Apple continue de nier avec force les histoires de puces de piratage, Réactions à la publication du 08/10/2018

[Lionel]

Reuters rapporte que le vice-président Apple pour la sécurité de l'information, George Stathakopoulos, a écrit une lettre aux comités du Sénat et de la Chambre des représentants.
Il réaffirme que sa société n'a jamais découvert de puce permettant le piratage de ses produits à distance malgré une recherche active et constante destinée à s'assurer de la sécurité de ses produits.
Pendant ce temps, le département de la sécurité intérieure américain a également affirmé qu'il n'y avait aucune preuve qu'une telle chose ait pu arriver.

Il semble donc, tout du moins pour le moment, que les affirmations de Bloomberg soient erronées.

Lien vers le billet original

[otto87]

Il réaffirme que sa société n'a jamais découvert de puce permettant le piratage de ses produits à distance malgré une recherche active et constante destinée à s'assurer de la sécurité de ses produits.

Vérifier un serveur par semaine, c'est une recherche active et constante
Recherche active c'est beau et une recherche passive c'est quoi?

[jeannot]

"continue à nier", cette formulation laisse entendre qu'Apple ment.

[Lionel]

"continue à nier", cette formulation laisse entendre qu'Apple ment.

Au point de vue sémantique absolument pas. C'est seulement une répétition de la négation.
Tu regardes trop de séries TV qui ont influencé ta perception de cette phrase.
Lio

[ABACA]

"continue à nier", cette formulation laisse entendre qu'Apple ment.

Oui comme de nombreux suspects

[hotinaille]

Il semble donc, tout du moins pour le moment, que les affirmations de Bloomberg soient erronées.

Selon le point de vue d'Apple c'est fort probable et ce serait préférable.
Toutefois on parle d'une trentaine d'entreprises concernées, Apple et Amazon entre autres.

Quid de la première boîte à reconnaître l'installation desdites puces ? Effet domino ?

[malhomme]

Je pense que la chose a été largement discutée y compris ici, ainsi que son improbabilité...

[amike]

"continue à nier", cette formulation laisse entendre qu'Apple ment.

Au point de vue sémantique absolument pas. C'est seulement une répétition de la négation.
Tu regardes trop de séries TV qui ont influencé ta perception de cette phrase.
Lio

L'expression est très souvent utilisée dans sa forme sceptique par Le Monde, Le Figaro et tous les autres organes de presse "mainstream". Un élément de langage comme on dit... Qui est vraiment l'influencé ?

[cyril1]

En même temps et si cela est vrai, ils ne vont pas l'avouer....du moins publiquement !!

[Hebus]

C'est qui les 28 autres boites ? Pourquoi ne les nomment ils pas ???

[otto87]

Je pense que la chose a été largement discutée y compris ici, ainsi que son improbabilité...

FBI avec 17 témoins, je doute que ce ne soit que du vent....

C'est qui les 28 autres boites ? Pourquoi ne les nomment ils pas ???

Parce qu’il y a une conspiration du FBI contre Apple... a moins que la logique veuille que citer 28 boites c'est un peu long, donc on cite les principales, en l’occurrence 2 des GAFAM

[JayTouCon]

les ipads ont été virés des cabinets britanniques donc plausible

[Hebus]

C'est qui les 28 autres boites ? Pourquoi ne les nomment ils pas ???

Parce qu’il y a une conspiration du FBI contre Apple... a moins que la logique veuille que citer 28 boites c'est un peu long, donc on cite les principales, en l’occurrence 2 des GAFAM

Non, parce que ça produit plus de clicks ... tout bêtement ... les pubs ça paye ...

[g4hd]

L'expression est très souvent utilisée dans sa forme sceptique par Le Monde, Le Figaro et tous les autres organes de presse "mainstream". Un élément de langage comme on dit... Qui est vraiment l'influencé ?

En effet, la lecture de certains médias peut être funeste.
Soyons méfiants !

Ce message a été modifié par g4hd - 8 Oct 2018, 13:13.

[iAPX]

Reuters rapporte que le vice-président Apple pour la sécurité de l'information, George Stathakopoulos a écrit une lettre aux comités du Sénat et de la Chambre des représentants.
Il réaffirme que sa société n'a jamais découvert de puce permettant le piratage de ses produits à distance malgré une recherche active et constante destinée à s'assurer de la sécurité de ses produits.
Pendant ce temps, le département de la sécurité intérieure américain a également affirmé qu'il n'y avait aucune preuve qu'une telle chose ait pu arriver.

Il semble donc, tout du moins pour le moment, que les affirmations de Bloomberg soient erronées.

Ça n'est pas ce qu'il raconte, mais "Apple’s proprietary security tools are continuously scanning for precisely this kind of outbound traffic, as it indicates the existence of malware or other malicious activity. Nothing was ever found".
Il explique donc que le traffic sortant est analysé et que rien n'a été trouvé. C'est très indirect et vraiment aléatoire (quasi impossible à réussir face à un attaquant de haut niveau).

Si leur "analyse du traffic sortant" était bonne, ils ne se seraient pas fait pomper 1 To de données (dont des informations personnelles) par un ado Australien sous leur barbe, non?!?

On ne parle toujours pas de recherche de ces puces, physiquement, et ça m'ennuie.
Quand à la réponse du DoHS, elle se contente de dire que "à ce moment" ... "ils n'ont pas de raison de douter" de la réponse des sociétés, ce qui est tout sauf confirmer en préparant deux axes techniques pour sortir un tout autre discours.

J'aimerais que la situation avance avec Apple et Amazon qui cherchent ces puces, et trouvées ou pas indique ce qu'ils ont fait pour cela, physiquement.
Et d'un autre coté que Bloomberg sorte de sa torpeur et soit bien plus précis et technique, en indiquant aussi les postes et secteurs de leurs témoins (sans les griller néanmoins).

Si c'est arrivé c'est énorme en terme de sécurité.
Si ça n'est pas arrivé c'est énorme en terme de médias et l'entrée de plain-pied dans un mode post-vérité.
Moi je suis dans le doute complet dans cette affaire, et je n'aime pas sa tournure car dans les deux cas ça pue!

PS: voilà un truc facile pour sortir une montagne de données d'un site web très visité, sans établir une seule connexion vers l'extérieur (je donne mes pti secrets).
Il suffit de rajouter une ressource dans la sortie (<img> par exemple, surtout pas de javascript), avec le domaine pointant sur une machine créée par l'attaquant, le chemin étant une petite partie des données à sortir, salées aléatoirement, compressées puis chiffrées avec une clé publique installée sur le groupe de serveur attaqué, la clé privée restant entre les mains de l'attaquant.

Chaque appel de page renvoie ces données vers des utilisateurs tout à fait légitimes à travers le globe, un petit bout à la fois, et ça va alors être leurs navigateurs qui vont faire une demande au serveur de l'attaquant, les données chiffrées se trouvant alors dans ses logs, qu'on peut alors ressortir vers PaperTrail ou un autre automatiquement en temps-réel, pour ne plus avoir à se connecter à aucun serveur et compliquer la recherche en cas de découverte (peu probable sur le court terme).

Comme en plus ses infos sont chiffrées, on ne pourra jamais savoir ce qui a été exfiltré comme données en les consultant et seul l'attaquant pourra les déchiffrer avec sa clé privée.
Ça passe toutes les sécurité automatisées que je connaisse, y compris celles qui scannent pour trouver des vulnérabilité Javascript ou du code javascript ajouté dans le flux

Bonus points: se limiter à des blocks d'adresses "sûres", construire cela avec un callback (ou WebHook) légitime, utiliser un nom de domaine proche de ceux utilisés par les traceurs sur le site considéré, mettre une alerte chez PaperTrail (ou autre) s'il y a trop de consultation depuis la société ayant le site, faire faire un petit tour du monde avec escales aux données, tout mettre sur un disque virtuel (en RAM donc) coté serveur attaquant, etc.

Ce message a été modifié par iAPX - 8 Oct 2018, 14:00.

[raoulito]

PS: voilà un truc facile pour sortir une montagne de données d'un site web très visité, sans établir une seule connexion vers l'extérieur (je donne mes pti secrets).
Il suffit de rajouter une ressource dans la sortie (<img> par exemple, surtout pas de javascript), avec le domaine pointant sur une machine créée par l'attaquant, le chemin étant une petite partie des données à sortir, salées aléatoirement, compressées puis chiffrées avec une clé publique installée sur le groupe de serveur attaqué, la clé privée restant entre les mains de l'attaquant.

Chaque appel de page renvoie ces données vers des utilisateurs tout à fait légitimes à travers le globe, un petit bout à la fois, et ça va alors être leurs navigateurs qui vont faire une demande au serveur de l'attaquant, les données chiffrées se trouvant alors dans ses logs, qu'on peut alors ressortir vers PaperTrail ou un autre automatiquement en temps-réel, pour ne plus avoir à se connecter à aucun serveur et compliquer la recherche en cas de découverte (peu probable sur le court terme).

Comme en plus ses infos sont chiffrées, on ne pourra jamais savoir ce qui a été exfiltré comme données en les consultant et seul l'attaquant pourra les déchiffrer avec sa clé privée.
Ça passe toutes les sécurité automatisées que je connaisse, y compris celles qui scannent pour trouver des vulnérabilité Javascript ou du code javascript ajouté dans le flux

Bonus points: se limiter à des blocks d'adresses "sûres", construire cela avec un callback (ou WebHook) légitime, utiliser un nom de domaine proche de ceux utilisés par les traceurs sur le site considéré, mettre une alerte chez PaperTrail (ou autre) s'il y a trop de consultation depuis la société ayant le site, faire faire un petit tour du monde avec escales aux données, tout mettre sur un disque virtuel (en RAM donc) coté serveur attaquant, etc.

tom clancy sort de ce corps   

sinon +1 pour ta conclusion  : quelle que soit la "vérité" si tant est qu'on la sache un jour, il y a eu de graves boulettes à plusieurs endroits.

[ericb2]

Ouch, j'ai cru lire Rastapopoulos ...

Les aventures de Tintin à Cupertino :-p


Edit : improve the title

Ce message a été modifié par ericb2 - 8 Oct 2018, 15:07.

[amike]

Ouch, j'ai cru lire Rastapopoulos ...

Les aventures de Tintin à Cupertino :-p

"le vice-président Apple pour la sécurité de l'information, George Stathakopoulos..."

Twain: "Il y a trois sortes de mensonges : les mensonges, les sacrés mensonges et les stats."

[Nathan]

Pour ceux qui ont le temps, je vous conseille d'écouter la 2e partie

École de guerre

Podcast
Thinkerview

Vidéo
https://thinkerview.com/ecole-de-guerre-letat-du-monde/

[iAPX]

+1 tout Thinkerview mérite d'être écouté, avec des acteurs de différentes origines et pas seulement un discours dogmatique et simpliste.

[DefKing]

"continue à nier", cette formulation laisse entendre qu'Apple ment.

Au point de vue sémantique absolument pas. C'est seulement une répétition de la négation.
Tu regardes trop de séries TV qui ont influencé ta perception de cette phrase.
Lio

L'expression est très souvent utilisée dans sa forme sceptique par Le Monde, Le Figaro et tous les autres organes de presse "mainstream". Un élément de langage comme on dit... Qui est vraiment l'influencé ?

Ces médias sont moins prévenants quand il s'agit d'hommes politiques "présumés innocents" parce que pas encore jugés alors que les faits sont déjà établis par la police et la justice.

[kenzo05000]

"continue à nier", cette formulation laisse entendre qu'Apple ment.

Au point de vue sémantique absolument pas. C'est seulement une répétition de la négation.
Tu regardes trop de séries TV qui ont influencé ta perception de cette phrase.
Lio

Dans un autre genre, Richard Virenque, niait aussi, même avec l’enveloppe de son avocat et les larmes aux yeux.
On connait la suite ......
De toute façon, s'il y a ces puces, et qu'ils ne les ont pas vues, on ne le saura jamais.
A moins qu'ils connaissaient leur existence et les ont "utilisées" pour gruger l'attaquant.....

[iAPX]

...
A moins qu'ils connaissaient leur existence et les ont "utilisées" pour gruger l'attaquant.....

Ma première option devant une attaque si puissante, les suivre, analyser, comprendre, envoyer de la contre-information, prendre le dessus!

Mais ça repose sur l'idée que les serveurs communiquent sur des canaux non-chiffrés fortement, ce qui est trop malheureusement souvent le cas, puisqu'on peut même atteindre des serveurs SQL (en cas de communications non-chiffrées en interne) qui ne sont pas exposés sur Internet et exposer indirectement des données à l'extérieur.
Même sur un serveur non-exposé à Internet (Memcached, MySQL, PostgreSQL, etc.) on peut exploiter les données échangées pour activer des fonctions et exfiltrer des données relativement facilement, ce qui devrait tous nous amener à chiffrer fortement tout échange entre serveurs...

Ce message a été modifié par iAPX - 8 Oct 2018, 16:45.

[JayTouCon]

...
A moins qu'ils connaissaient leur existence et les ont "utilisées" pour gruger l'attaquant.....

Ma première option devant une attaque si puissante, les suivre, analyser, comprendre, envoyer de la contre-information, prendre le dessus!

martine à l'école

[iAPX]

...
A moins qu'ils connaissaient leur existence et les ont "utilisées" pour gruger l'attaquant.....

Ma première option devant une attaque si puissante, les suivre, analyser, comprendre, envoyer de la contre-information, prendre le dessus!

martine à l'école

Peut-être bien ma candeur.

Ou mon expérience de terrain, et au quotidien...

PS: mon dernier retour de Martine à l'école, c'est d'avoir un canal et une personne avec qui communiquer (hors collègues et hiérarchie) si on a été enregistré par sa webcam dans une situation très compromettante (ou une situation mettant en jeu sa vie privée), pour éviter de détruire des vies personnelles et professionnelles et offrir une voie permettant à ceux ou celles qui seraient pris dans ce piège impitoyable (un sénateur US a été pris comme ça et a merdé), de s'en sortir, sans vague, en respectant la vie privée et la personne (et protégeant ainsi notre groupe de ce type d'attaque extrêmement dégueulasse)...

Ce message a été modifié par iAPX - 8 Oct 2018, 17:38.

[_Panta]

Reuters rapporte que le vice-président Apple pour la sécurité de l'information, George Stathakopoulos

Son titre à Georgois, c'est Corporate Information Security, même si c'est délicat à traduire, je trouve la traduction de la news ambiguë, je traduirais par "vice-président Apple de la Sécurité de l'information d'entreprise" même si ça ne me satisfait pas pleinement non plus - Je chipote, je sais

Ce message a été modifié par _Panta - 8 Oct 2018, 18:26.

[yponomeute]

Si c'est arrivé c'est énorme en terme de sécurité.
Si ça n'est pas arrivé c'est énorme en terme de médias et l'entrée de plain-pied dans un mode post-vérité.
Moi je suis dans le doute complet dans cette affaire, et je n'aime pas sa tournure car dans les deux cas ça pue!

Bloomberg, ou plutôt les journalistes derrière cette histoire peuvent très bien être sincères et avoir été manipulés, tu oublies cette hypothèse.

[Hebus]

Pour ceux qui ont le temps, je vous conseille d'écouter la 2e partie

École de guerre

Podcast
Thinkerview

Vidéo
https://thinkerview.com/ecole-de-guerre-letat-du-monde/

Très intéressant... et ça donne des éléments pour rester prudent dès qu’on nous offre une News qui manifestement joue un rôle politique évident

[malhomme]

Bloomberg, ou plutôt les journalistes derrière cette histoire peuvent très bien être sincères et avoir été manipulés, tu oublies cette hypothèse.

C'est ce que j'avais exprimé, et l'idée qu je m'en faisais : un élément dans la stratégie de communication autour des actions menées actuellement (taxes, protectionnisme...).
Si on ajoute que les USA sont dépendant des composants fabriqués en Chine, que nombre d'entreprises de la Silicon Valley essayent de peser dans cette guerre commerciale en en expliquant le coût..

Forcément, cela leur coupe l'herbe sous le pied en déplaçant le débat de l'économique vers la sécurité.

Ce message a été modifié par malhomme - 9 Oct 2018, 10:13.

[iAPX]

Si c'est arrivé c'est énorme en terme de sécurité.
Si ça n'est pas arrivé c'est énorme en terme de médias et l'entrée de plain-pied dans un mode post-vérité.
Moi je suis dans le doute complet dans cette affaire, et je n'aime pas sa tournure car dans les deux cas ça pue!

Bloomberg, ou plutôt les journalistes derrière cette histoire peuvent très bien être sincères et avoir été manipulés, tu oublies cette hypothèse.

C'est une hypothèse, que je rangerais dans le beau fourre-tout "post-vérité".