Meltdown et Spectre : votre smartphone Android est-il sécurisé ?

[…] Cependant, Microsoft n’a pas déployé de patch, expliquant que le correctif était « plus difficile à développer qu’il n’y parait ». C’est justement la clé du conflit entre les deux firmes concernant la politique des 90 jours de Google : ce dernier n’a pas accès au code source des logiciels dont il découvre des failles et a décidé du délai de 90 jours d’une façon arbitraire. The Verge note que Google a fait une exception à sa politique pour les failles Meltdown et Spectre, la firme avait alors accordé un délai de 6 mois pour déployer les correctifs. Chrome OS et Android étaient touchés par les failles en question. […]

[…] (Orginal – Story lesen…) […]

[…] De nombreuses marques ont déjà publié leurs correctifs de sécurité pour corriger les failles Meltdown et Spectre, mais Sony a décidé de ne pas suivre la même approche. Le fabricant a choisi de ne pas mettre en ligne de correctifs pour ces 2 failles de sécurité sur ses smartphones Xperia Z5. Cette information ne vient pas d’un communiqué de presse de la marque japonaise, mais d’un client de la marque qui a posé la question sur Twitter et a reçu la réponse suivante. […]

J'ai bien comprit que jte convaincrais pas ;)

Ah c'est l'argument qui m'a convaincu !

Lol pas forcément non.

Facebook, Amazon et Google c'est en permanence connecté, pas besoin de taper mes identifiants, les autres oui, mais bon si un pirate était par la il serait en mesure de voir ce que je tape donc pourrait récupérer mon compte bancaire, se faire tout virer via Paypal, commander ce qu'il veut sur Amazon.. etc. En bref je suis a 100% sur de ne jamais avoir été impacté par quoi que ce soit

Non ça c'est quand même secure un minimum je pense. Ils sont pas stockés, tu es obligé de les retapper a chaque fois normalement. Par contre tes contacts, sms, mails etc ça c'est pas dit.

J'ai tout mes comptes sur mon smartphone : facebook, Amazon, google, paypal, banque.. Je pense que ça ce serait vite fait remarquer si un pirate était passer par la ?

Comment tu le sais que tu n'a pas été piraté? Le mec est ptetre venu, a fait une copie de ton phone, et au revoir, ni vu ni connu. Et hop je revend toutes tes données sur le blackmarket. Merci l'ami. ^^

Oui je dis pas le contraire, mais finalement qui a déjà été impacté par ces failles ? La plupart du temps mes smartphones n'était pas protégé/mis à jour contre ces failles et pour autant je n'ai jamais été pirater.. Je remet juste en cause le danger de ces failles, pas le fait que ça fasse bugger ou change l'utilisation du smartphone.

Attention au piratage des ondes radios. Le pigeon voyageur c'est plus sur, faut juste bien le dresser pour qu'il evite les zones de chasse ;)

Une faille ça ne fait pas bugger le télephone. Ça ne change rien a son utilisation. C'est juste qu'un pirate pour récupérer tout ce que tu as sur ton télephone et ce que tu y fait. Ça pose un soucis quand même. Bon après android est troué de partout donc ça ne changera pas grand chose. ^^

c'est ça. Même Google n'est pas préssé pour boucher les trous. C'est juste hallucinant.

Toussa pour dire qu’il n’y aura pas de correctif sur 95% des appareils

En fait, de mon point de vue (je suis désolé si je ne suis pas clair, c'est pas forcément évident, nos deux points de vue ont l'air vraiment différents sur le sujet), le détail "minime" n'a jamais été négligé, en soit. Il n'a jamais été ne serait-ce qu'envisagé de le négliger. Puisqu'il n'avait aucune raison de se révéler être un risque. Pour reprendre ton parallèle, un fabriquant de coques de bateau en bois, il serait tout à fait légitime jusqu'à ce qu'on découvre l'existence des termites. C'est ce qui s'est passé. Intel, AMD et autres fabriquent des coques en bois depuis les années 90, on a découvert les termites il y a un ou deux ans, et on s'est rendu compte qu'elles mangeaient le bois il y a quelques mois.

Je comprends ton argument, et dans l'absolu j'admets volontiers que ce qui était un detail minime pour Intel ou AMD, soit négligé fautes de moyens d'exploiter la faille. Au final, c'est plus le coté éthique et philosophique qui est intéressant, où des sociétés vivent richement d'un marché basé sur des problèmes au lieu de les résoudre : Imaginons un instant un fabricant de coques de bateau en bois, infesté de termites, et à coté tout un tas d'entreprises qui vendraient des solutions pour boucher les trous et empêcher les bateaux de couler, au lieu de fabriquer des coques en résine... intéressant le capitalisme... :)

Oui, il y a un problème de conception. Mais quand pour l'exploiter, il te faut des technologies qui, pour toi, sont totalement impossibles (alors que t'es un des rares experts au monde sur le sujet), est-ce que tu songes à la possibilité que peut permettre ce point de conception précis ? Non. Tu vois le côté positif (qui en l'occurrence est un gros gain de performances), et c'est tout, donc tu le mets en pratique. C'est exactement la situation d'Intel (et autres) depuis 22 ans. Ce qu'il faut bien comprendre, c'est que la faille, même si quelqu'un en avait eu conscience il y a quelques années, elle lui aurait semblé totalement impossible à exploiter, (et je dis bien impossible, pas très compliquée). Et c'est un point d'architecture qui est exploité depuis 1995, tu te doutes bien que ses effets de bords ne sont plus forcément remis en question à chaque génération de processeur...

Je ne suis pas spécialiste en cyber sécurité, mais une faille de 20 ans, même inexploitable, ça révèle quand même un problème de conception à la base... Ce qui me surprend en fait, c'est que le nombre de failles de sécurité ces dernières années, ne semble pas faire évoluer les choses dans l'industrie Hi tech, la où d'autres industries aurai pris cher pour moins...?

Quand je disais tout les 6 mois je pensais aux gros blockbusters genre wannacry meltdown qu'on en parle même au journal de 20h00.... Dans la réalité c'est peut être plutôt tous les 6 jours, comme tu dis...

Déjà sans ces failles, android représente un danger pour les utilisateurs à cause des nombreuses failles exploitables et non corrigées par Google ou les fabricants. Ajouées à ça, les centaines voire les milliers d’apps infectés sur le playstore ou balancées par les constructeurs comme Oneplus. Alors si ces failles viennent s’ajouter à tout ça.......

Fais leur signer des papiers disant qu'ils peuvent ! ?

Ok merci

Ça va coûter du pognon, c'est certain. Pour JS, après relecture, normalement, c'est V8, donc je me trompe et tu as raison, c'est bien natif. C'est cependant isolé dans une VM. Mais ... dépendamment de l'implémentation, ça suffit pas à boucher les trous.

Pour le JS, je n'ai jamais trop creusé le sujet, mais ça me surprendrait fortement qu'il n'y ait pas une bonne partie du moteur d'exécution en natif. Dans tous les cas, vu la tronche des PoCs, bon courage pour retrouver ça via de l'analyse statique sur les binaires compilés sans avoir une majorité de faux positifs...

Hum, JS sur Android est du code managé qui roule à l'intérieur de l'ART qui filtre (et surtout modifie les instructions) quand même pas mal ce qui peut être exécuté ou non (contrairement aux OS desktop où le moteur d'exécution JS est natif). Donc a priori, on est bien dans une situation où Google peut faire une analyse statique des exploits connus (sachant que ce sont eux qui ont fait les premiers exploits) sur le set restraint d'app qui font du JNI.

Tous sauf Itanium

Ils ont signé des papiers qui ne leur permettent pas de parler de ça à l'extérieur ;)

Très bon article, j'ai apprécié la qualité de rédaction, merci

oui je vois ce que tu veux dire, mais j'aimerais quand même avoir la position de nos chers fabriquant sur ce sujet, surtout quand on a un usage pro des nas...

Ben c'est comme l'amiante. On s'en est servi pendant des décennies avant de se rendre compte que c'etait toxique. Ou le plomb dans la peinture / les tuyaux.

2 choses: 1- cette faille-ci est surtout grave pour les serveurs, en particulier les serveurs mutualisés: le "colocataire" sur un serveur peut sortir de sa machine virtuelle et aller pomper les infos (mots de passes, comptes, cartes de crédits,...) des autres sociétés qui partagent le meme serveur. Et pomper les infos admin du serveur, pour installer d'autres malwares sur le root du serveur + les pousser sur les autres serveurs du réseau. 2- Pour les clients (PC, smartphone), c'est moins grave car on n'intéresse pas grand-mode. Sauf ceux qui ont des bitcoins, les cadres dirigeants, les riches, les poliques, les activistes... et on sait jamais, si le truc est completment automatisé donc avec un coup tres faible, on peut se retrouver avec le meme probleme que les ransomware du début de l'année, mais en pire.

Les NAS et routeurs ne sont pas vraiment concernés: ces vulnérabilités nécessitent d'exécuter un programme vérolé en local ou de visiter une page web vérolée. Avec un PC ou un smartphone, on istalle des apps et on navigue le web en permanence; mais avec un NAS, on ne le fait jamais: on n'exécute que les programmes préinstallés par le fabricant (plus éventuellement une poignée de modules supplémentaires installés via le repo du fabricant), et on ne visite pas de site web. La vulnérailité est donc essentiellement inexploitable... a la limite pour les utilisateurs qui installent des modules de tierces parties... mais ceci est deja tres risqué indépendemment de ce nuveau bug. On peu fantasmer sur l'installation forcée et silencieuse d'un exploit de ces vulnérabiltés... sauf que si le hacker sait/peut deja installer une app avec exploit via le 'net, il n'a pas besoin de vette vulnerabilité-ci pour hacker le NAS, ^^

J'ai l'impression qu'il y a une nouvelle faille toute les deux semaines, sérieux ça devient n'importe quoi ces articles ou vous faites croire a un réel danger.. finalement qui a déjà été impacté ? Perso les dizaines de failles que j'ai vu sur Frandroid ne m'ont jamais posé de soucis en vrai sur aucun de mes smartphones..

C'est beaucoup plus compliqué que de dire "la faille a 22 ans, c'est du n'importe quoi". La faille était inexploitable sans les recherches qui ont été faites ces dernières années.

lol tous les 6 mois un nouveau truc apparait ! euh ce ne serait pas plutôt tous les 6 jours ???

Euh une faille qui date de 1995, c'est quand même un poil long non ? Alors oui, maintenant ils planchent tous sur le problème, (après s’être repassé la patate chaude, ou à coups de "pas de ça chez nous"), mais bon à la base, çà me semble être une forme de négligence... En plus, c'est pas comme si c’était la premiere faille au sein des systèmes, tout les 6 mois un nouveau truc apparaît... Je sais bien qu'il faut doper le marché des PC et solutions de sécurité, mais bon....

Non Google, Intel, etc. ;)

savez vous si les processeurs famille Yorkfield sont touchés ? Y a t il une liste des processeurs intel concernés ?

lol, je m'en doutais, c'était une boutade ! Cela dit tes contacts Google qui sont indirectement concernés pourrais te renseigner, car il parait que la sécurité est leur priorité...

pouvez vous nous faire aussi un topo sur ce pb sur les nas notamment synology ?

"la plupart de mes contacts ne peuvent pas en parler... " toi aussi si tu fréquentes que des nord-coréens !!! --->>>>

industrie négligente ??? O_o shocking !!! alors qu'ils suivent ça de très près et que notre sécurité est leur priorité !!!!

Je vais me renseigner, mais j'ai un gros soucis : la plupart de mes contacts ne peuvent pas en parler... merci pour ça. ça ne change pas le fond de l'article. ;)

<blockquote>C'est seulement possible avec les applications qui utilisent le NDK</blockquote> C'est totalement faux. Spectre est exploitable via un bête bout de JavaScript… Et même si c'est fait via du NDK (ça peut très bien être fait en Java aussi, quoi que tu en penses), c'est extrêmement complexe à détecter par de l'analyse statique — la seule chose que peut faire Google.

Comment ça, ça ne s'applique pas dans cette situation ? Bien sûr que si, c'est expliqué. Impossible d'exploiter la faille au travers des API d'Android, enfin très peu probable. C'est seulement possible avec les applications qui utilisent le NDK, et dans ce cas précis, Google surveille et peut contrôler.

Période bénie pour les hackers et autre gourgandins technophiles, océan d'appareils connectés issus d'une poignée d'acteurs, d'une industrie négligente, et des possesseurs désemparés Bonne année et bonne sécurité...?

… Qui ne s'applique pas dans cette situation, et donc n'apporte pas d'information complémentaire sur le sujet de l'article ?

Pas vraiment, car nous expliquons également qu'il y a un rempart supplémentaire sur Android

En fait c'est plus un article qui explique comment se passe une MAJ de sécurité sur Android... Les 2 nouvelles failles sont juste un prétexte ! Car la réponse au titre finalement, si j'ai bien compris, est "regardez si vous avez le patch de janvier". Il y a quelques coquilles d'ailleurs dans le texte, c'est dommage.

j'ai mis mon note8 en suisse dans un coffre et ressorti mes 2 talki walki