Recommended Posts

EDIT : Disclaimer.
Je ne fourni pas de lien.

Wikileaks est une organisation largement considérée comme un "pantin" russe.

Cad publiant à 99% des bribes d'information fréquemment vraies, mais soigneusement sélectionnées pour servir les intérêts russes (ou négatives pour les intérêts NSA/USA/ Occidentaux (par ordre de fréquence)).

A ce titre, je refuse de faire leur pub (pas de lien), et je fournis une analyse critique des points intéressants.



Attention, Wikileaks se met à livrer des code source complet des outils de la CIA

Avec Vault7, ils s'étaient limité volontairement à dévoiler les documents techniques (toutes les semaines, suffisant pour griller les techniques et outils, pas assez pour aider les créateurs de malware)

Ils ont commencé une autre série de dump Vault8 (hebdomadaire ?), où ils fournissent tout le nécessaire pour recréer les outils (code source des outil + l'environnement de compilation + exemples).
C'est autrement plus dangereux (mais ils annoncent ne pas publier de 0 day ou de trucs "trop" dangereux).

Bon point : le communiqué de presse est cette fois factuel, et à première vue, ne semble pas contenir, de spéculations non prouvées.
Bref, c'est pas Assange qui l'a écrit :tongue:

 

Ils commencent par un outil peu sexy, et effectivement, pas directement destructeur.
Par contre, il est très intéressant pour des malware d'espionnage (et keylogger, et exfiltration de données ... genre bancaires).

The Hive serait un proxy servant à faciliter l'extraction de donnée des malware d'espionnage CIA (dit "implant" dans leur jargon).
Il permet de camoufler les données à récupérer sous la forme de flux d'applications courantes ...
Dont des flux de télémétrie Kaspersky Antivirus (utile pour espionner en Russie et dans le monde vu la réputation de l'éditeur).

 

Le ‎12‎/‎10‎/‎2017 à 16:00, rogue0 a dit :

ça sent le sapin pour Kaspersky(...)
Je laisse le conditionnel, car on ne sait pas les conditions des tests (si c'était sur des PC gouvernementaux, les russes ont peut-être tout aspiré par principe ...)

https://www.wsj.com/articles/russian-hackers-scanned-networks-world-wide-for-secret-u-s-data-1507743874

 

Du coup, je soupçonne que l'outil a sans doute été choisi comme "réponse" aux accusations US contre Kaspersky.
Et RT et Sputnik en font la pub comme tel :

Révélation


En résumé, leur argumentation serait:
"Voyez, les US ont les outils pour se faire passer pour Kaspersky.
Donc les accusations US d'espionnage sont un coup monté / false flag"
.
Ca ne prêchera qu'aux convertis du conspirationisme ...


Chacun garde son opinion, mais du point de vue sécurité nationale, c'est fortement déconseillé d'utiliser des antivirus / firewall contrôlés par des gouvernements "ennemis". (Et encore, avec les MAJ vérolées, ce n'est même pas une garantie à 100%)
Chose que les russes applique avec leurs propres antivirus :dry:


En revanche, je ne pense pas que cette release soit destinée comme une distraction pour les déboires de Trump / Moore (cf criailleries 2).
Pour de nombreuses raisons : trop technique, pas assez sexy, timing, temps de préparation nécessaire, etc.

Modifié par rogue0
rajout du disclaimer Wikileaks
  • Upvote (+1) 1

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 9 heures, collectionneur a dit :

Résumé de la profonde crise de confiance que connaît les employés de la NSA avec les fuites a répétitions et le vol de leurs techniques. L'agence tourne au ralenti et l'on passe au détecteur de mensonge le personnel :

https://mobile.nytimes.com/2017/11/12/us/nsa-shadow-brokers.html

Plusieurs détails importants:

  • l'article confirme plusieurs détails importants sur la série de fuites depuis 15 mois:
     
    • la chasse aux "traîtres" / fuites n'a toujours pas permis d'identifier la source Shadow Brokers 
      (les 3 fuiteurs connus n'ont pas de contact connu avec les SR Russes (sauf indirectement, celui qui s'est fait pomper son PC via Kaspersky) )
       
    • Le contenu des fuites couvre un périmètre très large (outils de hacking + doc + détails des ops passées + contenu de piratages passés) : soit il y a encore plusieurs "traîtres" non identifiés, soit il y a eu pénétration systématique (et non détectable) de plusieurs serveurs de la NSA.
       
    • Jake Williams, le hacker US trollé par les Shadow Brokers a confirmé être un ex membre de la NSA, département TAO (hackers : photo en couverture de l'article).
      Et les Shadow Brokers l'ont trollé avec les détails d'opérations auxquels il a participé.
      Et il n'a eu aucun support / contact de la NSA depuis la révélation de ses activités ...
      Il est assez amer.
       
