Journal Badbios vous a plu? Vous allez aimer le catalogue NSA

Posté par (page perso) . Licence CC by-sa
Tags :
26
31
déc.
2013

Seul ceux qui ont hibernés les 12 derniers mois ignorent qu'un héros appelé Snowden a fait fuiter des documents confidentiels sur les méthodes employées par la NSA pour espionner le tout un chacun.
Le dernier document qui vient de sortir est le NSA catalog.
50 pages présentant les outils utilisables par les petits agents de la NSA pour tout savoir. C'est pas reluisant.
Votre cordon entre le moniteur et l'UC? Trojanisé, il diffuse en temps réel ce que vous observez. Vous avez une carte wifi inutilisée dans la machine? Elle est UP et transmet toutes vos données? Un iPhone? La NSA fait tout ce qu'elle veut dessus. Un BIOS? Rempli de malware, ça résiste à la réinstallation d'OS. Vous utilisez linux? Pas de bol, la majorité des infections d'OS indiquent que c'est compatible ext3. Un cordon USB? Dans le plastique de la prise, un CPU et une antenne pour downloader over the air des malwares, infecter, etc.. Vous utilisez un firewall Juniper ou Cisco? Ils sont backdoorés jusqu'au trognon. Vous tapez au clavier? Pauvre de vous, ils loggent les frappes claviers. Du wifi? Interceptable jusqu'à 8 miles (??!!) Et le catalogue continue comme ça.
J'allais oublier le lien: http://leaksource.wordpress.com/2013/12/30/nsas-ant-division-catalog-of-exploits-for-nearly-every-major-software-hardware-firmware/

  • # Linux sur le desktop

    Posté par (page perso) . Évalué à 3.

    On peut quand même voir sur la page sur "nightstand" que ça utilise une Fedora core 3 sur un pc. Autant dire que Linux est prêt sur le desktop avec un tel example.

    mais bon, le catalogue date d'il y a 5 ans, peut être qu'ils ont pris unity ?

    • [^] # Comme c'est dommage

      Posté par . Évalué à -10.

      Alors:

      -Soit on écrit complètement le texte en Anglais;
      -Soit on écrit complètement le texte en Français.

      Do you want an exAmple?
      Désirez-vous un exEmple?

      Bien sur, le fait de mettre des majuscules dans les phrases, est fait uniquement pour mettre en "evidence"…

      Et bonne fin d'année…

  • # Serieux?

    Posté par (page perso) . Évalué à 5.

    Sérieux, c'est quoi ces noms de code de merde?
    On pourrait presque croire à une blague tellement c'est incroyablement débile.

    Ça fait un peu peur, rien que de se demander qui a pondu ces noms à la NSA!

    Petit extrait:

    ARKSTREAM
    IRONCHEF
    WAGONBED
    BANANAGLEE
    GOURMETTHROUGH
    HALLUXWATER
    TURBOPANDA
    SOUFFLETHROUGH
    ...
    

    Franchement, j'ai presque l'impression que c'est un hoax.

    • [^] # Re: Serieux?

      Posté par . Évalué à 10.

      Franchement, j'ai presque l'impression que c'est un hoax.

      C'est que les noms ont été très très bien choisis alors…

    • [^] # Re: Serieux?

      Posté par (page perso) . Évalué à 10.

      Franchement, j'ai presque l'impression que c'est un hoax.

      C'est le but. D'ailleurs Snowden travaille en fait pour Thierry Messan et Ben Laden qui n'est pas mort bien entendu.

      • [^] # Re: Serieux?

        Posté par (page perso) . Évalué à 2.

        Ben Laden qui n'est pas mort bien entendu

        Non il n'est pas mort, il est bronsonisé. Comme Elvis et David Carradine.

    • [^] # Re: Serieux?

      Posté par . Évalué à 8.

      Sérieux, c'est quoi ces noms de code de merde ?

      Venants de bidasses je trouve ça pas mal, il n'y a même pas de fautes.

      Please do not feed the trolls

      • [^] # Re: Serieux?

        Posté par (page perso) . Évalué à 2.

        Venant de bidasses je trouve ça pas mal, il n'y a même pas de fautes.

        la NSA depend du Departement de la Defense des Etats-Unis mais ne fait pas partie de l'Armée Americaine il me semble, ce ne sont donc pas des bidasses.

        • [^] # Re: Serieux?

          Posté par . Évalué à 8.

          s/bidasses/barbouzes ?

        • [^] # Re: Serieux?

          Posté par . Évalué à 4.

          Et même, un bidasse est un appelé, pas un militaire (enfin pas un vrai) et peut ou plutôt pouvait avoir un métier et de l'éducation.

    • [^] # Re: Serieux?

      Posté par (page perso) . Évalué à 8.

  • # Et on se foutait de notre gueule…

    Posté par . Évalué à 4.

    C’est fou. Même avec la paranoïa la plus aiguë on ne pouvait pas imaginer que ça allait aussi loin. :(

    Qui doute encore que la NSA a récupéré les empreintes digitales des acheteurs des derniers iPhone ?

    • [^] # Re: Et on se foutait de notre gueule…

      Posté par (page perso) . Évalué à 4.

      Même avec la paranoïa la plus aiguë on ne pouvait pas imaginer que ça allait aussi loin. :(

      Ah?
      Même sans être paranoïque, rien ne me choque dans mon imaginaire : c'est basique pour des services d'espionnage, juste des méthodes qui ont évolué avec la technologie.
      Pire : rien ne me choque comme méthode, c'est de l'espionnage moderne, rien de plus.
      comme le dit très bien patrick_g, si soucis il y a, ça n'a rien à voir avec ces outils mais c'est son automatisation qui pose potentiellement problème.

      En fait, j'ai l'impression que vous devenez tout d'un coup on ne sait pas pourquoi choqué par l'existence même d'un service d' espionnage… Juste parce qu'on nous dit qu'ils font leur boulot. Un peu comme les gens choqués par une centrale nucléaire qui merde alors que statistiquement on le sait dès la construction que ça va arriver, on "découvre" quand ça nous arrange alors qu'on savait très bien avant.

      • [^] # Re: Et on se foutait de notre gueule…

        Posté par . Évalué à 10.

        Même sans être paranoïque, rien ne me choque dans mon imaginaire : c'est basique pour des services d'espionnage, juste des méthodes qui ont évolué avec la technologie.

        Les services d'espionage dans mon imaginaire personnel c'était James Bond et Mata Hari.
        Big Brother je rangeais ça dans la case Totalitarisme et controle des populations.

        On a tous des imaginations différentes.

        • [^] # Re: Et on se foutait de notre gueule…

          Posté par . Évalué à 3.

          Les services d'espionage dans mon imaginaire personnel c'était James Bond et Mata Hari.
          Big Brother je rangeais ça dans la case Totalitarisme et controle des populations.

          Tu as probablement du occulter l'agent Q de ton imaginaire. C'est dommage moi je l'aime bien :)

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: Et on se foutait de notre gueule…

        Posté par . Évalué à 4.

        j'ai l'impression que vous devenez tout d'un coup on ne sait pas pourquoi choqué par l'existence même d'un service d' espionnage…

        Non, ce qui choque ce n'est pas l'espionnage, c'est les moyens mis en œuvre, l'ampleur et le systématisme de l'espionnage.

        • [^] # Re: Et on se foutait de notre gueule…

          Posté par (page perso) . Évalué à 8.

          systématisme de l'espionnage

          Dans ce qui est présenté, il y a des moyens ciblés (discutables) et non-ciblés (scandaleux).

          Voilà une longue mais intéressante conférence (en vidéo) de Jacob Applebaum au Chaos Communication Congress.

          Comme il dit, la surveillance n'est plus ciblée (avec des gars qui vont manuellement poser des mouchards) mais le raisonnement alambiqué est «on enregistre tout, mais ce n'est de la surveillance qu'à partir du moment où quelqu'un commence à analyser les enregistrements».

          Sinon un autre article faisait remarque que les États-Unis font exactement ce qu'ils ont reproché aux
          chinois (Huawei et consort) de pouvoir faire. Et au final le matériel chinois peut contenir des malwares US.
          Comme dit zebra3, tous ces reproches sont d'une grande hypocrisie. Tous les pays font pareil (mais pas avec les même moyens). Les gouvernements prônent la concurrence non faussée, sauf que:
          - certains peuvent faire du dumping social
          - mettre des réglementations pour empêcher les étrangers de rentrer sur leur marché (ex: une société doit avoir un propriétaire/partenaire local)
          - l'espionnage industriel est soutenu par les états qui en ont les moyens (sous couvert de défense nationale/protection antiterroriste)
          Comme on dit, les promesses n'engagent que ceux qui y croient.

          • [^] # Re: Et on se foutait de notre gueule…

            Posté par . Évalué à 2.

            Tous les pays font pareil (mais pas avec les même moyens).

            Et partagent des informations (bien sûr l'authenticité reste à juger), mais faut pas croire que les gouvernements européens ne bénéficient pas de ces informations (même si c'est dans une moindre mesure que les USA évidement).

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

  • # Et alors ?

    Posté par (page perso) . Évalué à 10. Dernière modification le 31/12/13 à 16:22.

    Je ne suis pas choqué par la plupart des trucs énumérés dans le catalogue. Après tout c'est bien le boulot de la NSA (et du GCHQ, et de la division technique de la DGSE, etc) de faire de l'interception. Du moment que c'est ciblé il n'y a pas de problème.

    Le vrai souci c'est quand l'interception se fait à échelle massive et surveille toute une population (comme les branchements sur les câbles sous-marins pour tout enregistrer). Là c'est scandaleux.
    Un autre souci potentiel c'est quand le noyautage technique se fait sur la chaine de production des usines ou lors de la conception des primitives crypto (voir l'affaire avec le NIST). Là aussi c'est scandaleux parce que tout le monde se retrouve victime de l'opération d'espionnage.

    Mais que la NSA dispose d'outils techniques sophistiqués pour espionner des cibles précises ou des machines particulières, ou est le problème ? En quoi est-ce une surprise ?

    • [^] # Re: Et alors ?

      Posté par . Évalué à 4.

      Pas vraiment un problème mais c'est surtout intéressant de voir concrètement de quoi est capable la NSA et combien ils facturent leurs prestations :-)

      L'infection des ordinateurs lors d'une commande : c'est tellement simple que je n'y aurait même pas pensé.

    • [^] # Re: Et alors ?

      Posté par (page perso) . Évalué à 4.

      Puis j'ai l'impression que ce sont des techniques essentiellement non utilisables à distance (intervention sur la machine convoitée, ou du moins à grande proximité). Ou alors je n'ai véritablement rien compris.
      On sait très bien qu'une fois accès à la machine physique, tout est possible, ça n'a rien de nouveau.

      Je pense que l'affaiblissement du chiffrement général va se retourner contre la NSA notamment quand les nations adverses auront les moyens, l'envie et les compétences pour retourner ça contre les USA en les prenant à leur propre jeu. D'ailleurs j'ai cru lire qu'un sénateur américain s'était inquiété de cette possibilité à l'heure où les pays comme la Chine pourraient faire mumuse bien plus fortement qu'eux.

      Cela pourrait les faire revenir en arrière sur certaines méthodes discutables…

      • [^] # Re: Et alors ?

        Posté par . Évalué à 6.

        Je pense que l'affaiblissement du chiffrement général va se retourner contre la NSA notamment quand les nations adverses auront les moyens, l'envie et les compétences pour retourner ça contre les USA en les prenant à leur propre jeu.

        À mon avis c'est tout le contraire. Elles collaborent déjà et profite de ce système, ces outils sont une aubaines et elles collaboreront encore plus.

        Je pense qu'il ne faut rien attendre des autres nations, mais plutôt des organismes (EFF) et des développeurs.

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

        • [^] # Re: Et alors ?

          Posté par (page perso) . Évalué à 3.

          Je doute que la Chine, l'Iran et l'UE collaborent avec la NSA pour s'infiltrer dans les machines d'à peu près tout le parc informatique mondial. Car si c'est le cas, ça signifie que ces pays peuvent espionner les USA dont des grandes entreprises, les grandes agences du pays, le gouvernement ou le parlement, etc.

          Le but de le NSA est d'espionner les autres en évitant de se dévoiler (sinon ça perd d'intérêt).
          Imagine les conséquences pour la sécurité intérieure des USA (dossier si cher) si les pays étrangers savait exploitait les failles de la NSA, tu ne crois pas qu'une telle vision ne les pousserait pas à consolider les failles qu'il ont mises en place ? Je pense que si car cela nuirait à leur travail.

          Après je suis d'accord que les autres Etats ne vont pas tenter de colmater la brèche, car ils veulent y toucher et globalement ils ont moins le droit de paroles à l'établissement des normes ou à l'élaboration des matériels en question.

          • [^] # Re: Et alors ?

            Posté par . Évalué à 5.

            Pour la Chine, l'Iran ou d'autres pays du même niveau de démocratie, je suis d'accord. Mais pas le reste du monde.

