Developpez.com

Plus de 14 000 cours et tutoriels en informatique professionnelle à consulter, à télécharger ou à visionner en vidéo.

Un chercheur découvre 40 failles de type zero day dans Tizen
Le système d'exploitation de Samsung, la firme doit-elle craindre une nouvelle débâcle ?

Le , par Olivier Famien, Chroniqueur Actualités
En épluchant la pile de documents publiés par Wikileaks au sujet des opérations d’espionnage des États-Unis, l’on a pu avoir plus de lumière sur les capacités et activités des agences américaines déployées à travers le monde pour espionner les utilisateurs. En parcourant ces dossiers, l’on a découvert que la CIA, l’agence américaine de renseignement, de concert avec le MI5, le service de renseignement du Royaume-Uni ont mis en œuvre depuis 2014 un malware baptisé « Weeping Angel » capable d’infecter à distance une TV Samsung et enregistrer furtivement les bruits émis à proximité de la télévision. Cela pose un véritable problème de sécurité du côté de Samsung et un niveau élevé d’intrusion dans la vie privée des utilisateurs.

Toutefois, si vous aviez été choqué par la sécurité des TV Samsung après la révélation de cette menace, l’on est encore loin du compte face aux nouvelles failles qui viennent d’être mises à nu par Amihai Neiderman, le chercheur en sécurité israélien connu déjà pour avoir découvert une faille dans le firmware du routeur utilisé par la municipalité de Tel-Aviv et qui aurait pu être utilisée pour pirater les données circulant via le Wifi de la ville.

Depuis lundi, Neiderman a encore fait parler de lui après avoir rapporté la découverte de 40 failles de type zero day dans le système d’exploitation Tizen développé par Samsung pour ses TV, ses montres connectées, ses smartphones, ses réfrigérateurs et bien d’autres équipements. L’entreprise se réclame de 30 millions de TV fonctionnant avec ce système, plusieurs modèles de smartwatches dont les montres Gear S2, Gear 2 Neo et Gear S3 tournant avec lui ainsi qu’un nombre limité de téléphones le supportant. La firme sud-coréenne envisage même d’accroître le nombre de téléphones tournant avec ce système pour passer à 10 millions cette année et prévoit également d’équiper sa nouvelle ligne de machines à laver et de réfrigérateurs avec ce système. C’est dire combien de fois ce système est présent dans l’environnement de Samsung.

Toutefois, si l’on s’en tient aux déclarations faites par Neiderman, tous ces équipements fonctionnant avec Tizen seraient donc à la merci de pirates s’ils parvenaient à exploiter les failles découvertes par ce dernier. Dans son rapport, Neiderman explique que son aventure a commencé il y a huit mois lorsqu’il a acquis un téléviseur Samsung fonctionnant avec Tizen. Constatant les bogues des applications sur son téléviseur intelligent, il a acheté des smartphones Tizen afin d’examiner de plus près le code sous-jacent.

Après avoir examiné le code du système de ces appareils, Neiderman note que lorsque Samsung a abandonné Bada, son ancien système d’exploitation, le code de ce système a été intégré à Tizen. En conséquence, plusieurs failles ont été délivrées avec ce nouveau système. Un des exemples décrits par Neiderman est que les développeurs de Tizen ont largement utilisé la fonction Strcpy() pour répliquer les données en mémoire. Toutefois, cette fonction est connue par les développeurs comme présentant des risques de débordement de mémoire. C’est pourquoi beaucoup préféreront utiliser d’autres fonctions pour éviter ce problème, mais ce ne fut pas le cas pour les développeurs de Tizen qui en ont largement fait usage.

Pour Neiderman, « c’est peut-être le pire code qu’il ait jamais vu ». Il ajoute que les développeurs ont fait tout ce qui n’est pas recommandé de faire. Pour lui, ce code aurait été écrit par des personnes qui n’ont aucune notion en sécurité. Il conclut en affirmant que ce qui a été fait avec Tizen est pareil que « prendre un étudiant de premier cycle et le laisser programmer votre logiciel ».

Dans la flopée de failles découvertes, Neiderman rapporte que toutes les vulnérabilités découvertes permettent de prendre le contrôle à distance des appareils fonctionnant avec Tizen. Une des vulnérabilités jugées préoccupantes par le chercheur en sécurité est la possibilité de délivrer du code malveillant à un appareil en utilisant le magasin d’applications de Tizen similaire à Google Play pour Android. Par ailleurs, il est possible de mettre à jour le système Tizen avec n’importe quel code malicieux, les logiciels Tizen s’exécutant avec des privilèges élevés. En outre, à l’heure où le chiffrement des données dans les applications et systèmes n’est plus à discuter, les développeurs de Samsung ont pris sur eux de mettre de côté le chiffrement des connexions dans certaines circonstances. Cela signifie qu’un pirate pourrait aisément accéder à ces données, les espionner ou même les modifier.

Après la découverte de ces failles, Neiderman a contacté Samsung qui n’aurait pas prêté une grande attention à ses découvertes. Cependant, après avoir rapporté la découverte de failles à Motherboard puis à la conférence sur la sécurité organisée par Kaspersky Lab depuis lundi dernier, Samsung aurait approché l’expert afin de travailler avec lui pour corriger toutes ces vulnérabilités.

Aussi, vu l’importance de failles recensées, il est clair que si Samsung avait l’intention de se défaire peu à peu d’Android au profit de son système d’exploitation maison, ce changement devrait encore prendre du temps au risque d’exposer les utilisateurs à des risques de sécurité et d’amener les pirates à se frotter les mains.

Mais au-delà des failles rapportées, l’entreprise doit-elle redouter un éloignement massif des utilisateurs vis-à-vis de ses produits ? L’an dernier, elle a essuyé un revers cinglant avec des problèmes matériels détectés dans les Galaxy Note 7. L’entreprise pourrait-elle connaître à nouveau une fuite des utilisateurs au profit des produits des autres entreprises ? Ou pensez-vous que la découverte de ces failles n’aura pas d’impact significatif sur les produits de la firme ?

Source : Motherboard, Fortune

Et vous ?

Que pensez-vous de ces failles découvertes ? Entraîneront-elles une fuite massive des utilisateurs chez Samsung ?

Quelle image de Samsung retenez-vous au regard de la négligence relevée par Neiderman dans le code de Tizen ?

Voir aussi

WikiLeaks : comment la CIA aurait piraté les smart TV de Samsung pour les transformer en dispositifs d'écoute des conversations privées
Samsung : votre SmartTV vous espionne, son système de reconnaissance vocale enregistre tout ce que vous dites

La Rubrique Sécurité, Forum Sécurité, Cours et tutoriels Sécurité, FAQ Sécurité


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Patrick PETIT Patrick PETIT - Nouveau membre du Club https://www.developpez.com
le 05/04/2017 à 8:30
Bonjour a tous,

Vous allez peut-être pouvoir m'éclairer ?
Je me demande comment l'expert en sécurité sait que la fonction Strcpy() a été utilisé sans avoir lu le source ? En décompilant puis en comparant les opcode de chaque instructions du micro ?

Merci et bonne journée
Avatar de Jipété Jipété - Expert éminent https://www.developpez.com
le 05/04/2017 à 9:23
Citation Envoyé par Patrick PETIT Voir le message
Je me demande comment l'expert en sécurité sait que la fonction Strcpy() a été utilisé sans avoir lu le source ? En décompilant puis en comparant les opcodes de chaque instruction du micro ?

Citation Envoyé par Olivier Famien Voir le message
[...] Après avoir examiné le code du système de ces appareils, Neiderman note que lorsque Samsung a abandonné Bada, son ancien système d’exploitation, le code de ce système a été intégré à Tizen. En conséquence, plusieurs failles ont été délivrées avec ce nouveau système.
Avatar de vanskjære vanskjære - Membre actif https://www.developpez.com
le 05/04/2017 à 9:57
Citation Envoyé par Patrick PETIT Voir le message
Bonjour a tous,

Vous allez peut-être pouvoir m'éclairer ?
Je me demande comment l'expert en sécurité sait que la fonction Strcpy() a été utilisé sans avoir lu le source ? En décompilant puis en comparant les opcode de chaque instructions du micro ?

Merci et bonne journée

Tizen est open source.

https://source.tizen.org/


Il est d'ailleurs principalement développé conjointement par Intel et Samsung et non pas le coréen seul.
Et Samsung en tant que constructeur l'implémente dans ses appareils.
Avatar de Elay Elay - Membre du Club https://www.developpez.com
le 05/04/2017 à 10:27
Je ne pense qu'un système sans failles existe. Aujourd'hui c'est chez Samsung, surement demain chez un autre constructeur
Avatar de Patrick PETIT Patrick PETIT - Nouveau membre du Club https://www.developpez.com
le 05/04/2017 à 13:36
Citation Envoyé par vanskjære
Tizen est open source.
Je ne savais pas que c'était open source. Du coup je comprends mieux

Merci
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 05/04/2017 à 18:02
ca sert à quoi tizen ? ca équipe quoi comme appareils ?
Avatar de vanskjære vanskjære - Membre actif https://www.developpez.com
le 06/04/2017 à 10:07
Citation Envoyé par Aiekick Voir le message
ca sert à quoi tizen ? ca équipe quoi comme appareils ?
C'est un OS multi-plateforme type android avec linux en tant que noyaux et compatible Firefox OS.

Ça peux équiper des smartphone (utilisé que par samsung de façon anecdotique pour le moment : gamme Z#) ainsi que les autres types appareilles électroménager ou audio visuel, à priori très prisé toujours chez samsung .

Les applications disponible pouvant être développé pour la plateforme sont au choix en C++, soit html5/js sans navigateur nécessaire, application Android porté sous un clone de dalvik.

Après je sais pas si c'est en voie d'augmentation en terme d'utilisation chez Samsung mobile ou pas.
Je suis tombé sur une news d'un nouveau téléphone mais datant d'Aout dernier.
Offres d'emploi IT
Responsable de lot / architecte fpga H/F
Safran - Ile de France - Éragny (95610)
Expert application Supply Chain & Achats H/F
Safran - Ile de France - Evry (91)
Ingénieur produit (Landing gear) H/F
Safran - Ile de France - MASSY Hussenot

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil