|
|
FinFisher, un mouchard à tout faire au service de la police
Guillaume Champeau -
publié le Lundi 12 Décembre 2011 à 17h55 -
posté dans Peer-to-Peer
Mise en lumière par Owni, la suite britannique FinFisher offre tout un éventail d'outils de surveillance très intrusifs pour enquêter sur les activités électroniques d'un suspect, ou surveiller le web "à l'échelle d'une nation". Inquiétant.
Depuis la loi Loppsi de mars 2011, les policiers sous l'encadrement du juge d'instruction peuvent "mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères". Mystérieuse dans ses modalités d'application, la loi dit que le dispositif de surveillance peut être installé soit directement sur l'ordinateur du suspect à travers une intervention physique, soit par "transmission par un réseau de communications électroniques". Mais quels sont concrètement les moyens qui peuvent être mis en Å“uvre ? L'excellent Jean-Marc Manach détaille chez Owni le contenu du catalogue de la société britannique Gamma, qui propose aux états sa suite de solutions FinFisher, au descriptif redoutable. On y apprend entre autres choses que Gamma propose la clé FinFlyUSB qui permet d'insérer discrètement un cheval de Troie dans l'ordinateur par la simple insertion d'une clé USB, mais aussi FinFlyISP qui "procède de manière encore plus massive, en s'infiltrant au sein même des FAI afin de pouvoir déployer leurs logiciels espions 'à l'échelle d'une nation'" (sic). Par ailleurs, FinFly Web "permet de créer des pages web piégées dont la simple consultation entraîne l'infection des ordinateurs qui les consultent". Une fois installé chez le suspect, le cheval de Troie FinSpy "peut espionner en 'live' le ou les utilisateurs de l'ordinateur infecté (en activant, à leur insu, webcam et microphone), mais également le géolocaliser, en extraire toutes les données, intercepter les échanges de mail et autres conversations, et notamment les appels et transferts de fichiers effectués avec Skype", raconte Owni. Le mouchard fonctionnerait sous Windows, Mac et Linux, sans être détecté par les antivirus. Gamma propose en fait une véritable liste de noël pour parfait petit espion. Capable de casser les réseaux Wi-Fi y compris WPA2, son système "FinIntrusion Kit permet de 'surveiller à distance webmail (Gmail, Yahoo...) et réseaux sociaux (Facebook, MySpace)' utilisés par la cible à espionner, ses blogs, forums, etc., et de récupérer ses identifiants et mots de passe, même et y compris si la cible utilise le protocole SSL, protocole de sécurisation des échanges sur Internet". On ne sait si la France est cliente de Gamma pour la suite FinFisher. Mais le site officiel est en tout cas traduit en langue française. Ce lundi matin, la Commission européenne a fait savoir qu'elle souhaitait interdire l'exportation de tels systèmes vers des régimes autoritaires, qu'il reste à définir. Par ailleurs, elle souhaite fournir aux peuples opprimés des outils permettant de contourner la censure et la surveillance. à lire aussi
  Prix indiqués avec livraison
59
Commentaires à propos de «FinFisher, un mouchard à tout faire au service de la police»
metzgergine, le 12/12/2011 - 18:09 Heu... Il parle du fonctionnement du mouchard ' après installation ', que ce soit un bête keylogger sous la daube ou un keylogger physique dans le clavier, quel que soit l'OS, ce qui est saisit sur le clavier sera intercepté... Oui, je sais, cette ' sémantique ' leur permet tout et rien à la fois, mais que veux-tu, c'est de la pub... ------------------- Question : Quelle ' rentabilité ' un truc pareil peut-il avoir dans une de nos ' démocraties ' ? Même à l'échelle de l'individu, lui coller un ' mouchard ', quel intérêt ? Dans le cadre d'une enquête ? Sans commission rogatoire ? La belle affaire, le premier qui portera le pet auprès de la cour européenne des droits de l'homme enverra cette ' instruction judiciaire ' à la poubelle, ainsi que toute ' preuve ' obtenue par ces moyens, sans parler de la possibilité de faire condamner les auteurs. Cette loppsi2 et ses futures évolutions n'est que le pendant ' light ' du patriot act, et les stigmatisations employées pour nous l'imposer sont aussi gerbantes que leurs aptitudes à nous mentir sur la réalité des faits. 
récup d' identifiant et mot de passe ,et pourquoi pas le no de ma carte bancaire !!!!!!!
C 'est très grave ça , car ça veut dire que plus rien n 'est sûr ! notamment les transactions lors d 'achats sur le web le gouvernement doit interdire cela sinon les gens vont se méfier , donc plus d ' achats et ce sera la fin du net faute de consommateurs 
" elle souhaite fournir aux peuples opprimés des outils permettant de contourner la censure et la surveillance"
Pas besoin d'aller bien loin, ils peuvent commencer par la France deja. 
OK. Bah si je vois quelqu'un insérer une clé usb dans ma machine, je re-formate. Je sens de bon week-end en perspective.
dannyel, le 12/12/2011 - 18:34 Oui mais non, ce ne sera pas la mort du NET pour cette raison. Le NET ne limite pas à la redoute et ebay.. [message édité par deadspool le 12/12/2011 à 18:49
]
+1 fourden. C'est bien joli de refuser d'exporter des dégueulasseries pareilles dans les pays sous dictature officielle, seulement il faudrait éviter que les mêmes trus immondes ne soient utilisés à tire-larigot dans notre propre "dictature officieuse".
Merde.... quand je pense que les pauvres gars chez qui ça va être installé sont en plus coupables de défaut de sécurisation de leur ligne....
