Google est en train d’envoyer un correctif, pour que la récente faille découverte dans Google Calendar et Contacts soit bouchée. Picasa est en revanche toujours vulnérable.
Hier, nous vous expliquions que les services Google Calendar, Contacts et Picasa étaient vulnérables à une faille majeure. Elle concerne les ordinateurs, mais aussi près de 99% des terminaux Android. Pour la connexion à ces services, et pour éviter l’envoi de votre mot de passe et identifiant à chaque fois, un token vous est attribué. Normalement, une telle transaction doit s’effectuer en https, afin que personne ne puisse y accéder. Mais, il se trouve que les applications de Google sur les terminaux sous les versions d’Android 2.3.3 et inférieures demandent le token avec une connexion non sécurisée. Dans le cadre d’une connexion WiFi non sécurisée et si une personne malveillante sniffe le réseau, elle peut alors récupérer votre token et faire ce qu’elle souhaite pendant 2 semaines (durée de validité).
Google n’a pas tardé à corriger ce problème très important, puisqu’il annonce qu’une mise à jour est en cours de déploiement :
« Aujourd’hui, nous commençons à déployer une mise à jour, qui corrige une faille de sécurité qui pourrait, dans certaines circonstances, permettre un accès d’une tierce personne aux données disponibles dans les calendriers et contacts. Le correctif ne requiert aucune action de la part des utilisateurs et va être déployée au cours des prochains jours. »
Google s’attend à ce que l’ensemble du parc ait reçu le correctif dans la semaine. Le géant de Mountain View va également réinitialiser tous les tokens, afin d’invalider ceux qui auront potentiellement pu être récupérés. Il reste encore Picasa qui est toujours vulnérable, mais qui devrait être très rapidement corrigé. Le temps de réaction de Google est excellent, mais fait surtout suite à la mauvaise publicité générée. Cette information a notamment fait la une du Metro anglais.
En y regardant de plus près, ce problème était certes dangereux, mais les chances d’intercepter ce token étaient très faibles. En effet, il fallait à la fois être sur un réseau non sécurisé, qu’une trame circule sur cette période et qu’une personne malveillante cherche précisément ce token.
Source : All things digital
Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !
ha oui gros risque de sécu quand même .....
SUPER LE HORS SUJET! la prochaine fois poste sur une news en rapport avec ce que tu dit, au risque de passer pour un "n00b kevin troll" et tout ce que tu veux. Regarde l’écran de merde du sensation et le choix et vite vu, de plus les 16Go tu peux très bien t'en servir! idem sur le galaxy S, les 8Go faut y aller pour les remplir! musiques jeux application photos videos tout est sur 8Go 1.9Go c'est juste pour les applications! après si tu veux, tu peux les mettre sur la SD!
pour ce problème, ca n'est effectivement pas spécifique à google. par contre on peut clairement leur reprocher le problème des mises à jour des téléphones. aujourd'hui, quasiment tous les téléphones sur le marché sont sujets a des failles de securite encore plus graves que celui-ci. il n'y a pas si longtemps, microsoft en prenait beaucoup plus dans la gueule pour la même chose. perso, ca me troue le cul qu'à chaque fois qu'un problème est trouvé dans android, on se retrouve avec uniquement des commentaires qui disent que c'est pas grave/c'est la faute aux opérateurs/c'est la faute aux constructeurs/va t'acheter un iphone si t'es pas content/...
Je suis entièrement d'accord que c'est grave, ça fait d'ailleurs des lustres que ça me choque pour différents services dont le POP. Ce que je soulignais ici et que je trouve bizarre, c'est la façon dont est traitée l'information, comme si c'était nouveau et propre à Google. Mais bon, on va pas se plaindre, Google se sent obligé de corriger ça vite vu le bruit que ça fait, pour notre plus grand bonheur !
c'est pas parce que tout le monde est mauvais qu'il faut l'accepter. les services de mails sans un acces cryptes ne devraient pas existes. par ailleurs, quand je vois le nombre de personnes qui utilisent freewifi et autres services wifi communautaires non securisés, je vous contredis : ces problemes sont tres graves.
J'ai effectivement du être touché par cette faille. Je ne sais pas si ça a un rapport mais je ne pouvais plus accéder à mon compte google ce depuis ce matin. En m'y connectant sur pc via gmail, j'ai eu le droit à un avertissement de google me disant que mon compte avait été suspendu suite à des 'activités inhabituelles'. J'ai pu le débloquer tout de suite via un code de vérif envoyé par SMS, et ai remarqué dans la boite d'envoi de gmail qu'un mail avait envoyé à mon insu à tous mes contacts à 5h du mat'.
Tous les médias pseudo spécialisés (et les non spécialisés assumés aussi) en fond une montagne, mais en quoi est-ce une faille ? 90% des services POP utilise une authentification en clair (orange, laposte.net, sfr etc.) C'est sur que ça serait mieux en https mais c'est pas vraiment nouveau dans l’écosystème Internet. Le problème vient plutôt des wifi non cryptés, ça ne devrait pas exister (avec ou sans mot de passe) ah mon dieu je vais envoyer un commentaire en clair ! Quelqu'un qui snif pourra connaître mon mail ! et mon anonymat alors, je m'assois dessus ? Mais c'est trop horrible
j'avoue, aucune c'est simplement pour l'info
j'avoue, aucune c'est simplement pour l'info
j'avoue, aucune c'est simplement pour l'info
Ca fait plus spectaculaire certainement, si c'était fini ca aurait moins buzzé.
Mettre au courant un max de gens tout de suite, pour que les utilisateurs ayant des données réellement sensibles puissent faire le nécessaire (ne serait ce qu'éteindre le terminal par exemple / révoquer les token / stopper les synchro avec les services googles) et arrêter une éventuelle hémorragie (ce n'est pas parce qu'un chercheur trouve la faille que tu n'as pas des blackhats qui l'exploitent déjà en secret...) Prévenir la boite productrice du logiciel intervient en même temps, mais un correctif met toujours plus moins de temps à arriver.
développe please. Mon hypothèse : s'il s'agit "simplement" d'imposer un flux https et plus http pour le transfert du token, pas besoin de toucher au code des téléphones. Comme d'hab, je suppose que la mise à jour est déployée par vague sur l'ensemble des comptes google, d'où par extension "should cover all of the affected phones by the end of the week".
développe please. Mon hypothèse : s'il s'agit "simplement" d'imposer un flux https et plus http pour le transfert du token, pas besoin de toucher au code des téléphones. Comme d'hab, je suppose que la mise à jour est déployée par vague sur l'ensemble des comptes google, d'où par extension "should cover all of the affected phones by the end of the week".
Pourquoi ceux qui ont découvert cette faille n'ont pas d'abord averti google et attendus que la faille soit corrigée pour ensuite communiquer là dessus ?
HS : OSEF ?
euh, aucune loooool :D En tout cas bravo à la réactivité de Google, ça fait plaisir ;)
Hello Quel est le rapport avec la faille dont c'est ici le sujet ???
Y a-t-il un moyen de savoir si on a reçu ladite mise à jour ? Et : cette mise à jour se fera-t-elle également chez ceux qui ont une ROM custom ?
Y a-t-il un moyen de savoir si on a reçu ladite mise à jour ? Et : cette mise à jour se fera-t-elle également chez ceux qui ont une ROM custom ?
Bien bonne réactivité de la part de google
juste info intéressante à savoir : le Samsung S II malgré ses 16go de mémoire interne ne disposera que de 1.9go pour les applications + SD le reste étant réserve pour les données.... ça relance la concurrence par rapport au HTC Sensation. La comparaison des 2 va être fort sympathique je pense
Source http://gpsandco.com/articles/article.php?cat=article_pda&id=457&p=7
Il y a les deux
Bon ben reboot, en croisant les fesses pour que ce soit corrigé
Salut, c'est plutôt une mise-à-jour sur leurs serveurs qui permet de corriger le bug, ne nécessitant donc pas de m-à-j des terminaux Android: http://bit.ly/iZs7HB En anglais: "Now Google is saying that they are pushing out a server-side update that will mostly close that exploit. specifically for the Google Calendar and Google Contacts programs for all Android-based phones and devices. Because the update will be on Google's servers, there will be no software update needed for the phones themselves. It should cover all of the affected phones by the end of the week."
Oui.
"S’agissant d’une mise à jour silencieuse, vous ne serez pas notifié du changement. " Même avec des terminaux qui ont des rom opérateurs ? (orange, sfr ? )
oh barvo ms c'est des génies les gens de google , maintenant tous les fanb** vont *u*er la ckid de google ...... -_-
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
Gérer mes choix