Google connait tous les mots de passe Wi-Fi enregistrés sur les smartphones Android
Ils sont sauvegardés sur les serveurs de la société
Le 2013-09-16 20:36:13, par Hinault Romaric, Responsable .NET
Google est de nouveau sous les feux des projecteurs pour ses problèmes de confidentialité.
Un récent rapport d’un expert en sécurité fait savoir que le géant de la recherche connaitrait pratiquement tous les mots de passe Wi-Fi utilisés sur un smartphone Android.
Pour cause, une fonction de sauvegarde et de restauration automatique des préférences sous Android.
Par exemple, sur un terminal HTC sous Android 2.3.4, l’utilisateur dispose dans les réglages du téléphone d’une option « Sauvegarder mes paramètres ». Sur un appareil Samsung, l’utilisateur a droit plutôt à l’option « Sauvegarder mes données » avec comme seule description « Sauvegarder les paramètres actuels et données d’applications ».
Aucune mention n’est faite de la sauvegarde des mots de passe Wi-Fi, qui sont également enregistrés sur les serveurs de Google.
Bien que destinée à des fins de restauration, la fonctionnalité permet à Google d’avoir un accès en clair à tous les mots de passe Wi-Fi des réseaux sur lesquels un utilisateur s’est connecté avec son terminal Android (domicile, entreprise, école, lieux publics, etc.).
Avec l’ampleur de l’espionnage américain, cela signifie que le gouvernement américain peut juridiquement disposer d’un accès à ces informations.
Pour se protéger, l’unique recommandation est de ne pas utiliser cette fonctionnalité de sauvegarde automatique des données, qui peut être désactivée dans les paramètres du smartphone.
Android représente, selon les chiffres publiés par le cabinet d’analyse IDC, plus de 80 % de l’ensemble des smartphones expédiés au second trimestre de cette année. De quoi s’inquiéter ?
Source : ComputerWorld
Un récent rapport d’un expert en sécurité fait savoir que le géant de la recherche connaitrait pratiquement tous les mots de passe Wi-Fi utilisés sur un smartphone Android.
Pour cause, une fonction de sauvegarde et de restauration automatique des préférences sous Android.
Par exemple, sur un terminal HTC sous Android 2.3.4, l’utilisateur dispose dans les réglages du téléphone d’une option « Sauvegarder mes paramètres ». Sur un appareil Samsung, l’utilisateur a droit plutôt à l’option « Sauvegarder mes données » avec comme seule description « Sauvegarder les paramètres actuels et données d’applications ».
Aucune mention n’est faite de la sauvegarde des mots de passe Wi-Fi, qui sont également enregistrés sur les serveurs de Google.
Bien que destinée à des fins de restauration, la fonctionnalité permet à Google d’avoir un accès en clair à tous les mots de passe Wi-Fi des réseaux sur lesquels un utilisateur s’est connecté avec son terminal Android (domicile, entreprise, école, lieux publics, etc.).
Avec l’ampleur de l’espionnage américain, cela signifie que le gouvernement américain peut juridiquement disposer d’un accès à ces informations.
Pour se protéger, l’unique recommandation est de ne pas utiliser cette fonctionnalité de sauvegarde automatique des données, qui peut être désactivée dans les paramètres du smartphone.
Android représente, selon les chiffres publiés par le cabinet d’analyse IDC, plus de 80 % de l’ensemble des smartphones expédiés au second trimestre de cette année. De quoi s’inquiéter ?
Source : ComputerWorld
-
sevyc64ModérateurOUI !
Au fait, qu'en est-il de Windows, notamment sur les ordinateurs portable, qui connait lui aussi les mdp wifi auxquels il se connecte, et qui communique régulièrement avec les serveurs Microsoft, notamment avec Windows Update.
Qu'en est-il de Apple avec iOS, il n'y a pas une telle fonctionnalité de sauvegarde chez eux ?
Qu'en est-il de l’ancêtre pas si vieux du smartphone, les Blackberry, connectés en permanence aux serveurs de Rim ?
Je suppose que 99.99% d'entre-vous n'ont pas installer un sniffer permanent pour connaitre le moindre octet qui peut être transmis par son mobile. Il ne sait donc pas si ces infos là ne sont pas ou non pas déjà été transmises
Donc, oui, c'est inquiétant que Google (ou peu importe qui) connaisse tous les mdps (et peu importe quoi d'ailleurs). Mais rien ne dit que ce n'est pas quelque chose qui existe ailleurs et peut-être depuis longtemps.
Mais c'est à coup sur quelque chose qui va s'amplifier, avec cette satané mode du tout connecté et du cloud.le 16/09/2013 à 22:14 -
NeckaraInactif"Aucune mention n’est faite de la sauvegarde des mots de passe WiFi, qui sont également enregistrés sur les serveurs de Google."
Maintenant je cite le système incriminé :
"Sauvegarder les données d'applications, les mots de passes Wi-Fi et d'autres paramètres sur les serveurs Google"
Et toi tu as rien compris aux problèmes de la vie privée.
Un mot de passe est une "donnée personnelle" et doit donc être traité en tant que tel. De plus, quand on compte le nombre de personnes qui utilisent le même mot de passe pour tout (ou pour plusieurs comptes), oui, cela peut poser problème.
Et puis il faut se méfier des "A priori"....
Si un wifi est "PUBLIC", il me semble logique que ce dernier n'a pas de mot de passe...
Tu plaisantes ? Tu crois qu'une entreprise (dont le but est de générer un bénéfice maximal) à le temps et les fonds pour rechercher toutes les vulnérabilités des outils qu'elle utilise ? Pour peu qu'elle utilise Windows comme OS (interdiction de regarder "ce qu'il se passe" dans les couches les plus basses de l'OS)... Ce n'est pas très réaliste.
Je parles bien des recherches de vulnérabilités et pas des configurations.
Peut-être pas nos mots de passes mais les mots de passes de quelques industriels/polituques/journalistes doivent être très intéressant. N'a-t-on pas vu dans une actualité que la NSA faisait de espionnage industriel en plus d'espionner illégalement des représentant/politiques d'autres pays ?
Il donne juste une indication de l'importance de cette faille. Si Android représentait 0,001% de la part de marché, cette faille n'aurait pas autant d'importance que si elle possédait 80% de parts de marchés.le 17/09/2013 à 6:24 -
niarkyzatorMembre confirméDepuis quand ?
Je pensait que la NSA avait simplement les clefs privées les plus utilisées (par Google facebook etc). Avoir un double des clefs et entrer par effraction c'est pas la même chose.
Le FBI c'était pas pété les dent sur TrueCrypt il y a quelques temps ?
Et je crois pas que l'AES 256 tombe aussi facilement que ça même pour la NSA. Ils ont peut-être des moyens détournés mais arrêtez de crier à tout bout de champs que le cryptage est inutile et dépassé, c'est faux.le 17/09/2013 à 11:13 -
HellwingMembre chevronnéTout système a besoin de sauvegarder des mots de passe à un moment donné.
M'est avis que le problème n'est pas que Google sauvegarde les mots de passe WiFi, mais qu'il les sauvegarde chez lui en clair. Cf. l'article :Bien que destinée à des fins de restauration, la fonctionnalité permet à Google d’avoir un accès en clair à tous les mots de passe WiFi des réseaux sur lesquels un utilisateur s’est connecté avec son terminal Android (domicile, entreprise, école, lieux publics, etc.).le 17/09/2013 à 8:32 -
CarhibouxExpert éminent séniorHé, pas forcément.
Imagine, un agent de la NSA cherche des données financière sur un groupe, allez on va même supposer que ça reste dans le cadre de leurs activités et que c'est un vilain groupe terroriste qui veut voler toutes les sucettes des petits enfants américains.
Il n'a pas accès directement aux données ou au réseau de la banque suisse ou les méchants jojo ont placé leur magot.
Comment il fait?
Ha tiens, et si je cherchait parmi les employés de la banque (recherche google pour en trouver facilement je pense, ou alors accès direct aux BDD facebook qui sait?), ceux qui ont un smartphone android (bdd des services google) pour voir si comme 80% des employés, ils ne s'envoient pas des documents avec des mots de passes ou des données sensibles sur leur adresse mail perso.
Et hop, une petite visite sur ton PC à la maison via une backdoor dans Windows, ou via un cheval de troie, ou que sais-je encore... Sinon pourquoi pas une voiture noire au vitres teintées qui se gare le long de ton trottoir... après tout, ils connaissent déjà ton mot de passe, non?
Et comme 80% des employés contournent les règles de sécurité par commodité (soit en notant leur mots de passe dans des fichier txt, soit en se les envoyant par mail, soit en se créant des accès non sécurisés sur des machines sécurisées...), je suis sur qu'ils peuvent très vite trouver les codes d'accès aux machines de la banque qui les intéresse.
Alors non en effet, ce n'est sans doute pas trop grave...le 17/09/2013 à 9:11 -
tchize_Expert éminent séniorta borne wifi n'acceptera jamais que tu lui envoie le hash du password plutot que le mot de passe, elle ne saura rien en faire. Donc lehash du mot de passe ne te sert à rien dans le cas présent. Le hash, ca ne sert que pour le serveur faisant l'authentification. Ici on parle d'un serveur gardant un backup. On ne hashe pas un backup, c'est comme le passer dans une machine à confettis, c'est inutilisable après.
Conserver ds hash, ça se fait quand on est dans des procédure pouvant comparer deux tas de confettis.le 17/09/2013 à 15:55 -
tchize_Expert éminent séniorBen je viens d'ouvrir mon Smartphone android, et si, c'est bien indiquée sur l'option que ça sauvegarde tes mots de passe wifi. Maintenant, si les vendeurs comme Samsung changent le nom des options pour le rendre plus vague, difficile d'en vouloir à Google à ce sujet
Un mot de passe est une "donnée personnelle" et doit donc être traité en tant que tel. De plus, quand on compte le nombre de personnes qui utilisent le même mot de passe pour tout (ou pour plusieurs comptes), oui, cela peut poser problème.
Peut-être pas nos mots de passes mais les mots de passes de quelques industriels/polituques/journalistes doivent être très intéressant. N'a-t-on pas vu dans une actualité que la NSA faisait de espionnage industriel en plus d'espionner illégalement des représentant/politiques d'autres pays ?
Pour moi c'est une non information, une option de sauvegarde de données personnelles qui sauve des données personnelles... Je ne vois rien de surprenant là dedans! Un type pense avoir découvert une grosse faille alors qu'il a juste oublié d'ouvrir le manuel de son smartphone....le 17/09/2013 à 7:47 -
pik_0frNouveau membre du ClubTout cela tant a prouver que l'interdiction d'un smartphone au personnel a haut risque ou haute fonction n'est pas si con.
Imaginé que le wifi du senat n'est absolument plus sécure malgrès les mots de passe changeant, car a peine on modifie le MdP que google (donc la NSA/CIA ou toutes autre agences américaine) dispose du nouveau MdPle 17/09/2013 à 8:50 -
tchize_Expert éminent séniorVachement utile de hasher un backup, c'est irrécupérable après
Ca n'a aucun intérêt. Le hashage des mot de passe ça ne sert que pour le serveur faisant l'authentification, pas pour celui qui doit préserver ce mot de passe.
Et donc tu pronerais un système où l'intégralité de ton téléphone s'efface le jour où tu réinitialise ton mot de passe google? Parce que, mine de rien, beaucoup de gens réinitialisent des mots de passe oublié. Dans ton cas, ce serait une catastrophe bien pire au niveau de la qualité de service. En ce qui me concerne, soit tu accepte que la société conserve tes données personelles, et dans ce cas tu assume, soit tu évite de cocher cette case.
Je rappelle accessoirement aussi que, dans les données "personelles" associées aux applications, on trouve aussi vos donnée bancaire si vous avez eu la bonne idée d'installer ce truc à la mode, les application pour faire ses virement depuis son téléphone / tablette. Même si dans le dernier cas, l'application fait un effort de protection.
Bref, c'est l'éternel problème du truc assis sur la chaise qui est pas foutu de lire un manuel d'un appareil avant de l'utiliser ou de lire ce qui est écrit à coté de la case.le 17/09/2013 à 13:32 -
ILPMembre confirméEt avec les données récoltées il y a quelques temps par les [thread=875407]Google Cars[/thread], ils auront un superbe accès à tout les réseaux privés avec leurs localisation
. le 16/09/2013 à 22:05