Cyberwarfare

[zx]

Un pirate made in NSA :)  il faut disposer de certains moyens et aussi d'équipements spécialisé

Modifié le 29 mars 2016 par zx

[g4lly]

2 minutes ago, zx said:

Un pirate made in NSA :)

Probablement pas ... en général ce sont des société spécialisé dans le recherche de faille logiciel ou matériel qui vendent ces failles au producteur ... s'il accepte de payer on lui révele et il corrige ... sinon il y a un risque que quelqu'un de moins bien intentionné a qui on l'aura proposé l'exploite :)

Beaucoup de société israelienne sont spécialisé la dedans c'est tres rentable, meme si ca ressemble plus a de l'extorsion qu'autre chose.

Apple est une des rare a officiellement refuser de payer quoique ce soit considérant que c'est de l'extorsion.

[Rob1]

Apple s'en tire, le FBI sauve la face, mais ce qui était durablement en jeu c'était la direction qu'aurait pris la décision de justice, qui aurait établi un précédent, chose particulièrement importante en common law. En laissant tomber cette demande, le FBI évite de la perdre... se gardant la possibilité d'en recommener une similaire à une autre occasion, dans des conditions plus favorables.

[g4lly]

C'est au tour de Microsoft d'attaquer les super injonction de l'état américain ...

Il s'agit de perquisition secrètes sur lesquelles l'intermédiaire qui gère le service n'a pas le droit de communiquer. C'est pratique personne ne peut s'y opposer vu qu'elle n'existe pas vraiment.

Quote

Le géant de l'informatique Microsoft a lancé jeudi des poursuites en justice contre le gouvernement américain, affirmant que les mandats de perquisitions secrets pour consulter les emails des particuliers étaient contraires à la Constitution.

La plainte du groupe, déposée devant un tribunal fédéral de Seattle, près de son siège de Redmond dans le nord-ouest des Etats-Unis, vise le ministère de la Justice.

"Microsoft lance ces poursuites parce que ses clients ont le droit de savoir quand le gouvernement obtient un mandat pour lire leurs emails, et parce que Microsoft a le droit de les en informer", ont indiqué les avocats du groupe dans les documents présentés au tribunal.

La loi sur la confidentialité des communications électroniques autorise les tribunaux à ordonner à Microsoft et d'autres fournisseurs de comptes emails de ne pas révéler qu'un mandat pour obtenir de telles données a été mis en oeuvre. Ceci en partant du principe qu'il est "légitime de penser" qu'informer les personnes visées pourrait nuire aux enquêtes, ont relevé les documents.

Mais Microsoft argue dans sa plainte que conserver le secret sur ce type de mandat ne respecte pas la liberté d'expression protégée par la Constitution américaine, ni les mesures de protection contre les perquisitions abusives.

Les tribunaux fédéraux américains ont rendu au cours des dix-huit derniers mois près de 2.600 décisions ordonnant à Microsoft de conserver le secret au sujet de mandats et d'autres décisions légales visant des données de ses clients, selon les documents.

"Les consommateurs et les entreprises, à de rares exceptions près, ont le droit de savoir quand le gouvernement accède à leurs emails ou leurs archives", a écrit Brad Smith, directeur juridique de Microsoft, dans un blog.

"Pourtant, il est devenu courant pour le gouvernement américain d'ordonner que les fournisseurs d'emails gardent le secret sur ce type de requêtes légales", a-t-il poursuivi. "Nous pensons que cela va trop loin et nous demandons aux tribunaux de se pencher sur le problème".

Cette initiative intervient dans un contexte tendu entre entreprises technologiques et la justice américaine concernant l'accès aux données privées.

Le gouvernement avait engagé une action en justice contre Apple qui refusait de débloquer un iPhone utilisé par l'un des auteurs de la tuerie de San Bernardino --14 morts-- le 2 décembre 2015. Le groupe avait reçu le soutien notamment de Google et Facebook, au nom de la protection des données.

L'action a finalement été abandonnée lorsque la police fédérale FBI est parvenue grâce à des tiers à déverrouiller l'appareil. Mais le géant à la pomme est engagé dans un bras de fer similaire, cette fois à New York, concernant le smartphone d'un suspect de trafic de drogues.

Outre les smartphones, les internautes sont de plus en plus nombreux à conserver leurs emails et documents sur le "cloud", c'est à dire dans des centres de stockage de données à distance.

"La transition vers le +cloud+ ne change pas les attentes des utilisateurs quant à la protection de leurs données privées et ne devrait pas modifier les prérequis constitutionnels voulant que le gouvernement doive, sauf en de rares exceptions, prévenir lorsqu'il perquisitionne et se saisit d'informations privées ou de communications", souligne le directeur juridique de Microsoft.

La puissante organisation américaine de défense des droits des internautes, Electronic Frontier Foundation (EFF), qui a elle même lancé des actions en justice pour tenter d'empêcher le gouvernement de consulter secrètement de données sur internet, s'est réjoui jeudi de l'initiative de Microsoft.

En tant qu'acteur majeur du secteur et fournisseur de service de stockage de données à distance potentiellement soumis aux demandes de la justice, "Microsoft a une vision de ce qu'il se passe que l'EFF n'a pas", a estimé l'un de ses principaux avocats, Lee Tien. Avec sa plainte, le groupe informatique peut donc "exposer au tribunal l'ampleur du problème".

Copyright © 2016 AFP. Tous droits de reproduction et de représentation réservés.

 

[Rob1]

Il y a 11 heures, g4lly a dit :

Il s'agit de perquisition secrètes sur lesquelles l'intermédiaire qui gère le service n'a pas le droit de communiquer. C'est pratique personne ne peut s'y opposer vu qu'elle n'existe pas vraiment.

En même temps, ces réquisitions sont le prolongement numérique des écoutes... et je ne connais aucune juridiction qui fait des écoutes en prévenant le sujet qu'il est écouté.

[g4lly]

2 minutes ago, Rob1 said:

En même temps, ces réquisitions sont le prolongement numérique des écoutes... et je ne connais aucune juridiction qui fait des écoutes en prévenant le sujet qu'il est écouté.

Sauf que dans le premier cas c'est le service d'écoute lui meme qui s'impose le secret ... c'est donc son probleme.

Dans le second cas comme l'écoute est externalisée ... le secret est imposé a un tiers ... et c'est la que le bât blesse.

D'ailleurs il ne s'agit pas ici pour le tiers de dire "Rob1" la NSA nous a demandé les codes de ton "drive" ... mais que Microsoft puisse dire ... "la NSA nous impose un accès complet a nos service a notre insu." En gros Microsoft est forcé de mentir a ses clients, car Microsoft n'a pas le droit de dire que la NSA dispose d'une backdoor dans les services.

Quand SFR effectue une écoute sur un GSM ... tout le monde sait que les service GSM de SFR sont écoutable ... c'est officiel il y a meme une loi.

Quand Microsoft laisse entrer la NSA dans ses ordinateurs ... et que la NSA demande a Microsoft de raconter l'inverse c'est tout de suite plus compliqué.

[Rob1]

il y a 4 minutes, g4lly a dit :

Sauf que dans le premier cas c'est le service d'écoute lui meme qui s'impose le secret ... c'est donc son probleme.

Je parle des écoutes judiciaires et administratives. Tous les opérateurs téléphoniques sont privés, comme les opérateurs internet, donc ils sont forcément dans la boucle à un degré ou un autre.

Modifié le 15 avril 2016 par Rob1

[g4lly]

Just now, Rob1 said:

Je parle des écoutes judiciaires et administratives. Tous les opérateurs téléphoniques sont, privés comme les opérateurs internet, donc ils sont forcément dans la boucle à un degré ou un autre.

J'ai édité entre temps pour expliqué le souci média officiellement "écouté" contre service officiellement pas accessible - hors perquis' -.

[Rob1]

J'ai vu.

il y a 6 minutes, g4lly a dit :

D'ailleurs il ne s'agit pas ici pour le tiers de dire "Rob1" la NSA nous a demandé les codes de ton "drive" ... mais que Microsoft puisse dire ... "la NSA nous impose un accès complet a nos service a notre insu." En gros Microsoft est forcé de mentir a ses clients, car Microsoft n'a pas le droit de dire que la NSA dispose d'une backdoor dans les services.

Quand SFR effectue une écoute sur un GSM ... tout le monde sait que les service GSM de SFR sont écoutable ... c'est officiel il y a meme une loi.

Quand Microsoft laisse entrer la NSA dans ses ordinateurs ... et que la NSA demande a Microsoft de raconter l'inverse c'est tout de suite plus compliqué.

Si, justement, ce qui est en question ce n'est pas un accès complet mais des réquisitions au cas par cas (sinon il n'y en aurait pas 2600). La loi US existe et est claire sur les interceptions administratives. Ce qui est obscur c'est qui est écouté et le fonctionnement interne du système qui autorise ou refuse les demandes d'écoutes... comme partout ailleurs.

C'est d'ailleurs marrant, d'un côté on a des militants qui passent le temps à dire que la NSA à accès à tout sans aucun contrôle, d'un autre côté on encense des sociétés qui se contestent des réquisitions à chaque fois faites selon la loi et au cas par cas.

[g4lly]

2 minutes ago, Rob1 said:

J'ai vu.

Si, justement, ce qui est en question ce n'est pas un accès complet mais des réquisitions au cas par cas (sinon il n'y en aurait pas 2600). La loi US existe et est claire sur les interceptions administratives. Ce qui est obscur c'est qui est écouté et le fonctionnement interne du système qui autorise ou refuse les demandes d'écoutes... comme partout ailleurs.

C'est d'ailleurs marrant, d'un côté on a des militants qui passent le temps à dire que la NSA à accès à tout sans aucun contrôle, d'un autre côté on encense des sociétés qui se contestent des réquisitions à chaque fois faites selon la loi et au cas par cas.

Sauf qu'ici il ne s'agit pas d'écoute ... il s'agit de perquisition dans le "cloud" de Microsoft.

• Soit Microsoft garantit que ses services sont "intime" ... et que les perquisitions sont des vrais perquis' ouverte avec présence du prévenu.
• Soit Microsoft souhaite pouvoir expliqué a ses client que des perquisition secrète peuvent avoir lieu n'importe quand n'importe comment. Et le client aura alors un usage éclairé des services.

Le probleme de MS c'est que ses client pro ne souhaite pas que le infos se retrouve perquisitionné secrètement par les autorité US. Donc les clients sachant que Microsoft ne garantie pas l'intimité des données vont trouver d'autres solutions.

[Rob1]

Il me semble que tous les systèmes judiciaires de réquisition de données fonctionne par anaologie avec les interceptions plutôt que les perquisitions. C'est vrai qu'on pourrait avoir une réflexion sur ce point.

il y a 8 minutes, g4lly a dit :

Soit Microsoft souhaite pouvoir expliqué a ses client que des perquisition secrète peuvent avoir lieu n'importe quand n'importe comment. Et le client aura alors un usage éclairé des services.

Il me semble clair que c'est le second cas qui s'applique, et que le problème d'information n'est pas dans une mention manquante dans les conditions générales d'utilisation. Si Microsoft se bat aujourd'hui, c'est surtout par inquiétude que le processus soit trop facile à utiliser pour l'exécutif sans contre-pouvoir, et pour contre-balancer l'image négative qu'ils ont depuis quelques années.

[hadriel]

Le 15/04/2016 à 15:43, Rob1 a dit :

J'ai vu.

Si, justement, ce qui est en question ce n'est pas un accès complet mais des réquisitions au cas par cas (sinon il n'y en aurait pas 2600). La loi US existe et est claire sur les interceptions administratives. Ce qui est obscur c'est qui est écouté et le fonctionnement interne du système qui autorise ou refuse les demandes d'écoutes... comme partout ailleurs.

C'est d'ailleurs marrant, d'un côté on a des militants qui passent le temps à dire que la NSA à accès à tout sans aucun contrôle, d'un autre côté on encense des sociétés qui se contestent des réquisitions à chaque fois faites selon la loi et au cas par cas.

Hmm, une national security letter peut pas recouvrir la collecte de données sur plusieurs personnes?

