On sait qui a piraté l’iPhone de San Bernardino pour le FBI
Un appel d’envergure semble guetter les deux acteurs de la polémique.
Publié le
Par
Valentin
Dans une enquête publiée hier, le Washington Post
révèle avoir réussi à identifier le hacker qui a réussi à pirater
l’iPhone le plus célèbre de Californie. Utilisé par un terroriste de la
fusillade survenue à San Bernardino près de Los Angeles en 2015,
celui-ci était verrouillé. Le FBI, chargé des investigations, avait
alors enjoint Apple de fournir une backdoor* pour accéder au contenu de l’appareil iOS. Sans succès.
On
a ensuite appris que le Bureau avait finalement pu arriver à ses fins,
en faisant appel à des professionnels. Car non, malgré toutes les
promesses de confidentialité de la marque à la pomme, ses mobiles ne
sont pas inviolables. Comme ceux de tous les autres fabricants, d’ailleurs.
Mozilla mis en cause
Selon le Post, le responsable derrière cette prouesse technique s’appelle David Wang. Depuis cofondateur de Corellium, ce dernier était alors en poste chez Azimuth Security. Son exploit aurait été payé 900 000 dollars par les officiels : de quoi faire rêver n’importe quel participant à un bug bounty.
Ce qui n’a en revanche pas plu à Apple, puisque cette dernière a par la
suite attaqué en justice la nouvelle entreprise du white hat. C’est par
ce nom que l’on désigne les experts informatiques dont les actes sont
bienveillants.
La faille identifiée par cet ancien de Yale -dont il a abandonné le cursus- était issue d’une intégration avec Firefox, depuis patchée par la fondation derrière le logiciel. Cette dernière n’a pas souhaité commenter l’affaire. Nommée Condor, il faut dire que l’astuce a tout de même pu passer outre la protection anti-brute force qu’on retrouve également dans le Secure Enclave de deuxième génération. Pour de toute façon ne rien trouver de bien intéressant comme indice.
Une question politique ?
Depuis, les interrogations
s’enchaînent aussi bien au sommet des instances gouvernementales
outre-Atlantique qu’à l’Apple Park. Car si la seconde craint qu’un
tribunal puisse faire jurisprudence et donc potentiellement menacer la
vie privée de tous ses clients… Il lui suffit en fait d’aligner plus d’argent pour que les chercheurs en cybersécurité n’aient pas à collaborer avec les autorités.
Les
équipes de Tim Cook avaient bien tenté d’engager Wang ou de racheter
Corellium en 2018, mais sans succès et après que le scandale ait
éclaboussé la Maison-Blanche. Pour finir, un juge avait enfin refusé de
les obliger à fournir à leur opposant tous les détails quant aux brèches
identifiées dans le système d’exploitation des iPhone. Depuis, les
affaires semblent florissantes.
*littéralement porte dérobée en anglais : paramètre inconnu du propriétaire, offrant un accès secret au logiciel
Qui ne connait pas encore Zoom ? L’outil préféré des adeptes de la visioconférence
est rentré dans les habitudes de tous, à tel point qu’on se dit
maintenant : « Je te zoom »… Un peu comme on se dit « Je te skype ».
Sauf que voilà, pour utiliser Zoom sur PC ou Mac, il faut installer
ce qui s’appelle un client. C’est un petit bout de logiciel silencieux
qui s’installe sur l’ordinateur et qui vous permet ensuite d’utiliser ce
service. Et malheureusement, cela peut poser plusieurs problèmes. Tout
en d’abord en termes de sécurité, il suffit qu’un jour une vulnérabilité
soit détectée dans cet agent, et paf, votre ordinateur peut-être
potentiellement à risque ou votre caméra activée à distance. Ce genre d’incident a d’ailleurs déjà eu lieu en 2019 avec une faille permettant d’activer les webcams. Ou plus récemment en mars dernier avec du partage d’écran non sollicité.
Mais au-delà de ça, Zoom collecte également pas mal de données
personnelles que la société partage ensuite avec d’autres sociétés
tierces. Et cela même si vous utilisez Zoom sans vous créer de compte.
Zoom va enregistrer votre IP, le type d’appareil utilisé et même le
compte Facebook que vous utilisez si vous êtes connecté en même temps
sur le réseau social.
Vous l’aurez compris, c’est de la saloperie. Après, on est souvent
forcé d’utiliser Zoom parce que notre employeur l’exige ou parce que nos
amis sont trop noobs pour savoir utiliser autre chose. Dans ce cas, je
vous recommande de passer exclusivement par l’application mobile. Ça
vous évite au moins d’installer le client sur votre PC ou votre Mac.
Après si c’est trop tard, et bien pas de stress. Car il existe un outil open source qui s’appelle Zoom Deleter et qui s’installe sur macOS ou Windows, et qui une fois lancé, possède 2 fonctions :
Désinstaller le client Zoom
Empêcher une installation future de ce client Zoom
Ainsi, vous retrouverez un OS vierge de tout agent infiltré Zoom et
surtout vous serez protégé d’une éventuelle réinstallation à l’insu de
votre plein gré. On ne sait jamais…
Êtes vous déjà fichés par Google avec FLoC et comment l’empêcher ?
@Korben
—
Vous le savez, les cookies n’ont pas le vent en poupe. Ils sont
bloquables avec certains plugins de navigateur, voire carrément par le
navigateur lui-même sans oublier le RGPD qui force les sites à proposer
un bouton « Refuser les cookies ». Pour rappel, un cookie, c’est quoi ?
C’est un petit fichier texte qu’une société ou un site dépose sur votre
ordinateur, ce qui lui permet de vous reconnaître lors d’une connexion
ultérieure ou de vous suivre de sites en sites.
Autant dire que les cookies sont très malmenés en ce moment, ce qui
pose un gros problème aux vendeurs de publicité en ligne qui les
utilisent pour vous profiler et vous proposer de la publicité ciblée. Et
quel est selon vous le plus gros acteur de la pub en ligne ? Et bien
c’est Google !
Mais vous connaissez Google, ils ont noyauté l’ensemble d’Internet
avec leur moteur de recherche, leur navigateur Chrome, leur Adsense,
leurs players Youtube, leurs Analytics, Android, leur Google Sign-in,
Gmail, Maps et même leurs DNS 8.8.8.8… Impossible de leur échapper, même
si on est dégoogeulisé.
C’est donc mal les connaître que de croire qu’ils vont se laisser
perturber par le blocage des cookies. Car oui, il existe d’autres façons
de déterminer votre profil en ligne et de vous traquer, sans
« vraiment » vous traquer. Cette façon, je l’ai déjà expliqué dans cet article au sujet du panopticlick.
Avec votre historique, les plugins installés, la config matérielle et une blinde d’autres paramètres, il est possible de générer une empreinte
plus ou moins unique de votre ordinateur. Et Google va encore plus loin
puisqu’il ne vous individualise plus, mais vous range dans des groupes
d’intérêt en fonction de votre historique du mois en cours. Si vous êtes
un geek en surpoids localisé en France qui vote à gauche et aime les
chatons mignons ainsi que la cuisine asiatique, vous serez dans le même
groupe que tous vos frères d’armes. Et Google sera alors capable de vous
proposer de la publicité ciblée pour la catégorie à laquelle vous
appartenez. Il n’y a donc plus de suivi individuel, mais plutôt un
profilage réalisé en fonction de votre historique.
Cette techno mise au point par Google s’appelle la Federated Learning
of Cohorts a.k.a. FLoC. Chaque groupe est désigné par son FLoC ID et
caractérisé par ses habitudes et centres d’intérêt. Cela permet donc de
se passer d’un tracker comme le cookie. Il n’y a plus de fichier stocké
sur votre ordinateur ou blocable par un plugin.
À titre perso, et je ne dois pas être le seul, je m’intéresse à
tellement de sujets différents à la fois qu’il est FORT PROBABLE que
Google me range dans un groupe de 1 où je serai seul. Et il y a fort à
parier qu’on sera nombreux dans des groupes de 1 personne avec le temps
et l’affinage des critères, ce qui va permettre à Google d’ultra-cibler
la publicité. Après c’est vrai que les humains sont facilement
classables dans des groupes et suivent pour la plupart les mêmes schémas
de pensée. Un peu comme des clichés qu’on retrouve partout et on en a
tous fait l’expérience. Il y a certaines personnes qui se ressemblent
aussi bien dans leurs centres d’intérêt que dans leurs habitudes.
Mais une chose est sûre, c’est que ça va marcher. Et là pour bloquer ça ensuite, bonjour !
Google a d’ailleurs commencé à déployer FLoC chez certains
utilisateurs de Chrome 89 ou supérieure dans divers pays (pas encore la
France, mais en Australie, Brésil, Canada, Inde, Indonésie, Japon,
Mexique, Nouvelle-Zélande, Philippines et aux États-Unis bien sûr !).
Un suivi mis en place chez des millions d’utilisateurs pour être
précis et à leur insu. Bon le savez, Chrome est une saloperie. Si c’est
pas encore fait, désinstallez cette merde. Mais avant, je vous invite à
faire le test pour savoir si Google vous a déjà classé dans un de ces
groupes. Pour cela, l’EFF a mis en ligne un site baptisé AmIFLoced.org qui vous indiquera si votre navigateur fait partie du bêta test de FLoC.
