• Une faille dans la 3G permet de pister n’importe quel smartphone

    Par Gendarmerie Maroc dans Hi-tech le 13 Octobre 2012 à 14:30

     

    Des chercheurs en sécurité britanniques et allemands ont prouvé l’existence d’une faille dans le protocole 3G qui permet assez « simplement » de localiser et suivre un téléphone compatible avec cette norme de téléphonie mobile.

     

    711751

     

    Selon l’édition australienne de SC Magazine, spécialisé dans la sécurité, des universitaires anglais (Birmingham) et allemands (Berlin) ont découvert une nouvelle menace pour la vie privée des utilisateurs de smartphones 3G, quel que soit le modèle ou l’opérateur. 
    La faille de sécurité est en effet liée au standard 3G lui-même, au fonctionnement intrinsèque du protocole et non à des failles liées aux périphériques ou à des faiblesses dans le chiffrement des communications, comme cela a pu être le cas dans le cadre des autres attaques sur les réseaux 3G, ou même GSM.
    Les chercheurs ont découvert qu’une des fonctions de la technologie 3G, qui permettait de protéger l’identité d’un utilisateur sur un réseau, prêtait en fait le flanc à une « attaque » assez simple à mettre en place. D’autant plus aisée à appliquer qu’il ne faut pas forcément un matériel introuvable et complexe à maîtriser, mais simplement une femtocell, une base qui distribue une connexion 3G en Wi-Fi, par exemple, comme pourrait le faire un modem ADSL.

    Une faille intrinsèque à la 3G

    L’attaque en question consiste à faire en sorte que l’International Mobile Subscriber Identity (IMSI), un identifiant unique permanent propre à chaque appareil, soit dévoilé par le téléphone lui-même. 
    En temps normal, pour éviter que cette identité soit connue de tous, la technologie 3G fait en sorte que cet identifiant unique soit remplacé à la connexion sur un réseau donné par un identifiant temporaire, le TMSI, ou Temporary Mobile Subscriber Identity. Ce TMSI est changé régulièrement, rendant en principe intraçable les périphériques 3G.
    Or, les chercheurs anglais et allemands ont trouvé un moyen de contourner cette « sécurité ».
    De manière schématique, ils se sont interposés entre l’antenne émettrice et le téléphone à identifier et localiser. Pour cela, ils ont intercepté, modifié et injecté des messages dans la communication établie entre les deux éléments du réseau. Autrement dit, ils ont pris la place d’un troisième « homme » quasi indétectable. Ils ont ainsi pu simuler une requête d’identifiant temporaire (TMSI) auprès de la borne 3G, qui le leur a retourné en plus de l’identifiant permanent (IMSI). Identifiant que le demandeur est sensé connaître puisque c’est le sien. Or, évidemment, le troisième homme ne connaît pas ce nom normalement.
    Une fois récolté l’identifiant unique, les « hackers » à chapeaux blancs ont donc pu savoir « facilement » où se trouvait l’appareil et suivre le moindre de ses déplacements dans la zone surveillée. Y compris au sein d’un bâtiment.

    Authentification détournée

    Une autre attaque, qui vise à localiser un téléphone 3G, s’en prend à un protocole d’authentification appelé AKA, pour Authentification and Key Agreement. Depuis la femtocell, une requête d’authentification est envoyée à tous les téléphones à portée. Elle a été copiée depuis une requête valide interceptée grâce à des appels passés vers le téléphone à pister. 
    Tous les téléphones renvoient alors un message d’erreur de synchronisation. Sauf le téléphone visé qui répond par une erreur d’adresse MAC. « La requête d’authentification interceptée peut ensuite être réutilisée par l’intrus chaque fois qu’il veut vérifier la présence du périphérique dans une zone particulière. En fait, grâce aux messages d’erreur, l’intrus peut distinguer n’importe quel mobile de celui vers lequel la requête d’authentification a été envoyée. », explique un extrait du rapport qu’ont pu consulter les journalistes de SC Magazine.

    Un scénario d’application

    Les chercheurs donnent un exemple de la procédure à suivre dans le cadre d’un petit scénario : « L’employeur pourrait, dans un premier temps, utiliser la femtocell pour « sniffer » une requête d’authentification valide. Cela pourrait se passer dans une zone différente de celle surveillée. Ensuite, l’employeur pourrait positionner la femtocell près de l’entrée du bâtiment. Les mouvements à l’intérieur du bâtiment pourraient également être suivis en ajoutant d’autres femtocell pour couvrir d’autres zones. » 
    Ils vont même jusqu’à préciser que la triangulation serait nécessaire, si les « pirates-pisteurs » décidaient d’utiliser des appareils dont la portée est plus importante que les boîtiers 3G.

    SFR, victime des essais

    L’attaque a été menée depuis une femtocell « du commerce » et avec une autre modifiée pour avoir des privilèges « root », elle a fonctionné dans tous les cas, sur différents réseaux de différents opérateurs, T-Mobile, Vodafone et O2 en Allemagne et SFR en France.

    Des solutions ?

    Les chercheurs proposent deux solutions pour corriger ces « failles ». La première consiste à introduire une clé de session qui interdirait de créer un lien entre les deux identifiants. Elle permettrait d’ailleurs de parer les deux attaques, aussi bien pour la demande d’IMSI que pour le contournement du protocole AKA. 
    La seconde consiste à modifier les messages d’erreur, qui permettraient la détection d’une attaque. Dans les deux cas, une solution de chiffrement avec une clé publique est proposée. 

    Les chercheurs se montrent plutôt optimistes : « Les solutions que nous avançons montrent que des mesures respectueuses de la vie privée peuvent être adoptées dans la prochaine génération de standards de téléphonie mobile tout en maintenant bas le coût économique et le besoin en puissance de calcul nécessaire à leur implémentation. » Une bonne nouvelle pour le futur, mais reste que cette « faille », bien que limitée à une preuve de concept, existe bel et bien, dans un protocole omniprésent actuellement. 
    Pour ce dernier point, l’entité chargée, entre autre, de la sécurité de la 3G, le 3GPP, étudie les résultats de cette recherche depuis quelques mois. La lourdeur des correctifs à déployer pourrait expliquer que rien n’a encore été fait.
     

    votre commentaire

  • Galaxy SIII mini annoncé, Samsung concurrence l'iPhone 5 par le bas

    Par Gendarmerie Maroc dans Hi-tech le 13 Octobre 2012 à 14:26

     

    Annoncé hier, jeudi 11 octobre 2012, le Galaxy SIII mini conserve beaucoup des forces de son grands frères mais se positionne plutôt en milieu de gamme, décevant presque.

     

    190.711783

    Il y avait bel et bien eu les inévitables fuites et même, à quelques jours de l’annonce, la liste des spécifications exactes de la machine. Mais désormais, c’est officiel, le Galaxy SIII mini existe, Samsung l’a dévoilé.
    Ceux qui s’attendaient à ce que le géant coréen profite d’une déclinaison de son smartphone star en 4 pouces pour le voir enfoncer le clou face à l’iPhone 5 seront déçus. A en croire la fiche technique, Samsung semble plutôt avoir décidé d’opposer un feu croisé qu’un feu frontal à Apple. Ou alors, il cherche avec ce SIII mini à saper le pouvoir de séduction des iPhone 4 et 4S, maintenus sur le marché par Apple pour en faire des produits haut de gamme à prix de milieu de gamme, très accessibles désormais que l’iPhone 5 est sorti.

     

    Les forces de son aîné

    De fait, le Galaxy SIII mini est un smartphone de milieu de gamme, sans LTE, qui ne fait pas illusion face à l’iPhone 5,  mais qui pour autant n’est pas dénué d’intérêts et d’atouts. Il embarque en effet une grande partie des fonctions et capacités de son grand frère. Certaines liées à la dernière version d’Android, comme Google Now, d’autres introduites par Samsung, sans même parler de sa surcouche TouchWiz. On retrouve ainsi S Voice, le système de reconnaissance vocal, concurrent de Siri ; les nombreuses technologies « intelligentes » du Galaxy SIII comme la Veille intelligente, qui utilise la caméra frontale pour suivre vos yeux et ne pas éteindre l’écran quand vous lisez, ou comme la fonction Appel Direct, qui, quand vous recevez un SMS d’un contact, et portez le smartphone à votre oreille, appelle l’expéditeur du message. La fonction Smart Alert est également présente, qui vous avertit des messages reçus en absence dès que vous prenez votre Galaxy SIII mini en main.
    Les fonctions liées au NFC ne seront évidemment que sur les modèles équipés d’une puce NFC, qui est en option.

    Le Galaxy SIII mini sera disponible en novembre prochain à partir de 429 euros, hors abonnement, pour sa version 8 Go.

    Source : http://www.01net.com


    votre commentaire

  • Les Anonymous font reculer Wikileaks et sa liberté d'information payante

    Par Gendarmerie Maroc dans Hi-tech le 13 Octobre 2012 à 14:22

    Depuis ses origines, un des soucis majeurs de Wikileaks est d’avoir les moyens de ses ambitions. Il en faut de l’argent pour couvrir les frais que génère un tel site, un tel « service ». Depuis longtemps, Wikileaks fait appel aux soutiens de ses visiteurs ou de ceux qui croient en son combat, son intérêt. La liberté d’information à un prix, et Wikileaks a choisi, pendant quelques dizaines d'heures, d’appliquer la formule à la lettre.

     

    Liberté d’être informé, si vous payez ?

    Pourtant, depuis le 10 octobre et jusqu'à aujourd'hui, 12 octobre 2012, Wikileaks a eu tendance à un peu forcer la main de ses lecteurs. Vous cliquiez sur un lien pour afficher un article et les informations recueillies par la structure dirigée par Julian Assange et une fenêtre se surimposait à la page. Elle affichait une vidéo, en l’occurrence celle de la campagne 2012 de Barack Obama et ne disparaissait que si vous acceptiez de faire un don ou de partager la vidéo via Facebook ou Twitter. Autrement dit, si vous acceptez de « viraliser » le message. La démarche était un peu surprenante et a fait grincer des dents.

    Au point que les Anonymous, qui ont jusqu’à présent toujours pris parti pour Wikileaks pour ce qu’il représente la liberté d’expression et de savoir, ont réagi assez vertement sur les différents comptes Twitter qu’ils animent.
     

    votre commentaire

  • CAN 2013 - Kharja : le Maroc «n’a pas intérêt à se planter»

    Par Gendarmerie Maroc dans Sport le 13 Octobre 2012 à 14:16

     

    Défait le mois dernier au Mozambique (2-0), le Maroc qui a limogé Eric Gerets après cette défaite, joue sa dernière chance de participer à la CAN 2013 samedi soir à Marrakech. Une rencontre couperet que le capitaine de la sélection marocaine, Hossine Kharja aborde avec une détermination décuplée. Entretien.
    2226971_maroccan_640x280
    Comment le Maroc a-t-il pu être autant dominé le mois dernier par la 107e nation mondiale ?

     

    Hossine Kharja. Nous avons été bidons dans l’envie et la détermination. En Afrique, ces qualités sont déterminantes car le contexte est toujours très particulier. Sur le plan du jeu, nous nous sommes créés de belles opportunités mais nous n’avons pas réussi à marquer ce but à l’extérieur.

     

    Cette défaite a coïncidé avec le limogeage d’Eric Gerets. Comment jugez-vous son passage à la tête de la sélection marocaine ?

    Les résultats n’ont pas été à la hauteur. Maintenant, Gerets n’a pas eu de chance pendant la période où il a dirigé le Maroc. Et pour être franc, les joueurs eux aussi ont une vraie part de responsabilité. Pour moi, c’est du 50-50 !

    La divulgation de son salaire, estimé à 200 000 euros mensuels, a rapidement fait le lit de la polémique au Maroc...

    C’est vrai que cela a braqué le public marocain. Cette histoire de salaire faramineux ne l’a pas lâché. En même temps, il faut aussi dire la vérité à l’opinion publique. C’est le Maroc qui est venu le chercher. C’est un entraîneur de premier plan à l’échelle mondiale qui avait réussi des bons résultats partout où il était passé.

    Séduisante sur le papier, votre sélection, à l’image d’un Marouane Chamakh, ne parvient pas à confirmer son potentiel. Comment l’expliquez-vous ?

    Oui, c’est clair. On n’est pas à la hauteur de ce qu’on pouvait attendre. La mayonnaise n’a pas pris. Quant à Marouane, là il n’a plus de temps de jeu, il n’est pas avec nous. Avec son club, il avait réussi des bons débuts mais le retour de Van Persie a été difficile à gérer.

    L’arrivée de Rachid Taoussi, un coach marocain peut-elle provoquer l’union sacrée au sein des Lions de l’Atlas ?

    Oui, cela peut provoquer un choc psychologique salvateur. Je sens plus de détermination depuis le début du stage. Notre public est de nouveau mobilisé par le sort de son équipe nationale.

    Comment serait vécue une élimination ?

    Je ne préfère même pas y penser. On n’a pas été intérêt à se planter...

    Source : http://www.leparisien.fr


    votre commentaire

  • Djokovic se paie Berdych

    Par Gendarmerie Maroc dans Sport le 13 Octobre 2012 à 14:10

     

     

    Djokovic

    Malgré plusieurs frayeurs face à un Tomas Berdych trop inconstant, Novak Djokovic s’est hissé pour la première fois de sa carrière en finale du tournoi de Shanghai (6/3 6/4).  

    Tomas Berdych ne s’en est jamais caché, il redoute Novak Djokovic plus que n’importe quel autre élément du circuit. Face au n°2 mondial, le géant tchèque a pris la mauvaise habitude de perdre ses moyens, raflant uniquement une seule de leurs dix confrontations passées. Et la nouvelle opposition entre les deux hommes, en demi-finales du tournoi de Shanghai samedi, n’a pas dérogé à la règle, permettant à Djokovic de se qualifier pour sa première finale au sein de la ville chinoise.

    Berdych, contestataire régulier
    Car à y regarder de plus près, Berdych a mâché le travail du Serbe en début de partie. Gêné par la longueur de balle de Djjokovic, trop tendre dans ses frappes de balle et auteur de multiples fautes, il lui a offert un break d’entrée de jeu. Un avantage précieux pour le natif de Belgrade, en difficulté pour conclure une première manche globalement à son avantage dans tous les compartiments du jeu (6/3). Le vainqueur de l’Open d’Australie, plus solide sur ses engagements, s’est montré réaliste en convertissant ses deux seules balles de break.

    Enhardi par une fin de premier set encourageante, Berdych n’est pas parvenu à confirmer ses nouvelles dispositions. Plus régulier dans ses sauts d’humeur envers l’arbitre et ses décisions que dans le jeu, Le Tchèque a multiplié les mauvais choix dans la seconde manche, à l’image de ce coup droit abordable envoyé en plein milieu du filet. Soit l’inverse de sa prestation de la veille contre Jo-Wilfried Tsonga. Résultat : Berdych s’est montré incapable d’inverser la tendance et de faire véritablement douter un Djokovic loin d’être au sommet de son art. Plombé par un nouveau break et des statistiques horripilantes en retour (5% de points gagnés sur la première balle du Djoker), le 7e joueur mondial a lâché prise sans avoir vraiment combattu. Un revers à la fois cinglant et peu rassurant à un mois de la finale de Coupe Davis contre l’Espagne (16-18 novembre) qui ne remet toutefois pas en cause la qualification programmée du Tchèque pour le Masters de Londres. Djokovic en profite de son côté pour garder Roger Federer, attendu contre Andy Murray dans l’autre demi-finale, et le sommet de la hiérarchie mondiale dans son viseur. 

    Résultat des 1/2 finales :
    Djokovic (Srb, 2) - Berdych (Rtc, 4) 6/3 6/4 

    Source : http://www.sport24.com


    votre commentaire