Vault 7 : Apple et Google considèrent leurs produits assez protégés
Microsoft et Samsung examinent les failles révélées, Mozilla et l'EFF accusent

Le , par Michael Guilloux, Chroniqueur Actualités
Vault 7, c’est près de 10 000 documents de la CIA que WikiLeaks a rendus publics, dans le but de dénoncer l’activité d’espionnage de l’agence américaine. Si ces documents vont créer un choc chez le grand public utilisateur des technologies ciblées, chez les professionnels de la sécurité, cela confirme encore une fois ce qu’ils savaient déjà : les organisations telles que la CIA, c’est-à-dire parrainées par un gouvernement ont les moyens de pirater et d’espionner à travers n’importe quelle technologie.

Pour les entreprises de technologie, c’est également de nombreuses failles de sécurité dans leurs produits qui ont été divulguées ; lesquelles peuvent être exploitées par d’autres États ou des pirates avant qu’elles ne soient colmatées. Étant conscients de cette réalité, les éditeurs informatiques n’ont pas tardé à réagir pour rassurer leurs utilisateurs.

Apple a été parmi les premiers à s’exprimer, et pour pousser ses utilisateurs à passer aux versions plus récentes de ses produits. D’après la firme de Cupertino, sa première analyse des documents de la CIA lui permet de dire que la plupart des failles de sécurité dans son système d’exploitation mobile ont déjà été corrigées dans la dernière version d’iOS. Cela signifie que 80 % de ses utilisateurs – lesquels utilisent la dernière version de son OS mobile – seraient protégés. Apple urge donc ses utilisateurs à passer à la dernière version d’iOS et s’assurer d’avoir les dernières mises à jour de sécurité. Pendant ce temps, le fabricant d’iPhone promet de faire le nécessaire pour corriger n’importe quelle faille qu’elle aura à identifier.

Tenant le même langage que son concurrent dans le mobile, Google assure également qu’Android et Chrome sont protégés de bon nombre de failles révélées dans les documents publiés par WikiLeaks. Dans son communiqué relayé par Recode, le géant de l’internet reste toutefois moins prétentieux qu’Apple et dit poursuivre son analyse de la fuite de données de la CIA pour mettre en place les protections supplémentaires nécessaires contre les autres brèches de sécurité. « Nous sommes persuadés que les mises à jour de sécurité et les protections de Chrome et Android protègent déjà les utilisateurs de plusieurs de ces supposées vulnérabilités », déclare Heather Adkins, directrice de la sécurité de l’information et la confidentialité chez Google. « Nous poursuivons notre analyse et nous mettrons en œuvre toute autre protection nécessaire », dit-elle.

Microsoft et Samsung essaient également de rassurer les utilisateurs. En effet, les deux entreprises informent ces derniers qu’elles sont en train d’examiner les problèmes mis en évidence dans leurs produits. Ces examens leur permettront certainement de dire si oui ou non leurs produits présentent encore les failles révélées dans les documents de la CIA.

De son côté, Mozilla accuse non seulement la CIA, mais également WikiLeaks de mettre en péril la sécurité de l’internet. « Si les informations publiées dans les rapports sont exactes, alors cela prouve que la CIA porte atteinte à la sécurité de l'internet - et WikiLeaks aussi », affirme Heather West, Senior Policy Manager chez Mozilla. L’éditeur de Firefox critique la CIA parce que l’agence travaille à collecter des vulnérabilités dans les différents produits à des fins d’espionnage. WikiLeaks est également fustigé, parce que l’organisation n’a pas cherché à coordonner la divulgation de ces vulnérabilités aux entreprises affectées pour leur permettre de les corriger et protéger les utilisateurs. WikiLeaks a plutôt choisi de les mettre à la disposition du grand public, donc d’autres agences d’espionnage et pirates également.

S'exprimant toujours sur ce genre de question, le gardien de la vie privée, Electronic Frontier Foundation (EFF), a également accusé la CIA de ne pas suivre le Vulnerabilities Equities Process (VEP), une procédure du gouvernement des États-Unis qui vise à déterminer si une agence devrait conserver une faille secrète, ou en informer les éditeurs dans le but de la corriger. Apparemment, la CIA et ses pairs préfèrent toujours garder les vulnérabilités secrètes pour une utilisation future.

Sources : BBC, Mozilla, EFF


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Capitaine_aizen Capitaine_aizen - Membre régulier https://www.developpez.com
le 09/03/2017 à 16:05
La réponse de Google, Apple, MS et Samsung sont des réponses "business" ! La véritable question est dans quelle mesure doit-on les croire ? Actuellement, nous n'avons pas les moyens de tester si les dites failles sont corrigées. (De la même manière que l'on pouvait tester si un serveur était vulnérable à heartblood ou non).
En admettant que les failles sont corrigées, quid du hardware ? Aucune de ces sociétés va envoyer un mail pour dire à leur client de renvoyer leur téléphone, ordinateur pour changer une puce qui présentait une backdoor.

En revanche, je ne comprends pas trop la réponse de Mozilla. Wikileaks n'a pas publié les failles pour éviter justement de voir ces outils se diffuser à très large échelle sans que les correctifs soient en place, donc je vois pas où est le mal. De plus si Wikileaks avait contacté les éditeurs, on ne serait pas forcément au courant de 1. L'espionnage et les outils de la CIA (que l'on va appelé NSA-forked ) 2.Il n'y aurait pas eu de pression sur ces entreprises qui n'auraient pas eu à se soucier de les corriger ou pas (Voir les récentes affaires de failles de MS & Google). En outre, cette abus de la CIA (et plus largement de cette paranoïa pathologique des USA) n'aurait pas été connu du grand public et par conséquent est-ce que nos gouvernements (dont la compétence en informatique est proche de celle d'un troll) auraient été informé ? Maintenant, on peut espérer que certains vont se prononcer sur la question (présidentielle en cours ou non !).
Avatar de NSKis NSKis - En attente de confirmation mail https://www.developpez.com
le 09/03/2017 à 16:45
"Apple et Google considèrent leurs produits assez protégés"???

Evidemment, leurs produits sont "assez protégés" pour que les autorités US puissent "assez facilement" s'y promener... Il ne faudrait tout de même pas se mettre à dos l'administration américaine; cela pourrait leur coûter extrêmement cher... Y compris quelques années de prison pour leurs dirigeants... C'est que les ricains ne sont pas du genre à rigoler... Tout le monde ne gère pas sa justice à la mode Taubira
Avatar de Tartare2240 Tartare2240 - Membre averti https://www.developpez.com
le 09/03/2017 à 17:06
Citation Envoyé par Capitaine_aizen Voir le message
En revanche, je ne comprends pas trop la réponse de Mozilla. Wikileaks n'a pas publié les failles pour éviter justement de voir ces outils se diffuser à très large échelle sans que les correctifs soient en place, donc je vois pas où est le mal. De plus si Wikileaks avait contacté les éditeurs, on ne serait pas forcément au courant de 1. L'espionnage et les outils de la CIA (que l'on va appelé NSA-forked ) 2.Il n'y aurait pas eu de pression sur ces entreprises qui n'auraient pas eu à se soucier de les corriger ou pas (Voir les récentes affaires de failles de MS & Google). En outre, cette abus de la CIA (et plus largement de cette paranoïa pathologique des USA) n'aurait pas été connu du grand public et par conséquent est-ce que nos gouvernements (dont la compétence en informatique est proche de celle d'un troll) auraient été informé ? Maintenant, on peut espérer que certains vont se prononcer sur la question (présidentielle en cours ou non !).
Wikileaks seems to be using that trove for shock value rather than coordinating disclosure to the affected companies to give them a chance to fix it and protect users.
De ce que je comprends du billet de Mozilla, ils les accusent de ne pas leur avoir donné une chance de corriger tout, donc d'envoyer les failles aux entreprises concernées, avant de les diffuser au grand public. Comme par exemple le fait Google avec les failles de Microsoft.
Avatar de Lcf.vs Lcf.vs - Membre averti https://www.developpez.com
le 09/03/2017 à 18:05
Exactement ce que j'disais:

