Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Et Apple se rend compte de rien si quelqu'un s'introduit chez lui pour modifier son installateur ? Et en plus, la mise en place se fait toujours en mode "commande". Donc, le client lamda n'entrera jamais les commandes nécessaires, ne serait-ce parce qu'il ne les connaît pas.Envoyé par TiranusKBX
Pierre GIRARD
@Pierre GIRARD
J'ai mis mon message précédent à jour pour une meilleur compréhension de ceux lisant trop vite
Rien ne les empêchent de contaminer l'installateur de Mise à niveau soit par le réseau(interception et réécriture fichier) ou soit en te mettant un script automatisé se lançant régulièrement(sur la machine ciblée)
Rien, je n'ai plus rien de pertinent à ajouter
Ce qui ne change ABSOLUMENT rien à ma réponse : "Et Apple se rend compte de rien si quelqu'un s'introduit chez lui pour modifier son installateur ? " Que ce soit physiquement ... où a distance. L'ajout d'un "script automatisé" 100% invisible par l'éditeur me semble parfaitement improbable. Et l'article à l'origine de cet échange ne parle nullement de choses automatisées, mais bien de commandes manuelles introduites au moment de l'installation.
De plus, il n'est dit nulle part que "Achilles" concerne les "mises à jour", mais bien les "installations" (ce qui n'est absolument pas la même chose). Que la CIA puisse développer de tels outils en interne pour tester certaines possibilités, je suis prêt à le croire, mais que ces produits soient déployés à grande échelle chez "Mr Tout-le-monde" me laisse vraiment perplexe
Pierre GIRARD
@Pierre GIRARD
Mais tu est Franchement bouché ou quoi ? Depuis quand je parle d'une intrusion chez Apple ou de leur serveurs ?
Intercepter ta connexion et en réécrire une partie ou intégralement à la volée est une technique qu'ils maitrisent depuis pas mal d'années et pour le script automatisé je parle d'un script qui te ferait la contamination depuis la machine cible de l'installateur par le biais d'une autre technique bien évidement.
À ce demander si tu sait lire ou si ta vue trouble te fait ajouter des mots invisibles dans ta lecture
Rien, je n'ai plus rien de pertinent à ajouter
Et toi, est-ce que tu connais les "Checsum" (MD5 par exemple ?) Moi je n'utilise jamais un truc téléchargé et non contrôlé. Je ne fais pas de mise à jour de l'OS, mais des réinstallations sur un DD différent. Comme ça, j'ai toujours l'ancien sous la main en cas de problème. Entre deux versions majeures, je laisse faire les MaJ automatiques.
Par ailleurs, concernant ceux qui ne savent pas lire, je cite :
Alors, je répépète : Une mise à jour N'EST PAS une installation. Achilles est, tel que le décrit WikiLeaks, un outil permettant de lier ... PENDANT L'INSTALLATION etc... Le HIC est que les machines vendues par Apple sont préinstallées par Apple, sans passer par le net ou quoi que ce soit d'autre. Je ne doute pas qu'il soit possible de réinstaller OS-X (ne serait-ce qu'en cas de crash du disque système), mais, c'est pas la majorité des cas (et pas obligatoirement fait en ligne).
En plus, pourquoi tiens-tu absolument à ce que la CIA intercepte mes communications ?Tu crois vraiment qu'ils n'ont rien d'autre à faire de plus utile ?
Pierre GIRARD
Pour les macs, je vous recommandes la lecture de ceci :
https://www.macg.co/os-x/2015/08/thu...a-faille-90358
Thunderstrike pouvait contaminer n'importe quel mac avec un périphérique Thunderbolt (y compris l'adaptateur Thunderbolt/Ethernet). Ils parlent également d'infections possibles via un site Web.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Consultez nos FAQ : Windows, Linux, Virtualisation
Il est tout à fait possible d'exécuter du code arbitraire sur osx, le problème est dans le format mac-o. Il suffit de modifier un exécutable ou un installeur en mettant le code malveillant dans les sections _text. Exécuter du code python par exemple ne pose aucun souci. La seule solution serait de faire des comparaisons de checksum, mais pour les installeur / apparemment tiers bon courage...
Vault 7 : WikLeaks dévoile le projet Dumbo, qui permet à la CIA de pirater des webcams
Vault 7 : WikLeaks dévoile le projet Dumbo, qui permet à la CIA de pirater des webcams
et des microphones
WikiLeaks a publié le dernier numéro de sa série de fuites Vault 7, qui propose au public d’avoir des informations sur certains des outils de piratage de la CIA. Cette fois-ci, WikiLeaks a divulgué des informations sur le projet Dumbo de la CIA. WikiLeaks a assuré que Dumbo est capable de suspendre les processus en utilisant des webcams et de corrompre tout enregistrement vidéo qui pourrait compromettre un déploiement PAG. Le PAG (Physical Access Group) est une branche spéciale dans le CCI (Centre for Cyber Intelligence). Sa tâche est d'acquérir et d'exploiter l'accès physique aux ordinateurs cibles dans les opérations sur le terrain de la CIA.
Dumbo peut identifier, contrôler et manipuler des systèmes de surveillance et de détection sur un ordinateur cible exécutant le système d'exploitation Microsoft Windows. Il identifie les périphériques installés tels que les caméras Web et les microphones, localement ou connectés par des réseaux sans fil (Bluetooth, WiFi) ou câblés. Tous les processus liés aux périphériques détectés (généralement l'enregistrement, la surveillance ou la détection des flux vidéo/audio/réseau) sont également identifiés et peuvent être arrêtés par l'opérateur. En supprimant ou en manipulant des enregistrements, l'opérateur est aidé à créer des preuves réelles ou fausses de l'opération d'intrusion.
Dumbo est géré par l'agent de terrain directement à partir d'une clé USB. Il nécessite des privilèges d'administrateur pour exécuter sa tâche. Il supporte Windows XP 32 bits, Windows Vista et les versions plus récentes du système d'exploitation Windows. Les versions 64 bits Windows XP ou Windows antérieures à XP ne sont pas prises en charge.
Source : WikiLeaks
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Une fois de plus, c'est d'un intérêt TRÈS limité : "Dumbo est géré par l'agent de terrain directement à partir d'une clé USB" et "Il nécessite des privilèges d'administrateur pour exécuter sa tâche" ... sans oublier qu'il faut au minimum une Webcam et Windows à partir de XP.
Bon, je ne dis pas que c'est absolument impossible, mais il faut :
- Que la cible visée soit sous Windows (impératif)
- Un équipement avec Webcam (pas fréquent en milieux professionnel)
- Un agent sur place muni de sa clé USB "Dumbo" (pas facile pour passer inaperçu en milieux professionnel et encore plus difficile chez un particulier)
- Le mot de passe administrateur (c'est faisable avec des inconscients, mais il faut résoudre les points 1, 2 et 3 avant)
Bref la CIA ...?
Pierre GIRARD
Et remplacer Linux ou OS-X par Windows, ajouter une Webcam ou un micro etc... sans que le particulier ou l'entreprise ne se rende compte de rien. Bon, d'accord, ce ne sont après tout que des américains, mais quand même
Pour info, aucune intervention technique ne se fait chez moi sans que je sois derrière, que ce soit un électricien, un plombier ou dieu seul sait qui d'autre. Mais bon, si toi tu préfères laisser les clés à des inconnus, c'est ton problème, mais dans ce cas, je ne sais pas exactement qui est le plus "beauf franchouillard de base" des deux.
Pierre GIRARD
Ouep, l'argument du Linux, j'y crois pas trop, presque personne n'utilise ce système. Je veux dire, c'est comme pour le développement de jeux vidéo : pourquoi perdre son temps à investir de l'argent et développer un truc, alors que c'est utiliser par max, dix personnes. Je veux dire (car je ne trolle pas), que en visant Windows, ils sont quand même certains de toucher la majorité des cas qu'ils vont faire face.
Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi
Ma page sur DVP
Mon Portfolio
Qui connaît l'erreur, connaît la solution.
Comme tu dis "Ouep", n'empêche que le mec qui vient chez moi pour installer ce truc, il tombera quand même sur Linux, et les jeux ... une petite réussite de temps en temps ... et c'est tout.
Mais, quand bien même je serais sous Windows, Un type qui arrive pour refaire les peintures de la salle à manger, pendant que je suis dans ma chambre sur mon ordinateur et qui trouve le moyen de me distraire, de mettre une clé USB, me déconnecte pour se reconnecter en administrateur, fasse son truc, se déconnecte pour se reconnecter sur mon comte, en devinant à chaque fois les mots de passe ??? et le tout sans que je me rende compte de rien (et tout ça en faisant son travail dans la salle à manger). C'est là que je serais vraiment épaté.
Pareil avec un plombier, il ne passe aucun tuyau dans ma chambre etc...
Pierre GIRARD
Tout le monde n'est malheureusement pas averti comme toi ou nous... Il m'est arrivé de voir une baie de brassage dans le placard des toilettes et une administration importante en plus... Si tu veux pirater, c'est le bonheur complet. Tu verrouilles la porte, ça ne paraîtra pas suspect vu que c'est les toilettes et tu fais ta bidouille. Je peux même te dire que les routeurs n'étaient pas sécurisés correctement. Ben oué j'ai eu la tentation de regarder...
Je peux t'en raconter à la pelle des anecdotes comme ça et je suppose que plusieurs d'entre vous en ont vécu aussi. Une dernière : l'accès à la salle serveur climatisée à du personnel non autorisé. Pourquoi ? Pour y faire la sieste l'été dans une pièce au fond de la salle où il y avait 2-3 conneries de matos. Je vous promets que c'est vrai... On a halluciné quand on est arrivé sur le site (il y en avait qui pionçait). Et là aussi une grosse boite...
Il y a encore une certaine inconscience au niveau de la sécurité. Et même dans des grosses structures.
.
Heureux soient les fêlés car ils laisseront passer la lumière.
Michel Audiard
Je ne dis pas le contraire, mais dans le cas que je site (Dumbo), il y a une webcam et/ou un micro Bluetooth ou WiFi. J' ai certes vu des caméras de surveillance en entreprise (jamais des micros), mais le système gérant ces accessoires est généralement dans une salle de gardes/vigiles avec une présence permanente et des écrans de contrôle visuels. De plus, je n'en ai jamais vu de "sans fil". Maintenant, qu'il y ait des imprudences un peu partout, c'est un tout autre problème (j'ai vu ça moi aussi ... et même dans une grande banque).
Pierre GIRARD
Oui oui Pierre, j'avais compris ton propos mais je parlais d'une façon générale sur l'espionnage numérique. C'est pour dire qu'il y a des pros qui se laissent aller sur la sécurité physique du réseau. Si tu peux te connecter ou entrer dans la salle serveur comme tu veux, c'est mal parti. Quand tu as travaillé pour des administrations ou des PME de province, tu vois qu'elles sont loin d'avoir pris conscience de ce genre de choses parfois.
.
Heureux soient les fêlés car ils laisseront passer la lumière.
Michel Audiard
C'est à dire que comme c'était mon métier (Administrateur système), j'avais un badge qui permettait d'ouvrir les salles serveurs dans lesquelles j'étais sensé intervenir (pas les autres). Quand ça n'était pas le cas, j'étais accompagné et suivi en permanence par celui qui m'avait ouvert la porte. Bon, je parle de France Télécom/Orange (avec un accès total), à DCNS où j'avais un accès limité et accompagné. A la Société Générale, c'est simple, je n'avais accès à aucun serveur.
Par contre, dans tous mes postes, j'avais (forcément) accès aux comptes "root" des serveurs sur lesquels j'intervenais (mais pas aux autres).
Alors, encore une fois, un petit malin est probablement capable de faire des dégâts, mais vu que je ne suis pas encore en tôle, c'est probablement parce que j'ai juste fait mon métier, et rien d'autre. D'ailleurs, je fais partie de ceux qui sont fichés par la sécurité nationale (autorisations d'accès au CEA, à la DCNS et autres...). Mais, même les services secrets Français ne m'inquiètent pas ... et ils m'inquiètent d'autant moins qu'il ont déjà un dossier sur moi.
Pierre GIRARD
Tous ceux faisant(ou qui faisait) partis d'une société stratégique ou d'une société en partenariat avec des services d'état stratégiques sont fichés, pour mon cas c'est avec la catégorie 2
Rien, je n'ai plus rien de pertinent à ajouter
Et oui, et même ceux qui sont fils de ...
En fait je suis doublement fiché, vu que mon père a travaillé sur le premier sous-marin nucléaire Français, du coup toute la famille a été fichée en même temps que lui. Je m'en suis aperçu lors de l’enquête pour le CEA, car mon dossier a été bouclé (et favorable) beaucoup plus vite que pour les autres.
Pierre GIRARD
Vault 7 : WikiLeaks dévoile l’outil CouchPotato
Vault 7 : WikiLeaks dévoile l’outil CouchPotato
Supposément utilisé par la CIA pour capturer furtivement du flux vidéo H.264
WikiLeaks poursuit sa série Vault 7 consacrée à la divulgation des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre avec la publication d’un nouveau manuel. Il s’agit de celui de l’outil dénommé CouchPotato, supposément utilisé par la CIA, pour la capture à distance de flux encodé en H.264 via le protocole RTSP.
Cette documentation dévoile une nouvelle fois un implant. Celui-ci est, semble-t-il, assez récent en comparaison de ceux qui l’ont précédé puisque le document descriptif date du 14 février 2014. L’implant est architecturé autour d’une bibliothèque de liaison dynamique (ICE.dll), ce qui signifie qu’il est conçu pour capturer les flux vidéo sur des systèmes tournant sous Windows.
Le déploiement de l’implant sur une machine cible consiste en son injection dans l’espace mémoire d’un processus non critique du système cible à l’aide d’un outil de chargement dédié. La bibliothèque de liaison dynamique (ICE.dll) ne serait qu’un codec qu’il faut complémenter avec un gestionnaire de modules. La documentation souligne que l’injection en mémoire doit être précédée de l’installation du gestionnaire via un script Python conçu à cet effet.
L’implant est capable de convertir le flux vidéo en provenance d’une caméra en AVI ou en JPG. Le gestionnaire serait alors chargé de récupérer ces données et de les écrire dans un fichier sur le disque dur de l’ordinateur cible. La procédure parle d’elle-même. Pour tirer avantage de cet outil, un agent doit avoir un accès (direct ou distant) à l’ordinateur cible pour pouvoir effectuer toutes ces configurations.
L’implant est conçu pour permettre une opération furtive, mais exhibe des défauts qui peuvent dévoiler l’activité d’un attaquant. La documentation fait état de ce que le processus parasité par l’implant consomme 50 à 60 % du temps processeur.
Source : guide utilisateur de l’implant
Et vous ?
Voir aussi :
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Vault 7 : WikiLeaks dévoile ExpressLane
Vault 7 : WikiLeaks dévoile ExpressLane
Un outil supposément utilisé par la CIA contre des services de liaison (FBI, NSA, etc.)
Aujourd’hui, arrêt oblige sur la série Vault 7 de WikiLeaks consacrée à la divulgation des activités de la CIA dans le domaine de la surveillance électronique et de la cyberguerre. L’actualité WikiLeaks le suggère et cette fois le contenu est au moins, sinon plus digne d’intérêt que dans le cadre des autres parutions. L’organisation fondée par Julian Assange vient en effet de dévoiler un outil supposément utilisé par la CIA pour espionner des services de liaison au rang desquels on compte : le FBI, le DHS et la NSA.
Les contenus publiés nous apprennent que la CIA dispose d’une branche spéciale (OTS) qui maintient une plateforme de collecte de données biométriques mise à la disposition des services de liaison à travers le monde. La plateforme serait destinée au partage « volontaire » de ces données biométriques entre la CIA et les services de liaison, ce qui n’a pas lieu. C’est là où intervient l’outil ExpressLane au centre des développements de ce jour.
« ExpressLane est un outil furtif de collecte d’informations utilisé par la CIA pour exfiltrer des données de ces systèmes mis à la disposition des services de liaison », explique WikiLeaks qui ajoute que « ExpressLane est installé et lancé sous le prétexte d’une mise à jour du logiciel de collecte de données biométriques par un agent de l’OTS en visite sur lesdits sites. Les agents de liaison témoins de la procédure n’y verront que du feu puisque l’exfiltration des données est masquée par un écran d’installation Windows. »
La procédure d’installation mène à la présence d’un exécutable dénommé MOBSLangSvc (l’exécutable d’ExpressLane) dans le répertoire \windows\system32. L’exfiltration des données se fait via la clé USB qui sert à l’installation (ou plus exactement, à la mise à jour). Cette dernière contient une partition spécialement préparée (par l’outil CreatePartition sur l’image ci-dessous) pour être détectée par ExpressLane dès son insertion sur la machine cible.
Les données exfiltrées sont sauvegardées dans la partition spéciale sous forme chiffrée et il faut qu’un agent de la CIA use d’un autre outil (Exit Ramp 3.0 sur l’image ci-dessous) pour les déchiffrer et les sauvegarder une fois de retour à la base.
Cette nouvelle publication de WikiLeaks vient rappeler un principe désormais important de l’univers de la cybersécurité, faire attention aux clés USB introduites par des tiers sur son système. Maintenant, comment se comporte un agent des services de liaison si la procédure ne prévoit pas une vérification du matériel détenu par l’agent de l’OTS ?
Quand bien même la procédure le prévoirait, dispose-t-il des bons outils pour savoir ce que la clé renferme comme charge malicieuse ? Des questions qu’on est en droit de se poser même s’il faut se rappeler qu’il s’agit de stratagèmes supposément mis en œuvre par la CIA
.
Source : WikiLeaks
Et vous ?
Voir aussi :
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager