background preloader

2015

Facebook Twitter

Les clients d'Hacking Team vont adorer ! Un autre truc amusant avec le leak Hacking Team, c'est cette procédure à suivre en cas de crise.

Les clients d'Hacking Team vont adorer !

Eh oui, Hacking Team avait prévu un scénario catastrophe en cas de fuite. Scénario qu'ils n'ont semble-t-il pas appliqué suite au hack puisque c'est l'ensemble de leurs documents qui ont été dérobés et pas juste un petit bout d'info par ci ou par là. On y apprend donc qu'ils surveillent en permanence le service VirusTotal au cas où une de leur merde serait détectée et qu'au cas où cela arriverait, il leur suffirait de publier une alerte 0day, de contacter les médias et d'envoyer les échantillons à VirusTotal, pour se la jouer chevalier blanc.

Mais ce qu'on peut lire aussi dans ce document, c'est que dans chaque version de RCS distribuée à leurs clients, il y a un watermark (marqueur unique) et une backdoor secrète qui leur permet de garder la main. Ainsi, il peuvent identifier qui utilise leur logiciel et qui est ciblé avec. Ça va faire mal au service après vente ;-))) Source. Hacking Team piraté - 400 GB de données dans la nature.

Mise au même rang que Blue Coat, Amesys, Gamma International et Trovicor, la société italienne Hacking Team a été classé comme ennemi d'Internet.

Hacking Team piraté - 400 GB de données dans la nature

Ces derniers vendent à leurs clients une solution de surveillance à distance baptisée Remote Control Systems (RCS) incluant les outils DaVinci et Galileo qui permettent, en autres, de collecter des infos sensibles (emails, historiques d'appels, carnet d'adresses..etc.), les touches tapées au clavier (keylog), de prendre des captures-écran, récupérer l'historique des recherches web, suivre le GPS du téléphone, enregistrer l'audio des appels téléphoniques, activer la caméra du téléphone ou de l'ordinateur, activer le micro de l'ordinateur ou du téléphone pour enregistrer les bruits ambiants ou les conversations...etc etc.

Bref, un beau joujou pour les gouvernements. Seulement, voilà... Le fisc rechigne à révéler le code source de ses logiciels. En mars dernier, la Commission d’accès aux documents administratifs (CADA) estimait que le code source du logiciel servant au calcul de l’impôt sur le revenu était communicable aux citoyens.

Le fisc rechigne à révéler le code source de ses logiciels

Sacrée nouvelle ! Cependant, trois mois plus tard, cette libération a visiblement beaucoup de mal à percer les murs épais de Bercy. La CADA est une autorité bien utile pour avoir connaissance des documents jalousement détenus par les administrations publiques. Psiphon - Un outil pour contourner la censure. Je vous ai parlé il y a quelques années d'un outil baptisé Psiphon, développé par Citizen Lab et qui fonctionne un peu comme TOR, permettant aux personnes dont l'Internet est censuré, d’accéder librement à tous les types de contenu en passant par des connexions tiers.

Psiphon - Un outil pour contourner la censure

Et bien depuis 2013, Psiphon a bien évolué et est maintenant disponible sous Android et Windows. Il s'agit d'un logiciel canadien, libre sur sa partie cliente et propriétaire sur sa partie serveur/service. Il peut fonctionner sous un mode classique de VPN, mais vous pouvez aussi l'utiliser comme Proxy HTTP / SOCKS, ce qui permet de faire passer uniquement certains softs via Psiphon et pas tout votre surf. C'est gratuit et pour l'avoir testé un petit peu, ça fonctionne très bien, même si l'interface est hideuse au possible :-) Par contre, si tout est chiffré, il n'est pas présenté comme un outil anonymisant comme ce que peut proposer Tor. Voici d'ailleurs les données qu'ils collectent : Affaire Bluetouff : faisez gaffe à les procureurs bourrés. Les intertubes, vu par la Justice et l’État, cela a quelque chose de magique qui peut vous conduire droit en prison même si vous n’avez rien fait d’illégal.

Affaire Bluetouff : faisez gaffe à les procureurs bourrés

J’en parlais il y a un peu plus d’un an : si, en utilisant un moteur de recherche public, pour accéder à des documents publics, sur un site public, vous téléchargez ces documents et qu’il s’avère, plus tard, qu’ils sont un brin confidentiel et qu’ils ont été rendus publics par erreur, le blâme sera pour vous. Eh oui, « fallait pas gogueuler, mon brave !

». Oui, je sais, dit comme ça, cela paraît un tantinet ubuesque, et on comprendra à demi-mot que j’ai encore joué d’exagération ou de raccourci. Il n’en est rien. Cette mésaventure est arrivé à un blogueur, Bluetouff, qui est tombé en août 2012 de façon banale sur un répertoire de l’extranet de l’Agence nationale de sécurité sanitaire des aliments pour les humains et les animaux (l’ANSES) contenant plusieurs milliers de fichiers sur un serveur non sécurisé par erreur. Tout va bien. How the “Great SIM Heist” could have been avoided. You may very well have read about the latest leak supposedly sourced from the secret data stolen by whistleblower Edward Snowden.

How the “Great SIM Heist” could have been avoided

The three-bullet version tells approximately this story: Intelligence services managed to penetrate the network of a major SIM card manufacturer. They got hold of large amounts of cryptographic key material. They can therefore eavesdrop millions, perhaps even billions, of mobile devices. Say hello to net neutrality – FCC votes to “protect the open internet” The US Federal Communications Commission (FCC) has decided: it's bowed down to the 4 million voices who've joined in the net neutrality battle, ruling that broadband should be treated as a public utility, like water flowing from our taps or electricity to our lights, free of blocking, throttling or paid prioritization for those willing to pay more, and also thereby subject to greater government regulation.

Say hello to net neutrality – FCC votes to “protect the open internet”

As expected, the new regulations were passed on Thursday, with a vote of 3-2, with the Commission's two Democratic appointees joining Chairman Tom Wheeler in voting yes. The FCC's two Republican-appointed members both voted no. “PowerSpy” – can crooks really track you by the power your phone is using? You probably don't need reminding that emanations from your computer can provide hints about what's going on.

“PowerSpy” – can crooks really track you by the power your phone is using?

When you're logging on, you tend to type two short, fluent bursts of characters, because you know the key sequences really well. That's followed by a decisive-sounding whack on the [Return] key. Then comes a brief but perfect typing silence while you wait for logon scripts to run, windows to open, and so on. So you probably weren't surprised, at the end of 2013, when we wrote up an academic paper that suggested that even CPU instructions at modern gigahertz speeds might leave an audio fingerprint that a mobile phone microphone was sensitive enough to record.

And if you hear your laptop fan suddenly fire up when you're doing little more than some casual browsing, you know you probably left some Flash-heavy video-rending tab open somewhere. Power usage data considered harmful Here's another one. And that would be bad. NSA metadata collection is illegal, rules US court. Wikimedia joins forces with others to sue NSA, DOJ over surveillance. Police can imitate your drug dealer to text you from his phone.

The URLs you visit; the phone numbers you text or dial; the email addresses with which you correspond; the books, groceries and medications you buy online; and the communications required to set up heroin purchases from your dealer.

Police can imitate your drug dealer to text you from his phone

What do these things have in common? Fake Facebook account case settled with DEA who admits no wrongdoing. Liberté sur internet : le procès contre Ross Ulbricht a commencé. Par Nick Gillespie.Un article de Reason.com Le procès de Ross Ulbricht, qui gérait le site internet en web profond (NDT : site accessible en ligne mais non indexé par les moteurs de recherche classique) Silk Road selon les autorités fédérales, a commencé mardi 13 janvier après avoir été reporté à de multiples reprises.

Liberté sur internet : le procès contre Ross Ulbricht a commencé

Silk Road est particulièrement connu sur le web comme plateforme de vente et achat de drogues et permettant le paiement par bitcoin (À lire : l’article de Brian Doherty à ce sujet). Massive DEA license plate reader program tracks millions of Americans. The US Drug Enforcement Administration (DEA) has been building a massive national license plate reader (LPR) database over several years that it shares with federal and local authorities, with no clarity on whether the network is subject to court oversight. The program relies on hundreds of cameras that snap images of each vehicle that passes, recording license plate numbers, direction of travel and time.

Some cameras also snap a picture of the driver and passengers. The American Civil Liberties Union (ACLU) has obtained documents about the program through the Freedom of Information Act, but few details have emerged from those heavily redacted pages. The program was set up in 2008 and opened to other law enforcement agencies in May 2009. Wikileaks fait le choix de publier les informations volées lors du piratage de Sony Pictures.

La fin d'année dernière fut compliquée pour Sony avec le vol massif de données de Sony Pictures Entertainment (SPE), des pirates ayant réussi à dérober pas moins de 11To ! L'affaire a fait beaucoup de bruit et a coûté très cher à la société, ce qui permet d'ailleurs aujourd'hui aux acteurs de la sécurité de faire comprendre l'importance de leur travail. Les documents volés ont été publiés de manière brute en partie sur le net puis l'affaire est plus ou moins tombée aux oubliettes jusqu'à...aujourd'hui. Wikileaks en a décidé autrement et annonce dans un communiqué qu'elle a fait le tri dans les documents volés, afin d'en faire une base de données consultable aisément via un moteur de recherche.

C'est ainsi pas moins de 30 287 documents et 173 132 emails qui sont consultables.