Pour gérer vos consentements :

Sécurité IT : Heartbleed menace Android et les réseaux Wi-Fi

Début avril, des experts en sécurité de Google et de Codenomicon Defensics – un éditeur d’origine finlandaise basé dans la Silicon Valley – découvraient une faille critique qu’ils baptisaient Heartbleed.

Référencée CVE-2014-0160, cette vulnérabilité permet à des tiers d’accéder aux informations personnelles (jusqu’à 64 Ko de données) et chiffrées des utilisateurs lors de transactions en ligne. Le trou de sécurité touche le logiciel OpenSSL. Ce dernier est chargé de protéger identifiant de connexion, mot de passe, numéro de carte bancaire et autres données sensibles depuis le serveur qui héberge la transaction, en cryptant la communication réalisée depuis le terminal (PC, tablette, smartphone…) sous protocole SSL/TLS.

Après la découverte de la faille, éditeurs et constructeurs ont travaillé à des correctifs. Même si une récente étude a montré qu’environ 320 000 serveurs étaient encore vulnérables, la plupart des produits sont aujourd’hui dits à l’abri. Pas selon Luis Grangeia. Ce chercheur en sécurité portugais a publié une méthode d’attaque s’appuyant sur Heartbleed via les réseaux Wi-Fi et les terminaux Android.

Baptisée Cupidon, cette technique d’assaut a été mise en place dans un environnement Wi-Fi fermé. Elle est basée sur le fait que les réseaux sans fil d’entreprise utilisent des tunnels TLS pour sécuriser une partie des processus d’authentification (EAP). Luis Grangeia a en l’occurrence créé un patch pour le logiciel de sécurisation du Wi-Fi (WPA supplicant) et le logiciel de création de point d’accès Wi-Fi (Hostpad). Cupidon permet de capturer les informations transitant entre le routeur et le terminal.

Les appareils sous Android 4.1 « Jelly Bean » sont particulièrement vulnérables, mais la faille pourrait aussi – avec un point d’interrogation – concerner iOS et OS X d’Apple. Les solutions Wi-Fi de Cisco/Merkai, Aruba, Trapeze et consorts sont également pointées du doigt, au même titre que les téléphones sur IP et les imprimantes.

Cette nouvelle méthode d’attaque illustre les besoins en sécurité des projets open source. Comme le note Silicon.fr, les grands acteurs de l’IT se sont mobilisés pour apporter leur aide technique et financière en la matière. Présidée par la Fondation Linux, la Core Initiative Infrastructure vient de dresser la liste des projets prioritaires. Après l’affaire Heartbleed, OpenSSL arrive logiquement en tête, devant OpenSSH et le Network Time Protocol (NTP), qui inquiète tout particulièrement les spécialistes en sécurité de part son usage dans les récentes attaques DDoS par amplification.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les matériaux qui composent les produits high-tech ?

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago