Un jeune pirate australien a récupéré 90 Go de données sensibles sur les serveurs d'Apple, Réactions à la publication du 16/08/2018

[Lionel]

The Age rapporte qu'un lycéen australien connu pour des faits de piratage a eu accès pendant un certain temps à des serveurs d'Apple et y aurait récupéré 90 Go de données considérées comme fichiers sécurisés, dont certaines contenaient des informations sur les clients de la société.
Apple a fini par s'en rendre compte et a saisi le FBI. Pourtant il avait tout mis en place pour ne pas être retrouvé, utilisant divers artifices comme des VPN. Son erreur ? Avoir utilisé des Mac portables dont le numéro de série a été récupéré par les serveurs d'Apple, ce qui a permis de remonter sa trace.

Il a plaidé coupable et sera condamné le mois prochain. Son avocat annonce que son client s'est introduit dans les serveurs d'Apple parce qu'il est en grand fan de la société. Pas certain que cela change grand chose à sa sentence.

[MàJ] Apple a confirmé officiellement le piratage et a déclaré qu'aucune donnée personnelle d'utilisateur n'avait été compromise.

Lien vers le billet original

[ekami]

Il se murmure que ce serait le coup d'un dénommé "Syndrome" car il est le plus grand fan de M. Indestructible.
Ah non, zut, on me susurre dans l'oreillette qu'il serait mort dans un stupide accident d'avion

Ce message a été modifié par ekami - 16 Aug 2018, 15:04.

[sansnom]

En voilà un jeune qui n'en veut qui commence bien dans la life !...

“Avoir utilisé des Mac portables dont le numéro de série a été récupéré par les serveurs d'Apple ce qui a permis de remonter sa trace.”

Je suis toujours étonné du dévoillement de ce type d'informations sensibles... qui aidera certainement d'autres malendrins ! En espérant aussi qu'il n'ait pas déjà revendu des données !...

“Son avocat annonce que son client s'est introduit dans les serveurs d'Apple parce qu'il est en grand fan de la société.”

Comme foutage de gueule, y-a pas mieux !...

[raoulito]

apple pourrait l'embaucher aussi ? coté sécurité, dire "mettez un mot de passe au root" c'est niveau lycée je pense

[yponomeute]

La juridiction du FBI s'arrête aux frontières des États Unis si je ne m'abuse. Par quel mécanisme judiciaire le gamin a-t-il pu être arrêté en Australie ?

[RaelRael]

A quel moment le numéro de série est envoyé? C'est uniquement au moment de la connexion au serveur, ou sur n'importe quel site web c'est pareil?

avec une installation Linux ou même Windows c'est la même chose?

[yponomeute]

A quel moment le numéro de série est envoyé? C'est uniquement au moment de la connexion au serveur, ou sur n'importe quel site web c'est pareil?

avec une installation Linux ou même Windows c'est la même chose?

Je ne suis pas persuadé qu'il s'agisse du numéro de série, je pense plutôt qu'il s'agit de l'adresse mac et que l'approximation journalistique a transformé ça en numéro de série du mac.

[_Panta]

Il a plaidé coupable et sera condamné le mois prochain.

La sentence sera prononcée, je préfère

A quel moment le numéro de série est envoyé? C'est uniquement au moment de la connexion au serveur, ou sur n'importe quel site web c'est pareil?

avec une installation Linux ou même Windows c'est la même chose?

Je ne suis pas persuadé qu'il s'agisse du numéro de série, je pense plutôt qu'il s'agit de l'adresse mac et que l'approximation journalistique a transformé ça en numéro de série du mac.

Ca serait bien le numero de série qui peut etre demandé par les serveur, selon ce qu'il a "tapé", pour identifier le modele (pour un serveur d'update par exemple ou tout autre nécessitant une identification du hardware)
The AFP found the software that had enabled the hacking had been installed on the teen’s laptop.
Further analysis found that the schoolboy successfully accessed “authorised keys” as part of his offending.
Authorised keys grant log-in access to users and are said to be extremely secure.

Ce message a été modifié par _Panta - 16 Aug 2018, 17:20.

