Les clients d'Hacking Team vont adorer ! Un autre truc amusant avec le leak Hacking Team, c'est cette procédure à suivre en cas de crise. Eh oui, Hacking Team avait prévu un scénario catastrophe en cas de fuite. Scénario qu'ils n'ont semble-t-il pas appliqué suite au hack puisque c'est l'ensemble de leurs documents qui ont été dérobés et pas juste un petit bout d'info par ci ou par là. On y apprend donc qu'ils surveillent en permanence le service VirusTotal au cas où une de leur merde serait détectée et qu'au cas où cela arriverait, il leur suffirait de publier une alerte 0day, de contacter les médias et d'envoyer les échantillons à VirusTotal, pour se la jouer chevalier blanc.
Mais ce qu'on peut lire aussi dans ce document, c'est que dans chaque version de RCS distribuée à leurs clients, il y a un watermark (marqueur unique) et une backdoor secrète qui leur permet de garder la main. Ainsi, il peuvent identifier qui utilise leur logiciel et qui est ciblé avec. Ça va faire mal au service après vente ;-))) Source. Hacking Team piraté - 400 GB de données dans la nature. Mise au même rang que Blue Coat, Amesys, Gamma International et Trovicor, la société italienne Hacking Team a été classé comme ennemi d'Internet. Ces derniers vendent à leurs clients une solution de surveillance à distance baptisée Remote Control Systems (RCS) incluant les outils DaVinci et Galileo qui permettent, en autres, de collecter des infos sensibles (emails, historiques d'appels, carnet d'adresses..etc.), les touches tapées au clavier (keylog), de prendre des captures-écran, récupérer l'historique des recherches web, suivre le GPS du téléphone, enregistrer l'audio des appels téléphoniques, activer la caméra du téléphone ou de l'ordinateur, activer le micro de l'ordinateur ou du téléphone pour enregistrer les bruits ambiants ou les conversations...etc etc.
Bref, un beau joujou pour les gouvernements. Seulement, voilà... La société Hacking Team vient de se faire poutrer, se faisant dérober un peu moins de 400 Gb de données sensibles comme des contrats, des factures et de la doc. Le fisc rechigne à révéler le code source de ses logiciels. En mars dernier, la Commission d’accès aux documents administratifs (CADA) estimait que le code source du logiciel servant au calcul de l’impôt sur le revenu était communicable aux citoyens. Sacrée nouvelle ! Cependant, trois mois plus tard, cette libération a visiblement beaucoup de mal à percer les murs épais de Bercy. La CADA est une autorité bien utile pour avoir connaissance des documents jalousement détenus par les administrations publiques. Nous l'avions déjà testé, à chaque fois victorieusement, à l'égard de la Hadopi, de la CNIL ou encore du ministère de la Culture. Une saisie courant 2014 avait détonné : un chercheur a souhaité en effet avoir communication du code source du logiciel simulant le calcul de l’impôt sur les revenus des personnes physiques.
Surprise ! Cet avis presque historique n’était pas une première, comme nous avions pu le croire alors. Le feu vert de la CADA n’a pas pesé, pour l’instant Donner le code à Etalab, donner le code à tout le monde. Psiphon - Un outil pour contourner la censure. Je vous ai parlé il y a quelques années d'un outil baptisé Psiphon, développé par Citizen Lab et qui fonctionne un peu comme TOR, permettant aux personnes dont l'Internet est censuré, d’accéder librement à tous les types de contenu en passant par des connexions tiers. Et bien depuis 2013, Psiphon a bien évolué et est maintenant disponible sous Android et Windows. Il s'agit d'un logiciel canadien, libre sur sa partie cliente et propriétaire sur sa partie serveur/service.
Il peut fonctionner sous un mode classique de VPN, mais vous pouvez aussi l'utiliser comme Proxy HTTP / SOCKS, ce qui permet de faire passer uniquement certains softs via Psiphon et pas tout votre surf. C'est gratuit et pour l'avoir testé un petit peu, ça fonctionne très bien, même si l'interface est hideuse au possible :-) Par contre, si tout est chiffré, il n'est pas présenté comme un outil anonymisant comme ce que peut proposer Tor.
Voici d'ailleurs les données qu'ils collectent : Affaire Bluetouff : faisez gaffe à les procureurs bourrés. Les intertubes, vu par la Justice et l’État, cela a quelque chose de magique qui peut vous conduire droit en prison même si vous n’avez rien fait d’illégal. J’en parlais il y a un peu plus d’un an : si, en utilisant un moteur de recherche public, pour accéder à des documents publics, sur un site public, vous téléchargez ces documents et qu’il s’avère, plus tard, qu’ils sont un brin confidentiel et qu’ils ont été rendus publics par erreur, le blâme sera pour vous. Eh oui, « fallait pas gogueuler, mon brave ! ». Oui, je sais, dit comme ça, cela paraît un tantinet ubuesque, et on comprendra à demi-mot que j’ai encore joué d’exagération ou de raccourci. Il n’en est rien. Cette mésaventure est arrivé à un blogueur, Bluetouff, qui est tombé en août 2012 de façon banale sur un répertoire de l’extranet de l’Agence nationale de sécurité sanitaire des aliments pour les humains et les animaux (l’ANSES) contenant plusieurs milliers de fichiers sur un serveur non sécurisé par erreur.
Tout va bien. How the “Great SIM Heist” could have been avoided. You may very well have read about the latest leak supposedly sourced from the secret data stolen by whistleblower Edward Snowden. The three-bullet version tells approximately this story: Intelligence services managed to penetrate the network of a major SIM card manufacturer. They got hold of large amounts of cryptographic key material. They can therefore eavesdrop millions, perhaps even billions, of mobile devices. Actually, there's a subtle rider to the last item. Having copies of the keys in the story doesn't just let you listen in to present and future calls, but theoretically to decrypt old calls, too. Understandably, a lot of coverage of what The Intercept has boldly entitled "The Great SIM Heist" is focusing on issues such as the audacity of the intelligence services. There's also speculation about the possible financial cost to the SIM manufacturer connected with (though not implicated in) the breach.
But how? No SIM card was ever touched, physically or programmatically. How again? Why? Say hello to net neutrality – FCC votes to “protect the open internet” The US Federal Communications Commission (FCC) has decided: it's bowed down to the 4 million voices who've joined in the net neutrality battle, ruling that broadband should be treated as a public utility, like water flowing from our taps or electricity to our lights, free of blocking, throttling or paid prioritization for those willing to pay more, and also thereby subject to greater government regulation.
As expected, the new regulations were passed on Thursday, with a vote of 3-2, with the Commission's two Democratic appointees joining Chairman Tom Wheeler in voting yes. The FCC's two Republican-appointed members both voted no. These are the three new rules, from the FCC's release: Over the course of the last year, public interest in net neutrality has flooded the FCC. As the debate raged, many pegged Chairman Tom Wheeler as a yes-man for the telecommunications industry. Why did Wheeler surprise everybody? The internet is the most powerful and pervasive platform on the planet. “PowerSpy” – can crooks really track you by the power your phone is using? You probably don't need reminding that emanations from your computer can provide hints about what's going on. When you're logging on, you tend to type two short, fluent bursts of characters, because you know the key sequences really well. That's followed by a decisive-sounding whack on the [Return] key. Then comes a brief but perfect typing silence while you wait for logon scripts to run, windows to open, and so on.
So you probably weren't surprised, at the end of 2013, when we wrote up an academic paper that suggested that even CPU instructions at modern gigahertz speeds might leave an audio fingerprint that a mobile phone microphone was sensitive enough to record. And if you hear your laptop fan suddenly fire up when you're doing little more than some casual browsing, you know you probably left some Flash-heavy video-rending tab open somewhere.
Power usage data considered harmful Here's another one. And that would be bad. What happened? NSA metadata collection is illegal, rules US court. A US federal appeals court has ruled that the National Security Agency's (NSA's) bulk, warrantless collection of phone records is illegal. The unanimous decision from the three-judge panel of the Second US Circuit Court of Appeals in New York represents a major victory for opponents of the NSA and its surveillance activities and comes as Congress debates whether to extend or curb the soon-to-sunset legislation that underpins the data collection program. The appeal court's ruling undermines many of the legal theories employed by the US government to expand surveillance following the September 11 2001 terror attacks. While the judges did not rule on whether the NSA program violated privacy rights granted by the US Constitution, they did rule that the wording of the Patriot Act was not sufficient to justify the massive collection of data seen under the Bush and Obama administrations.
In their 97-page ruling the judges wrote: Image of NSA courtesy of Carsten Reisinger / Shutterstock.com. Wikimedia joins forces with others to sue NSA, DOJ over surveillance. The Wikimedia Foundation on Tuesday joined with other rights groups to file suit against the US National Security Agency's spying program - in particular, its large-scale search and seizure of internet communications, commonly referred to as upstream surveillance. The American Civil Liberties Union (ACLU) is representing the rights groups, which also include The National Association of Criminal Defense Lawyers, Human Rights Watch, Amnesty International USA, Pen American Center, Global Fund for Women, The Nation Magazine, The Rutherford Institute, and Washington Office on Latin America.
Wikimedia said in a post that the aim of the suit is to protect its users' privacy rights. Besides the NSA, the complaint also names the US Department of Justice (DOJ) and US Attorney General Eric Holder as defendants. When [those principles] are endangered, our mission is threatened. That includes emails, online chats and browsing histories of millions of individuals. Image of eye courtesy of Shutterstock.
Police can imitate your drug dealer to text you from his phone. The URLs you visit; the phone numbers you text or dial; the email addresses with which you correspond; the books, groceries and medications you buy online; and the communications required to set up heroin purchases from your dealer. What do these things have in common? US courts have failed to protect such data when it's found on your cell phone. In one such case, filed in June and covered recently by Forbes and by Ars Technica, Washington police seized the iPhone of a suspected drug dealer, Daniel Lee.
Detective Kevin Sawyer heard the sound of a text message coming in from Shawn Hinton, asking that Lee call him. Pretending to be Lee, the detective texted him back. Here's the conversation, from the court filing: [Hinton]: Hey whats up dogg can you call me i need to talk to you. [Sawyer]: Can't now. [Hinton]: I need to talk to you about business. [Sawyer]: I'm about to drop off my last. [Hinton]: Please save me a ball. Is it legal for police to do this with seized cell phones?
Fake Facebook account case settled with DEA who admits no wrongdoing. The Drug Enforcement Agency (DEA) has settled a case involving stealing a woman's identity, creating a Facebook profile with her photos, and using it to lure suspects. Court papers filed on Tuesday show that the DEA is paying Sondra Arquiett $134,000 (£89,000) in a compromise settlement in which the agency doesn't admit to doing anything wrong. Federal drug agents got their hands on Arquiett's phone when the New York woman was arrested in a 2010 drug bust.
She pleaded guilty in 2011 to a drug conspiracy charge and was sentenced the following year to time served plus a period of home confinement. She only found out about the fake Facebook page when a friend asked about photos she had supposedly posted, including ones in which she's posing on the hood of a BMW, one of her stripped down to her underwear, and another showing her underaged niece and nephew. The DEA used the fake account to not only accept friend requests on Arquiett's behalf but also to send a friend request to a known fugitive. Liberté sur internet : le procès contre Ross Ulbricht a commencé. Par Nick Gillespie.Un article de Reason.com Le procès de Ross Ulbricht, qui gérait le site internet en web profond (NDT : site accessible en ligne mais non indexé par les moteurs de recherche classique) Silk Road selon les autorités fédérales, a commencé mardi 13 janvier après avoir été reporté à de multiples reprises.
Silk Road est particulièrement connu sur le web comme plateforme de vente et achat de drogues et permettant le paiement par bitcoin (À lire : l’article de Brian Doherty à ce sujet). Le dossier contre Ulbricht, arrêté en 2013, soulève cependant d’importantes questions concernant la liberté sur Internet et les procédures officielles qui y sont liées. Lorsqu’ils ont coincé Ulbricht, les agents du FBI se sont bien assurés de faire savoir à tout le monde qu’il avait tenté d’engager des tueurs à gages afin de se débarrasser de vendeurs de drogues rivaux.
Pour citer Joe Biden, « C’est un putain d’énorme problème ». Massive DEA license plate reader program tracks millions of Americans. The US Drug Enforcement Administration (DEA) has been building a massive national license plate reader (LPR) database over several years that it shares with federal and local authorities, with no clarity on whether the network is subject to court oversight. The program relies on hundreds of cameras that snap images of each vehicle that passes, recording license plate numbers, direction of travel and time. Some cameras also snap a picture of the driver and passengers. The American Civil Liberties Union (ACLU) has obtained documents about the program through the Freedom of Information Act, but few details have emerged from those heavily redacted pages. The program was set up in 2008 and opened to other law enforcement agencies in May 2009. According to the ACLU's article this week, a 2010 email described the primary goal of the program as forfeiture: the controversial policing practice of seizing cash, cars and other valuables from motorists and others not yet charged with crimes.
Wikileaks fait le choix de publier les informations volées lors du piratage de Sony Pictures. La fin d'année dernière fut compliquée pour Sony avec le vol massif de données de Sony Pictures Entertainment (SPE), des pirates ayant réussi à dérober pas moins de 11To ! L'affaire a fait beaucoup de bruit et a coûté très cher à la société, ce qui permet d'ailleurs aujourd'hui aux acteurs de la sécurité de faire comprendre l'importance de leur travail. Les documents volés ont été publiés de manière brute en partie sur le net puis l'affaire est plus ou moins tombée aux oubliettes jusqu'à...aujourd'hui.
Wikileaks en a décidé autrement et annonce dans un communiqué qu'elle a fait le tri dans les documents volés, afin d'en faire une base de données consultable aisément via un moteur de recherche. C'est ainsi pas moins de 30 287 documents et 173 132 emails qui sont consultables. Bref on ne va pas vous faire un dessin, vous imaginez très bien quelle genre de boite est Sony vu le pognon qu'elle palpe, mais cela permet d'en avoir la confirmation écrite et réelle.