Le Chaos Computer Club (CCC), l’une des organisations de hackers (au sens premier de bidouilleurs curieux) les plus influentes en Europe, viendrait de faire la rétro‐ingénierie d’un cheval de Troie (pour système Windows) utilisé par la police allemande pour « l’interception légale ». À partir d’une copie découverte en utilisation, ils montreraient que ce logiciel espion permet de récupérer des données privées, de surveiller les échanges via diverses applications (Firefox, Skype, MSN Messenger, ICQ et d’autres), de prendre le contrôle de la machine infectée, de se mettre à jour ou d’accroître ses fonctionnalités intrusives.
Le CCC publie une longue analyse détaillée, plus le binaire en question (une « dll »
de 360 Kio et un « .sys »
de 5 Kio). Ils auraient par ailleurs écrit leur propre interface de contrôle du logiciel espion, montrant les failles des protocoles de communication et de supervision utilisés.
L’antivirus libre ClamAV reconnaît « mfc42ul.dll »
comme Trojan.BTroj-1 et « winsys32.sys »
comme Trojan.BTroj.
Merci à inico pour son journal sur le sujet qui a conduit à cette dépêche.
En février 2008, la Cour constitutionnelle allemande a interdit l’utilisation de programmes malveillants permettant de manipuler le contenu des ordinateurs des citoyens. Cependant, le gouvernement allemand a introduit le terme « novlangue » de « Quellen‐TKÜ », signifiant « écoute‐interception à la source », pour écouter‐intercepter la téléphonie via Internet (et en principe uniquement cela).
Rien n’aurait été fait pour mettre des limitations techniques et restreindre le domaine d’utilisation à la téléphonie sur IP (ToIP) ; bien au contraire, tout serait fait pour offrir une vraie tête de pont pour s’introduire sur un réseau.
L’analyse du CCC montrerait que le cheval de Troie va plus loin que la simple écoute et interception des télécommunications via IP : il pourrait recevoir des fichiers, les exécuter, et donc se mettre à jour ou étendre ses fonctions ; il pourrait aussi utiliser le micro ou la webcam pour surveiller la pièce.
La sécurité laisserait aussi à désirer : n’importe qui pourrait prendre le contrôle du logiciel espion. Il serait possible de soumettre de fausses preuves contre le possesseur du PC ou d’effacer des fichiers. Captures d’écran et fichiers audio seraient transmis mal chiffrés, et les commandes au logiciel espion ne le sont pas du tout, pas plus qu’elles ne seraient authentifiées, ou leur intégrité vérifiée. Par ailleurs, la sécurité du côté serveur(s) gouvernemental(aux) pourrait ne pas être meilleure ; à noter que les informations transitent par un hébergement aux États‐Unis, ce qui pose plusieurs problèmes de souveraineté nationale, d’écoutes possibles et probables par les États‐Unis et de fuites possibles d’information.
Le CCC aurait écrit son propre terminal de contrôle à distance des logiciels espions déployés sur Internet. Il permettrait d’avoir accès à des captures d’écran du navigateur.
Le CCC annonce que l’affirmation officielle de séparation stricte de l’interception légale de la ToIP d’avec la sphère numérique privée (définie par la Cour constitutionnelle allemande), ne repose sur rien. Il reproche au législateur de se laisser guider par les demandes de plus de surveillance en oubliant les libertés.
Le CCC a prévenu au préalable le ministère allemand de l’intérieur, et estime lui avoir laissé assez de temps pour activer la fonction de destruction des logiciels espions.
Le CCC annonce qu’une autre affirmation gouvernementale est erronée : en 2008, il lui aurait été dit que chaque Quellen-TKÜ serait adapté au cas traité et spécifique. En fait, les différentes versions du logiciel récupéré par le CCC utilisent la même clé cryptographique codée en dur et semblent génériques. Les contrôles de qualité stricts annoncés initialement semblent eux aussi douteux : clé codée en dur, mauvais chiffrement et dans un seul sens, procédure de mise à jour illégale.
Le CCC demande l’arrêt des infiltrations gouvernementales clandestines et appelle tous les hackers à poursuivre l’analyse du logiciel espion.
Pour les Français, voir l’article 706-102-1 du code de procédure pénale, créé par la loi LOPPSI n°2011-267 du 14 mars 2011 — art. 36 : « (…) mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données ou telles qu’il les y introduit par saisie de caractères. (…) » Article résumé par Numerama : « [s]ous l’autorité et le contrôle du juge d’instruction qui devra motiver son ordonnance, les autorités de police pourront désormais installer des mouchards sur les ordinateurs des suspects de nombreux crimes et délits. »
Aller plus loin
- Chaos Computer Club analysiert Staatstrojaner (123 clics)
- Chaos Computer Club analyzes government malware (424 clics)
- Le binaire du cheval de Troie annoncé par le CCC (tar.gz de 183 Kio) (424 clics)
- Article 706-102-1 du Code de procédure pénale français, sur la captation des données informatiques (151 clics)
- Détection par l’antivirus de Fsecure « Possible Governmental Backdoor found (“case R2D2”) » (146 clics)
# Mais non pas du tout
Posté par zogzog . Évalué à -10.
Le CCC, c'est le Comité Contre les Chats, tout le monde sait ça.
[^] # Re: Mais non pas du tout
Posté par fasc . Évalué à 6.
Une fois c'est drôle, deux fois c'est lourd… https://linuxfr.org/nodes/87714/comments/1278053
[^] # Re: Mais non pas du tout
Posté par windu.2b . Évalué à 6.
C'est triste ton avis sur la répétition du comique...
[^] # Re: Mais non pas du tout
Posté par fearan . Évalué à 4.
c'est comique ton triste sur l'avis de répétition
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Mais non pas du tout
Posté par kowalsky . Évalué à 10.
N'empêche qu'il a raison, le comique de répétition, c'est drôle, mais la première fois seulement !
===> [ ]
[^] # Re: Mais non pas du tout
Posté par CrEv (site web personnel) . Évalué à 7.
N'empêche qu'il a raison, le comique de répétition, c'est drôle, mais la première fois seulement !
===> [ ]
[^] # Re: Mais non pas du tout
Posté par totof2000 . Évalué à 2.
Qu'est-ce que tu as contre le comique de répétition ?
[^] # Re: Mais non pas du tout
Posté par Maclag . Évalué à 4.
https://linuxfr.org/news/un-cheval-de-troie-gouvernemental-analys%C3%A9-par-le-ccc#comment-1278179
A y est! Un flux récursif!
[^] # Re: Mais non pas du tout
Posté par zogzog . Évalué à 1.
Quand ju vas bien, c'est Juvamine !
[^] # Re: Mais non pas du tout
Posté par Duncan Idaho . Évalué à 1.
Allez, on va regarder K2000 !
[^] # Re: Mais non pas du tout
Posté par windu.2b . Évalué à 2.
J'ai ça
# installation
Posté par M . Évalué à 10.
Quelqu'un sait comment ce backdoor était installé sur les postes a espionner ?
[^] # Re: installation
Posté par redo_fr . Évalué à -4.
Hum...
Le classique PIBCAK ?
Celui qui pose une question est bête cinq minutes, celui qui n'en pose pas le reste toute sa vie.
[^] # Re: installation
Posté par SauronDeMordor (site web personnel) . Évalué à 2.
je pense qu il voulait parler du vecteur d infection.
ça peut être un exe, un zip, un pdf ou du flash.
dans le cas des 2 derniers on peut avoir une infection sans "validation" de l opérateur.
cf voir: Exploitation stable d'une vulnérabilité Flash dans misc
# faites attention à ce que vous dites dans vos commentaires ....
Posté par totof2000 . Évalué à 9.
Cette dépèche est citée sur pcinpact. Evitez donc les insultes, l'humour noir et autres choses qui pourraient choquer les âmes sensibles : on ous espionne.
# Scandaleux
Posté par jihele . Évalué à 10.
Encore un logiciel développé sur fonds publics qui ne tourne que sur la plateforme propriétaire majoritaire.
[^] # Re: Scandaleux
Posté par GG (site web personnel) . Évalué à 10.
Bonjour,
cela prouve encore une fois combien le choix de l'OS est important pour mieux préserver sa vie privée.
C'est aussi valable concernant le choix des logiciels que l'on installe.
Bonne journée
G
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
# Merci le CCC
Posté par Graveen . Évalué à 6.
je n'en reviens pas de cet amateurisme sur ces sujets sensibles.
A moins que...
enfin, merci le CCC.
[^] # Re: Merci le CCC
Posté par Altor . Évalué à -5.
En quoi est-ce que le CCC a fait preuve d'amateurisme sur le sujet ?
[^] # Re: Merci le CCC
Posté par imr . Évalué à 5.
Il parle de l'amateurisme des concepteurs du soft et induit qu'ils auraient peut être fait exprès qu'il soit facilement détectable et détournable, ce qui me semble exagéré.
[^] # Re: Merci le CCC
Posté par Altor . Évalué à 2.
c'est ce que j'avais compris en première lecture, mais après j'ai cru que c'était de l'ironie. Je pense que n'importe quel soft de ce type passera pour un truc d'amateur au bout d'un moment.
[^] # Re: Merci le CCC
Posté par Maclag . Évalué à 2.
Oui, donc les conseillers techniques de nos chers dirigeants (ou ici, des dirigeants Allemands) sont bien des amateurs.
[^] # Re: Merci le CCC
Posté par gentildemon . Évalué à 2.
Je pense qu'il parlait du gouvernement ou de la police allemande...
[^] # Re: Merci le CCC
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 2.
Je me suis laissé dire que, ironiquement, ce cheval de Troie semblait avoir été inspiré par Back Orifice, une ancienne création du CCC.
[^] # Re: Merci le CCC
Posté par Juke (site web personnel) . Évalué à 4.
Back Orifice a été crée par le CdC pas le CCC.
[^] # Re: Merci le CCC
Posté par totof2000 . Évalué à 2.
Entre CDC CCC et DCD (voir actualité récente), il y a de quoi se tromprer.
[^] # Re: Merci le CCC
Posté par zogzog . Évalué à 9.
Back orifice, c'est plutôt DTC.
# Confirmation par le Ministère de l'intérieur de Bavière
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Dans un communiqué de presse, le Ministère de l'intérieur de Bavière confirme que le logiciel vient de chez eux, tout en affirmant avoir respecté la législation allemande.
En allemand : http://www.innenministerium.bayern.de/presse/archiv/2011/385.php
En anglais :http://yro.slashdot.org/story/11/10/11/1322202/German-State-Confesses-To-Downplays-Government-Spyware
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.