Version imprimable du sujet

Écrit par : Lionel 19 Jul 2019, 11:40

Selon le Financial Times, un spyware vendu par la société israélienne NSO Group appelé Pegasus permettrait d'espionner les appareils iOS et Android.
Il irait même plus loin et serait capable de percer le chiffrement des logiciels de communication chiffrés et les échanges avec les services cloud dont iCloud.

On ignore tout des failles qui sont utilisées et Apple aussi puisqu'elles n'ont pas été comblées.

Interrogée, Apple n'a pas nié l'existence de tels logiciels, se contentant d'indiquer qu'il serait possible d'y arriver sur un petit nombre de cibles et que cela ne pourrait s'appliquer à un espionnage de masse.

Dans la théorie, la société qui commercialise ce logiciel ne le fait qu'à des organismes d'état légitimes.

http://macbidouille.com/news/2019/07/19/les-echanges-avec-icloud-pourraient-etre-espionnes

Écrit par : otto87 19 Jul 2019, 11:56

Si la sécu est cassé, rien n’empêche l'espionnage de masse surtout par un état et plus particulièrement par l'état le plus parano du monde avec des moyen quasiment infinis...

Écrit par : magoo99 19 Jul 2019, 12:09

En entend très souvent parler de sociétés Israéliennes quand il s'agit de casser le chiffrement de nos données.
Je me souviens du cas de déverrouillage des iPhone.
Cela m'inquiète et me rend très méfiant vers les produits (logiciels, apps) de provenance de ce pays.

Écrit par : iSpeed 19 Jul 2019, 12:27

Franchement, tu crois qu'en France on n'espionne pas, on vend des armes qu'à des gentils et nos dirigeants sont honnêtes sans reproches

Écrit par : otto87 19 Jul 2019, 12:43

En France, il y a des sondes DPI sur toute les entrées fibres et adsl...

Écrit par : Pascalou67200 19 Jul 2019, 13:16

En tant que spécialiste dans la sûreté, les produits israéliens sont dans le top dans ce domaine.

Écrit par : downanotch 19 Jul 2019, 13:26

L'article de 9to5mac ne dit pas cela. Il parle d'usurpation de jeton d'authentification, en gros il se fait passer pour une machine authentifiée.

Écrit par : iAPX 19 Jul 2019, 13:36

+1

Israël à des pôles technologiques incroyables par rapport à sa taille, je pense que c'est le premier au monde de loin en terme de technologies très avancée développées par tête d'habitant.

Écrit par : raoulito 19 Jul 2019, 15:29

ouaip, IA entre autre...
on parle d'une nouvelle silicon valley là-bas, ils ont mis les moyens pour promouvoir les hautes technos depuis une dizaine d'années et ca paye..

mais revenons au sujet. Le seul moyen de percer le chiffrage d'une convo crypté, serait d'avoir chopé les chefs de chiffrement à la source, ou alors d'etre "dans l'ecran" pour afficher le contenu d'une discussion, non ?
Je veux dire par là, que cette convo n'est pas crypté à deux endroits: la memoire de chaque smartphone.

@downanotch
haa au temps pour moi, on est donc bien du coté des clefs qui seraient interceptées

PS: les gouvernements chypriotes et israeliens ont attaqué la société en justice.

Écrit par : Nathan 19 Jul 2019, 17:07

Allô la terre ?
Tout ce qui transite sur vos pc Mac et autres smartphones iOS Android est "écoute, espionnę" si cela a un intérêt pour l économie américaine

Ça fait des années, depuis la fin de la guerre froide que ça fonctionne comme cela
l espionnage entre alliés et autres
Ça a commencé avec échelon

https://youtu.be/cX0q-yFFQrQ

Et pour Internet et les imessages ça ce fait depuis le début aussi
C est fou de croire le contraire ou de feindre l igorance, snowden a déjà expliqué tout cela il y a déjà bien longtemps pour les américains
Pour les chinois et les russes ben c est pareil sauf que le snowden local n a pas encore avoué où il est déjà en prison

:-)

Regardez juste ce qui est en train de sortir en ce moment sur Alstom depuis que Frédéric Pierrucci peut enfin révéler
Tout ce qui est payée en dollar ou tout email qui passe par un cloud américains et vous êtes espionné voir emprisonné par les ricains si ça peut leur rapporter du fric

Écrit par : raoulito 19 Jul 2019, 18:38

absolument pas.
ca a commencé à la seconde où tu as voulu savoir qui allait vraiment voir ta fille pendant de sheures chez sa soit-disante copine. C'etait approximativement lorsque que l'homme a vaguement commencé à être sédentaire et avoir quelques possessions. Le partage de la terre, de la nourriture, d ela chasse et des technique a de fait entrainé l'apparition du renseignement sur l'autre, allié ou pas, pour savoir ou il etait par rapport à moi et aux mien.
Ca doit bien faire plus d'un demi million d'années je pense.

La NSA d'alors savait grimper discretos sur les dos de smammouth pour surveiller le campement voisin et un jour, un des épieur tomba et avoua aux autres qu'on les surveillait. Ce Snowden là, TOUT LE MONDE L'A OUBLIE BORDEL DE CROTTE !
LUI IL ETAIT VRAI, car il n'avait pas d'exemple à suivre... (c'tait un pur celui-là)

Écrit par : iAPX 19 Jul 2019, 18:45

c'est pas faux.

PS: @Nathan c'est édifiant effectivement.

Écrit par : ungars 19 Jul 2019, 21:36

Il faut donc envoyer sur le "cloud" des documents déjà cryptés ?

Écrit par : otto87 20 Jul 2019, 00:11

Idéalement oui sauf que :
- qui a codé l'algo de crypto
- l'algo est-il safe
- qui a généré les clés
- le hardware qui a fait tourné les algo est-il safe?
- l'os utilisé est-il safe?


La réponse est au minimum, 4 de ces conditions ne sont pas respectées.... voir 5...
Si on considère que a NSA a accès à des ordis quantiques d'une dizaine d'années d'avance sur ce qui peut s'acheter pour le grand publique très fortuné (militaire oblige)...

On doit non seulement faire face a du hardware/software noyauté plus, au minimum, une décennie d'avance technologique/scientifique...

Les universitaires qui trouvent des failles sont des petits gars qui bossent tout seul voir avec une toute petite équipe (même dans une université US, supérieur de 10 personnes au grand max). Là on parle d’entités étatiques avec budget quasi-illimités, puissance de calcul plusieurs puissance de 10 et en plus, et des équipes composés de centaines de chercheurs sans aucune limite éthique.

S'imaginer avoir la moindre confidentialité face aux USA et quelques autre pays, est du pure fantasme...
Et encore je suis gentil, en me limitant à une décennie d'avance.... Certaines infos que j'ai eu par un consultant militaire français avec lequel je m'entendais bien, donnaient en 2003 pour la vidéo surveillance, des choses qui se sont tout juste officielles en 2019, et officiellement en panne (gilets jaunes LOL)!

Écrit par : jakin1950 20 Jul 2019, 07:05

Il faut rester calme .

Pour un individu lambda comme moi le risque est nul, inférieur à celui de perdre ses données par un crash d'orinateur
Les clouds montés sont cryptés par un ransomware en très peu de temps

Je me contente d'utiliser un vpn lorsque je suis dans une gare ou un hôtel pour éviter de me faire pirater par un petit hacker.

Le risque de piratage wifi quand 10 réseaux sont accessibles dans l'immeuble est possible.
si on met un vpn sur le réseau local ,on ne pourra pas imprimer en wifi

Le risque le plus important est aux mots de passe qui ne changent pas et sont utilisés pour tous les comptes.

Par contre , je trouve que la DGSI fait son métier en retrouvant des islamistes d'al qaida

Écrit par : Nathan 20 Jul 2019, 12:12

Justement un lambda plus des millions de autres lambdas c est une population un pays une économie
Tu as le sentiment d'être être protège du petit pirates via ton vpn et c est bien tu as une hygiène informatique
Là on parle de moyen que seul la NSA et consorts ont pour faire du piratage industriel
Regarde autour de toi, famille contact client etc
Si l un d eux est visé par une "Surveillance" tu l es aussi par ricochet

Lambda ou pas

Écrit par : iAPX 20 Jul 2019, 12:17

J'irais plus loin car certaines agences (notamment la NSA) ne surveillent pas X ou Y sélectivement, mais absolument tout ceux qu'ils peuvent, "préventivement".

Et on devrait donc tous avoir peur.

Écrit par : captaindid 20 Jul 2019, 12:38

LOL, ben ne pense pas! tu n'a aucune notion du temps historique géologique etc...
on considère que l'homme moderne est apparu il y a environ 120 000 ans.
avant il y avait des hominidés, dont les systèmes de renseignements devaient être rudimentaires, pour être poli.
après ça dépend où on place la barre: les félins acquièrent aussi des renseignements (notamment olfactifs) sur leur congénères, leur gibier ...
donc on peut remonter très loin mais peut-on appeler ça du renseignement au sens où on l'entend aujourd'hui?


jamais entendu que l'on avait domestiqué le mammouth et utilisé celui-ci comme moyen de transport!
tes connaissances sur la préhistoire viennent d'une BD ou d'un dessin animé?

Écrit par : malloc 20 Jul 2019, 12:55

Vlan!
Ça t’apprendra à faire des figures de style raoulito.
Imagine seulement ce qui t’attend si tu te risques au second degré

Écrit par : iAPX 20 Jul 2019, 13:26

Agression purement gratuite pour un texte que j'ai trouvé drôle avec quand-même une réflexion de fond sur la surveillance et l'humanité.

Écrit par : broitman 20 Jul 2019, 14:23

Les echanges Cloud sont aisement piratables, l'exemple de la police de Londres recemment en est la meilleure illustration

Écrit par : ziggyspider 20 Jul 2019, 15:13

Parce que tu appels ce comportement de la sureté … Moi, il y a un tas d'autres qualificatifs qui me viennent à l'esprit et ils n'ont rien à voir avec quelque chose de sûr.

Écrit par : raoulito 20 Jul 2019, 21:41

alors.. effectivmeent c'etait du second degré pour la partie mammouth
quand à la premiere ben oui tu as raison, ils etaient extremement rudimentaire,s je dirais meme plus que si tu regardes ton chien ou ton chat, ne sont-ils pas là à surveiller en permanence qui fait quoi ?
sont-ce des hommes? risquent-ils l'attaque d'un prédateur ?
non, donc c'est dans la loi de la nature elle-meme, un reflexe conditionné, de vouloir en savoir le plus possible pour se sentir le plus en sécurité. C'est le fondement meme du renseignement, bien entendu !
Et toi, savoir lire le second degré, c'est étudié dès le collège, as-tu manqué cette étape?

Écrit par : jakin1950 20 Jul 2019, 21:51

internet est un endroit dangereux , où on a une fausse impression de liberté

Après , c'est une question de volonté et de moyens :
Pour gêner les développement atomique de l'Iran , on peut utiliser des bombes ,assassiner des ingénieurs ou détruire les centrifugeuses informatiquement

Nous avons fait fabriquer nos machines par les chinois qui les ont copié et nous les vendent maintenant . L'espionnage industriel est pour eux parfaitement licite.

Internet n'est pas plus ou moins dangereux que le reste

Ma femme s'est fait attaquer par un fou avec un revolver place de la mairie de notre petite ville . En fille de militaire , elle a bien réagi et a su s'en tirer indemne.

L'informatique des entreprises est attaquées plusieurs fois par an : demande de rançon ou malveillance d'un concurrent

Je me soucis peu que la DGSE ait la possibilité de traverser mon VPN.
Je n'ai aucune importance et ne peut être que la cible d'un hacker de quartier

Tous ces capacités de surveillance, comme les cameras ont une efficacité médiocre, n’empêchent pas les attaques, cambriolages , ni le phishing

Écrit par : linus 20 Jul 2019, 22:51

J'ai récemment assisté à une conférence sur la Cybersécurité par un expert du CEA. Questionné sur le problème du piratage des flux cryptés il a dit ceci en substance : "Au labo, on a voulu voir si on saurait faire et on a donc construit un prototype. Dans les cas simples on met quelques minutes mais plus souvent 1/2h, et si c'est difficile, quelques heures". Il a refusé de commenter au-delà. En fait ce n'est pas le premier expert issus de labos développant de nouvelles technos de cryptage ou des outils de cybersécurité qui nous raconte que les protections actuelles (RSA ou autres) sont assez illusoires.
Ajoutez à cela ce que j'ai déjà dit sur ce forum : il y a 7-8 ans un expert réseau m'avait expliqué qu'il était facile de pirater un wi-fi à 5 km de distance. Plus récemment, un expert de la DGSI (Direction Générale de la Sécurité Intérieure) venu nous prêcher la prudence, a dit que c'est plutôt à 50 km maintenant. Sartmatt en doute mais est ce si incroyable que cela ?
Bref, il y a des faux billets qui circulent depuis longtemps et, à titre individuel, on n'y peut pas grand chose, il y a des experts du piratage de carte bleue et on n'y peut pas grand chose, il y a des experts en virus et autres malwares et on n'y peut pas grand chose même avec un antivirus, ... Les outils de protection des personnes lambda comme moi sont dérisoires, il me reste juste à espérer que je suis si insignifiant et dénué d'intérêt que les malveillants regarderont ailleurs.

Écrit par : iAPX 20 Jul 2019, 23:13

Eh bien moi je doute énormément de la réalité de ce que tu nous rapportes sur les flux de données chiffrées: si tel était le cas ça se saurait dans différent milieux avec des témoignages publiques.

Qu'il y ai des backdoors, des implémentations foireuses (souvent le cas, des fois avec un coup-de-pouce de la NSA), voir une incompréhensions des bases de la cryptographie, je suis d'accord, mais qu'il ne soit pas possible de protéger, je m'inscris en faux.
Il est même très facile de bien chiffrer avec des technologies connues et reconnues, documentées, et pour les meilleurs cipher il y a des concours ouvert à tous, qui s'étalent sur des années pour les exposer publiquement chacun à toutes les analyses et critiques, éliminant de fait tous les trafficotages de la NSA (SHA aka SHA-0, magic numbers, générateur de nombres pas si aléatoires que ça, etc.)

Écrit par : jakin1950 21 Jul 2019, 07:30

si vous voulez lire un article de bonne qualité sur le sujet:
https://www.igen.fr/ios/2019/07/pegasus-un-spyware-israelien-capable-de-recuperer-les-donnees-icloud-108797#comment

Par contre les commentaires ne volent pas haut

Il a a un qui se dit surveillé par le Mossad

Écrit par : iAPX 21 Jul 2019, 12:01

Rien lu du Mossad dans les commentaires.

En revanche, Amnesty International et d'autres groupes sont en train d'attaquer légalement NSO pour avoir monté des attaques (probablement directes) contre ces mêmes groupes de défense des droits de l'homme ainsi que leurs avocats. https://www.amnesty.org/en/latest/news/2019/05/israel-amnesty-legal-action-stop-nso-group-web-of-surveillance/, ou https://www.timesofisrael.com/rights-lawyer-says-hacked-using-israeli-spyware-in-effort-to-get-info-on-work/.

Le type de logiciel espion dont on parle dans le sujet n'est que peu ou pas utilisés par des démocraties, car ceux qui espionnent massivement se sont dotés de capacités de le faire comme la NSA aux USA, on va plutôt les trouver dans des pays bafouant les droits de l'homme et des multinationales, notamment dans le domaine de l'armement...

Écrit par : JayTouCon 21 Jul 2019, 20:22

rien de nouveau sous le soleil.

pour y échapper les échanges se faisaient il y a quelques années avec des rajouts dans des jeux vidéo en cartouche pour communiquer. création de niveaux qui donnaient les infos. console jamais connectées à quoi que ce soit. à part une prise de courant..

Écrit par : iAPX 21 Jul 2019, 20:27

Ça c'est intéressant et une nouveauté pour moi, peux-tu développer en donnant des exemples?

Je pensais avoir tout vu, depuis les années 80 et le CCC, je suis heureux d'en apprendre de nouvelles

Écrit par : JayTouCon 21 Jul 2019, 22:10

une vieille console avec super Mario. le jeu se déroule normalement mais à la fin d'un certain niveau les briques ont des lettres indiquant des lieux à attaquer ou des rdv. c'est très connu. une sorte de steganographie améliorée. ca date de 10 ans.

Écrit par : iAPX 21 Jul 2019, 22:36

Tu peux en dire plus sur le contexte?

Je suis entièrement d'accord sur le rapport avec la stéganographie: cacher de l'information dans de l'information, la première couche paraissant "normale", mais si on sait où et comment chercher pouvoir accéder à ce qui y est caché.

Écrit par : Nathan 22 Jul 2019, 02:30

Je suis sincèrement désolé pour ce qui est arrivé a ton épouse et heureusement que cela c est bien termine

Pour les mêmes raisons, je fais un art martial depuis 10 ans avec mes enfants et j espère juste être prêts pour la prochaine agression

Ces capacités de surveillance n ont pas le but de Nous protéger
En plus de nous surveiller, c est un "business" très rentable et nous y sommes rentrés en courant.

Écrit par : Cronos 22 Jul 2019, 06:24

Pour le iCloud, Apple n'arrête pas de vous y forcer et j'ai un mal fou pour m'en débarrasser !

Écrit par : maximuspascus 22 Jul 2019, 07:53

Quand tu parles du CCC, c'est quoi précisément (excuse mon ignorance) ?
Car au premier abord, ça me fait penser au "Comité Contre les Chats" des nuls....

Écrit par : Jedge 22 Jul 2019, 09:22

Ces vidéos surveillances servent principalement à identifier les auteurs à posteriori, rarement à empêcher la commission de méfait.
C'est mieux que rien, je suis persuadé que parfois cela empêche quelques personnes de passer à l'acte.


D'ailleurs puisque l'on parle de surveillance, j'ai un certain nombre de données que je souhaite sauvegarder dans le cloud, quel logiciel de chiffrement est assez robuste aujourd'hui (je ne parle pas pour les agences en 3 lettres... ) ?

Écrit par : Laurent_christelle 22 Jul 2019, 09:31

CCC ? Ce ne serait pas plutôt le CCB (Clean Crack Band ?).

Pour ce qui est de l'espionnage, quand on voit ce que pouvait faire il y a cinq ans la société italienne Hacking Team avec son logiciel RCS (Remote Control System) je me dit qu'il ne fait pas bon être un opposant politiques dans certains pays.

Hacking Team a elle même été piraté en 2015 par un certains Phineas Fin qui a mis en lignes les 400 Go de données de cette société. La simple lecture des manuels d'utilisation m'a laisser sur le cul, l'agent d'espionnage étant invisible aux 40 anti-virus sur le marché, configurable à distance et permettant des trucs que l'on imagine même pas.

Le pire, c'est que Hacking Team ayant été mise en difficulté (elle vendait à pas mal de pays dont les droits de l'homme ne sont pas une priorité), elle a été remise à flot avec des fonds provenant de l'Arabie Saoudite (qui n'aime pas les opposants politiques, journalistiques ou autres).

On peut aussi citer Finfisher (Gamma International) qui est joue dans la même cour avec des produits logiciels (Fin Spy, Fin USB..) ou Hardware (faux spot wifi).

Et ce n'est que le début !

Écrit par : Oliv333 22 Jul 2019, 11:22

CCC : Chaos Computer Club, de mémoire

Écrit par : iAPX 22 Jul 2019, 11:59

+1

Écrit par : Zetiag 22 Jul 2019, 13:44

Ah ça va alors on est rassuré

Écrit par : eden 30 Jul 2019, 15:29

Oui moi aussi j'ai eu très peur. En fait tout va bien.

Pour ceux qui veulent se protéger un peu, la revue Pirate Informatique conseille CRYPTOMATOR, à cette adresse :

https://cryptomator.org

C'est un système qui crypte vos données sur le Cloud. Si vos fichiers sont volés, ils ne pourront a priori être lus.

Pour ceux qui veulent totalement se protéger : n'utilisez ni les réseaux ni le cloud.