Armées, virus et piratage: Actu & Infos.

[artyparis]

Ai decouvert recemment que Thales fornissait des tel cryptes a nos gouvernants.
M en doutais, mais je n avais aucune info sur le sujet.

Cf Theroem ds Google

[g4lly]

Ai decouvert recemment que Thales fornissait des tel cryptes a nos gouvernants.
M en doutais, mais je n avais aucune info sur le sujet.

Cf Theroem ds Google

Y a la news juste au dessu http://www.air-defense.net/forum/index.php?topic=7219.msg558199#msg558199

[Rob1]

Un particulier peut acheter un portable crypté ?

Faut voir ce qui est crypté. Je ne serais pas étonné que le réseau GSM crypte les conversations tél, pour éviter que n'importe quel gugusse avec un scanner radio ne puisse les entendre.

Après, il y a différents niveaux de sécurité. BlackBerry crypte les messages de ses clients professionnels par un système qui empêche les intermédiaires (les opérateurs des réseaux téléphoniques) d'en lire le contenu. Tous les messages passent systématiquement par les serveurs de l'entreprise (RIM - Research in Motion) et sont cryptés du smartphone au serveur. RIM étant établie au Canada, elle n'a pas à obéir aux demandes d'écoutes d'Etats étrangers... pas mal ont ralé d'ailleurs. Enfin, c'est relatif, car face aux menaces d'interdiction de BlackBerry dans certains pays, il a fallu trouver des accords.

Enfin bon, on trouvera toujours une faille, BlackBerry utilise le DES, qui certains traitent par principe en pestiféré.

[g4lly]

Faut voir ce qui est crypté. Je ne serais pas étonné que le réseau GSM crypte les conversations tél, pour éviter que n'importe quel gugusse avec un scanner radio ne puisse les entendre.

La norme GSM permet un cryptage assez fort, mais il a été volontairement dégradé a 54bit pour rendre la vie plus facile ou opérateur. Résultat il est assez facile d'intercepter et de décoder les communication GSM.

Après, il y a différents niveaux de sécurité. BlackBerry crypte les messages de ses clients professionnels par un système qui empêche les intermédiaires (les opérateurs des réseaux téléphoniques) d'en lire le contenu. Tous les messages passent systématiquement par les serveurs de l'entreprise (RIM - Research in Motion) et sont cryptés du smartphone au serveur. RIM étant établie au Canada, elle n'a pas à obéir aux demandes d'écoutes d'Etats étrangers... pas mal ont ralé d'ailleurs. Enfin, c'est relatif, car face aux menaces d'interdiction de BlackBerry dans certains pays, il a fallu trouver des accords.

C'est l'équivalent des cryptages des flux de donnée type IPsec et autres, cela peu s'implémenter sur n'importe quel GSM acceptant le traffic donnée. Mais chez RIM cela ne s'applique qu'au traffic texte, pas a la phonie. Les solution Voice over IP crypté sont bien plus intéressante pour cela, suffit d'installer sur un GSM standard le dialer qui va bien

Enfin bon, on trouvera toujours une faille, BlackBerry utilise le DES, qui certains traitent par principe en pestiféré.

Le petit souci comme tu le dit c'est que RIM doit composer avec les service de renseignement qui veulent installer leur sniffer directement sur leurs serveurs

[DAR]

Espionnage informatique: Les Etats-Unis accusent directement Chine et Russie

Mis à jour le 03.11.11 à 22h10

La Chine et la Russie s'en prennent via les réseaux informatiques aux secrets des Etats-Unis dans les domaines commercial, technologique et militaire, selon un rapport au ton inhabituellement accusateur rendu public ce jeudi par l'administration Obama.

Les Chinois «sont les acteurs les plus actifs et les plus constants dans le domaine de l'espionnage économique», écrit l'Exécutif national du contre-espionnage dans ce rapport remis au Congrès sous le titre «Vol de secrets économiques dans le cyber-espace par des espions étrangers».

«Des entreprises privées et des spécialistes de la sécurité informatique ont fait état d'une flambée d'intrusions dans les réseaux informatiques en provenance de Chine, mais (les services de renseignement américains) ne peuvent confirmer qui en est responsable», écrit le rapport.

De leur côté, les services de renseignement russes cherchent à obtenir «des informations économiques et technologiques afin de soutenir le développement de la Russie et sa sécurité», selon le rapport, qui rompt avec l'habitude des services de renseignement américain d'éviter les accusations directes envers des pays étrangers.

Mais le directeur de l'Office national du contre-espionnage, Robert Bryant, a dit vouloir ainsi que les autorités américaines réagissent en apportant «des solutions».

Selon le rapport, les "cyber-espions" s'intéressent particulièrement aux technologies de l'information et de la communication, aux secrets commerciaux, médicaux ou pharmaceutiques, et aux technologies militaires, notamment en ce qui concerne les drones et les communications navales.

[collectionneur]

La preuve par les faits : Le mois dernier, le site internet de supporters du club de rugby français de l'US Dax a été victime de pirates informatiques allemands qui l'ont vraisemblablement confondu avec une émanation du DAX, l'indice de la bourse de Francfort.

Des hackers prennent un club de rugby pour un indice boursier  

http://fr.reuters.com/article/oddlyEnoughNews/idFRPAE7A30D120111104

[Kiriyama]

Un centre de contrôle de drones avait déjà été piraté.

[g4lly]

http://bugbrother.blog.lemonde.fr/2011/11/10/plus-de-fichiers-plus-de-fuites/

Plus de fichiers = plus de fuites

Le communiqué de presse de ceux qui se présentent comme les auteurs de "DoX-UMP", la publication des adresses e-mail et n° de téléphone portables, entre autres données personnelles, de plus d'un millier de cadres et d'élus UMP, fait référence à plusieurs de mes articles, et pose des questions qui méritent d'être débattues :

    Alors pourquoi avoir publié ces données ?
    Nous avons simplement profité de cette occasion pour mettre l’UMP en face de ses contradictions, situation tellement ironique…
    Plus de fichiers = Plus de fuites.
    Et plus les fichiers sont « tendancieux », plus le risque de fuite sera grand.

    * Il y a quelques mois une loi a été votée autorisant le « fichage de 45 millions de personnes honnêtes », lorsque 566 des 577 députés étaient ABSENTS !
    * Il y a quelques jours, Israel s’est « rendu compte » que les données privées de 9 millions de ses citoyens circulaient sur internet.
    Plus de fichiers = Plus de fuites.

De fait, la semaine passée, et au moment même où le Sénat votait le fichage de 60 millions de "gens honnête" (sic), pour reprendre l'expression des parlementaires UMP qui se sont penchés sur la question, je découvrais que la base de données du fichier de la population de 9 millions d'Israéliens (morts et vivants) avait ainsi fuité sur le Net, par l'entremise d'un employé malveillant.

Qui est « irresponsable » ? Qu’est ce qui est « grave » ?

Ce genre de fuite de données personnelles n'a en soi rien que de très exceptionnel : il n'existe pas de sécurité informatique efficace à 100%, et dès lors qu'un fichier a été constitué, il est susceptible de "fuiter", soit parce qu'un "insider" (qui dispose d'un accès direct, in situ, au fichier), décide de le copier sur son propre disque dur ou un clef USB afin de le faire fuiter, soit parce qu'un individu parvient à y accéder à distance (parce que le serveur d'origine, ou que l'une des copies de ce fichier, sur le disque dur d'un tiers qui l'aurait copié, n'a pas été correctement protégé).

La base de données de datalossdb.org, la principale base de données de ce genre de "fuite de données" fourmille ainsi de fuites de centaines de milliers de données personnelles de clients de tel ou tel marchand en ligne ou administration, hopitaux, services publics, banques, etc.

Les auteurs du "DoX UMP" expliquent ainsi n'avoir attaqué, ni même visé, "aucun site institutionnel" : la faille a été trouvée via une requête Google, ce qu'on appelle un "google dork", ou du "google hacking", à savoir l'utilisation du moteur de recherche pour identifier les problèmes ou failles de sécurité présentes sur les sites web indexés par Google.

En l'espèce, les auteurs de la fuite ont identifié une brèche sur les serveurs d'une société d'hébergement & création de sites internet privée, mes-conseils.fr, qui leur ont donné accès à une treintaine de sites personnels de personalités de l'UMP, et plus de 160 bases de données, "dont la plupart étaient directement liées avec l'UMP", où ils ont trouvé des centaine voire des milliers d'emails, ainsi que "les identifiants confidentiels de ces députés pour se connecter à des extra/intranets (et) certains identifiants confidentiels permettant de se connecter au portail privé de l'assemblée-nationale".

En réponse à ceux qui les qualifient d'"irresponsables", telle Muriel Marland-Militello, la députée UMP qui a qualifié cette fuite d'"atteinte à la Nation" perpétrée par des "cyber-voyous", DoX-UMP tient à rappeler que :

    Qui est « irresponsable » ? Qu’est ce qui est « grave » ?
    - Ce webmaster qui laisse quasi-ouvert son serveur MySql, qui utilise le même mot de passe PARTOUT, et qui semble très peu regardant quand à la sécurité des données qu’il hébèrge ? (...)

    A ceux qui nous qualifient de « cyber-idéalistes attaquant la nation », nous tenons à dire que :

    - Nous n’avons publié aucun mot de passe permettant d’accéder aux sites institutionnels, malgré leur présence dans la base de données. (...)
    - Nous n’avons pas publié la faille en question, ce qui aurait permis à n’importe qui de s’emparer de toutes ces données.

    La gravité de notre piratage et des données rendues publiques, quelques sms, est quelques peu désuette quand on se pose les questions suivantes :
    * Que se serait-il passé si ce piratage était l’oeuvre d’un pays étranger, pas forcément très amical, qui aurait pu ainsi envoyer/recevoir des mails avec l’adresse officielle de membres du gouvernement ?
    * Que se serait-il passé si ce piratage avait mené à un piratage de tout le site du groupe UMP ou du site l’assemblée nationale et compromettant surement des données réellement sensibles ?

La France, patrie des droits de l'homme, de la vie privée, et...

Je ne peux que souscrire aux cris d'orfraie de ceux qui, à l'UMP, crient aujourd'hui à l'insécurité et au viol de la loi informatique et libertés : cela fait maintenant des années que les défenseurs des libertés sur le Net -dont je suis- tirent la sonnette d'alarme pour ce qui est du fichage des données personnelles sensibles (politiques, religieuses, sexuelles, policières -notamment) des citoyens, dès lors que, en démocratie, nous sommes "présumés innocents", et qu'il serait donc dangereux de pouvoir nous ficher en fonction d'un point de vue politique, religieux, sexuel, ou policier (notamment).

Mais je ne peux également que souscrire aux motivations affichées des auteurs de "DoX-UMP", parce que ce qu'ils ont fait est bien moins grave et irresponsable que le vote, par une dizaine de députés, du fichage généralisé des "gens honnêtes", et ce afin de subventionner les industriels français qui sont, de fait, les leaders mondiaux des empreintes digitales... quand bien même la proposition de loi est contraire à l'interprétation que se fait le Conseil d'État, la CNIL et la Cour européenne des droits de l'homme de la protection des libertés fondamentales (voir A qui profite le fichier des « gens honnêtes » ?).

La France fut non seulement le pays de la déclaration des droits de l'homme, mais également le premier pays à s'être doté d'une loi type informatique et libertés, et d'une autorité indépendante, la CNIL, créées, précisément, pour protéger les citoyens du fichage généralisé de la population au profit du ministère de l'Intérieur (voir Safari et la chasse aux Français).

Or, la France est aussi devenue la championne d'Europe de la surveillance des télécommunications, depuis que le FBI, le PS et Christian Estrosi ont mis le Net sous surveillance, dans la foulée des attentats du 11 septembre 2001.

Et depuis son arrivée Place Beauvau, au ministère de l'Intérieur, en 2002, Nicolas Sarkozy a fait adopter 42 lois sécuritaires, et créé 44 fichiers policiers, et donc autant de "failles ou fuites" potentielles...

Or, et dans le même temps, l'Elysée a aussi enterré, en grande pompe, la proposition de loi visant à encadrer les fichiers policiers, mais également tenté de décapiter la CNIL, sans oublier les velléités répétées du gouvernement de croiser les fichiers sociaux (voir La République des fiches)...

Dans le même temps, le policier qui, parce qu'il refusait de violer la loi pour satisfaire la culture du chiffre et de la peur du ministère de l'intérieur (voir Peut-on obliger les policiers à violer la loi ?), avait dénoncé les problèmes posés par les fichiers policiers, risque aujourd'hui d'être exclu à vie de la police nationale... (voir Un policier fait trembler l’Intérieur).

Je ne souscris ni ne cautionne ce qu'a fait "DoX-UMP, parce que ce n'est pas en faisant fuiter plus de données personnelles que l'on combattra cette surenchère sécuritaire du fichage. Par contre, je suis plutôt d'accord avec eux lorsqu'ils nous demandent :

    Qui est « irresponsable » ? Qu’est ce qui est « grave » ?

Voir, à ce titre, l'enquête que j'avais consacrée à ce lobby, sur OWNI :

    Fichons bien, fichons français
    Morpho, n°1 mondial de l'empreinte digitale.

Voir aussi :
Un fichier de 45M de « gens honnêtes »
Internet & données personnelles: tous fichés ?
Peut-on obliger les policiers à violer la loi ?
10 ans après, à quoi ont servi les lois antiterroristes ?
Amesys/Bull: un parfum d’affaire d’État

[alexandreVBCI]

A la rencontre d'une hackeuse chinoise.

Elle fait partie de l’un des groupes de hackers les plus actifs de Chine: le China Girl Security Team. Comme elle, ils seraient 250.000 à 300.000 à pratiquer du «hacking rouge», à forte teneur nationaliste et anti-occidentale.

L'article :
http://www.slate.fr/story/46737/hacker-chinois

intéressant à lire ! 

[kotai]

J'aimerais bien savoir s'ils ont réussies à pénétrer le NORAD ou le réseau échelon...... Car avec un tel chiffre, ce serais du gâteau.....

[Kiriyama]

En tout cas c'es marrant, ils détestent l'Occident mais font leurs courses "chez nous."

[Rob1]

C'est un grand classique que de trouver des personnes cordialement anti-américaines mais qui n'hésiteraient pas une seconde à aller au pays du rêve si elles trouvaient une green card dans une pochette-surprise.

[seb24]

J'aimerais bien savoir s'ils ont réussies à pénétrer le NORAD ou le réseau échelon...... Car avec un tel chiffre, ce serais du gâteau.....

Oui enfin c'est une chose hacker ou bloquer un site web, et c'est autre chose s'infiltrer sur un réseau sécurisé de l'armée.
Il faut pas confondre.

[Rob1]

Surtout qu'il n'y a pas de raison qu'une même plate-forme d'Echelon ou du NORAD ait à la foi accès à leurs réseaux sensibles et à Internet.

[kotai]

Surtout qu'il n'y a pas de raison qu'une même plate-forme d'Echelon ou du NORAD ait à la foi accès à leurs réseaux sensibles et à Internet.

Echellon est le réseau internet, il y a bien des passerelles entre les deux.....

Le NORAD doit bien communiquer avec le monde extérieur donc toujours des passerelles.

Puis n'oublions pas que les systèmes militaires sont fait par des civils....

[Rob1]

Une source ou un argument, peut-être ?

Désolé de ce message peu amical mais là j'ai du mal avec tout ton post :
- Echelon est le réseau internet : ...lol
- il y a bien des passerelles entre les deux : lesquelles ?
- Le NORAD doit bien communiquer avec le monde extérieur : qu'est-ce qui oblige le NORAD à avoir un même PC connecté à la fois à des réseaux sensibles et à internet ?

[g4lly]

Une source ou un argument, peut-être ?

Désolé de ce message peu amical mais là j'ai du mal avec tout ton post :
- Echelon est le réseau internet : ...lol
- il y a bien des passerelles entre les deux : lesquelles ?
- Le NORAD doit bien communiquer avec le monde extérieur : qu'est-ce qui oblige le NORAD à avoir un même PC connecté à la fois à des réseaux sensibles et à internet ?

A priori le b-a-ba de la sécurisation de ce genre de réseau c'est l'isolation physique ET logique ...

Évidement on peut bricoler des ponts, pour les connecter volontairement a autre chose, mais en général ces pont sont tres soigneusement limité a juste le minimum du minimum de ce qu'il doivent faire.

On peut aussi bricoler des ponts pirates ... mais là normalement on a des moyens de détections et de contre-mesures.

