L'entreprise italienne Hacking Team décriée pour vendre des armes de guerre numériques à des Dictatures (mais pas que) vient de se faire pirater.
Ce ne sont pas moins de 400Go de données sont maintenant en libre service sur Internet. Si vous avez une solide connexion Internet, de la place libre et quelques compétences en informatique et en comptabilité je ne peux que vous conseiller d'aller fouiller dans cette mine d'or.
En mode panique, l'entreprise italienne vient de conseiller à ses clients d'arrêter d'utiliser ses produits (Galileo et autres) car ils contiennent une backdoor qui permettait à hacking team de garder le contrôle de ses produits. A lire ici en anglais
Très forte en attaque, l'entreprise semble avoir pas mal de lacune dans la défense. Réussir sortir 400Go de données sans qu'aucune alerte ne soit données (toute la twitosphère était au courant pendant que les administrateurs de hacking team dormaient…) ça laisse songeur.
Autre détail qui prête à sourire, la politique de mot de passe des administrateurs. Si vous former des gens à la sécurité voici une nouvelle liste pour vos cas d'école…
- HTPassw0rd
- Passw0rd!81
- Passw0rd
- Passw0rd!
- Pas$w0rd
La bonne nouvelle dans tout ça?
Cela permet d'avoir une vue un peu plus précises qui sur utilise ce genre de produit et cela permet de vérifier pas mal de suspicions sur nos chères démocraties.
Cela permettra de patcher pas mal de logiciel (lien avec la faille openssl?), car hacking team s'était aussi spécialisée dans la vente de vulnérabilités inconnues (0 day) et apparemment, ils en avaient une bonne collection.
Un peu de lecture
- Reflets
- Le Monde
- Twitter hashtag #hackingTeam
# J'espere qu'on saura en profiter
Posté par polytan . Évalué à 10.
Au minimum, j'espère qu'on saura profiter des failles 0-day pour les corriger.
Et puis qui sait, ça participera peut-être à ennuyer d'autres agences qui utilisent ces mêmes failles.
[^] # Re: J'espere qu'on saura en profiter
Posté par Misc (site web personnel) . Évalué à 6.
La rumeur semble dire qu'ils n'ont pas tant de 0 days à eux que ça. De ce que j'ai vu/lu, il y a une faille dans flash qui a été trouvé, mais c'est tout.
# Censure
Posté par palkeo (site web personnel) . Évalué à 4.
J'ai l'impression qu'on en est au début, et il y a pas mal de pression pour censurer des choses, apparemment.
J'ai vu passer sur Twitter le message de quelqu'un qui avait reçu un mail pour censurer son mirroir des données leakées, et plus récemment le dépôt GitHub avec le code leaké a été supprimé…
[^] # Re: Censure
Posté par Nonolapéro . Évalué à 10.
Les choses centralisées sont facile à rendre indisponible mais les données étant diffusées également par Torrent, la censure risque d'être très peu efficace.
[^] # Re: Censure
Posté par Zenitram (site web personnel) . Évalué à 3.
Censure?
Du moment où tu acceptes que je diffuses ton code GPL en BSD t à mon nom, admettons… Mais je n'y crois pas.
Faut arrêter de parler de censure quand il s'agit de droit d'auteur, la censure ne concerne pas des données leakées, quoi qu'on pense de la pertinence de ces données.
Un travail journalistique, parce qu'on parle de censure, serait d'extraire les infos pertinentes et de fournir ces infos (et seulement elles).
Copier un dump du code n'est pas un travail journalistique, donc pas de censure possible, à moins de considérer la GPL comme un truc ne méritant pas de protection non plus (même BSD en fait, qui oblige à nommer, la tu dis que c'est de la censure si je diffuse sans respecter ta licence)
La censure concerne les idées, pas le code.
[^] # Re: Censure
Posté par Albert_ . Évalué à 9.
Donc le fait de ne pas divulguer des trous de securite c'est de la censure et donc le fait de mettre a la disposition ces memes trous de securite c'est de la lutte contre la censure.
Et je ne m'aventurerai meme pas sur le terrain de savoir si c'est legal (ou pas) de vendre des failles 0-day et encore moins sur le cote moral.
[^] # Re: Censure
Posté par arnaudus . Évalué à 10.
"Censure", ouais, n'importe quoi. Envoyer un email pour dissuader quelqu'un de faire quelque chose de manifestement illégal n'a rien à voir avec de la censure.
1) Les données ont été obtenues par une intrusion dans un serveur informatique. Fournir ces données s'apparente à du recel.
2) Visiblement, le gars n'a pas été baillonné par des barbouzes officieux. Il a reçu un email lui demandant de cesser de faire quelque chose, avec probablement la mention de poursuites judiciaires probables s'il ne le faisait pas. Or, il faut bien se mettre dans la tête que la mention de poursuites judiciaires, ça n'est pas une menace. C'est pareil que de dire "j'appelle les flics", "on se retrouve aux Prud'hommes", ou "je raconte ton histoire au Canard Enchaîné". On ne peut pas menacer quelqu'un d'exercer un droit.
Le problème avec une telle utilisation excessive, c'est qu'au final on a l'impression qu'il n'y a plus de différences entre les démocraties occidentales et les dictatures. Nos pays ont clairement des problèmes, ces problèmes sont parfois graves, mais c'est insulter les gens qui vivent dans de vraies dictatures que de prétendre qu'on subit la censure, les procédures arbitraires, la torture, l'esclavage, ou je ne sais quoi.
[^] # Re: Censure
Posté par ZeroHeure (site web personnel) . Évalué à 3.
J'applaudis des deux mains.
Faut arrêter les cris d'orfraie à tout propos. En plus ça banalise la violence.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: Censure
Posté par ThibG (site web personnel) . Évalué à 8.
Censure ? Tout cela a été obtenu de manière illégale. Là-dedans, tu as des trucs protégés par le droit d'auteur (le code de leur malware et de leurs différents outils annexes, entre autres), des données privées (de ce que j'ai cru comprendre, il y a tous les mails de tous les employés, et à peu près tout le contenu de l'ordinateur de travail d'un des employés), etc.
Je ne doute pas que ça serve l'intérêt public, et que ce soit techniquement très intéressant, et même si je ne vais pas pleurer ces gens, ça reste quand même tout à fait illégal de partager ces documents, le terme de censure me paraît très déplacé !
[^] # Re: Censure
Posté par Albert_ . Évalué à 3.
Je suis d'accord mais le business modele cette entreprise est dans une zone tres tres floues legalement parlant et ne parlons meme pas du cote ethique.
Comme le dit le titre du journal c'est un peu le voleur vole maintenant ne nous inquietons pas vu qu'il y a des etats "clients" une bonne chasse a l'homme va etre organise.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 10.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Censure
Posté par arnaudus . Évalué à 8.
Mouais, et alors? Faire quelque chose d'illégal (ou de pas très clair) n'entraine pas de déchéance de droits, normalement. Par exemple, un texte qui incite à la haine raciale est toujours couvert par des droits d'auteur. J'ai l'impression qu'on est largement au-delà de la protection légitime du lanceur d'alerte ; on voudrait que cette entreprise perde immédiatement tous ses droits parce qu'on la soupçonne d'avoir peut-être fait quelque chose qui pourrait être illégal dans certains pays. Tout ça me semble nettement excessif.
Sans compter que cette boîte n'existe virtuellement plus. Elle a dû perdre 99% de sa valeur en quelques heures, et s'est suicidée en expliquant à ses clients qu'il fallait immédiatement cesser d'utiliser ses produits. On peut passer à autre chose, peut-être?
L'honneur est sauf. Ça confirme qu'il ne faut jamais faire confiance à du code non-auditable pour les questions de sécurité. Il ne faut jamais compter sur la sécurité par le secret car les secrets finissent tous par être dévoilés. Ça confirme que beaucoup de logiciels sont truffés de backdoors et qu'il ne faut pas les utiliser. Bref, ça confirme ce que beaucoup de partisans du logiciel libre affirment depuis longtemps, et c'est très bien. S'il y a de l'énergie à eépenser, c'est bien sur les solutions libres alternatives et sur les arguments à affiner pour convaincre nos dirigeants de ne jamais confier quoi que ce soit à de telles entreprises. Continuer à balancer en ricanant des graviers sur la bête morte, je ne vois pas l'intérêt.
[^] # Re: Censure
Posté par Antoine . Évalué à 2.
Surtout, il y a des chances que l'auteur de l'infiltration soit une boîte ou un service concurrent…
[^] # Re: Censure
Posté par Anonyme . Évalué à 10.
Je doute que l'auteur soit un concurrent.
Un concurrent qui aurait fait ce piratage aurait plutot gardé toutes ces infos juste pour lui, pour pouvoir les exploiter. Et les concurrents ont en fait plutot interet à ce que ce genre de pratiques soient peu connues.
[^] # Re: Censure
Posté par Tonton Benoit . Évalué à 5.
Pour le coup pas si sur, faut d'abord déterminer si la détention d'un malware est illégale (et dans ce cas arrêter tous les Windosiens :p ) ou juste son utilisation.
Dans le premier cas ça tombera comme pour de la drogue ou du contenu pédopornographique, l’illégalité corrompt tout (en tout cas en droit FR) !
# Money money money
Posté par claudex . Évalué à 8.
Au niveau des pays clients, on retrouve le Luxembourg qui se distingue en l'ayant acheter non pas pour ses services de police mais pour son administrations des impôts.
http://www.wort.lu/en/politics/enemy-of-the-internet-luxembourg-listed-as-customer-of-surveillance-software-company-559b98af0c88b46a8ce5c56c (je n'ai pas trouvé le lien en français).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Et si?
Posté par JulieC . Évalué à 10.
Et si c'était un particulier qui avait fait ces outils, et qui se serait fait prendre la main dans le sac, qu'est ce qu'il lui serait arrivé?
Là, il s'agit d'une société, donc après la phase de ridicule, rien de plus.
[^] # Re: Et si?
Posté par oinkoink_daotter . Évalué à 3.
Ben ça dépend surtout des pays.
En France c'est tangeant, que tu sois particulier ou professionnel. Ce n'est pas dit du tout que ce soit la même chose en Italie ou aux USA (notamment avec l'amendement qui leur donne le droit de dire tout et n'importe quoi).
[^] # Re: Et si?
Posté par mrlem (site web personnel) . Évalué à 3.
Sauf que, que je sache, si une société fait ça aux USA et fourni ces "armes" à un pays non-autorisé à l'export, ça se passe plutôt mal pour elle.
[^] # Re: Et si?
Posté par oinkoink_daotter . Évalué à 4.
Aux US, à ma connaissance, le commerce de failles de sécurité n'est pas soumis à des restrictions particulières, contrairement à la vente des PS3. Ils veulent le changer, certes, mais ce n'est pas encore le cas.
[^] # Re: Et si?
Posté par hervé Couvelard . Évalué à 1.
Disons qu'il faut pas en faire un blog si ufc que choisir en a déjà parlé.
J'adore comment la légalité bascule selon qui sont les protagonistes. C'est la légalité à la tête du client. Je ne parle même pas de la capture des 400GO de données (pas trouvées sur gogole hien ?) Les hackers devraient être en train de se faire conspués, mais non. Faut que bloutouf y change de nom, y'a pas.
# Deux pistes pour vérifier que son serveur a bien été la cible des Méchants :
Posté par Faya . Évalué à 6.
Bien sûr si on ne trouve rien ça ne veut pas du tout dire qu'on est pas infecté …
https://twitter.com/AnonymousGlobo/status/618269077614804993/photo/1
https://twitter.com/matalaz/status/618100209835503622
You may want to check in Linux for the following files:
/var/crash/.reports-%u-%s
/var/tmp/.reports-%u-%s
To determine HackingTeam infection
[^] # Re: Deux pistes pour vérifier que son serveur a bien été la cible des Méchants :
Posté par NeoX . Évalué à -2.
ou pas…
Ubuntu propose un outil appelé whoopsie
qui envoie les rapports de crash sur daisy.ubuntu.com
[^] # Re: Deux pistes pour vérifier que son serveur a bien été la cible des Méchants :
Posté par Harry . Évalué à 10.
La backdoor RCS crée des fichiers dont le nom ressemble à ceux générés par whoopsie pour ne pas éveiller de soupçons chez l'utilisateur. En aucun cas whoopsie ne crée de fichiers de la forme suivante :
Et la backdoor ne concerne pas uniquement des serveurs, mais surtout des postes clients.
# On a retrouvé OSS117
Posté par rahan . Évalué à 10.
Visiblement dans les emails de Hacking Team, on retrouve des contacts gouvernementaux français : https://medium.com/@beyourownreason/revealed-the-true-extent-of-hacking-team-contacts-across-europe-dc04e5bdde2
Un certain Benoit Gentil avec un email en @sagic.fr. J'imagine que l'utilisation de ce nom de domaine est plus discret que defense.gouv.fr. Mais est-ce vraiment si discret ?
Une recherche dans les pages jaunes nous indique que la Sagic est un restaurant d'entreprise au 51 bd de la tour Maubourg à Paris. Soit le siège de l'ANSSI et du SGDSN. Pas très discret comme couverture…
Pour les geek, on peut trouver la même adresse dans le whois de sagic.fr. L'IP du serveur (sagic.fr -> 194.3.103.43) renvoie vers un bloc IP d'Orange délégué à la Sagic avec la même adresse postale (vous connaissez beaucoup de restaurant d'entreprise avec un bloc IP dédié /29 ?).
Donc soit ils ont laissé un stagiaire s'occuper de leur couverture, soit c'est fait exprès : discret en surface mais évident pour qui veut vraiment savoir. Je suis optimiste et je penche pour la deuxième solution.
[^] # Re: On a retrouvé OSS117
Posté par rahan . Évalué à 10.
Plus sérieusement, il y a une ligne dans le compte-rendu de réunion qui est assez dérangeant :
3. ISP Network Injection solution (I think this one caused an excellent "body language" reaction)
Une couche est remise plus bas :
My guess is that #3, 4, 6, 7 and 9 were of particular interest as they took notes as we spoke.
Cela veut-il dire que notre gouvernement compte injecter des exploits dans les flux au niveau des nos FAI (le retour des boites noires !) ? Mais peut-être suis-je naïf et que c'est déjà le cas…
[^] # Re: On a retrouvé OSS117
Posté par Thomas Douillard . Évalué à 6.
Sans vouloir être naïfs, le boulot des services secrets étant de tout savoir, c'est pas étonnant de les retrouver dans ce genre de trucs louche.
D'ailleurs leurs mission est aussi (et surtout) de protéger les intérêts, donc les infos qu'ils ont recueillies peuvent aussi servir à se protéger et à protéger les FAI, et d'être aussi informés que les autres, ce qui est la moindre des choses.
[^] # Re: On a retrouvé OSS117
Posté par Antoine . Évalué à 4.
Ou pour des questions juridiques ou administratives, ils ne veulent pas que ce soient des agents de l'État.
# journal sur le même thème.
Posté par domble42 (site web personnel) . Évalué à 5.
arf, je suis entrain d’écrire un journal sur le même thème. Il est un peu plus conséquent en terme de contenu. Je me permets de reprendre des info d'ici (journal + réponse), ne m'en veuillez pas de trop ;)
«Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell
[^] # Re: journal sur le même thème.
Posté par Boa Treize (site web personnel) . Évalué à 5.
Fais plutôt une dépêche dans ce cas. Ça le mérite, et tu t'apprêtais de toute façon à y passer du temps.
[^] # Re: journal sur le même thème.
Posté par domble42 (site web personnel) . Évalué à 3.
Je préfère un journal, il sera promu en dépêche si la modération trouve que ça doit faire une dépêche ;)
«Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell
# Exploitation d'un faille parmi d'autres
Posté par rdhlnn . Évalué à 4.
Une exploitation d'une faille dans SELinux semble avoir été découverte grâce à ces révélations. Faille qui s'avère finalement être davantage une faille du noyau. J'ai pas tout saisi de la partie technique, donc je vous laisse en découvrir plus, et peut-être éclaircir ma lanterne d'amateur. Voilà la discussion sur reddit.
[^] # Re: Exploitation d'un faille parmi d'autres
Posté par Harry . Évalué à 4.
Si on lit la discussion sur reddit, on peut justement apprendre que ce n'est pas une faille dans SELinux. Contrairement à ce que laissent penser les noms des binaires, ce sont des exploits pour la vulnérabilité put_user (CVE-2013-6282), corrigée dans le noyau Linux en octobre 2012.
# Update
Posté par passant·e . Évalué à 2.
Article instructif sur ce gigantesque leak : https://www.privacyinternational.org/hackingteamhacked
Histoire de vous éviter un download de tous les mails wikileaks a mis en place un moteur de recherche : https://wikileaks.org/hackingteam/emails/
C'est très instructif on y apprend par exemple qu'une vulnérabilité est vendue plus de 100'000$…
Mais evitez quand même d'exécuter n'importe quoi…
Pour continuer, vous pouvez également lire le communiqué de hackingteam : http://www.hackingteam.it/index.php/about-us. Bien entendu, pas un mot sur qui utilisent leur produit et l'usage qu'ils en font.
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: Update
Posté par eingousef . Évalué à 4.
Un employé de hacking team on peut ?
*splash!*
# Logiciels privateurs
Posté par David Demelier (site web personnel) . Évalué à 7.
On ne le répètera jamais assez, les logiciels privateurs c'est le mal.
git is great because linus did it, mercurial is better because he didn't
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.