[lolo-69]

La juridiction du FBI s'arrête aux frontières des États Unis si je ne m'abuse. Par quel mécanisme judiciaire le gamin a-t-il pu être arrêté en Australie ?

Parce que les mécanismes judiciaires savent s'activer internationalement pour quelqu'un qui porte atteinte à un gros acteur de la World Company alors que pour quelqu'un qui nuit à des citoyens lambdas, (phishing, escroqueries diverses), ils restent inopérants, car inintéressants à leurs yeux...

Ce message a été modifié par lolo-69 - 16 Aug 2018, 17:46.

[divoli]

Son avocat annonce que son client s'est introduit dans les serveurs d'Apple parce qu'il est en grand fan de la société. Pas certain que cela change grand chose à sa sentence.

Et s'il a récupéré 90 Go de données dont des informations sur des clients d'Apple, c'est parce qu'il voulait se faire plein de nouveaux copains.

[Guest_dtb06_*]

La juridiction du FBI s'arrête aux frontières des États Unis si je ne m'abuse. Par quel mécanisme judiciaire le gamin a-t-il pu être arrêté en Australie ?

Parce que les mécanismes judiciaires savent s'activer internationalement pour quelqu'un qui porte atteinte à un gros acteur de la World Company alors que pour quelqu'un qui nuit à des citoyens lambdas, (phishing, escroqueries diverses), ils restent inopérants, car inintéressants à leurs yeux...

On peut tromper une personne une fois. On peut tromper mille personne mille fois. Non... Je veux dire on peut tromper mille personne une fois. Non. Une personne............ Enfin vous avez compris.

[divoli]

Il a plaidé coupable et sera condamné le mois prochain.

La sentence sera prononcée, je préfère

A quel moment le numéro de série est envoyé? C'est uniquement au moment de la connexion au serveur, ou sur n'importe quel site web c'est pareil?

avec une installation Linux ou même Windows c'est la même chose?

Je ne suis pas persuadé qu'il s'agisse du numéro de série, je pense plutôt qu'il s'agit de l'adresse mac et que l'approximation journalistique a transformé ça en numéro de série du mac.

Ca serait bien le numero de série qui peut etre demandé par les serveur, selon ce qu'il a "tapé", pour identifier le modele (pour un serveur d'update par exemple ou tout autre nécessitant une identification du hardware)
The AFP found the software that had enabled the hacking had been installed on the teen’s laptop.
Further analysis found that the schoolboy successfully accessed “authorised keys” as part of his offending.
Authorised keys grant log-in access to users and are said to be extremely secure.

Au delà du cas d'Apple, à quoi bon utiliser un VPN pour surfer anonymement, si des serveurs récupèrent des informations qui permettent de te retrouver ?

[Pat94]

Cela veux dire quand même une chose "LA SECURITE DES SERVEURS CHEZ APPLE EST NUL" et ils veulent nous vendre du stockage pour sauvegarder leurs binious, inquiétant non ?

[_Panta]

Au delà du cas d'Apple, à quoi bon utiliser un VPN pour surfer anonymement, si des serveurs récupèrent des informations qui permettent de te retrouver ?

C'est qu'il l'a pas fait proprement, il aurait du spoofer le numero de série. Le nombre de meurtres parfait^{- moins un detail oublié} sont légions. Les prochains le sauront

[Touch78]

Au delà du cas d'Apple, à quoi bon utiliser un VPN pour surfer anonymement, si des serveurs récupèrent des informations qui permettent de te retrouver ?

C'est qu'il l'a pas fait proprement, il aurait du spoofer le numero de série. Le nombre de meurtres parfait^{- moins un detail oublié} sont légions. Les prochains le sauront

...yep il aurait pu utiliser un hackintosh

[Lionel]

Personne ne se demande par quel mécanisme le numéro de série de la machine est transmis à un serveur de données ? Qui peut y avoir accès ? Apple seulement, Apple et la NSA ?

[iAPX]

Personne ne se demande par quel mécanisme le numéro de série de la machine est transmis à un serveur de données ? Qui peut y avoir accès ? Apple seulement, Apple et la NSA ?

Comme d'autres l'ont écrit, je pense que les détails lus ici où là ne sont pas vraiment vrais, par approximation, méconnaissance ou tout simplement pour cacher la méthode d'attaque.

Accéder au ~/.ssh/authorized_keys en lecture n'est en aucun cas un problème, et s'il est accessible en écriture c'est qu'on est soit root (ou équivalent via sudo) soit déjà dans le contexte de l'utilisateur, donc c'est assez inutile. Au pire il pourrait être autorisé en écriture à d'autres, auquel cas évidemment openssh et consors refuseront son usage pour authentifier une connexion ssh (ou s'appuyant sur le stack openssl).

Je ne vois pas cette idée de numéro de série du Mac, il doit s'agit plutôt (comme relevé par d'autres) de l'adresse MAC de l'interface utilisée lors des connexions.
Mais là aussi on voit que c'est un gamin, personne n'utiliserait un OS où on ne contrôle pas absolument tout de son stack IP et de ses traces pour hacker quelque-chose, sur un ordinateur non-protégé (chiffrement très dur et mot-de-passe costaud).

À la fin on ne sait quelles données ont été capturées par celui-ci, juste leur volumétrie, ni si elles ont été récupérées en clair ou au contraire chiffrées (et là pour le coup...).

Apple ferait mieux d'indiquer quel types de données ont été capturées, combien d'usagers cela touche et si ces données sont chiffrées (indiquer alors comment pour que la communauté puisse évaluer les risques, notamment d'attaques par Analyse Différentielles qu'il ne faut jamais négliger), et indiquer quelle était la faille et comment ils y ont remédié.

"Si il peut saigner, il peut mourir" - Films série B
Et là, ça va donner des idées à beaucoup de gens, qui sont d'un tout autre niveau que cet adolescent idiot qui confond pouvoir et maîtrise.

PS: voilà le authorized_keys d'une de mes VM (avec des sauts de ligne ajoutés), c'est une clé publique, autant la publier publiquement

Code

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDgqFZLcFUUFnI+Om+chhxI3ywdJBHHjqTHmtOxuJtGK0CEETwQ
oVMcv98s9vL2Rpqkj8zcZCs/173WmmroY1HDmokaOALBGKiqbRrhsrhXywPWy7mk09jxORSIsvbWDpwTrreb12c1Uks/J4
A73pCk0bu3jpurTxCXw17YrI5vzXKKRh4r0XHMDmCa++R7m8Td6hgmB8E00NTAuRkZSgXEPWy/qgKACZBuzmG6LFvXm
8NLMeEXmW8zmFfiyy0W5/pn8627DCff1eJTfn2S0VdXslIHsT4yL8uj4lxGUTg+u/r+TJIlQGBtb3oz/Ri/E04eEpZFNyeaqFPJ/ikxL5Sz [email protected]

Ce message a été modifié par iAPX - 16 Aug 2018, 21:09.

[JayTouCon]

c'est sans doute le but

le gamin n'est qu'un prétexte.

[castor74]

C'est typiquement le genre d'info dont je me fous. Que ce soit un vilain garnement australien ou un méchant hacker russe, ça ne change strictement rien. Dans 10 jours, ce sera un autre boutonneux qui piratera je ne sais quoi d'autre de sensible chez Truc ou Machin, et ce sera de toute façon sans fin. Ça va sûrement pas m'empêcher de dormir.

[_Panta]

Je ne vois pas cette idée de numéro de série du Mac, il doit s'agit plutôt (comme relevé par d'autres) de l'adresse MAC de l'interface utilisée lors des connexions..

Honnêtement je ne pense pas qu'ils l'ont coincé par la MAC, c'est tout de même la base, sans compter que le VPN a du obfusquer sa MAC. Il n'y a pas plus simple que de changer sa MAC

sudo ifconfig <interface> <class> <address>
par exemple
sudo ifconfig en1 ether 00:AA:22::BB:33:CC

Donc en plus d'un vilain pirate cela serait un mauvais pirate

Je suis aussi persuadé que ce numero de série fait parti de processus d'autorisation d'accès à pas mal de services d'Apple, comme l'Apple care en ligne, Locate my Mac ou TM

Quoiqu'il en soit il s'y est mal prit, et comme il a plaidé coupable, la divulgation des process n'ont pas du etre abordé et donc pas dans les minutes du procès

Ce message a été modifié par _Panta - 16 Aug 2018, 21:27.

[iAPX]

Je ne vois pas cette idée de numéro de série du Mac, il doit s'agit plutôt (comme relevé par d'autres) de l'adresse MAC de l'interface utilisée lors des connexions..

Honnêtement je ne pense pas qu'ils l'ont coincé par la MAC, c'est tout de même la base, sans compter que le VPN a du obfusquer sa MAC. Il n'y a pas plus simple que de changer sa MAC

sudo ifconfig <interface> <class> <address>
par exemple
sudo ifconfig en1 ether 00:AA:22::BB:33:CC

Donc en plus d'un vilain pirate cela serait un mauvais pirate


Je suis aussi persuadé que ce numero de série fait parti de processus d'autorisation d'accès à pas mal de services d'Apple, comme l'Apple care en ligne, Locate my Mac ou TM

Oui mais là aussi tu en prends un autre, même presque légalement en allant dans un AppleStore et en faisant afficher celui des Mac de démo. Facile et rapide.
Au pire un peu de piratage social et tu utilises celui de quelqu'un d'autre sous prétexte de l'aider (tu peux même être payé pour ça tant qu'à faire), si tu n'es pas capable d'en dégoter un sur le web.

Sérieusement?!?

Dans les infos ici ou là, rien ne se tient sérieusement et toutes les informations attendues sont absentes (qui a été touché, nombre de comptes, quelles informations, en clair ou chiffré, et si oui comment, etc). Ça ne sent pas bon pour Apple en fait.

Ce message a été modifié par iAPX - 16 Aug 2018, 21:28.

[_Panta]

D'ou l'intérêt pour Apple du Plaidé coupable, qui obfusque le process utilisé

Ce message a été modifié par _Panta - 16 Aug 2018, 21:30.

[Yves PRA]

Quel que soit le "coupable" (lycéen surdoué ou vieux crabe mafieux) et quelle que soit la "victime" (Apple, Google, autre vendeur de Cloud), ce genre d'info incite à se méfier au plus haut point de toute ces gentilles sociétés qui nous incitent à mettre notre vie numérique en "sécurité" chez eux !
Il y aura toujours un Gros Malin pour contourner la dernière super-sécurité Cloudique, vendue très très cher bien sur...
Je n'ai jamais eu la moindre confiance dans ces dispositifs, et ça n'est pas prêt de changer.

[fxn]

Je ne vois pas cette idée de numéro de série du Mac, il doit s'agit plutôt (comme relevé par d'autres) de l'adresse MAC de l'interface utilisée lors des connexions..

Honnêtement je ne pense pas qu'ils l'ont coincé par la MAC, c'est tout de même la base, sans compter que le VPN a du obfusquer sa MAC. Il n'y a pas plus simple que de changer sa MAC

sudo ifconfig <interface> <class> <address>
par exemple
sudo ifconfig en1 ether 00:AA:22::BB:33:CC

Donc en plus d'un vilain pirate cela serait un mauvais pirate

Je suis aussi persuadé que ce numero de série fait parti de processus d'autorisation d'accès à pas mal de services d'Apple, comme l'Apple care en ligne, Locate my Mac ou TM

Quoiqu'il en soit il s'y est mal prit, et comme il a plaidé coupable, la divulgation des process n'ont pas du etre abordé et donc pas dans les minutes du procès

oui le N° de série est accessible par les serveurs d'Apple... comme dans les cas que tu cites, il y aussi l'application "Messages"

pour connaître l'adresse MAC (qui rappelons-le n'a rien à voir avec "Mac...intosh" il faut avoir localisé le routeur (par exemple un cybercafé ou une librairie de fac) d'où est parti la connection et pouvoir fouiller dans des logs locaux dans la mesure où ils sont conservés, car l'adresse MAC ne sort pas du réseau local

[_Panta]

oui le N° de série est accessible par les serveurs d'Apple... comme dans les cas que tu cites, il y aussi l'application "Messages"

Ah oui, effectivement "Messages" doit en avoir besoin pour identifier de façon formelle la machine.
Je ne suis pas penché sur comment spoofer (usurper) un numero de série sous MAC comme on le fait sous Hackintosh, ou comment fait Apple lui meme comme par exemple pour en reinjecter un nouveau aux machines issues du refurb

Ce message a été modifié par _Panta - 16 Aug 2018, 21:59.

[divoli]

pour connaître l'adresse MAC (qui rappelons-le n'a rien à voir avec "Mac...intosh" il faut avoir localisé le routeur (par exemple un cybercafé ou une librairie de fac) d'où est parti la connection et pouvoir fouiller dans des logs locaux dans la mesure où ils sont conservés, car l'adresse MAC ne sort pas du réseau local

Donc l'adresse MAC devrait être cachée par l'utilisation d'un VPN, non ?

[_Panta]

pour connaître l'adresse MAC (qui rappelons-le n'a rien à voir avec "Mac...intosh" il faut avoir localisé le routeur (par exemple un cybercafé ou une librairie de fac) d'où est parti la connection et pouvoir fouiller dans des logs locaux dans la mesure où ils sont conservés, car l'adresse MAC ne sort pas du réseau local

Donc l'adresse MAC devrait être cachée par l'utilisation d'un VPN, non ?

Oui, sauf si le VPN est transparent, c'est la MAC (hardware ou virtuelle - comme sur une machine virtuelle - peu importe) du VPN qui apparaitra, tout comme son IP. Mais un VPN est un "reseau local", techniquement, mais distant géographiquement, pour résumer trivialement, et donc la MAC originelle peut apparaitre dans les logs du VPN - Pour cette raison que si vous utilisez un VPN, tres bonne idée d'ailleurs pour 1000 raisons pas forcement illégale, par exemple parceque votre FAI fait du QoS et bride certains services à votre insu, comme la guerre Free-Youtube, bien se renseigner sur ce que le prestataire log ou pas. Une erreur de "débutant" peut provenir également d'un DNS leak si on ne demande pas au VPN de bypasser nos propres DNS, ce qui peut etre suffisant à vous géolocaliser en allant taper les logs du serveur DNS - Donc il faut bien penser à tout, et c'est la où il a merdé et fait attrapé (comme le jour ou j'ai oublié de vider le spooler de l'imprimante/photocopieuse il y a une 20taines d'années, alors qu'on avait pas le droit de l'utiliser de maniere personnelle, et qu'on ma ressorti tout les documents que j'avais imprimé et pourtant supprimé toute trace de partout, dont mon CV, qui leeur a servi d'excuse pour me virer "puisque vous avez imprimé un CV, c'est que vous avez l'intention de nous quitter, donc bye bye à vos frais - Comme ça qu'on apprends

Ce message a été modifié par _Panta - 16 Aug 2018, 22:29.

[M_Marc]

La juridiction du FBI s'arrête aux frontières des États Unis si je ne m'abuse. Par quel mécanisme judiciaire le gamin a-t-il pu être arrêté en Australie ?

Le FBI ne connais pas de frontières!

[_Panta]

La juridiction du FBI s'arrête aux frontières des États Unis si je ne m'abuse. Par quel mécanisme judiciaire le gamin a-t-il pu être arrêté en Australie ?

Le FBI ne connais pas de frontières!

Cela aurait été pareil si le gars avait été Français, sauf que la France n'extrade pas ses ressortissants, et il aurait donc été jugé chez nous. (D'ailleurs il a été jugé par la "Couronne" donc toujours en Australie, il fera vraisemblablement sa peine, si prononcée, en Australie)

[otto87]

La juridiction du FBI s'arrête aux frontières des États Unis si je ne m'abuse. Par quel mécanisme judiciaire le gamin a-t-il pu être arrêté en Australie ?

Australie et US sont très liés sans compter le coté extraterritoriale de la justice US (un scandale).
Mais bon au lieu de le mettre en prison il faudrait l'embaucher. Que la première capitalisation boursière se fasse hacker par un gamin devrait soulever des questions