Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes

Une équipe de quatre chercheurs de l'Institut supérieur coréen de la science et de la technologie (KAIST) a publié le résultat de ses travaux sur la sécurité des connexions LTE. Bilan ? 51 failles, dont une trentaine de nouvelles, beaucoup pouvant faciliter les attaques DDoS.

Ces vulnérabilités ont été découvertes avec la technique du fuzzing, qui consiste à envoyer dans une application ou un service une grande quantité de données aléatoires afin d’examiner le comportement en sortie.

L’équipe du KAIST a d’ailleurs bâti pour l’occasion son propre « fuzzer », baptisée LTEFuzz. Objectif, bombarder un réseau mobile de connexions malveillantes. Les brèches détectées résident autant dans la conception même du protocole LTE que dans son implémentation par les constructeurs.

Les chercheurs indiquent avoir averti toutes les entreprises concernées au sein du 3GPP et de la GSMA, ainsi que les constructeurs. Au vu de l’éventail des failles trouvées, ils estiment qu’au moins plusieurs d’entre elles sont toujours exploitables à l’heure actuelle.

Les conséquences concrètes peuvent aller de l’envoi de SMS frauduleux au blocage des appels entrants sur un appareil, en passant par l’écoute du trafic, la déconnexion des utilisateurs d’un réseau mobile et la perturbation de stations de base.

Les chercheurs considèrent en outre que leur outil reste parfaitement opérationnel sur la 5G NSA (Non-Standalone) tant que certaines implémentations du LTE sont actives. La question reste entière pour la « vraie » 5G.

Notez que les découvertes régulières de failles dans les réseaux 3G et 4G ont été un moteur prépondérant dans l’élaboration de la 5G. Cette dernière n’est pas pour autant sans défaut, comme l’a montré l’actualité récente.


Chargement des commentaires
À découvrir dans #LeBrief

Après un « teaser » en avril, Pathé a mis en ligne une bande-annonce pour Playmobil Le Film. Après un plongeon dans le monde des Lego, c'est au tour des figurines articulées de prendre vie. Le film sortira le 7 août.

Voici le synopsis : « Lorsque son petit frère Charlie disparaît dans l'univers magique et animé des Playmobil, Marla se lance dans une quête hors du commun pour le retrouver ! C'est le début d'une aventure pleine d'action et d'humour où Marla fera des rencontres inoubliables ».

Lino DiSalvo est aux commandes. Il s'est déjà illustré en tant qu'animateur dans Volt, Raiponce et La Reine des Neiges pour ne citer que ceux-là. Kad Merad, Franck Dubosc, Jérôme Commandeur et Jenifer prêtent leurs voix.

Seules les versions FIPS (Nano FIPS, C FIPS, C NANO FIPS) sont concernées et « tous les autres produits Yubico ne sont pas impactés par ce problème », explique le constructeur.

Avec les firmwares 4.4.2 et 4.4.4 (il n'y a pas eu de version 4.4.3), certaines valeurs aléatoires ne l'étaient pas vraiment après la mise sous tension de la clé de sécurité. En effet, la mémoire tampon « contient du contenu prévisible issu des tests de démarrage ». Par la suite, des valeurs aléatoires sont correctement générées.

Les conséquences sont plus ou moins graves. Dans le cas d'une clé RSA sur 2 048 bits, jusqu'à 80 bits peuvent être prédits ; ce qui ne représenterait selon le fabricant pas un risque immédiat.

Par contre, c'est bien plus gênant pour une clé de signature ECDSA avec 80 bits prévisibles sur 256. Même chose pour les clés ECC. Bien d'autres cas sont détaillés par ici.

Enfin, le constructeur estime que « la majorité des clés YubiKey FIPS concernées a été remplacée ou est en cours de remplacement ». Une page dédiée a été mise en ligne.

Selon son profil LinkedIn il est arrivé chez Intel en mai. Le fondeur a confirmé à plusieurs de nos confrères qu'il l'avait bien embauché.

Toujours selon son profil, il était auparavant responsable des SoC des Xbox One, Xbox X et Scarlett chez Microsoft. Il était arrivé en 2005. Auparavant, il s'occupait de l'architecture des CPU et des GPU chez AMD de 1997 à 2005. Il a donc croisé le chemin de Raja Koduri chez Intel depuis fin 2017.

« Je ne pourrais être plus enthousiaste à l'idée que John Sell et Manisha Pandya rejoignent notre équipe », indique ce dernier dans un communiqué repris par VentureBeat.  Manisha Pandya est arrivé chez Intel en mars, après avoir passé dix ans chez Apple et cinq ans chez Broadcom.

Principalement connu pour ses drones avec caméra, le fabricant change son fusil d'épaule et se lance sur les platebandes des kits éducatifs Lego avec son Robomaster S1.

Il « prend en charge les langages de programmation Scratch et Python », peut tirer des billes de gel et comprend 46 composants. On retrouve notamment sept moteurs, six détecteurs d'impact, sept capteurs infrarouges et un optique, un micro et un haut-parleur, deux gyroscopes et 21 LED.

Tous les détails sont disponibles sur cette page. Le Robomaster S1 n'est pour le moment disponible qu'aux États-Unis pour 499 dollars.

Sur les réseaux sociaux et Reddit, les messages d'utilisateurs aussi surpris que mécontents se répandent comme une traînée de poudre.

De nombreux smartphones sont concernés, allant du Honor 10 au Huawei P30 Pro. Les clients touchés semblent tous utiliser l'application de fonds d'écran de paysages préinstallée. Il suffit donc de ne plus s'en servir pour faire disparaître les publicités.

Interrogé par Engadget, Huawei n'avait aucune explication à donner, si ce n'est qu'il enquêtait sur la question et qu'il donnerait de plus amples informations ultérieurement. Une réponse pour le moins étrange.

Une mauvaise nouvelle de plus pour les clients du fabricant chinois, après le placement sur liste noire aux États-Unis.