Les échanges avec iCloud pourraient être espionnés, Réactions à la publication du 19/07/2019

[Lionel]

Selon le Financial Times, un spyware vendu par la société israélienne NSO Group appelé Pegasus permettrait d'espionner les appareils iOS et Android.
Il irait même plus loin et serait capable de percer le chiffrement des logiciels de communication chiffrés et les échanges avec les services cloud dont iCloud.

On ignore tout des failles qui sont utilisées et Apple aussi puisqu'elles n'ont pas été comblées.

Interrogée, Apple n'a pas nié l'existence de tels logiciels, se contentant d'indiquer qu'il serait possible d'y arriver sur un petit nombre de cibles et que cela ne pourrait s'appliquer à un espionnage de masse.

Dans la théorie, la société qui commercialise ce logiciel ne le fait qu'à des organismes d'état légitimes.

Lien vers le billet original

[otto87]

Si la sécu est cassé, rien n’empêche l'espionnage de masse surtout par un état et plus particulièrement par l'état le plus parano du monde avec des moyen quasiment infinis...

[magoo99]

En entend très souvent parler de sociétés Israéliennes quand il s'agit de casser le chiffrement de nos données.
Je me souviens du cas de déverrouillage des iPhone.
Cela m'inquiète et me rend très méfiant vers les produits (logiciels, apps) de provenance de ce pays.

[iSpeed]

Franchement, tu crois qu'en France on n'espionne pas, on vend des armes qu'à des gentils et nos dirigeants sont honnêtes sans reproches

[otto87]

En France, il y a des sondes DPI sur toute les entrées fibres et adsl...

[Pascalou67200]

En tant que spécialiste dans la sûreté, les produits israéliens sont dans le top dans ce domaine.

[downanotch]

Il irait même plus loin et serait capable de percer le chiffrement des logiciels de communication chiffrés et les échanges avec les services cloud dont iCloud.

L'article de 9to5mac ne dit pas cela. Il parle d'usurpation de jeton d'authentification, en gros il se fait passer pour une machine authentifiée.

[iAPX]

En tant que spécialiste dans la sûreté, les produits israéliens sont dans le top dans ce domaine.

+1

Israël à des pôles technologiques incroyables par rapport à sa taille, je pense que c'est le premier au monde de loin en terme de technologies très avancée développées par tête d'habitant.

[raoulito]

En tant que spécialiste dans la sûreté, les produits israéliens sont dans le top dans ce domaine.

+1
Israël à des pôles technologiques incroyables par rapport à sa taille, je pense que c'est le premier au monde de loin en terme de technologies très avancée développées par tête d'habitant.

ouaip, IA entre autre...
on parle d'une nouvelle silicon valley là-bas, ils ont mis les moyens pour promouvoir les hautes technos depuis une dizaine d'années et ca paye..

mais revenons au sujet. Le seul moyen de percer le chiffrage d'une convo crypté, serait d'avoir chopé les chefs de chiffrement à la source, ou alors d'etre "dans l'ecran" pour afficher le contenu d'une discussion, non ?
Je veux dire par là, que cette convo n'est pas crypté à deux endroits: la memoire de chaque smartphone.

@downanotch
haa au temps pour moi, on est donc bien du coté des clefs qui seraient interceptées

PS: les gouvernements chypriotes et israeliens ont attaqué la société en justice.

Ce message a été modifié par raoulito - 19 Jul 2019, 16:24.

[Nathan]

Allô la terre ?
Tout ce qui transite sur vos pc Mac et autres smartphones iOS Android est "écoute, espionnę" si cela a un intérêt pour l économie américaine

Ça fait des années, depuis la fin de la guerre froide que ça fonctionne comme cela
l espionnage entre alliés et autres
Ça a commencé avec échelon

https://youtu.be/cX0q-yFFQrQ

Et pour Internet et les imessages ça ce fait depuis le début aussi
C est fou de croire le contraire ou de feindre l igorance, snowden a déjà expliqué tout cela il y a déjà bien longtemps pour les américains
Pour les chinois et les russes ben c est pareil sauf que le snowden local n a pas encore avoué où il est déjà en prison

:-)

Regardez juste ce qui est en train de sortir en ce moment sur Alstom depuis que Frédéric Pierrucci peut enfin révéler
Tout ce qui est payée en dollar ou tout email qui passe par un cloud américains et vous êtes espionné voir emprisonné par les ricains si ça peut leur rapporter du fric

[raoulito]

Allô la terre ?
Tout ce qui transite sur vos pc Mac et autres smartphones iOS Android est "écoute, espionnę" si cela a un intérêt pour l économie américaine
Ça fait des années, depuis la fin de la guerre froide que ça fonctionne comme cela
l espionnage entre alliés et autres
Ça a commencé avec échelon

absolument pas.
ca a commencé à la seconde où tu as voulu savoir qui allait vraiment voir ta fille pendant de sheures chez sa soit-disante copine. C'etait approximativement lorsque que l'homme a vaguement commencé à être sédentaire et avoir quelques possessions. Le partage de la terre, de la nourriture, d ela chasse et des technique a de fait entrainé l'apparition du renseignement sur l'autre, allié ou pas, pour savoir ou il etait par rapport à moi et aux mien.
Ca doit bien faire plus d'un demi million d'années je pense.

La NSA d'alors savait grimper discretos sur les dos de smammouth pour surveiller le campement voisin et un jour, un des épieur tomba et avoua aux autres qu'on les surveillait. Ce Snowden là, TOUT LE MONDE L'A OUBLIE BORDEL DE CROTTE !
LUI IL ETAIT VRAI, car il n'avait pas d'exemple à suivre... (c'tait un pur celui-là)

Ce message a été modifié par raoulito - 19 Jul 2019, 18:39.

[iAPX]

c'est pas faux.

PS: @Nathan c'est édifiant effectivement.

Ce message a été modifié par iAPX - 19 Jul 2019, 19:16.

[ungars]

Il faut donc envoyer sur le "cloud" des documents déjà cryptés ?

[otto87]

Il faut donc envoyer sur le "cloud" des documents déjà cryptés ?

Idéalement oui sauf que :
- qui a codé l'algo de crypto
- l'algo est-il safe
- qui a généré les clés
- le hardware qui a fait tourné les algo est-il safe?
- l'os utilisé est-il safe?


La réponse est au minimum, 4 de ces conditions ne sont pas respectées.... voir 5...
Si on considère que a NSA a accès à des ordis quantiques d'une dizaine d'années d'avance sur ce qui peut s'acheter pour le grand publique très fortuné (militaire oblige)...

On doit non seulement faire face a du hardware/software noyauté plus, au minimum, une décennie d'avance technologique/scientifique...

Les universitaires qui trouvent des failles sont des petits gars qui bossent tout seul voir avec une toute petite équipe (même dans une université US, supérieur de 10 personnes au grand max). Là on parle d’entités étatiques avec budget quasi-illimités, puissance de calcul plusieurs puissance de 10 et en plus, et des équipes composés de centaines de chercheurs sans aucune limite éthique.

S'imaginer avoir la moindre confidentialité face aux USA et quelques autre pays, est du pure fantasme...
Et encore je suis gentil, en me limitant à une décennie d'avance.... Certaines infos que j'ai eu par un consultant militaire français avec lequel je m'entendais bien, donnaient en 2003 pour la vidéo surveillance, des choses qui se sont tout juste officielles en 2019, et officiellement en panne (gilets jaunes LOL)!

[jakin1950]

Il faut rester calme .

Pour un individu lambda comme moi le risque est nul, inférieur à celui de perdre ses données par un crash d'orinateur
Les clouds montés sont cryptés par un ransomware en très peu de temps

Je me contente d'utiliser un vpn lorsque je suis dans une gare ou un hôtel pour éviter de me faire pirater par un petit hacker.

Le risque de piratage wifi quand 10 réseaux sont accessibles dans l'immeuble est possible.
si on met un vpn sur le réseau local ,on ne pourra pas imprimer en wifi

Le risque le plus important est aux mots de passe qui ne changent pas et sont utilisés pour tous les comptes.

Par contre , je trouve que la DGSI fait son métier en retrouvant des islamistes d'al qaida

[Nathan]

Justement un lambda plus des millions de autres lambdas c est une population un pays une économie
Tu as le sentiment d'être être protège du petit pirates via ton vpn et c est bien tu as une hygiène informatique
Là on parle de moyen que seul la NSA et consorts ont pour faire du piratage industriel
Regarde autour de toi, famille contact client etc
Si l un d eux est visé par une "Surveillance" tu l es aussi par ricochet

Lambda ou pas

[iAPX]

J'irais plus loin car certaines agences (notamment la NSA) ne surveillent pas X ou Y sélectivement, mais absolument tout ceux qu'ils peuvent, "préventivement".

Et on devrait donc tous avoir peur.

[captaindid]

...
Ca doit bien faire plus d'un demi million d'années je pense.

LOL, ben ne pense pas! tu n'a aucune notion du temps historique géologique etc...
on considère que l'homme moderne est apparu il y a environ 120 000 ans.
avant il y avait des hominidés, dont les systèmes de renseignements devaient être rudimentaires, pour être poli.
après ça dépend où on place la barre: les félins acquièrent aussi des renseignements (notamment olfactifs) sur leur congénères, leur gibier ...
donc on peut remonter très loin mais peut-on appeler ça du renseignement au sens où on l'entend aujourd'hui?

La NSA d'alors savait grimper discretos sur les dos de smammouth pour surveiller le campement voisin...

jamais entendu que l'on avait domestiqué le mammouth et utilisé celui-ci comme moyen de transport!
tes connaissances sur la préhistoire viennent d'une BD ou d'un dessin animé?

[malloc]

Vlan!
Ça t’apprendra à faire des figures de style raoulito.
Imagine seulement ce qui t’attend si tu te risques au second degré

[iAPX]

Agression purement gratuite pour un texte que j'ai trouvé drôle avec quand-même une réflexion de fond sur la surveillance et l'humanité.

[broitman]

Les echanges Cloud sont aisement piratables, l'exemple de la police de Londres recemment en est la meilleure illustration

[ziggyspider]

En tant que spécialiste dans la sûreté, les produits israéliens sont dans le top dans ce domaine.

Parce que tu appels ce comportement de la sureté … Moi, il y a un tas d'autres qualificatifs qui me viennent à l'esprit et ils n'ont rien à voir avec quelque chose de sûr.

[raoulito]

...
Ca doit bien faire plus d'un demi million d'années je pense.

LOL, ben ne pense pas! tu n'a aucune notion du temps historique géologique etc...
on considère que l'homme moderne est apparu il y a environ 120 000 ans.
avant il y avait des hominidés, dont les systèmes de renseignements devaient être rudimentaires, pour être poli.
après ça dépend où on place la barre: les félins acquièrent aussi des renseignements (notamment olfactifs) sur leur congénères, leur gibier ...
donc on peut remonter très loin mais peut-on appeler ça du renseignement au sens où on l'entend aujourd'hui?

La NSA d'alors savait grimper discretos sur les dos de smammouth pour surveiller le campement voisin...

jamais entendu que l'on avait domestiqué le mammouth et utilisé celui-ci comme moyen de transport!
tes connaissances sur la préhistoire viennent d'une BD ou d'un dessin animé?

alors.. effectivmeent c'etait du second degré pour la partie mammouth
quand à la premiere ben oui tu as raison, ils etaient extremement rudimentaire,s je dirais meme plus que si tu regardes ton chien ou ton chat, ne sont-ils pas là à surveiller en permanence qui fait quoi ?
sont-ce des hommes? risquent-ils l'attaque d'un prédateur ?
non, donc c'est dans la loi de la nature elle-meme, un reflexe conditionné, de vouloir en savoir le plus possible pour se sentir le plus en sécurité. C'est le fondement meme du renseignement, bien entendu !
Et toi, savoir lire le second degré, c'est étudié dès le collège, as-tu manqué cette étape?

[jakin1950]

internet est un endroit dangereux , où on a une fausse impression de liberté

Après , c'est une question de volonté et de moyens :
Pour gêner les développement atomique de l'Iran , on peut utiliser des bombes ,assassiner des ingénieurs ou détruire les centrifugeuses informatiquement

Nous avons fait fabriquer nos machines par les chinois qui les ont copié et nous les vendent maintenant . L'espionnage industriel est pour eux parfaitement licite.

Internet n'est pas plus ou moins dangereux que le reste

Ma femme s'est fait attaquer par un fou avec un revolver place de la mairie de notre petite ville . En fille de militaire , elle a bien réagi et a su s'en tirer indemne.

L'informatique des entreprises est attaquées plusieurs fois par an : demande de rançon ou malveillance d'un concurrent

Je me soucis peu que la DGSE ait la possibilité de traverser mon VPN.
Je n'ai aucune importance et ne peut être que la cible d'un hacker de quartier

Tous ces capacités de surveillance, comme les cameras ont une efficacité médiocre, n’empêchent pas les attaques, cambriolages , ni le phishing

[linus]

J'ai récemment assisté à une conférence sur la Cybersécurité par un expert du CEA. Questionné sur le problème du piratage des flux cryptés il a dit ceci en substance : "Au labo, on a voulu voir si on saurait faire et on a donc construit un prototype. Dans les cas simples on met quelques minutes mais plus souvent 1/2h, et si c'est difficile, quelques heures". Il a refusé de commenter au-delà. En fait ce n'est pas le premier expert issus de labos développant de nouvelles technos de cryptage ou des outils de cybersécurité qui nous raconte que les protections actuelles (RSA ou autres) sont assez illusoires.
Ajoutez à cela ce que j'ai déjà dit sur ce forum : il y a 7-8 ans un expert réseau m'avait expliqué qu'il était facile de pirater un wi-fi à 5 km de distance. Plus récemment, un expert de la DGSI (Direction Générale de la Sécurité Intérieure) venu nous prêcher la prudence, a dit que c'est plutôt à 50 km maintenant. Sartmatt en doute mais est ce si incroyable que cela ?
Bref, il y a des faux billets qui circulent depuis longtemps et, à titre individuel, on n'y peut pas grand chose, il y a des experts du piratage de carte bleue et on n'y peut pas grand chose, il y a des experts en virus et autres malwares et on n'y peut pas grand chose même avec un antivirus, ... Les outils de protection des personnes lambda comme moi sont dérisoires, il me reste juste à espérer que je suis si insignifiant et dénué d'intérêt que les malveillants regarderont ailleurs.

[iAPX]

J'ai récemment assisté à une conférence sur la Cybersécurité par un expert du CEA. Questionné sur le problème du piratage des flux cryptés il a dit ceci en substance : "Au labo, on a voulu voir si on saurait faire et on a donc construit un prototype. Dans les cas simples on met quelques minutes mais plus souvent 1/2h, et si c'est difficile, quelques heures". Il a refusé de commenter au-delà. En fait ce n'est pas le premier expert issus de labos développant de nouvelles technos de cryptage ou des outils de cybersécurité qui nous raconte que les protections actuelles (RSA ou autres) sont assez illusoires.
...

Eh bien moi je doute énormément de la réalité de ce que tu nous rapportes sur les flux de données chiffrées: si tel était le cas ça se saurait dans différent milieux avec des témoignages publiques.

Qu'il y ai des backdoors, des implémentations foireuses (souvent le cas, des fois avec un coup-de-pouce de la NSA), voir une incompréhensions des bases de la cryptographie, je suis d'accord, mais qu'il ne soit pas possible de protéger, je m'inscris en faux.
Il est même très facile de bien chiffrer avec des technologies connues et reconnues, documentées, et pour les meilleurs cipher il y a des concours ouvert à tous, qui s'étalent sur des années pour les exposer publiquement chacun à toutes les analyses et critiques, éliminant de fait tous les trafficotages de la NSA (SHA aka SHA-0, magic numbers, générateur de nombres pas si aléatoires que ça, etc.)

[jakin1950]

si vous voulez lire un article de bonne qualité sur le sujet:
https://www.igen.fr/ios/2019/07/pegasus-un-...-108797#comment

Par contre les commentaires ne volent pas haut

Il a a un qui se dit surveillé par le Mossad

[iAPX]

si vous voulez lire un article de bonne qualité sur le sujet:
https://www.igen.fr/ios/2019/07/pegasus-un-...-108797#comment

Par contre les commentaires ne volent pas haut

Il a a un qui se dit surveillé par le Mossad

Rien lu du Mossad dans les commentaires.

En revanche, Amnesty International et d'autres groupes sont en train d'attaquer légalement NSO pour avoir monté des attaques (probablement directes) contre ces mêmes groupes de défense des droits de l'homme ainsi que leurs avocats. Lire ici pour Amnesty, ou ici pour l'avocat.

Le type de logiciel espion dont on parle dans le sujet n'est que peu ou pas utilisés par des démocraties, car ceux qui espionnent massivement se sont dotés de capacités de le faire comme la NSA aux USA, on va plutôt les trouver dans des pays bafouant les droits de l'homme et des multinationales, notamment dans le domaine de l'armement...

Ce message a été modifié par iAPX - 21 Jul 2019, 12:17.

[JayTouCon]

rien de nouveau sous le soleil.

pour y échapper les échanges se faisaient il y a quelques années avec des rajouts dans des jeux vidéo en cartouche pour communiquer. création de niveaux qui donnaient les infos. console jamais connectées à quoi que ce soit. à part une prise de courant..

[iAPX]

rien de nouveau sous le soleil.

pour y échapper les échanges se faisaient il y a quelques années avec des rajouts dans des jeux vidéo en cartouche pour communiquer. création de niveaux qui donnaient les infos. console jamais connectées à quoi que ce soit. à part une prise de courant..

Ça c'est intéressant et une nouveauté pour moi, peux-tu développer en donnant des exemples?

Je pensais avoir tout vu, depuis les années 80 et le CCC, je suis heureux d'en apprendre de nouvelles