Si un FLoC ID vous a été attribué, cela veut que votre navigateur a
utilisé votre historique internet sur les 7 derniers jours pour calculer
un « simhash »
qui vous permettra de rejoindre un ou plusieurs des actuels 33 000
groupes comportementaux mis en place par Google dans le cadre de ses
tests et contenant chacun quelques centaines de personnes. Tout ceci est
encore expérimental donc vous pouvez facilement imaginer que ces
chiffres vont rapidement gonfler au fur et à mesure des semaines.
Si c’est le cas, pas de panique. Vous pouvez en sortir, mais à
condition de désactiver les cookies tiers dans les paramètres de Chrome
(oui, je sais, c’est pas forcement logique). Maintenant en tant que
webmaster, votre site est déjà intégré comme facteur dans les algos FLoC
de Google. Si vous avez un site sur le jardinage, vos visiteurs (via
leur historique) seront alors flaggés comme fan de jardinage. Si vous ne
voulez pas participer à cette mascarade, vous pouvez sortir votre site
de l’algo en balançant ce header dans les réponses HTTP :
Permissions-Policy: interest-cohort=()
Si vous utilisez un AUTRE navigateur que Chrome >= 89, vous ne
serez pas concerné par ce tracking pour le moment. À voir maintenant ce
que va faire Google. Comment est-ce qu’ils vont imposer ça dans Chromium
ou d’autres navigateurs utilisant le moteur de Chrome… Firefox
sera-t-il de la partie. J’en doute, mais on verra bien…
On se croit en sécurité derrière son navigateur mais des chercheurs
en sécurité sont en train de travailler sur une technique pour dé-anonymiser les internautes.
Il partent du principe que chaque personne possède un navigateur
différent, des plugins différents, avec des versions différentes, des
polices différentes, un fuseau horaire différent…etc. Et toutes ces
petites différences, misent bout à bout, permettent au final de créer
une empreinte unique du navigateur (donc de la machine utilisée pour
aller sur le net). Ça, c’est ce que l’EFF a appelé Panopticlick et que vous pouvez tester en allant ici.
Mais une nouvelle technique exploite les réseaux sociaux. En effet,
en exploitant l’historique de votre navigateur, un attaquant (ou un
espion ou une société privée) peut savoir sur quels sites vous avez été.
A partir de là, en connaissant vos préférences de navigation, les
groupes auxquels vous appartenez sur Facebook ou autre et en utilisant
la technique de la EFF sur l’empreinte unique du navigateur, il devient
possible de clairement vous identifier en tant que personne lors de votre surf quotidien et ce même si vous passez par un VPN…
Effrayant non ?
Toutes les explications sont disponibles dans ce document PDF et vous pouvez tester la technique si vous faites parti du réseau social Xing en cliquant ici.
Liste de ressources pour afficher des photos satellites en temps réel
@Korben
—
En France, on a mieux que des satellites géostationnaires. On a
Thomas Pesquet avec son Reflex ! La classe non ? Bon, ce cher Tom Astro
repart bientôt dans l’ISS en tant que Commandeur Suprême de la Force
Terrienne Intergalactique et en attendant de vous gaver sur son compte
Instagram, je vous invite à tester ces différents sites et outils pour
récupérer des photos satellites fraîches et les utiliser par exemple
comme wallpaper.
Conçu pour Mac et Windows, SpaceEye se loge dans la barre de notifs
et vous permet de profiter d’une photo satellite en fond d’écran qui est
mise à jour en temps réel. Pour les Linux, il est également possible de
le compiler sur votre OS, mais ce sera plus barbu.
Issue des satellites météorologiques Meteosat, NOAA et d’autres, auxquels vous pouvez même avoir accès en direct avec une simple clé SDR, ces photos haute résolution seront du plus bel effet sur votre ordinateur.
Dispo sur le store de Microsoft,
cette application vous affichage également des photos de la Terre en
temps réel soit en fon d’écran, soit sur votre écran de login
Sentinel Hub
L’application en ligne Sentinel Hub
vous permet d’avoir accès aux dernières photos satellites. Vous pouvez
changer de satellite, de coloration (normal, infrarouge…etc.), trouver
des photos récentes avec plus ou moins de nuages et si vous cliquez sur
le bouton GENERATE, vous obtiendrez une jolie image JPG à mettre en fond
d’écran.
Maintenant si rien ne vous plait et que vous voulez développer votre propre script de récupération de photos satellites, il y a Google Earth Engine
qui propose l’accès via des API à des jeux de données de photos
satellites. Il faudra bien sûr s’inscrire chez Google et faire un peu de
code, mais après vous pourrez récupérer des tas de photos pour la
plupart techniques (c’est principalement utilisé pour faire de la
science), mais également jolies et de bonne qualité.
