Journal Apple, le logiciel proprivatisateur et la vie privée

Posté par (page perso) .
36
4
sept.
2012

La nouvelle va faire l'effet d'un coup de tonnerre : un pirate a annoncé avoir récupéré des centaines de milliers de données nominatives concernant les utilisateurs d'iOS. Un listing a été publié en guise de preuve.
Plus étonnant, il affirme s'être procuré ces données en pénétrant dans un ordinateur du FBI…
Voilà qui risque de faire bien mal à Apple, mais surtout à tous ceux qui se sont aveuglément laissés tenter par leurs produits. Soyez tranquilles braves citoyens, vous êtes fichés, mais c'est pour votre bien.

Source : http://www.macbidouille.com/news/2012/09/04/ios-un-vol-massif-de-donnees

  • # Apple et Itunes

    Posté par (page perso) . Évalué à  1 .

    Ca a été démenti depuis, mais ça m'a fait marrer

    http://www.leparisien.fr/laparisienne/actu-people/bruce-willis-veut-attaquer-apple-03-09-2012-2148590.php

    carte des attaque DDOS http://map.ipviking.com/

  • # EpicLulz

    Posté par (page perso) . Évalué à  8 .

    Dear Apple,
    all your base are belong to us
    signed : FBi

    http://pastebin.com/nfVT7b0Z

    wind0w$ suxX, GNU/Linux roxX!

    • [^] # Re: EpicLulz

      Posté par (page perso) . Évalué à  9 .

      Le passage intéressant :
      > During the second week of March 2012, a Dell Vostro notebook, used by Supervisor Special Agent Christopher K. Stangl from FBI Regional Cyber Action Team and New York FBI Office Evidence Response Team was breached using the AtomicReferenceArray vulnerability on Java, during the shell session some files were downloaded from his Desktop folder one of them with the name of "NCFTA_iOS_devices_intel.csv" turned to be a list of 12,367,232 Apple iOS devices including Unique Device Identifiers (UDID), user names, name of device, type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses, etc.

      La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick

  • # Brevet.

    Posté par . Évalué à  10 .

    J'espère qu'ils ont déposé un brevet là dessus. Et qu'ils vont poursuivre les malheureux qui oseraient les copier.

  • # Faille Java

    Posté par (page perso) . Évalué à  7 .

    Au FBI, ils ont des postes avec fichiers sensibles connectés au réseau et utilisant Java? On se croirait dans le pire film d'espionnage. Une mallette laissée à la portée de tous, j'ai du lire trop vite.

    • [^] # Re: Faille Java

      Posté par . Évalué à  5 .

      D'après le post d'origine (http://pastebin.com/nfVT7b0Z, lignes 405-415), le fichier aurait simplement été obtenu à partir du hack d'un notebook d'un agent du FBI (Cyber Action Team, un spécialiste sécurité, j'imagines), le fichier ayant été habilement caché dans le "Desktop folder" de la cible.
      Si tout ceci est vrai, cela démontre encore un fois que la plus grande source de vulnérabilité info est, et reste, située entre le chaise et le clavier…

      • [^] # Re: Faille Java

        Posté par (page perso) . Évalué à  7 .

        Cyber Action Team, un spécialiste sécurité, j'imagines

        En général, plus le titre est pompeux, plus ce qu'il y a derrière est insignifiant du point de vue des compétences.
        "Cyber Action Team", on dirait le titre d'un film de Jean-Claude Vandamme!

        Ben d'ailleurs, un vrai argument: c'est un expert sécurité qui met son portable sur n'importe quel réseau avec une faille Java connue dedans. J'ai besoin d'en dire plus?

      • [^] # Re: Faille Java

        Posté par . Évalué à  6 .

        Tout ça me rappelle l'affaire des listings Clearstream. Un cadre supérieur du renseignement détruit des fichiers compromettants en les supprimant (tel un power user il a connaissance de la poubelle, quand même…). Puis dans les média on a le droit à monsieur Esayrecovery qui vient faire la pub pour son produit…

        Est-ce que l'on ou prendrait pas pour des cons ?

        Plus récemment le gars qui se fait voler une clé USB avec des plans du palais de l'Élysée, même pas chiffrés…

        • [^] # Re: Faille Java

          Posté par . Évalué à  1 . Dernière modification : le 04/09/12 à 21:54

          Pas plus tard que la semaine dernière, je buvais un coup avec des amis sur une kermesse de village. Un mec vient près d'eux et leur donne une clé usb: "Je vous la rends, il y a des photos de vous dessus. Je l'ai trouvée à cet endroit en nettoyant la salle des fêtes après un bal"
          Mes amis sont sûrs de n'être jamais allé à cet endroit.

          Heureusement pour eux, les photos en question étaient soft, voir safe.

          Moralité: ne jamais laisser de fichiers perso sur un support mobile pas chiffré.

          • [^] # Re: Faille Java

            Posté par . Évalué à  2 .

            Sympa le gars quand même !

          • [^] # Re: Faille Java

            Posté par . Évalué à  3 .

            Tu ne précises pas si c'était bien une de leur clé USB qu'ils avaient perdue ailleurs, ou pas. Auquel cas c'est un peu flippant. Une clé USB d'un membre de leur famille peut-être ?

    • [^] # Re: Faille Java

      Posté par . Évalué à  4 .

      Ou alors ils ne considèrent pas que ces informations soient critiques. D'ailleurs si j'étais le FBI, les informations sur des citoyens quelconques et leurs iPhones, je ne considérerais pas ça comme critique.

      Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

      • [^] # Re: Faille Java

        Posté par . Évalué à  2 .

        Tout à fait d'accord. D'ailleurs les méchants (qui luttent contre les gentils du FBI), les vrais, sont bien au courant de l'existence de ces failles et prennent souvent les mesures appropriées pour passer au travers des mailles du filet.

        Par contre d'un point de vue manipulation de la foule (une certaines foule, les possesseurs de i{Phone,Mac,Pad}…) connaître ce genre d'informations peut servir, dans le but d'adapter sa communication à la mode du moment, mettre en place des pièges plus efficaces. Mais bon, je ne travaille pas pour le FBI.

  • # j'ai raté un truc...

    Posté par (page perso) . Évalué à  6 .

    le lien logique entre "je pénétre une machine du FBI" et "j'ai accès aux données nominatives des clients d'apple"… Y'a un truc qui me chiffonne un poil, là…

    \Ö<

    • [^] # Re: j'ai raté un truc...

      Posté par (page perso) . Évalué à  10 .

      La triste réalité serait une horreur bien plus tangible que tu ne l'imaginais ?

    • [^] # Re: j'ai raté un truc...

      Posté par . Évalué à  10 .

      Y'a un truc qui me chiffonne un poil, là…

      Un seul truc ?

      En fait tu peux choisir ce qui te fait peur :
      - Le fait que les machines Apple stockent autant de données et permettent d'y accéder à distance,
      - Le fait que le FBI s'intéresse aux données personnelles de millions de gens,
      - Le fait que le FBI ait eu accès à ces données, soit parce que Apple a mal sécurisé son truc, soit parce que Apple c'est des collabos (les deux ne s'excluent pas),
      - Le fait que l'agent du FBI depuis lequel provient la fuite ait stocké des données aussi sensibles sur une machine aussi peu sécurisée.

      Je prends le paquetage complet, perso. Y'a une réduction :)

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: j'ai raté un truc...

        Posté par (page perso) . Évalué à  3 .

        Mais aussi le fait que rien ne confirme finalement que ces données soient issues du FBI ou d'ailleurs et que la source ne sera jamais confirmée

      • [^] # Re: j'ai raté un truc...

        Posté par (page perso) . Évalué à  9 . Dernière modification : le 04/09/12 à 14:21

        En fait c'est pas forcément Apple qui a livré ces données au FBI. Ca pourrait être n'importe quel développeur d'applis iOS qui utilise les push notifications et qui a 12 millions d'utilisateur (donc ça limite un peu). Ca pourrait aussi ne pas venir du FBI.

        Un moyen de trouver le "traître" est de trouver l'application que tous ceux qui sont sur la liste ont installée. C'est ce que propose de faire :
        http://fredericjacobs.com/identifying-the-traitor

        Le problème des UDIDs, c'est que certains les récoltent et les lient à d'autres données et qu'on peut utiliser leurs service web pour trouver des informations personnelles :
        http://corte.si/posts/security/openfeint-udid-deanonymization/index.html

        Ceci dit, Lulzsec prétend avoir aussi les numéros de téléphone et adresses des gens, mais ils ne l'ont pas prouvé.

        Bref, les prochains jours vont être assez rigolos.

        • [^] # Re: j'ai raté un truc...

          Posté par . Évalué à  1 .

          Pour envoyer une notification APNS via les serveurs d'Apple, on utilise pas l'UDID mais le TokenID, qui diffère d'une application à l'autre.
          Ce qui n'empeche pas de faire mauvais usage des UDID mais il n'y a pas de lien avec les APNS.
          Les UDID ont été enlevés en iOS 5.0. Il est cependant possible d'utiliser des bibliothèques tierces pour générer des UDID, mais le call renvoie normalement des UDID différents pour chaque application.

          • [^] # Re: j'ai raté un truc...

            Posté par (page perso) . Évalué à  2 .

            Y'a les APNs aussi dans la liste des infos.

            Ceci dit, ça n'as pas l'air immédiatement exploitable pour envoyer de fausses notifications ou autre, puisqu'il faut encore un certificat :
            https://news.ycombinator.com/item?id=4473973

            De toute façon, le problème avec ces infos c'est pas tellement en terme de sécurité informatique, mais plutôt de protection des données.

      • [^] # Re: j'ai raté un truc...

        Posté par . Évalué à  5 .

        • Le fait que le FBI s'intéresse aux données personnelles de millions de gens,

        C'est bien de se réveiller. Dès la création John Edgard Hoover rêvait de ce genre de choses (même s'il pensait plutôt aux empreintes digitales).

        Je suis dans ma tour d'ivoire (rien à foutre des autres, dites moi un truc pour moi), si je ne pose pas explicitement une question pour les 99%, les kévin, les Mm Michu alors c'est que je ne parle pas d'eux.

      • [^] # Re: j'ai raté un truc...

        Posté par . Évalué à  5 .

        En fait c'est logique :
        - les machines apple stockent des données et permettent d'y accéder à distance
        - afin de faciliter la tache des chinois du FBI, Apple sécurise mal son truc, mais ne le dit pas
        - Comme la main gauche du FBI ne voit pas ce que fait sa main droite (ou l'inverse), le FBI achète des machines Apple en masse pour stocker les données sensibles.
        - les machines MAC étant mal sécurisé, des vilains pirates arrivent à découvrir les failles de l'OS et à s'emparer des données du FBI.

        Et voilà comment on se retrouve avec une situation d'arroseur arrosé, avec des infos diffusées par Wikileaks et consorts …

    • [^] # Re: j'ai raté un truc...

      Posté par (page perso) . Évalué à  1 .

      "On m'aurait menti??"

    • [^] # Re: j'ai raté un truc...

      Posté par (page perso) . Évalué à  3 .

      Je suis tombé sur ça à partir de Hacker News :
      > The FBI stole an Instapaper server in an unrelated raid

      http://blog.instapaper.com/post/6830514157

      La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick

  • # Alimentons la chose...

    Posté par . Évalué à  2 .

    Bonjour tout le monde.

    Finalement, LE vrai enjeu du procès Samsung-Apple, n'était-ce pas simplement ceci?
    Les coins arrondis ne servant que de prétexte.

    Le F.Bi.Aille n'allant pas demander à Samsung de lui fournir une liste, il faut que les gens achètent Appeul avec qui il y a apparemment déjà des accords.
    C'est beau le patriotisme. (;_)

    • [^] # Re: Alimentons la chose...

      Posté par (page perso) . Évalué à  3 .

      Sauf que Android, c'est Google. Et il me semble que les lois américaines leur permettent de faire la même chose qu'avec Apple.

      « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

      • [^] # Re: Alimentons la chose...

        Posté par (page perso) . Évalué à  2 .

        Sauf que c'est libre et les gars de chez Samsung peuvent passer en revue le code et le modifier au besoin avant de le mettre sur leur machine. Je doute qu'ils le fassent pour ces raisons.

        • [^] # Re: Alimentons la chose...

          Posté par . Évalué à  2 .

          Youtube, Maps, Gmail, etc … ne sont pas libres et sont dans les produits Samsung.

          Mais effectivement il y a des manières plus discrètes de faire.

          • [^] # Re: Alimentons la chose...

            Posté par . Évalué à  0 .

            Bonjour.

            Heuu, j'ai pas compris. De toute manière, on peut accéder à ceux-ci avec un navigateur Ternet, alors qu'ils soient ou pas dans les produits de Samsung.

            Ou alors, j'ai loupé un truc (comme par exemple, acheter un smartphone. Oui, j'attends le Galaxy S12).

            • [^] # Re: Alimentons la chose...

              Posté par (page perso) . Évalué à  4 .

              Il est possible d'y accéder avec un navigateur Web mais ce sont aussi des applications à part entière sur Android (et d'autres plateformes mobiles) qui exploitent mieux les fonctionnalités natives (comme les notifications).

              « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

        • [^] # Re: Alimentons la chose...

          Posté par (page perso) . Évalué à  4 .

          Pas mal d'informations du smartphone sont synchroniser avec un compte Google.

          « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.