Aujourd'hui, la plupart des sites web ont besoin d'une vérification par SMS comme Google, Facebook et d'autres sites de type "survey".

Alors pourquoi utilisent-ils ce système qui vous oblige à délivrer votre numéro de téléphone mobile ?
Il y a plusieurs raisons :

• Assurer une sécurité supplémentaire pour leur site web.
• Écarter les spammers.
• Envoyer des annonces sur ce numéro.
• Et dans certains cas, revendre votre numéro à des annonceurs.

Plutôt que de donner impunément votre numéro de mobile, il existe un moyen simple de contourner cette vérification par SMS :

• Allez sur http://receive-sms-online.com/

• Choisissez un des numéros de téléphone disponibles pour recevoir un SMS en ligne.
• Entrez ce numéro sur le site web demandant une vérification par SMS.
• Une fois le SMS envoyé, cliquez sur le numéro pour voir les derniers SMS reçus.

Receive SMS Online n'est pas le seul site proposant ce genre de service. En voici quelques autres :

• http://receivesmsonline.com/freephonenumber/
• http://sellaite.com/smsreceiver/
• http://www.receivesmsonline.net/

Les premières nightly builds de Firefox OS, le système d'exploitation open source de Mozilla pour appareils mobiles, sont maintenant disponibles en téléchargement depuis le serveur FTP de Mozilla. Ces premières versions, étiquetés b2g-17.0a1, sont destinées aux développeurs. Avec les builds desktop pour Windows, Mac OS X et Linux (code source fourni également), les développeurs peuvent tester le système et créer des applications web. L'équipe de Mozilla espère que ces développeurs donneront leur avis et sauront remonter les éventuels bugs trouvés.

La plate-forme Firefox OS, d'abord lancée en 2011 en tant que Boot to Gecko (B2G), est le système d'exploitation lancé à but non lucratif pour les appareils mobiles. L'architecture du système, qui tourne sur le noyau Linux, est conçu pour éliminer la nécessité d'utiliser des APIs spécifiques pour les applications. Au lieu de cela, les développeurs peuvent créer des nouvelles applications en utilisant des standards ouvertes tels que le HTML5.

Les fonctionnalités du téléphone sont implémentées en tant qu'application web. Les APIs nécessaires pour exploiter pleinement les capacités du téléphone, comme la caméra, le Bluetooth, l'USB, sont mises en oeuvre comme des APIs Web puis soumises au W3C pour la "normalisation".

Un certain nombre de fabricants, y compris TCL Communication Technology et ZTE, ont déjà signé pour construire des appareils basés sur Qualcomm Snapdragon utilisant l'OS de Mozilla. Le premier appareil grand public fonctionnant sur Firefox OS devrait arriver sur le marché début 2013 au Brésil.

De plus amples détails sur ces nightly builds peuvent être trouvés sur le billet du blog de Mozilla écrit par Tony Chung, tandis que des instructions sur le fonctionnement de B2G sont fournies sur le Hacking MozillaWiki.

Bon ce n'est pas vraiment le LOL du jour mais j'avais envie de mettre cette image qui illustre assez bien la situation. Ce sont des chercheurs de l'Université du Michigan qui ont réussi à modifier le trafic de données mobiles. Ils ont injecté des paquets TCP dans des connexions tierces ce qui leur permet d'effectuer des manipulations telles que l'exécution de Javascript supplémentaire ou la lecture d'une vidéo Youtube lorsque l'utilisateur visite un site web.

L'attaque est décrite dans un document de 15 pages tout de même. Pour injecter des paquets de données, le pirate doit connaître le numéro de séquence TCP du dernier paquet envoyé par le client et celui-ci peut faire jusqu'à 4 octets de long! Mais les chercheurs ont découvert que le pare-feu utilisé par les opérateurs mobiles et/ou constructeurs de smartphones leur donnent un bon coup de main pour trouver cette information.

Le pare-feu en question vérifie le numéro de séquence de tous les paquets TCP entrants et sortants et laisse passer seulement ceux qui ont un numéro de séquence dans une plage utilisée par le client. Tous les autres paquets sont bloqués. Selon les chercheurs, il est relativement facile de déterminer la gamme actuellement utilisée par le client. Un pirate peut alors simplement essayer tous les numéros de séquence au sein de ce bloc.

Deviner les numéros de séquence TCP est un vieux problème. A l'époque, les numéros de séquence étaient toujours incrémentés d'une valeur prévisible, donc bon pas top. Il y a quelques temps, cela a été modifié de sorte que le nombre initial soit sélectionné au hasard. Avec 4,3 milliards de numéros disponibles, c'est presque impossible.

Ici ils ont modifié la connexion d'un smartphone avec une application spéciale

Un des scénarios d'attaque décrits par les chercheurs consiste à modifier le trafic du réseau sur le smartphone en utilisant une application dédiée. Dans l'exemple de la vidéo ci-dessus, en visitant Facebook, le navigateur du smartphone pourrait être utilisé pour afficher une page de phishing.

Sur 150 opérateurs réseaux testés, prés d'un tiers utilisent un pare-feu qui permet de deviner les numéros de séquence assez facilement en utilisant cette technique. L'attaque peut également être utilisée sur d'autres réseaux utilisant ce type de pare-feu. En principe et en supposant qu'il n'y a pas de chiffrement, l'attaque peut être effectuée sur un PC. Mais bon la lecture directe des paquets de données n'est généralement pas possible.

S21sec, une société espagnole spécialisée en sécurité informatique, a publié une étude sur les failles de sécurité de ces 10 dernières années. Cette société, très respectée par ses confrères, fait des audits et des rapports de sécurité pour des organisations tel que l'agence Européenne chargée de la sécurité de l'information (ENISA).

Depuis 2001, S21sec a recueilli sur une base de données toutes les failles de sécurité des sociétés les plus imposantes produisant des logiciels incluant Adobe, Apple, Google, Microsoft et Oracle. La base de données appelée Vulnera est alimentée par 36 sources différentes et parmi eux les célèbres contributeurs tels que CVE, Bugtraq et Secunia. Elle répertorie actuellement plus de 22.000 produits et plus de 74.000 failles de sécurité.

Selon les statistiques de S21sec, le nombre de failles de sécurité trouvées l'année dernière a diminué significativement par rapport aux années précédentes et en dépit du fait que Apple, en particulier, a reporté plus de failles dans ses produits cette année là. On remarque aussi d'après le graphique ci-dessus, que l'année 2006 a été la plus riche en failles avec plus de 10.000.

Près de 7.000 failles importantes ont été signalées en 2011 seulement, avec le plus haut taux rapporté en Mars. Étonnamment, Chrome a été responsable de plus grand nombre de failles de sécurité. Dans la catégorie des navigateurs, plus de la moitié des failles de sécurité ont été trouvées sur le navigateur de Google (54%), suivi de Firefox (18%) et Opera (10%). Safari et Internet Explorer sont tous les deux en-dessous de la barre des 10%. Je rappelle que ces statistiques ne prennent pas en compte la durée d'exposition de la faille.

Dans la catégorie des systèmes d'exploitation côté client, le plus grand nombre de failles a été signalé sur Windows 7, XP et Vista (pas vraiment une surprise). Derrière il y a Mac OS X avec 60 failles de sécurité. Les distributions Ubuntu, Fedora et Suse ont rapporté moins de 10 failles.
Côté serveur, c'est à peu prés le même tableau avec pour Windows Server 2003 plus de 100 vulnérabilités rapportées, suivi par Mac OS X Server avec plus de 60 et FreeBSD, OpenBSD, HP-UX, IBM AIX et Solaris ayant tous moins de 10 failles signalées.

Pour le domaine des smartphones, il y a une surprise avec iOS qui cumule 35 failles en 2011 contre Android avec 10 mais malheureusement il n'y a pas plus de détails. Les produits d'Adobe partagent leur première place dans le domaine des applications et plugins suivi par les base de données Oracle 10g et 11g et Apple QuickTime.

Selon S21sec, la tendance générale est vers une hausse des exploits à distance et l'utilisation de trojans hautement sophisitqués comme le Frankenmalware. Pour 2012, la firme de sécurité prévoit un nombre croissant des menaces dans le domaines des appareils mobiles, notamment les exploits de type drive-by qui sont assez dangereux. C'est vrai que 468 millions de smartphones sont une cible attrayante, n'est-ce pas ?

Les téléphones mobiles font parties intégrante de notre vie bien que quelques-uns d'entre-nous se refusent à utiliser quelconque appareil mobile. Ils ont peut-être raison car comme on peut le voir dans cette infographie, des dommages sérieux peuvent être occasionnés sur notre corps.

Bien sûr, la technologie mobile a ses usages. C'est même ridicule de le souligner, mais avez-vous jamais ressenti une répulsion distincte à utiliser votre smartphone?

Lire la suite...