La nouvelle va faire l'effet d'un coup de tonnerre : un pirate a annoncé avoir récupéré des centaines de milliers de données nominatives concernant les utilisateurs d'iOS. Un listing a été publié en guise de preuve.
Plus étonnant, il affirme s'être procuré ces données en pénétrant dans un ordinateur du FBI…
Voilà qui risque de faire bien mal à Apple, mais surtout à tous ceux qui se sont aveuglément laissés tenter par leurs produits. Soyez tranquilles braves citoyens, vous êtes fichés, mais c'est pour votre bien.
Source : http://www.macbidouille.com/news/2012/09/04/ios-un-vol-massif-de-donnees
# Apple et Itunes
Posté par palm123 (site web personnel) . Évalué à 1.
Ca a été démenti depuis, mais ça m'a fait marrer
http://www.leparisien.fr/laparisienne/actu-people/bruce-willis-veut-attaquer-apple-03-09-2012-2148590.php
ウィズコロナ
[^] # Re: Apple et Itunes
Posté par Jux (site web personnel) . Évalué à 6.
C'est quoi qui a été démenti ? La plainte de Bruce Willis ou le vol de données ?
[^] # Re: Apple et Itunes
Posté par Zenitram (site web personnel) . Évalué à 3.
La plainte.
[^] # Re: Apple et Itunes
Posté par zerkman (site web personnel) . Évalué à 8.
dans les commentaires:
# EpicLulz
Posté par i M@N (site web personnel) . Évalué à 8.
Dear Apple,
all your base are belong to us
signed : FBi
http://pastebin.com/nfVT7b0Z
wind0w$ suxX, GNU/Linux roxX!
[^] # Re: EpicLulz
Posté par Thom (site web personnel) . Évalué à 9.
Le passage intéressant :
> During the second week of March 2012, a Dell Vostro notebook, used by Supervisor Special Agent Christopher K. Stangl from FBI Regional Cyber Action Team and New York FBI Office Evidence Response Team was breached using the AtomicReferenceArray vulnerability on Java, during the shell session some files were downloaded from his Desktop folder one of them with the name of "NCFTA_iOS_devices_intel.csv" turned to be a list of 12,367,232 Apple iOS devices including Unique Device Identifiers (UDID), user names, name of device, type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses, etc.
La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick
# Brevet.
Posté par viking . Évalué à 10.
J'espère qu'ils ont déposé un brevet là dessus. Et qu'ils vont poursuivre les malheureux qui oseraient les copier.
# Faille Java
Posté par saltimbanque (site web personnel) . Évalué à 7.
Au FBI, ils ont des postes avec fichiers sensibles connectés au réseau et utilisant Java? On se croirait dans le pire film d'espionnage. Une mallette laissée à la portée de tous, j'ai du lire trop vite.
[^] # Re: Faille Java
Posté par THE_ALF_ . Évalué à 5.
D'après le post d'origine (http://pastebin.com/nfVT7b0Z, lignes 405-415), le fichier aurait simplement été obtenu à partir du hack d'un notebook d'un agent du FBI (Cyber Action Team, un spécialiste sécurité, j'imagines), le fichier ayant été habilement caché dans le "Desktop folder" de la cible.
Si tout ceci est vrai, cela démontre encore un fois que la plus grande source de vulnérabilité info est, et reste, située entre le chaise et le clavier…
[^] # Re: Faille Java
Posté par Maclag . Évalué à 7.
En général, plus le titre est pompeux, plus ce qu'il y a derrière est insignifiant du point de vue des compétences.
"Cyber Action Team", on dirait le titre d'un film de Jean-Claude Vandamme!
Ben d'ailleurs, un vrai argument: c'est un expert sécurité qui met son portable sur n'importe quel réseau avec une faille Java connue dedans. J'ai besoin d'en dire plus?
[^] # Re: Faille Java
Posté par Marotte ⛧ . Évalué à 6.
Tout ça me rappelle l'affaire des listings Clearstream. Un cadre supérieur du renseignement détruit des fichiers compromettants en les supprimant (tel un power user il a connaissance de la poubelle, quand même…). Puis dans les média on a le droit à monsieur Esayrecovery qui vient faire la pub pour son produit…
Est-ce que l'on ou prendrait pas pour des cons ?
Plus récemment le gars qui se fait voler une clé USB avec des plans du palais de l'Élysée, même pas chiffrés…
[^] # Re: Faille Java
Posté par vladislav askiparek . Évalué à 1. Dernière modification le 04 septembre 2012 à 21:54.
Pas plus tard que la semaine dernière, je buvais un coup avec des amis sur une kermesse de village. Un mec vient près d'eux et leur donne une clé usb: "Je vous la rends, il y a des photos de vous dessus. Je l'ai trouvée à cet endroit en nettoyant la salle des fêtes après un bal"
Mes amis sont sûrs de n'être jamais allé à cet endroit.
Heureusement pour eux, les photos en question étaient soft, voir safe.
Moralité: ne jamais laisser de fichiers perso sur un support mobile pas chiffré.
[^] # Re: Faille Java
Posté par Marotte ⛧ . Évalué à 2.
Sympa le gars quand même !
[^] # Re: Faille Java
Posté par Marotte ⛧ . Évalué à 3.
Tu ne précises pas si c'était bien une de leur clé USB qu'ils avaient perdue ailleurs, ou pas. Auquel cas c'est un peu flippant. Une clé USB d'un membre de leur famille peut-être ?
[^] # Re: Faille Java
Posté par 2PetitsVerres . Évalué à 4.
Ou alors ils ne considèrent pas que ces informations soient critiques. D'ailleurs si j'étais le FBI, les informations sur des citoyens quelconques et leurs iPhones, je ne considérerais pas ça comme critique.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Faille Java
Posté par Marotte ⛧ . Évalué à 2.
Tout à fait d'accord. D'ailleurs les méchants (qui luttent contre les gentils du FBI), les vrais, sont bien au courant de l'existence de ces failles et prennent souvent les mesures appropriées pour passer au travers des mailles du filet.
Par contre d'un point de vue manipulation de la foule (une certaines foule, les possesseurs de i{Phone,Mac,Pad}…) connaître ce genre d'informations peut servir, dans le but d'adapter sa communication à la mode du moment, mettre en place des pièges plus efficaces. Mais bon, je ne travaille pas pour le FBI.
# j'ai raté un truc...
Posté par Effraie (site web personnel) . Évalué à 6.
le lien logique entre "je pénétre une machine du FBI" et "j'ai accès aux données nominatives des clients d'apple"… Y'a un truc qui me chiffonne un poil, là…
\Ö<
[^] # Re: j'ai raté un truc...
Posté par Lutin . Évalué à 10.
La triste réalité serait une horreur bien plus tangible que tu ne l'imaginais ?
[^] # Re: j'ai raté un truc...
Posté par Effraie (site web personnel) . Évalué à 2.
ou plutôt "l'horreur de la réalité est au moins aussi tangible que je l'imaginais, c'est triste" ;)
\Ö<
[^] # Re: j'ai raté un truc...
Posté par Marotte ⛧ . Évalué à 2.
L'horreur de la réalité est inimaginable. Mais ce n'est pas triste.
[^] # Re: j'ai raté un truc...
Posté par Grunt . Évalué à 10.
Un seul truc ?
En fait tu peux choisir ce qui te fait peur :
- Le fait que les machines Apple stockent autant de données et permettent d'y accéder à distance,
- Le fait que le FBI s'intéresse aux données personnelles de millions de gens,
- Le fait que le FBI ait eu accès à ces données, soit parce que Apple a mal sécurisé son truc, soit parce que Apple c'est des collabos (les deux ne s'excluent pas),
- Le fait que l'agent du FBI depuis lequel provient la fuite ait stocké des données aussi sensibles sur une machine aussi peu sécurisée.
Je prends le paquetage complet, perso. Y'a une réduction :)
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: j'ai raté un truc...
Posté par john Smith (site web personnel) . Évalué à 3.
Mais aussi le fait que rien ne confirme finalement que ces données soient issues du FBI ou d'ailleurs et que la source ne sera jamais confirmée
[^] # Re: j'ai raté un truc...
Posté par Jux (site web personnel) . Évalué à 9. Dernière modification le 04 septembre 2012 à 14:21.
En fait c'est pas forcément Apple qui a livré ces données au FBI. Ca pourrait être n'importe quel développeur d'applis iOS qui utilise les push notifications et qui a 12 millions d'utilisateur (donc ça limite un peu). Ca pourrait aussi ne pas venir du FBI.
Un moyen de trouver le "traître" est de trouver l'application que tous ceux qui sont sur la liste ont installée. C'est ce que propose de faire :
http://fredericjacobs.com/identifying-the-traitor
Le problème des UDIDs, c'est que certains les récoltent et les lient à d'autres données et qu'on peut utiliser leurs service web pour trouver des informations personnelles :
http://corte.si/posts/security/openfeint-udid-deanonymization/index.html
Ceci dit, Lulzsec prétend avoir aussi les numéros de téléphone et adresses des gens, mais ils ne l'ont pas prouvé.
Bref, les prochains jours vont être assez rigolos.
[^] # Re: j'ai raté un truc...
Posté par farib . Évalué à 1.
Pour envoyer une notification APNS via les serveurs d'Apple, on utilise pas l'UDID mais le TokenID, qui diffère d'une application à l'autre.
Ce qui n'empeche pas de faire mauvais usage des UDID mais il n'y a pas de lien avec les APNS.
Les UDID ont été enlevés en iOS 5.0. Il est cependant possible d'utiliser des bibliothèques tierces pour générer des UDID, mais le call renvoie normalement des UDID différents pour chaque application.
[^] # Re: j'ai raté un truc...
Posté par Jux (site web personnel) . Évalué à 2.
Y'a les APNs aussi dans la liste des infos.
Ceci dit, ça n'as pas l'air immédiatement exploitable pour envoyer de fausses notifications ou autre, puisqu'il faut encore un certificat :
https://news.ycombinator.com/item?id=4473973
De toute façon, le problème avec ces infos c'est pas tellement en terme de sécurité informatique, mais plutôt de protection des données.
[^] # Re: j'ai raté un truc...
Posté par barmic . Évalué à 5.
C'est bien de se réveiller. Dès la création John Edgard Hoover rêvait de ce genre de choses (même s'il pensait plutôt aux empreintes digitales).
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: j'ai raté un truc...
Posté par totof2000 . Évalué à 5.
En fait c'est logique :
- les machines apple stockent des données et permettent d'y accéder à distance
- afin de faciliter la tache des chinois du FBI, Apple sécurise mal son truc, mais ne le dit pas
- Comme la main gauche du FBI ne voit pas ce que fait sa main droite (ou l'inverse), le FBI achète des machines Apple en masse pour stocker les données sensibles.
- les machines MAC étant mal sécurisé, des vilains pirates arrivent à découvrir les failles de l'OS et à s'emparer des données du FBI.
Et voilà comment on se retrouve avec une situation d'arroseur arrosé, avec des infos diffusées par Wikileaks et consorts …
[^] # Re: j'ai raté un truc...
Posté par Gui13 (site web personnel) . Évalué à 1.
"On m'aurait menti??"
[^] # Re: j'ai raté un truc...
Posté par Thom (site web personnel) . Évalué à 3.
Je suis tombé sur ça à partir de Hacker News :
> The FBI stole an Instapaper server in an unrelated raid
http://blog.instapaper.com/post/6830514157
La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick
# Alimentons la chose...
Posté par will . Évalué à 2.
Bonjour tout le monde.
Finalement, LE vrai enjeu du procès Samsung-Apple, n'était-ce pas simplement ceci?
Les coins arrondis ne servant que de prétexte.
Le F.Bi.Aille n'allant pas demander à Samsung de lui fournir une liste, il faut que les gens achètent Appeul avec qui il y a apparemment déjà des accords.
C'est beau le patriotisme. (;_)
[^] # Re: Alimentons la chose...
Posté par claudex . Évalué à 3.
Sauf que Android, c'est Google. Et il me semble que les lois américaines leur permettent de faire la même chose qu'avec Apple.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Alimentons la chose...
Posté par Kekun (site web personnel, Mastodon) . Évalué à 2.
Sauf que c'est libre et les gars de chez Samsung peuvent passer en revue le code et le modifier au besoin avant de le mettre sur leur machine. Je doute qu'ils le fassent pour ces raisons.
[^] # Re: Alimentons la chose...
Posté par Laurent Mouillart . Évalué à 2.
Youtube, Maps, Gmail, etc … ne sont pas libres et sont dans les produits Samsung.
Mais effectivement il y a des manières plus discrètes de faire.
[^] # Re: Alimentons la chose...
Posté par will . Évalué à 0.
Bonjour.
Heuu, j'ai pas compris. De toute manière, on peut accéder à ceux-ci avec un navigateur Ternet, alors qu'ils soient ou pas dans les produits de Samsung.
Ou alors, j'ai loupé un truc (comme par exemple, acheter un smartphone. Oui, j'attends le Galaxy S12).
[^] # Re: Alimentons la chose...
Posté par claudex . Évalué à 4.
Il est possible d'y accéder avec un navigateur Web mais ce sont aussi des applications à part entière sur Android (et d'autres plateformes mobiles) qui exploitent mieux les fonctionnalités natives (comme les notifications).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Alimentons la chose...
Posté par claudex . Évalué à 4.
Pas mal d'informations du smartphone sont synchroniser avec un compte Google.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.