Powered By Blogger

Rechercher sur ce blogue

lundi 20 janvier 2014

Comment la NSA peut bidouiller votre iPhone, votre wifi, votre PC, votre écran...



Pour hacker les appareils informatiques, la NSA s’appuie sur une palette d’outils ultrasophistiqués, dévoilée par Edward Snowden. Voici un aperçu du catalogue.

Ceux qui pensent que la NSA se limite à remplir d’énormes bases de données en collectant des données sur le réseau Internet, se trompent. Le service secret américain a une capacité d’intrusion extrêmement précise, presque chirurgicale. Chaque élément logiciel ou matériel de votre environnement informatique peut ainsi devenir un vecteur d’attaque. C’est ce qui ressort des documents que vient de publier, lundi 30 décembre, le magazine allemand Spiegel, sur la base de documents d’Edward Snowden. L’inventivité technique est impressionnante, alors que ces documents commencent déjà à dater quelque peu (2007/2008).
agrandir la photo
Ainsi, on apprend que la NSA disposait dès le début d’une solution pour siphonner les iPhone. La solution - ou « implant logiciel » dans le jargon de la NSA - s’appelle « Dropoutjeep». Elle permet de télécharger ou téléverser des documents, de consulter à distance les SMS ou le carnet d’adresses, d’écouter les messages téléphoniques,  de repérer la position géographique, et même d’activer la caméra et le microphone. A l’époque, cette solution nécessitait encore un accès direct au téléphone. Une version d’installation à distance était en préparation.
Evidemment, la NSA a beaucoup d’autres solutions pour hacker les smartphones, aux noms toujours aussi étranges. « Gopherset » et « Monkeycalendar » sont des logiciels qui s’installent directement sur une carte SIM et qui permettent d’exfiltrer tout type d’informations via SMS. Les agents peuvent aussi s’appuyer sur l’implant logiciel « Toteghostly 2.0 » qui permet d’avoir la main sur les terminaux Windows Mobile. Enfin, la NSA dispose aussi d’une série de faux téléphones, qui imitent à la perfection les modèles usuels (de l’époque), avec en prime une capacité de surveillance à volonté. Mais le coût est autrement plus élevé : environ 2000 dollars par unité.  
agrandir la photo
Du côté des ondes radio, les solutions techniques pullulent également. La NSA dispose de toute une batterie d’appareils capables d’imiter des stations de base, dans le but de localiser des téléphones, de réaliser des attaques dites « Man in the Middle » et simplement d’écouter les conversations. Ces boîtiers portent des noms tels que « Candygram », « Cyclone Hx9 », « EBSR », « Entourage », « Nebula », « Typhon HX ». Pour s’en procurer un, il faut avoir un certain budget. Le tarif varie de 40 000 à 250 000 euros.
Le réseau Wifi est également mis sous haute surveillance. Avec la mallette « Nightstand », un agent pourra pénétrer un réseau 802.11 et réaliser des attaques sur des PC Windows. Pas la peine d’être à proximité : le système fonctionne dans un rayon de... 13 km. Pour simplement repérer et cartographier les réseaux wifi environnement, la NSA dispose là aussi d’une solution bien pratique baptisée « Sparrow II ». C’est un genre de sniffer wifi miniature, destiné à être embarqué dans un drone. Celui-ci n’aura plus qu’à survoler une zone donnée pour détecter les réseaux recherchés.   
agrandir la photo
Discret et banal, le câblage informatique peut constituer une grande source d’information. « Ragemaster », par exemple, est un implant matériel qui s’installe directement dans le câble qui relie l’ordinateur à l’écran. Il laisse échapper de manière passive les signaux vidéo qu’un agent peut alors récolter simplement au travers d’un système radar. Ce qui lui permet de reconstituer l’image. L’idée est la même pour « Surlyspawn », un implant matériel qui se fixe dans le câble relié au clavier. Là encore, une analyse radar permettra de récupérer tout ce qui a été tapé sur le clavier. L’avantage de ce dispositif par rapport à un keylogger logiciel, c’est qu’il fonctionne même quand l’ordinateur n’est pas relié à Internet. Coût : 30 dollars par unité.
La NSA dispose aussi de toute une palette de prises USB trafiquées, qui peuvent être contrôlées à distance par onde radio. Ce qui permet d’intercepter des données ou, à l’inverse, d’introduire des logiciels malveillants. En fonction du modèle choisi, il sera possible de couvrir une portée plus ou moins longue. Certains dispositifs peuvent même fonctionner en réseau.
agrandir la photo
L’ordinateur est tant que tel est, lui aussi, la cible directe d’un grand nombre de solutions. La NSA dispose d’implants logiciels pour les firmwares de disques durs Western Digital, Seagate, Maxtor ou Samsung (« Iratemonk »), ainsi que pour les BIOS de divers systèmes (« Swap »). La boîte à outils de l’agence américaine contient également des petits modules de transmission radio-fréquence qui s’installent directement, ni vu ni connu, sur la carte mère de l’ordinateur (« Howlermonkey », « Juniormint »). Pour cela, évidemment, il faut avoir un accès physique à la machine. La NSA dispose même d’ordinateurs miniatures de la taille d’une pièce de un cent (« Maestro-II », « Trinity »). Bref, les possibilités techniques de la NSA semblent quasi-infinies...
Ci-dessous, les fiches techniques des différents « implants » mentionnés.
Lire aussi:
TAO, l’unité d’élite de la NSA qui pénètre dans tous les systèmes, le 30/12/2013
Julian Assange incite les hackers à infiltrer la CIA... pour mieux la combattre, le 30/12/2013
REF.: 
Source:
Der Spiegel (en allemand)

mardi 7 janvier 2014

Snapchat vulnérable, les développeurs montrés du doigt

Sécurité : Snapchat est "victime" de failles. Ou "responsable", c'est selon, puisque certaines d'entre elles auraient été connues par les développeurs depuis plusieurs mois.

Selon le collectif Gibson Security, les APIs de Snapchat sont victimes de plusieurs failles. Un exploit de celles-ci permettrait à une personne malintentionnée d’associer un numéro de téléphone à un nom, un nom d’utilisateur et un niveau de sécurité de compte.
Cela peut évidemment avoir des conséquences désagréables, note ZDNet.com. Outre la fuite de données éventuelles dans la nature, un pirate pourrait être tenté de baser des arnaques sur ces informations, ou de les revendre.
"Négligence" des développeurs ?
Les données sont tellement accessibles que même un compte « privé » sur Snapchat pourrait être touché. Ses informations pourraient regroupées dans une base de données en ligne, où elles seraient simples à retrouver, avec seulement son nom d’utilisateur, moyennant quelques dollars ou euros.
Si ce type d’affaires reste relativement courant, Gibson Security pointe ici la « négligence » des développeurs de Snapchat. Ceux-ci seraient au courant depuis le mois d’août dernier, et auraient pu prendre des mesures relativement simples pour éviter l’exploit de la faille. Ce qu’ils n’ont visiblement pas fait.

Android: le premier smartphone doté de CyanogenMod arrive en Europe

La fabricant chinois Oppo met en vente, en ligne, le N1, son smartphone équipé nativement de CyanogenMod 10.2, basé sur Android Jelly Bean 4.3 .

Ceux qui cherchent une alternative aux smartphones Android traditionnels, verront d'un bon oeil l'arrivée en Europe d'un premier mobile doté nativement de CyanogenMod(CM). Il est issu d'un partenariat entre le fabricant chinois Oppo et les développeurs de ce système d'exploitation Android alternatif, parmi les plus répandus.
« Le CM Edition Oppo N1 est une étape-clé pour nous, et ce lancement n'est pas un événement mineur, c'est l'aboutissement de quatre ans de travail pour tous les développeurs de CyanogenMod dans le monde » explique sur leur site web les promoteurs de cet Android alternatif.
En l'occurrence, l'Oppo N1 CyanogenMod Limited Editionembarque de manière native le système d'exploitation mobile CM version 10.2, basé sur Android JellyBean 4.3.
Il se distingue aussi par un capteur photo, pivotable, de 13 millions de pixels, ce qui en fait un "photophone", c'est à dire un smartphone doué de capacités avancées de prise de vues.

Son prix de 449 euros le situe dans la fourchette haute des smarphones

Parmi ses autres caractéristiques, figurent un grand écran HD (1920x1080) de 5,9 pouces de diagonale, un processeur quadricoeur Qualcomm Snapdragon 600 (1,7 GHz), 16 Go de mémoire interne et une compatibilité avec les réseaux mobiles 3G. Pas de 4G prévue pour l'instant.
Il est mis en vente, en ligne, au prix de 449 euros (16 Go) sur le site européen du constructeur. Ce prix le situe dans la fourchette haute des smartphones Android.
Ce smartphone vient par ailleurs d'être adoubé par Google pour l'accès aux services mobiles en ligne comme Play (boutique applicative) ou Maps (cartographie)


REF.: