Sécurité du téléphone portable...

[Rouri]

Researchers expect hackers to prey on cell phones

By Jordan Robertson
Canadian Press

Some of the most vicious Internet predators are hackers who infect thousands of PCs with special viruses and lash the machines together into "botnets" to pump out spam or attack other computers.

Now security researchers say cell phones, and not just PCs, are the next likely conscripts into the automated armies.

The mobile phone as zombie computer is one possibility envisioned by security researchers from Georgia Tech in a new report coming out Wednesday.

The report identifies the growing power of cell phones to open a new avenue of attack for hackers. Of particular concern is that as cell phones get more computing power and better Internet connections, hackers can capitalize on vulnerabilities in mobile-phone operating systems or Web applications.

Botnets, or networks of infected or robot PCs, are the weapons of choice when it comes to spam and so-called "denial of service attacks," in which computer servers are overwhelmed with Internet traffic to shut them down. For example, botnets were used against Estonia's government and financial Web sites in a devastating wave of attacks last year.

Botnets are so troubling because they have massive computing power and a seemingly endless supply of newly infected PCs to replace old ones that are wiped clean or taken offline. Millions of PC have fallen victim. The owners typically never know.

The Georgia Tech researchers say that if cell phones become absorbed in botnets, new types of moneymaking scams could be born. For example, infected phones could be programmed to call pay-per-minute 1-900 numbers or to buy ringtones from companies set up by the criminals.

"The question is, can they do it effectively - make a lot of money without much risk?said botnet expert Joe Stewart, director of malware research with SecureWorks Inc. "And if they can, then they will do it."

The Georgia Tech researchers say a big appeal of cell phones for hackers is that the devices are generally always on, they're sending and receiving more data, and they typically have poor security. Antivirus software would suck up massive amounts of battery life, which is a killer on a mobile device.

"This is the perfect platform (for hackers)," said Patrick Traynor, an assistant professor of computer science at Georgia Tech and a contributor to its Emerging Cyber Threats Report.

One big hurdle hackers will face is learning how the cellular networks work and adapting their attacks. Unlike the wide-open world of Internet providers, cell phone operators have tighter control over their networks, which means they could shut down the lines of communication between infected phones much easier.

Traynor noted that researchers have very little hard evidence that hackers are already targeting cell phones. But successfully attacking cell phones requires that people do a lot of Internet browsing and downloading programs onto their phones, and that is just starting to happen now.

"There are some challenges for the adversaries, but we've seen them overcome the challenges in their way before," Traynor said.

On the Net:

http://www.gtiscsecuritysummit.com

Source:
http://ca.tech.yahoo.com/news/canadianpress/article/815

[Rouri]

Un exemple...

D.Telekom seeks stolen data on 17 million mobile users
By Reuters staff

Thieves have hijacked sensitive data on millions of Deutsche Telekom mobile phone customers, the German company has acknowledged in its second major security scandal this year.

The incident stems from a theft of data in 2006 that only came to light now in a report by Der Spiegel magazine released ahead of publication on Monday. The magazine said it was able to track down information on 17 million Telekom mobile users.

"Apart from names, addresses and cell phone numbers, the data, in some cases, also include the date of birth or e-mail addresses," Deutsche Telekom said at the weekend. "The records do not contain bank details, credit card numbers or call data."

Deutsche Telekom said it reported the theft to prosecutors in early 2006 and had found no evidence that the records were used to harass users or were otherwise abused by the thieves.

The data could nonetheless pose a security threat for prominent politicians, business leaders and clergy whose personal details leaked out.

The interior ministry has asked investigators to analyze the potential danger to several people, a ministry spokeswoman said, but she declined to give any more details.

Telekom said it had tightened security since the theft. It offered to let mobile phone customers change their numbers at no charge and set up a toll-free hotline to handle queries.

The case generated more bad headlines for Deutsche Telekom, which in May said it uncovered illegal monitoring in 2005 of call records amid claims management spied on rebel directors and journalists to find out who was leaking information.

