Le géant Nokia a-t-il accepté de payer pour connaître ses vulnérabilités ? - Actualités CSO Hacking

Le géant Nokia a-t-il accepté de payer pour connaître ses vulnérabilités ?

le 26/08/2008, par david Lentier avec IDG News Service, Hacking, 567 mots

Le géant Nokia a-t-il accepté de payer pour connaître ses vulnérabilités ?

Le jeudi 21 août, Nokia a confirmé que sa plate-forme logicielle Series 40, très largement diffusée dans les téléphones mobiles, présente des vulnérabilités qui pourraient permettre l'installation et l'activation d'applications de manière furtive. La société demeure cependant évasive sur le fait qu'elle ait ou non payé une somme de 20 000 € à l'expert en sécurité polonais Adam Gowdiak qui voulait le paiement des six mois d'efforts qu'il a consacré à trouver les défauts de cette gamme. L'expert n'a pas révélé s'il avait été payé mais a déclaré que seules les sociétés connues qui paieraient accéderont à totalité de l'étude, soit 180 pages et 14 000 lignes de code prouvant ses propos. Nokia possède une copie complète de l'étude a déclaré Mark Durrant du service de communication de Nokia. L'attitude du leader mondial des mobiles pourrait raviver le débat parmi les professionnels de la sécurité, sur le fait que les fournisseurs récompensent les travaux de recherche volontaires sur les failles de leurs produits. Les vendeurs en général évitent de payer les chercheurs de vulnérabilités et encouragent ce qu'ils appellent « une divulgation responsable » ou une notification discrète avant que l'information sur la vulnérabilité ne soit rendue publique. Les vendeurs ne veulent pas être à la merci des chasseurs de vulnérabilités, qui pourraient menacer de communiquer les informations à des hackers. « Il pourrait être très facile d'avoir l'idée de prendre une société en otage. La vérité est qu'il (NDLR : Adam Gowdiak)a effectué un travail de recherche significatif et il est clairement compréhensible qu'il veuille trouver un moyen de le monétiser, indique Mark Durrant. Début août, Adam Gowdiak, a déclaré qu'il avait trouvé des problèmes dans la plate-forme applicative Java 2 Micro Edition (J2ME) de Sun destinée aux mobiles, ainsi que dans la plate-forme Series 40 de Nokia. Tout en diffusant peu d'informations sur les vulnérabilités, Adam Gowdiak a déclaré qu'une attaque pouvait être réalisée en forgeant des messages spécifiques et en les envoyant à un numéro de téléphone donné. Nokia a indiqué que certains produits utilisant la plate-forme Series 40 sont vulnérables à une attaque qui pourrait aboutir à l'installation secrète d'applications. Le fabricant a également averti qu'il a trouvé des versions anciennes de J2ME qui pourraient autoriser l'escalade de privilèges ou l'accès à des fonctions du téléphone qui devraient être restreintes. « Nos tests se sont concentrés sur les produits qui pourraient avoir les deux problèmes » indique un communiqué de Nokia. La société affirme ne pas avoir connaissance d'attaques contre des terminaux de type Series 40, et que les problèmes ne représentent pas « un risque significatif ». Selon Mark Durrant, cette conclusion est fondée sur le fait que les vulnérabilités ne sont pas encore publiques et qu'il est difficile d'exploiter les défauts trouvés pour une attaque. « Cela réclame de fortes compétences techniques, ce n'est pas quelque chose que quelqu'un sera capable de trouver dans un garage en une après midi. Il (NDLR : Adam Gowdiak) est clairement quelqu'un d'intelligent, résume Mark Durrant. Adam Gowdiak confirme qu'il a fourni Sun et Nokia le 7 août avec un résumé sur une à deux pages des vulnérabilités trouvées. Sun a répondu en annonçant de prochains correctifs. Adam Gowdiak n'a pas mentionné s'il avait été payé par Sun pour l'étude complète. Mais l'intention de Sun d'émettre des correctifs monte que la société était capable d'utiliser l'information « communiquée gratuitement. Ce n'était pas que nous voulions réclamer de l'argent à Sun ou à Nokia. Nous n'avons pas essayé de les faire chanter , termine Adam Gowdiak.

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...