Mais... C'est pas en France ça, c'est en Chine, non ?
Je me demande si on peut trouver cette suite en piratée sur megaupload ?  [message édité par Goldoark le 12/12/2011 à 20:17
]
Mais bon, au diable les conneries, raisonnons logiquement.
Quels sont nos moyens de protection ? Cas 1 : Les keufs doivent intervenir physiquement sur le PC. Le troyen doit forcément se lancer au démarrage. S'il s'agit d'un outil professionnel, j'imagine qu'il n'utilisera pas de moyens classique comme la clé de registre "Run" ou "RunOnce", ni le dossier "Démarrage", ou encore le lancement par un service windows dédié. J'imagine plus une DLL lancée depuis un service officiel qui aurait été patché. Quoi qu'il en soit, il faut forcément que le virus modifie des fichiers systèmes. Il lui faut donc un accès avec des privilèges administrateur. * Le PC est sans mot de passe administrateur : Ils mettent leur clé USB et hop, troyen installé, facile. * Le PC est avec mot de passe administrateur : Ils sont niqués. Néanmoins, le troyen est sans doute fait avec la complicité de Microsoft. Et Microsoft laisse délibérément des failles dans son système à but personnel (d'où les 36 déclarations de confidentialité qu'il faut signer quand on bosse sur certaines parties de leur code). On peut aisément imaginer que le virus n'a pas besoin de mot de passe administrateur, qu'il utilise une faille. Si aucun compte PC n'est accessible, aucun problème, ils vont sans doute lancer un OS parallèle depuis une clé USB pour mettre leur saloperie dans le PC. - Solution 1 : Linux + cryptage disque dur. Cela me semble être le plus sûr. Car même si ce virus est puissant, il est certain qu'il ne peut casser facilement ou rapidement un cryptage actuel. Le problème de cette solution reste la pérennité des données. Quand on veut pouvoir les récupérer en cas de pépin, autant de pas les crypter, surtout en système RAID. => Sur un PC Windows, une intervention physique sur le PC ne permet donc pas de se protéger (on sait tous que Bitlocker et le cryptage TPM ne vaut rien). Il faut avoir un bon système d'alarme chez soi, ou placer un élément qui nous informe de la perquisition abusive et non officielle. => Dans tous les cas, acheter une webcam avec une diode témoin qui s'allume quand elle est active. Incontournable de manière logicielle. Si elle s'active sans le demander : c'est que vous êtes infecté. => A la première suspicion d'infection, première mesure à prendre : débrancher le câble ethernet (RJ45) à l'arrière de votre PC ou sur votre box pour couper physiquement toute connexion (vous pouvez aussi acheter un commutateur Ethernet et le basculer sur une prise vide pour faire office d'interrupteur). Ensuite, bien inspecter votre PC et changer ses mots de passe. Cas 2 : Les keufs agissent à distance. Dans ce cas, il faut forcément * 1 page web infectée * 1 mail avec pièce jointe infectée * Piratage de Wifi Solutions : - Cryptage des mails en RSA 4096 avec GnuPG et l'extension thunderbird OpenPGP, déjà célèbre. - Cryptage des pièces jointes en AES 256 avec compression en zip à l'aide du célèbre logiciel 7-zip, un classique aussi. - Cas de la page web infectée : Pour lancer le virus, il faut forcément un script : Firefox + extension NoScript, ainsi que Flashblock. Et ne désactiver cette extension que sur des sites "sûrs", de confiance. - Ne pas utiliser Wifi tant que possible. Outre les effets pas bons des micro-ondes, il est prouvé de chez prouvé que le Wifi est tout sauf sur. La seule solution de sécurisation efficace, c'est la bonne vieille école : quand le câble va d'un point A à un point B. Parce qu'au moins, là, vous pouvez le débrancher, le câble. Si des informaticiens plus chevronnés que moi veulent compléter, je les y invite. Je sèche surtout au cas où il y aurait une intervention physique chez soi. Outre le fait que c'est contraire à la vie privée, la constitution et les Droits de l'Homme, que c'est une intrusion aussi scandaleuse que de l'espionnage, il est important de pouvoir se protéger contre cette loi infecte. C'est là qu'on constate au travers de cette immonde LOPPSI la volonté de nos politicards verreux de vouloir tout contrôler. Vivement 2012 que ce putain de Sarko dégage, et qu'on élise enfin quelqu'un de moins "normal" en apparence, qui saura imposer une vision vraiment novatrice. Marre des hypocrites ivres de pouvoir et de fric genre Hollande, Sarko, DSK, et tous ces autres cons de gauche comme de droite. [message édité par Goldoark le 12/12/2011 à 20:18
]
est ce que ces solutions de "sécurité" utilisent des backdoors officiels et prévu a cet effet?
si c'est cela, peut de chose peuvent être envisagées contre d'un point de vue logiciel non? 
Et ça peut casser le WPA2, comme ça ?
Heuuu....
Sabinou, le 12/12/2011 - 20:14 Oui, j'ai déjà vu un black hat le faire. Le cryptage Wifi, quel qu'il soit, c'est de la merde. Tout simplement parce qu'un vrai cryptage ralentirait trop la connexion. Je pense que les fabriquants de carte mère et de CPU auraient tout intérêt à s'entendre pour créer des cartes-mère avec un processeur incorporé spécialement dédié au cryptage. Parce que dans l'avenir, ce sera utile. 
Goldoark, le 12/12/2011 - 19:31 àa fait un peu parano, mais le pire, c'est qu'on aura peut-être besoin de se défendre ainsi dans très peu de temps... Sinon, y a aussi le mot de passe sur le bios avec désactivation du boot sur usb, cd, et réseau, afin d'obliger de booter sur le cd. Et encore, même ça ça se contourne par reset logiciel ou matériel du bios. 
"Ce lundi matin, la Commission européenne a fait savoir qu'elle souhaitait interdire l'exportation de tels systèmes vers des régimes autoritaires,..."
Ces régimes le sont déjà, inutile de le leur interdire. Chez nous, reste plus qu'à nos régimes à le devenir ... donc à ne pas leur interdire !
Hey00, le 12/12/2011 - 20:18 Le mot-de-passe du bios est une base de la protection. Par contre, il se fait facilement contourner - en enlevant la pile du bios pour le rebooter - en retirant simplement un cavalier de la carte-mère prévu à cet effet. Ca n'arrêtera pas un hacker qui a accès physiquement à la machine, mais ça le fera chier en le ralentissant. Pour ce qui est de la clé USB, il est quasiment certains que le mec n'essayera pas de bouter sur l'OS du PC mais bel et bien sur celui de sa clé USB pour ne pas éveiller de soupçon. C'est plus chiant aussi si tu as un réseau local, ou un homegroup, car tes PCs enregistrent leurs passwords de manière moins sécurisée. En fait, faut choisir en conservation et sécurité. Si tu as du fric, il faut 1 serveur RAID 1 pas sécurisé et pas relié au net pour la conservation des données pas sensibles, et 1 PC forteresse relié au net avec Linux + cryptage maximum (et un putain de CPU pour que ça ramme pas) pour la protection des données sensibles. Et il faut connecter les 2 via dossier d'échange publique, sans homegroup. Et non, je ne suis pas parano, je suis juste conscient de ce qui se fait actuellement. Et encore, l'article de Numerama est loin de la vérité... [message édité par Goldoark le 12/12/2011 à 20:27
]
Sinon il faut espérer que les fabriquants d'antivirus vont se bouger le cul et bloquer ses saloperies au lieu de ne bloquer que les virus qu'ils produisent eux-même.
Pour ce qui est de Linux, ils utilisent forcément une faille 0-day du noyau, mais non dévoilée. Idem pour le noyau BSD de MacOSX. Vu le profile de Apple, la firme est sans doute en cheville avec eux. Pour ce qui est de linux, comme il est libre, reste l'espoir que les développeurs identifient la ou les failles utilisées et ne les comblent. Mais je tiens à désacraliser Linux : Linux est le meilleur système de protection SI TU SAIS BIEN LE CONFIGURER. Sinon c'est un véritable gruyère. Et comme tout système, il n'est pas sans faille. [message édité par Goldoark le 12/12/2011 à 20:41
]
Un Firewall comme Kerio n'est pas censé bloquer les logiciels qui se connectent au net ? Comme ca des que windows demande l'ouverture d'un protocole anormal, une fenetre kerio s'affiche et vous n'avez qu'a refuser.
Firewall > antivirus. Je me demande vraiment quels protocoles ils utilisent pour avoir autant de controle sur un pc, sans executable...
ladyblabla, le 12/12/2011 - 20:33 Tu ne peux pas. En étant le plus parano possible : ils ont passé des contrats avec Microsoft et Apple, et donc ont accès au code source sur noyau lui-même. Dans le pire des cas, le virus patche directement le noyau, et donc le virus devient transparent. On peut par exemple imaginer une partition indépendante qui ne se verra pas sur le disque dur, qui est lancée par un aiguillage directement sur le boot du PC. Avec un virus polymorphe qui s'autocrypte pour faire évoluer son code et qui mute pour éviter de se faire pécho par les antivirus. Là tu ne peux rien faire, et tu ne verras strictement rien. Et même si tu formates le disque dur, le virus sera toujours là, sauf en utilisant un logiciel d'erasing des données bit à bit. Mais ça, c'est du niveau militaire en terme d'intrusion. Aucun "mec qui s'y connaît en info" et qui aide les gens ne sera actuellement assez parano pour prendre des contre-mesure si extrêmes. Et ton firewall ne bloquera que dalle parce que ton firewall laisse passer de toute façon certaines requêtes de connexion, surtout si elles viennent du noyau de l'OS lui-même. Je te dis, le plus simple reste de physiquement débrancher ton câble réseau. Là, c'est imparable. Après, on peut imaginer que le virus utilise son propre protocole pour transmettre ses données, mais il est quand même obligé de l'encapsuler dans un protocole connu ou d'avoir des entêtes TCP/IP pour être routé... D'ailleurs je me demande à ce titre si les proxies mis en place par FinFisher sont les leurs ou si ce sont des proxies au pif, parce que dans ce cas, les Anonymous pourraient organiser une violente riposte bien sanglante, brutale et gore contre ces serveurs proxy... A voir... Quoiqu'il en soit, il va falloir se renseigner sur ces sociétés, parce qu'elles mettent la barre 1 cran plus haut dans l'escalade vers Orwell. [message édité par Goldoark le 12/12/2011 à 20:45
]
ladyblabla, le 12/12/2011 - 20:33 Au hasard, sur la daube, compte invité non supprimable, si password pas changé par un ' très lourd ', porte ouverte... Y'en a plein d'autres, registre à distance, bureau à distance, etc, etc, etc... Ah et si en plus il n'y a pas de mdp Administrateur, c'est royal... Protocole ? Vivi, tu as désactivé le telnet ? ( le premier qui me vient à l'esprit... )
