Les News sur la securite informatique

  • Réponses :49
  • OuverteNon stickyNon répondu
  • Posts de Forum 15 671

16 oct. 2017 12:30:42 via site

image

Bulletin D'ALERTE DU CERT-FR

Plusieurs vulnérabilités ont été découvertes dans WPA/WPA2. Il est possible lors de l'établissement d'une session de communication utilisant le protocole WPA/WPA2 d'interférer sur le mécanisme en quatre temps visant à assurer la confidentialité des échanges. Lors de cette phase d'initialisation, un utilisateur malveillant interceptant les communications entre un client et un point d'accès Wi-fi, peut amener le client à réutiliser des paramètres entrant en compte dans le chiffrement des données échangées. Cela peut permettre à un attaquant de provoquer une atteinte à la confidentialité des données.

SYSTÈMES AFFECTÉS

La vulnérabilité affectant le protocole de sécurisation des échanges utilisant le mécanisme Wi-Fi Protected Access (WPA), de nombreux systèmes sont impactés.

La vulnérabilité touche entre autres les systèmes suivants:

  • Windows
  • Linux
  • Android
  • Apple

SOLUTION

Plusieurs éditeurs ont diffusé des correctifs pour ces vulnérabilités. Le CERT-FR recommande l'application de ceux-ci au plus vite.

— Modifié le 27 juin 2018 20:03:31

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

17 oct. 2017 10:07:45 via site

(thinking)C'est quoi ANSSI ...

Le Cert.FR qui a publié le bulletin d'alerte d'hier est l'agence qui publie les alertes pour l'ANSSI.

http://www.cert.ssi.gouv.fr/

L'ANSSI c'est quoi

ANSSI c'est l' Agence Nationale de la Sécurité Informatique

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service français créé par décret en juillet 20091. Ce service à compétence nationale est rattaché au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale. 

Elle est chargée de la promotion des technologies, des produits et services de confiance, des systèmes et des savoir-faire nationaux auprès des experts comme du grand public. Elle contribue ainsi au développement de la confiance dans les usages du numérique.

📌Elle contribue au développement de la confiance

📝 Et vient de lancer la plateforme nationale contre la cybermalvaillance

Après une phase d’expérimentation, le dispositif d’aide aux victimes Cybermalveillance.gouv.fr sera lancé sur l’ensemble du territoire national le mardi 17 octobre.

image

📝 Cybermalvaillance.Gouv.FR

C'est la solution vers laquelle peuvent désormais se tourner les victimes de cybermalveillance.

C’est un guichet unique qui met en relation ces victimes avec des prestataires de proximité, compétents et présents sur l’ensemble du territoire national.

Il s’adresse aux particuliers, aux entreprises (PME/TPE) et collectivités territoriales.

🍀 Ses missions :

◾Référencer et animer le réseau de prestataires de solutions présents sur l’ensemble du territoire
◾ Lancer des campagnes d’information et de sensibilisation au niveau national sur la sécurité numérique
◾ Mettre en place un observatoire du risque numérique

— Modifié le 27 juin 2018 19:51:28

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

17 oct. 2017 12:00:47 via site

🎯 Et un de plus , un de plus ...One Plus !!

✍️ OnePlus espionne ses smartphones, la firme s’explique:

Les données collectées sont donc les suivantes : numéro IMEI, adresses MAC, nom des points d’accès Wifi… Et également la liste des applications utilisées ainsi que les heures d’utilisation de ces dernières. Chris D. Moore a alors cherché a contacté OnePlus, qui a répliqué en lui proposant de réinitialiser son smartphone aux paramètres d’usine… Il a alors fait part de sa découverte sur Twitter.

◾Mais qui est le mouchard ?

OnePlus System Service et ne peut pas être complètement désinstallée du système !

Il est en revanche possible de passer par une ligne de commande (pm uninstall -k –user 0 net.oneplus.odm) afin de la supprimer définitivement. Face à la polémique, OnePlus a publié un communiqué explicatif :

Nous transmettons de façon sécurisée des analyses dans deux flux différents via HTTPS vers un serveur Amazon. Le premier flux est celui d’analyse de l’utilisation, que nous collectons pour ajuster avec précision notre logiciel en fonction du comportement de l’utilisateur. Cette transmission de l’activité d’utilisation peut être désactivée en accédant aux ‘Paramètres’ > ‘Avancé’ > ‘Rejoindre le programme d’expérience utilisateur’. Le second flux concerne les informations sur les périphériques, que nous collectons afin de fournir un meilleur support après-vente

💡 C'est oui pour Rooter son smartphone avec LineageOS.

Le One plus 5 et les autres font parti de la liste des appareils pris en charge :

https://wiki.lineageos.org/devices/

— Modifié le 27 juin 2018 20:05:41

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

17 oct. 2017 12:42:45 via site

(thinking)Comment visualiser la sécurité de son compte Google

image

⏩Security chechup⏪

🍀Google propose un outil officiel simplissime pour tester la sécurité de votre compte.

Afin que vous puissiez savoir où en est la sécurité de votre compte et s’il n’est pas éventuellement vulnérable à certaines intrusions, attaques, ou pire, à sa prise de contrôle par une personne ou une entité malveillante, Google met à disposition un outil très simple qui vous fournit un instantané des failles potentielles qui pourraient vous valoir quelques désagréments.

✍️Comment !!

◾ On clic sur le lien : https://myaccount.google.com/security-checkup
◾On vérifie son activité
◾On valide ou on signale.

— Modifié le 27 juin 2018 20:07:36

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

19 oct. 2017 10:58:23 via site

🔔La Maj de Chrome CleanUP

(thinking) Une application sur Windows pour rechercher et supprimer les logiciels qui peuvent causer des problèmes dans Chrome....Oui elle existe !!

Chrome CleanUp Tool

Dans le cadre de ses efforts continus pour améliorer la sécurité et la navigation sur Chrome, Google vient d’annoncer trois changements pour aider les utilisateurs de son navigateur sur Windows à supprimer des infections de logiciels indésirable

◾Intégrer Chrome CleanUp dans son navigateur.

image

Cette fonctionnalité détecte les logiciels indésirables pouvant être associés à des téléchargements et fournit une aide pour leur suppression. 

◾Une nouvelle interface plus simple
◾La fonctionnalité Chrome Cleaner intégrée va embarquer un moteur de détection plus puissant : celui de la firme de sécurité ESET. 

Google s’attaque également au détournement des paramètres des navigateurs

◾Les extensions

image

Les extensions peuvent aider à rendre Chrome plus utile, par exemple en personnalisant la gestion des onglets.

Mais certaines extensions peuvent changer vos paramètres sans que vous le sachiez. Désormais, lorsque Chrome détecte que les paramètres de l'utilisateur ont été modifiés sans votre consentement, il vous proposera de restaurer les paramètres modifiés. 

— Modifié le 27 juin 2018 20:09:05

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

26 oct. 2017 11:25:17 via site

🔔 Comment les entreprises surveillent notre quotidien

✍️Comment des milliers d’entreprises surveillent, analysent et influencent la vie de milliards de personnes.

Quels sont les principaux acteurs du pistage numérique aujourd’hui ? Que peuvent-ils déduire de nos achats, de nos appels téléphoniques, de nos recherches sur le Web, de nos Like sur Facebook ? Comment les plateformes en ligne, les entreprises technologiques et les courtiers en données font-ils pour collecter, commercialiser et exploiter nos données personnelles ?

Cracked Labs vient se sortir un rapport de 93 pages où il a examiné le fonctionnement interne et les pratiques en vigueur dans cette industrie des données personnelles.

S’appuyant sur des années de recherche et sur un précédent rapport de 2016, l’enquête donne à voir la circulation cachée des données entre les entreprises. Elle cartographie la structure et l’étendue de l’écosystème numérique de pistage et de profilage et explore tout ce qui s’y rapporte : les technologies, les plateformes, les matériels ainsi que les dernières évolutions marquantes.

📌Le rapport complet (93 pages, en anglais) est disponible en téléchargement au format PDF, et cette publication web en présente un résumé en dix parties.

📝Sommaire

I. Analyser les individus

II. Analyser les individus dans la finance, les assurances et la santé

III. Collecte et utilisation massives de données client

IV. Les courtiers en données/ et le marché des données personnelles

V. La surveillance en temps réel des comportements quotidiens

VI. Relier, faire correspondre et combiner des profils numériques

VII. Gérer les clients et les comportements : personnalisation et contrôle

VIII. Dans les mailles du filet : vie quotidienne, données commerciales et analyse du risque

IX. Cartographie de l’écosystème du pistage et du profilage commercial

X. Vers une société du contrôle social numérique généralisé ?

(cool) C'est le moment de se le partager !

— Modifié le 27 juin 2018 20:09:55

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

7 nov. 2017 09:31:56 via site

🔔 Caliopen : la messagerie libre sur la rampe de lancement

✍️Caliopen c'est quoi ?

Caliopen vise à convaincre un maximum d’utilisateurs de la valeur de leur vie privée. Et pour ça, il faut d’abord leur montrer, de manière évidente, que leurs conversations sont très majoritairement espionnables, sinon espionnées.
D’où l’idée d’associer aux messages (mais aussi aux contacts, aux terminaux, et même à l’utilisateur lui-même) un niveau de confidentialité. Représenté par une icône, des couleurs, des chiffres.

📌 Car quand on voit le risque on agit autrement

📸 La carte postale

Avec Caliopen on va se rendre compte de la nature de nos messages.
Est ce qu'ils sont de type carte postale, c'est à dire lisible par tout le monde
ou bien dans une enveloppe , une enveloppe cachetée.

Mais pas seulement , Caliopen va nous indiquer le niveau de confidentialité et choisir le plus élevé

À chaque fois qu’un utilisateur de Caliopen va vouloir écrire à un de ses contacts, c’est le protocole le plus sécurisé qui sera choisi par défaut pour transporter son message. Prenons un exemple et imaginons que tu m’ajoutes à tes contacts dans Caliopen : tu vas renseigner mon adresse email, mon compte Twitter, mon compte Mastodon, mon Keybase… plus tu ajouteras de moyens de contact plus Caliopen aura de choix pour m’envoyer ton message. Et il choisira le plus sécurisé par défaut (mais tu pourras décider de ne pas suivre son choix).

image

📆Pour tester la version Alpha c'est maintenant

https://welcome.caliopen.org/demander-une-invitation-pour-tester-la-version-alpha-de-caliopen

— Modifié le 27 juin 2018 20:11:38

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

8 nov. 2017 16:19:53 via site

📝La cybersécurité à son forum : le FIC

Le Forum International de la Cybersécurité s’inscrit dans une démarche de réflexions et d’échanges visant à promouvoir une vision européenne de la cybersécurité.

Dans la continuité du marché unique numérique et du projet de règlement sur la protection des données personnelles, le FIC est l’évènement européen de référence réunissant tous les acteurs de la confiance numérique.

✍️Pour animer cette démarche, le FIC s’appuie sur :

◾ Un Salon, pour communiquer, se valoriser, recruter, nouer & entretenir des contacts
◾Un Forum, pour échanger avec des experts, se perfectionner et partager les retours d’expérience
◾L’Observatoire pour poursuivre les échanges tout au long de l’année, approfondir les thématiques et faire vivre son réseau

💡 On s'inscrit à la newsletter pour ne rater aucune News

— Modifié le 27 juin 2018 20:12:51

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

14 nov. 2017 21:48:54 via site

(thinking)Comment signaler un contenu illicite sur internet

📝Un contenu illicite c'est quoi :

C'est un contenu à caractère pédophile, frauduleux, une incitation à la haine raciale ou à la discrimination de personnes en fonction de leur origine, sexe ou handicap.

image

Internet- Signalement.gouv.fr

◾ On remplit le formulaire et on valide.
◾C'est anonyme même si on peut aussi donner son identité.

Vous avez la possibilité de rester anonyme, mais vous pouvez aussi vous identifier. 
Si vous choisissez de vous identifier, vous ne serez pas contacté (sauf cas particulier). Votre identité sera conservée confidentiellement. 

— Modifié le 27 juin 2018 20:14:00

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

21 nov. 2017 09:00:38 via site

🔔 Objets connectés les recommendations de la DGCCRF

✍️Une vigilance nécessaire de la part des consommateurs

Le développement des objets connectés expose principalement les consommateurs à deux types de risques :

◾L'utilisation commerciale des données personnelles et les atteintes à la vie privée

Une des conséquences de ce monde de réseau et de communication est que nous laissons de plus en plus de traces numériques. Au-delà des progrès technologiques, il s’agit désormais de parvenir à garantir l’anonymat des données. Les objets communicants reçoivent, interprètent et communiquent entre eux les données préalablement collectées.

◾Les risques de piratage

Dès lors que «se connecter à internet» devient une fonction intégrante d’objets du quotidien les concepteurs de ces équipements doivent faire face aux risques des « cybers » attaques.

✍️ Que faire pour se protéger :

◾Procéder régulièrement aux mises à jour pour limiter le nombre de vulnérabilités connuues
◾Changer les mots de passes par défaut de chaque object connecté.
◾Restreindre le réseau et isoler son accès internet des autres éléments connectés au réseau ( il n'est pas nécessaire que l'imprimente soit connectée à la TV par exemple )

📌Et bien sûr un mot de passe fiable et différent pour chaque appareil

https://www.androidpit.fr/forum/744095/guide-pour-ses-mots-de-passes

— Modifié le 27 juin 2018 20:17:29

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

22 nov. 2017 08:37:52 via site

⚠️Aux lecteurs de musique gratuit

Un nouveau malware vient d'être signalé.
Surnommé Grabos, par les chercheurs, le malware se cache derrière les applications de lecteur de musique gratuit . 
image

Que Fait Grabos

◾Grabos comme d'autres logiciels malveillants vise à voler les données personnelles des victimes et collecter des informations sur le périphérique infecté comme la version Android , le modèle de construction, le réseau, l'emplacement, le code pays, la carte SIM, le transporteur, la langue et le fuseau horaire. , etc.

◾ Le logiciel malveillant vérifie également les applications sociales et Google sur l'appareil. Une fois toutes les informations collectées, le logiciel malveillant l'envoie à un serveur de commande et de contrôle au format crypté.

— Modifié le 27 juin 2018 20:19:14

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

23 nov. 2017 22:58:01 via site

482 sites enregistrent tout ce que l'on tape au clavier

✍️Selon une étude menée par des chercheurs de l’université de Princeton, au moins 482 des 50.000 plus gros sites référencés par Alexa utilisent des prestataires de SRSc

Quatre prestataires sur sept recueillent parmi les données personnelles adresses email, nom, numéro de téléphone, adresse, date de naissance ou encore numéro de sécurité sociale. Des données que vous n’avez pas forcément envie de partager. Pire encore, ces données sont transmises sans être anonymisées dans certains cas !

📌La liste complète :

https://webtransparency.cs.princeton.edu/no_boundaries/session_replay_sites.html

— Modifié le 27 juin 2018 20:21:02

Keep Calm and Love Android.

Yves Le

Répondre
  • Posts de Forum 151

24 nov. 2017 20:15:32 via site

Grabos comme d'autres logiciels malveillants vise à voler les données personnelles des victimes et collecter des informations sur le périphérique infecté comme la version Android , le modèle de construction, le réseau, l'emplacement, le code pays, la carte SIM, le transporteur, la langue et le fuseau horaire. , etc.

Et tu proposes quoi comme Lecteur de musique plus sûr ?

Répondre
  • Posts de Forum 15 671

29 nov. 2017 20:23:34 via app

🔔Attention aux capteurs biométriques!!

✍️Pas fiable, ils ne doivent pas être utiliser pour déverrouiller notre smartphone

Le scanner d’iris sur le Samsung Galaxy S8, Face ID sur l'iPhone X et le scanner d'empreintes digitales sur tous les smartphones souffrent tous du même défaut : la biométrie n'est pas sécurisée.

◾ La biométrie n'est pas sécurisée !!

Par exemple, lorsqu’un de mes collègues a essayé la fonction de reconnaissance faciale du LG Q6, il a pu le déverrouiller en tenant un autre smartphone dans la main avec une photo de lui-même.
Même le plus sophistiqué Face ID de l'iPhone X peut être dupé. En moins d'une semaine, et pour moins de 150 dollars, les chercheurs d'une entreprise de cybersécurité ont réussi à créer un masque (très effrayant) capable de piéger Face ID. Même sans le vouloir, les membres d’une famille peuvent dans certains cas accéder aux iPhones des autres. Un garçon de 10 ans a réussi à débloquer l'iPhone X de sa mère en raison de leur forte ressemblance, et Face ID est facilement dupé par des jumeaux identiques.

📌La meilleure alternative

La meilleure alternative est simplement un mot de passe fort. Cela signifie utiliser des lettres, des chiffres et des symboles, mais aussi ne jamais réutiliser le même mot de passe.

😚 Un mot de passe fort et pas j'aime le Foot !!

https://www.androidpit.fr/forum/744095/guide-pour-ses-mots-de-passes

— Modifié le 27 juin 2018 20:23:26

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

5 déc. 2017 16:48:55 via app

🔔La dissimulation de Cyber Attaque bientôt Sanctionnée.

✍️Le GDPR: le règlement général sur la protection des données

Uber avait dissimulé une importante cyberattaque dont il a été victime fin 2016 en versant 100.000 dollars aux pirates… en échange de leur silence. C’est la révélation que  Dara Khosrowshahi, PDG de la société a fait mardi. Arrivé en août, il assure n’avoir été informé que très récemment de cette attaque mené par deux employés qui avaient à l’époque été chargés de s’occuper de l’incident. Selon Uber, les deux pirates ont téléchargé une base de données à partir de serveurs utilisés par la société.

📌L’attaque a permis le vol d’informations personnelles appartenant à 57 millions d’utilisateurs. Les hackers ont surtout réussi à obtenir les noms, courriels et numéros de téléphone mobiles de ses clients, a expliqué la société californienne.

la faute aux pénalités dérisoires qui n’incitent pas suffisamment les entreprises à protéger leurs données.

Ainsi, il est importante de noter que, lorsque le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur en mai prochain, les entreprises qui manipuleront les données des citoyens de l’UE seront confrontées à des sanctions beaucoup plus sévères et à l’obligation de respecter une période de divulgation de 72 heures après la découverte d’une violation de données.

Pour mettre les choses en perspective : dans le cadre GDPR, Uber pourrait être condamné à une amende pouvant atteindre 260 000 000 $ pour cette infraction.

Vivement le mois de mai.....

— Modifié le 27 juin 2018 20:23:56

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

9 déc. 2017 11:07:37 via site

🎯 Vulnérabilité dans TeamViewer

🚨Les correctifs arrivent

Récemment, un utilisateur de GitHub utilisant le handle en ligne de "Gellin" a découvert une vulnérabilité critique dans TeamViewer qui permet à un attaquant ou à un client de prendre à distance un ordinateur sans le consentement ou la connaissance de son propriétaire.

📌La vulnérabilité affecte TeamViewer sur les systèmes macOS, Linux et Windows

  • Un correctif pour les versions Linux et macOS de TeamViewer sera disponible  mardi  ou  mercredi
  • Un correctif pour Windows a déjà été publié  mardi.

— Modifié le 27 juin 2018 20:24:20

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

12 déc. 2017 09:43:12 via site

🔔 Bulletin d'alerte de l'ANSSI

✍️Vulnérabilité d’usurpation d’identité dans plusieurs clients de messagerie

image

⏩ Mailsploit.⏪

Cette vulnérabilité permet lors de l'envoi de courriel de falsifier le champ émetteur qui sera affiché au destinataire et ainsi d'usurper potentiellement une identité expéditeur.

En effet, il est possible de tirer parti de la représentation des caractères et de leur encodage dans le champs "From" de l'entête d'un courriel pour amener un client de messagerie à n'interpréter qu'une partie des informations fournies. La différence entre la valeur du champ "From" et ce qui est affiché peut alors permettre à un utilisateur malveillant de falsifier les informations sur l'émetteur qui seront présentées au destinataire.

📌 D'autre part, la vulnérabilité mailsploit rend possible l'injection de code dans le champ "From" qui pourra dans certains cas être interprété par le client de messagerie.

📝Pour quelles messageries sur Android :

  • Proton mail
  • Yahoo Mail
  • BlueMail
  • Type Mail
  • Aqua Mail
  • Newton
  • Email exchange
  • AOL mail
  • K9 mail
  • Nine Mail

🚨Le CERT-FR met en garde contre les risques de hameçonnages liés à l'utilisation de cette vulnérabilité.

De manière générale, le CERT-FR recommande la plus grande précaution quant aux liens ou pièces jointes accompagnant un courriel non sollicité ou dont la provenance peut sembler suspicieuse. Dans le cas présent, il faut faire preuve d'une vigilance accrue même si l'émetteur annoncé du courriel est considéré digne de confiance.

— Modifié le 27 juin 2018 20:26:06

Keep Calm and Love Android.

Répondre
  • Posts de Forum 15 671

15 déc. 2017 12:44:56 via site

🚨Piratage de Cdiscount : les données bancaires de centaines de clients ont été détournées

L’affaire est loin d’être glorieuse pour le site Cdiscount. Selon les informations du Point, la sécurité de la plateforme spécialisée dans le commerce électronique a été mise en défaut par un ou plusieurs individus au cours des derniers mois, afin de récupérer des informations sensibles bien précises. En effet, il s’agissait de données bancaires enregistrées par les clients pour des achats futurs.

📌 La manœuvre a débuté en juin et a affecté près de 500 clients de l’entreprise française. Le préjudice est évalué à plus de 350 000 euros, étant donné que la manœuvre visait des produits de valeur, comme des smartphones ou de l’électroménager.

ıllıllı Gare à sa carte ıllıllı

L’incident, manifestement assez limité par son ampleur, donne en tout cas du grain à moudre à ceux et celles qui préfèrent ne jamais enregistrer leurs coordonnées bancaires sur un site de vente en ligne, même en prévision d’autres achats. Si elle est proposée à des fins de commodité, cette option peut à terme représenter un risque de sécurité si un accès frauduleux survient dans la base de données du site.

Keep Calm and Love Android.

Yves Le

Répondre
  • Posts de Forum 22

19 déc. 2017 21:41:05 via site

Concernant la faille WPA

Helas,
on parle ici surtout des systèmes android, qui eux sont des laissés pour compte des mises à jours par les constructeurs ou distributeurs de produits OEM, customisé à une marque X ou Y .
Donc la faille étant présente, il faut faire en y pensant tout le temps.

Je ne rentre pas de données login/passowrd, si je ne suis pas sur un site avec une connexion HTTPS, qui crypte les données au niveau application et non pas au niveau réseau.

Car il faut bien comprendre que cette faille permet à un pirate de lire les données des échanges entre un objet et la borne. Donc si on échange en connexion simple, http par exemple, tout deviendra capturable en clair. On se retrouve dans la même situation que sur les hub ethernet des années 1990, ou n'importe qui connecté sur un des ports du HUB pouvait récupérer toutes les trames ethernet circulant sur le réseau.
Si celles ci ne véhiculent pas des données cryptées, tout est récupérables.

En gardant à l'esprit que les android non mis a jour depuis longtemps (> 4ans), on peut être aussi les failles SSL, qui ont été corrigée dans TLS v1.1, et qui permettait d'aller décoder le contenu de flus HTTPS ! Mais ça c'est une autre histoire.

