Insécurité du logiciel privateur

Autres exemples de malveillance dans le logiciel privateur

Cette page répertorie des failles de sécurité de logiciels privateurs, failles clairement établies qui ont des conséquences graves ou méritent d'être mentionnées pour d'autres raisons.

Il ne serait pas juste de comparer le logiciel privateur avec un logiciel libre idéal réputé parfait. Chaque programme un peu complexe a ses bogues et tout système, qu'il soit libre ou privateur, peut avoir des failles de sécurité. Ce n'est pas répréhensible en soi. Mais bien souvent les développeurs de logiciel privateur ne se préoccupent pas de failles béantes, voire les introduisent délibérément, et les utilisateurs sont impuissants à les corriger.

Les moniteurs de forme physique FitBit ont une vulnérabilité au niveau du Bluetooth, qui permet à l'attaquant d'envoyer à ces appareils des logiciels malveillants pouvant ensuite se propager aux ordinateurs et aux autres moniteurs Fitbit avec lesquels ils interagissent.
« Les disque durs à chiffrement automatique utilisent pour ce faire un micrologiciel [firmware] privateur, auquel par conséquent on ne peut pas se fier. Les disques « My Passport » de Western Digital ont une porte dérobée.
Pendant quatre ans, MacOS X a eu une porte dérobée intentionnelle qui pouvait être exploitée par des attaquants pour obtenir les privilèges du superutilisateur root.
Des chercheurs en sécurité informatique ont découvert une vulnérabilité dans les dongles de diagnostic utilisés pour le traçage et l'assurance des véhicules, qui permet de prendre le contrôle à distance d'une voiture ou d'un camion au moyen d'un SMS.
Des crackers ont été en mesure de prendre le contrôle à distance de la « Jeep connectée ».
Ils ont pu suivre les déplacements de la voiture, démarrer et arrêter le moteur, activer et désactiver les freins, et plus encore.

J'imagine que Chrysler et la NSA peuvent faire de même.

Si un jour je possède une voiture et qu'elle contient un téléphone portable, je le désactiverai.
Les pompes à perfusion Hospira, qui sont utilisées pour administrer des médicaments à des patients, sont considérées comme « les périphériques IP les moins sécurisés que j'ai jamais vus » par un chercheur en sécurité informatique.

Selon le médicament qui est perfusé, l'insécurité pourrait ouvrir la porte au meurtre.
En raison du défaut de sécurité de certaines pompes à perfusion, des crackers pourraient les utiliser pour tuer des patients.
La NSA peut aller chercher des données dans les smartphones, que ce soit les iPhones, les Android ou les Blackberry. Bien que l'article soit peu détaillé, il semble que cette opération n'utilise pas la porte dérobée universelle qui, on le sait, se trouve dans presque tous les téléphones portables. Il est possible qu'elle exploite différentes bogues. Il y a de plus une multitude de bogues dans le logiciel de radio des téléphones.
Dans les « maisons intelligentes », on découvre des vulnérabilités stupides permettant les intrusions.
Grâce à la mauvaise sécurisation de WhatsApp, les écoutes deviennent un jeu d'enfant.
La FTC a sanctionné une entreprise pour avoir fabriqué des webcams comportant des failles de sécurité telles qu'il était facile pour n'importe qui de regarder ce qui était filmé.
Il est possible de prendre le contrôle de l'ordinateur de bord de certaines voitures, au moyen de logiciels malveillants infectant des fichiers musicaux. Et également au moyen de la radio. Voici des informations supplémentaires.
Il est possible de tuer des gens en prenant le contrôle d'implants médicaux par radio. Voici des informations supplémentaires. Et là aussi.
Bon nombre d'appareils médicaux ont une sécurisation en-dessous de tout, et ce peut être mortel.
Des terminaux de paiement tournant sous Windows ont été piratés et transformés en botnet afin de récupérer les numéros de cartes de crédit des clients.
Une appli qui empêche le « vol d'identité » (accès aux données personnelles) en sauvegardant les données de l'utilisateur sur un serveur spécial a été désactivée par son développeur qui y avait découvert une faille de sécurité.

Ce développeur semble être consciencieux dans ses efforts de protection des données personnelles contre les tiers en général, mais il ne peut pas les protéger contre l'État. Au contraire ! Confier vos données au serveur de quelqu'un d'autre, si elles ne sont pas chiffrées au préalable, revient à fragiliser vos droits.
Certaines mémoires flash ont des logiciels modifiables, ce qui les rend vulnérables aux virus.

Nous n'appelons pas cela une « porte dérobée » parce que c'est normal de pouvoir installer un nouveau système dans un ordinateur si l'on y a accès physiquement. Cependant, il ne faut pas que les clés USB et les cartes mémoire soient modifiables de cette façon-là.
Le logiciel non libre remplaçable des disques durs peut être écrit sur le disque par un programme non libre. Ceci rend tout système vulnérable à des attaques persistantes que les outils d'analyse normaux ne détecteront pas.
De nombreuses applis pour smartphones utilisent des méthodes d'authentification non sécurisées quand vous stockez vos données personnelles dans des serveurs distants. De ce fait, vos informations personnelles (adresses de courriel, mots de passe ou données de santé, par exemple) restent vulnérables. Beaucoup de ces applis étant privatrices, il est difficile, voire impossible, de savoir lesquelles présentent un risque.