Journal hacked Team : qui vit par l’épée périra par l’épée

Posté par . Licence CC by-sa
62
7
juil.
2015

L'entreprise italienne Hacking Team décriée pour vendre des armes de guerre numériques à des Dictatures (mais pas que) vient de se faire pirater.

Ce ne sont pas moins de 400Go de données sont maintenant en libre service sur Internet. Si vous avez une solide connexion Internet, de la place libre et quelques compétences en informatique et en comptabilité je ne peux que vous conseiller d'aller fouiller dans cette mine d'or.

En mode panique, l'entreprise italienne vient de conseiller à ses clients d'arrêter d'utiliser ses produits (Galileo et autres) car ils contiennent une backdoor qui permettait à hacking team de garder le contrôle de ses produits. A lire ici en anglais

Très forte en attaque, l'entreprise semble avoir pas mal de lacune dans la défense. Réussir sortir 400Go de données sans qu'aucune alerte ne soit données (toute la twitosphère était au courant pendant que les administrateurs de hacking team dormaient…) ça laisse songeur.
Autre détail qui prête à sourire, la politique de mot de passe des administrateurs. Si vous former des gens à la sécurité voici une nouvelle liste pour vos cas d'école…
- HTPassw0rd
- Passw0rd!81
- Passw0rd
- Passw0rd!
- Pas$w0rd

La bonne nouvelle dans tout ça?
Cela permet d'avoir une vue un peu plus précises qui sur utilise ce genre de produit et cela permet de vérifier pas mal de suspicions sur nos chères démocraties.
Cela permettra de patcher pas mal de logiciel (lien avec la faille openssl?), car hacking team s'était aussi spécialisée dans la vente de vulnérabilités inconnues (0 day) et apparemment, ils en avaient une bonne collection.

Un peu de lecture
- Reflets
- Le Monde
- Twitter hashtag #hackingTeam

  • # J'espere qu'on saura en profiter

    Posté par . Évalué à 10.

    Au minimum, j'espère qu'on saura profiter des failles 0-day pour les corriger.

    Et puis qui sait, ça participera peut-être à ennuyer d'autres agences qui utilisent ces mêmes failles.

    • [^] # Re: J'espere qu'on saura en profiter

      Posté par (page perso) . Évalué à 6.

      La rumeur semble dire qu'ils n'ont pas tant de 0 days à eux que ça. De ce que j'ai vu/lu, il y a une faille dans flash qui a été trouvé, mais c'est tout.

  • # Censure

    Posté par (page perso) . Évalué à 4.

    J'ai l'impression qu'on en est au début, et il y a pas mal de pression pour censurer des choses, apparemment.

    J'ai vu passer sur Twitter le message de quelqu'un qui avait reçu un mail pour censurer son mirroir des données leakées, et plus récemment le dépôt GitHub avec le code leaké a été supprimé…

    • [^] # Re: Censure

      Posté par . Évalué à 10.

      Les choses centralisées sont facile à rendre indisponible mais les données étant diffusées également par Torrent, la censure risque d'être très peu efficace.

    • [^] # Re: Censure

      Posté par (page perso) . Évalué à 3.

      Censure?
      Du moment où tu acceptes que je diffuses ton code GPL en BSD t à mon nom, admettons… Mais je n'y crois pas.

      Faut arrêter de parler de censure quand il s'agit de droit d'auteur, la censure ne concerne pas des données leakées, quoi qu'on pense de la pertinence de ces données.

      Un travail journalistique, parce qu'on parle de censure, serait d'extraire les infos pertinentes et de fournir ces infos (et seulement elles).
      Copier un dump du code n'est pas un travail journalistique, donc pas de censure possible, à moins de considérer la GPL comme un truc ne méritant pas de protection non plus (même BSD en fait, qui oblige à nommer, la tu dis que c'est de la censure si je diffuse sans respecter ta licence)

      La censure concerne les idées, pas le code.

      • [^] # Re: Censure

        Posté par . Évalué à 9.

        La censure concerne les idées, pas le code.

        Donc le fait de ne pas divulguer des trous de securite c'est de la censure et donc le fait de mettre a la disposition ces memes trous de securite c'est de la lutte contre la censure.

        Et je ne m'aventurerai meme pas sur le terrain de savoir si c'est legal (ou pas) de vendre des failles 0-day et encore moins sur le cote moral.

    • [^] # Re: Censure

      Posté par . Évalué à 10.

      "Censure", ouais, n'importe quoi. Envoyer un email pour dissuader quelqu'un de faire quelque chose de manifestement illégal n'a rien à voir avec de la censure.

      1) Les données ont été obtenues par une intrusion dans un serveur informatique. Fournir ces données s'apparente à du recel.
      2) Visiblement, le gars n'a pas été baillonné par des barbouzes officieux. Il a reçu un email lui demandant de cesser de faire quelque chose, avec probablement la mention de poursuites judiciaires probables s'il ne le faisait pas. Or, il faut bien se mettre dans la tête que la mention de poursuites judiciaires, ça n'est pas une menace. C'est pareil que de dire "j'appelle les flics", "on se retrouve aux Prud'hommes", ou "je raconte ton histoire au Canard Enchaîné". On ne peut pas menacer quelqu'un d'exercer un droit.

      Le problème avec une telle utilisation excessive, c'est qu'au final on a l'impression qu'il n'y a plus de différences entre les démocraties occidentales et les dictatures. Nos pays ont clairement des problèmes, ces problèmes sont parfois graves, mais c'est insulter les gens qui vivent dans de vraies dictatures que de prétendre qu'on subit la censure, les procédures arbitraires, la torture, l'esclavage, ou je ne sais quoi.

      • [^] # Re: Censure

        Posté par (page perso) . Évalué à 3.

        c'est insulter les gens qui vivent dans de vraies dictatures que de prétendre qu'on subit la censure, les procédures arbitraires, la torture, l'esclavage, ou je ne sais quoi.

        J'applaudis des deux mains.
        Faut arrêter les cris d'orfraie à tout propos. En plus ça banalise la violence.

        "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

    • [^] # Re: Censure

      Posté par (page perso) . Évalué à 8.

      Censure ? Tout cela a été obtenu de manière illégale. Là-dedans, tu as des trucs protégés par le droit d'auteur (le code de leur malware et de leurs différents outils annexes, entre autres), des données privées (de ce que j'ai cru comprendre, il y a tous les mails de tous les employés, et à peu près tout le contenu de l'ordinateur de travail d'un des employés), etc.
      Je ne doute pas que ça serve l'intérêt public, et que ce soit techniquement très intéressant, et même si je ne vais pas pleurer ces gens, ça reste quand même tout à fait illégal de partager ces documents, le terme de censure me paraît très déplacé !

      • [^] # Re: Censure

        Posté par . Évalué à 3.

        Je suis d'accord mais le business modele cette entreprise est dans une zone tres tres floues legalement parlant et ne parlons meme pas du cote ethique.

        Comme le dit le titre du journal c'est un peu le voleur vole maintenant ne nous inquietons pas vu qu'il y a des etats "clients" une bonne chasse a l'homme va etre organise.

        • [^] # Commentaire supprimé

          Posté par . Évalué à 10.

          Ce commentaire a été supprimé par l'équipe de modération.

        • [^] # Re: Censure

          Posté par . Évalué à 8.

          cette entreprise est dans une zone tres tres floues legalement parlant

          Mouais, et alors? Faire quelque chose d'illégal (ou de pas très clair) n'entraine pas de déchéance de droits, normalement. Par exemple, un texte qui incite à la haine raciale est toujours couvert par des droits d'auteur. J'ai l'impression qu'on est largement au-delà de la protection légitime du lanceur d'alerte ; on voudrait que cette entreprise perde immédiatement tous ses droits parce qu'on la soupçonne d'avoir peut-être fait quelque chose qui pourrait être illégal dans certains pays. Tout ça me semble nettement excessif.

          Sans compter que cette boîte n'existe virtuellement plus. Elle a dû perdre 99% de sa valeur en quelques heures, et s'est suicidée en expliquant à ses clients qu'il fallait immédiatement cesser d'utiliser ses produits. On peut passer à autre chose, peut-être?

          L'honneur est sauf. Ça confirme qu'il ne faut jamais faire confiance à du code non-auditable pour les questions de sécurité. Il ne faut jamais compter sur la sécurité par le secret car les secrets finissent tous par être dévoilés. Ça confirme que beaucoup de logiciels sont truffés de backdoors et qu'il ne faut pas les utiliser. Bref, ça confirme ce que beaucoup de partisans du logiciel libre affirment depuis longtemps, et c'est très bien. S'il y a de l'énergie à eépenser, c'est bien sur les solutions libres alternatives et sur les arguments à affiner pour convaincre nos dirigeants de ne jamais confier quoi que ce soit à de telles entreprises. Continuer à balancer en ricanant des graviers sur la bête morte, je ne vois pas l'intérêt.

        • [^] # Re: Censure

          Posté par . Évalué à 2.

          Surtout, il y a des chances que l'auteur de l'infiltration soit une boîte ou un service concurrent…

          • [^] # Re: Censure

            Posté par . Évalué à 10.

            Je doute que l'auteur soit un concurrent.

            Un concurrent qui aurait fait ce piratage aurait plutot gardé toutes ces infos juste pour lui, pour pouvoir les exploiter. Et les concurrents ont en fait plutot interet à ce que ce genre de pratiques soient peu connues.

      • [^] # Re: Censure

        Posté par . Évalué à 5.

        Là-dedans, tu as des trucs protégés par le droit d'auteur (le code de leur malware

        Pour le coup pas si sur, faut d'abord déterminer si la détention d'un malware est illégale (et dans ce cas arrêter tous les Windosiens :p ) ou juste son utilisation.

        Dans le premier cas ça tombera comme pour de la drogue ou du contenu pédopornographique, l’illégalité corrompt tout (en tout cas en droit FR) !

  • # Money money money

    Posté par (page perso) . Évalué à 8.

    Au niveau des pays clients, on retrouve le Luxembourg qui se distingue en l'ayant acheter non pas pour ses services de police mais pour son administrations des impôts.

    http://www.wort.lu/en/politics/enemy-of-the-internet-luxembourg-listed-as-customer-of-surveillance-software-company-559b98af0c88b46a8ce5c56c (je n'ai pas trouvé le lien en français).

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Et si?

    Posté par . Évalué à 10.

    Et si c'était un particulier qui avait fait ces outils, et qui se serait fait prendre la main dans le sac, qu'est ce qu'il lui serait arrivé?

    Là, il s'agit d'une société, donc après la phase de ridicule, rien de plus.

    • [^] # Re: Et si?

      Posté par . Évalué à 3.

      Ben ça dépend surtout des pays.

      En France c'est tangeant, que tu sois particulier ou professionnel. Ce n'est pas dit du tout que ce soit la même chose en Italie ou aux USA (notamment avec l'amendement qui leur donne le droit de dire tout et n'importe quoi).

      • [^] # Re: Et si?

        Posté par (page perso) . Évalué à 3.

        Sauf que, que je sache, si une société fait ça aux USA et fourni ces "armes" à un pays non-autorisé à l'export, ça se passe plutôt mal pour elle.

        • [^] # Re: Et si?

          Posté par . Évalué à 4.

          Aux US, à ma connaissance, le commerce de failles de sécurité n'est pas soumis à des restrictions particulières, contrairement à la vente des PS3. Ils veulent le changer, certes, mais ce n'est pas encore le cas.

    • [^] # Re: Et si?

      Posté par (page perso) . Évalué à 1.

      Disons qu'il faut pas en faire un blog si ufc que choisir en a déjà parlé.

      J'adore comment la légalité bascule selon qui sont les protagonistes. C'est la légalité à la tête du client. Je ne parle même pas de la capture des 400GO de données (pas trouvées sur gogole hien ?) Les hackers devraient être en train de se faire conspués, mais non. Faut que bloutouf y change de nom, y'a pas.

  • # Deux pistes pour vérifier que son serveur a bien été la cible des Méchants :

    Posté par . Évalué à 6.

    Bien sûr si on ne trouve rien ça ne veut pas du tout dire qu'on est pas infecté …

    https://twitter.com/AnonymousGlobo/status/618269077614804993/photo/1

    Check if your Linux machine is infected by the #HackingTeam malware ($ find ~/.config/autostart -name '.whoopsie*')
    

    https://twitter.com/matalaz/status/618100209835503622

    You may want to check in Linux for the following files:
    /var/crash/.reports-%u-%s
    /var/tmp/.reports-%u-%s
    To determine HackingTeam infection

  • # On a retrouvé OSS117

    Posté par . Évalué à 10.

    Visiblement dans les emails de Hacking Team, on retrouve des contacts gouvernementaux français : https://medium.com/@beyourownreason/revealed-the-true-extent-of-hacking-team-contacts-across-europe-dc04e5bdde2

    Un certain Benoit Gentil avec un email en @sagic.fr. J'imagine que l'utilisation de ce nom de domaine est plus discret que defense.gouv.fr. Mais est-ce vraiment si discret ?

    Une recherche dans les pages jaunes nous indique que la Sagic est un restaurant d'entreprise au 51 bd de la tour Maubourg à Paris. Soit le siège de l'ANSSI et du SGDSN. Pas très discret comme couverture…

    Pour les geek, on peut trouver la même adresse dans le whois de sagic.fr. L'IP du serveur (sagic.fr -> 194.3.103.43) renvoie vers un bloc IP d'Orange délégué à la Sagic avec la même adresse postale (vous connaissez beaucoup de restaurant d'entreprise avec un bloc IP dédié /29 ?).

    Donc soit ils ont laissé un stagiaire s'occuper de leur couverture, soit c'est fait exprès : discret en surface mais évident pour qui veut vraiment savoir. Je suis optimiste et je penche pour la deuxième solution.

    • [^] # Re: On a retrouvé OSS117

      Posté par . Évalué à 10.

      Plus sérieusement, il y a une ligne dans le compte-rendu de réunion qui est assez dérangeant :

      3. ISP Network Injection solution (I think this one caused an excellent "body language" reaction)

      Une couche est remise plus bas :

      My guess is that #3, 4, 6, 7 and 9 were of particular interest as they took notes as we spoke.

      Cela veut-il dire que notre gouvernement compte injecter des exploits dans les flux au niveau des nos FAI (le retour des boites noires !) ? Mais peut-être suis-je naïf et que c'est déjà le cas…

      • [^] # Re: On a retrouvé OSS117

        Posté par . Évalué à 6.

        Sans vouloir être naïfs, le boulot des services secrets étant de tout savoir, c'est pas étonnant de les retrouver dans ce genre de trucs louche.

        D'ailleurs leurs mission est aussi (et surtout) de protéger les intérêts, donc les infos qu'ils ont recueillies peuvent aussi servir à se protéger et à protéger les FAI, et d'être aussi informés que les autres, ce qui est la moindre des choses.

    • [^] # Re: On a retrouvé OSS117

      Posté par . Évalué à 4.

      soit ils ont laissé un stagiaire s'occuper de leur couverture, soit c'est fait exprès : discret en surface mais évident pour qui veut vraiment savoir

      Ou pour des questions juridiques ou administratives, ils ne veulent pas que ce soient des agents de l'État.

  • # journal sur le même thème.

    Posté par (page perso) . Évalué à 5.

    arf, je suis entrain d’écrire un journal sur le même thème. Il est un peu plus conséquent en terme de contenu. Je me permets de reprendre des info d'ici (journal + réponse), ne m'en veuillez pas de trop ;)

    «Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell

    • [^] # Re: journal sur le même thème.

      Posté par (page perso) . Évalué à 5.

      Fais plutôt une dépêche dans ce cas. Ça le mérite, et tu t'apprêtais de toute façon à y passer du temps.

      • [^] # Re: journal sur le même thème.

        Posté par (page perso) . Évalué à 3.

        Je préfère un journal, il sera promu en dépêche si la modération trouve que ça doit faire une dépêche ;)

        «Un peuple qui élit des corrompus, des rénégats, des imposteurs, des voleurs et des traîtres n’est pas victime! Il est complice» — G Orwell

  • # Exploitation d'un faille parmi d'autres

    Posté par . Évalué à 4.

    Une exploitation d'une faille dans SELinux semble avoir été découverte grâce à ces révélations. Faille qui s'avère finalement être davantage une faille du noyau. J'ai pas tout saisi de la partie technique, donc je vous laisse en découvrir plus, et peut-être éclaircir ma lanterne d'amateur. Voilà la discussion sur reddit.

    • [^] # Re: Exploitation d'un faille parmi d'autres

      Posté par . Évalué à 4.

      Si on lit la discussion sur reddit, on peut justement apprendre que ce n'est pas une faille dans SELinux. Contrairement à ce que laissent penser les noms des binaires, ce sont des exploits pour la vulnérabilité put_user (CVE-2013-6282), corrigée dans le noyau Linux en octobre 2012.

  • # Update

    Posté par . Évalué à 2.

    Article instructif sur ce gigantesque leak : https://www.privacyinternational.org/hackingteamhacked

    Histoire de vous éviter un download de tous les mails wikileaks a mis en place un moteur de recherche : https://wikileaks.org/hackingteam/emails/
    C'est très instructif on y apprend par exemple qu'une vulnérabilité est vendue plus de 100'000$…
    Mais evitez quand même d'exécuter n'importe quoi…

    Pour continuer, vous pouvez également lire le communiqué de hackingteam : http://www.hackingteam.it/index.php/about-us. Bien entendu, pas un mot sur qui utilisent leur produit et l'usage qu'ils en font.

    • [^] # Re: Update

      Posté par . Évalué à 4.

      Mais evitez quand même d'exécuter n'importe quoi…

      Un employé de hacking team on peut ?

      splash!

  • # Logiciels privateurs

    Posté par (page perso) . Évalué à 7.

    En mode panique, l'entreprise italienne vient de conseiller à ses clients d'arrêter d'utiliser ses produits (Galileo et autres) car ils contiennent une backdoor qui permettait à hacking team de garder le contrôle de ses produits. A lire ici en anglais

    On ne le répètera jamais assez, les logiciels privateurs c'est le mal.

    l'azerty est ce que subversion est aux SCMs

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.