iPhone hackés pendant des années

ecatomb a dit:
Bizarrement il ne me semble pas que Apple fasse pareil: parler des failles exploitées sur les appareils Google. :D


C'est surtout qu'on a fait le tour du sujet (enfin je crois) et que sur ce problème, les gens préfère commenter la news que poster sur le forum.
Si tu ne l'as pas fait, je t'invite à y lire les commentaires. Tu y trouveras peut-être des points de vue nouveaux.
Cliquez pour agrandir...

[emoji106][emoji106][emoji106][emoji106]
 
ecatomb a dit:
Bizarrement il ne me semble pas que Apple fasse pareil: parler des failles exploitées sur les appareils Google. :D
Cliquez pour agrandir...

Pas sur les failles mais sur les données personnelles oui. Du coup oui c’est de bonne guerre.
 
  • J’aime
Réactions: Membre supprimé 1129907
Jura39 a dit:
Bah non quand mème , c'est pas Android :D
Cliquez pour agrandir...

Bah si Apple fait la leçon à Facebook et à Google implicitement. Du coup Google fait la leçon sur la culture sécurité à Apple.
De mémoire Apple n’a pas une équipe comme le project Zéro chez Google qui fait de la recherche uniquement sur la sécurité.
Apple n’a pas non plus une culture de la sécurité vraiment poussée. Il suffit de voir le peu de paiement qu’ils font en retour d’un signalement sur une faille. S’ils avaient la culture de la sécurité ils auraient une équipe interne qui n’aurait pas laisser passer la faille comme l’entrée en root sans mot de passe sur MacOS.

Donc oui c’est de bonne guerre.
Concernant Android je ne pense pas que ça soit une passoire. Le Play Store est un problème. Car pas assez surveillé. Et désactiver les sécurités de base est trop simple. Mais le plus gros problème c’est Google qui pompe toutes nos données. Mais ça s’est un autre problème.
 
  • J’aime
Réactions: Membre supprimé 1099458 et Membre supprimé 1129907
lostOzone a dit:
Bah si Apple fait la leçon à Facebook et à Google implicitement. Du coup Google fait la leçon sur la culture sécurité à Apple.
De mémoire Apple n’a pas une équipe comme le project Zéro chez Google qui fait de la recherche uniquement sur la sécurité.
Apple n’a pas non plus une culture de la sécurité vraiment poussée. Il suffit de voir le peu de paiement qu’ils font en retour d’un signalement sur une faille. S’ils avaient la culture de la sécurité ils auraient une équipe interne qui n’aurait pas laisser passer la faille comme l’entrée en root sans mot de passe sur MacOS.
Cliquez pour agrandir...

Salut,

Une leçon ? En février, l’équipe Zéro de Google a fait un bon vieux chantage au ZeroDay à Apple, c’est dit texto dans leur blog : « We reported these issues to Apple with a 7-day deadline on 1 Feb 2019 « . C’est une pratique assez courante dans ce genre de situation mais plutôt de la part de hacker.

Qu’entends-tu par peu de paiement dans ce genre de situation ? Toujours selon le blog de l’équipe Zéro de Google, la mise à jour vers l’iOS 12.1.4 a été le résultat de leurs révélations auprès d’Apple.

Ceci dit, le plus inquiétant dans l’histoire est qu’un lot conséquent de données personnelles ont été siphonnées, peut-être exploitées mais qu’on ne sait pas lesquelles.

A+
 
ze_random_bass a dit:
Salut,

Une leçon ? En février, l’équipe Zéro de Google a fait un bon vieux chantage au ZeroDay à Apple, c’est dit texto dans leur blog : « We reported these issues to Apple with a 7-day deadline on 1 Feb 2019 « . C’est une pratique assez courante dans ce genre de situation mais plutôt de la part de hacker.

Qu’entends-tu par peu de paiement dans ce genre de situation ? Toujours selon le blog de l’équipe Zéro de Google, la mise à jour vers l’iOS 12.1.4 a été le résultat de leurs révélations auprès d’Apple.

Ceci dit, le plus inquiétant dans l’histoire est qu’un lot conséquent de données personnelles ont été siphonnées, peut-être exploitées mais qu’on ne sait pas lesquelles.

A+
Cliquez pour agrandir...

Les leçons c’est les déclarations de Tim sur les données personnelles. Et les trucs du style « ce qui se passe sur l’iPhone reste sur l’iPhone ».

Pour les zero days c’est une pratique courante. Et c’est normal puisque c’était une vulnérabilité exploitée si j’ai bien compris. Y a quand même une différence avec une vulnérabilité connue mais sans exploitation concrète ou difficile. Et c’est sympa de la part de Google de communiquer avec Apple dessus. Certains revendent les vulnérabilités au marché noir. C’est pour cela qu’il y a normalement des récompenses en échange des vulnérabilités. Pourquoi ça se justifie? Parce que c’est quand même la responsabilité de l’éditeur du logiciel de sortir un logiciel sécurisé. Évidemment si les montants ne sont pas assez élevés et bien le nombre de retours est faible et donc le code n’est pas plus sécurisé. C’est clairement un signe extérieur qu’Apple ne prends pas assez la sécurité comme quelque chose de prioritaire. J’avais lu qu’ils ont fait un effort. Mais c’est assez récent et une culture d’entreprise ça ne se change pas du jour au lendemain. Y a qu’à voir la régression au niveau de la mise à jour 12.4 qui a réintroduit une vulnérabilité déjà corrigée. Ca ne devrait pas arriver ce genre de chose quand on prends la sécurité au sérieux.
 