Prosecutors have opened an investigation in that case.

(Reporting by Jonathan Gould and Michael Shields; Editing by Erica Billingham)

[pieton]

Les téléphones deviennent des ordinateurs, ils commencent à avoir des problèmes d'ordinateurs...

Sinon le deuxième article a pas grand chose à voir même si ça parle aussi de téléphone: c'est un vol de données, rien de neuf, y a déjà eu pire.

[Rouri]

Sinon le deuxième article a pas grand chose à voir même si ça parle aussi de téléphone: c'est un vol de données, rien de neuf, y a déjà eu pire.

Oui, mais il y a de plus en plus de personnes qui se servent de leurs téléphones portables comme un agenda, un carnet d'adresse... et il y a donc des infos intéressantes pour les pirates et les autres... sur ces appareils.
 Ils deviennent donc une cible comme les ordis, pour les pirates. Il faut noter également, que certains de ces derniers «vendent» leurs services à des agences de renseignements autant gouvernementales que privées...

[French Kiss]

Rouri, pourrais tu faire une petite synthese en francais de ces articles? c'est interessant mais pour ceusses qui n'ont pas d'atomes crochus particuliers avec la langue de Shakespeare... 

[Rouri]

@ French Kiss,

1- Ce premier article traite du danger de voir pirater les téléphones portables. Il est notamment question de la possibilité pour des groupes criminalisés d'utiliser ce type de piratage pour faire de l'argent. Par exemple, en faisant effectuer des appels à des lignes 1-900 (souvent érotiques et payante!) à partir d'appareils téléphoniques piratés... et c'est le proprio du téléphone qui assumera la facture...

2- Le deuxième article porte sur le vol de données personnelles appartenant à 17 millions d'abonnés de Deutsche Telekom. Ces données comprennent le nom, l'adresse, la date de naissance et le courriel. Les recherches des pirates sont actuellement en cours.

J'ai mis ce dernier article pour évoquer (encore une fois) le danger de voir ses données personnelles volées, puis probablement vendus à des individus hors du contrôle de l'État.

[the grinch]

une traduc serait sympa ! pour les incultes comme moi ! 
Autant un petit texte sans trop de thermes techniques ça passe... mais là .... bobo à la têtête ! 
Tout le monde ne parle pas anglais ici je pense ! 

[French Kiss]

Ce theme devient strategique: les telephones portables etant de plus en plus capable de se transformer en point d'acces au www (worldwide web, l'internet mondial), de plus en plus de petits genies s'evertuent a balancer des virus visant ces appareils. Cela comprend des soft betes et mechants qui ne font "que" bousiller la structure soft ou hard du telephone, la destruction des donnees qui y sont stockees, mais cela comprend egalement des programmes d'espionnage de vos activites, de vos donnees.

Rouri, je crois que le point 2 relatif a deutsche telekom ne concerne pas le piratage des telephones a proprement parle, il s'agit d'un piratage de banque de donnees effectue sur un serveur.

Le crime organise en profite mais certaines agences gouvernementales en profitent aussi... bon, les maffieux ont plus de moyens financiers pour acheter les trouvailles des petits genies mentionnes plus haut, donc sur le marche des cyber-breches, ils ont souvent la primeur et peuvent profiter d'une ou plusieurs longueurs d'avance sur les services de l'etat.

En dehors des donnees informatiques stockees ou echangees sur les telephones portables, il y a aussi les ecoutes de conversation: il me semble qu'en France, si une autorisation judiciaire et/ou administrative est obligatoire pour proceder a ces ecoutes sur les lignes fixes, il n'en va pas de meme pour les reseaux mobiles...

[bison solitaire]

il me semble qu'en France, si une autorisation judiciaire et/ou administrative est obligatoire pour proceder a ces ecoutes sur les lignes fixes, il n'en va pas de meme pour les reseaux mobiles...

Si, si les écoutes des téléphones portables répondent aux mêmes cadres juridiques et obligations que les téléphones fixes.
...
Je note que de plus en plus de gens cherchent à n'avoir sur leur téléphone portable que l'option... téléphone.

[Biggy]

des soft betes et mechants qui ne font "que" bousiller la structure soft ou hard du telephone

Soft, en théorie oui. Mais c'est déjà un haut niveau technique et faut avoir le téléphone en main (on va exclure le comportement irresponsable sur le wap-net). Hard, je ne pense pas, les paramètres hard ne sont pas fait pour être changés = l'option n'existe simplement pas (sauf à avoir le téléphone en main). Tu as des sources ?

[the grinch]

Si, si les écoutes des téléphones portables répondent aux mêmes cadres juridiques et obligations que les téléphones fixes.
...
Je note que de plus en plus de gens cherchent à n'avoir sur leur téléphone portable que l'option... téléphone.

Il y a une certaine catégorie qui cherche le téléphone simple, qui existe d'ailleurs chez chaque fabricant, mais fréquentant les forums téléphonie depuis plusieurs années, je peux te dire que la demande est plus sur le high-teck et les GSM usines à gaz (ce que je possède ) plutôt que le téléphone basique ! et je ne te parle même pas des ados, ma fille va plus vite que moi ! 

*et pour les paranos des virus GSM ! il suffit de ne pas laisser tourner son BT pour éviter de se faire vider son phone et d'installer un antivirus pour surfer !

*Les seuls virus connus à ce jour sont inclus dans des thèmes, jeux ou appli souvent téléchargés illégalement !

[French Kiss]

Soft, en théorie oui. Mais c'est déjà un haut niveau technique et faut avoir le téléphone en main (on va exclure le comportement irresponsable sur le wap-net). Hard, je ne pense pas, les paramètres hard ne sont pas fait pour être changés = l'option n'existe simplement pas (sauf à avoir le téléphone en main). Tu as des sources ?

Je n'ai pas de source pour infirmer ou affirmer l'hypothese selon laquelle il serait possible d'atteindre le hardwear d'un telephone portable, mais dans la mesure ou des virus peuvent affecter le hardwear d'un PC, je ne vois pas a terme, en quoi il n'en irait pas de meme sur les telephones portables, vue que ces engins ont de plus en plus besoin d'un vrai OS pour que l'utilisateur puisse gerer toutes leurs fonctionnalites...

[bison solitaire]

Il y a une certaine catégorie qui cherche le téléphone simple, qui existe d'ailleurs chez chaque fabricant, mais fréquentant les forums téléphonie depuis plusieurs années, je peux te dire que la demande est plus sur le high-teck et les GSM usines à gaz (ce que je possède ) plutôt que le téléphone basique ! et je ne te parle même pas des ados, ma fille va plus vite que moi ! 

Salut Le Grinch,
j'ai quand même du mal à être d'accord avec toi pour le high tech... Ben ouais les gens qui veulent du low tech ne vont en général pas sur les forums de téléphonie (regarde, moi par exemple  )... Et la gueule du vendeur quand ma femme et moi on lui a juste dit qu'on voulait un téléphone, et juste un téléphone...
Aller pour mettre tout le monde d'accord, on va dire que le marché se diversifie de plus en plus allant de plus simple ou plus compliqué (au fait je connais des gens qui ont des téléphones hyper-sophistiqués et un autre, tout simple... pour leur maitresse... )

[Biggy]

Je n'ai pas de source pour infirmer ou affirmer l'hypothese selon laquelle il serait possible d'atteindre le hardwear d'un telephone portable, mais dans la mesure ou des virus peuvent affecter le hardwear d'un PC, je ne vois pas a terme, en quoi il n'en irait pas de meme sur les telephones portables, vue que ces engins ont de plus en plus besoin d'un vrai OS pour que l'utilisateur puisse gerer toutes leurs fonctionnalites

Sur les PC (je ne connais pas les MAC), pour toucher au hardware, il faut au minimum que l'utilisateur télécharge un code malveillant, ca se trouve pas n'importe où, faut déjà être un peu dans le milieu pour y avoir accès OU surfer sur des sites exotiques (ou ouvrir tous les spams). L'atteinte du hard sur un PC se fait via l'overclocking du CPU ou du GPU. Ca nécessite un programme qui reconnait automatiquement la carte mère/carte graphique et le processeur associé, puis qui va ensuite le modifier. Ca a été à la mode au début des années 2000 puis ca s'est vite arrêté, un peu comme tous les virus qui embarquent des programmes entiers. Les gens sont globalement informés qu'il faut un anti-virus et que c'est pas la peine de cliquer sur les liens qui proposent le dernier dvd de clara morgane en téléchargement gratuit. De plus, les bios actuel contrôlent beaucoup mieux les modifications du hard et sont dotés de systèmes de sécurité permettant un retour à la config a minima en cas de problèmes (i.e. échauffement de la température, S.M.A.R.T.). Enfin, afin d'éviter une surchauffe générale des composants (car plus on grave fin, plus ca chauffe), le voltage est aussi fortement réduit, ce qui rend les gros overclocks (potentiellement dangereux) impossibles.

Sur un téléphone portable, l'OS reste quand même super simplifié et le hard en lui-même est très limité. Les OS sont aussi concus pour éviter l'exécution d'un programme tiers (pour l'instant).

Donc a l'avenir, pourquoi pas, on sait pas de quoi demain sera fait. Mais pour l'instant, la technologie limite de fait les possibilités de nuisances directes au hard.

Je suis pas dans la branche info, donc je peux aussi me tromper, c'est pour ca que je te demandais si t'avais des sources, ca m'aurait intéressé

Je termine sur une note à portée plus générale: le but est toujours d'obtenir le meilleur rapport gains/risques. Autrement dit, pour le hard lui-même, le vol a l'arraché a encore pas mal de beaux jours devant lui. Pour le soft, les portables se bloquent super vite (à condition d'avoir le numéro du portable, pas simplement le numéro de téléphone), donc pas très íntéressant + possibilité de tracer les portables pourvus d'un gps. Il est beaucoup plus simple et intéressant financièrement d'aller voler les données clients sur les serveurs web des opérateurs téléphoniques.

Quand on aura corrigé les failles de sécurité de ces serveurs, on pourra s'intéresser à la protection des softs. L'inverse, ce serait mettre la charrue avant les boeufs.

My 2 cents.

[the grinch]

Salut Le Grinch,
j'ai quand même du mal à être d'accord avec toi pour le high tech... Ben ouais les gens qui veulent du low tech ne vont en général pas sur les forums de téléphonie (regarde, moi par exemple  )... Et la gueule du vendeur quand ma femme et moi on lui a juste dit qu'on voulait un téléphone, et juste un téléphone...
Aller pour mettre tout le monde d'accord, on va dire que le marché se diversifie de plus en plus allant de plus simple ou plus compliqué (au fait je connais des gens qui ont des téléphones hyper-sophistiqués et un autre, tout simple... pour leur maitresse... )

C'est pas ce que je voulais dire mon Bison préféré ! seulement que la demande de produits de plus en plus perfectionnés était largement supérieure à celle de GSM basique ! Maintenant on peut partir avec un APN 8 MPX, 16 GO de mémoire, un GPS, l'équivalent d'un ordi pour se connecter au net, et tout ça dans les 100 Gr d'un mobile ! Le pied ! 

[bison solitaire]

Maintenant on peut partir avec un APN 8 MPX, 16 GO de mémoire, un GPS, l'équivalent d'un ordi pour se connecter au net, et tout ça dans les 100 Gr d'un mobile ! Le pied ! 

Mais, mais, mais!!!!
C'est qu'il me fait passer pour un vieux con maintenant!!
Bon en même temps c'est peut-être pas complètement faux... Appelez moi "old lonely bull"