Cependant le site lanceur de l'alerte, référencé par le CERT-FR en première référence:
https://www.krackattacks.com/
n'omet pas de le signaler
= = =
Ce qui est agaçant , c'est le fait qu'on ne puissent pas utiliser une connexion filaire de bout en bout, depuis son appareil android, alors qu'on dispose d'un réseau filaire fourni par sa box !
Surtout en zone d'habitation haute densité où le signal wi-fi des appareils dans les appartements voisins, est suffisemment fort pour être exploitable !

= = =
En effet le partage de connexion via cable USB, n'as été prévu que dans le sens:
J'utilise mon téléphone comme routeur vers internet pour mon PC, quand celui ci utilise le réseau mobile pour accéder à internet:

donc
.....................Réseau privé ................. smartphone ....... Réseau public 3G/4G
. . . . . . . . . . ( cable USB)
|- - - - -| . . . . . . . . . . . . . . . . . . . . . . . . . . . |- - - -|
| . PC .|----------------------------------------------|- - - -| ) ) . ) . . ) . . . ) . . . . . . . ) FAI
|- - - - -| . . . . . . . . . . . . . . . . . . . . . . . . . .. |- - - -|
@IP: - - 192.168.42.X . . . . .192.168.42.129 . . . . @IP publique

Dès qu'on met en œuvre cette fonction, une interface RNDIS avec l'adresse 192.168.42.129 est crée coté smartphone, et une nouvelle interface apparait aussi coté PC,( le cable USB doit être branché AVANT d'activer le partage USB dans les paramètres réseaux)
Coté smartphone, un serveur DHCP est activé et distribue des adresses en 192.168.42.X/24
X commence à 175 d'après ce que j'ai constaté !
Et si la connexion 3G ou 4G est active, le smartphone joue le rôle de routeur/Nat,pour votre PC comme votre BOX sur câble ou ADSL !

Mais on pourrait aussi songer à l'inverse
S'il n'y a pas de connexion 3G ou 4G possible (ou qu'on ne veut pas utiliser cette connexion, car on atteint la limite de son forfait), et qu'on ne veut pas justement utiliser la connexion Wi-Fi pour des raisons de sécurité, il suffirait de faire jouer à votre PC (qui lui est connecté en filaire à la BOX) le rôle de routeur!

Il faut alors mettre une adresse IP fixe sur cette interface RNDIS sur le PC, par exemple 192.168.42.1/255.255.255.0
et pas de routeur par défaut sur cette interface,
Puisque c'est l'interface Ethernet standard du PC qui est sur le LAN de la box, qui a déjà un routeur par défaut: l'adresse IP de la BOX sur le LAN)

Mais pour que ça marche, il faudrait à minima, qu'on puisse rentre une @IP de default gateway "exceptionelle" sur le smartphone. en l'occurence : 192.168.42.1, quand on exploite cette fonction
Or cette option n'existe pas
Et si on passe en mode commande, avec un terminal comme Termux, ou via
adb shell (sur un PC Linux ou Windows), dès qu'on a activer le mode développeur sur son android
Les commandes :
ifconfig
ip
ou route

permettent de voir les configurations,
mais pas de faire de modif car on n'est pas l'administrateur : root
Donc
$ route add default gw 192.168.42.1
ne passe pas , android dit qu'on n'a pas les droits.

On est revenu au problème de rooter son android: qui n'a plus de solution "utilisateur" sur Android 7 ou au delà.
Car toutes les techniques utilisées jusqu'ici étaient basées sur des failles de sécurité du noyaux ou des librairies, consistant a exécuté du code jusqu'à ce qu'on soit sous un shell, dont le propriétaire est 0:0 (donc root), ce qui permet en suite:
de remonter le file system principal en mode RW (Read/Write) alors qu'il l'est en mode RO(Read Only)
et d'aller copier la commande su sous /system/bin
Et ça c'est plus possible puisque Android 7 et 8 sont réputés corrigés de tous ces BUG

Avec en plus les ROM des récents smartphones, qui ne permettent même plus de changer la partie boot du smarphone, on reste sans solutions !!!
Et vive les systèmes ouverts "PROPRIETAIRES" !

— Modifié le 19 déc. 2017 21:42:25

Répondre

Articles recommandés