Les données transmises via 3G sont-elles sécurisées?

22

Lorsque les données sont transférées de mon iPhone via la 3G, sont-elles cryptées ou est-il relativement simple pour un pirate de lire les données transférées vers la tour cellulaire d'AT & T? Et après avoir atteint la tour?

iphone security Sensé
la source

Réponses:

16

La 3G peut être sécurisée ou non, c'est vraiment dû à l'implémentation particulière. Si vous êtes inquiet au sujet de vos données lors de l'attache ou de l'utilisation d'un iPad / iPhone 3G, regardez-les de cette façon, c'est plus sûr que d'utiliser des points d'accès / réseaux WiFi gratuits / non sécurisés.

Vraiment, la réponse à votre question est que la 3G est assez sécurisée, mais elle a ses défauts.

La 3G est cryptée, les algorithmes de cryptage les plus courants ont été piratés, avec le bon équipement, quelqu'un pourrait intercepter vos informations sans fil. Cependant, ils auraient besoin de connaissances, d'argent et de motivation pour le faire. Ensuite, en plus de cela, ils auraient besoin que votre appareil envoie des données non cryptées (non https) pour pouvoir les déchiffrer. Dans l'ensemble, il est peu probable mais certainement possible que vos informations soient interceptées. Cependant, cela représente un risque pour quiconque transmet des données n'importe où et n'est pas isolé de la 3G / WiFi ou d'autres méthodes de communication des appareils mobiles.

Essayez une recherche Google sur la sécurité 3G et vous trouverez de nombreuses informations sur les failles et les failles de sécurité et comment elles pourraient être exploitées.

À titre d'exemple, voici quelques présentations:

Présentation de la sécurité 3G

powerpoint blackhat.com

conorgriffin
la source
L'une des raisons pour lesquelles j'ai demandé était parce que j'ai souvent le choix d'utiliser un hotspot gratuit vs 3G, et je veux savoir lequel je dois utiliser si je me soucie de la sécurité. Au début, je pensais que la 3G est évidemment plus sécurisée, car il existe de simples extensions Firefox qui peuvent sélectionner les mots de passe des personnes sur le même réseau Wi-Fi, mais comment savoir qu'il n'y a personne assis au milieu de toute la 3G transmise les données et les collecter tout le temps? Au moins avec le Wi-Fi, vous avez besoin d'un pour être dans une certaine (petite) plage et exécuter un logiciel qui collecte ce type d'informations.
Senseful
4
Si je fais quelque chose comme les services bancaires en ligne ou que j'achète quelque chose avec ma carte de crédit, j'aurais tendance à utiliser la 3G dans la mesure du possible. Mais même sur un réseau WiFi, la plupart des sites Web qui traitent de données sensibles utiliseraient un cryptage tel que SSL ou TLS, ce qui signifierait que quelqu'un sur ce réseau aurait plus de mal à essayer de voler / intercepter vos données. Je dirais que vous êtes plus susceptible d'être à risque avec le WiFi gratuit que la 3G la plupart du temps.
conorgriffin du
6

Si vous utilisez https, peu importe le type de connexion sur laquelle vous communiquez. Toutes les données vont être cryptées de votre navigateur vers le programme serveur. La seule façon de freiner cela est d'écouter la communication entre vous et votre destination finale. Pour résoudre ce problème, un certificat d'identité a été créé. Cela certifie que vous parlez à votre destination finale et non par l'intermédiaire d'un médiateur. Donc, tant que le certificat d'identité correspond, vous êtes en sécurité. Si le certificat d'identité ne correspond pas, le navigateur vous montrera un avertissement de sécurité, disant que le certificat ne correspond pas, généralement ils vous laisseront une option pour continuer la communication, juste au cas où dans l'opération que vous effectuez, vous ne fais pas attention à la sécurité.

Bernardo Kyotoku
la source
Merci pour l'info. Je suis plus intéressé par la façon dont les données non HTTPS sont sécurisées sur 3G, car par définition, HTTPS devrait être sécurisé quelle que soit la connexion.
Senseful
Ouais, je le pensais. Cela pourrait intéresser certains lecteurs. Mais dans le point gratuit "hotspot vs 3G", pour moi au moins, vous ne feriez pas confiance qu'il n'y a pas de cryptage de bout en bout. La sécurité entre mon ordinateur et le hotspot ou la tour cellulaire n'est pas suffisante si, après cela, les données ne sont pas chiffrées.
Bernardo Kyotoku
3

Pas le moindre. Même HTTPS n'est sécurisé que par des acteurs non gouvernementaux ou FAI. Consultez EFF.org pour plus, mais je vous préviens, c'est sacrément déprimant.

EDIT: Le passé est un pays très difficile à visiter:

Analyse de Bruce Schneier sur SSL:

http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html

Discussion de Mozilla:

https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/OBrPLsoMAR8

La lettre ouverte d'août détaillant le problème du FEP:

https://www.eff.org/deeplinks/2010/08/open-letter-verizon

Ce n'est pas qu'ils le décryptent, vous voyez. Le cryptage nous sommes tous sur un pied d'égalité jusqu'à la clé quantique ou le verrou. Mais les gens qui ne codent pas ne sont pas stupides. SSL, vous pouvez garantir la sécurité du serveur, mais les certificats eux-mêmes proviennent d'une chaîne de confiance.

La phrase "J'ai eu ce concert du gouvernement! Homeland Security! Le nouveau petit ami de Mary Anne ... F ** k You!" , ou similaire doit avoir été dit à un moment donné.

Amazon n'était pas le seul endroit après Wikileaks à avoir un groupe de berlines. Le FBI crie en ce moment pour des backdoors en fait, ou plutôt, pour légitimer les backdoors qu'ils doivent avoir. Étant donné que les acteurs gouvernementaux ou industriels ne sont pas des «acteurs» mais des «personnes», ce n'est pas FUD de le remettre en question.

Un exemple de FUD serait de mettre en évidence, par exemple, la complexité des mathématiques et d'essayer de l'utiliser pour prouver une réponse erronée, et restaurer la confiance dans un système qui a fonctionné dans le passé, tout en ignorant la confiance forcée dans les humains et le succès exploiter à l'état sauvage.

Ça a du sens?

chiggsy
la source
1
-1 c'est FUD et tout simplement faux.
Ricket
1
Pour entrer dans un peu plus de détails (contrairement à cette réponse), HTTPS est HTTP sur SSL; il utilise au moins des clés 128 bits depuis le début des années 90 (par exemple, Gmail utilise un certificat SSL 128 bits). Cela signifie qu'une clé a une longueur de 128 bits; en d'autres termes, il existe 2 ^ 128 clés possibles (340 milliards de milliards de milliards de dollars, soit un nombre de 39 chiffres). Il est prouvé que le seul moyen de briser ce cryptage est la force brute d'une clé. Aucun système au monde ne peut forcer autant de combinaisons dans un délai raisonnable; cela prendrait littéralement une éternité avec même du matériel gouvernemental. Et EFF.org n'a rien à voir avec cela.
Ricket
1
En outre, une partie de la beauté de SSL réside dans le fait qu'un pirate peut enregistrer l'intégralité du flux de trafic, avant même que la connexion ne commence ou après qu'elle se termine, lorsqu'un ordinateur se connecte à un site auquel il ne s'est jamais connecté auparavant, et que le pirate ne peut pas reconstruire les données d'origine, ni voir autre chose que des données chiffrées mélangées. Le calcul est tel que même entendre tout ce qui se passe ne vous donne aucun avantage. Donc, cela exclut absolument votre FAI qui renifle le trafic HTTPS, et encore une fois, même le gouvernement n'a pas le pouvoir de casser la clé, même s'il remplissait un État entier d'ordinateurs.
Ricket
J'ai modifié ma réponse pour mettre en évidence l'erreur dans votre hypothèse: ce n'est pas seulement la clé de cryptage qui comprend SSL. Renversé. Les idées sont les bienvenues.
chiggsy
"Je ne fais pas confiance non plus aux autorités de certification racine. Lorsque je veux me connecter à Gmail, je me rends à Mountain View, en Californie, et je leur donne mon mot de passe sur une feuille de papier. Sergei Brin me connecte au centre de données et me permet d'utiliser un console à la fin d'un rack pour lire mon email. Connecté à https://localhostbien sûr. " rolleyes
2

Une attaque d'homme au milieu ou l'espionnage de quelqu'un assis dans le même café est beaucoup moins probable en 3G. L'équipement pour le faire est beaucoup moins communément disponible et l'expertise requise est plus élevée.

Aucun des deux n'est garanti contre, disons, une organisation de renseignement gouvernementale ou une autre grande opération sophistiquée, car le cryptage 3G n'est pas de ce niveau. Mais HTTPS et SSH devraient vous protéger du snoop moyen.

hotpaw2
la source
0

Un homme dans l'attaque du milieu peut également être effectué en utilisant sslstrip qui peut facilement retirer le ssl de https, ce qui en fait une connexion http, intercepter toutes les données et utiliser un faux certificat pour réactiver le ssl avant de l'envoyer à la destination. En termes simples, c'est l'idée.

L'utilisateur ne saura jamais ce qui lui est même arrivé. Cela a été présenté dans Blackhat en 2009 si je ne me trompe pas. Si Moxie Marlinspike a pu le faire en 2009, imaginez ce que les autres hackers professionnels sont capables de faire de nos jours. Il était l'un des rares à le révéler à de bonnes fins. Beaucoup d'entre eux ne publieront pas les vulnérabilités dont ils disposent.

Je ne veux pas vous faire peur, mais si vous pensez que SSL est sécurisé, réfléchissez-y à deux fois. C'est vraiment aux navigateurs de maintenir la sécurité des utilisateurs. Votre foi est vraiment entre leurs mains. De nombreuses vulnérabilités existent depuis de nombreuses années, tout comme le cœur brisé avant de faire quelque chose.

IT_Master
la source
1
Si vous ne faites pas peur, vous devriez signaler l'attaque que Moxie a utilisée, car je ne peux pas croire qu'une vulnérabilité SSL paralysante et publicisée existe depuis 5 ans.
Jason Salaz