    • EDIT:
      Tous les outils d'attaque compromis par les Shadow Brokers et les fuites Vault7 de Wikileaks doivent être abandonnés et reconstruits en partant de zéro.
      Des années de travail en perspective (alors que la fuite n'est pas identifiée), et pendant ce temps, les USA ont perdu beaucoup de sources de renseignements (sans parler de celles grillées par les gaffes de POTUS ...)
       
    • EDIT2: j'avais loupé ça : Stuxnet : nom de code de l'opération : "Olympic Games" ou "Nitros Zeus"
       
  • Chasse aux sorcières, plein d'opérations gelées, moral en berne.
    Du coup, il y a des départs en série vers le secteur privé, où les ex-NSA peuvent gagner nettement plus.
    Et la NSA perd du capital humain.
     
  • A rapprocher avec la mystérieuse perte de toutes les sources chinoises de la CIA/FBI pendant plusieurs années : fuite ? traître ?
    Toujours non résolue
Modifié par rogue0
  • Merci (+1) 1
  • Upvote (+1) 2

Partager ce message


Lien à poster
Partager sur d’autres sites

Cybersécurité:

Ciaran Martin, chef du Centre national de cyber sécurité (NCSC) (Mr Cybersécurité UK) confirme une vague d'attaques informatiques russes ciblant les firmes UK et Irlandaises, particulièrement dans le domaine de l'énergie (réseau électrique), Média, et Télécoms.

Pas de scoop (ça a déjà été révélé cette année), mais coordonné avec le discours du Premier Ministre May, ça souligne que c'est pris au sérieux.
(il ne parle pas de contre mesure tiens...)

Partager ce message


Lien à poster
Partager sur d’autres sites

Ce matin, des news cyber 100% française, pour changer un peu.
(reprises de nextinpact, assez en pointe sur le sujet, et pas trop "extrémiste" dessus) 

 

 

Révélation

l’occasion d’une conférence organisée par le Grenoble Alpes Data Institute, le président de la Commission nationale de contrôle des techniques du renseignement a indiqué que le dispositif des boites noires était activé depuis début octobre.

« Le contrôle du renseignement : comment concilier surveillance et respect des droits de l’homme ? ». C’est lors de cette conférence à l’intitulé alléchant, que Francis Delon, tête de la CNCTR, a révélé qu'une boite noire était activée  « depuis plus d’un mois ».

C’est peu de le dire, l’article 851-3 du Code de la sécurité intérieure est celui qui a suscité le plus de questionnements, et de critiques, en particulier de flirter avec la surveillance de masse. L’expression malheureuse de « boites noires » avait d’ailleurs alimenté elle-même ces reproches. Elle avait pourtant été utilisée en toute bonne foi par un conseiller du premier ministre lors d’un échange avec la presse à laquelle nous participions, et ce peu avant le dépôt du projet de loi Renseignement.

Un spectre de données très généreux

Inspiré des systèmes embarqués dans les avions, ce conseiller voulait surtout signaler que les traitements du renseignement seraient inaccessibles aux intermédiaires chez qui elles sont installées. Un faux pas marketing qui a marqué le texte au fer rouge.

Il faut dire que le législateur s’est montré extrêmement généreux. Ce mécanisme autorise les services du renseignement à aspirer un volume par avance non défini de données de connexion (les « informations et documents ») auprès de n’importe quel intermédiaire en ligne (hébergeurs, FAI, opérateurs, services en ligne…).

Les métadonnées glanées viennent alors nourrir l’estomac d’algorithmes classés secret-défense avec l’espoir de détecter « des connexions susceptibles de révéler une menace terroriste ». En clair, de l’écrémage à partir d’un océan de big data : on aspire une masse de données personnelles dans le sillage des internautes, pour espérer déceler une menace.   

Si une telle menace est détectée, ce qui ne serait pas encore le cas, la CNCTR doit être saisie toujours pour avis simple par le premier ministre, avant que ne soient relevée l'identité de la ou des personnes concernées et le recueil des données y afférentes. Ces données sont ensuite exploitées sur une période de 60 jours, « sauf en cas d'éléments sérieux confirmant l'existence d'une menace terroriste attachée à une ou plusieurs des personnes concernées  », poursuit l'article L851-3 du CSI.

Le gouvernement a dû revoir sa copie 

De l’aveu de Francis Delon, la CNCTR a été saisie avant l’été par Edouard Philippe, « un "travail de plusieurs mois" qui a nécessité de demander "au gouvernement de revoir sa copie" » relèvent notamment nos confrères de Libération. 

La CNCTR est en effet compétente pour ausculter a priori sur la demande d’autorisation initiale prise par le premier ministre. Elle émet alors un avis (simple) tout en disposant « d’un accès permanent, complet et direct à ces traitements ainsi qu'aux informations et données recueillies », donc a posteriori.

La boite noire est déployée sur une durée de deux mois, donc jusqu'à la fin du mois. Ensuite ? Elle sera renouvelable autant de fois que nécessaire selon le même processus (autorisation du premier ministre, avis simple de la CNCTR, déploiement et contrôle).

La sortie de Delon est à rapprocher de la toute récente loi sur la sécurité intérieure et la lutte contre le terrorisme. Selon la loi Renseignement, les boites noires ne devaient être mises en œuvre jusqu’à fin 2018, le gouvernement ayant en outre l’obligation de remettre un rapport d’évaluation au plus tard le 30 juin 2018, et ce, « pour apprécier l’utilité de cet outil et son caractère proportionné au regard de l’atteinte aux libertés publiques ».

La clause de revoyure repoussée de 2018 à 2020

Cette clause de revoyure a évidemment permis d’adoucir le versant anxiogène de cet aspirateur à métadonnées et donc  facilité son acceptabilité lors du vote. Le 11 septembre 2017, surprise ! Dans le cadre de la toute récente loi sécuritaire d’Emmanuel Macron, l’exécutif a repoussé ces deux dates à 2020. Si quelques jours plus tard, la boite noire allait être activée suite à une demande d’autorisation émise par Édouard Philippe peu avant l’été, pourquoi donc avoir repoussé le terme de 2018 de deux années ?

On notera pour finir qu’une disposition aurait pu théoriquement réduire la voilure de ces traitements automatisés. Toujours dans sa première loi sécuritaire, le gouvernement avait fait adopter un autre de ses amendements pour obliger les personnes soumises à une mesure de surveillance à déclarer aux autorités ses numéros d’abonnement et l’ensemble de ses « identifiants techniques de tout moyen de communication électronique dont elle dispose ou qu’elle utilise ».

Ces éléments auraient pu être du caviar, au lieu et place de l’industrialisation de la surveillance via boites noires. On basculait d’une possible surveillance massive à du renseignement beaucoup plus chirurgical. Sur le terrain des droits et libertés fondamentaux, des fragilités constitutionnelles ont néanmoins conduit les parlementaires à abandonner cette obligation de déclaration, laissant la boite noire seule sur scène. 

 

 

 

 

  • Upvote (+1) 2

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 13/11/2017 à 11:06, rogue0 a dit :
  • A rapprocher avec la mystérieuse perte de toutes les sources chinoises de la CIA/FBI pendant plusieurs années : fuite ? traître ?
    Toujours non résolue

Cela me rappelle un probléme durat la guerre froide :

a chaque fois qu'un agent US était identifié on le mettait sous la responsabilité d'une taupe.

 

Finalement, la taupe avait pris le nom de taupe de X. X étant un haut responsavble du KGB.

 

aprés la fin de la guerre froide, des agent US sont allé demandé à X le nom de la taupe pour l'arréter.

la réponse de X les a surpris

 

Il n'y a pas de taupe

X avait juste fait un manuel pour repérer les agents US

 

Dedans que des informations accessible sans protection au affaires étrangéres US

 

la carriéde d'un diplomate est précise.  une durée fixe avant mutation. Les  seules eception sont des  agents US.

Les voitures et appartements ne sont  pas aux mêmes agence de locations
 

  • Upvote (+1) 2

Partager ce message


Lien à poster
Partager sur d’autres sites

On dirait une version un peu brouillée de cette histoire :

Il y avait même des manuels "comment repérer un officier de la CIA" publiés aux USA dans les seventies. Après l'assassinat d'un chef de station à Athènes par des terroristes locaux, une loi interdisant de publier ce genre d'information a été passée.

Mais ça n'identifie que les officiers de renseignements. Pour faire référence à une période désormais bien documentée de la CIA, ca n'a pas empêché sa station de Moscou de fonctionner correctement du début des années 70 à 1985. Pour savoir qui sont leurs agents, c'est un tout autre problème. Un collègue de James Angleton disait "it takes a mole to catch a mole", et si la phrase est simpliste, elle tient bien la route.

Edit : mais on est en HS là.

Modifié par Rob1

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant


  • Statistiques des membres

    5130
    Total des membres
    1132
    Maximum en ligne
    Kerloas
    Membre le plus récent
    Kerloas
    Inscription
  • Statistiques des forums

    20129
    Total des sujets
    1096208
    Total des messages
  • Statistiques des blogs

    3
    Total des blogs
    2
    Total des billets