Sécurité : le Tizen de Samsung est une passoire

Mickaël Bazoge |

Tizen, la plateforme développée par Samsung pour son électroménager connecté, ses smartwatchs et quelques smartphones, est une passoire en termes de sécurité. Le chercheur Amihai Neiderman ne mâche pas ses mots : le système d’exploitation présente « le plus mauvais code » qu’il ait jamais vu : il a trouvé 40 failles « zero day ». Un exemple de ce qu’il ne faut pas faire, selon lui : « Vous pouvez voir que personne n’ayant une compréhension de la sécurité n’a vérifié ce code ou l’a écrit. C’est comme laisser un étudiant programmer le logiciel », décrit-il à Motherboard.

Ce soir à la télé : des failles à gogo.

Tizen a une histoire un peu compliquée ; à l’origine, il s’agit d’un projet commun entre Intel et Nokia dans lequel Samsung a injecté Bada en 2013. Ce ne sont pas spécialement les différentes couches « historiques » qui composent le code de Tizen qui posent problème, mais du code programmé ces deux dernières années — donc entièrement imputable à Samsung.

Toutes les failles découvertes par Neiderman permettent à un malandrin de prendre le contrôle d’un appareil Tizen, mais une en particulier est vraiment critique. Elle est présente dans le TizenStore, une application particulièrement importante puisque c’est la porte d’entrée de la boutique Tizen… Le chercheur en sécurité a exploité cette faille afin d’injecter un logiciel malveillant dans sa télé Samsung, avant que le processus d’authentification de l’app ne s’active.

Beaucoup de développeurs se sont résolus à exploiter des fonctions alternatives à celles utilisées par le constructeur, pour éviter à leurs applications de présenter des vulnérabilités. Il n’empêche : Samsung doit prendre le taureau par les cornes, et rapidement car on n’est jamais à l’abri d’une catastrophe.

Ce frigo Tizen est plein de trous —

Si cette plateforme a vécu sous le radar des pirates jusqu’à présent, c’est qu’elle n’est pas spécialement populaire, même si elle équipe 30 millions de Smart TV et pas loin de 10 millions de smartphones, sans oublier toutes les montres connectées de Samsung ni les frigos et les machines à laver « intelligents » que le constructeur compte commercialiser cette année.

Amihai Neiderman a pris contact avec Samsung il y a plusieurs mois, et il n’a reçu en retour qu’une réponse automatique. Après la parution de l’article, le constructeur a daigné approfondir sa réflexion en se déclarant prêt à coopérer avec le chercheur pour réduire les vulnérabilités. Tizen est souvent présenté comme l’alternative à Android que Samsung entend pousser de plus en plus fort, mais utiliser ce système d’exploitation en forme de trous de gruyère n’est recommandé à personne, du moins pour le moment.

avatar 2Bad | 

Même le malandrin sait que le gruyère n'a pas de trous :-)

2Bad

avatar MarcMame | 

@ 2Bad :
Même le malandrin sait que le gruyère n'a pas de trous :-)
-----------------------------------------------
Sauf si c'est justement le fieffé coquin qui les a fait lui même en passant par la-porte-de-derrière...

avatar Bruno de Malaisie | 

@MarcMame

Mâtin, quelle réponse!!!

avatar frankm | 

-- Erreur --

avatar occam | 

@MarcMame

@C1rc3@0rc

Ayant une culture helvétique et surtout l'expérience d'avoir travaillé quelques années en pays fribourgeois, pas loin de Gruyère, je suis obligé d'intervenir pour rétablir la vérité.

Le gruyère *suisse* n'a normalement pas de trous. Il peut toutefois en contenir à titre exceptionnel.
http://gruyere.com/fr/ses-caracteristiques/

Le gruyère *français*, par contre, *doit* en être pourvu.
https://fr.m.wikipedia.org/wiki/Gruyère_français
(Cf. liens au sujet des dispositions légales)

La Suisse et la France étant les deux pays également habilités par la convention de Stresa à produire du fromage sous l'appellation de « gruyère », il est nécessaire de préciser ses références.

Historiquement, on a beaucoup confondu gruyère et emmental sur les marchés internationaux.
En Italie, "groviera", à l'origine le gruyère donc, est devenu le terme générique pour désigner le fromage à trous, surtout l'emmental. L'architecture de Mussolini en fit les frais :
le Palazzo della Civiltà Italiana, au quartier EUR, est communément appelé par les Romains "la groviera".
Alors qu'il ressemble à un bloc d'emmental refaçonné par Giorgio De Chirico.
https://fr.m.wikipedia.org/wiki/Palais_de_la_civilisation_italienne
Et
http://ricerca.repubblica.it/repubblica/archivio/repubblica/2013/07/18/l...

Pour tout un plat de gruyère mussolinien :
https://www.romeartlover.it/Eur.html

avatar Nico S | 

@occam

Ben, disons que le Gruyère "français" (qui tire son nom d'une ville Suisse) et tout autant une aberration que le Bordeaux "suisse". Ça fait pas de sens :-)

avatar occam | 

@Nico S

Pas plus, ou pas moins, de sens qu'un fabricant d'ordinateurs qui tire son nom d'une pomme, et qui baptise son produit le plus marquant « Designed in California » d'après une variété de pomme originaire du Canada.

Dans son sillage, une foison de noms bâtards tels que MacRumors, MacWorld, MacInTouch, MacGeneration...
Noms dont on ne perçoit plus l'absurdité étymologique, tant la syllabe « Mac- » a subi un glissement sémantique.

Il existe, dans la Sarthe, plus précisément à Sablé, une variété de pomme dénommée « Gros Locard ». *

Imaginons J.-L. Gassée aux commandes d'Apple, baptisant l'ordinateur à interface graphique d'après cette pomme : GrosLocard.
Florès de publications et sites s'y référant :
GrosGeneration, GrosWorld, GrosRumors, GrosInTouch, GrosNews, GrosNN, GrosBidouille, GrosWay...

———
* Ce qui montre que la Sarthe produit aussi du bon.

avatar MarcMame | 

@occam

"Ce qui montre que la Sarthe produit aussi du bon."
----------
Même le GroFion ?

De toute façon, une célèbre présipauté à déjà déposé tout ça.

avatar Nico S | 

@occam

GrosGeneration... ça le fait ! :-D

avatar C1rc3@0rc | 

occam

Tu as oublié GrosLand.

apres, ayant aussi perdu un certain temps du coté du canton fribourgeois hébergeant le massif de la Gruyere, je ne peux que te donner raison, mais l'ire des fribourgeois face aux frouzes qui voient des trous dans le fromage internationalement connu de cette petite mais magnifique région encore fleurant le secteur agricole a pleine narine, demontre que la lutte entre le fromage a trous et le gruyerien de reference est loin d'avoir enterré le caquelon de guerre.

avatar MarcMame | 

@occam

Tu viens de nous en faire tout un fromage ? !

avatar Biking Dutch Man | 

@occam

Selon moi il est scandaleux que les français qui n'ont aucun endroit qui s'appelle Gruyères soient autorisés à produire un fromage sous ce nom alors que le vrai Gruyères a une AOC, alors que les Suisses ont dû renoncer à produire du vin avec l'appellation Champagne alors qu'ils ont un village vinicole qui porte ce nom. La raison est sûrement que les négociateurs probablement suisse-allemands ont été très mauvais ou n'en avaient rien à faire.

avatar C1rc3@0rc | 

Essayes de faire prononcer champagne a un suisse-allemand qui n'a d'autre notion du français que celui fédéral! Tu va comprendre la douleurs dans tes oreilles. ;)

D'un autre coté les AOC permettent des aberrations et c'est pas nouveau. Mais c'est quand meme mieu qu'avant, a l'epoque ou l'on pouvait avoir des produits aux noms de terroir produits sur un autre continent.

avatar Le docteur | 

@MarcMame
Oui si un tire-laine vous a tout simplement vendu de l'emmental pour du gruyère.

avatar C1rc3@0rc | 

@ 2Bad

Bah a moins d'etre suisse ou d'avoir une culture helvetique, le malandrin confond emental et gruyere.

Ceci dit, Tizen est une merde sans nom qui n'a comme justification unique que la volonté de ne pas utiliser Android ou WebOS.
Apres des systemes embarqués fiables, bien programmés, efficaces, il y en a quelques uns sur le marché et il etait totalement inutile de se lancer dans la debacle Tizen. Sauf que Samsung veut faire du proprietaire pour verrouiller le marché et ne devoir payer qu'un faible part de patentes.