"Il est impossible de garder le contrôle d'armes de cyberespionnage... Si vous les construisez, vous finirez par les perdre", a ajouté M. Assange, précisant que WikiLeaks possédait "beaucoup plus d'informations" sur les méthodes de la CIA.
Avatar de Ryu2000 Ryu2000 - Membre extrêmement actif https://www.developpez.com
le 09/03/2017 à 18:43
Wikileaks. Assange accuse la CIA d'« ;incompétence dévastatrice
« ;La CIA a été très imprudente en créant ces programmes. Est-ce que des cybercriminels les ont déjà récupérés ;? Est-ce que des agences de renseignement étrangères les possèdent ;? Il est parfaitement possible que nombre de gens les aient désormais ;», a déclaré Julian Assange
Avatar de chrtophe chrtophe - Responsable Systèmes https://www.developpez.com
le 09/03/2017 à 20:21
Autre point que je voudrais souligner : On parle ici de failles aussi bien hardware que software, mais quid de backdoors mathématiques ? l'AES a été developpé par les US tout comme le RSA, pouvons-nous être sur qu'il n'y a pas de failles mathématiques (qui n'ont pas encore été trouvé ou publié) qui permettraient à ces agences de déchiffrer à la volée (ou du moins plus facilement et rapidement) les communications ?
Serpent est un algorithme de chiffrement par bloc finaliste pour le concours AES. Il obtiendra finalement la 2e place (59 votes contre 86 votes pour Rijndael). Serpent a été conçu par Ross Anderson, Eli Biham et Lars Knudsen.

Une controverse existe, selon laquelle Serpent n'aurait pas été choisi comme AES, car casser ses clés aurait été beaucoup trop complexe pour les services de renseignement civils et militaires. De plus, même dans une version simplifiée il reste robuste. Par exemple Rijndael est très souvent implémenté dans TLS en version simplifiée sur 14 de ses 16 tours pour des raisons de rapidité, mais aussi d'analyses de données. Alors que Serpent doit être abaissé à au moins 9 tours pour fournir un niveau identique d'exploitation.
extrait source Wikipedia : https://fr.wikipedia.org/wiki/Serpen...cryptographie)
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 09/03/2017 à 23:06
Citation Envoyé par Lcf.vs Voir le message
Je pensais ainsi aussi, il y a une 15aine d'années... mais c'est très certainement trop naïf... peux-tu vraiment être sûr que ce que tu utilises sur ta machine isolée n'est pas déjà corrompu?

Puis, bon... tu ne fais que du 100% homemade? ne reposant sur aucune lib toute faite? allons, un peu de sérieux ^^'
quel rapport pour la lib toute faite ?
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 10/03/2017 à 0:11
Quand les sources sont disponible il est possible de retrouver la backdoor dans le code.
encore un qui ne veus pas comprendre.... meme apres ca....
Avatar de Lcf.vs Lcf.vs - Membre averti https://www.developpez.com
le 10/03/2017 à 8:10
Citation Envoyé par Aiekick Voir le message
quel rapport pour la lib toute faite ?
Ben, il n'y a pas que les logiciels et OS qui peuvent être vérolés... il en va de même pour des bibliothèques qu'on utilise au quotidien.

Je pense notamment à ces hébergeurs de packages/modules, où certains profitent de projets abandonnés ou qui ont changé de nom et dont certains profitent pour prendre la place de l'ancien pour infecter le pc de développeurs qui les installent, en toute confiance, puisqu'il n'y avait pas de problème avant.
Avatar de RyzenOC RyzenOC - Inactif https://www.developpez.com
le 10/03/2017 à 8:18
Citation Envoyé par Aeson Voir le message
encore un qui ne veus pas comprendre.... meme apres ca....
tu sait comment à fait la CIA pour véroler les programme open source ? notamment "linux" ?
Ils ont pas modifier le noyaux linux, le vrai celui de torvald et de sa bande mais ils l'ont forker.

Ils fork des projets open source et la redistribue sur la toile, rien de bien difficile.

Pour le firmware des cisco et le micro code des xeons y'a pas besoin de faire de fork, ils ont ont juste à demander à intel/cisco et voila une backdoor d'offerte par la maison.
C'est grave cr ceux qui achète du cisco et du xeons c'est pas Mr Michu mais Airbus, Ariane, Dassault System... les plans du rafale transit sur ces routeurs... c'est plus du vol mais du viol industriel.
Contacter le responsable de la rubrique Accueil