Et sur la clarté de la loi US, je pense que la jurisprudence de la FISC en a surpris plus d'un.

[Rob1]

il y a 21 minutes, hadriel a dit :

Hmm, une national security letter peut pas recouvrir la collecte de données sur plusieurs personnes?

Et sur la clarté de la loi US, je pense que la jurisprudence de la FISC en a surpris plus d'un.

Plusieurs personnes ou identifiants mais qu'il faut préciser chacune... Rien à voir avec une "backdoor", un "open bar" ou quelque soit le nom qu'on essaie de lui donner.

Quant au débat sur la FISC... il y a évidemment la bêtise d'avoir mêlé la FISC aux programmes tout aussi idiots TSP/PSP/PA s.215, mais sur les mandats FISA, je n'ai pas vu d'arguments sur le fond de leurs décisions.

[hadriel]

il y a une heure, Rob1 a dit :

Plusieurs personnes ou identifiants mais qu'il faut préciser chacune... Rien à voir avec une "backdoor", un "open bar" ou quelque soit le nom qu'on essaie de lui donner.

Quant au débat sur la FISC... il y a évidemment la bêtise d'avoir mêlé la FISC aux programmes tout aussi idiots TSP/PSP/PA s.215, mais sur les mandats FISA, je n'ai pas vu d'arguments sur le fond de leurs décisions.

Je parlais de TSP/PSP/PA s.215. Là dessus il y a des procédure judiciaires à l'échelon fédéral qui ne vont pas toutes dans le sens de la FISC.

Microsoft a reçu des requêtes sous ces autorités, et le gouvernement US fera tout pour étendre l’interprétation des autres disposition du FISAA. Du coup je comprend Microsoft.

 

[Rob1]

il y a 16 minutes, hadriel a dit :

Je parlais de TSP/PSP/PA s.215. Là dessus il y a des procédure judiciaires à l'échelon fédéral qui ne vont pas toutes dans le sens de la FISC.

Microsoft a reçu des requêtes sous ces autorités, et le gouvernement US fera tout pour étendre l’interprétation des autres disposition du FISAA. Du coup je comprend Microsoft.

Oui, mais les requêtes contestées qui ont lancé cette conversation sont faites sous la loi Electronic Communications Privacy Act (ECPA) de 1986, donc rien à voir avec TSP/s.215.

[Marcus]

Un exemple tout à fait réel BAE (British Aerospace, une société d’armement Anglaise) avait fait une étude pour utiliser le cloud de Microsoft pour remplacer son informatique.

Les informaticiens de BAE ne voyaient pas d’objection technique.

La direction de la boite salivait déjà devant les économies promises.

Mais quand la présentation a été faite au service juridique de BAE, la réponse a été différente.

Initialement, ils ont demandé ou étaient vraiment les donnés ? MS a répondu une ferme de serveur en Irlande.

Ensuite, ils ont demandés que ce passe-t-il si la ferme de serveur en Irlande plante ? MS a répondu pas de soucis, toutes les données sont copiées sur une ferme de serveur au Pays-Bas.

Ensuite, ils ont demandés que ce passe-t-il si le la ferme de serveur au Pays-Bas plante aussi ? MS a répondu pas de soucis, toutes les données sont copiées sur une ferme de serveur aux USA.

Le service Juridique de BAE a dit vous nous confirmez que toutes les données chez nous sont recopiées en continu aux USA.

MS a confirmé fièrement oui car il pensait que l’inquiétude ici c’était juste un problème de sauvegarde. Pour un informaticien, plus tu as de sauvegarde et plus il est contant.

Le service Juridique de BAE a répondu que dans ce cas, il mettrait un véto ferme et définitif à ce projet de Cloud car si la justice Américaine demande accés aux données avec un mandas, alors Microsoft aurait été obligé de répondre.

Or il y a avait une affaire en cours : une enquête sur des soupçons de corruption entre BAE et L’Arabie Saoudite.

Dans ces conditions, pour accéder aux données de BAE, le gouvernement Américain est obligé de demander aux gouvernement Britannique s’il trouve de la corruption. Et la réponse était toujours non.

Comme les USA et les UK sont alliés, ils ont laissé tomber.

Mais si le cloud de Microsoft avait été choisit, alors la situation aurait pu changer.

[g4lly]

Quote

Le FBI a payé plus d'un million de dollars pour débloquer un iPhone

Le FBI a payé plus d'un million de dollars à des pirates informatiques pour débloquer l'iPhone d'un des auteurs de l'attentat de San Bernardino, a indiqué jeudi James Comey, le directeur de la police fédérale américaine. Mais "cela les valait", a-t-il ajouté.

Interrogé sur le montant payé, M. Comey a répondu: "Beaucoup". "A coup sûr, davantage que ce que je vais gagner jusqu'à la fin de ce poste, dans sept ans et quatre mois", a-t-il relevé. Le salaire de M. Comey est de 14'900 dollars par mois. La facture du déblocage par des hackers serait par conséquent supérieure à 1,3 million de dollars.

Apple s'est retrouvé cette année au centre d'un bras de fer avec la justice américaine, en refusant d'aider la police à contourner les mesures de sécurité pour accéder au contenu crypté de plusieurs iPhone, appartenant notamment à l'un des auteurs de l'attentat de San Bernardino en Californie ou à un trafiquant de drogue à New York.

Concernant l'affaire de San Bernardino, la procédure en justice a finalement été abandonnée lorsque le FBI a réussi à déverrouiller l'appareil grâce à des tiers.

Un marché créé

Selon M. Comey, ces poursuites ont entraîné la création d'un "marché à travers le monde" pour pirater un iPhone 5C sous système d'exploitation iOS 9, modèle utilisé par Syed Farook, qui est décédé avec son épouse dans une fusillade avec la police après leur attaque, qui a fait 14 morts.

"Quelqu'un n'appartenant pas au gouvernement nous a approché et dit: 'Nous pensons que nous avons trouvé une solution'. Nous l'avons testée et testée et testée, et nous l'avons achetée", a raconté M. Comey.

"Un litige judiciaire n'est pas le meilleur endroit pour résoudre d'importantes questions de valeurs qui impliquent toutes sortes de choses qui nous tiennent à coeur", a-t-il relevé. "Nous devons trouver comment faire cohabiter vie privée et sûreté sur Internet et sur nos appareils avec la sécurité publique".

(ats / 22.04.2016 00h39)

 

[collectionneur]

Hum, pour cette histoire, je sens l'embrouille dans le futur à plein nez... Des pirates pourront faire double jeu avec les polices avec ce type de méthode et mangé à tout les râteliers.

[Rob1]

Jean-Marc Manach fait un point intéressant sur l'affaire Thierry Solère-DGSE : http://bugbrother.blog.lemonde.fr/2016/04/20/soleregate-sil-vous-plait-dessine-moi-un-espion/

[rogue0]

L'actualité cyberdéfense a été chargée pendant mes 2 mois d'exil forcé.

Le 10/03/2016 à 08:08, collectionneur a dit :

Petite question, a t'on déjà des cas de piratage de banque d'Etat comme celui qu'à connu le Bangladesh qui a failli se faire piquer un milliard de dollars :

http://www.lefigaro.fr/flash-actu/2016/03/11/97001-20160311FILWWW00030-une-faute-d-orthographe-limite-un-piratage.php

Voici un peu plus de détails sur cette tentative de piratage (bon, y a quand même eu 80 millions de butin, mais ils auraient pu grapiller bien plus)

http://www.lemonde.fr/pixels/article/2016/04/26/comment-des-pirates-informatiques-sont-parvenus-a-derober-81-millions-de-dollars_4909101_4408996.html

Et pour les connaisseurs, les détails techniques de l'attaque:
http://baesystemsai.blogspot.fr/2016/04/two-bytes-to-951m.html

En gros, ils ont hacké le logiciel d'accès au réseau SWIFT (servant aux opérations interbancaires), ce qui leur a permis de se connecter au réseau, et d'envoyer des ordres de virement à la place des utilisateurs habituels.

