du 04 février 2019
Date

Choisir une autre édition

3G, 4G et 5G : des chercheurs dévoilent une importante faille de sécurité sur le protocole AKA

Ravishankar Borgaonkar, Lucca Hirschi, Shinjo Park et Altaf Shaik ont mis en ligne une publication scientifique intitulée : « New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols ». Elle date de début décembre, mais était passée relativement inaperçue jusqu'à ce que ZDNet.com la reprenne.

Les scientifiques n'y vont pas avec le dos de la cuillère et affirment que leur attaque compromet « la vie privée des abonnés plus sévèrement que toutes les attaques connues ». Elle concerne « toutes les variantes du protocole AKA [Authentication and Key Agreement, ndlr], y compris en 5G ». Cette dernière version devait pourtant en renforcer la sécurité.

Toujours selon les chercheurs, « des configurations peu coûteuses et largement disponibles » peuvent être utilisées pour exploiter cette brèche. Elle pourrait être utilisée pour mettre au point des IMSI catchers de nouvelle génération, qui obtiendraient des détails sur l'activité d'un utilisateur (nombre de messages et d'appels reçus par exemple).

Les chercheurs affirment avoir contacté la 3GPP, la GSMA ainsi que plusieurs fabricants et opérateurs en amont de leur publication. « Nos conclusions ont été validées par la 3GPP et la GSMA, des actions correctives sont en cours pour améliorer le protocole pour les générations futures », ajoutent-ils.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

En mars, le réseau social reconnaissait avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ». Dans le lot, se trouvaient aussi des « dizaines de milliers d'utilisateurs Instagram ». Il y en avait finalement bien plus.

Dans une mise à jour discrète du billet de blog du 21 mars repérée par TechCrunch, le réseau social explique avoir trouvé d'autres mots de passe Instagram stockés en clair. De dizaines de milliers, on passe désormais à « des millions d'utilisateurs » touchés.

Facebook affirme de nouveau que ces mots de passe n'ont pas été utilisés à des fins malveillantes. Les utilisateurs concernés seront informés.

Copié dans le presse-papier !

Comme prévu, Amazon propose une version gratuite avec publicité de son service Music, mais uniquement sur Alexa aux États-Unis pour le moment.

Il permet d'écouter des listes de lecture et des milliers de « stations » basées sur un artiste ou un style par exemple. Rien n'est précisé sur une ouverture au reste du monde pour le moment.

Google fait de même avec YouTube Music sur Google Home. « “Ok Google, mets de la musique” vous permettra d’écouter gratuitement, sur l’ensemble de la gamme d’enceintes Google Home, des contenus musicaux via YouTube Music », mais « l’écoute sera quelquefois interrompue par des coupures publicitaires de 30 secondes ».

Cette fonctionnalité est disponible dans de nombreux pays, notamment en France.

Copié dans le presse-papier !

Depuis hier, les enceintes connectées Google Home sont capables de fonctions supplémentaires, malheureusement dans quelques pays et en anglais uniquement.

L’enceinte prend ainsi en charge les ampoules Hue de Philipps pour les sessions de réveil ou de sommeil en douceur, avec évolution lente de la lumière dans un sens ou dans l’autre.

Plusieurs fonctions ont été ajoutées pour faciliter le sommeil, comme « Hey Google, je veux méditer », faisant le lien avec les applications proposant ce genre de fonction.

L’assistant est également compatible désormais avec l’enregistrement de recettes, que l’on peut chercher à la voix, avec instructions étape par étape. Google en profite pour remettre en avant son Home Hub avec écran intégré.

L’enceinte Home peut en outre être utilisée pour jouer des listes de lecture spéciales sport, régler des alarmes pour partir courir ou demander des à YouTube des démonstrations d’exercices physiques. Une petite pause lecture ? L’enceinte peut vous en lire un.

En bref, toujours plus de dépendance à un objet connecté pour régenter le moindre aspect de nos vies. Notez que Google ne dit rien pour l’arrivée de ces fonctions en Europe.

Copié dans le presse-papier !

Après deux ans de travail, WebThings est presque prêt à prendre son envol. Cette implémentation du standard Web of Things du W3C par Mozilla permet le contrôle et la surveillance d’une infrastructure d’objets connectés.

WebThings est composé de deux éléments centraux :

  • WebThings Gateway, une distribution centrée sur la vie privée et la sécurité pour les passerelles matérielles
  • WebThings Framework, une bibliothèque de composants réutilisables pour les développeurs

La version actuellement fournie de Gateway, la 0.8, contient encore un certain nombre de fonctions expérimentales, notamment l’enregistrement des informations émanant des appareils connectés dans la maison. Cas le plus classique : la température, avec graphique à la clé.

L’idée derrière Gateway est à la fois de contrôler les appareils et d’en surveiller le fonctionnement. De nouvelles alarmes ont été ajoutées pour la fumée, le monoxyde de carbone ou encore la détection de mouvements.

WebThings Gateway va également bénéficier d’une autre version, développée sur la base de la distribution Linux OpenWrt, conçue justement pour les appareils embarqués. Il pourra alors être installé dans certains routeurs qui serviront de passerelles et de point d’accès Wi-Fi.

Copié dans le presse-papier !

En préparation de la loi contre la cyberhaine, dite loi Avia, la commission des Lois de l’Assemblée nationale lance une consultation sur les contenus haineux ou injurieux en ligne sur Internet. Jusqu’au 12 mai, il est possible de répondre à un questionnaire sur le site officiel.

Les réponses « alimenteront la réflexion des membres de la commission des Lois et de leurs collègues ». Anonymes, elles seront dans un format ouvert et librement réutilisable.

Parmi les questions, vous devrez indiquer si vous avez déjà été victime ou témoin de contenus « haineux ou injurieux » (racistes, antisémites, sexistes, etc.) mais aussi les suites apportées aux éventuels signalements effectués auprès de l’hébergeur ou à la justice.

Autre question : « qui doit, selon vous, réguler les contenus haineux ou injurieux sur internet ? ». Dans les différents scénarios, il est envisagé l’intervention d’une administration ou d’une « autorité indépendante », qui pourrait être le Défenseur des droits, le CSA, l’HADOPI ou encore l’ARCEP. Et s’agissant des sanctions à l’encontre de ces propos, est imaginée une peine « d’interdiction temporaire d’accéder à Internet ou à un ou plusieurs sites »

Deux pistes respectivement dessinées par l’auteur de la PPL, la députée Laetitia Avia, et Emmanuel Macron.