[alexandreVBCI]

Armée : les Anonymous ont piraté le site SpecialForces.com

Des pirates appartenant au collectif affirment avoir dérobé il y a plusieurs mois de cela 14 000 mots de passe et 8 000 numéros de cartes bancaires sur les serveurs de SpecialForces, fournisseur de matériel militaire et de sécurité.

Les Anonymous font à nouveau parler d’eux en révélant le piratage du site SpecialForces.com. Cet équipementier fournit notamment du matériel aux forces armées et à la police, raison pour laquelle il a été ciblé par le collectif. 14 000 mots de passe et 8 000 numéros de cartes de crédit ont été dérobés il y a de cela plusieurs mois.

Pour preuve de leur action, les Anonymous ont posté sur l’un de leur compte Twitter un courriel rédigé par Special Forces daté du 15 décembre qui avertit ses clients de l’intrusion sur ses serveurs et leur conseille de surveiller les mouvements sur leur carte bancaire.

Nouvelle campagne de hacks baptisée "LulzXmas"

Ce piratage s’inscrit dans une nouvelle campagne de hacks baptisée "LulzXmas" au cours de laquelle les Anonymous se sont attaqués à Stratfor Global Intelligence, une société américaine spécialisée dans les questions de sécurité et d’intelligence économique.

L’intrusion s’est déroulée pendant le weekend de Noel et a permis aux pirates de voler un fichier de 53 000 adresses email, numéros de carte bancaire et autres informations personnelles. L’opération LulzXmas doit durer une semaine durant les fêtes de fin d’année et viser des sites liés à la finance, aux gouvernements ou aux affaires militaires. (Eureka Presse)

[Berezech]

Je relance le topic pour commenter ce qui est en train de se passer cette nuit sur le net où vient de débuter une véritable cyber-bataille entre gouvernement US et hackers.

Pour rappeler quelques faits et en essayant de ne pas faire de propagande pour les uns ou les autres :

Le FBI a fermé le 19 janvier 18 sites internets, notamment les plateformes de partage Megaupload et Megavidéos.

http://www.lemonde.fr/technologies/article/2012/01/19/la-justice-americaine-ferme-le-site-de-telechargement-megaupload_1632197_651865.html#ens_id=1280818

Dans la foulée à 23 heures (heure française) le collectif de hacker Anonymous a lancé une série d'attaque Ddos (attaques par dénis de service, c'est à dire envoyer des quantités astronomiques de requêtes à un serveur pour qu'il se coupe) contre plusieurs dizaines de sites, coupant en 20 minutes environ les gros sites de plusieurs départements ou services du gouvernement américain, les sites des grands labels musicaux, les associations représentant les intérêts de l'industrie culturel etc ...

Le site de la HADOPI en France a été un des premiers à tomber et est HS à l'heure où j'écris ce post.

On peut suivre en direct les attaques de Anonymous via leur twitter.
Je ne donnerai pas le lien ici car ils postent des liens qui, si vous les cliquez, vous font participer aux attaques DDOS qui sont clairement illégales, et ce sans vous demander votre avis. Contrairement aux précédentes attaques de Anonymous votre consentement n'est pas clairement sollicité en suivant les liens parfois trompeurs postés à travers les réseaux sociaux.

Décrit en anglais ici :
http://gawker.com/5877707/the-evil-new-tactic-behind-anonymous-massive-megaupload-revenge-attack


Voilà, à vos infos et commentaires !

[g4lly]

Pendant longtemps les pouvoir publique, avaient un controle absolu sur internet, via les fournisseurs d'acces passage obligé vers le réseau.

Plus les utilisateur s'équipe de moyen wifi et autre communication local sans fil, plus ils vont pouvoir tisser le propre réseau, point point, sans recours au fournisseur d’accès. En gros a force de casser les couilles aux utilisateurs ceux ci risque bien a court terme de développer un réseau parallèle autonome, basé sur leur propre infrastructure, a l'échelle d'une ville par exemple c'est assez facile.

Amusez vous http://www.tv5.org/TV5Site/cinema/afp_article.php?rub=cinema&idArticle=120120001057.hvrtm0c3.xml

Il y a un volet Hadopi 3 en marche parce qu'il y a plein de trou trou juridique dans Hadopi 2.

