Votre intimité face à Android et ses autorisations, première partie.

Chez moi, ça commence par ça :

Après, il m’a fallu pas mal de lecture….

C’était le 06 juin, dans ce tweet envoyé un peu à l’arrache, je m’étonnais de la mise à jour des conditions d’affichage des autorisations dans les applications pour Android, je me suis, depuis, étonné du traitement de cette information, pour ainsi dire pas reprise.

Vous pouvez retrouver les conditions à cette adresse. Le principal changement opéré par Google, c’est la façon dont sont affichées les modifications des permissions dans les applications, en gros, les applications qui nécessitent une modification de privilèges n’afficheront plus automatiquement cette demande.

Dans le discours de Google, cette mise à jour est là pour simplifier l’affichage des autorisations, ce qui est d’ailleurs vrai : les autorisations d’une section non autorisée par le passé seront affichées. Peu importe que les mises à jour automatiques soient activées ou non, il faudra que l’utilisateur accepte d’installer l’application si elle a besoin d’accéder à une nouvelle section d’autorisation.

Et c’est là que le problème se situe, pour moi, dans cette « nouvelle section d’autorisations ».

Pour bien comprendre, il faut s’attarder un peu sur le fonctionnement des autorisations, sous le système android : les autorisations marchent par « rubriques », par exemple, une pour l’identité, une autre pour les photos, une autre pour les paramètres réseaux et ainsi de suite. Dans ces rubriques, il y a les autorisations, comme « lire les informations des contacts », par exemple, ou encore « modifier les informations des contacts ».

L'affichage des rubriques
L’affichage des rubriques
Le détail de ces rubriques
Le détail de ces rubriques

Or, le nouvel affichage des autorisations ne prend en compte que les nouvelles «rubriques, pas la modification de celles déjà autorisées.

En pratique, ça signifie quoi ?

Ça signifie que vous ne savez pas ce que votre application fait. Exemple : Vous avez l’application Facebook, elle dispose des autorisations pour « accéder au contenu de la carte SD ».

Vous mettez cette application à jour, une nouvelle autorisation est requise : « modifier ou supprimer le contenu de la carte SD », mais, parce qu’elle est dans une rubrique déjà autorisée, la mise à jour ne stipulera pas ça, elle affichera quelque chose comme ça :

mise à jour
Une mise à jour qui ne nécessite – officiellement – aucune nouvelle autorisation

 

Le hic, c’est que je sais qu’Adobe Reader a besoin d’une nouvelle autorisation. Je le sais parce que j’ai refusé de le mettre à jour déjà 5 fois, et qu’il n’y a aucune raison pour que cette autorisation disparaisse comme par magie.

Autre exemple : l’application Youtube que j’utilise n’est pas à jour parce qu’elle demande à activer ou désactiver les paramètres de synchronisation de mon téléphone toute seule, chose que je refuse fermement. Seulement, maintenant, ce n’est plus affiché.

Bah, il n’y a qu’a plus rien mettre à jour, et puis voilà.

Oui, non, mauvaise idée. Les applications sont mises à jour parce qu’elles présentent généralement des failles de sécurité, ne pas les mettre à jour pour éviter les autorisations abusives revient donc à s’exposer à d’autres menaces. Vous voilà donc le téléphone entre deux chaises…

Ce choix de Google me semble étonnant : dans un contexte post révélations de Snowden, donner moins de visibilité à ce paramètre m’inquiète, d’autant plus qu’il est admis que les renseignements se servent des applications pour récupérer des données sur les utilisateurs.

C’est aussi un risque plus grand pour l’utilisateur, puisqu’il y a maintenant moins de visibilité sur ce que demande une application.

De l’autre côté, je cherche à comprendre les raisons de cette mise à jour et j’en viens à me dire que c’est peut-être parce que de moins en moins de gens mettaient à jour leurs applications qu’ils ont décidé de faire ça.

Depuis les révélations citées au-dessus, beaucoup de personnes, au moins dans mon entourage large, font plus attention aux autorisations requises. Cette prise de conscience a peut-être dérangé Google et les fournisseurs d’applications sur le Play Store, poussant la firme à modifier l’affichage des autorisations…

Quoi qu’il en soit, j’initie donc ici le premier billet d’une suite, qui découle de cette mise à jour. Le prochain billet sera consacré aux autorisations, dans le détail, ainsi qu’aux autorisations les plus sensibles.

Quant à cette information, c’est peut-être un détail pour vous, mais pour moi ça veut dire beaucoup…. Ne me cherchez pas, je suis déjà parti rédiger le second billet, dehors, loin.

Une backdoor matérielle découverte dans les équipements Samsung

Cette nouvelle, trouvée chez tonton Korben, va déplaire à quelques personnes, les autres s’en moquent puisqu’ils n’ont rien à cacher.

Les développeurs de chez Replicant viennent de mettre la main sur une backdoor matérielle dans les téléphones Samsung. (lien en anglais)

Pour information, Replicant est un groupe de bidouilleurs / développeurs qui a pour but de faire une distribution d’Android totalement libre.

Dans le détail, cette backdoor est détectée dans la puce Baseband des terminaux de la gamme Galaxy, la puce baseband en question gère la partie modem des téléphones. Dans les terminaux mobiles, il y a un ensemble de composants dont deux puces, l’une permet de gérer le téléphone et les fonctions de ce dernier et l’autre permet de gérer la partie data, connexions, modem & Co. du téléphone, c’est la puce baseband dont-il et question ici.

Généralement, cette puce est totalement vérouillée, propriétaire et il est officiellement impossible de savoir ce qu’elle fait exactement à un instant T. Korben explique que cette puce permet déjà de géolocaliser le téléphone et d’activer l’appareil photo à l’insu de l’utilisateur et ce malgré les autorisations du système installé sur le téléphone.

Pour être plus clair, si vous avez interdit à l’ensemble de vos applications d’accéder à votre GPS où à votre appareil photo, la puce s’en moque et peut le faire en contournant les autorisations du système.

Et c’est donc dans cette puce baseband que Replicant vient de dénicher une backdoor.

Cette découverte devrait nous alerter quant à un problème sans réelles solutions actuellement : les backdoors matérielles et le respect de l’intimité des gens.

S’il est facile de désinstaller ou de verrouiller les autorisations d’une application, il est quasi impossible de faire de même avec le matériel.

Quelle est la portée d’une sécurisation féroce de son système s’il n’est pas possible de faire confiance au matériel installé ? Cela revient à construire une maison très solide… sur des fondations bancales.

La seule solution viable consiste à avoir une puce totalement libre, qui assure aux communautés et aux utilisateurs qu’elle ne fera rien d’étrange sans que cela puisse se savoir.

Malheureusement, ce n’est pas pour aujourd’hui, à moins d’un miracle. Nous commençons à peine à prendre conscience des failles logicielles qui exposent nos vies privées et intimités, alors une faille matérielle…personne ou presque ne se sentira exposé et concerné.

Bonjour Brigitte, la forme ?

On ne le dira jamais assez, la protection de vos données personnelles est importante si vous voulez être tranquille, sans personne pour vous espionner.

Cette protection de votre vie privée ne se limite pas aux seuls éléments qui font votre vie privée : elle s’étend à toute donnée considérée comme personnelle et, à ce titre, le couple d’identifiant « nom prénom » en fait partie.

Mon billet parle donc de Brigitte. Je resterai volontairement flou dans ce billet car les données traitées sont privées, mais je pense qu’il sera assez clair pour voir le danger que je souhaite présenter.

Bref. Nous étions à une terrasse après PSES (Pas Sage en Seine), un ami me demande de démarrer le bluetooth pour m’envoyer une donnée et me voilà donc, à cet instant, avec un petit scanner bluetooth dans les mains. Tout se passe normalement jusqu’à ce qu’un petit détail attire mon attention : un Macbook air dans les environs.

Comment l’ais-je vu ? Via le bluetooth. Le nom de ce périphérique était « Macbook Air de Brigitte R. » (donnée volontairement masquée pour le billet, le nom était entier).

Ici, deux cas de figure : soit vous êtes en train d’halluciner, auquel cas la suite ne vous étonnera pas, soit vous vous dites « oui, et ? Ce n’est qu’un nom. » et je vous invite à lire attentivement la suite.

Avec un téléphone et google et en environ 5 minutes, voici les données récupérées sur Brigitte :

  1. Nom / Prénom (via bluetooth)
  2. Age
  3. Numéro de téléphone fixe / portable
  4. Adresses mail privées et professionnelles
  5. Adresse postale
  6. Profession
  7. Passions
  8. Sites ou Brigitte est inscrite, ce qu’elle y fait, certaines choses qu’elle dit, d’ou elle vient, son lieu de naissance, ses études, son dernier emploi, son domaine d’expertise
  9. 12 photos venant confirmer qu’il s’agit bien de la bonne Brigitte, que les données citées ci-dessus concernent bien la dame assise à quelques mètres de nous et pas une autre.

Je vous passe quelques détails que j’ai obtenu avec une recherche plus approfondie, une fois revenu sur un ordinateur et j’insiste : tout est parti d’un nom + prénom.

Imaginons maintenant les possibilités offertes par ces informations et tant qu’a faire, allons au fond des choses :

Cas N°1 : vu son adresse, elle est loin de chez elle. Je peux donc aller la cambrioler et vu qu’elle n’a pas de mari ni d’enfants, la maison sera vide.

Cas N°2 : Je peux me faire passer pour quelqu’un proche d’un de ses amis, elle en a plus de 150, ça ne devrait pas être difficile. Ensuite, je suis presque libre de faire ce que je veux, obtenir d’autre noms, des numéros de téléphone …

Cas N°3 : Je peux me faire passer pour un de ses élèves, Brigitte étant prof d’informatique dans une université parisienne. De là, je peux obtenir énormément d’informations privées : noms de certains de ses élèves, contenu de ses cours, ambiance ou rumeurs sur telle ou telle personne.

Cas N°4 : Je peux lui faire peur également, arriver devant elle, lui dévoiler toute sa vie et lui demander de l’argent. Je peux tout aussi bien lui mentir et lui faire croire que je suis une personne des forces de l’ordre afin d’obtenir sa confiance.

Ca semble fou et un peu tiré par les cheveux mais pourtant, c’est possible. Ce n’est d’ailleurs qu’une toute partie des choses possibles, toujours avec un simple nom et prénom.

Nous aurions pu faire tout ceci, lui mentir, lui faire peur et encore plein d’autres choses. Nous ne l’avons pas fait. Un de mes amis s’est levé et est allé la voir.

– « Bonjour Madame R. »
– « Euh, bonjour, on se connaît ? »
– « Non. Mais si vous tenez à protéger votre vie privée, désactivez votre connexion bluetooth, votre nom apparaît dessus. »
– « Ah, euh, merci. »

L’ami en question nous à confirmé que ça lui avait fait tout bizarre qu’une personne vienne la voir, lui donne son nom sans la connaître, et lui dise de faire attention. Imaginez l’espace d’un instant si nous étions allé la voir dans un autre but ?

Fin de l’histoire, Brigitte a désactivé son bluetooth et est redevenu une personne prenant un verre, dans un bar.

Réfléchissez et ne laissez pas traîner vos données personnelles partout. Cette fois-ci Brigitte nous a rencontré, mais ça aurait pu être une autre rencontre, d’un genre radicalement différent.

Le changement ? Ce n’est pas pour demain.

EDIT : le texte est représenté, demain (le 25 janvier 2012) au Sénat et ceci dès 14h30. Plus d’informations ici : http://owni.fr/2012/01/18/le-fichier-des-gens-honnetes-sera-policier/

N’en déplaise à mes chers trolls, je vais casser un peu le mythe : Chérie, ce soir on croque un peu de la gauche.

Pourquoi la gauche et pas la droite ? Bien, parce que la droite ne nous enfume plus, on sait déjà qu’ils se moquent de nous.

La gauche, elle…

La gauche est très attendue pour les prochaines élections et elle le sait.

Ce soir, je vais parler d’un point qui me fait penser qu’il y a encore beaucoup de chemin à parcourir et, pour se faire, je fais passer un petit billet à destination des députés de gauche.
(attention, billet un peu agressif, réaction à chaud, désolé)

Mesdames & messieurs les députés, vous nous prenez vraiment pour des buses ?

Le projet de loi sur la protection de l’Identité a été voté, les députés ont donc fait le choix d’autoriser le fichage de la population française dès 15 ans.

Je ne m’attarderai pas sur ce point qui a déjà fait couler beaucoup d’encre. Non, je vais me pencher sur un autre point : la présence de vos députés lors de ce vote.

Il y avait 11 députés dans l’hémicycle. Onze. Onze !! Je donne quelques détails supplémentaires, histoire que mes lecteurs ne pensent pas que vous étiez onze :

Gauche. Etaient présents à l’assemblée nationale, pour le vote de ce texte :

–    M. Jean-Paul Lecoq (Gauche Démocrate Républicaine)
–    M. Serge Blisko (socialiste radical, divers gauche)
–    Mme Sandrine Mazetier (socialiste radical, divers gauche)
–    Mme Delphine Batho (socialiste radical, divers gauche)

Vous n’étiez même pas en majorité.

Chère gauche, tu sais Internet a quelque chose de merveilleux : tout le monde peut se renseigner et aller plus loin que les infos que tu laisses passer en public. Le constat fait mal, quatre députés présents pour un texte aussi important, j’ai honte.

A l’heure où tu t’amuses à rappeler au peuple qu’il doit s’intéresser à la politique et qu’il doit aller voter, après t’être emparé du sujet des inscription dans les bureaux de vote – faute d’avoir une communication officielle du gouvernement comme l’an dernier – quatre députés ça fait tache.

Ton candidat, François Hollande… tu sais qu’il se pose comme symbole du changement et de la république exemplaire tant attendue ?

Ce texte n’était pas assez important ? Pas assez intéressant ? Pas assez dangereux pour la démocratie pour qu’on s’y intéresse ?

Chère gauche, tu dis vouloir une république exemplaire ? Commence donc par regarder dans tes rangs car tes députés sont un point clé très important. Il est inadmissible de voir que seulement quatre députés aient pris la peine de se déplacer pour voter ce texte.

Il est d’autant plus inadmissible de voir qu’en public, tu fais beaucoup de bruit et brasse beaucoup de vent pour démontrer au peuple que tu es mieux que la droite et son UMP, alors que tes députés ne valent pas mieux.

Je ne suis pas tendre avec toi, mais est-ce que tu mérites vraiment mieux ? Je crois que non.

Alors, avant de prétendre au pouvoir, il faut que tu saches que nous t’observons et que nous sommes de plus en plus nombreux à le faire et, là où la droite se fait tacler, tu prendras de plus gros tacles.
Tu ne pourras pas berner le peuple indéfiniment, pas avec Internet à notre disposition.

Tu sais ce qui est encore plus inadmissible ?

C’est que ces députés (de gauche comme de droite) soient payés 7100,15 euros par mois. 7100,15 euros (brut) pour ne pas venir voter un texte important, c’est un peu cher payé. 7100,15 euros pour 577 députés, 566 qui ne sont pas venus. Sources : JDN et le site de l’assemblée nationale.

Tu sais, dans ma société, on ne me paye pas lorsque je ne viens pas travailler alors que je devrais.

Tu dois te dire que je suis seul dans mon coin à m’indigner. Tu te trompes. Nous sommes beaucoup, simplement beaucoup ne s’expriment pas.

Je te mets en garde, tu veux le pouvoir ? Tu veux être le symbole du vrai changement ? Tu veux représenter le peuple ? Alors réveille-toi et arrête de brasser de l’air, tes députés ont du travail.

Nous sommes le peuple, nous ne pardonnons pas, nous n’oublions pas (encore que la mémoire politique des français…), souviens toi-en car nous avons quelque chose qui nous donne bien plus de pouvoir que tu ne pourras jamais en avoir :
une carte d’électeur.

Une négligence caractérisée ?

Je vais vous compter une petite histoire tout ce qu’il y a de plus vrai, pour ceux qui me suivent sur Twitter, vous savez de quoi je parle :p

Je suis actuellement à Lille, en voyage pour le travail. Je suis dans un petit hôtel bien sympathique d’ailleurs (si on oublie le fait que la télé est tout aussi grande que le lit… /troll).

Bref, j’arrive donc dans l’hôtel, après un rapide échange avec la personne de l’accueil, elle me sort des codes pour le wi-fi. C’est assez habituel comme système dans un hôtel : vous avez un ensemble de bornes wi-fi, ces dernières sont reliées à un routeur qui ne vous laisse passer que si vous êtes identifiés (c’est un proxy, comme sur le réseau 3G lorsque vous avez une clé 3G par exemple).

Bref, j’ai mes codes, chouette !

Une fois arrivé, ordinateur démarré, je me connecte au point d’accès de l’hôtel sans soucis et je démarre une page Internet… c’est à ce moment là que, normalement, votre navigateur se fait renvoyer sur la page d’identification du proxy…et là, surprise. J’accède à Google. Je vérifie, non non, ce n’est pas en cache sur mon ordinateur, d’ailleurs, Gwibber (client twitter pour Linux) fonctionne très bien, ainsi que aMSN et Mumble. Je vérifie bien, non non, je n’ai pas entré les codes d’authentification liés à la chambre dans laquelle je suis.

Rien que ce point me pose problème : imaginez que je télécharge ou que je suis en pleine activité illégale, ou encore que je veuille e****der l’hôtel avec la loi en trouvant des sites pédo pornographiques ? Bien, ils n’ont aucun moyen de prouver que c’est moi, puisque je ne suis pas identifié. Au premier abord, ce n’est « pas grave », lorsque l’on y réfléchit un peu, ça l’est un peu plus. Imaginez que l’IP se fasse flasher par la HADOPI ?

Intrigué, je décide de regarde un peu la configuration en faisant 2-3 scans. Un sur les ports TCP, un autre sur les UDP et un scan pour savoir ce qui tourne derrière. Et la…

Sur le scan TCP :

PORT STATE SERVICE
23/tcp open telnet

 

Sur le scan UDP :

PORT STATE SERVICE
53/udp open domain
67/udp open|filtered dhcps
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
161/udp open|filtered snmp
500/udp open|filtered isakmp
520/udp open|filtered route
1701/udp open|filtered L2TP

 

J’ai reproduit l’opération sur tout les point d’accès, c’est encore plus étonnant de constater que certains ports passent sur des points et sur d’autre non (d’ailleurs c’est un poil étrange, mais bref).

Donc, le Telnet est ouvert, chouette !

Quitte à voir si le réseau est sécurisé, autant aller jusqu’au bout, je lance un dernier Nmap (nmap -O, pour obtenir quelques infos sur la machine qui tourne derrière), la requête me sort :

Running: Netopia embedded
OS details: Netopia 3387WG-ENT broadband router

 

Direction google, pour chercher quelques informations sur le Netopia en question, comme par exemple, les identifiants de base du telnet. 2 minutes après, j’avais les identifiants, merci Google.

Convaincu que la boite qui sous traite ce réseau est quand même pas co*** à ce point, j’essaye un telnet sur mon point d’accès, rentre les identifiants d’usine, et la…. c’est le drame car en effet, cela fonctionne.

Je ne communiquerais ni le nom de la société de sous traitance (que j’ai obtenu), ni le nom de l’hôtel, ni … ni rien en fait.

Je suis allé prévenir la personne à l’accueil, elle n’a pas saisi, sur le coup, la gravité de la chose (en même temps, chacun à sa place, il fait très bien son travail, je fais très bien celui que son prestataire ne fait pas…). Après cinq bonnes minutes d’explications, la personne à compris les tenants et les aboutissants de la sécurité de son réseau et surtout, les risques que l’hôtel encoure s’il ne sécurise pas son accès. (Hadopi, Loppsi, téléchargement illégal, problèmes avec la justice …)

Ce qui me tue, dans cette histoire, c’est le prestataire. Comment ! Comment est il possible de se dire prestataire et de proposer… ça ? Je n’ai pas de compétences ultra fortes de la mort qui tue, il m’a fallu 5 minutes pour faire mes tests, imaginez si j’avais forcé un peu ? Imaginez si une personne mal intentionnée fait quelque chose ?

Note : la personne de l’accueil m’a remercié, c’est assez rare pour être souligné, d’habitude, « on » se fait taper dessus.

TMG : arnaque ou pas, telle est la question?

Tout n’est pas tout rose en ce beau weekend de mai… la cathédrale de Reims est certes en couleur pour ses 800 ans, le soleil est certes là…mais une (pardonnez moi l’expression) putain de what the fnuck d’information vient de tomber : la société TMG est à l’ouest total.

Petit rappel, la société TMG (Trident Media Guard, société privée) est chargée de relever les adresses IP des internautes pris en flagrant délit de téléchargement illégal sur un réseau P2P (avec la mule par exemple), elle est mandatée par les ayants droits pour faire cela et le fait dans le cadre de la HADOPI.

Donc, une société privée qui traite des données personnelles et qui est chargée de vous griller en infraction sur le réseau…so what? Continuer la lecture de TMG : arnaque ou pas, telle est la question?