Samsung Knox : la sécurité est compromise, malgré l’approbation du gouvernement US

 

Après que Samsung ait obtenu la validation de son système de sécurité Knox par le gouvernement américain, il s’avère manifestement que l'application est “complètement compromise”.

samsung knox securite

Samsung a développé son logiciel Knox pour ses appareils haut-de-gamme Android avec l’objectif d’attraper un marché ayant de gros besoins de sécurité, en entreprise et auprès des gouvernements.

Ainsi, c’était avec la satisfaction d’une mission accomplie que Samsung annonçait, il y a deux jours, que le gouvernement américain avait approuvé Knox sur plusieurs appareils à utiliser « avec des données et réseaux gouvernementaux classifiés »

Mais plus tôt aujourd’hui, un chercheur a publié un rapport détaillé dans lequel il montre comment l’application Knox conserve l’indice de récupération du mot de passe de l’utilisateur en clair, sans chiffrement, dans l’appareil.

Pour utiliser Knox, l’utilisateur doit entrer un mot de passe et un code PIN, ce dernier étant enregistré dans un fichier système parfaitement lisible. Par ailleurs, ce code PIN peut servir à obtenir un indice de récupération du mot de passe consistant en la première et la dernière lettre de ce dernier, ainsi que du nombre de caractères.

samgung knox faille

Au delà de ce problème déjà assez criant, le chercheur explique que la situation est d’autant plus compromise que Knox doit stocker le mot de passe dans l'appareil. En trouvant un fichier chiffré contenant celui-ci, le chercheur s’est interrogé sur la provenance de la clef de chiffrement.

Il s’est ainsi rendu compte que Knox utilisait pour cela l’identifiant Android de l’appareil, un numéro de série que n’importe application peut demander. A partie de là, l’application génère la clef en utilisant ces numéros :

…avec une chaîne codée en dur et les mélange pour obtenir la clé de chiffrement. je me serais attendu à partir d'un produit, appelé Knox, une approche différente.

Le fait qu’ils conservent cette clef juste l’indice de récupération compromet complètement la sécurité de ce produit. Pour un tel produit, le mot de passe ne devrait jamais être stocké dans l’appareil

Au lieu de Samsung Knox, utilisez la fonctionnalitée de chiffrement intégrée à Android pour chiffrée l’ensemble de l’appareil

Cette dernière déclaration vient en tout cas confirmer l'information selon laquelle le niveau de sécurité d'Android Lollipop dérangeait le FBI et la NSA. Ce qui est en revanche étonnant dans cette information, c'est que le gouvernement américain, qui se pose la question de Knox depuis un long moment, ait pu échapper à la faille. Restons donc connectés pour voir quelle sera la réaction des États-Unis face à ce rapport.



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos dernières applications !
  • whatsapp unsplash
    WhatsApp : bientôt du cashback sur les paiements ?

    WhatsApp Payments est l’une des dernières fonctionnalités ajoutées à la populaire plateforme de messagerie instantanée, et celle-ci pourrait bientôt s’améliorer avec une fonctionnalité qui pourrait faire gagner de l’argent aux utilisateurs. Dans certains pays, comme l’Inde ou encore le Brésil,…

  • vlc mise à jour android
    VLC 3.4 : l’appli Android se met à jour avec une nouvelle interface pour le lecteur audio

    L’application Android VLC se met à jour. Cette version 3.4 apporte son lot de modifications, à commencer par l’intégration de marque-pages, pratique pour ne pas perdre sa progression dans la lecture d’un livre audio ou d’un podcast. Alors que le…

  • gmail android recherche
    Gmail sur Android : fini de perdre vos mails, la recherche améliorée arrive en octobre 2021

    La version Android de Gmail se dote d’une fonctionnalité depuis longtemps attendue : la recherche améliorée. S’il est déjà possible de retrouver ses mails sur l’application, ce sera encore plus facile en utilisant des filtres pour la pièce jointe ou un…

  • google maps bug voix
    Google Maps parle avec un drôle d’accent à cause d’un bug

    Google Maps est victime d’un bug plutôt étrange et cocasse. En effet, plusieurs utilisateurs se plaignent de voir la voix utilisé pour la navigation s’exprimer subitement avec un accent indien dans la majorité des cas. Google est au courant du…

  • Runtastic
    Télécharger Adidas Running by Runtastic APK gratuit sur Android

    Runtastic est une application très appréciée par les sportifs. Parmi ses fonctionnalités phares, il y a la comptabilité avec une ceinture cardiofréquencemètre, des informations sur la course ou suivi de la course en ligne et en direct par une autre…

  • PayPal
    Télécharger PayPal APK gratuit sur Android

    PayPal est une solution en ligne qui vous permet de gérer votre argent de manière simple, rapide et sécurisée. Vous pouvez vous en servir pour envoyer de l’argent, payer vos achats et accepter des paiements sans que vous soyez obligé…

  • google messages nudge
    Google Messages : les rappels automatiques de Gmail débarquent bientôt sur l’appli

    Google Messages s’apprêterait à accueillir une fonctionnalité issue de Gmail. Les “Nudges” ou “Rappels automatiques” dans la langue de Molière ont été lancés en 2019 sur le service de messagerie de Google. Cette fois-ci, ces “Nudges” pourraient bien débarquer sur…

  • Plantnet
    Télécharger Plantnet APK gratuit sur Android

    Considéré comme le Shazam des plantes, Plantnet est une application gratuite qui permet d’identifier les végétaux. Elle vous aide à connaître le nom d’une plante que vous rencontrez. Il s’agit donc d’un outil qui vous aidera à devenir un as…

  • Météociel
    Télécharger MétéoCiel APK gratuit sur Android

    Aujourd’hui, il existe plusieurs types d’applications Météo pour Android. Parmi les plus appréciées, on distingue MétéoCiel. Il s’agit d’un programme complet en français 100% gratuit et sans aucune publicité. Cette application peut vous donner toute satisfaction que ce soit en…

  • whatsapp unsplash
    WhatsApp : vous pourrez bientôt lire des messages vocaux grâce à une fonction de transcription

    WhatsApp vient d’ajouter la prise en charge du chiffrement de bout en bout pour les sauvegardes de chats et il semble que la société envisage maintenant d’offrir une fonction de transcription des messages vocaux. Cette fonctionnalité est actuellement en cours…