            Tu es au courant que la DGSE et l'équivalent britannique travaillent main dans la main avec la NSA ? Petit lien intéressant : la DGSE a transmis des données à la NSA américaine.

            Le seul pays qui a l'air de vouloir changer un peu tout ça est l'Allemagne. Mais ce mouvement a surtout commencé lorsqu'il a été révélé que la chancelière elle-même était sur écoute. Avant ça, pas une critique du gouvernement allemand.

            M'enfin je trouve ironique de penser que notre salut démocratique viendra de la Chine et l'Iran…

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

            • [^] # Re: Et alors ?

              Posté par (page perso) . Évalué à 2. Dernière modification le 31/12/13 à 16:57.

              Qu'ils travaillent main dans la main ne signifie pas que la DGSE ne cherche pas à exploiter les failles elle même contre les USA (ce qui lui porterait préjudice car elle perdrait le contrôle de renseignements acquises par la France ou d'autres pays), ni qu'elle a les moyens de le faire elle même pour l'instant.

              Le problème du monde du renseignement c'est qu'on a trop peu d'informations pour connaitre les enjeux véritables et les rapports de force dans les coulisses. On en apprend des choses lors des déclassifications de documents qui interviennent souvent 30-50 ans après…

              EDIT : démocratie et libertés individuelles ne sont pas intimement liés. Que la NSA espionne le monde entier ne signifie pas que le peuple ne contrôle pas sa souveraineté surtout si elle a accepté cette mise en place via les lois qui ont renforcé ces dispositifs.

              J'espère que les révélations de Snowden vont relancer le débat politique sur la question en UE et aux USA et que les citoyens seront attentifs à faire peser cela dans les choix des représentants pour mettre un terme à ces conneries.

              • [^] # Re: Et alors ?

                Posté par . Évalué à 6. Dernière modification le 31/12/13 à 17:03.

                Le problème du monde du renseignement c'est qu'on a trop peu d'informations pour connaitre les enjeux véritables et les rapports de force dans les coulisses.

                C'est là le nœud du problème. Et c'est précisément ce point qui m'amène à penser que nous, à notre échelle, ne pouvons avoir confiance.

                J'espère que les révélations de Snowden vont relancer le débat politique sur la question en UE et aux USA et que les citoyens seront attentifs à faire peser cela dans les choix des représentants pour mettre un terme à ces conneries.

                Doux rêve. Comme disait Renaud, si les élections ça changeait vraiment la vie, il y a longtemps que ça serait interdit.

                Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                • [^] # Re: Et alors ?

                  Posté par . Évalué à 9.

                  Exact, cf les réactions outrées de nos politiciens concernant cette affaire, avant de voter quelques jours plus tard une loi qui autorise peu ou prou la même chose.

                • [^] # Re: Et alors ?

                  Posté par (page perso) . Évalué à 10.

                  Doux rêve. Comme disait Renaud, si les élections ça changeait vraiment la vie, il y a longtemps que ça serait interdit.

                  Ce n'est pas les élections le problème mais les gens. Tout le monde dit qu'il veut de la vie privée mais la plupart des gens veut surtout être sûr que le voisin ne fasse pas n'importe quoi. Alors, on impose des caméras dans les toilettes, ça dérange les gens mais on moins ils sont sûr que le voisin met son rouleau de PQ dans le bon sens.

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Et alors ?

        Posté par . Évalué à 9.

        En fait, la vraie blague, c'est de savoir combien de ces failles ne sont pas un secret pour les Chinois (par exemple), et à quel point ils s'en servent pour:
        1. Recueillir eux-mêmes des infos à tout va
        2. Balader la NSA qu'ils savent à l'écoute…

  • # Jamais détecté ?

    Posté par (page perso) . Évalué à 4.

    Ce que je ne comprends pas, c'est que tout cela n'a jamais été détecté. Ce qui veut dire qu'on peut licencier toutes les personnes chargées de vérifier la sécurité informatique de tous ces systèmes. Ou alors il n'y a personne qui s'en occupe ???

    • [^] # Re: Jamais détecté ?

      Posté par . Évalué à 5. Dernière modification le 01/01/14 à 16:35.

      Détecté par qui?
      Qui sont les cibles, qui sont censées vérifier ça? C'était quand la dernière fois que ton admin sys a passé ton câble USB aux rayons X pour vérifier que ce n'est qu'un câble?

      Question plus pernicieuse: comment es-tu si sûr que ça n'a pas déjà été détecté mais que décision fut prise que fermer sa gueule était plus avantageux que l'ouvrir?

      Si tu es un pays étranger, tu peux ainsi promener la NSA avec des infos bidons à volonté! Tu fais ça discrètement pendant aussi longtemps que possible, et le jour où tu crois que la NSA va lever un vrai truc sur toi, tu révèles le tout (enfin, tu laisses fuiter…).

      À partir de là, les infos de la NSA deviennent quasiment inutilisables: impossible de séparer le vrai du faux! Doutes sur tout ce qui a été accumulé depuis des années!

      • [^] # Re: Jamais détecté ?

        Posté par (page perso) . Évalué à -5.

        tu peux ainsi promener la NSA avec des infos bidons à volonté!

        AG qui defonce Audiotel du IRS avec les gants de rogue en soumettant froglegs du USCOI avec les gants de NSG en soumettant rita j'enchaine Aum avec les gants de Gorelick avec les gants de Gripan j'enchaine ISPR sur le enigma sans oublier Coderpunks dans le 36,800 du Glock sur le InfoSec en soumettant primers en soumettant 310 sans oublier HRT avec les gants de Shayet-13

        * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

      • [^] # Re: Jamais détecté ?

        Posté par (page perso) . Évalué à 1.

        Question plus pernicieuse: comment es-tu si sûr que ça n'a pas déjà été détecté mais que décision fut prise que fermer sa gueule était plus avantageux que l'ouvrir?

        What? Des grandes boites payent des admins censés surveiller et gérer la sécu de leurs systèmes, et un gars qui voit un flux suspect se dirait d'un coup: "oh bah alors, j'ai plutôt interêt à fermer ma gueule"

        C'est vraiment ce que je ne comprends pas. Que la NSA backdoore un Cisco, OK, pourquoi pas. Mais imaginer qu'il n'y a pas derrière un Cisco un second équipement de sécurité d'une autre marque (voire un troisième rideau de FW, et l'option bridge transparent est possible) qui détecterait que "oh tiens, il y a des flux supers suspects en source et en destination de mon FW"

        Par contre, au niveau étatique, j'espère qu'il y a des gars balaises qui s'en sont rendus compte. Mais l'histoire de dire: je vais balancer pleins d'infos vraies et fausses et je laisse la NSA trier le bordel, j'y crois pas trop. D'une part car d'un point de vue gestion c'est pour toi un énorme bordel: Va écrire 300 réponses à appel d'offre avec des chiffres différents dont un seul est vrai. Va ensuite retrouver le bon. Le deuxième point, c'est qu'on sait que la NSA sait gérer un gros gros tas de donées et aller piocher la bonne info au milieu d'un océan de conneries, je pense qu'il savent faire. Donc deux raisons de ne pas vouloir innonder le réseau d'infos.

        • [^] # Re: Jamais détecté ?

          Posté par (page perso) . Évalué à 4.

          Que la NSA backdoore un Cisco, OK, pourquoi pas. Mais imaginer qu'il n'y a pas derrière un Cisco un second équipement de sécurité d'une autre marque

          Et pourquoi, ce ne serait pas ce second équipement qui transmettrait les infos (ou récolterait les infos des différents routeur pour les envoyer discrètement) ? La NSA peut mettre des backdoor dans les équipements de Cisco, Dell, Hewlett-Packard, Huawei, et Juniper si on en croit les derniers documents.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Jamais détecté ?

        Posté par (page perso) . Évalué à 4.

        Vu l'incompétence et le manque de moyens généralement rencontrée dans les administrations de l'état, je pense plutôt que personne ne s'amuse à regarder la sécurité en détails. Ré-installer sans cesse les Windows vérolés régulièrement prend déjà toutes les (faibles) ressources disponibles, quand ce n'est pas sous-traité la plupart du temps.
        Et dans le privé, c'est encore pire. Des entreprises industrielles qui ont un parc sous GNU/Linux et qui scannent leur réseau et leur routeur, je n'en connais pas.

        • [^] # Re: Jamais détecté ?

          Posté par . Évalué à 2.

          C'est le boulot de la DGA normalement, ils passent leur temps à reverser et à analyser des COTS utilisés par les autres administrations, et honnêtement ils ne me paraissaient pas incompétents

  • # hoax

    Posté par . Évalué à 0.

    Sérieusement revenez sur terre les gars ce truc a une crédibilité zéro…

    C'est aussi fiable que stuxnet qui a fait l'accident de la centrale au Japon…allumez vos cerveaux(oui le gauche et le droit !).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.