité et prennent les mesures appropriées. Le représentant a souligné le fait que la faille réside dans les versions vulnérables du noyau Linux et n'est pas spécifique à Android. Il a également précisé que l'équipe de sécurité Android a estimé que le risque est « modéré », contrairement à des vulnérabilités qu'elle a déjà eu à colmater qui étaient dans la catégorie « haute » ou « critique ».
Source : blog Lookout, Statista, blog Linux, RFC 5961
Aussi, pour améliorer la robustesse du protocole TCP/IP contre les attaques de type Blind In-Window, Linux a décidé d’implémenter en 2012 les recommandations de la RFC 5961 dans la version 3.6 du noyau.
Mercredi dernier, durant le 25e Usenix Security Symposium, des chercheurs de la University of California at Riverside (UCR) ainsi que les chercheurs de la US Army Research Laboratory, ont prouvé qu’il était possible pour un assaillant de se servir d’une faille sur cette implémentation afin d’identifier des connexions client - serveur via TCP et, dans tous les cas, d’y mettre un terme. Dans le cas où les échanges ne s’avéraient pas chiffrés, l’assaillant a même la possibilité d’injecter du code ou des contenus frauduleux au sein de la communication.
Pour illustrer leur assertion, ils se sont servis d’une page du quotidien USA Today et ont injecté un code qui demande aux visiteurs d’entrer leurs courriels et leurs mots de passe.
Les développeurs du noyau Linux ont publié un correctif avec la version 4.7 du noyau il y a près de quatre semaines déjà, mais le correctif n'a pas encore été appliqué par la plupart des distributions. Précisons qu’il suffit qu’une des deux extrémités de la connexion soit vulnérable pour que l’attaque puisse être réalisée.
Selon les chercheurs de la UCR, cette vulnérabilité peut être utilisée pour servir de multiples desseins : mettre fin à des connexions, pirater des communications internet, lancer des attaques ciblées pour tracer les activités en ligne des utilisateurs, pirater des communications entre deux hôtes, dégrader la garantie d’anonymat fournie par des réseaux comme Tor. Selon eux, l’attaque est rapide et fiable, dure moins d'une minute et marche environ 90 pour cent du temps.
Lundi dernier, Andrew Blaich, un chercheur en sécurité de Lookout, une entreprise spécialisée dans la sécurité des terminaux mobiles, a indiqué que même les appareils tournant sur Android sont concernés : 8 appareils sur 10 de la flotte Android sont vulnérables à cette faille, soit les terminaux tournant à partir d’Android 4.4 Kitkat. Ce pourcentage représente un peu plus de 1,4 milliard de dispositifs (smartphones et tablettes) dans le monde selon le baromètre Statista.
Notons que le RFC 5961 n’a pas été complètement implémenté sur Windows et Mac, par conséquent ces plateformes ne sont théoriquement pas vulnérables.
Par ailleurs, Andrew Blaich note que bien que d’autres failles Android comme Stagefright ou Quadrooter pouvaient être plus critiques, l’attaque décrite s’avère pratique et à la portée de bon nombre de hackers. En effet, la vulnérabilité a été enregistrée comme étant CVE-2016-5696, ce qui en fait une vulnérabilité de sévérité moyenne. Toutefois, bien que l’exploiter n’est pas une chose aisée, le risque est bien présent, et en particulier pour les attaques ciblées.
Si un correctif est déjà déployé côté Linux même s’il n’est pas encore implémenté dans les principales distributions, côté Android, selon Andrew Blaich, le correctif n’est pas présent dans les dernières versions développeurs de la version Nougat (Android 7) et encore moins dans les versions du système d’exploitation déployées sur les terminaux actuellement en vente.
Un représentant de Google a déclaré que les ingénieurs de l'entreprise sont déjà au courant de la vulnérabilité et prennent les mesures appropriées. Le représentant a souligné le fait que la faille réside dans les versions vulnérables du noyau Linux et n'est pas spécifique à Android. Il a également précisé que l'équipe de sécurité Android a estimé que le risque est « modéré », contrairement à des vulnérabilités qu'elle a déjà eu à colmater qui étaient dans la catégorie « haute » ou « critique ».
