Respect de la vie privée: Facebook suspend des dizaines de milliers d'
Cours temps réel: 496,16 3,01%| Cours | Graphes | News | Analyses et conseils | Société | Historiques | Vie du titre | Forum |
Un défaut dans le nombre de plateformes de sécurité macOS tierces vérifiant les signatures Apple des logiciels pourrait permettre aux malwares de se faire passer comme légitimes, rapportent les chercheurs.
----------------------------------------------------------------------------------------------------------------
De nombreuses plateformes de sécurité tierces échouent à mettre en œuvre correctement le code API de signature d’Apple, et le résultat pourrait être qu’un malware peut se faire passer comme logiciel légitime de la marque.
Le « bypass de la signature du code » a été découvert par Josh Pitts, ingénieur chez Okta, qui l’a d’abord découvert en février 2018 avant de révéler l’affaire publiquement le 12 juin 2018. Cette faille affecte de nombreuses plateformes de sécurité, incluant celles de chez Facebook et Google, et Apple ne reconnait pas de responsabilité de sa part, du moins d’après ce que Pitts a rapporté de ses entretiens avec le fabricant du macOS.
La signature de code implique un développeur ou une entreprise de logiciel intégrant une signature numérique dans une application qui dit qu’elle a été construite par eux et n’a pas été modifiée par des tiers. La signature du code garantit que le logiciel provient de sources fiables – la plupart des logiciels de sécurité procèdent à la vérification de la signature du code pour s’assurer qu’une application est légitime avant de l’autoriser à s’installer.
Dans le cas de plusieurs suites de sécurité macOS, rapporte Pitts, le contrôle de signature de code est mal utilisé, ce qui peut permettre à certains fichiers exécutables de présenter une signature valide pour une partie d’une application fournie avec un ensemble de modules malveillants que le logiciel de sécurité ne prend pas la peine de vérifier.
De fausses identités et des portiers fainéants
C’est comme l’habituelle scène du bar à la fac : des étudiants avec de fausses cartes d’identité savent que certains bars emploient des videurs peu soucieux des vérifications, et c’est dans ces bars qu’ils se rendent s’ils veulent entrer sans soucis.
Dans le cas de la sécurité sur macOS, se montrer négligents quand à la vérification des identités peut mener à une multitude de malware qui s’introduisent sans être détectés- et potentiellement tout ce qu’un attaquant peut inclure dans un fichier FAT peut être utilisé.
Pitts explique qu’exploiter la vérification des signatures de code ne demande que peu de choses :
• Un exécutable au format de fichier FAT / universel qui contient comme premier élément un fichier Mach-O correctement signé formaté pour i386, x86_64 ou PPC.
• Les binaires malveillants qui sont signés adhoc et i386 compilés pour un système macOS x86_64.
• Le CPU_TYPE dans le fichier d’en-tête doit être défini sur un format non valide ou sur un autre qui n’est pas natif du chipset de la machine cible.
• « Sans passer les légitimes SecRequirementRef et SecCSFlags, l’API de signature de code (SecCodeCheckValidity) va vérifier le premier binaire dans le fichier Fat / Universel pour qui a signé l’exécutable (par exemple, Apple) et vérifier l’absence d’altération via la signature cryptographique;
• ensuite, l’API vérifie chacun des binaires suivants dans le fichier Fat / Universel pour s’assurer que les identifiants d’équipe correspondent et vérifie l’absence de manipulation via une signature cryptographique, mais sans vérifier les certificats de racine », a déclaré Pitts.
La mise en forme des fichiers particuliers dans l’exécutable FAT est essentielle car i386 pose des problèmes à l’API de signature de code, qui « préfère l’architecture native du processeur (x86_64) pour les vérifications de signature de code et manque de vérifier le code non signé s’il s’agit de x86_64 »
En bref, un exécutable qui réussira à faire les choses correctement aura l’air correctement signé et sera capable d’exécuter n’importe quel malware qu’il contient en toute impunité.
La réponse d’Apple est-elle la bonne ?
Après que Pitts ait informé Apple de l’exploit, la marque lui a répondu que « les développeurs tiers devraient utiliser kSecCSCheckAllArchitectures et kSecCSStrictValidate avec l’API SecStaticCodeCheckValidity », et que l’entreprise mettrait à jour la documentation des développeurs pour faire paraitre ces nécessités.
Pitts a répondu en disant à Apple, et en fournissant une preuve, qu’il était possible de passer outre la vérification des drapeaux et des signatures de code, permettant à l’exploit de fonctionner même si le développeur inclut ces drapeaux.
D’après Pitts, « Apple considère qu’il ne s’agit pas d’un problème de sécurité qui leur est directement adressé », ajoutant encore que les développeurs « doivent faire un travail supplémentaire pour vérifier que toutes les identités dans un universel binaire sont les mêmes s’ils veulent avoir un résultat significatif. »
Le calendrier de divulgation de Pitts incite Apple à ne pas accepter la responsabilité de l’exploit, transférant plutôt la responsabilité aux développeurs d’utiliser incorrectement son API de signature de code, mais si l’exploit peut encore être utilisé, même si les indicateurs recommandés par Apple sont activés, cela ne semble pas être un problème concernant les développeurs seuls.
Pour l’instant, il n’y a pas beaucoup de choses à entreprendre, si ce n’est consulter les articles de Pitts pour vérifier que votre logiciel antivirus n’est pas affecté. Si c’est le cas, assurez vous d’installer les dernières mises à jour, vous permettant ainsi d’obtenir le correctif lorsqu’il sera disponible, et évitez d’installer des applications si elles ne viennent pas de sources fiables comme l’App Store pour le macOS.
• Une faille dans la gestion des signatures de code par les logiciels tiers de sécurité pour le macOS permet à des applications malveillantes de se faire passer pour légitimement signées.
• Apple affirme que le problème tient dans la manière dont les tiers mettent en œuvre son API, mais ses suggestions pour réparer le problème ne fonctionnent pas. Gardez votre système macOS en sécurité en installant les dernières mises à jour et en n’installant pas d’applications de sources non fiables.
|
Répondre
|
MDR
Actuellement j'ai déjà 4 personnes qui me suivent :
2 policiers, 1 psychiatre et 1 psychologue !!!
|
Répondre
|
Bonjour,
Comme je n’ai pas "Fesse-bouc", j'essaie de me faire des amis en dehors du vrai Facebook, tout en appliquant les mêmes principes...
Alors tous les jours, je descends dans la rue et j'explique aux passants :
ce que j'ai mangé,
comment je me sens,
ce que j'ai fait la veille,
ce que je suis en train de faire,
ce que je vais faire demain,
je leur donne des photos de ma femme, de mes enfants,
du chien que j'ai déjà eu,
de moi en train de laver ma voiture,
et de ma femme en train de coudre.
J'écoute aussi les conversations des gens et je leur dis «j'aime !»
Et ça marche !... Actuellement j'ai déjà 4 personnes qui me suivent :
2 policiers, 1 psychiatre et 1 psychologue !!!
Message complété le 21/09/2019 00:00:21 par son auteur.
Saez - Je suis - (Clip)
https://www.youtube.com/watch?v=ebZIvoguigs
|
Répondre
|
special dédicace !
.
|
Répondre
|
Pour le plaisir
Y a une époque les filles avaient le poing levé
aujourd'hui c'est plutôt culotte baissée.
Quand je serai grande moi j'srai poupée gonflable
pour des millions à se branler sur mon âme sur la toile.
https://www.youtube.com/watch?v=G_bstpD3jGo
Merci SAEZ
|
Répondre
|
|
Répondre
|
une dernière pour la route
Moi je me torche avec ton Tweet, puis ton communiqué Facebook.
Sur son Insta, l'humanité a la gueule des cuvettes de chiottes.
Société, m'en veux pas, tu sais, j'aime pas trop baisser ma culotte.
Les "états d'urgence" pour asseoir, ah ouais, c'est sûr, tous les pouvoirs.
Des drapeaux, des peuples, oppression, toujours la sodomination.
https://www.youtube.com/watch?v=ukg8iczfy0Q
Message complété le 20/09/2019 23:17:30 par son auteur.
Me suis auto-liker
- Un de vos messages recommandé par au moins 5 personnes dans le forum : 5 points
Message complété le 20/09/2019 23:19:54 par son auteur.
j'en ai pas besoin mais qui sait
LBWB 8753
|
Répondre
|
Retour à la réalité
https://www.youtube.com/watch?v=xIuke4iTaBU
Message complété le 20/09/2019 22:49:20 par son auteur.
J'ai pas l'intelligence, j'ai l'artificiel
Si j'ai pas la vertu, j'ai le virtuel
|
Répondre
|
Message complété le 20/09/2019 22:52:02 par son auteur.
Faut du gasoil dans la bagnole,
La carte bleue dans la chatte,
https://www.paroles.net/damien-saez/paroles-j-accuse
Message complété le 20/09/2019 22:54:26 par son auteur.
Faut des gonzesses à la télé,
Ouais faut des pilules pour bander,
Message complété le 20/09/2019 23:41:23 par son auteur.
Oh non l'homme descend pas du singe,
Il descend plutôt du mouton...
|
Répondre
|
Facebook a annoncé vendredi avoir suspendu des dizaines de milliers d'applications, qui posent potentiellement un risque en termes de respect de la vie privée de ses utilisateurs, d'après une enquête interne menée sur des millions d'applications.
Le réseau social a lancé cette enquête notamment en réponse au scandale de Cambridge Analytica: en 2018, un lanceur d'alerte avait révélé que cette entreprise britannique avait mené des campagnes de manipulation massives pour influencer les électeurs américains et britanniques en passant par des applications sur Facebook.
"Nous avions promis à l'époque que nous passerions en revue toutes les applis ayant eu accès à des quantités importantes d'informations (sur les utilisateurs, NDLR) avant le changement de notre règlement en 2014", explique dans un communiqué Ime Archibong, vice-président des partenariats chez Facebook.
Pour cette grande enquête, la plateforme a travaillé avec des "centaines de personnes: avocats, enquêteurs externes, analystes de données, ingénieurs (...)", afin de "mieux comprendre les mécanismes abusifs" et de pouvoir, in fine, "déloger les acteurs néfastes parmi les développeurs".
Les suspensions concernent 400 développeurs mais "ne signifient pas nécessairement que ces applis représentent une menace pour les gens", a indiqué Ime Archibong.
Certaines applications "n'ont pas répondu à nos requêtes pour avoir plus d'informations, donc nous les avons suspendues, conformément à nos engagements d'agir", précise-t-il.
Depuis l'éclatement du scandale Cambridge Analytica en mars 2018, Google et Facebook sont soumis à une attention toute particulière, notamment de la part des gouvernements, tant aux Etats-Unis qu'en Europe, concernant l'usage des données personnelles.
L'agence de protection des consommateurs américaine a infligé en juillet une amende record de 5 milliards de dollars à Facebook pour avoir "trompé" ses utilisateurs sur le contrôle de leur vie privée, notamment lors d'une fuite massive de données personnelles vers la firme britannique Cambridge Analytica, impliquée dans la campagne présidentielle de Donald Trump et celle pour le Brexit au Royaume-Uni.
© 2019 AFP
|
Répondre
|
Forum de discussion Meta Platforms Inc
201909211137 714040
Suivez les marchés avec des outils de pros !