Journal [HackingTeam] Oui, il est possible de se rendre davantage ridicule qu'avec le nom de sa société ...

108
8
juil.
2015

Sommaire

Cher journal,
Je sais que le hacking a mauvaise réputation (et beaucoup trop de définition qui s’entremêle) mais aujourd'hui j'aimerai te faire pars de la compromission d'une entreprise italienne qui (au yeux de la population) le mérite. Cette société a pour nom "Hacking Team", et même si un tel nom ne fait pas vraiment sérieux ils n'ont rien de trois gus dans un garage.

Les faits en deux mots.

Tout débute fin du WE (5 juillet 2015) par un tweet un peu étrange:
hacked team

On remarque fort vite que le nom du compte Hacking Team a été modifié pour Hacked Team et vu le contenu du message, on s’attend à un leak plutôt important. Une fois le torrent récupéré certains se posent des questions, ce dernier fait plus de 26Mo (ce qui est énorme pour un fichier torrent) mais l'explication vient bien assez vite:

Numerama:

le .torrent ne conduit pas vers une archive compressée mais permet de télécharger fichier par fichier l'ensemble du contenu de l'archive), qui donne accès à une archive de 400 Go de données, dont des e-mails, des contenus de disques durs, des enregistrements audio, ou encore des codes sources.

Hacking Team c'est qui au juste.

Si l'ont en croit wikipedia:

La Hacking Team est une entreprise italienne de sécurité informatique, qui vend des logiciels servant à l'espionnage et à la surveillance, qu'elle décrit elle-même comme « offensifs »¹. Leur site indique ainsi: « Chez Hacking Team, nous pensons que combattre le crime doit être facile : nous fournissons dans le monde entier une technologie offensive, efficace et simple d’utilisation, à destination des organismes chargés d’appliquer la loi et des services de renseignements. La technologie doit vous rendre plus fort, pas vous entraver¹. »

[1] - http://archive.wikiwix.com/cache/?url=http://surveillance.rsf.org/hacking-team/&title=Hacking%20Team

Cette société, classée ennemie d'internet depuis un moment par reporter sans frontière, suivie de près par citizen-lab (avec des dossiers remontant à 2012) fourni à des gouvernements tous régimes disposant des ressources financières nécessaire des outils permettant de s'attaquer plus aisément au méchant dans un strict respect des lois en vigueur des outils permettant de bypasser le chiffrement lors de diverses communications (mail, skype, fichier …) tout en étant une parfaite petite backdoor sur tout type de terminaux (Windows, GNU/Linux, osx, android, blackberry, ios …). NextInpact a eu le nez creux en réalisant une copie de la vidéo de présentation de Gallileo/DaVinci sur le site officiel de hacking team (actuellement hors service), cela permet de se faire une idée plus précise de comment Hacking Team voit son travail.

reflets.info nous apprend aussi que:

Les outils d’Hacking Team peuvent aussi bien porter sur de la surveillance bien ciblée que de la surveillance plus massive. Les outils offensifs d’Hacking Team sont déployables à l’échelle d’un pays se vantait la société dans une vidéo promotionnelle publiée en 2013.

Comme un air de déjà vu.

Il y a (approximativement) une année, le même phénomène est survenu avec l'entreprise Gamma Group (éditrice de FinFisher). Même genre de compagnie, même genre d'outil, même genre de client, même moyen par les hackers de communiquer sur le hack (via la prise en main du compte de la compagnie), serait-ce lié ? D’après @lorenzoFB (Staff writer @Motherboard) la réponse est oui. Il affirme que les hackers responsables de l'attaque lui ont confirmé avoir fait les deux coups.

Une backdoor dans la backdoor.

Non vous n’êtes pas dans inception … pas encore. Bien que la compagnie n'ait pas vraiment communiqué publiquement sur son hack, il semblerait qu'elle ait communiqué à ses clients en leur demandant de ne plus utiliser ses outils suite au leak. Des traces de faille de sécurité (volontaire ou non à vous de juger) ont été trouvées dans des codes sources (des gens biens on vous dit).

backdoor
le technicien attentif regardera la ligne 40 et 45 et hurlera à la fort probable SQLi

Que trouve-t-on dans l'archive ?

Avertissement.

Le .torrent pour obtenir l'archive peut se trouver sur infotomb. A ce stade, il faut bien garder un esprit critique sur le fait que c'est un leak. Tout n'est pas forcement vrai, il peut y avoir de la manipulation, vous pouvez infecter votre ordinateur si vous jouez à l'apprenti sorcier avec le matériel contenu dans l'archive.

400 Go c'est long à parcourir, des nouvelles découvertes se font d'heure en heure, suivez google, vos sites d'actu préférés ainsi que #HackingTeam pour rester informé.

http://www.csoonline.com/article/2943968/data-breach/hacking-team-hacked-attackers-claim-400gb-in-dumped-data.html

D'un point de vue technique.

On trouve dans l'archive des codes sources, des programmes sous licence propriétaire (avec des licences ou des cracks), un 0 day flash (a lire), des VMs, des access, des IPs, des références au C&C (voir un travail effectué à partir du leak), des exploits (pas toujours d'eux) (qui soulève pas mal de question entre autre au sujet d'OpenSSL et de SELinux (voir kernel)).

si vous pensez avoir été compromis (ou l’être dans un prochain avenir), certains travaux commencent à voir le jour.

D'un point de vue non technique.

Des mails, des contrats, de la documentation, du porno, une carte de crédit, des documents tiers, des fiches de paye, des CVs …

Les miroirs onlime, les gits …

Ont trouve pas mal de miroirs recopiant (exactement ?) le contenu de l'archive tel que http://ht.musalbas.com/ ou http://hacking.technology/Hacked%20Team/
Certains ont fait pareil juste pour le code source disponible sur github comme https://github.com/hackedteam et https://github.com/informationextraction/
Certains miroirs disparaissent, ainsi que des repos github. des requêtes DMCA sont envoyées pour retrait de contenu à cause de violation de droit d'auteur … et rien ne garantit que ce qui est upload est égal au contenu de l'archive (déjà qu'on ne peut être sur à 100% du contenu de l'archive …) !

Le listing des clients / pays.

Hacking team affirme depuis longtemps:

“Les logiciels développés par Hacking Team sont vendus uniquement aux agences gouvernementales, et jamais dans des pays inscrits sur listes noires par les États-Unis et les organisations internationales dont l’Union européenne et l’OTAN. Un comité indépendant composé d’experts juridiques analyse chaque opportunité de vente pour s’assurer de leur compatibilité avec notre politique. Les contrats passés avec les acheteurs gouvernementaux définissent des limites d’utilisation de nos logiciels. Nous surveillons l’actualité et les communications publiques comme les blogs et les commentaires Internet pouvant rapporter des abus, et nous enquêtons si c’est nécessaire.”

Parmi les clients (passés et actifs) de Hacking Team, on peut citer:
- la Corée du Sud
- le Kazakhstan
- l'Arabie Saoudite
- l'Éthiopie
- Oman
- le Liban
- l'Égypte
- la Mongolie
- l'Azerbaijan
- la Malaisie
- Singapour
- la Thaïlande
- l'Uzbekistan
- le Vietnam
- Chypre
- l'Australie
- le Maroc
- Le Nigeria
- le Soudan
- le Chili
- la Colombie
- l'Équateur
- le Honduras
- le Mexique
- le Panama
- les États-Unis
- l'Italie
- Chypre
- la Turquie
- la Tunisie
- le Luxembourg
- la Russie
- l'Espagne
- le Bahrain
- les Émirats Arabes unis
- …

Des billets de blog avec un peu plus de contexte et de détails apparaissent.

Il ne semble pas que l'ensemble des clients soient vraiment tout rose, certains sont même plutôt loin dans le coté obscur de la force . Hacking Team est il incompétent ? non plutôt malveillant et menteur si l'ont en croit ce document (soulignement rajouté).
http://img11.hostingpics.net/pics/409680hackingteam011100594951orig.jpg

On est ici très loin de respecter l'arrangement de Wassenaar.
Un peu plus d'information sur les contenus ici et la.

Le petit WTF luxembourgeois.

Nous pouvons lire dans le leak

EU Luxembourg Luxemburg Tax authority 5/31/2015 Active

hors, d’après 5 minutes RTL luxembourg

Cette nouvelle est à l'origine d'une question parlementaire urgente du CSV et a provoqué une réaction du Premier Ministre cet après-midi à la Chambre des Députés.

D'après lui, et selon les responsables de l'administration fiscale, aucun lien et aucune facture ne les lieraient à cette société italienne. Aucune activité n'a été commandée par l'administration des contributions. En revanche, et dans un soucis de transparence, Xavier Bettel a confirmé qu'un logiciel a bien été acheté auprès de cette même société mais cette fois-ci par les Services de Renseignement luxembourgeois. Le deal commercial remonte à 2012, à l'époque Jean-Claude Juncker avait validé l'achat de ce programme d'écoutes (qui n'aurait été utilisé que deux fois) pour 300.000 euros, facturés vraisemblablement au Ministère d’État.

Cela permet de rappeler que c'est un leak, et non une bible non sujette à erreur ;)

Le cas français.

approche française

D’après les mails contenu dans le leak, il semblerait que c'est ainsi que hacking team aurait repris contact avec l'administration française. Le rapport entre la France et hacking team entre facilement dans un contexte plus important (post PJL, pendant des process d'entreprise française similaire à hacking team pour complicité d'acte de torture …). Le lecteur intéressé pour consulter les quelques articles suivants (et continuer ses recherches sur google).

FAIL en série.

Dans cette section nous trouverons des fails, plus ou moins explicables, il y en aura sans doute beaucoup d'autre …
Il s'agit ici plus de se "moquer" gratuitement que d'information vraiment utile.

Les passwords.

Quand on fait de la sécurité, on passe une partie non négligeable de son temps à se rendre compte que les password c'est important, qu'un bon password doit être long, avoir des minuscules, majuscules, chiffre, caractère spéciaux, ne pas être un mot du dictionnaire (même écrit en leetspeach), une date de naissance, le nom de votre chat et être unique (non réutilisé pour d'autre plateforme).

Et quand une boite de hacker se fait avoir, on remarque que les password sont du genre:

  • HTPassw0rd
  • Passw0rd!81
  • Passw0rd
  • Passw0rd!
  • Pas$w0rd

Les licences.

Le leak contient beaucoup d'information financières, il n'est pas difficile de dire que les licences des produits de Hacking Team ne sont pas bon marché, mais qu'en est il des logiciels sous licence utilisée par la société ?

fail licences

Le (pedo)porn.

Plus glauque cette fois, un des scripts présent dans l'archive fait référence à C:\Utenti\pippo\pedoporno.mpg" et "C:\Utenti\pluto\Documenti\childporn.avi . Le script en lui-même n'a pas encore été analysé en profondeur, mais ça semble un peu trop spécifique …

Toujours sale mais moins glauque, des références plusieurs porno sur youporn ;)

Questionnement.

Le sujet soulève beaucoup de questions sur les gouvernements à travers la planète, sur la légitimité et responsabilité de ce genre de société (Amesys, Bull1, Qosmos, vupen, bluecoat, Gamma International …) et l'importance de laisser ce domaine d’activité aux états uniquement. Beaucoup de questionnement sur la politique internationale pourrait aussi surgir (faut-il laisser un état non démocratique utiliser ce genre de matériel pour contrer leurs dissidents sans intervenir ?
Dans un autre cadre, comment réagir face à ce leak ? un hack/vol comme un autre punissable en justice? un acte citoyen?

Quoi qu'il en soit, l'affaire Snowden nous a montrer que le grand public aime ce genre d'information mais ne semble pas vouloir se bouger pour que ça change pour autant, tout devrait donc se passer en coulisse.

Remerciement.

Tous les faits de ce journal ne sont pas issus de mes propres recherches, j'ai trouvé beaucoup d'informations sur le web et IRC. Je remercie tout le monde pour ça (j'ai pointé le plus souvent possible la source d'une information dans l'article).

  • # Not prems

    Posté par . Évalué à -9.

    Très beau journal très bien détaillé que je vais m'empresser de lire mais tu n'es pas le prems.

    • [^] # Re: Not prems

      Posté par (page perso) . Évalué à 10.

      si tu as lu l'autre journal et ses commentaires tu sais que je sais :p

      «Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell

      • [^] # Re: Not prems

        Posté par . Évalué à 3.

        Mouais, j'avais pas vu. Tu aurais vraiment dû proposer une dépêche.

        • [^] # Re: Not prems

          Posté par (page perso) . Évalué à 10.

          je suis pas familier du site, a mon premier journal on m'a dit que le journal c’était bien.
          et parfois je vois dans les dépêches qu'un journal est promu en dépêche.

          du coup je me dit que si ca doit passer en dépêche, ça passera en dépêche :p

          «Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell

        • [^] # Re: Not prems

          Posté par . Évalué à -10.

          putain mais ta gueule

          splash!

  • # C'est vexant

    Posté par (page perso) . Évalué à 10.

    Il n'y a pas d'exploit pour Linux ? (j'exclus volontairement Android de "Linux".) Est-ce que ça veut dire que Linux n'est pas prêt pour le desktop ?

    • [^] # Re: C'est vexant

      Posté par . Évalué à 3.

      Peut-être pas identifié pour l'instant mais en tout cas, Linux est ciblé :
      https://github.com/hackedteam

      En regardant rapidement, on y voit du Firefox, le whoopsie mentionné dans l'autre journal, gnome-keyring…

    • [^] # Re: C'est vexant

      Posté par . Évalué à 3. Dernière modification le 08/07/15 à 19:18.

      Si, il y a une exploitation d'une faille du kernel plus vieux que la version 3.5.5, et cela semblait être au départ une faille de SELinux. Je ne saisis pas tous les détails techniques, alors je te laisse découvrir la discussion sur reddit.

      PS : j'ai précisé cela aussi dans l'autre journal

      Edit : le lien était déjà dans ce journal

      • [^] # Re: C'est vexant

        Posté par (page perso) . Évalué à 8.

        Bah justement, selon le 1er commentaire ce n'est pas une faille qui cible Linux/Intel, mais plutôt Android avec Linux/ARM:

        It's not an SELinux exploit. It's fi01's put_user() exploit:
        https://github.com/fi01/libput_user_exploit
        This is an exploit for an almost two year old vulnerability in the Linux kernel where pointers passed from userland were not validated properly on some ARM platforms.

        https://www.reddit.com/r/linux/comments/3cegok/unknown_selinux_exploit_found_in_the_hacking/

        Pour moi, s'il n'y a pas de rootkit et d'exploits pour Linux, c'est que Linux n'est pas assez rentable en terme de cibles potentielles. Je ne pense pas que ça soit un problème technique, des failles, y'en a à tous les niveaux et sur tous les OS. Mais ça coûte du temps (donc de l'argent) de les rechercher puis d'écrire des exploits fiables pour les utiliser.

        Ou alors il y a vraiment un problème technique pour écrire des rootkits "portables" d'une distribution Linux à l'autre ?

        Je ne sais pas. Ma question de base est : ai-je raison de me sentir protégé sous Linux, ou bien est-ce de l'inconscience de ne pas installer de parefeu et d'antivirus sur mon poste de travail ?

        • [^] # Re: C'est vexant

          Posté par . Évalué à 2.

          Est-ce que tu as vu https://github.com/hackedteam/core-linux ? C'est la version Linux de leur backdoor RCS.

          Et je ne pense pas qu'un antivirus sur ton poste de travail change grand chose, vu le travail important réalisé par Hacking Team pour que leurs binaires ne se fassent justement pas détecter. Par contre ça peut te donner l'illusion que tu es protégé.

        • [^] # Re: C'est vexant

          Posté par . Évalué à 8.

          Pour moi, s'il n'y a pas de rootkit et d'exploits pour Linux, c'est que Linux n'est pas assez rentable en terme de cibles potentielles.

          Cette argument me laisse toujours dubitatif. La majorite des gros serveurs sont sous linux et j'ai un peu de mal a croire que cela ne soit pas interessant pour ces connardscretins.

          Par contre que cela soit parfait niveau securite n'exagerons rien.

          • [^] # Re: C'est vexant

            Posté par (page perso) . Évalué à 2. Dernière modification le 09/07/15 à 12:26.

            La majorite des gros serveurs

            Eux-mêmes sans utilisateur direct avec un client email ou autre et qui va réussir à faire exécuter un programme "cheval de Troie".
            On parle de faille userland surtout, donc il faut déjà avoir un accès au serveur, ce qui n'est pas facile (en théorie, un admin de serveur intéressant est un minimum compétant).
            Quel que soit l'OS (Windows, Mac, Linux), les failles "à distance" sont très rares (l'open bar à la Debian avec SSH date quand même pas mal…)

            Tandis que sous Windows/Mac/Android, l'utilisateur est la, et une des failles à exploiter est entre la chaise et le clavier.

            Donc Linux sur un serveur n'est pas une cible potentielle pour un rootkit générique (après, si on a une cible précise à haute valeur, c'est une autre histoire et on travaille sur un rootkit dédié), ça ne compte pas vraiment.

            Et Linux sur un client, ben… voila, quoi, c'est rare, factuellement, donc pas rentable.

            Au final, peu d’intérêt financier de faire du rootkit générique pour Linux (plus loin que le script kiddy qui n'a pas d'effort à faire sur une faille connue), Linux est protégé par son nombre d'utilisateurs "directs" faible.

            • [^] # Re: C'est vexant

              Posté par . Évalué à 9.

              Rootkit générique ? Rootkit dédié ? Je ne suis pas sûr de comprendre ce que tu écris.

              Comme je l'ai écrit dans mon commentaire précédent, la backdoor RCS supporte bien Linux, ce qui montre que c'est bien une cible pour Hacking Team. Pourquoi refuser la réalité, et ne pas accepter que Linux aussi est la cible d'attaques, que ce soit des serveurs ou des postes clients ?

              Les failles "à distance", comme tu les appelles, ne sont pas rares, au contraire. Preuve en est le nombre de serveurs piratés grâce à des vulnérabilités dans des langages de script comme PHP au hasard. Enfin, Linux sur un poste client peut aussi constituer une cible de choix, par exemple si l'utilisateur administre d'autres serveurs, si c'est un développeur d'un projet important, etc.

  • # .

    Posté par (page perso) . Évalué à 10.

    Le pedopron en fait c'est un outil qui génère de fausses preuves sur un ordi infecté (je vous laisse vérifier dans les sources :P).

    Par contre il me semble qu'on a bien un historique (non-pedo) d'un employé qui devait sans doute aller aux toilettes avec son ordi.

    • [^] # Re: .

      Posté par (page perso) . Évalué à 3.

      j'y ai pense a l'outil dont tu parles, mais le path est trop specifique non?
      c'est le cas oui, je donne le lien sur "Toujours sale mais moins glauque, des références plusieurs porno sur youporn ;)"

      «Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell

  • # Pedobear

    Posté par (page perso) . Évalué à 10.

    Si les trucs pédopornographiques se limitent à deux fichiers dont le nom ne ressemble pas à un nom "habituel" pour une vidéo, c'est peut-être que ce sont simplement des appâts pour que les cibles cliquent/téléchargent/etc. Ou pour faire du chantage une fois que le fichier est balancé sur l'ordinateur d'un technicien réseau d'une entreprise qui ne veut pas collaborer.

  • # Ils ont (enfin?) communiqué

    Posté par (page perso) . Évalué à 9.

    ils n'ont pas violée la loi disent-ils: https://www.ibtimes.co.uk/hacking-team-we-have-broken-no-laws-acted-completely-ethicially-1509740

    il semblerait que l'arrangement de Wassenaar bafoue, les crack, la creation de preuve, les fake id, tout ca c'est legitime.

    «Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell

  • # Backdoors

    Posté par (page perso) . Évalué à 7.

    Le pire c'est que des gouvernements donc des abrutis de politiques trompés par leurs supers techniciens en renseignement ont payé des millions de dollars ou euros pour avoir des produits avec des backdoors.

    Daesh cette soit disant organisation non gouvernementale de terrorisme qui a du pognon ( rançons, pétrole …)
    doit se régaler avec le double des clés.

    Mais c'est vrais que les boites noires sont la pour nous protéger …
    ```

    loi renseignement
    
    

    Tout le monde a un cerveau. Mais peu de gens le savent.

  • # hacked vs cracked

    Posté par (page perso) . Évalué à 6.

    Je sais que le hacking a mauvaise réputation (et beaucoup trop de définitions qui s’entremêlent)

    • le hacking est sain, il s'est étendu via le diy à d'autres domaines que l'informatique et correspond simplement, la plupart du temps, à monter en compétence en bidouillant pour essayer de comprendre.
    • le cracking, s'il n'était pas pollué par tous les script-kiddies est intéressant aussi, du côté white hat tout au moins ;-)

    l'arroseur arrosé, depuis la LCEN (dès 2004 :/) c'est aujourd'hui moins rigolo (Bluetouffe pourrait en témoigner). Comme quoi, l'humour se perd. Heureusement que LQDN en garde une bonne dose, avec une ligne directrice claire, ça va de soi, malheureusement on ne sait pas ce qu'en pensent les braves gens.

    Pour autant, être un hacker au sens de bidouilleur, souhaitant comprendre comment cela fonctionne, je ne vois vraiment pas la mauvaise réputation (de Georges Brassens ?) qui pourrait y être associée :/

    • [^] # Re: hacked vs cracked

      Posté par . Évalué à 9.

      Il y a le bon hacker et le mauvais hacker.

      Le hacker au sens où tu l'entends n'est pas en cause. C'est le bon hacker.

      Mais au sens couramment employé dans la presse non spécialisée (et même spécialisée, sans doute), c'est quelqu'un qui s'introduit dans les systèmes informatiques pour voler des donner ou foutre la merde. C'est le mauvais hacker. D'où la connotation négative du terme.

      L'auteur du journal en a conscience puisqu'il fait référence à la mauvaise réputation et précise que le mot répond à des définitions variées.

      • [^] # Re: hacked vs cracked

        Posté par . Évalué à 10.

        Mais pour tout compliquer, il y a aussi le bon mauvais hacker, Robin des Bois du net, qui s'introduit dans les systèmes d'informations pour voler aux méchants pour leaker à tout le monde.

        Et là c'est un bon ou un méchant, ça dépend qui le juge et quand.

        Un peu comme Nelson Mandela. Résistant, c'était un terroriste. Rétrospectivement, les vestes se sont retournées, c'est un héros. Mais les résistants palestiniens c'est des terroristes, c'est pas pareil.

        • [^] # Re: hacked vs cracked

          Posté par . Évalué à -10. Dernière modification le 09/07/15 à 15:23.

          Pour une partie intéressante de l'histoire des termes "hacker" et "pirate" en France

          Cf. la conférence titrée « Anonymat, identités numérique et réseaux sociaux » de Jean-Marc Manach et Fabrice Epelboin (édition 2010 de "Pas Sage en Seine") sur un de ces supports, au choix :

          Considérez l'extrait d'environ 5 minutes, de 1h00'38" (propos commençant par : « sachant que la DST c'est elle aussi qui avait créé le premier groupe de hackers en France, enfin le deuxième (…) » jusqu'à 1h04'49" (voire 1h06'42"). Ces propos sont tenus après la conférence, vers le début de la partie questions/réponses.

          Je propose de privilégier l'usage de youtube pour voir l'extrait en ligne : possibilité de caler à la souris sur 1h00'32" (voici un lien pré-calé sur 1h00'38"). Le callage est plus grossier sur la vidéo en ligne sur ubicast : soit vous perdez quelques secondes du propos qui traite de la création du "Chaos Computer Club France" — la branche française du CCC — par la DST (nom de l'époque de ces services secrets intérieurs français) en 1990 ou 1991, soit vous devez vous taper un petit paquet de secondes en plus. C'est drôle, non ?.

          Pour référence : une page de blog tenu par Jean-Marc Manach, article datant du 20 mai 2010, titré : « En France, les hackers n’ont plus peur de faire leur coming out ».

          • [^] # Re: hacked vs cracked

            Posté par . Évalué à 4.

            Moi je propose de privilégier VLC ou tout autre lecteur libre pour voir des vidéos en ligne : possibilité de caler à la souris, au raccourci clavier ou même en CLI sur n'importe quelle partie de la vidéo.
            Par exemple une vidéo YouTube avec VLC (VLC lit nativement un lien YouTube mais au pire il y a youtube-dl) ; voici une commande pré-calée sur 1h00m38s :

            vlc --start-time 3638 "$(youtube-dl -f 43 -g "https://www.youtube.com/watch?v=Tx_8GcV12co")"
            
            • [^] # Re: hacked vs cracked

              Posté par . Évalué à -2. Dernière modification le 09/07/15 à 16:17.

              [commentaire supprimé par l’auteur]

              • [^] # Re: hacked vs cracked

                Posté par . Évalué à 3.

                Je vois au moinssage que je n’aurais peut-être pas dû supprimer mon commentaire…

                En fait j’avais écrit qu’il suffisait de faire :

                vlc https://youtu.be/Tx_8GcV12co?t=3638

                Mais en fait ça ne fonctionne pas, ça lance la vidéo au début…

          • [^] # Re: hacked vs cracked

            Posté par . Évalué à -10. Dernière modification le 10/07/15 à 11:03.

            J'observe à cet instant que j'ai (+2/-3) pour le commentaire parent du présent commentaire. Pourquoi 3 "moinssages", 3 clics sur "inutile" alors que mon commentaire est objectivement très pertinent ? Comme chacun peut le remarquer, c'est un phénomène récurrent quasi-systématique.

            Puisque j'en suis à traiter de services secrets, je vous partage le fond de mon investigation qui ramène au « ni pardon ni oubli » talmudique… et au Mossad ! Vous allez dire que je vais loin ? Rav Dynovisz et le Mossad vont si loin…

            • [^] # Re: hacked vs cracked

              Posté par . Évalué à 1.

              mon commentaire est objectivement très pertinent

              Mouarf.

              • [^] # Re: hacked vs cracked

                Posté par (page perso) . Évalué à 2.

                Mouarf

                SamWang :-)

                • [^] # Re: hacked vs cracked

                  Posté par . Évalué à -10.

                  Dites donc, tous les deux, vous voulez mon aide pour vous ridiculiser ?

                  Ok, transcription !

                  • [^] # Re: hacked vs cracked

                    Posté par (page perso) . Évalué à 2. Dernière modification le 16/07/15 à 00:34.

                    merci pour la transciption, même si c'est un peu du réchauffé (j'étais hacker et cracker dès les années 80, ce qui m'a donné un peu d'expérience du contexte et des intervenants, j'ai lu langelot aussi en bibliothèque verte… Je trouve normal que nos « amis » de la DCRI soient à nos côtés, sans que cela exacerbe un quelconque complexe complotiste, même si je le regarde encore avec perplexité aujourd'hui :D).

                    Tu es à +10/-9 désormais (même si je n'ai cliqué sur aucun des deux liens possibles).

          • [^] # Re: hacked vs cracked

            Posté par . Évalué à -10. Dernière modification le 15/07/15 à 22:23.

            Transcription de l'extrait mentionné dans le commentaire parent, de 1h00'38" à 1h04'49" (balisé [A]), puis 1h06'42" (balisé [B]) :

            Jean-Marc Manach (JMM) : « sachant que la DST c'est elle aussi qui avait créé le premier groupe de hackers en France, enfin le deuxième — j'ai appris ça la semaine dernière, il y en a eu un avant —… Mais "Chaos Computer Club de France" qui avait été créé en 1990 ou 1991, en fait c'est un poisson pilote de la DST qui l'avait créé pour, justement, identifier quels étaient les hackers en France. Et ce qui a été un truc dramatique, parce que "hackers" c'est pas un terme péjoratif aux Etats-Unis, c'est pas un terme péjoratif en Grande-Bretagne. On sait qu'il y a une minorité de hackers qui fait des bêtises ou qui sont des criminels, mais que la majorité c'est des gens qui s'intéressent à la sécurité informatique ou c'est des bidouilleurs. En France, jusqu'à il y a deux ans, jusqu'à ce que le TMPLab lance le "hacker's space festival" à Vitry, "hacker" c'était un terme tabou. Je ne connaissais quasiment personne qui publiquement… Enfin je ne connaissais personne qui acceptait publiquement que moi en tant que journaliste je dise que toi… monsieur untel : "hacker". Non, il disait "professionnel de la sécurité informatique", "développeur de logiciel libre", mais le terme était complètement tabou. Maintenant, ça recommence un petit peu, alors c'est bien. Il a fallu attendre très longtemps. Mais à force de diaboliser ce terme-la on est passé à côté de… Ben on est passé à côté de la sécurité informatique ».

            Intervenant tiers, non identifié : « Si je peux me permettre, il y a quand même eu un effet qui a été super positif, qui a été que en fait tous les gens qui se sont sentis un petit peu floués effectivement par la tentative de création du "Chaos Computer Club France" par la DST, se sont plus retournés vers le logiciel libre. Ca a fait de la France un pays relativement en pointe sur le logiciel libre. Donc il y a quand même une contrepartie positive à ça. Aujourd'hui, effectivement, il y a un petit "revival" de la culture hacker qui fait qu'on se retrouve avec plusieurs "hacker's spaces" qui commencent à croître un petit peu… C'est un petit peu localisé sur Paris malheureusement, mais enfin bon, on commence à les voir fleurir un petit peu ailleurs. J'ai appris qu'il y en a un qui allait s'ouvrir à Lille dans pas longtemps. Notre ami "Decerebrain" a trouvé un local, apparemment. Donc on va retrouver effectivement, une culture "hacker" en France, mais elle n'a jamais été morte, faut bien savoir que les hackers, les vrais, en fait, ont fait du logiciel libre et c'est pour ça aujourd'hui qu'on est pas si mauvais que ça la-dedans ».

            Fabrice Epelboin (FE) : « Oui puis on s'est aussi aperçu qu'on pouvait se réapproprier les mots, parce que on était dans une période où les médias avaient finalement beaucoup moins de puissance et que des mots comme "pirate", on se les ai réapproprié au point qu'aujourd'hui, la RIAA — qui est l'équivalent grosso-modo de la SACEM américaine — considère qu'il faut absolument abandonner ce mot parce qu'il est devenu "sexy". On est en train de faire la même chose avec "hacker". Oui, la vice-présidente de la RIAA a fait une conférence de presse en disant qu'il faut absolument arrêter l'usage de ce mot "pirate", qu'ils avaient eux-mêmes lancé dix ans auparavant, parce que c'est devenu "sexy". Et ces gens-la qui ont l'habitude de contrôler les médias, commencent à s'apercevoir que, finalement, la culture ne se faisant plus dans les médias, elle se fait à travers des gens qui, eux, comprennent beaucoup mieux que les médias ce sont ils parlent. Donc le mot "pirate" est devenu "sexy", le mot "hacker" va devenir "sexy" relativement rapidement en France. C'est déjà super "sexy" en Allemagne ».

            L'intervenant tiers : « Ca va prendre du temps. Je ne sais pas si tu as vu Franck Riester, le rapporteur du projet de loi Hadopi, a quand même déclaré à la presse qu'il luttait activement contre les hackers, attention ».

            FE : « Oui, mais en même temps la crédibilité de Riester est quand même limitée et sa capacité à impacter la culture est encore plus limitée ».

            L'intervenant tiers : « C'est pas faux ».

            FE : « Il y a très concrètement une multitude de choses que peuvent faire des hackers et qui évidemment seront mises en valeur et qui au contraire auront tendance à redorer leur blason. Donc là-dessus j'ai peu de doute sur le fait que d'un point de vue purement sémantique, ce mot va être réapproprié et va retrouver une signification qui est celle qu'il a aussi bien aux Etats-Unis qu'en Allemagne, c'est à dire quelque chose de plutôt valorisant, qui désigne un expert des technologies avec un certain état d'esprit qu'on peut résumer à la curiosité et l'expérimentation, c'est à dire, grosso-modo, tout ce qu'on attend d'un bon informaticien, très concrètement, en tant que chef d'entreprise. Je mets ma casquette de chef d'entreprise, un informaticien qui n'est ni curieux, ni créatif, bon on peut toujours en faire quelque chose, mais forcément il va être moins bon. Et un hacker par définition, c'est curieux et créatif. Parfois très curieux, mais …curieux et créatif ».

            [A]

            JMM : « Le truc, c'est pour ça que tout à l'heure je parlais de Raymond Forni. C'est d'autant plus important que moi, pour ceux qui ont suivi un petit peu les aventures de mes vieux cons et de mes petits cons, enfin j'essaye de comprendre un petit peu ce que ça change, le paradigme… Comment Internet change le paradigme de la vie privée, et j'en suis arrivé à la conclusion que ce qu'on est en train de vivre maintenant, c'est un petit peu comme dans les années soixante-dix le combat des féministes ou des homosexuels. Quand tu disais tout à l'heure se réapproprier un insulte, enfin "hacker" en France c'était une insulte et maintenant ça devient une revendication, ou comme le mot pirate, c'est d'autant plus important que tout ce qu'on raconte là c'est un combat politique : avec qui on envie de vivre et qu'est-ce qu'on a envie de vivre. Est-ce qu'on a envie que cette société de l'information, ce soit quelque chose où on soit constamment sous surveillance, ce soit "Big brother", "Minority report" ? Ou est-ce qu'on veut que ce soit une démocratie, tout simplement. Là, je sais que la LSQ [Loi sur la Sécurité Quotidienne] en 2001, ils ont décidé que ce serait une démocratie avec des technologies totalitaires, au sens où placer l'ensemble des français sous surveillance, c'est quelque chose qui ne se fait pas dans l'espace physique. Il n'y a pas eu de loi qui oblige tous les français à porter une caméra de vidéo-surveillance en permanence, qui enregistre en permanence tout ce qu'on fait, à disposition de la police et de la justice. Mais ils l'ont fait sur le Net. Donc si on veut arriver à faire de telle sorte qu'avec le développement de l'Internet et le maillage — parce que c'est pas seulement l'Internet, c'est aussi l'Internet des objets, enfin le fait que de plus en plus, tout est interconnecté, les données, les hommes aussi sont interconnecté… Donc si on veut faire de telle sorte que ce soit pas quelque chose de pire, il est super important, exactement comme les féministes, comme les homosexuels l'ont fait dans les années soixante-dix, qu'on se réapproprie cette culture-là, qu'on revendique des choses qui sont tabous, pour arriver à dire "j'ai le droit de vivre tout simplement, en tant que personne, en tant qu'être humain, et j'ai le droit d'être un hacker, j'ai le droit d'être un homme libre, et pas uniquement un utilisateur qui n'a que le droit de, effectivement… Enfin on en revient au minitel 2.0, pour ceux qui ont lu la… Ou ceux qui n'ont pas lu, je vous invite à lire tout ce que Benjamin Bayart dit sur le minitel 2.0, c'est vraiment un enjeu politique ».

            [B]

            • [^] # Re: hacked vs cracked

              Posté par . Évalué à 2.

              Merci pour la transcription ;)

              Je suis trop jeune pour avoir connu les mouvements de libération sexuelle, le combat des féministes ainsi que pour les homosexuels. Bien leurs combats continuent encore aujourd'hui, mais je n'ai pas connu comment c'était au tout départ. Néanmoins, l'imaginaire que je m'en fais c'est que ces combats touchaient un bon nombre de personnes. On ne peut pas rester indifférent par rapport à cela. Soit les gens sont favorables au fait de traiter les homosexuels comme une personne normale, soit, ils ne le sont pas, et le font savoir. L'opinion générale a aussi fait avancer la cause. Mais il me semble que tout le monde pouvait trouver des solutions sur "comment améliorer la cause".

              Pour la question de la vie privée, malheureusement, j'ai bien peur que les conditions ne soient pas les mêmes. J'ai l'impression que la question de la vie privée n'intéresse personne, alors que paradoxalement, tout le monde pourrait défendre cette cause. Cela ne concerne pas uniquement les homosexuels ou les femmes ! Pourtant, tout le monde s'en fiche, et ne voient pas les problèmes liés à cette perte de vie privée. La stigmatisation et les "injustices" sont moins voyantes…

              Alors, comment faire ? Vous y croyez vraiment que cette bataille puisse être remportée ? Je veux dire, ce n'est pas comme les logiciels libres où il "suffit" de se mettre à développer des logiciels libres. On embête personne. Et si tu veux n'utiliser que des logiciels libres, cela vient de ta volonté première, il y a parfois des difficultés techniques, parfois, il faut renoncer à un certain confort, mais il y a toujours la possibilité de le faire.

              La vie privée ? Tu peux dire que tu revendiques un droit à la vie privée. Mais concrètement comment tu t'y prends ? N'importe quelle connexion et échange de données chiffrés peut sans doute être déchiffré si la volonté est là…

              • [^] # Re: hacked vs cracked

                Posté par . Évalué à -10. Dernière modification le 16/07/15 à 14:35.

                Pour commencer, tes questions font sortir du sujet du fil de discussion. Je vais tout de même veiller à te donner quelques éléments de réponse pour nourrir ta curiosité, jeune hacker.

                La vie privée, j'y croirai à partir du moment où il y aura relocalisation de centres de production de circuits intégrés numériques, en combinaison avec l'obtention d'une indépendance du peuple par rapports aux forces oligarchiques, permettant d'exercer un parfait contrôle citoyen sur la fabrication. Idéalement, ce sera à l'occasion d'une évolution technologique majeure permettant d'envisager la production d'ordinateurs à des échelles micro-locales. Le logiciel libre ne suffit pas pour garantir le comportement de la machine, il faut la confiance dans l'intégrité du matériel. Si le matériel est conforme à ses spécifications libres et auditées, alors des moyens cryptographiques sérieux peuvent être envisagés avec confiance, rendant extrêmement difficile le décryptage pour des attaquants.

                Le problème de la vie privée est central car l'influence des forces oligarchies est telle aujourd'hui que nous voyons se dessiner la parfaite dictature, qui impose sa loi par l'instauration de la peur.

                Mais les hackers sont rebelles et ils sont déployés partout à la surface du globe. C'est pourquoi, puisque tu sembles vouloir comprendre, je te propose de suivre le lapin blanc : http://www.histoireebook.com/index.php?post/2012/02/05/Reed-Douglas-La-controverse-de-Sion …C'est long mais je me suis laissé dire que c'est bon. J'ai lu la dernière page du PDF, puis la page web de présentation, avec en mémoire le souvenir de ceci : http://www.egaliteetreconciliation.fr/Justice-d-exception-pour-les-editions-Kontre-Kulture-21300.html

                Si tu suis le parcours, tu devrais découvrir cette abomination : nous sommes sous la férule de malades mentaux qui tiennent les centres de pouvoir principaux et orientent les décisions. A partir de là, inutile d'espérer le respect de la vie privée dans les conditions actuelles. Par contre nous pouvons opérer un parfait dévoilement, ce qui semble leur poser un problème. Bien qu'ils s'échinent de plus en plus à afficher eux-mêmes leur ignominie à la vue de tous, ils conservent le besoin de se cacher partiellement, par crainte d'une révolution généralisée.

                Plutôt qu'une révolution, nombre de hackers réfléchissent à une évolution. Désormais, le but des hackers authentiques est le dévoilement des vérités factuelles sourcées. Tu peux considérer que c'est le critère ultime de l'authenticité. Dans ce travail, l'enjeu principal est la mise en lumière plutôt que la conservation du secret de la vie privée.

                • [^] # Re: hacked vs cracked

                  Posté par . Évalué à 3.

                  Hum… Je m'attendais à des réponses intéressantes, mais pas à quelque chose comme ça. D'une part, je n'ai pas l'impression que tu réponds à mes questions, qui sont, je le rappelle "Croyez-vous que l'on puisse remporter cette bataille ? Et si oui, comment faire ?".

                  Je comprends bien l'importance de l'intégrité du matériel pour s'assurer du comportement des machines, mais qu'est-ce que la relocalisation des centres de production à avoir ? Est-ce que quand tu télécharges un exécutable même dans les dépôts les plus surs, est-ce que tu regardes où a été "compilé" l'exécutable ?

                  Ensuite, le reste…. Est-ce que tu penses pouvoir gagner ma confiance en me donnant comme référence des ouvrages d'Alain Soral, et ses amis ? Pas que je puisse démonter ses arguments, ou m'assurer du bien-fondé (ou non) de ses théories, je trouve que la façon dont il s'exprime, et qu'il se met en scène, ne font rien pour me donner confiance en ses arguments. Tant bien même s'il critique le pouvoir en place, et qu'il aurait raison !

                  Le truc s'appelle Kontre Kulture. Déjà, on sait qu'on est dans l'opposition, donc dans un avis forcément tranché et subjectif… ce n'est pas trop le signe d'une objectivité quelconque… Ensuite, je déteste cette argument qui est de dire "puisqu'on me censure, et qu'on m'interdit de parler, c'est forcément parce que les critiques que je fais contre le pouvoir sont vrais, ils ne veulent pas que l'on sache !".

                  Ensuite, l'annonce prophétique comme quoi cette censure est unique en France, et va faire soulever les foules…. Et bien, je crois qu'on peut attendre longtemps ! Je doute que cela soit unique d'ailleurs.

                  • [^] # Re: hacked vs cracked

                    Posté par . Évalué à -10. Dernière modification le 18/07/15 à 20:51.

                    Je comprends bien l'importance de l'intégrité du matériel pour s'assurer du comportement des machines, mais qu'est-ce que la relocalisation des centres de production à avoir ?

                    la relocalisation des centres de production du matériel ne suffit pas. J'ai écrit (je rajoute la mise en gras) : « en combinaison avec l'obtention d'une indépendance du peuple par rapports aux forces oligarchiques, permettant d' exercer un parfait contrôle citoyen sur la fabrication. Idéalement, ce sera à l'occasion d'une évolution technologique majeure permettant d'envisager la production d'ordinateurs à des échelles micro-locales »

                    Si tu pouvais disposer un jour, par exemple au sein d'une association (dont tu serais géographiquement proche et qui comporterait des personnes de confiance), des moyens de produire les circuits intégrés numériques essentiels d'un ordinateur, alors si tu disposais des fichiers de définition de ces composants sous licence libre, avec la garantie qu'ils ont été audités intégralement, par des personnes de confiances et de façon redondante, tu augmenterais d'un facteur incommensurable la confiance que tu peux accorder dans les traitements numériques réalisés par un tel ordinateur.

                    Il y a une façon plus accessible actuellement pour obtenir un haut niveau de confiance de la conformité du matériel avec des spécifications libres et auditées, c'est d'organiser une souscription pour passer commande auprès d'un industriel qui accepterait, par contrat, la supervision de la fabrication par des hackers de confiance.

                    Actuellement, tu confies les traitements numériques à un ordinateur fabriqué par un grand groupe industriel et tu n'as strictement aucun moyen de connaître le schéma de gravure du silicium des circuits intégrés. Même si un constructeur se mettait à produire des circuits intégrés déclarés conformes à des spécifications ouvertes, tu n'aurais que la crédulité dans cette assertion pour accorder ta confiance, le constructeur pouvant faire ce qu'il veut, à ton insu. Le seul moyen d'investigation connu pour connaître le détail du fonctionnement d'un circuit numérique est un moyen destructif, par abrasion de couches successives et par relevé au microscope à balayage électronique (et même ainsi, nous disposons du témoignage d'un hacker de bearstech lors d'un PSES ("Pas Sage En Seine") il y a quelques années, comme quoi la simple mesure est destructrice des jonctions des transistors, étant donné la finesse de gravure actuelle), qui ne peut concerner qu'un seul échantillon (car il peut y avoir des variations au sein d'une prétendue même série de composants).

                    Si tu obtiens la confiance dans les traitements numériques que ton ordinateur effectue, tu obtiens la capacité de chiffrer avec une résistance très sérieuse au décryptage. Rien que cette assertion nécessite un large approfondissement pour en évaluer la pertinence. Très sérieuse ne veut pas dire absolue, il n'est pas imaginable de rendre impossible le décryptage. Cependant, il peut être envisagé des algorithmes et longueur de clé tels que le coût en temps pour décrypter est rédhibitoire avec les ordinateurs disponibles actuellement et même avec d'éventuels ordinateurs quantiques. Tu peux te pencher sur le chiffrement homomorphe pour tenter de t'en convaincre.

                    J'ai publié quelques réflexions sur ces sujets sur Linuxfr. Je t'invite à lire ces quelques commentaires pour aller plus loin.

                    Est-ce que quand tu télécharges un exécutable même dans les dépôts les plus surs, est-ce que tu regardes où a été "compilé" l'exécutable ?

                    Je suppose que désormais tu comprends que cette question n'a rien à voir avec le problème de la confiance dans le matériel.


                    Pour ce qui est du livre dont je te proposais la lecture : si tu lis la page de présentation de l'ouvrage et la dernière page du PDF (l'ouvrage lui-même), tu verras qu'il n'y a aucun lien direct avec Alain Soral. Il s'agit d'un citoyen américain, Douglas REED, qui a écrit vers le milieu du 20e siècle une histoire révisée des deux derniers millénaires, après une carrière de journaliste qui l'a mené à parcourir le monde, à s'interroger largement et à enquêter longuement. L'éditeur Kontre-Kulture s'est contenté d'éditer cet ouvrage. Rien ne m'importe plus que la liberté de conscience et la vérité. Sois en paix.

      • [^] # Re: hacked vs cracked

        Posté par . Évalué à 10.

        Il y a le bon hacker et le mauvais hacker.

        Le mauvais hacker, il prend un ordi, il hacke. Le bon hacker, il prend un ordi, il hacke… mais c'est un bon hacker ;-)

      • [^] # Re: hacked vs cracked

        Posté par . Évalué à 4.

        L'auteur du journal en a conscience puisqu'il fait référence à la mauvaise réputation et précise que le mot répond à des définitions variées.

        ici on a de bons hackers qui ont commit un acte « illégal » (s'introduire dans un système informatique) mais éthique selon certains (puisque ce système informatique est néfaste), et qui donc auront bonne réputation auprès d'une partie des informaticiens libristes suite à cela.

        C'est de « bonne guerre » on va dire…

        • [^] # Re: hacked vs cracked

          Posté par . Évalué à 10.

          ouais enfin ils auraient pu défacer le site avec des photos de bites comme même

          Ils n'ont fait le boulot qu'à moitié :/

          splash!

    • [^] # Re: hacked vs cracked

      Posté par (page perso) . Évalué à -7.

      Perso je fais la distinction entre la technique et l'éthique:
      Le hacking est la technique qui consiste à s'introduire dans un système en contournant la sécurité.
      Et en fonction des intentions du hacker, c'est un white ou un black hat.

      • [^] # Re: hacked vs cracked

        Posté par (page perso) . Évalué à 2.

        Très bien ta définition mais qui est juge de l'intention? En fonction de quelles règles juridiques ou morales? Disons que d'après toi un white hat est un hacker dont les motivations ne choquent pas tes conceptions éthiques, bref un bon hacker c'est celui qui hacke ce que j'accepte de voir hacké. C'est simple clair, à condition que le monde entier pense comme toi.

      • [^] # Re: hacked vs cracked

        Posté par (page perso) . Évalué à 8.

        Le hacking est la technique qui consiste à s'introduire dans un système en contournant la sécurité.

        Non.
        Hacking
        "le bidouillage ou hacking concerne les activités visant à détourner un objet de sa fonction première. Le hacking a pour fonction de résoudre ou d'aider à résoudre des problèmes, et cela dans de nombreux domaines."

        que ça te plaise ou pas, tu ne peux pas changer le sens des mots, et ce même si d'autres le font.

        Et en fonction des intentions du hacker, c'est un white ou un black hat.

        Et en fonction des intentions du cracker (en fait, surtout en sachant si il a l'autorisation de contourner la sécurité ou pas, par exemple en ayant un contrat de test de la sécurité avec le proprio de la machine), c'est un white ou un black hat.
        (un hackeur travaillant toujours sur des choses à lui, il est toujours "white", ce que dit l'auteur du commentaire auquel tu réponds sans répondre en fait).

        • [^] # Re: hacked vs cracked

          Posté par (page perso) . Évalué à 10.

          Il est vrai que pour beaucoup le hack originel c’était le détournement de matos telecom pour améliorer une installation ferroviaire miniature au MIT.
          Par contre le terme crackeur n'a jamais vraiment pris pour ce qu'on appels communément aujourd'hui les black hat simplement parce que le mot était déjà utilisé (et l'est toujours aujourd'hui) pour désigner les gens contournant les protections numérique (réalisation d'un keygen ou d'un patch pour bypass une activation, contournement de DRM ect.).

          Et si tu peux changer le sens des mots, de façon plus ou moins jolie, de façon plus ou moins imagée, et de façon plus ou moins vrai. Si je te dis "t'as pas 100 balles" je m'attends pas a des ballons de basket. La modification d'une langue par les personnes qui l'emploi font de cette langue une langue vivante. c'est pas toujours beau mais c'est pas interdit.

          «Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell

          • [^] # Re: hacked vs cracked

            Posté par (page perso) . Évalué à -1. Dernière modification le 11/07/15 à 01:52.

            Contrairement au raccourci que tu fais, un cracker n'est àmha pas forcément un black hat, cela peut être un white hat (j'ai pas mal de collègues qui font de l'intrusion, je puis aussi en faire en moins de 15 min au sein d'une prod'… en ne faisant appel qu'au social hacking).

            Pour autant, le terme de cracker est foncièrement plus connoté que hacker sur une volonté d'intrusion (bénéfique ou pas) ou pire (le côté black hat que tu relèves). Tout est dans la nuance et la compréhension de l'intention.

            Pour revenir sur tes exemples des « drm flawed by design » (ce n'est aucunement des protections même si accessoirement numériques, la clé étant fournie avec le cadenas la plupart du temps…), c'est àmha du ressort au mieux de script kiddies, pas très élaboré, ni très compétent… éventuellement sachant chercher (j'ai failli dire astucieux, mais même pas). Utiliser un crack ne fait pas de toi un cracker :-) eh oui !

            • [^] # Re: hacked vs cracked

              Posté par (page perso) . Évalué à 4.

              j'ai pas vraiment compris ce que tu as tente de dire … pourtant j'ai relu.

              • social hacking? tu veux parler de social engineering ?
              • les DRMs ne sont pas une protection en effet, c'est sans doute pour que ça qu'en français ça s’appelle (entre autre) "mesures techniques de protection". (et c'est pas exactement au niveau des scripts kiddies)

              Ce n'est pas un raccourci, un cracker dans sa définition est assimilable à un black hat:

              RFC 1983

              cracker
              A cracker is an individual who attempts to access computer systems
              without authorization. These individuals are often malicious, as
              opposed to hackers, and have many means at their disposal for
              breaking into a system.

              Dans le sens commun (wikipedia)

              cracker
              Un cracker est une catégorie de pirate informatique spécialisé dans le cassage des protections dites de sécurité (ex : protection anticopie) des logiciels1, notamment des partagiciels (qui nécessitent des clés d'enregistrement).

              hacker dans sa définition première n'a RIEN à voir avec la sécurité informatique:

              (les premiers hacker ne l’était pas en informatique mais en modélisme ferroviaire.

              RFC 1983

              hacker
              A person who delights in having an intimate understanding of the
              internal workings of a system, computers and computer networks in
              particular.

              Dans le sens commun, hacker garde ce sens, et une sous culture du hacking pour la sécurité informatique a fait son chemin qui englobe entre autre les cracker.

              «Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell

              • [^] # Re: hacked vs cracked

                Posté par . Évalué à -10.

                un cracker dans sa définition est assimilable à un black hat:

                Ah bon ? Pourtant tu enchaînes ainsi :

                RFC 1983

                cracker
                (…) These individuals are often malicious, as opposed to hackers, (…)

                malicious : méchant, malveillant
                often : souvent, c'est à dire pas toujours…

                Ainsi, un cracker est parfois assimilable à un "black hat", parfois à un "white hat", comme c'est exprimé par baud<.

                • [^] # Re: hacked vs cracked

                  Posté par (page perso) . Évalué à 0. Dernière modification le 11/07/15 à 12:02.

                  pourquoi tu passes de souvent a parfois? de plus si tu continue la lecteur, il est bien exprime qu'il y a souvent une confusion entre hacker et cracker et renvoie vers la référence de hacker. ca ne change rien que dans le langage courant cracker est assimile a blackhat.

                  «Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell

                  • [^] # Re: hacked vs cracked

                    Posté par . Évalué à -10. Dernière modification le 11/07/15 à 13:38.

                    Entendu, pour être conforme à ce qui est exprimé dans la RFC 1983, j'aurais dû écrire « un cracker est souvent assimilable à un "black hat", parfois à un "white hat" ». Je pense d'ailleurs que l'usage de l'adverbe "souvent" est légitimé par le fait que dans le langage courant, le sens du mot cracker (souvent une personne malveillante) me semble s'être construit en opposition à hacker (bienveillant).

                    Ceci dit, la fréquence de l'association sémantique à l'une ou l'autre des définitions qui s'opposent ("black hat" et "white hat") est secondaire. Ce qui prime, pour reprendre les termes de Zenitram<, c'est qu' « en fonction des intentions du cracker (en fait, surtout en sachant si il a l'autorisation de contourner la sécurité ou pas, par exemple en ayant un contrat de test de la sécurité avec le proprio de la machine), c'est un white ou un black hat ».

                    • [^] # Re: hacked vs cracked

                      Posté par . Évalué à -10.

                      j'ai écrit :

                      hacker (bienveillant)

                      Je précise, en reprenant Wikipédia à la suite de Zenitram< (ici en italique) : bienveillant, puisque ses activités visent à détourner un objet de sa fonction première, pour résoudre ou aider à résoudre des problèmes. Bon, finalement, il y a une neutralité certaine dans cette définition et j'observe que, sur Wikipédia, la bienveillance du hacker n'est pas reconnue comme systématique puisqu'il est écrit que, parfois, le hacking s'apparente au piratage informatique (en référence au Grand Dictionnaire terminologique de l'Office québécois de la langue française), peut-être un lointain résidu du travail de la DST auquel je faisais référence plus haut, ou d'une officine similaire au Québec…

                  • [^] # Re: hacked vs cracked

                    Posté par . Évalué à 10.

                    ca ne change rien que dans le langage courant cracker est assimile a blackhat.

                    Et, le plus souvent, à un biscuit apéritif.

                    The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

                    • [^] # Re: hacked vs cracked

                      Posté par . Évalué à 5.

                      Se faire pwner par un biscuit apéritif, si ça c'est pas le summum de la honte… :'(

                      splash!

  • # Intermédiaires

    Posté par . Évalué à 4.

    Ce qui m'intéresse le plus, c'est ce que fait la France et comment elle le fait. J'ai donc lu les extraits d'échanges de courriers électroniques sur cette page et j'ai été surpris de voir les adresses des clients avec qui conversait le personnel de la société hacking-team.

    KCS Group

    Le premier interlocuteur a une adresse appartenant à KCS Group, il s'agit d'une entreprise de stratégie intelligente et de risque basé à Londres.

    Sagic

    Le deuxième interlocuteur a une adresse @sagic.fr. Les informations ne sont pas aussi évidentes à trouver, n'étant pas bon dans ce domaine, tout ce que j'ai trouvé est à prendre avec précaution. Il semblerait que l'entreprise soit basée en France qui fait de la restauration. Cette information paraissant peu fiable, on peut penser qu'il s'agit d'un organisme travaillant entre le centre national d'études des télécommunications et le groupement interministériel de contrôle.

    Conclusion

    Malgré mon dégoût pour l'industrie de l'espionnage, je suis heureux de constater qu'entre 2014 et 2015, un intermédiaire s'est retiré de la discussion. Par contre, de mémoire, il me semble que la loi renseignement stipule que le gouvernement ne peut faire appel à aucun intermédiaire et doit garder le contrôle des outils de surveillance de masse (c'est pas écrit comme ça en tout cas). La boite noire qu'aurait constitué hacking-team me parait contrevenir à la loi et être une faille majeure… et mes espoirs s'envolent à nouveau.

    • [^] # Re: Intermédiaires

      Posté par . Évalué à 3.

      Surtout que leurs outils ont des backdoor ;)

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: Intermédiaires

        Posté par (page perso) . Évalué à 2.

        oui mais la France a dit "il faut que l'anssi veille a ce qu'il y ai pas de backdoor si vous voulez qu'on achète" :p
        D'ailleurs quand tu vois les failles SQL énormes qu'ils laissent, on me fera pas croire que c'est de la malveillance :)

        «Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell

    • [^] # Re: Intermédiaires

      Posté par . Évalué à 2.

      LOL…

      Sagic

      51 BOULEVARD DE LATOUR MAUBOURG

      http://www.sgdsn.gouv.fr/site_rubrique45.html

    • [^] # Re: Intermédiaires

      Posté par . Évalué à 2.

      Malgré mon dégoût pour l'industrie de l'espionnage, je suis heureux de constater qu'entre 2014 et 2015, un intermédiaire s'est retiré de la discussion. Par contre, de mémoire, il me semble que la loi renseignement stipule que le gouvernement ne peut faire appel à aucun intermédiaire et doit garder le contrôle des outils de surveillance de masse (c'est pas écrit comme ça en tout cas). La boite noire qu'aurait constitué hacking-team me parait contrevenir à la loi et être une faille majeure… et mes espoirs s'envolent à nouveau.

      Il n'y a rien dans la loi renseignement qui interdise à l'Administration d'acheter des solutions à l'extérieur. Qu'elle soit la seule à avoir le droit de les installer et les opérer n'est pas le même sujet.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.