[Drakene]

Rhaaaaa les putes !!!

Comment vont faire les gens qui ont payé pour héberger des fichiers 

C'est un truc de dingue alloshowtv est mort aussi 
Plus jamais j’achète un CD un DVD ou autre merde qui sort des majors, même pour un cadeau, plutôt crever
'Tain d'monde pourri par la tune, j’espère que ce n'est que passager cette charge contre nos sites favoris et que l'on vas pouvoir continuer à aller sur internet en paix sans que les industrielles pourrissent le dernière espace de liberté qui nous reste...

[g4lly]

Visiblement ça a foutu un gros bordel sur pas mal de serveur hébergé aux USA ...

[Berezech]

Comment vont faire les gens qui ont payé pour héberger des fichiers

Tout est perdu. Y compris le trafic légal.

Il y a un volet Hadopi 3 en marche parce qu'il y a plein de trou trou juridique dans Hadopi 2.

Quand tu penses que la Hadopi a cessé juridiquement d'exister entre le 24 décembre et le 6 janvier pour diverses causes débiles  

[collectionneur]

J'aurait du me servir plus de Mégavidéo quand il était en fonction  

J'espère que ceux qui avaient des fichiers ''légaux'' pourront les récupérer après que cette affaire soit passer aux tribunaux.

Les ''serveurs'' sont basé ou au juste ? Sont ils sous le contrôle physique des autorités ?

[g4lly]

J'aurait me servir plus de Mégavidéo quand il était en fonction  
J'espère que ceux qui avaient des fichiers ''légaux'' pourront les récupérer après que cette affaire passe aux tribunaux.
Les ''serveurs'' dont basé ou au juste ? Sont ils sous le contrôle physique des autorités.

Les machines sont en Virginie, ils sont sous le contrôle de l'hébergeur en gros du data-center ou d'un des intermédiaire qui les loue. Une descente de police ou même une simple injonction, et hop les serveur sont débranché, pareil pour les DNS il suffit de demander a l'autorité qui gere le domaine, de toute façon quasiment tout internet se gere techniquement depuis les USA. Je doute que les utilisateurs puissent récupérer quoique ce soit. La société megaupload est Hong-kongaise, les dirigeants ont été arrêté en Nouvelle-Zélande.

[collectionneur]

Merci de ta réponse. Je pensait que les serveurs étaient dans des pays tels les fameux paradis fiscaux.

[Rob1]

Encore une réaction "old school" des autorités et des majors qui ne pensent pas à l'effet en retour : privées de Megaupload, une partie des gens vont se tourner vers des solutions plus sophistiquées et donc plus difficiles à contrer. En outre, ce trou soudain dans les hébergeurs ouvre la place à d'autres : le premier qui arrive en proposant les mêmes avantages que Megaupload, mais établi dans un "paradis informatique" (comprendre l'équivalent d'un paradis fiscal), a de bonnes chances de devenir le nouveau leader.

[clem200]

Les gens ne vont pas porter plainte ? Des dizaines de milliers de personnes ont perdu des fichiers dans l'affaire. Un recours en justice n'est pas envisageable ? Ça mettrait une pagaille monstre ...

[Drakene]

Je pense que beaucoup de monde se sent touché dans sa vie privé et sa liberté sur le net après cette fermeture soudaine 

http://rezonances.blog.lemonde.fr/2012/01/20/megaupload-desespoir-toutes-mes-series-sont-parties-en-fumee/#xtor=RSS-3208


C'est une attaque des USA contre le monde entier, MU étant un des sites les plus visité du monde, beaucoup de personne se sentent visées, il suffit de voir les réaction partout dans le monde 


C'est quand même là que l'on se rend compte que notre liberté sur le net ne tient pas à grand chose 

[Shorr kan]

Je pense que beaucoup de monde se sent touché dans sa vie privé et sa liberté sur le net après cette fermeture soudaine 

...

A qui le dis-tu…

...

C'est une attaque des USA contre le monde entier,...
...

Et surtout contre moi    


Maintenant que je me relis

Euh…est-ce qu’on peut porter plainte ,…euh, m’arrêter pour ce qui ressemble à s’y m’éprendre à un aveu ...


( Oui, je fais ça rien que pour mettre pleins se smiley partout, NA!! )