Microsoft a testé les robots K5 de Knightscope sur son campus de la Silicon Valley, 136 kg sur roues bardés de capteurs pour tout surveiller. (D.R.)

L'Image du jour

Microsoft a testé les robots K5 de Knightscope sur son campus de la Silicon Valley, 136 kg sur roues bardés de capteurs pour tout surveiller. (D.R.)

Région PACA : Une filière numérique ancrée et solide mais dispersée sur un vaste territoire

Dernier Dossier

Région PACA : Une filière numérique ancrée et solide mais dispersée sur un vaste territoire

Ne percevons pas uniquement la région PACA (Provence-Alpes-Côte d'Azur) à travers le tourisme et le soleil ! Cette région possède aussi une solide fil...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

ESPACE PARTENAIRE

Webcast

FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
2
Réagissez Imprimer Envoyer

Des chercheurs transforment un smartphone Android en mobile-espion

Crédit Photo: D.R

Crédit Photo: D.R

Un cabinet de sécurité a trouvé comment transformer un smartphone sous Android en dispositif de surveillance complet.

A l'heure où les Etats européens découvrent l'étendu du programme d'espionnage Prism de la NSA, le laboratoire Kindsight, une filiale d'Alcatel-Lucent, a développé un programme expérimental capable de suivre à son insu un utilisateur, d'intercepter ses messages, d'enregistrer ses conversations téléphoniques et même de prendre des photos et des vidéos. « Notre programme est capable de transformer un smatrphone Android en mobile-espion », a déclaré Kevin McNamee, directeur du laboratoire de Kindsight. Ce dernier a l'intention de présenter son outil d'espionnage à la conférence Black Hat USA qui doit avoir lieu du 27 juillet au 1eraoût prochain à Las Vegas.

Cette technologie baptisée DroidWhisper peut être cachée dans un composant. Intégré dans une application Android, il peut être exécuté secrètement en tâche de fond, et s'activer automatiquement à la mise en route du terminal. Une fois installé, le logiciel espion peut recevoir des instructions d'un serveur de commande et de contrôle (C&C), soit par Internet soit par le service SMS utilisé pour la messagerie. À partir d'un panneau de commande sur le serveur, criminels ou espions au service d'un gouvernement auraient la possibilité de contrôler la caméra du téléphone, aussi bien pour prendre des photos que des vidéos, et même de pirater le microphone et utiliser les fonctions d'enregistrement de l'appareil.  En fait, le panneau de commande pourrait également servir à récupérer tous les enregistrements, toutes les images, et toutes les données personnelles présentes sur le mobile.

Le mobile, une plateforme idéale pour l'espionnage d'entreprise et gouvernemental

« Le smartphone est une plate-forme idéale pour lancer une attaque contre un réseau d'entreprise ou un réseau gouvernemental », a déclaré Kevin McNamee. « L'appareil a vraiment toutes les fonctionnalités pour cela. Il peut se connecter à Internet en WiFi, il peut prendre des photos, et il peut enregistrer des sons. C'est une plate-forme de surveillance très puissante ». Même si cela ne fait pas partie de la preuve de concept, « la plate-forme d'espionnage peut être utilisée pour télécharger des outils capables de rechercher les failles dans un réseau d'entreprise au moment où le salarié se connecte au réseau WiFi », a ajouté le chercheur. En effet, « le téléphone dispose d'une pile réseau complète et pleinement fonctionnelle. Donc, s'il a accès au réseau WiFi de l'entreprise, alors, oui, il peut scanner le réseau », a-t-il déclaré.

Pour introduire le spyware secrètement sur le mobile, il suffit d'inclure un lien dans un e-mail qui redirige vers un site web malveillant, ou de l'intégrer à une application téléchargeable dans une boutique d'apps en ligne. Par exemple, le composant pourrait être injecté dans une fausse version d'un jeu populaire. Si Google Play, la boutique officielle des applications Android, scanne les logiciels malveillants avant de les mettre en ligne, la plupart des magasins tiers ne le font pas. Comme le fait remarquer le dernier rapport de Juniper Networks sur les menaces pesant sur la sphère mobile, environ trois boutiques sur cinq sont localisées en Chine et en Russie. En mars 2013, plus de 90 % des logiciels malveillants mobiles détectés par Juniper ciblaient la plate-forme Android, soit quasiment deux fois plus qu'en 2011.

Pour installer et exécuter le composant du laboratoire Kindsight sur un terminal, le criminel doit aussi trouver un moyen de contourner les fonctions de sécurité intégrées à Android. Par défaut, les applications de disposent pas de l'autorisation nécessaire pour effectuer des opérations impactant d'autres applications ou le terminal lui-même. Ces autorisations doivent être accordées par l'utilisateur. Mais, en supposant que le logiciel espion traverse ces défenses, seul un système capable de détecter le trafic entre le composant et les serveurs de commande et de contrôle au niveau du réseau d'entreprise peut permettre de repérer la présence du spyware.

COMMENTAIRES de l'ARTICLE2

le 13/07/2013 à 13h48 par Visiteur2420 :

Sérieusement , il faut pas des chercheurs pour faire ca !!!
un simple amateur a besoin uniquement de 2 jours pour faire la total
voila un xemple pour intercepter les SMS et les envoyer vers un serveur

http://kamel.berrayah.com/wordpress/2013/07/android-intercepter-les-sms-et-envoyer-vers-un-server/

Signaler un abus

le 01/07/2013 à 14h02 par Visiteur2329 :

A part enfoncer une porte ouverte, il n'y a rien de nouveau. Travaillant moi même sur Android, il s'agit d'une simple application appelant des fonctionnalités prévues a cet effet.

La vrai challenge réside dans le fait que celles-ci ne peuvent être appelées sans accord de l'utilisateur (acceptation des permissions lors de l'installation, et gains de droits privilégiés sur le terminal => téléphone rooté).

Donc ici, aucune prouesse technique en soit.

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité