IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google connait tous les mots de passe Wi-Fi enregistrés sur les smartphones Android
Ils sont sauvegardés sur les serveurs de la société

Le , par Hinault Romaric
37 commentaires

133PARTAGES

8  0 
Google est de nouveau sous les feux des projecteurs pour ses problèmes de confidentialité.

Un récent rapport d’un expert en sécurité fait savoir que le géant de la recherche connaitrait pratiquement tous les mots de passe Wi-Fi utilisés sur un smartphone Android.

Pour cause, une fonction de sauvegarde et de restauration automatique des préférences sous Android.

Par exemple, sur un terminal HTC sous Android 2.3.4, l’utilisateur dispose dans les réglages du téléphone d’une option « Sauvegarder mes paramètres ». Sur un appareil Samsung, l’utilisateur a droit plutôt à l’option « Sauvegarder mes données » avec comme seule description « Sauvegarder les paramètres actuels et données d’applications ».

Aucune mention n’est faite de la sauvegarde des mots de passe Wi-Fi, qui sont également enregistrés sur les serveurs de Google.


Bien que destinée à des fins de restauration, la fonctionnalité permet à Google d’avoir un accès en clair à tous les mots de passe Wi-Fi des réseaux sur lesquels un utilisateur s’est connecté avec son terminal Android (domicile, entreprise, école, lieux publics, etc.).

Avec l’ampleur de l’espionnage américain, cela signifie que le gouvernement américain peut juridiquement disposer d’un accès à ces informations.

Pour se protéger, l’unique recommandation est de ne pas utiliser cette fonctionnalité de sauvegarde automatique des données, qui peut être désactivée dans les paramètres du smartphone.

Android représente, selon les chiffres publiés par le cabinet d’analyse IDC, plus de 80 % de l’ensemble des smartphones expédiés au second trimestre de cette année. De quoi s’inquiéter ?

Source : ComputerWorld

Une erreur dans cette actualité ? Signalez-nous-la !

37 commentaires
Commenter Signaler un problème
sevyc64
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 16/09/2013 à 22:14
Citation Envoyé par Hinault Romaric Voir le message
De quoi s’inquiéter ?
OUI !

Au fait, qu'en est-il de Windows, notamment sur les ordinateurs portable, qui connait lui aussi les mdp wifi auxquels il se connecte, et qui communique régulièrement avec les serveurs Microsoft, notamment avec Windows Update.

Qu'en est-il de Apple avec iOS, il n'y a pas une telle fonctionnalité de sauvegarde chez eux ?

Qu'en est-il de l’ancêtre pas si vieux du smartphone, les Blackberry, connectés en permanence aux serveurs de Rim ?

Je suppose que 99.99% d'entre-vous n'ont pas installer un sniffer permanent pour connaitre le moindre octet qui peut être transmis par son mobile. Il ne sait donc pas si ces infos là ne sont pas ou non pas déjà été transmises

Donc, oui, c'est inquiétant que Google (ou peu importe qui) connaisse tous les mdps (et peu importe quoi d'ailleurs). Mais rien ne dit que ce n'est pas quelque chose qui existe ailleurs et peut-être depuis longtemps.

Mais c'est à coup sur quelque chose qui va s'amplifier, avec cette satané mode du tout connecté et du cloud.
6  1 
Neckara
Avatar de Neckara
Inactif https://www.developpez.com
Le 17/09/2013 à 6:24
"Aucune mention n’est faite de la sauvegarde des mots de passe WiFi, qui sont également enregistrés sur les serveurs de Google."

Maintenant je cite le système incriminé :

"Sauvegarder les données d'applications, les mots de passes Wi-Fi et d'autres paramètres sur les serveurs Google"
C'est justement pourquoi l'article a été écrit, la sauvegarde des mots de passes WiFi n'est pas indiquée dans la description des options de sauvegardes.

Citation Envoyé par hitm4n Voir le message
En plus de dire des choses fausses, l'auteur croit pointer du doigt un problème de vie privée important alors qu'il ne fait que montrer qu'il n'a rien compris et qu'il ne fait que reprendre l'idée d'un article américain sans en faire la moindre critique.
Et toi tu as rien compris aux problèmes de la vie privée.

Citation Envoyé par hitm4n Voir le message
"Bien que destinée à des fins de restauration, la fonctionnalité permet à Google d’avoir un accès en clair à tous les mots de passe WiFi des réseaux sur lesquels un utilisateur s’est connecté avec son terminal Android (domicile, entreprise, école, lieux publics, etc.)."
=> Et ? A priori, pas de problème, Google ne vas pas chercher à utiliser votre connexion WiFi pour vous espionner.
Un mot de passe est une "donnée personnelle" et doit donc être traité en tant que tel. De plus, quand on compte le nombre de personnes qui utilisent le même mot de passe pour tout (ou pour plusieurs comptes), oui, cela peut poser problème.
Et puis il faut se méfier des "A priori"....

Citation Envoyé par hitm4n Voir le message
On passera sous silence l'exemple "lieux publics" qui par essence s'il propose un accès WiFi, celui ci est "PUBLIC"...
Si un wifi est "PUBLIC", il me semble logique que ce dernier n'a pas de mot de passe...

Citation Envoyé par hitm4n Voir le message
Attention tout de même sur les réseaux d'entreprises, mais toute entreprise qui se respecte doit sécuriser les équipements de communication qu'elle fournit à son personnel incompétent en sécurité ou alors forme vraiment son personnel et donc prend les mesures de sécurité liés à l'utilisation de smartphones.
Tu plaisantes ? Tu crois qu'une entreprise (dont le but est de générer un bénéfice maximal) à le temps et les fonds pour rechercher toutes les vulnérabilités des outils qu'elle utilise ? Pour peu qu'elle utilise Windows comme OS (interdiction de regarder "ce qu'il se passe" dans les couches les plus basses de l'OS)... Ce n'est pas très réaliste.
Je parles bien des recherches de vulnérabilités et pas des configurations.

Citation Envoyé par hitm4n Voir le message
"Avec l’ampleur de l’espionnage américain, cela signifie que le gouvernement américain peut juridiquement disposer d’un accès à ces informations."
=> Tout le monde sait bien que la NSA a besoin de vos mots de passe WiFi pour vous espionner...Indigne du site developpez.com (club des IT pro, ben ca fait peur)
Peut-être pas nos mots de passes mais les mots de passes de quelques industriels/polituques/journalistes doivent être très intéressant. N'a-t-on pas vu dans une actualité que la NSA faisait de espionnage industriel en plus d'espionner illégalement des représentant/politiques d'autres pays ?

Citation Envoyé par hitm4n Voir le message
"Android représente, selon les chiffres publiés par le cabinet d’analyse IDC, plus de 80 % de l’ensemble des smartphones expédiés au second trimestre de cette année. De quoi s’inquiéter ?"
=> Si on s'en rapporte à l'unique problème cité dans l'article, quel est le rapport entre la pénétration du marché par Android et les problèmes d'espionnage ? Cela veut-il dire qu'Android en est la cause ? Faut-il acheter chez la concurrence ? les posts précédent ont bien montré que ces données sont aussi collectées par les systèmes concurrents
Il donne juste une indication de l'importance de cette faille. Si Android représentait 0,001% de la part de marché, cette faille n'aurait pas autant d'importance que si elle possédait 80% de parts de marchés.
8  3 
niarkyzator
Avatar de niarkyzator
Membre confirmé https://www.developpez.com
Le 17/09/2013 à 11:13
Citation Envoyé par nirgal76 Voir le message
bah même si c'était sauvegardé en crypté, la NSA a la puissance pour décrypter en quelques secondes alors.
Depuis quand ?

Je pensait que la NSA avait simplement les clefs privées les plus utilisées (par Google facebook etc). Avoir un double des clefs et entrer par effraction c'est pas la même chose.

Le FBI c'était pas pété les dent sur TrueCrypt il y a quelques temps ?

Et je crois pas que l'AES 256 tombe aussi facilement que ça même pour la NSA. Ils ont peut-être des moyens détournés mais arrêtez de crier à tout bout de champs que le cryptage est inutile et dépassé, c'est faux.
5  0 
Hellwing
Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 17/09/2013 à 8:32
Tout système a besoin de sauvegarder des mots de passe à un moment donné.

M'est avis que le problème n'est pas que Google sauvegarde les mots de passe WiFi, mais qu'il les sauvegarde chez lui en clair. Cf. l'article :

Bien que destinée à des fins de restauration, la fonctionnalité permet à Google d’avoir un accès en clair à tous les mots de passe WiFi des réseaux sur lesquels un utilisateur s’est connecté avec son terminal Android (domicile, entreprise, école, lieux publics, etc.).
J'ai toujours du mal à comprendre pourquoi on n'associe pas systématiquement Mot de passe = crypté. C'est pourtant la base de la sécurité informatique.
4  0 
Carhiboux
Avatar de Carhiboux
Expert éminent sénior https://www.developpez.com
Le 17/09/2013 à 9:11
Citation Envoyé par Lyons Voir le message
J'avoue que le fait que la NSA puisse connaitre le mot de passe de mon wifi ne me perturbe pas trop. Dans le cas fort improbable, même complètement impossible, où un agent de la NSA se dirait:
"Si j'allais jusqu'en Suisse pour me connecter sur le wifi de Lyons"
Je crois pas qu'il se gènerait pour cracker mon mot de passe.

J'me suis pris comme exemple mais évidemment dans la réalité on parlerait plutôt d'entreprises
Hé, pas forcément.

Imagine, un agent de la NSA cherche des données financière sur un groupe, allez on va même supposer que ça reste dans le cadre de leurs activités et que c'est un vilain groupe terroriste qui veut voler toutes les sucettes des petits enfants américains.

Il n'a pas accès directement aux données ou au réseau de la banque suisse ou les méchants jojo ont placé leur magot.

Comment il fait?

Ha tiens, et si je cherchait parmi les employés de la banque (recherche google pour en trouver facilement je pense, ou alors accès direct aux BDD facebook qui sait?), ceux qui ont un smartphone android (bdd des services google) pour voir si comme 80% des employés, ils ne s'envoient pas des documents avec des mots de passes ou des données sensibles sur leur adresse mail perso.

Et hop, une petite visite sur ton PC à la maison via une backdoor dans Windows, ou via un cheval de troie, ou que sais-je encore... Sinon pourquoi pas une voiture noire au vitres teintées qui se gare le long de ton trottoir... après tout, ils connaissent déjà ton mot de passe, non?

Et comme 80% des employés contournent les règles de sécurité par commodité (soit en notant leur mots de passe dans des fichier txt, soit en se les envoyant par mail, soit en se créant des accès non sécurisés sur des machines sécurisées...), je suis sur qu'ils peuvent très vite trouver les codes d'accès aux machines de la banque qui les intéresse.

Alors non en effet, ce n'est sans doute pas trop grave...
6  2 
tchize_
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 17/09/2013 à 15:55
ta borne wifi n'acceptera jamais que tu lui envoie le hash du password plutot que le mot de passe, elle ne saura rien en faire. Donc lehash du mot de passe ne te sert à rien dans le cas présent. Le hash, ca ne sert que pour le serveur faisant l'authentification. Ici on parle d'un serveur gardant un backup. On ne hashe pas un backup, c'est comme le passer dans une machine à confettis, c'est inutilisable après.

Conserver ds hash, ça se fait quand on est dans des procédure pouvant comparer deux tas de confettis.
3  0 
tchize_
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 17/09/2013 à 7:47
Citation Envoyé par Neckara Voir le message
C'est justement pourquoi l'article a été écrit, la sauvegarde des mots de passes WiFi n'est pas indiquée dans la description des options de sauvegardes.
Ben je viens d'ouvrir mon Smartphone android, et si, c'est bien indiquée sur l'option que ça sauvegarde tes mots de passe wifi. Maintenant, si les vendeurs comme Samsung changent le nom des options pour le rendre plus vague, difficile d'en vouloir à Google à ce sujet


Un mot de passe est une "donnée personnelle" et doit donc être traité en tant que tel. De plus, quand on compte le nombre de personnes qui utilisent le même mot de passe pour tout (ou pour plusieurs comptes), oui, cela peut poser problème.
Et cette option se trouve dans une section intitulée "Sauvegarder mes données". Je crois qu'il est évident qu'on parle de tes données personnelles sur un téléphone, et pas celle de tes voisins.


Peut-être pas nos mots de passes mais les mots de passes de quelques industriels/polituques/journalistes doivent être très intéressant. N'a-t-on pas vu dans une actualité que la NSA faisait de espionnage industriel en plus d'espionner illégalement des représentant/politiques d'autres pays ?
As-t-on vraiment besoin de ces mots de passes chez google? Le calendrier et la liste de contact sont déjà synchronisés... Le mot de passe wifi n'as aucun intérêt! Tout au plus, ça pourrais aider à localiser le téléphone si les dates de dernier passage sont présentes avec les données wifi sauvegardée. quand à la réutilisation des mots de passes, les personnes utilisant le même mot de passe partout ont aussi tendance à laisser le mot de passe par défaut sur leur routeur wifi, qui est rarement leur mot de passe perso

Pour moi c'est une non information, une option de sauvegarde de données personnelles qui sauve des données personnelles... Je ne vois rien de surprenant là dedans! Un type pense avoir découvert une grosse faille alors qu'il a juste oublié d'ouvrir le manuel de son smartphone....
4  2 
pik_0fr
Avatar de pik_0fr
Nouveau membre du Club https://www.developpez.com
Le 17/09/2013 à 8:50
Tout cela tant a prouver que l'interdiction d'un smartphone au personnel a haut risque ou haute fonction n'est pas si con.

Imaginé que le wifi du senat n'est absolument plus sécure malgrès les mots de passe changeant, car a peine on modifie le MdP que google (donc la NSA/CIA ou toutes autre agences américaine) dispose du nouveau MdP
3  1 
tchize_
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 17/09/2013 à 13:32
Citation Envoyé par Neckara Voir le message
J'irais même plus loin en disant "Mot de passe = hashé + transmission du hash du mot de passe = crypté" .
Vachement utile de hasher un backup, c'est irrécupérable après Ca n'a aucun intérêt. Le hashage des mot de passe ça ne sert que pour le serveur faisant l'authentification, pas pour celui qui doit préserver ce mot de passe.

Citation Envoyé par Nathanael Marchand Voir le message
Pas forcément: la clef peut être calculée de manière déterministe à l'aide du couple login/password. Ce que la société n'a pas (en tout cas, pas en clair, enfin j'espère ).
Et donc tu pronerais un système où l'intégralité de ton téléphone s'efface le jour où tu réinitialise ton mot de passe google? Parce que, mine de rien, beaucoup de gens réinitialisent des mots de passe oublié. Dans ton cas, ce serait une catastrophe bien pire au niveau de la qualité de service. En ce qui me concerne, soit tu accepte que la société conserve tes données personelles, et dans ce cas tu assume, soit tu évite de cocher cette case.

Je rappelle accessoirement aussi que, dans les données "personelles" associées aux applications, on trouve aussi vos donnée bancaire si vous avez eu la bonne idée d'installer ce truc à la mode, les application pour faire ses virement depuis son téléphone / tablette. Même si dans le dernier cas, l'application fait un effort de protection.

Bref, c'est l'éternel problème du truc assis sur la chaise qui est pas foutu de lire un manuel d'un appareil avant de l'utiliser ou de lire ce qui est écrit à coté de la case.
2  0 
ILP
Avatar de ILP
Membre confirmé https://www.developpez.com
Le 16/09/2013 à 22:05
Et avec les données récoltées il y a quelques temps par les [thread=875407]Google Cars[/thread], ils auront un superbe accès à tout les réseaux privés avec leurs localisation .
2  1 
Commenter Signaler un problème