C'est pitoyable, et Tizen est une catastrophe.
Que Samsung arrete les frais et se prenne un licence d'un vrai OS embarqué et qu'on arrete la connerie de l'electomenager "connecté".
Un TV c'est juste un ecran sur lequel projeté le contenu d'un PC/Tablette/smartphone et pour ça y a les Roku, et APple TV. Un frigo ça doit maintenir son contenu froid, un machine a laver sa doit sortir du linge propre et pas usé jusqu'a la corde, une bouilloire ça doit porter de l'eau a ebulition avec la meilleure efficacité energetique possible...
Toutes les conneries de "smartgadget" ne font que rendre les appareils moins fiables, moins fonctionnels, plus consommateurs... tout ça pour quoi? voler des données a l'utilisateur!

avatar Biking Dutch Man | 

@C1rc3@0rc

Absolument, recette? Pas de Samsung dans la maison! Car les hackers s'en donnent à cœur joie!

avatar Vetsa | 

@C1rc3@0rc

Ce n'est pas pour prendre la défense de Samsung mais à te lire, cette dernière ne devrait faire que ce qui faisait son cœur de métier auparavant!!?

Heureusement que les sociétés ne pensent pas comme toi, car sinon Apple ne serait pas aventurée à concurrencer Spotify par exemple, à proposer ApplePay etc.

Je suis tout à fait conscient qu'à vouloir se lancer sur un nouveau créneau, surtout lié à l'informatique connectée sans se prémunir de ce genre de problème, et d'après ce chercheur en sécurité c'est de l'amateurisme niveau débutant.

Car, tout ce qui a attrait à la sécurité est la base d'un système d'exploitation qu'il soit mobile ou non.

Donc Samsung n'est en aucun excusable mais bon comme souvent ici tout ce qui n'est pas Apple est mauvais de base même si c'est le cas ou pas. Et au final les gens pensent refaire le monde avec leur commentaire sur Macg ?

avatar reborn | 

@Vetsa

Nouveau créneau ? C'est pas le premier OS qu'ils font.

Puis l'on parle de Samsung, certainement numéro 1 mondial de l'électronique.

« Vous pouvez voir que personne n’ayant une compréhension de la sécurité n’a vérifié ce code ou l’a écrit. C’est comme laisser un étudiant programmer le logiciel »

Ils auraient pu faire un audit de sécurité par un service externe au moins si je vous suis sur le "manque de d'expérience sur ce créneau".

avatar C1rc3@0rc | 

«Ce n'est pas pour prendre la défense de Samsung mais à te lire, cette dernière ne devrait faire que ce qui faisait son cœur de métier auparavant!!?»

Je ne sais par quel chemin tordu tu arrives a cette conclusion a partir de ce que j'ecri, mais ce n'est pas mon propos.
Ce que je dis c'est que Samsung s'est lancé dans une demarche de strategie commerciale et marketing avec Tizen et les bidules electromenager connectés qui est aussi ratée qu'artificielle. Quant tu vois que leurs machines a laver "explosent" parce que les points de fixation sont sous-dimensionnés afin de monter les marges ou que les machins connectés (totalement inutile comme fonction) servent a piller des donnees utilisateur et a l'espionner, comment dire! Samsung ferait bien de faire des economie sur Tizen et dimensionner correctement les points de fixation des tambours de ses machines a laver (au demeurant bien meilleures que les machines a laver americaines, des merdes sans nom, qu'elles remplacent)

Quant aux "services" d'Apple, faut bien comprendre que ce ne sont que des instruments permettant de soutenir les ventes du materiel et rien d'autre. Est legitime pour un constructeur de PC ou de smartphone de devenir editeur de contenu de divertissement ou distributeur? C'est pas le meme metier, c'est pas les memes objectifs, c'est pas le meme secteur...

Au final on a quoi? Une distribution de contenu qui se finance avec de la vente de materiel et qui a pour objectif d'augmenter les ventes de ces memes materiels. C'est irrationel et cela pose des conflits d'interets, a la fois au niveau de la societe mais aussi pour le consommateur.

Le pire c'est que la rentabilité de ces services n'en justifie pas l'existence, mais que c'est la capacité a faire vendre du materiel. Le jour ou cette capacité baisse, meme si le service est rentable, Apple sabordera le service comme elle l'a toujours fait.

avatar bibi81 | 

Un TV c'est juste un ecran sur lequel projeté le contenu d'un PC/Tablette/smartphone et pour ça y a les Roku, et APple TV.

Et si la TV est connectée alors les Roku et Apple TV deviennent inutiles...

Bah oui ma TV est connectée, je ne m'en sers pas pour aller sur le web ou pour regarder youtube, je m'en sers pour broadcaster ce qu'il y a sur mon ordinateur sans avoir besoin d'un boîtier supplémentaire.

avatar bonnepoire | 

Tu ne t'en sers pas mais ils s'en servent pour te filmer en train de ... heu... faire des trucs tout seul. Ils peuvent même t'envoyer des pubs LOL

avatar C1rc3@0rc | 

«Et si la TV est connectée alors les Roku et Apple TV deviennent inutiles...»

Non, cela devient redondant et plus compliqué, parce que, bien sur, l'interet de Samsung n'est pas celui d'Apple, de Google, Amazon, Roku, etc et le service ne cadre qu'avec un besoin marketing precis.

Il en decoule que l'attribut "connecté" des TV n'est evidement pas universel et se trouve incompatible ou responsable d'incompatibilités avec le materiel de diffusion. Si Samsung et Cie font des TV connectés c'est juste pour pouvoir les vendre (beaucoup) plus chers que le cout d'une bonne dalle avec une bonne electronique derriere. Foutre un circuit mediocre pour connecter en Wifi ou en ethernet ça coute rien, mais ça permet de monter le prix de vente.

Developper une bonne dalle avec un bon systeme de gestion de l'affichage, une auto-calibration efficace, ça permet pas de monter le prix mais par contre ça coute a developper.
CQFD.

avatar macfredx | 

sachouba est demandé en urgence ?????

avatar shaba | 

@macfredx

Ah ah excellent :) même s'il ne me manque pas celui la !

avatar macfredx | 

@shaba

Il ne doit pas être loin...

avatar reborn | 

"Chez Samsung la sécurité a toujours été notre priorité"

"L'innovation est notre culture, la qualité notre priorité"

?

avatar iOx2 | 

@reborn

?????????????

avatar Yoskiz (non vérifié) | 

@reborn

J'avoue ? et en plus j'ai une TV Samsung... mais je n'utilise pas les services connectés. ?

avatar mat 1696 | 

@reborn

??? on voit toute la crédibilité de leur discours... C'est quand même fou d'être autant incapable! Et surtout si c'était la même chose chez Apple je vous garanti qu'on en entendrait bien plus parler....

avatar 421 | 

Par principe : ne jamais connecter un objet connecté...
Un réfrigérateur ou un four ont-il besoin d'une mise à jour ? NON
Les mentalités ont-elles besoin d'une mise à jour pour savoir dire non à ces produits inutiles et donc devenus totalement indispensable ? OUI

avatar bibi81 | 

Un réfrigérateur ou un four ont-il besoin d'une mise à jour ?

OUI ! Compare un four des années 80 à un four d'aujourd'hui et tu verras que les fours récents proposent beaucoup plus de fonctionnalités (qui sont principalement software) pour cuire les aliments (une gamme de température différente, des profils de cuissons différents, etc...).

Donc oui une mise à jour peut permettre d'obtenir de nouveaux profils de cuisson sans pour autant avoir à acheter un nouveau four !

C'est similaire pour le réfrigérateur (et pour tout l'électroménager) avec plus ou moins d'utilité (en fonction du type d'électroménager).

Il est sûrement encore un peu tôt pour les produits connectés (pour des raisons de sécurité) et il me semble aussi important de savoir ce que vont en faire les industriels (si c'est juste pour collecter des infos privées et/ou ajouter des services inutiles tels que facebook ou autres sans jamais améliorer le produit, c'est inutile).

avatar roccoyop | 

Samsung = nouveau M$

avatar lactel | 

Est-ce que les passoires connectées Samsung utilisent aussi cet OS ?

avatar zxspectrum | 

Et le pare-feu de la box à laquelle tous ces merveilleux appareils sont connectés, il ne sert à rien ? Une connexion entrante non sollicitée, si elle passe le pare-feu, peut-elle ne cibler que la télé ? Le (mal pratique) navigateur internet de la télé n'est pas sandboxé ?
Je ne comprends pas tout…

avatar bibi81 | 

Encore faut-il que la box ait un pare-feu !

avatar bonnepoire | 

Ca étonne quelqu'un à part sachounet-sung?

avatar reborn | 

Sachouba, fait pas genre de faire le mort ?

CONNEXION UTILISATEUR