La solution est simple: avoir une PC sous Win, pas trop bien protégé, histoire de passer pour une bille, et ne se connecter que depuis un LiveCD (CD-Rom, pas CD-RW). Pour son trousseau de clé, une simple clé USB cryptée qu'on déverrouille à la volée depuis le Live CD, et on a même la possibilité d'utiliser systématiquement des StrongPassWord pour ses usages (GPG, SSH, etc.). Le premier est inaltérable (et remplaçable chez toutes les bonnes boutiques de CD pressés de distribution), le second ne cède que sous la torture (mais j'admets que c'est mon point faible)
Il y a quelque chose d'intéressant à mentionner dans les protocoles d'attaque de la suite FinFisher :
Il semble que l'un des moyens utilisé soit de faire télécharger à la cible des plugins virussés. Genre tu vas sur un site de streaming, et on te demande de télécharger un Plug-in Flashplayer, Realplayer ou mieux : un applet Java. Bon, tous les informaticiens savent qu'en terme de sécurité, il faut se méfier du Java comme de la peste, Java héberge plus de failles à lui seul que tout autre web-appli. Mais il est mentionné par FinFisher que leur suite est capable de créer des faux applets Java / plugins Reaplayer ou Flashplayer virussé avec leur certificat d'authentification en bonne et due forme ! Donc 2 possibilité : - Soit ils ont piraté les certificats d'authentification, ce qui donnerait lieu à un solide procès - Soit ils ont des accords commerciaux avec Microsoft, Apple, et Sun, ainsi que les autres lobbies de l'informatique Finalement, il se pourrait que mes suppositions paranoïaques ne soient pas si infondées... Les mecs ils proposent même des cours pour aider les noobz à devenir de vrais hackers. Je rêve, on dirait un programme scolaire :  Genre je t'apprends à pénétrer ton voisin comme d'un rien... Putain ça fait peur... Il faut quand même souligner la pauvreté de leurs cours en matière d'attaque sur le cryptage. Donc on est sûr d'une chose : face à un AES-256 ou AES-512 et RSA-2048 ou RSA-4096, ils l'ont dans le cul. En admettant bien entendu qu'ils l'aient pas un troyen pour accéder à la clé, ils ne sont Dieu merci pas capables de briser les chiffrements récents (Prions pour que le processeur quantique ne voit pas le jour trop tôt...).
[message édité par Goldoark le 12/12/2011 à 21:00
]
Goldoark, le 12/12/2011 - 20:50 Il y a en fait une 3ème possibilité : - Soit c'est totalement bidon. Et c'est, à mon avis, la bonne possibilité. Il suffit pour s'en rendre compte de regarder l'image fournie par Owni : http://owni.fr/files/2011/11/FinFly.jpg . Il est dit : "Le site web va demander à la cible d'accepter un plug-in java qui peut être signé avec le nom de n'importe quelle entreprise (par exemple "Microsoft Corporation")". Et ça, c'est bidon... Il suffit de créer un certificat avec les outils fournis par java (keytool, en l'occurrence), et de répondre "Microsoft Corporation" quand le l'outil demande d'indiquer le nom de ton organisation. Il n'y a plus qu'à signer l'applet (avec jarsigner, fourni également avec java). Le premier couillon venu est capable de le faire. La parade, c'est d'utiliser Noscript + Flashblock, et de ne jamais accepter l'exécution des applets Java : si une applet est signée, c'est à priori qu'elle effectue des actions critiques (accès au système de fichiers, accès à des périphériques etc.). Mais ça, c'est connu depuis que les applets existent, FinFisher n'a rien inventé. Franchement, qu'ils mettent des trucs bidons comme ça, ça me laisse assez perplexe sur le reste...
"Capable de casser les réseaux Wi-Fi y compris WPA2"
bon ça va, c'est de la publicité mensongère leur bouze.... 
"Avec un virus polymorphe qui s'autocrypte pour faire évoluer son code et qui mute pour éviter de se faire pécho par les antivirus. "
ça ressemble au puppet master : faut appeler la section 9 !
_bla_, le 12/12/2011 - 21:05 Euh... Le puppetmaster (le "marionnettiste" est une IA qui a pris conscience de son existence... Mais bon, je salue la référence  http://www.__dailymo...om/video/x7hpve )zorro3364, le 12/12/2011 - 20:59 Noob. [message édité par Goldoark le 12/12/2011 à 21:15
]
Goldoark, le 12/12/2011 - 21:07 Source ? [message édité par Obelixator le 12/12/2011 à 21:15
]
Obelixator, le 12/12/2011 - 21:15 Expérience personnelle. Et bon sens : une entreprise qui passe des contrats avec des lobbies, des services judiciaires et des institutions d'espionnage / contre-espionnage vend rarement de la merde. [message édité par Goldoark le 12/12/2011 à 21:20
]
Mouais, c'est vrai que ça fait un peu trop quand même, à se demander s'il ne s'agit pas d'infos pour faire peur...
Mais si cela se confirme, l'idée est tout de même de se doter d'un firewall hard et d'un système comme Linux, car si je vois bien des sociétés comme Microsoft ou Apple donner (voire même créer) des failles pour permettre à ces saloperies de contrôler nos PC, il n'en va pas de même avec Linux : un jour ou l'autre, une parade verra le jour. Enfin, s'il n'y a pas de parade, reste alors à se déconnecter. Les réseaux communautaires pousseront alors comme des p'tits pains. PS: Pour savoir si des personnes ont accédé à votre logement, l'idéal est d'avoir une webcam sur IP qui vous envoi sur une messagerie de votre choix les captures qu'elle a réalisées durant l'infraction. C'est une solution, pas imparable, mais qui peut rendre service.
Gnommy, le 12/12/2011 - 21:19 Il est désactivé par défaut sur W7, pour Vista et XP faut encore le faire... Pareil pour le remoteregistry, par contre, l'accès du bureau à distance est encore activé par défaut. Windows aussi est un gruyère quand on y réfléchit... [message édité par Goldoark le 12/12/2011 à 21:25
]
deadspool, le 12/12/2011 - 18:48 Avant tu lui pètes les dents non ? 
Bretwalda, le 12/12/2011 - 21:25 Ya plus simple : tu désactives l'autorun. Bon après, s'il le lance manuellement, t'es niqué. Donc oui, bute-le.
Goldoark, le 12/12/2011 - 21:29 Pour le telnet tu m'as ninja xD Enfin bon l'illusion de la sécurité tout ça ...
deadspool, le 12/12/2011 - 18:48 d'accord avec toi , mais ça y contribue beaucoup
zorro3364, le 12/12/2011 - 20:59 tu es sûr parce que Hadopi veut que l'on sécurise avec une clé wpa2 , si même avec ça on n'est pas protégé ( déjà que pour le petit peuple c'est pas simple de rentrer dans la box , moi mon fils m' a aidé , merci à lui ) Alors que faire , je ne suis pas informaticien , juste un client lambda Par contre pour Hadopi , tu pourra dire que tu t'es fais hacker avec ce logiciel c 'est le revers de la médaille , trop de sécurité tue la sécurité
Ha ha, c'est pour faire peur aux petits garçons avant de s'endormir...
Moi aussi à l'époque je croyais au grand méchant loup !
Goldoark, le 12/12/2011 - 19:31 il parle de s'infiltrer dans les FAI , c'est pas rien quand même , non ? je ne suis pas spécialiste
Ca se serait lol ! "Surveillons les surveillant" comme dirait JM Manhack !
Goldoark
Proof of concept by Chaos Computer Club => Suffit d'avoir un accès au réseau électrique, donc ton RJ45 me fait marrer =) (Juste pour dire que c'est faisable, ça reste du bricolage et un proof of concept, mais on peut facilement modifier des données, exemple du texte, via un appareil sur le réseau électrique)
dannyel, le 12/12/2011 - 22:21 Non, pas simple du tout. S'ils s'en prétendent capables, c'est qu'ils ont des entrées directement dans les noyaux des OS. Donc c'est qu'ils disposent de failles 0-day linux notamment. C'est faisable, les chinois ont dû passer par là pour enfiler Google, mais c'est level militaire. En même temps, quand tu vois qui sont les clients de cette société, c'est crédible, c'est ça qui fait peur...
Kazer67, le 12/12/2011 - 23:54 Non, il faut forcément connecter ton PC au réseau. Ce qu'ils ont fait, c'est envoyer des données dans un réseau électrique analogique pour modifier des données PC via un encodeur CPL (type freeplug par exemple). Il faut quand même un truc pour relier ton PC au réseau électrique. Sinon le signal électrique est flingué par le modulateur de ton alim. Et puis il faudra sinon envoyer des impulsions pour modifier le comportement même des instructions du CPU, c'est irréalisable. Faut pas être trop parano tout de même. Il existe des camions-antenne capables de reconstituer l'image de ton écran à distance en captant et décodant les micro-impulsion et les champs EM, mais ça ne marche qu'à faible distance. Il existe aussi un réseau de satellite NRO dont la résolution est si forte qu'ils peuvent lire l'heure sur ta montre par temps orageux. Il y a le réseau Echelon et son penchant Frenchelon. http://fr.wikipedia.org/wiki/Echelon http://fr.wikipedia....wiki/Frenchelon Mais ça c'est le summum du parano. Croire qu'on peut modifier tes données juste par le réseau électrique, sans relier ta carte réseau à quoi que ce soit, là c'est un peu trop gros... Faut pas déconner, c'est déjà assez la fête comme ça question surveillance intrusive. [message édité par Goldoark le 13/12/2011 à 00:42
]
Goldoark, le 12/12/2011 - 19:31 Connerie. Tu peux tres bien avoir un RAID 1 chiffré, aucun probleme. Si un disque meure tu as ta partoche chiffrée toujours, et tu peux remettre un disque pour remplacé le disque cramé. Apres bien sur tu as interet d'avoir un RAID logiciel plutot que le controleur pourri de la carte mere, mais ca c'est que tu chiffres ou pas (ou alors si t'as une bonne carte RAID avec BBU) Goldoark, le 12/12/2011 - 20:29 C'est deja le cas, les sandy bridge par exemple ils ont un truc intégré pour AES. Pour les disques durs y'a des disques qui se chiffrent hardware depuis des années, ca coute pas si cher et la puce qui va avec elle est deja dans tous les bons laptops.... Goldoark, le 12/12/2011 - 20:29 Ton RAID 1 peut etre chiffré sans probleme. Si tu as pas confiance en la conf par defaut de ton GNU/Linux (mais une debian avec un iptable qui va bien c'est bien suffisant) tu peux essayer OpenBSD. Ensuite y'a pas besoin d'un putain de CPU pour que ca ramme pas! Sur nimporte quoi depuis les p4 ca rammera pas. Ta bande passante d'I/O va diminuer, et le cpu va tourner un peu mais franchement a peine, quelques pourcents quand tu ecriras bcp ce qui arrive pas souvent... Franchement a l'usage on s'en rend pas vraiment compte du chiffrage logiciel (sous GNU/Linux & BSD en tout cas) ca consomme quasi pas de ressources et si tu as un proc moderne (support natif de l'AES encore moins... Goldoark, le 12/12/2011 - 20:29 Connerie. Une install de base c'est pas du gruyere. Si tu fais pas nimporte quoi en root dessus c'est pas du gruyere. GNU/Linux isole bien l'utilisateur de base du root, c'est pas pour rien. Goldoark, le 13/12/2011 - 00:34 Non c'est qu'ils rentrent physiquement chez le FAI et y mettent une machine (un cluster plutot) de surveillance / log / etc de TOUT le traffic du FAI. C'est possible, peut etre bien que c'est deja en place. (ca m'etonnerait pas). Apres pour les chinois à priori c'était pas un probleme avec le noyau mais plutot SSL il me semble (?).
Moi aussi je croyais que le WPA2 était sûr, mais apparemment non:
https://duckduckgo.c...l/?q=crack+wpa2 Edit: en fait c'est juste des attaques "dictionnaire"... Donc il suffirait d'avoir un bon mot de passe. [message édité par encoreperdumonlogin le 13/12/2011 à 05:01
]
Il y en a qui croient vraiment tout ce qu'on leur dit, et qui sont à fond dans la théorie du complot, surtout Goldorak, le pseudo expert en sécurité qui démontre qu'en réalité, il n'y connait pas grand chose, à part des mots qui font peur, c'est vrai.
La plupart de ce qu'ils offrent, des outils libres ou gratuits le font, c'est sûr qu'il n'y a pas la jolie interface et le support, mais ils existent (sites web, clé USB, IntrusionKit) Enfin, d'un point de vue technique, leur offre est forcément quelque peu mensongère telle que présenter ici (il n'y pas de détails) : - Au niveau des ISP, c'est impossible d'avoir un "FinFlyIsp" qui "s'infiltre" (par magie hein). Les gens qui travaillent chez les ISP sont loin d'être des quiches, donc ils ont forcément leur accord. - Non, on ne casse pas du WPA2/SSL/SSH en 30s, désolé pour eux. Pour ceux qui ne le savent pas, des gens définissent des protocoles et ensuite des gens les implémentent dans leurs logiciels, il n'y a pas de faille connue dans ces protocoles (dans leur dernière version respective) - et beaucoup de chercheurs travaillent à en trouver, ne vous inquiétez pas pour ça. Maintenant certaines implémentations peuvent présenter des failles : certains routeurs pour le Wifi, certains logiciels pour tout ce qui est basé sur SSL (et certaines autorités de certifications, ce qui cause énormément de problème). Bien sûr il doit exister des failles dans toutes les applications du monde (même SSH!), mais c'est propre à chaque application, et le temps de recherche pour en trouver seulement une dans une application est extrêmement long. C'est donc impossible qu'ils prétendent pouvoir espionner tout et n'importe quoi, ils ont certainement dû concentrer leurs recherches sur des applications précises, sur des OS précis (parfois même sur du matériel précis). NB : Derrière tous les protocoles de l'Internet, c'est presque toujours les mêmes algorithmes de chiffrement qui reviennent (ex : AES, DSA), ceux qui sont connus pour être vulnérables sont abandonnés très vite (enfin... normalement). Comme pour les protocoles, certaines implémentations (non totalement conformes) d'AES sont vulnérables, mais en aucun cas, quelqu'un a pu "cassé" AES en trouvant une vulnérabilité dans l'algorithme en lui-même. Ces algorithmes sont conçus par des chercheurs en cryptographie, AES-256 est considéré suffisamment sécurisé pour chiffres des données niveau TOP SECRET par le gouvernement américain, pour cela il requiert que l'implémentation choisie soit revue par la NSA. Je ne pense pas que ces sociétés ont des moyens supérieurs à la NSA, ni même qu'ils disposent de chercheurs plus compétents que ceux du "bon" côté. Après c'est sûr que si vous utilisez des clés/mots de passe ou n'importe quoi alphanumérique de 8 caractères avec des encryptions faibles, le bruteforce (ou rainbow tables) permettra de casser votre chiffrement rapidement. 
Goldoark, le 12/12/2011 - 19:31 Hello, Je ne suis pas dans la branche crypto-sécurité mais j'ai bien potassé le sujet. Je propose d'ailleurs un tuto pour obtenir un chiffrement quasi-intégral sous Ubuntu . Le problème de l'intervention physique s'appelle l'attaque evil-maiden. Parmi les références de mon tuto, il y a la "conference proceding" (fr) des Rencontres Mondiales du Logiciel Libres 2010 de Kévin Denis qui traite très bien ce sujet.
liolfil, le 13/12/2011 - 01:21 Bon à savoir. J'aime moi-même pouvoir piocher dans mon PC en dehorsde l'OS en cas de perte de données. Avec un cryptage HDD c'est pas facile. C'est une solution extrême à laquelle j'aimerais éviter de venir. liolfil, le 13/12/2011 - 01:21 Je savais pour le secteur dédié du CPU, mais je parlais d'un second CPU pour la génération de paires de clés afin de RSA plus rapide... Mais bon, c'est une idée balancée comme ça... liolfil, le 13/12/2011 - 01:21 Mon problème, c'est que j'me suis pris la tête sur Debian ya pas longtemps, et ça m'a traumatisé depuis... Faut que je m'y remette... liolfil, le 13/12/2011 - 01:21 Là je suis moins d'accord avec toi. Si Linux a aussi ses failles. D'autant que ça dépend bien de la façon dont tu gères tes paquets... liolfil, le 13/12/2011 - 01:21 T'es sûr de ce que tu avances ? Rentrer physiquement chez le FAI pour y mettre une machine implique une collaboration ouverte de tous les FAIs... Ca semble un peu gros quand même...
blauuuuuuuuuu, le 13/12/2011 - 05:18 Mais vas-y, je t'en prie, fais donc démonstration de ta supériorité intellectuelle blauuuuuuuuuu, le 13/12/2011 - 05:18 Certes, sur nux ya pas mal de gadgets dans ce genre là, mais peut-être que les leurs sont un cran au-dessus... Pourquoi tu as pu tester leurs produits ? blauuuuuuuuuu, le 13/12/2011 - 05:18 Je n'ai jamais dit que ça se faisait facilement de péter du WPA2, mais en 20 min à 1h, ça se fait oui. Et il reste les attaques par dictionnaire qui marchent terriblement bien, pourquoi crois-tu que les Google-car collectaient tous les mots-de-passe des réseaux qu'elles captaient ? blauuuuuuuuuu, le 13/12/2011 - 05:18 Oui, mais toutes les applis et tous les OS ont leurs failles... Surtout si tu as des contrats avec les société qui les éditent... blauuuuuuuuuu, le 13/12/2011 - 05:18 Certes, mais la finalité de leur produit est de les contourner en troyant directement la cible. Nulle part dans leur annonce ils ne disent pas qu'ils brisent le RSA / AES, et Dieu merci. Pourquoi tu l'as vu écrit où, toi ? Ils disent même qu'ils auraient été incapables de récupérer des données d'un disque dur chiffré, ce qui montre bien leurs limites. Je suis peut-être un gros nul parano, mais tu dois quand même reconnaître que leur annonce est plausible... [message édité par Goldoark le 13/12/2011 à 09:41
]
milord, le 13/12/2011 - 08:59 Rien ne dit que ce soit la technique la plus avancée, c'en est une qui fonctionne. Aujourd'hui, prendre le contrôle d'un PC n'est plus si facile qu'à l'époque de Telnet et Netbios. Mais pour autant que je sache, avec jarsigner, tu peux signer le nom d'une autre société, mais pas certifier cette société. Pour ça il faut avoir le certificat de la société en question. Pourquoi ? Tu es capable avec jarsigner de créer un faux certificat Microsoft ? Non pas que je ne veuille te contredire car je n'ai jamais essayé de le faire, mais si c'est possible, ça me semble un peu énorme comme faille quand même... Créer un faux plugin et garantir son accès disque dur si facilement, j'ai du mal à imaginer ça... Mais bon, j'ai jamais essayé, faudra que je tente. Sachant quand même que sur la capture d'écran, on peut lire sous le certificat la mention en rouge : "This certificat is not trusted". Ce qui prouve bien qu'ils ne l'ont pas, enfin si c'est vraiment une de leur capture... [message édité par Goldoark le 13/12/2011 à 09:44
]
Goldoark, le 13/12/2011 - 09:40 Non, mais je suis capable de faire accepter l'exécution d'une applet par un utilisateur, parce que j'aurai mis "Microsoft" comme nom d'entreprise... Il n'y a aucun besoin de passer des accords avec des entreprises, ou qui que ce soit : l'argument d'autorité (une entreprise connue) suffit amplement* à faire accepter l'exécution d'une applet par la plupart des utilisateurs. à‡a prend beaucoup moins de temps, et ça coûte beaucoup moins cher... *Et la plupart du temps, il n'y en aura même pas besoin, l'utilisateur cliquera sur "OK" sans même essayer de comprendre la teneur du message. De la même manière qu'il accepte les CGU de n'importe quel logiciel ou site, sans les lire. Goldoark, le 13/12/2011 - 09:40 La faille, c'est l'utilisateur, comme souvent... Goldoark, le 13/12/2011 - 09:40 Il n'y a pas de faux plugin. Le seul faux qu'il y a, c'est l'utilisation d'une entreprise connue... Les seuls que tu ne pigeonneras pas, ce sont les utilisateurs avertis, qui de toute façon, utilisent probablement des plugins navigateur pour bloquer les applets, et qui seront donc protégés quoi qu'il arrive. Goldoark, le 13/12/2011 - 09:40 Ben oui, c'est ce que je dis : c'est bidon.
évidemment que nos ordis sont des passoires, il est impossible de rendre un système sûr.
On peut ralentir l'intrusion, comme dit Goldoark déjà commencer par débrancher le RJ45 (bien sûr ça ralentit un peu le téléchargement des copies de sauvegarde mais faut savoir ce qu'on veut). Petite question à ceux d'entre vous que cela inquiète, combien d'entre vous se servent d'un phone sous android ? Vous avez un iphone ? ça vous rassure ? 
Vous avez une discussion technique passionnante, sur un sujet brûlant. Il m'arrive souvent de zapper les explications techniques, mais là c'est incontournable, nonobstant le jargon parfois obscur. Disons que c'est un article (celui d'OWNI, celui du N?umérama) et des commentaires à lire patiemment avec recours régulier à des précisions tierces... mais vu l'enjeu, c'est une nécessité que de bien piger tout ça.
Oui, mais là tu parles du noob moyen. J'me disais aussi, effectivement, le noob de base clique sur OK sans rien lire. Mais un utilisateur averti, et a fortiori une entreprise, ils demanderont des certificats authentifiés... Effectivement ta technique marcherait dans 90% des cas, mais j'ose croire que finfisher propose mieux dans son catalogue, parce que ça c'est une technique de hacking basique...
"Il n'existe pas de patch contre la bêtise humaine" (Bill Gates)
Ben après il existe bien d'autres techniques, mais c'est bien plus élaboré. Je parle de l'exploitation de failles. Le fait de proposer un faux plugin / codec / applet, c'est basique, j'ose croire qu'ils savent exploiter des failles de protocoles inconnues ou fucker un FW même bien naté...
Mais je ne pense pas que la capture d'écran que tu désignes viennent bien du logiciel en question. La firme ne traite qu'avec des judiciaires, le site n'a pas pu avoir accès à leur produit, il pourrait plus s'agir d'une capture d'écran afin d'illustrer, mais pas du soft en lui-même...
Ils doutent de rien sérieux...
golgo2017, le 13/12/2011 - 12:57 Oui, dit comme ça, ça fait un peu peur et ça laisse dubitatif... Mais bon, s'ils infiltrent les FAIs, c'est plausible. Mais c'est effectivement la partie que j'ai le plus de mal à croire, car j'ose encore penser que les FAIs ont du personnel compétent.
J'ai vu dans une annonce qu'ils cassaient des hash de mdp Windows et UNIX, les mdp Office, wpa2, ssl etc... par l'intermédiiaire d'un cluster de calcul dédié intégré a la solution :x
Edit : Effectivement pas d'AES, mais ils stipulent qu'il peuvent intégrer d'autres méthodes de cryptage sur demande... ReEdit : WPA2/TKIP est cassé il me semble, j'ai pas tout saisi mais AES semble OK (qq confirme ?  ): http://www.google.fr...jHNSneQ&cad=rja [message édité par Endoril le 14/12/2011 à 19:40
]
La faille n'est pas technique, elle est politique :
- C'est certains qu'il y a chez les FAI des "ordis mouchards" sur le reseau, avec une jolie étiquette RF dessus, qui ne peuvent PAS tout capter, mais seulement ce qui est intéressant : ambassades, industries sensibles, pirates, pédophiles, nazis, gauchistes, écolos, journalistes -> votre FAI vous trahi, comme votre opérateur de téléphonie mobile  - ils viennent chez vous quand vous n'y êtes pas, branchent une clé USB, et repartent. Aussi simple -> camera IP - Ne croyez jamais votre DNS : à la premiere mise à jours, vous pensez exécuter du code fiable de l'étranger, en fait vous recevez le contenu d'un site miroir de votre propre pays : PAN ! http://www.numerama....erveur-dns.html - Tout les grands éditeurs de logiciels propriétaires ont des accords avec leurs gouvernements pour les "aider" (donnant-donnant) -> logiciel libre - conséquence du cas précédant : le cryptage est sûr car transparent, mais un logiciel propriétaire de cryptage ne vaut rien -> GPG http://fr.wikipedia....U_Privacy_Guard [message édité par dsant le 15/12/2011 à 01:34
]
@Goldoark
J'ajouterais aussi qu'il faut envisager de mettre en place un routeur tournant sur du logiciel libre comme OpenWRT ou DD-WRT derrière la box du FAI afin d'éviter que la box balance au gouvernement tout ce qu'on fait sur notre LAN. Ensuite activer le service VPN en choisissant un serveur situé dans un pays qui n'est pas collabo (Voir la carte de Wikileaks).
Tu as tout a fait raison Petitepoupee : Trop facile pour le gouvernement de demander un à FAI collaborateur d'ouvrir les ports sur la box "qui vont bien", à distance. Il vaut mieux avoir son propre routeur. [message édité par dsant le 15/12/2011 à 14:17
]
Cryptage complet du disque avec Truecrypt... clef de 4096 bits... et encore, je ne suis pas sur que les services officiels, aux USA notamment, ne soient pas capable de cracker ce genre de choses. Souvenez vous, aux débuts de pgp, l'exportation de la version la plus puissante de ce logiciel était interdite en dehors des USA. Maintenent, je ne sais pas, mais je ne serais pas surpris si une "backdoor" était imposée aux éditeurs de logiciels de cryptages, accessible uniquement par les services officiels. Maintenant, comme tout finit par se savoir, je suppose que dans le milieu "underground" du net, ils seraient au courant. On ne peut rien savoir à coup sur. Ce qui reste inquiétant, c'est qu'avec les nouvelles technologies, les protections de la vie privée sautent les unes après les autres. Avant, on ne pouvait ouvrir un courrier sans autorisation d'un juge, c'est toujours le cas, d'ailleurs, mais le côté dématérialisé des mails et autres communications rend la chose plus facile à faire discrètement... De toutes façons, le mot démocratie a-t-il encore un sens? Quand on voit ce qui se passe au "parlement" européen... Dans parlement, il y a "parle" et "ment"... à bon entendeur...
Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
A LA UNE
LES + COMMENTÉS
 2 offres à partir de 25 €
  3 offres à partir de 37 €
Télécharger
Accès rapide :
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
|
DDDD
quelle garantie que cela ne soit pas utilisée par des véreux?
"Le mouchard fonctionnerait sous Windows, Mac et Linux, sans être détecté par les antivirus."
Linux?? haem... je voudrais pas me montrer rabat-joie pour les développeurs qui ont crées ce truc, mais pour aller sur linux, il aurait fallu trouver une faille de type 0-DAY, et a mon avis, le noyau linux est suffisamment bien codé pour éviter ce genre de choses... je suis donc sceptique.