Pourquoi WhatsApp ne sera jamais sécurisé

Espionnage-595x240

Le monde semble choqué par le fait que WhatsApp a transformé tout téléphone en logiciel espion. Tout sur votre téléphone, y compris les photos, les courriels et les textes, était accessible aux attaquants simplement parce que vous aviez WhatsApp installé. Explication de Pavel Durov, fondateur de la messagerie Telegram.

L’année dernière, WhatsApp a dû reconnaître que son problème était très similaire: un simple appel vidéo était tout ce dont un pirate avait besoin pour accéder à l’intégralité des données de votre téléphone [1] .

Chaque fois que WhatsApp doit corriger une vulnérabilité critique dans son application, une nouvelle semble apparaître à sa place. Tous leurs problèmes de sécurité conviennent parfaitement à la surveillance, et ressemblent beaucoup à des portes dérobées (backdoor).

Un chercheur en sécurité ne peut pas vérifier le code source de Whatsapp. Contrôler s’il y a des portes dérobées dans son code. WhatsApp ne publie pas son code source. Ils font exactement le contraire: WhatsApp masque délibérément les fichiers binaires pour s’assurer que personne ne soit en mesure de les étudier.

WhatsApp et sa société mère Facebook peuvent même être amenés à implémenter des backdoors – via des processus secrets tels que ceux réclamés par le FBI [3]. Il n’est pas facile de lancer une application de communication aux États-Unis. Une semaine aux États-Unis, en 2016, a valu 3 tentatives d’infiltration du matériel d’employés de Telegram par le FBI [4] [5] .

Imaginez ce que 10 années dans cet environnement peuvent entraîner pour une société aux États-Unis.

Telegram

Backdoor

Je comprends que les agences de sécurité justifient d’installer des portes dérobées pour combattre le terrorisme, les pédophiles, les professionnels de la déstabilisation. Le problème ? Criminels et gouvernements autoritaires peuvent s’y pencher aussi. Il n’est pas étonnant que les dictateurs semblent aimer WhatsApp.

Son manque de sécurité leur permet d’espionner leur propre peuple. Voilà pourquoi WhatsApp continue d’être librement disponible dans des pays comme la Russie ou l’Iran. Pour rappel,  Telegram y est interdit par les autorités [6]. Au Sri Lanka, après les attentats du 21 avril, les réseaux sociaux mis hors-services [6b].

Telegram en réponse directe à la pression personnelle exercée par les autorités russes. À cette époque, en 2012, WhatsApp transférait encore des messages en texte brut. Non seulement les gouvernements ou les pirates, mais aussi les opérateurs de téléphonie mobile et les administrateurs wifi avaient accès à tous les textes WhatsApp [7] [8] .

Plus tard, WhatsApp a ajouté un chiffrement, qui s’est rapidement révélé être un stratagème marketing: la clé pour déchiffrer les messages était disponible pour au moins plusieurs gouvernements… y compris la Russie [9].

Chiffrement

Il y a 3 ans, WhatsApp a annoncé la mise en œuvre d’un chiffrement de bout en bout.

Cela coïncide avec une demande insistante pour sauvegarder les discussions dans le « cloud ». Lors de cette opération, WhatsApp n’explique pas à ses utilisateurs que, lors de la sauvegarde, les messages n’ont plu de chiffrement de bout en bout. Ils deviennent accessibles aux pirates et aux espions.

Les personnes suffisamment résilientes pour ne pas craquer face aux fenêtres permanentes leur demandant de sauvegarder leurs discussions dans « Le Nuage » peuvent toujours être identifiées via un certain nombre d’astuces : l’accès aux sauvegardes de leurs contacts aux modifications de clé de chiffrement invisibles [9b] .

Les métadonnées générées par les utilisateurs de WhatsApp.

Les journaux décrivant les identités des personnes en discussions [10] . En plus de cela, vous avez un mélange de vulnérabilités critiques qui se succèdent.

