Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

iOS 13.5, la mise à jour du système d'exploitation mobile d'Apple qui embarque l'API pour le contact tracing,
A été jailbreak grâce à une faille zero day

Le , par Stéphane le calme

109PARTAGES

10  0 
De nombreux gouvernements ont déjà essayé, pour plusieurs en vain, de déployer leurs propres applications téléphoniques pour lutter contre la propagation de la pandémie de COVID-19. Beaucoup de ces applications ont rencontré des problèmes techniques sur les téléphones Apple et Android.

C’est dans ce contexte que, dans un rare partenariat, Apple et Google ont annoncé qu’ils allaient travailler sur une technologie qui allait résoudre certains des principaux défis techniques que les gouvernements ont eus lorsqu’ils ont essayé de créer des applications Bluetooth. Il était question de trouver une solution pour permettre aux iPhone et aux téléphones Android de se détecter mutuellement, de travailler au-delà des frontières nationales et régionales et de résoudre certains des problèmes qui ont conduit les applications précédentes à vider rapidement la batterie d'un téléphone.

Mercredi dernier, les frères rivaux ont annoncé que leur technologie de contact tracing était désormais prête. Les autorités de 23 pays sur les cinq continents, parmi lesquelles un certain nombre d’États américains et 22 autres pays, ont reçu l'accès à l’API qui a été conçue pour aider les gouvernements à mieux suivre et contenir la propagation du COVID-19, ont déclaré les entreprises.

Cette technologie de contact tracing a pour vocation d’aider les responsables de la santé publique à développer des applications mobiles qui peuvent identifier et tester les personnes ayant passé du temps avec ou à proximité d'une personne infectée par le coronavirus, ont précisé les sociétés dans un communiqué. Les applications mobiles utilisant cette technologie peuvent suivre les utilisateurs qui se trouvent à proximité d'une personne infectée pendant au moins cinq minutes et les avertir de manière anonyme.


Vient alors l’API Exposure Notification

Comme prévu, l'API « Exposure Notification » se sert de la technologie Bluetooth, qui se trouve sur tous les smartphones et certains téléphones des générations précédentes, pour échanger des clés entre téléphones. Si un utilisateur est testé positif au COVID-19, il peut en informer son application de traçage de contacts, qui utilisera l'API pour envoyer des notifications d'exposition aux personnes avec lesquelles il a pu entrer en contact. L'API ne recueillera pas de données de localisation et ne pourra pas identifier les utilisateurs.

Plusieurs agences publiques, à l’instar des agences de santé publique d'Allemagne, se sont dites impatientes d'utiliser cette API, tandis que d’autres gouvernements, comme celui de la France, ont préféré s’en passer.

Selon les entreprises, l'identité des utilisateurs de l'application est protégée par un chiffrement et des balises d'identification anonymes qui changent fréquemment.

« L'adoption par les utilisateurs est la clé du succès et nous pensons que ces solides protections de la vie privée sont également le meilleur moyen d'encourager l'utilisation de ces applications », ont déclaré les sociétés dans un communiqué conjoint mercredi.

La déclaration de mercredi incluait également des remarques de responsables de l'État du Dakota du Nord, de l'Alabama et de la Caroline du Sud indiquant qu'ils prévoyaient de l'utiliser.

« Nous invitons d'autres États à se joindre à nous pour tirer parti des technologies des smartphones afin de renforcer les efforts de recherche des contacts existants, qui sont essentiels pour remettre les communautés et les économies en marche », a déclaré le gouverneur du Dakota du Nord, Doug Burgum, un républicain.

Le Dakota du Nord avait déjà lancé une application de contact tracing utilisée par environ 4 % des résidents de l'État, niveau plus élevé que dans les autres États américains avec des applications similaires, mais bien en deçà du taux de participation qui, selon les experts, est nécessaire pour rendre cette technologie utile.

En Europe, l’Allemagne, la Suisse, l’Irlande, les Pays-Bas, la Lettonie et l’Italie font partie des pays qui ont indiqué vouloir se servir de l’API « Exposure Notification ». D'autres gouvernements parmi ceux qui ont déclaré être en faveur de cette API se sont montrés plus prudents. Par exemple, la Norvège prévoit de comparer l'efficacité de son application Smittestopp avec une application basée sur l’API Apple-Google, a déclaré dans un entretien Gun Peggy Knudsen, directrice adjointe par intérim de l'Institut norvégien de la santé publique. Smittestopp, qui dispose d'un budget de développement d'environ 5 millions de dollars, accède à la localisation GPS et nécessite des numéros de téléphone. Mais son utilisation est limitée en raison du faible nombre de nouvelles infections.

« Si le traçage est tellement meilleur avec l'outil Apple-Google, alors peut-être devrions-nous changer et réfléchir à ce que nous devons faire pour effectuer ce changement », a déclaré Knudsen.


Une API qui divise

Certains défenseurs de la confidentialité ont favorisé l'approche Google-Apple car elle offre plus de confidentialité et de sécurité. Mais d’autres, dont Ryan Calo, professeur de droit qui codirige le Tech Policy Lab de l’Université de Washington, se disent préoccupés par son efficacité si les gens reçoivent trop de fausses alertes leur demandant de se mettre en quarantaine. Il a déclaré que les agences de santé publique feraient mieux de pouvoir suivre l'emplacement avec des mesures de protection minutieuses.

Calo a déclaré que Google et Apple étaient plus francs à propos des limites de leur modèle, mais il a dit qu'il craignait que certains gouvernements ne le considèrent comme un substitut à des investissements cruciaux dans des tests gratuits et généralisés ainsi qu’à l'embauche d'une armée de personnel humain pour le contact tracing.

« Nous n'allons tout simplement pas sortir de cette pandémie mondiale avec une application intelligente », a-t-il déclaré.

Une faille zero day exploitée dans la mise à jour iOS

Apple a ajouté une fonctionnalité de l’API à l'iOS 13.5, publié mercredi, de sorte que ses appareils devraient fonctionner avec l'API et les applications iOS qui l'utilisent. Google a lancé ce même jour une mise à jour de Play Store, de sorte que les appareils Android fonctionnant avec la version 6.0 et plus seront compatibles.

Comme précisé par les sociétés, les gouvernements qui utilisent l'API doivent accepter de n'utiliser la technologie que pour la recherche de contacts covid-19. Les utilisateurs doivent donner leur accord avant que l'application n'utilise l'API et avant de partager un résultat de test positif. Les utilisateurs peuvent également activer et désactiver l’API. Les applications ne peuvent pas demander l'accès aux données de localisation, et elles ne sont pas autorisées à utiliser les données des utilisateurs pour des choses comme la publicité ciblée.

Un nouvel outil du groupe de hacking Unc0ver permet de jailbreaker iOS 13.5, la version du système d'exploitation mobile d'Apple qui vient de sortir. L'une des principales préoccupations à propos du jailbreak est les implications de sécurité qu'il peut avoir. Ayant identifié une vulnérabilité exploitable, Unc0ver a été en mesure de produire une solution de jailbreak qui, selon elle, maintient non seulement la sécurité et la confidentialité, mais également la stabilité et la durée de vie de la batterie.

De plus, l’équipe assure que les services officiels d'Apple comme iCloud, iMessage, FaceTime, Apple Pay, Visual Voicemail, Weather et Stocks fonctionnent toujours.

Il y a évidemment des choses à garder à l'esprit avant et après le jailbreak de votre iPhone. L'équipe Unc0ver « met fortement en garde contre l'installation de toute mise à jour logicielle iOS qui fait planter unc0ver, car vous ne pouvez pas effectuer à nouveau un jailbreak sur des versions d'iOS qui ne sont pas prises en charge par unc0ver à ce moment-là ».

Cependant, elle dit également : « la possibilité d'appliquer les futures mises à jour est conservée. Les modifications du noyau iOS sont effectuées en mémoire. Il en résulte que l'iPhone, l'iPad ou l'iPod touch jailbreaké reste opérationnel lorsqu'une future mise à jour iOS fournie par Apple est installée ».

Le groupe affirme que le jailbreak, qui fonctionne sur iOS 11 et versions ultérieures, est basé sur une vulnérabilité zero day d’iOS (cela signifie que Unc0ver n'a pas divulgué ses résultats à Apple à l'avance et qu'aucun correctif ne viendra dans les prochains jours pour bloquer le jailbreak), n'épuise pas la durée de vie de la batterie d'un appareil et n'affecte pas l'utilisation des services Apple en plus de ne pas miner la sécurité sandbox d’iOS. La faille est dans le noyau iOS, le programme au cœur d'un système d'exploitation. Pwn20wnd et les chercheurs indépendants sur la sécurité iOS estiment qu'il faudra au moins deux à trois semaines à Apple pour préparer un correctif, à moins qu'ils n'aient déjà trouvé le bogue indépendamment et qu'ils soient en train de le corriger.

Il ne faut surtout pas oublier qu'un jailbreak peut vous faire perdre la garantie qui accompagne votre dispositif et n'est donc pas conseillé.

Source : Wired, Pwn20wnd

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Pyramidev
Expert confirmé https://www.developpez.com
Le 29/05/2020 à 20:58
Quelle sera l'efficacité des applications Covid-19 ? Sur ce point, les auteurs de CommitStrip sont pessimistes :

http://www.commitstrip.com/fr/2020/05/29/covid-go/
2  0 
Avatar de Pedro Varela
Membre du Club https://www.developpez.com
Le 07/06/2020 à 16:44
En 2017 j'ai développé une tecnologie que permet de detecter les personnes proches une des autres et de faire le traçage.
Vous pouvez lir mon travail sur ce sujet ici: https://ieeexplore.ieee.org/author/37085889969
0  0