Dernière édition:
Pas faux.
 
Sdelabonnement a dit:
Je n’ai malheureusement ni l’envie ni le courage de répondre à toutes tes approximations et jugements de valeur (naïf etc...). Je suis au boulot
emoji6.png

J’ai bien pris note de tes réflexions mais mon opinion (très loin d’être naïve) n’a pas bougé d’un iota
emoji6.png
Cliquez pour agrandir...
Tu pourrais relire cette réponse #57 et faire une vérification de ta boîte mail, de ce que tu reçois, de ce que tu ouvres, de ce que tu envoies. Pour moi, il n'y a pas de fumée sans feu.
 
  • J’aime
Réactions: Membre supprimé 1099458
Locke a dit:
Tu pourrais relire cette réponse #57 et faire une vérification de ta boîte mail, de ce que tu reçois, de ce que tu ouvres, de ce que tu envoies. Pour moi, il n'y a pas de fumée sans feu.
Cliquez pour agrandir...

Je n’ai pas besoin de relire cette réponse (plutôt agressive d’ailleurs je trouve)...
Dans mon cas elle n’explique RIEN.
Je n’ai jamais ouvert de mail qui ne provient pas directement de mes contacts. Bref encore une fois, on tourne en rond...
Il va falloir que certains participants de ce forums (qui forment visiblement une bande de copains) comprennent que les failles peuvent venir du système lui-même et qu’il n’y a pas forcément d’imprudence personnelle à l’origine d’un piratage...
 
Sdelabonnement a dit:
Je n’ai pas besoin de relire cette réponse (plutôt agressive d’ailleurs je trouve)...
Dans mon cas elle n’explique RIEN.
Je n’ai jamais ouvert de mail qui ne provient pas directement de mes contacts. Bref encore une fois, on tourne en rond...
Il va falloir que certains participants de ce forums (qui forment visiblement une bande de copains) comprennent que les failles peuvent venir du système lui-même et qu’il n’y a pas forcément d’imprudence personnelle à l’origine d’un piratage...
Cliquez pour agrandir...

Évidemment comme personne n’a tous les éléments on peut douter que la boîte n’ai pas été piraté. Évidemment si elle est piratée. Il est assez facile de créer un faux mail d’un expéditeur habituel pour en provoquer l’ouverture. Ensuite c’est le truc classique de l’hameçonnage. C’est pour ça qu’Apple insiste lourdement sur l’authentification à deux facteurs.
Selon le niveau de sophistication de l’attaque. Il est difficile de la déceler. Une attaque ciblée et personnalisée est souvent indécelable. A minima il faut activer l’authentification à double facteur sur tous ses comptes. Et utiliser un mot de passe différent sur tous ses comptes. Le plus important ça reste l’adresse mail qui reste le point crucial d’un piratage général.

Par conte pareil je trouve la réponse un peu abrupte. Sans aucune explication concrète ou la moindre recherche de réponse personnalisée. Je comprend quand même que ça agace car la discussion part sur un postulat sans preuves concrète qui sonne comme du bashing.
 
Pour tout ce qui touche la sécurité, les discussions devraient être menées par des gens informés qui sans être des spécialistes dépassent le niveau des rapporteurs de rumeurs. Les problèmes soulevés sont avant tout techniques, pas marketing, il devrait être possible d'engager une discussion dépassionnée. Malheureusement, certains intervenants semblent souvent plus motivés à alimenter des polémiques personnelles.


Concernant les "révélations" de Ian Beer, un article du Monde en a soulevé les nombreuses zones d'ombre :
– les sites ne sont pas nommés, l'IP du serveur est restée secrète. Dans ce cas, comment évaluer le nombre de personnes qui auraient été exposées ? Ian Beer et le projet Zero avancent un ordre de grandeur invérifiable.
– une communauté semble particulièrement visée (toujours selon Ian Beer) mais on ne nous indique pas laquelle. Le chercheur reste dans le vague tant sur la nature du groupe que sur son origine géographique. Asie ? Moyen Orient ? Amériques ? Europe ? Afrique ?
– les promoteurs de ces sites se sont donnés beaucoup de mal pour maintenir leur piège en état de fonctionner au fil des mises à jour de iOS. La plupart des failles sont des zero day.
– par contre, d'autres aspects diffèrent du comportement "habituel" des groupes de hackers.

Le pourquoi du comment appartient au Project Zéro Day et à Google. On pourra trouver que cette communication absconse ressemble à une campagne de dénigrement à quelque jours d'annonces concernant l'iPhone mais cela ne nous apprendra rien sur la sécurité de nos appareils.


En tant qu'utilisateur lambda que puis-je en déduire ?

Déjà dans l'absolu, aucun appareil ou système, de quelque marque qu'il soit, n'est une garantie contre le hacking. Il n'y a aucun recours contre une faille zero day, c'est le principe même du truc. C'est à l'utilisateur de minimiser les risques d'y être exposé par un comportement adéquat sur internet.

Certaines organisations disposent de moyens considérables pour mettre à mal notre vie privée et pour s'emparer de nos données.

En l'état actuel de nos connaissances, et de ce que rapporte Ian Beer, les iPhones ne sont plus concernés pour peu qu'ils aient fait les mises à jour au-delà de iOS 12.1.2.

La sécurité informatique est une illusion passagère.
 
Dernière édition:
  • J’aime
Réactions: Sly54
lostOzone a dit:
Par conte pareil je trouve la réponse un peu abrupte. Sans aucune explication concrète ou la moindre recherche de réponse personnalisée. Je comprend quand même que ça agace car la discussion part sur un postulat sans preuves concrète qui sonne comme du bashing.
Cliquez pour agrandir...

Je plussoie ;)
 
Moonwalker a dit:
Pour tout ce qui touche la sécurité, les discussions devraient être menées par des gens informés qui sans être des spécialistes dépassent le niveau des rapporteurs de rumeurs. Les problèmes soulevés sont avant tout techniques, pas marketing, il devrait être possible d'engager une discussion dépassionnée. Malheureusement, certains intervenants semblent souvent plus motivés à alimenter des polémiques personnelles.
Cliquez pour agrandir...
C'est hélas loin d'être le cas dans ce topic , comme dans beaucoup d'autres :(
 
En tout cas, tu n'as pas précisé si le réseau WiFi que tu utilise est bien sécurisé ou non ? Cela peut être aussi le point d'entrée pour le piratage d'un compte.
Tout comme la connexion via un autre appareil.

D'ailleurs, je crois me souvenir qu'il y avait eu la méthode de piratage suivante:
- un appareil du pirate se connecte à ton réseau wifi et le cache
- cet appareil recrée un autre réseau wifi avec le même nom et tout ce qui va avec
- ton appareil se connecte alors au faux réseau en pensant être sur le bon
- le pirate a tout le loisir d'analyser ce qui passe via ton wifi

Sinon pour en revenir au sujet initial: comme dit précédemment il y aura toujours des failles zero day chez apple ou autre. Le principal, c'est qu'elles soient corrigées le plus tôt possible (de ce côté là, j'apprécie bien plus les iPhone que les appareils android). Il faut aussi ne pas penser que son appareil est sûr à 100% et croire n'importe quel message.
La bannière de pub indiquant qu'un virus a été détecté sur ton poste ou les scam reçus par mail font peur quand on se dit que des gens tombent dans le panneau (heureusement que nous connaissons ce système).

Sinon, pour la manière dont ton compte à été piraté. Est-ce lié à la faille de l'article ou autre chose? Ni nous, ni toi ne pouvons le savoir. Il faut le demander à ton pirate.
 
ecatomb a dit:
En tout cas, tu n'as pas précisé si le réseau WiFi que tu utilise est bien sécurisé ou non ? Cela peut être aussi le point d'entrée pour le piratage d'un compte.
Tout comme la connexion via un autre appareil.

D'ailleurs, je crois me souvenir qu'il y avait eu la méthode de piratage suivante:
- un appareil du pirate se connecte à ton réseau wifi et le cache
- cet appareil recrée un autre réseau wifi avec le même nom et tout ce qui va avec
- ton appareil se connecte alors au faux réseau en pensant être sur le bon
- le pirate a tout le loisir d'analyser ce qui passe via ton wifi

Sinon pour en revenir au sujet initial: comme dit précédemment il y aura toujours des failles zero day chez apple ou autre. Le principal, c'est qu'elles soient corrigées le plus tôt possible (de ce côté là, j'apprécie bien plus les iPhone que les appareils android). Il faut aussi ne pas penser que son appareil est sûr à 100% et croire n'importe quel message.
La bannière de pub indiquant qu'un virus a été détecté sur ton poste ou les scam reçus par mail font peur quand on se dit que des gens tombent dans le panneau (heureusement que nous connaissons ce système).

Sinon, pour la manière dont ton compte à été piraté. Est-ce lié à la faille de l'article ou autre chose? Ni nous, ni toi ne pouvons le savoir. Il faut le demander à ton pirate.
Cliquez pour agrandir...

Merci pour ta réponse constructive :).
J’utilise un codage WPA2 avec un mot de passe ultra compliqué.
Je ne pense pas que mon réseau Wifi ait été piraté...
Et encore une fois je n’ouvre JAMAIS aucun mail s’il ne provient pas de mes contacts. Je regarde scrupuleusement l’origine de mes mails, je sais faire la différence entre l’adresse mail de ma banque (ou autre) et du phishing, je ne clique jamais sur aucun lien au hasard (ni pub), je ne fréquente pas les sites porno etc...
Donc vraiment, comme tu le dis, la seule réponse à mon problème est de contacter le hacker pour comprendre son mode opératoire...
Où je peux trouver son portable [emoji14] ?
 
Haut Bas