L’année dernière, les fondateurs de WhatsApp ont quitté la société en raison d’inquiétudes concernant la confidentialité des utilisateurs [15].

Définitivement liés par un silence contractuel. Ils ne peuvent pas discuter en coulisses sans risquer de perdre leur fortune et leur liberté. Ils ont admis, cependant, qu’ »ils avaient vendu la vie privée de leurs utilisateurs » [16] . (Merci à Yousse)

Windows 10, la fin des mots de passe ?

microsoft-authenticator-893Avec Authenticator, il n’y aura bientôt plus de mots de passe sur Windows 10. Si tout se passe comme prévu…

(CCM) — La dernière preview de Windows 10 offre la possibilité de passer outre l’authentification par mots de passe. Pour le moment, la fonctionnalité est réservée au seul OS Windows 10 S, mais Microsoft Authenticator pourrait rapidement être déployé sur toutes les versions.

Microsoft a une position très tranchée sur le sujet sensible des mots de passe. Il y a peu, l’entreprise américaine disait comprendre ses utilisateurs qui ne supportent plus de devoir entrer à chaque fois leur mot de passe. Dans la dernière version de Windows 10 (17093), l’éditeur ouvre la voie vers la fin du mot de passe pour son OS. Mais pour l’instant, seule la version S est concernée. Pour arriver à son objectif, Microsoft veut utiliser son application Authenticator, disponible sur smartphones Android.

La technologie d’identification repose sur une connexion à un compte Microsoft dans le cloud, sans avoir à recourir à un mot de passe. Après avoir entré son identifiant, l’utilisateur reçoit une notification sur son smartphone et approuve la tentative de connexion. C’est ce même cheminement qui va être suivi par Windows 10 S pour déverrouiller l’accès aux données. Avec Authenticator, un code est envoyé et permet la configuration de Windows Hello par PIN ou reconnaissance faciale. En cas de succès, la fonctionnalité pourrait être étendue à l’ensemble des versions de Windows 10.

Des portes dérobées sur des applis Android

Des portes dérobées sur des applis Android

Plus de 500 applications Android parmi les plus populaires viennent d’être supprimées du Play Store, par sécurité. 

(CCM) — A cause des backdoors qu’elles contenaient, des applications cumulant plus de 100 millions de téléchargements viennent d’être bloquées par le Play Store de Google. Ces portes dérobées permettaient à des pirates d’installer des logiciels malveillants à l’insu des propriétaires des smartphones. 

Un kit de développement (SDK) utilisé par le logiciel publicitaire Igexin est à l’origine de l’alerte de sécurité lancée par le Play Store. Ce software est utilisé pour personnaliser les diffusions de publicités sur smartphones et tablettes Android. De très nombreuses applications l’ont installé, dont des applis météo populaires, des jeux – dont certains dépassent les 50 millions de téléchargements – ou des radios Internet. Il n’y a rien d’anormal à cela, puisque les éditeurs de ces applications gratuites se rémunèrent par la publicité. Le problème vient du fait que le SDK en question présente plusieurs vulnérabilités. 

Ce sont les experts en cyber-sécurité de Lookout Security Intelligence (lien en anglais) qui ont révélé l’existence de cette backdoor, permettant d’installer des logiciels espions sur les terminaux Android. Potentiellement, les historiques d’appels, les contacts et les coordonnées GPS – entre autres – peuvent être récupérés par des hackers en exploitant la faille. Pour prévenir ce risque, Google a décidé de supprimer du Play Store toues les applications utilisant le logiciel publicitaire incriminé.

Attention au malware Faketoken

Ce malware de l’année dernière refait surface, pour s’attaquer aux données bancaires sur mobile.

(CCM) — Les experts de Kaspersky alertent les mobinautes du retour de Faketoken, le virus qui vole les données bancaires. L’éditeur de solutions de sécurité informatique explique sur son blog (lien en anglais) comment ce malware de l’année dernière à pu réapparaître dans ses radars de détection des risques.

Mis à jour, le chevshutterstock-177915332-mama-mia-2882 (1)al de Troie utilise de nouvelles techniques perfectionnées pour tromper ses victimes. Automatiquement, il est capable de se brancher sur des applis marchandes parmi les plus populaires (taxis, hôtels, banques…) pour les imiter à la perfection et récupérer les informations de paiement confidentielles des utilisateurs pris au piège.

Pour installer Faketoken sur les mobiles, les hackers utilisent tout simplement de faux liens de téléchargement de photos envoyés par SMS. Jusqu’à maintenant, cette méthode a été particulièrement efficace pour prendre le contrôle de très nombreux smartphones en installant un virus. Une fois en place, le malware Faketoken est capable de tout savoir des applis les plus utilisées du propriétaire. Il peut alors en copier l’interface et intercepter les échanges d’informations, notamment les précieuses données bancaires du propriétaire.

Selon Kaspersky, la diffusion de Faketoken est pour le moment limitée à la Russie. Avant son arrivée ici, il est toujours temps de mettre à jour son antivirus pour mobile.

Un virus repéré sur Facebook Messenger

stock-291101339-sebastien-coell-6113
Facebook Messenger

Derrière un faux fichier vidéo, c’est un virus qui se répand à travers Facebook Messenger.

(CCM) — Mieux vaut y regarder à deux fois avant de cliquer sur une vidéo reçue sur Facebook Messenger. Ce conseil de prudence est valable en permanence, mais avec la récente alerte lancée par Kaspersky, il est encore plus d’actualité.

Un malware se propage actuellement sur Facebook Messenger en prenant l’apparence d’un message vidéo. Derrière, se cache un virus par injection de code Javascript qui s’installe dès que l’utilisateur clique sur le fichier vidéo. Cela permet au hacker de scanner le navigateur web, le système d’exploitation et d’autres éléments de la machine en cours d’utilisation. A partir de ces informations, les pirates peuvent rediriger la victime vers les sites web de leur choix, pour du phishing, de la fraude publicitaire et autres attaques du même genre…

Selon David Jacoky de Kaspersky Labs (compte Twitter en anglais) , c’est bien le service de chat en ligne de Facebook qui est spécifiquement ciblé par ce nouveau virus. La technique et le mode opératoire utilisés n’ont apparemment rien de révolutionnaire. Mais les pirates misent sur la vitesse de propagation extrêmement rapide que permet Messenger pour faire le maximum de victimes avant que les utilisateurs soient informés du risque. Une nouvelle fois, la vigilance doit être de rigueur sur Facebook Messenger, et une rapide mise à jour de logiciel antivirus ne pourra jamais faire de mal…

Nokia Lumia 521 – 8GB Unlocked – [Vendu]

[Vendu] Nokia Lumia 521 – 8GB Unlocked GSM Windows 8 Smartphone – White

(Usagé mais Très Bon)

Description

Powered by Windows 8, it comes with exclusive digital lenses, a 1GHz dual core processor, and touchscreen that even works with long fingernails.

Features

  • 2G: GSM 850 / 900 / 1800 / 1900, 3G: HSDPA 850 / 1700 / 1900 / 2100
  • 4-inch IPS LCD Capacitive Multi-Touchscreen w/ Scratch-Resistant Glass
  • Microsoft Windows Phone 8 (upgradeable to WP8 Black), Dual-Core 1 GHz Processor, Chipset: Qualcomm MSM8227, Adreno 305 Graphics
  • 5 Megapixel Camera (2592 x 1936 pixels) w/ Autofocus, 1/4 » Sensor Size, Geo-Tagging + Video
  • Internal Memory: 8GB, 512 MB RAM + microSD Slot Expandable up to 64GB

Product Information

Item Weight 4.3 ounces
Product Dimensions 4.7 x 0.4 x 2.5 inches
Weight 4.32 Ounces
Colour White

 Contacter le vendeur

Pour informations: +509 38679616 / info@rezo509.com

Photos: