Piratages d'iPhone : les Ouïghours visés, Android et Windows seraient aussi concernés

Stéphane Moussie |

De nouvelles informations importantes ont émergé sur les cas de piratages d'iPhone exécutés simplement depuis des sites web. L'équipe de sécurité de Google qui a lancé l'alerte avait laissé plusieurs questions en suspens, notamment s'il y avait des cibles précises.

TechCrunch et Forbes affirment que ces piratages visent les Ouïghours. Cette minorité musulmane qui vit dans le Xinjiang, au nord-ouest de la Chine, est persécutée depuis des années par le gouvernement chinois.

Illustration des types de contenus automatiquement récupérés par le malware et envoyés vers son serveur. Image Google.

Les iPhone piratés envoyaient discrètement à un serveur de nombreuses données personnelles, dont le contenu de plusieurs messageries instantanées, le carnet d'adresses et la position en temps réel de l'utilisateur. Cette campagne de piratage exploitant plusieurs failles a démarré en 2016 au moins et Apple y a mis fin au début de l'année avec iOS 12.1.4.

Les sites web qui servaient de vecteurs étaient destinés aux Ouïghours. Selon Google, ces sites étaient consultés par des milliers de visiteurs chaque semaine. Outre les Ouïghours basés en Chine, la diaspora et leurs soutiens dans le monde entier pouvaient être infectés par le logiciel espion. D'après TechCrunch, le FBI a demandé à Google de désindexer les sites vérolés.

Par ailleurs, l'iPhone n'était pas le seul type de terminal touché. Forbes indique que, selon ses sources, les piratages concernaient également les terminaux Android et les PC sous Windows. Ces appareils étaient infectés via les mêmes sites que ceux contaminant les iPhone.

Microsoft a répondu que l'équipe de sécurité de Google ne l'avait pas averti de ce danger (peut-être parce qu'elle n'était pas au courant) et que les mesures appropriées seront prises si de nouvelles informations font surface. Google n'a pas réagi quant au piratage évoqué d'Android et Apple n'a pas commenté toutes ces révélations pour l'heure.

avatar Nesus | 

Tant qu’il n’y a pas de listes de sites, cette information bien qu’importante, n’a aucun sens. Car ni le volume, ni l’impact ne peut-être mesuré.

avatar P'tit Suisse | 

Localisation et bases de données de WhatsApp, Telegram, iMessage.
Copies messages envoyés reçus de :
com.yahoo.Aerogram ; com.microsoft.Office.Outlook ; com.netease.mailmaster ; com.rebelvox.voxer-lite ; com.viber
com.google.Gmail ; ph.telegra.Telegraph ; com.tencent.qqmail ; com.atebits.Tweetie2 ; net.whatsapp.WhatsApp ; com.skype.skype ; com.facebook.Facebook ; com.tencent.xin

https://arstechnica.com/information-technology/2019/08/armed-with-ios-0d...

avatar Nesus | 

@P'tit Suisse

Alors soit vous ne comprenez pas ce que sont les « sites » que vous indiquez, soit vous n’avez pas compris ce que j’ai écrit.

Ce qui est copié/volé est clair. Grave et très gênant. C’est un fait. Maintenant, il y a une grande différence entre un malware qui s’installe et touche 5000 personnes et un qui touche 3 milliards. Ce qui est gênant ici c’est que ça n’avait pas été découvert.
Donc il se pose deux questions :

- Pourquoi ?
Parce que le volume était trop faible pour être vu ? Parce que c’était si soigneusement fait et massif que c’était invisible ? Parce que c’est lien à un fonctionnement natif comme meltdown et spectre ?
- Comment les sites concernés ont été infectés ?
Quand on a un peu connaissance du système d’un site, ce n’est pas si simple d’ajouter un fichier à l’intérieur de ce dernier. Surtout sans que personnes ne s’en rendent compte. Transmit a été un très bon exemple.

Donc oui, il manque encore beaucoup d’informations dans cette histoire et elle manque parce que depuis le début Alphabet joue un double jeu. Logique, compréhensible, mais qui biaise grandement l’information. C’est pas parce qu’une faille critique existe qu’elle est forcément utilisée. Après, il faut savoir dans quel volume, si on veut avoir une idée de quoi nous parlons.

avatar iVador | 

Et la communauté internationale bien silencieuse au sujet des camps d’internement des Ouighours en Chine ...

avatar Derrick92 | 

@iVador

Les autorités chinoises luttent efficacement contre le terrorisme islamiste bien implanté au Xinjiang. Prenons-en de la graine au lieu de les critiquer.

avatar iVador | 

@Derrick92

En établissant des camps de concentration ?

avatar Derrick92 | 

@iVador

Et bien disons que les chinois peuvent siroter une bière en terrasse ou aller voir des concerts sans risquer de se faire arroser à la kalash. Alors oui ça se défend.

avatar iVador | 

@Derrick92

Tu défends donc les camps de concentration si je comprends bien ?
Merci de ne plus jamais m’adresser la parole sur MacG

avatar YAZombie | 

@ Derrick92, "disons que les Chinois peuvent siroter une bière en terrasse ou aller voir des concerts": sauf les Chinois détenus en camp d'internement sans avoir rien fait, bien sûr.
Drôle de défense.

avatar occam | 

@Derrick92

Le MSS défend au Xinjiang le droit des étudiants de Hong Kong de se faire tabasser et incarcérer quand ils défendent le peu de droits civiques qui leur restent encore.

La défense de l’ordre public pour justifier répression et terreur a toujours été le fétiche des régimes crapuleux.

Reprendrez-vous une gorgée de Tsingtao en attendant le concert de Tam Wing-lun ?

avatar broketschnok | 

@Derrick92

+1

avatar Woaha | 

Est-ce que ça siphonne aussi les messages de Signal ?

avatar Alberto8 | 

... Par ailleurs, l'iPhone n'était pas le seul type de terminal touché. Forbes indique que, selon ses sources, les piratages concernaient également les terminaux Android et les PC sous Windows...

Google qui a elle même découverte cette faille ne précise pas ... chaque jour je les aimes de moins en moins... c’est bizarre ! Ou pas .

avatar Godverdomme | 

Sans eux, cette faille ne serait pas connue au grand jour, tu as réfléchi à ce que tu dis?

avatar Alberto8 | 

@Godverdomme

Est-ce que ce sont mes propos ? Non donc relisez moi bien , je dis juste qu’ils ont juste pas mentionné comme par hasard que eux aussi sont touchés .

avatar djayzer | 

@Alberto8

J’ai du mal te comprendre aussi alors car Android c est Google et tu dis toi même dans ton messages qu’ils on dis qu Android était toucher

avatar djayzer | 

@Alberto8
Mal lu , tu dis bien que c’est forbes qui l’a dis et non Google mes excuses :)

avatar Alberto8 | 

@djayzer

Non je parle bien de Google ! 😔 ils se sont bien gardés de dire que la faille de sécurité ne touche pas que APPLE mais aussi GOOGLE , donc eux même ! ils ont eu une occasion de se taire ( ou accessoirement parler dans ce cas-ci ) mais pour une fois qu’il pouvait taper sur la pomme ... c’était sans compter sur Forbes qui dévoile le pot aux roses .

avatar J'en_crois Pas_mes yeux | 

@ Alberto8
Tu crois que ce serait éthique de réveiller une faille de sécurité encore béante ?
;-)

avatar Godverdomme | 

As tu lu l'article de base ? La source ?

avatar J'en_crois Pas_mes yeux | 

@Godverdomme
oui
"One source familiar with the hacks claimed Google had only seen iOS exploits being served from the sites."
C'est l'histoire de la poutre et de la paille dans l'œil.
Tu connais l'humour ? A ce stade on ne peut faire que des hypothèses :
- Google ignorait quandroid était hacké. (pas intelligent)
- Google savait qu'Android était hacké et a fermé le trou et n'a rien dit (pas fairplay)
- Google savait qu'android était hacké mais les trous trop nombreux ou essentiels n'ont pas pu être bouché. (inquiétant)
Tu choisis ton histoire. Moi j'ignore quelle est la bonne, mais elles m'amusent toutes !

avatar mouahaha | 

"mais pour une fois qu’il pouvait taper sur la pomme ... c’était sans compter sur Forbes qui dévoile le pot aux roses ."

Tout les mois google remonte plusieurs failles à apple sur ios, alors les occasions c'est pas ce qui leur manque :)

avatar J'en_crois Pas_mes yeux | 

@ Alberto8 "ils ont juste pas mentionné comme par hasard que eux aussi sont touchés"
Oui ils sont touchés mais n'ont pas bouché (voir mon autre intervention)
C'est donc normal qu'il n'en fasse pas état.

avatar Alberto8 | 

@J'en_crois Pas_mes yeux

Alors si c’est ça, j’imagine bien que Google voulant se farcir la pomme en imaginant que cette même pomme n’allait pas réagir, ne pensait pas que toujours cette même pomme allait faire fuite dans le magazine Forbes la vérité jusqu’au bout ... je précise que ce ne sont que des suppositions .

avatar J'en_crois Pas_mes yeux | 

@ Alberto8
Oui on ne peut faire que des suppositions, et elles sont toutes très rigolotes (c'est pourquoi j'ai utilisé l'amour dans mes posts)

avatar en chanson | 

@Alberto8

Apple n'aurait rien signalé du tout... C'est pire

avatar J'en_crois Pas_mes yeux | 

@en chanson "C'est pire"
Non ce qui est pire, c'est de ne pas boucher la vulnérabilité.
Google n'a pas prévenu qu'Android souffre des mêmes vulnérabilités et l'on ignore s'il les a bouchées : c'est pire ?

avatar J'en_crois Pas_mes yeux | 

@ Godverdomme
Il est tout à fait normal que Google ne révèlent pas les failles actives " au grand jour,"
C'est une question éthique.
Si Google révèle les failles de l'Iphone, c'est seulement *après* qu'Apple les ai fermées.
Google ne peut pas et ne doit pas révéler les failles d'Android tant qu'elles demeurent actives. Quoi qu'en pensent les amoureux de la pomme, ce serait inconséquent.

avatar Alberto8 | 

@J'en_crois Pas_mes yeux

Donc Apple a corrigé la faille et pas Google a l’origine de la découverte...ça me parait ...Étonnant !

avatar J'en_crois Pas_mes yeux | 

@ Alberto8
Boucher les trous d'une passoire, ce n'st pas évident.
Et puis si tu y arrivais... Tu serai bon pour la jeter...
parce qu'une passoire sans trou, ça ne peut pas servir à grand chose
;-)

avatar Godverdomme | 

Ce n'est pas gentil de traiter iOS de passoire

avatar Alberto8 | 

@Godverdomme

Oui surtout que si iOS est une passoire alors J’imagine pas les autres 😂 qu’est-ce qu’il faut pas entendre 👂

avatar en chanson | 

@Alberto8

Ah oui Apple sait coder et Google code avec ses pieds.... Le fanbyisme en de bien bonnes ! 😜😜

avatar Alberto8 | 

@en chanson

Sympa c’est la première fois que l’on me traite de fanboy sur se site d’habitude c’est le contraire, c’est marrant ou c’est fanboy ou c’est Apple baching 😂 😂 😂 .

avatar YAZombie | 

@ Alberto8, "Oui surtout que si iOS est une passoire alors J’imagine pas les autres"
Je ne pense pas qu'un ou l'autre soit une passoire, les exploits IRL sont rares. Après avoir reconnu ces problèmes de sécurité Google a changé de philosophie. Rome ne s'est pas faite en un jour.

Pour les failles des 5 dernières années - un peu plus que la durée de vie moyenne d'un smartphone, parler de systèmes qui n'ont plus cours n'a guère de sens -, les chiffres sont les suivants (en gras les plus grands nombres, suivi de la proportion).
• Failles totales/critiques depuis lancement (2007 pour iOS, 2009 pour Android):
Android: 2250 (1,36/1)/826 (2,9/1) - iOS: 1654/285
• Failles totales/critiques sur les cinq dernières années (2015-2019):
Android: 2207 (1,81/1)/821 (4,46/1 😱️)- iOS: 1218/184.
• 2019 s'annonce mal pour iOS, avec 156 failles dont 25 critiques jusqu'ici, mais Android n'est à la traîne que sur le total (103) et reprend la tête sur les failles critiques, 33.

Il y a des gens trop couillons pour jamais justifier leurs propos - aveux d'ignorance ou simplement d'imbécillité? les deux! ou alors c'est un blocage au stade anal, probablement -, ce n'est pas mon cas:
https://www.cvedetails.com/product/19997/Google-Android.html
https://www.cvedetails.com/product/15556/Apple-Iphone-Os.html

In fine, toutes les mesures qui comptent pour qui s'interroge sur la sécurité des appareils sur le marché actuel montrent un Android autrement plus sérieusement problématique: un gigantesque 36% de plus de failles depuis sa création vs iOS, pourtant plus tardive de deux ans qu'iOS, et un inimaginable 500% de failles critiques. Et tout ça, sans mises à jour assurée.

Tout le monde a du boulot. Les annonces Apple récentes concernant bug bounty et appareils pour hackers sont une excellente nouvelle.
Mais il était temps que l'équipe Android change de philosophie.

avatar Alberto8 | 

@YAZombie

Vous avez l’air de vous y connaître je vous porterai donc pas la contradiction 🙃

avatar bunam | 

@ YAZombie
Le comptage des failles c'est top, aussi il faut prendre en compte un truc :
85% des devices type iOS sont sous le dernier système et ont accès au derniers patch !!!
En face c'est comment ?? Moins drôle je crois...

avatar YAZombie | 

@ bunam: exactement. Mon seul et unique vrai problème avec Android dans la situation actuelle.
Pour info, Android One mitige partiellement le problème. Malheureusement on ne peut pas dire que Google ni les fabricants qui le proposent (Nokia, Xiaomi et quelques autres) en fassent beaucoup la promotion 😔️

avatar Godverdomme | 

Sauf que les mises à jour de sécurité se font par les patch de sécurité, et pas par les mises à jour de l'OS... Disponible ici: https://source.android.com/security/bulletin

avatar YAZombie | 

@ Godverdomme, "Sauf que les mises à jour de sécurité se font par les patch de sécurité, et pas par les mises à jour de l'OS"
Déjà, je tiens à te féliciter pour avoir réussi à te sortir les doigts et venir avec une source. Ça a dû faire très mal.

Sauf que si on en croit une petite source, Android.com, la situation que tu décris est restreinte à des situations idéales quand elles ne sont pas totalement aléatoires, puisque rien n'est exigé des constructeurs en-dehors de certains programmes ne concernant que quelques appareils: "All of these layers are reinforced by security updates. We have an established monthly update cycle for Pixel devices, as well as those under the Android One program. In addition, Android Enterprise Recommended devices are updated at least every 90 days. We also share these updates and vulnerabilities in a comprehensive security bulletin for our partners and users."
Soit une petite poignée d'appareils Google même pas vendus partout, 24 appareils AER (https://androidenterprisepartners.withgoogle.com/devices/) et à peine une dizaine d'Android One.
Dans vraie vie, ça fait pas bézef.
C'est eux qui le disent, hein, moi je ne sais pas, tu as peut-être des sources plus sûres que Google? Maintenant que tu as enfin dépassé le stade anal, tu vas même nous les donner?
Dans la vraie vie aussi, le bilan des constructeurs n'est pas exactement reluisant: https://www.computerworld.com/article/3336930/android-upgrade-report-car... et la plupart des utilisateurs d'appareils actuels ne verront jamais les améliorations concernant la sécurité de Pie (https://www.computerworld.com/article/3262133/android-p.html)
Ouais, je sais, ComputerWorld c'est de la merde. Justement, puisqu'on en parle, maintenant que tu as dépassé le stade anal, si tu contredis les articles tu viendras avec des sources n'est-ce pas?
J'attends tes arguties et sophismes avec résignation, Petit Gorgias de Pacotille.

avatar Godverdomme | 

Donc tu recommences et tu sors le graphique de l'OS en confondant les patch de sécurité. Tu sembles bien borne a ce que tu penses et pas ce que les autres disent :-)
Par exemple, le S7 a eu des mises a jour moisies sur la version d'Android, et a reçu les patch de sécurité plus de trois ans.

avatar YAZombie | 

"Donc tu recommences et tu sors le graphique de l'OS en confondant les patch de sécurité. Tu sembles bien borne a ce que tu penses et pas ce que les autres disent :-)"
Non non ça parle bien des patchs de sécurité. Et tu as oublié Android.com.
Et de toute façon les patchs de sécurité ne couvrent pas tout comme indiqué dans les articles que j'ai cités.
Que tu mentes et sois incapable de te sortir les doigts du cul pour soutenir tes affirmations, ici comme avec le reste, ne change rien aux faits. En revanche à chaque commentaire tu deviens encore plus ridicule. C'est bien, je pense qu'il doit y avoir encore quelques personnes qui suivent ce fil.

avatar YAZombie | 

@ Godverdomme:
C'est marrant, tu es bien silencieux tout à coup.
Tu ne reviens pas nous parler du rapport de 1,36/1 - pratiquement 40%, une paille tout de même même si tout le monde se fout de ce qui passait avant 2015 -, que tu semblais estimer mineur pour une raison qui échappe à part la mauvaise foi? Comment ça se fait?
https://www.igen.fr/comment/1984019#comment-1984019
Je présume que ça se voit trop, maintenant, que c'est la seule et unique mesure soutenant ta position. Et qu'elle n'a pas la moindre importance pour les appareils entre nos mains.
Et les autres calculs, notamment le rapport de presque 1,8/1 sur les failles totales, et les 4,46/1 (!) des failles critiques sur les appareils entre nos mains, tu pourrais nous dire ce que tu en penses? C'est pas grave, des failles critiques? Tu n'as pas besoin de te ressortir les doigts du cul, je ne demande pas de source, juste ton opinion.

Ah oui, et pour quelqu'un qui se prétend si informé, c'est tout de même bizarre que tu aies une ignorance aussi profondément crasse du système de mises à jour d'Android et comment les affectent les programmes tels One et AER. Je veux dire, un peu ignorant ça pourrait s'accepter. Mais une telle ignorance, c'est grave quand même.
Bref, tu t'es une nouvelle fois ridiculisé. C'est à croire que c'est une addiction, Petit Gorgias de Pacotille.

avatar Godverdomme | 

Tu annonces 3 avec ton article phonandroid, avant que je te corrige, ta mémoire est aussi nulle ?
J'ai annoncé 1.3 pour que tu arrives enfin a la vérité : 1,36

Ne change pas la réalité, si il te reste un peu d'amour propre.

avatar YAZombie | 

"Tu annonces 3 avec ton article phonandroid, avant que je te corrige, ta mémoire est aussi nulle ?"
Non, je cite un article phonandroid en indiquant clairement qu'il date de 2016. Pas besoin de mémoire pour ça, je peux citer mes commentaires: "Ça date de 2016, je n'ai rien trouvé de plus récent" et en te demandant EXPRESSÉMENT des sources plus récentes puisque tu prétends les avoir: "je suis sûr que tu vas nous fournir une source plus récente et certainement même plus crédible."
Sachant pertinemment que ta position n'est que sophisme, tu préfères comme toujours te garder les doigts bien au fond tu trou du cul. Ça c'est de ton fait, je n'y suis pour rien si tu es impuissant à soutenir tes propres affirmations.
De plus l'article parle de l'année 2016, qui était un peu l'année qui comptait pour ceux qui achetaient en 2016.
Tes chiffres en revanche se réfèrent à des failles antérieures à 2015 dont tout le monde se fout.

avatar YAZombie | 

"Tu annonces 3 avec ton article phonandroid, avant que je te corrige, ta mémoire est aussi nulle ?"
Devoir recourir systématiquement à des sophismes grossiers pour soutenir tes affirmations, on peut difficilement faire plus flagrant aveu de faiblesse, Petit Gorgias de Pacotille.

Ton amour-propre disproportionné te pousse à mentir et ça se voit. C'est comme tous les outils, ça a des usages positifs et des usages néfastes. Le mien me pousse plutôt à ne pas mentir, et même à présenter des excuses quand je me suis trompé ou me suis mal comporté suite à un malentendu - il y a des exemples sur ce site même. Ce n'était pas des petits menteurs stupides et ridicules, bien sûr.

C'est sûr, on n'a pas les mêmes fondements moraux. Et ça aussi tu le rends flagrant. Mais vas-y, continue, je t'en prie, je garde les url de nos échanges pour référence.

avatar Godverdomme | 

Pour les mises a jour, je reprends un commentaire du dessus, le S7 a reçu des mises a jour pourries de l'OS, mais a bien eu les derniers patch de sécurité pendant plus de trois ans. Il est hors de ton graphe.

Bonne journée, et gros bisous

avatar YAZombie | 

"Pour les mises a jour, je reprends un commentaire du dessus, le S7 a reçu des mises a jour pourries de l'OS, mais a bien eu les derniers patch de sécurité pendant plus de trois ans. Il est hors de ton graphe."
Bravo, tu as trouvé UN appareil parmi les milliers sur le marché pour soutenir tes affirmations, qui ne changent rien au fait que les failles du système ne sont pas bouchées sur l'immense majorité des appareils.
Tu te débats de plus en plus mal, et surtout ça se voit de plus en plus combien tu te débats. Si seulement tu n'avais pas décidé de confondre simple critique objective du passé et approche plutôt bienveillante de l'avenir immédiat avec condamnation féroce. Mais c'est normal, tu incarnes les égouts de l'idéologie.

avatar Godverdomme | 

C'est la base de la science mon ami... Un contre exemple balaie une théorie fumeuse, c'est la vie....

Pour les sources c'est marrant, je t'ai moi même d'or d'aller vérifier les cve exploits avant que tu n'y ailles et tu ne me remercie même pas ? C'est vilain ça...

avatar YAZombie | 

Ouh la la! Voilà qu'il se risque à l'épistémologie! 😂️
Avec la même compétence démontrée qu'en sécurité informatique: aucune.
La sottise de tes arguments fallacieux atteint des sommets qu'on n'est plus supposé atteindre après l'adolescence. Maintenant je comprends mieux. Tu mérites bien ton surnom de Petit Gorgias de Pacotille.
Juste une question: c'est quoi la théorie fumeuse ici? 🤣️

D'ailleurs, c'est marrant, je vois que tu as remis tes doigts bien au fond et que tu impuissant à soutenir tes dires avec quoi que ce soit de concret. Pour ma part, jusqu'ici toutes les sources que j'ai pu donner ont été systématiquement confirmée. Toutes. Toutes ces sources que tu as balayées, elles ont été confirmées par les données que tu m'as toi-même invité à aller chercher. 👍️

" je t'ai moi-même d'or d'aller vérifier les cve exploits"
C''est bien ce que j'ai dit: impuissant.

Sans compter que les chiffres en question démontaient tout ce que tu affirmais, excepté l'unique chiffre que tu avais sorti tes doigts du cul pour enfin écrire une donnée factuelle. Mince, l'info en question n'a pas la moindre importance pour les appareils entre nos mains 🤡️
Petit clown de plus en plus triste et de plus en plus pris dans sa propre toile de clown triste.
Je reprends pour le plaisir: tu avais donc totalement tort, du début à la fin. Tout ce que tu as dit s'est révélé faux. Tout. Sauf les 1,30, sans la moindre importance. Oh, quelle victoire! Attends, voilà une médaille.🥇️
Une incompétence ahurissante.
Continue, je t'en prie. J'ai un plaisir coupable à te voir te débattre pour croire préserver un semblant de dignité, perdue depuis longtemps.

Pages

CONNEXION UTILISATEUR