Black Hat et Defcon : la sécurité des puces NFC encore pointée du doigt

La sécurité des puces NFC (near field communication) est un enjeu majeur, comme le montre l’évolution actuelle des plateformes de téléphonie mobile. Si l’utilisateur est amené à payer avec son téléphone, il veut avoir confiance dans la technologie. Or, de nombreux rapports récents montrent qu’elle présente des faiblesses dans ses défenses ou que des scénarios d'attaques n'ont pas été envisagés.

Sécurité des puces NFC : un sujet récurrent.

Les puces NFC sont promises à jouer un grand rôle dans l’avenir. Elles sont utilisées depuis des années pour des échanges d’informations en champ proche. Les banques et les commerces sont intéressés par une solution de paiement sans contact, qui permet à l’utilisateur d’approcher son téléphone (ou sa carte bancaire) d’une borne. Le paiement lui-même est autorisé via l’utilisation d’un code PIN qui valide l’opération bancaire.

En avril dernier, nous nous faisions déjà l’écho des travaux menés par l’ingénieur en sécurité Renaud Lifchitz sur les cartes bancaires possédant une puce NFC. Il avait prouvé que l’on pouvait « écouter » les échanges de données entre une carte et sa borne de lecture au moyen d’un téléphone ou d’une clé USB NFC. Pour rappel, une enquête de la CNIL a d'ailleurs été ouverte sur le sujet.

Quand des fonctionnalités sont détournées.

Plus récemment, la célèbre conférence Black Hat a remis l’expert en sécurité Charlie Miller sur le devant de la scène. Il a ainsi fait la démonstration d’un hacking direct de trois smartphones : le Nexus S, le Galaxy Nexus et le N9 de Nokia. Miller indique que le standard NFC est basé sur le RFID mais qu’il se destine à des communications sur une très courte distance, de l’ordre de 4 cm. De fait, beaucoup estiment qu’aucun chiffrement des données n’est nécessaire, ce qui est une grosse erreur selon l’expert.

Miller indique toutefois que les protections ne manquent pas dans la pratique. Dans le cas du Galaxy Nexus, autrement dit le smartphone Android star, il lui a fallu pas moins de 50 000 tests pour trouver des failles. Il en a notamment trouvé dans la fonction Beam qui permet d’envoyer du contenu à un autre téléphone sous Android 4.0 sans que ce dernier nécessite une acceptation. On peut notamment envoyer une page web, ce qui, couplé à une faille du moteur de rendu Webkit, peut permettre son exploitation directe. Conséquence : Miller parvenait à obtenir un accès root au téléphone avec une simple page web.

Miller tenait à montrer non pas la déficience des protections possibles sur la partie NFC elle-même, mais plutôt ce que le manque de réflexion autour du NFC pouvait provoquer : « Il s’agit d’un bug de Webkit, pas d’un bug NFC, et le vrai vecteur d’attaque est le navigateur. Mais avant que vous ne poussiez une page web vers moi, pour l’amour de Dieu donnez-moi la possibilité de répondre non ». Miller s’inquiète donc de l’extension de la surface d’attaque provoquée par l’arrivée en masse des puces NFC.

Ce week-end avait lieu une autre conférence importante du monde de la sécurité : la Defcon à Las Vegas. Là encore, les puces NFC ont fait l’objet d’inquiétudes, en particulier dans le cas des paiements sans contact. Les démonstrations qui ont été faites ressemblaient davantage à ce qui avait été montré par Renaud Lifchitz.

Il serait ainsi possible de dissimuler facilement sur des bornes des antennes sous des autocollants. À l’approche des téléphones ou cartes de paiement, lesdites antennes seraient ainsi capables de capter et enregistrer les données transitant sur les ondes. Cyrille Badeau, un responsable de Sourcefire (société de sécurité), a été interrogé à ce sujet par le Parisien : « Pour le hacker, le processus de piratage est le même que ce soit sur un téléphone ou sur un ordinateur ». Il existe cependant une différence de taille : un smartphone est pratiquement allumé en permanence.

Le Parisien a également interrogé Arnaud Cassagne de la société de sécurité Nomios : « Il faut qu’on travaille tous ensemble pour sécuriser cette nouvelle technologie ». Une conclusion qui n’est pas sans rappeler celles de Renaud Lifchitz en avril dernier au sujet des cartes de paiement sans contact : « Des mesures sont prévues, il suffirait de les activer », enjoignant les banques à avoir une véritable concertation sur le sujet.

Qu’il s’agisse de cartes de paiement ou de smartphones, la sécurité entourant les communications de type NFC inquiètent car toutes les précautions ne semblent pas avoir été prises. Qu’il s’agisse de scénarios d’attaque utilisant des fonctionnalités détournées ou un manque de chiffrement des données, il faut sans doute prévoir une période d’adaptation où les nouveaux usages risquent de déclencher une maturation à posteriori des technologies.

Vers une profusion d'antennes pirates ?

Lire les commentaires (0) Ajouter un commentaire

Smartphones : le Chinois Huawei compte surpasser Nokia dès cette année

Alors que Samsung et Apple écrasent la concurrence dans le secteur des smartphones et semblent indétrônables à court terme, ce n'est pas le cas des autres grands constructeurs, et notamment Nokia, RIM ou encore HTC. Les Chinois ZTE et Huawei, principalement grâce à leur marché national, ne manquent ainsi pas d'ambition. Et si ZTE est déjà n°5 mondial, devant des constructeurs comme RIM, Sony et LG Electronics, son compatriote Huawei compte faire une fin d'année exceptionnelle et devenir le n°3 mondial du secteur.

Des ventes multipliées par trois.

Scott Sykes, Vice Président de Huawei et chef des relations avec la presse, l'assure : sa société compte tripler ses ventes de smartphones en 2012. Cela signifie que la société chinoise compte passer de 20 à 60 millions de smartphones. Un niveau de ventes qui placerait probablement la société à la troisième place mondiale derrière Samsung et Apple, et donc devant tous les autres concurrents directs, à savoir Nokia, HTC, ZTE, RIM, LG, Sony, etc.

Proposant des dizaines de smartphones différents à des prix très compétitifs dans la plupart des pays du globe désormais, Huawei mise en particulier sur le marché chinois. Un tiers de ses ventes estimées en 2012, soit 20 millions de smartphones, pourrait ainsi être réalisé uniquement dans le pays le plus peuplé du monde.

Huawei déjà n°2 en Chine.

Cette importance de la Chine chez Huawei n'est pas étonnante. Dans son dernier bilan financier, la société asiatique indiquait ainsi capter 12,16 % du marché chinois, faisant de lui le deuxième vendeur de smartphones du pays, derrière Samsung. Ses Ascend P1 et D1 ont d'ailleurs rencontré un succès important en Chine, ainsi qu'Europe de l'Ouest, au Japon, en Australie et au Canada.

Selon DigiTimes, qui relaie les propos de Scott Sykes, Huawei, afin d'améliorer son image de constructeur de smartphones, compte dépenser 200 millions de dollars en publicités rien qu'en 2012. Voilà qui prouve une fois de plus toute l'ambition de Huawei.

Lire les commentaires (0) Ajouter un commentaire

Facebook change son menu photo

Facebook est en train de modifier la présentation des photos de ses utilisateurs. La nouvelle formule sera effective sur tous les comptes dans les semaines à venir.

Désormais, les photos seront organisées en mosaïque. Il sera possible d’augmenter leur taille en les mettant en avant via la fonction idoine (Highlight). Contenue directement dans la photo, dans la partie supérieure droite, cette option s’accompagne d’une autre permettant d’éditer les propriétés de l’image. Il est également possible de commenter ou « liker » directement depuis la miniature d’un cliché.

La nouvelle interface de gestion des photos est organisée en trois onglets. Grâce à eux, l’utilisateur peut naviguer aisément entre les photos dans lesquelles il est tagué, toutes les photos et les albums.

Aux commandes de ce projet, on retrouve l’équipe qui s’est chargée de Facebook Camera, l’application iOS similaire à Instagram et lancée en mai dernier.

Lire les commentaires (0) Ajouter un commentaire