Source : blog Lookout, Statista, blog Linux, RFC 5961
-
abriotdeMembre chevronnéElle est ou la fameuse Communauté ? Et Linus ? en vacances ??
Il est écris que la faille est corrigé sur Linux... mais pas déployé. Linus n'y peux rien. Qui plus est la faille est présente sur Linux car ils ont déployé des mesures de sécurité non encore implémentés chez les Windows et Apple... [Troll]Il faudrait peut être que Windows et Apple implément le SSH... Ah pardon le SSH est implémenté depuis la dernière version par contre le Telnet ne l'est pas encore sous Windows. Ils se mettent à jour avec 20 ans de retads, il faudrait pas en plus leur demander de rattraper le retard accumulé depuis 40 ans non plus. Pardon pour une interprétation correct du HTTP/Javascript Internet Explorer a eu a peine de 10 ans de retard... On continue [/Troll] le 16/08/2016 à 19:24 -
abriotdeMembre chevronnéJe répondais à la Question "Elle est ou la fameuse Communauté ? en vacances ??". Sur la question de la réactivité de l'Open-Source qui n'est même plus a démontrer mais la personne qui a posé la question n'avait pas compris l'article et profitait de son ignorance pour inventer des faiblesse a l'Open-Source.
Après l'Open-Source a ses avantages et ses inconvénient, j'en conviens mais certainement pas plus d'inconvénient que le propriétaire. Et à choisir je préfère le côté philanthrope de l'Open-Source, la pérénité qu'il apporte et l'appropriation de la technologie qu'il permet au confort du propriétaire.
D'un point de vue sécuritaire, l'Open-Source est meilleur si la communauté est importante ce qui est le cas de Linux et pour cette raison, Linux est une référence. Ensuite ce n'est qu'une question de choix. Prendre la dernière version, non encore éprouvé et ne pas permettre de mise a jour du système est un suicide quelques soit la licence.le 17/08/2016 à 16:30 -
VoyvodeMembre émériteEt tu n’es même pas foutu d’en utiliser un correctement.
Hors sujet et avec l’orthographe et la grammaire massacrées comme il faut.le 18/08/2016 à 18:22 -
vohufrMembre éclairéAeson > Est ce que tu ressens, tout au fond de toi, à quel point tes interventions, depuis la première de ce topic, sont totalement idiotes est inutiles ?le 16/08/2016 à 22:54
-
J@ckHerrorMembre expérimentéJe pense que tu es tout de même en train de nous faire un laius sur un monde que non seulement tu ne maitrise pas, mais que tu ne connais pas non plus (je ne parle pas de lancer un liveCD d'Ubuntu).
Perso j'ai les 2 expériences, je développe sur .net au niveau pro depuis plusieurs année et j'ai un bagage assez important dans le monde du libre d'un point de vue perso et lors de mes études (stage dans un labo de recherche sur la sécurité des réseaux distribués en pointe) et je peux te confirmer que des failles il y en a partout, la base de la sécurité étant de partir du principe que 100% de sécurité n'existe nulle part, la réactivité et la facilité de déploiement d'un correctif face à une menace et un critère bien plus important que le nombre de failles, et la communauté libre n'a plus de preuve à faire de ce coté là.
Bref ! Si tu parlais de choses que tu connais et maitrisais tu pourrais sans doute te rendre compte des âneries que tu nous sors, qui peuvent être certes distrayantes (au pire ridicule), mais qui trouveraient plus leurs places dans la taverne.
J@ck.le 18/08/2016 à 11:35 -
BeanuxMembre éclairéPour ce qui est de claviers belges sous CentOs, ce qu'il nous sort est un ramassis de connerie. Depuis CentOs 5.5 (vu que c'est encore des environnement installé) le clavier belge peut être installé dans les options d'installation a peu près comme sur la capture d'écran.
Ma boite bosse sous CentOs, et je peste contre ce clavier, parce que les caractères spéciaux sont foutus n’importe ou (comprendre pas comme un clavier français).
Donc pour l'exactitude des propos on repassera.
Qui plus est, loin de moi l'idée de dénigrer cette personne, mais ces interventions sont tout sauf objectives, argumentées et ouvertes à la critique.
Juste l'échange sur le clavier est aberrant.
En gros rien de ce qui permet d’établir un dialogue raisonnable pour un échange de point de vue et d'argument. C'est mon point de vue qui prévaut point barre.
Si c'est intentionnel, c'est un troll, et si ça ne l'est pas c'est désespérant.
Edit: Une chose relativement étonnante, est que certains de ses messages sont tout à fait correctes (ponctuations, accents), tandis que d'autres sont complétement différents (comme ceux qu'on a actuellement).le 19/08/2016 à 14:07 -
edomsMembre régulierBen, il suffit de sélectionner la langue "Français (Belgique)" et le clavier est automatiquement défini en AZERTY BE.
Evidemment, tu n'as pas fait ça et tu as fait next pour continuer en anglais, idem pour moi, je suis en locale en_US mais j'ai un clavier AZERTY BE. Dans ce cas, il fallait effectivement définir le clavier :
Bref, j'ai rien compris à ton problème... T'es "Architecte DevOps", tu sais pas chercher un clavier dans une liste, et tu pars faire une demo client sans même tester avant ? C'est pas plus mal que tu sois pas arrivé au bout de l'install...
Sinon pour revenir à l'article, la faille est corrigée depuis un bail dans la mainline, le problème c'est qu'il faut à la fois que Google merge ça dans Android, et surtout que les constructeurs déploient le correctif. C'est le dernier point qui pose problème, comme toujours (sauf Apple parce qu'ils ont la main sur tout) le 19/08/2016 à 15:41 -
vohufrMembre éclairéMDR, t'as raison, une petite illustration de ce qui arrive très souvent :
8h00 "Installation des mise à jour, veuillez ne pas éteindre ou redémarrer votre ordinateur"
8h02 20% .......
8h05 60% .......
8h07 61% .......
...
8h11 95% .......
8h12 "Mise à jour impossible, désinstallation des modifications effectuées..."
8h15 80% .......
8h17 78% .......
...
8h19 "Redémarrage de l'ordinateur..."
8h20 "Installation des mise à jour, veuillez ne pas éteindre ou redémarrer votre ordinateur"
8h21 20% .......
8h25 60% .......
8h27 61% .......
...
8h31 95% .......
8h32 "Mise à jour impossible, désinstallation des modifications effectuées..."
8h35 80% .......
8h37 78% .......
...
8h42 "Redémarrage de l'ordinateur..."
8h43 "mot de passe :"
On peut enfin travailler et oui, c'est sur que c'est à jour...le 17/08/2016 à 18:50 -
vohufrMembre éclairéComme t'as trop l'air bête en en demandant encore
Parce que toi en tant que pro, tu fais des démos d'un truc que t'as pas testé avant et que visiblement tu ne comprends pas ???Ha ben je confirme que t'as pas eu l'air promalin et ça explique que tu peux l'avoir mauvaise..
Et puis, juste comme ça hein, je vois pas pourquoi on mettrait le clavier fr-be en défaut.... Car ça fait du coup 7,394 milliards de personnes potentielles qui ne veulent pas d'un clavier fr-be.
Pour terminer, pour info, lorsque tu lances une install, ça te demande de choisir le clavier.
[ ] fr_BE ISO-8859-1
[ ] fr_BE.UTF-8 UTF-8
[ ] fr_BE@euro ISO-8859-15le 18/08/2016 à 21:31 -
vohufrMembre éclairéOK
Ca me fait plaisir de te rendre service, t'imagines même pas, j'ai installé virtualbox et téléchargé centos juste pour toile 18/08/2016 à 22:08