Le piratage n'était techniquement pas difficile (remplacement d'une DLL d'accès à la base): mais tout laisse penser que les pirates avaient une bonne connaissance du logiciel Swift, des procédures interbancaires, ainsi que les systèmes de la banque du Bangladesh.

Ils ont tenté d'être les plus discrets possibles, en effaçant au maximum leurs traces (y compris en modifiant les impressions papier pour masquer les opérations !).
Les hacks silencieux sont les plus dangereux : ils auraient pu opérer très longtemps comme ça.

En 2 mots  -> ça sent l' "Inside Job" à plein nez.

Le 17/03/2016 à 19:50, zx a dit :

Une vingtaine d’attaques informatiques d’ampleur ont visé des groupes industriels français en 2015

http://www.opex360.com/2016/03/18/vingtaine-dattaques-informatiques-dampleur-ont-vise-des-groupes-industriels-francais-en-2015/

Ca dépend de la banque, en Europe c'est plutôt difficile, normalement ils escaladent dans la sécurité, les données sensibles sont systèmatiquement crypter et tout accès

doit être autthentifier, les normes sont particulièrement lourde à respecter et  des procédures strictes encadre  la production. les echanges inter banque passent par des lignes spécialisés et des chambres de compensation

C'est vrai en théorie, et il y a eu du progrès en 20 ans (mais il y a toujours des failles exploitables. Pensez à comment Snowden a pu récupérer tout son stock chez la NSA...).

Avant ça, certaines banques avaient des procédures un peu hasardeuses du point de vue sécurité.
Du style, pas de système de double confirmation pour des virements quotidiens de plusieurs milliards ...

<ça fait un bien fou de pouvoir poster après 2 mois! >

[rogue0]

Question pour les connaisseurs du domaine, en France.

Pouvez-vous recommander une école / structure française de formation en cybersécurité qui ait :

• une bonne réputation pour des interlocuteurs français type armée / police / grandes société
• dont la formation soit de qualité (pas un diplôme de pochette surprise )
• et qui fasse des formations courtes (1 an ou moins)

C'est pour un pote qui veut se reconvertir dans le domaine.
J'aurais pu le renseigner pour les formations internationales, mais pas pour les françaises

Merci d'avance.

[Rob1]

Article intéressant sur l'auto-censure des internautes suite aux révélations Snowden : https://www.schneier.com/blog/archives/2016/04/documenting_the.html

Des chercheurs ont tracé le nombre de visualisations mensuelles de 48 articles Wikipédia liés au sujet du terrorisme pour voir s'il y a un effet d'auto-censure causée par les révélations Snowden (qui ont commencé, et sans doute eu le plus de retentissement, en juin 2013) :

Soit une baisse de près d'un tiers en deux mois. Impressionnant.

[clem200]

Auto-censure ? Je ne comprends pas le terme.

 

Les gens ont eu peur de l'espionnage ?

Modifié le 22 mai 2016 par clem200

[winloose]

Je suis tombé sur cet article http://www.lexpress.fr/actualite/politique/israel-soupconne-d-avoir-espionne-le-telephone-de-manuel-valls_1809369.html et au dela du politique qui est sans doute à la rue niveau confidentialité et technologie,  n'a-t-on personne de sensibilisé  à ces risques dans les services de protection,voir qui aurait autorité pour éviter ce genre de choses ?

On pourra toujours rire de la phrase citée à la fin "un allié n'espionne jamais ses amis"

[zx]

Le 12/05/2016 à 23:23, rogue0 a dit :

Question pour les connaisseurs du domaine, en France.

Pouvez-vous recommander une école / structure française de formation en cybersécurité qui ait :

• une bonne réputation pour des interlocuteurs français type armée / police / grandes société
• dont la formation soit de qualité (pas un diplôme de pochette surprise )
• et qui fasse des formations courtes (1 an ou moins)

C'est pour un pote qui veut se reconvertir dans le domaine.
J'aurais pu le renseigner pour les formations internationales, mais pas pour les françaises

Merci d'avance.

 

Dsl, je réponds en retard, Les formations en cybsecurité, les écoles ne sont pas légion, epita/paris-tech

http://www.dimension-ingenieur.com/cybersecurite-cyberdefense-ecoles-d-ingenieurs/703