dimanche 16 août 2009

* Tout se pirate...

Les réseaux domestiques… piratés… une fois de plus

Après le WiFi qui s’est fait allégrément montrer du doigt des années durant à cause de ses trop nombreuses failles de sécurité, c’est au tour du CPL (Courant Porteur en Ligne) d’avoir des soucis. Si vous n’avez pas (encore) de WiFi chez vous, il est possible que vous ayiez opté pour le réseau via les prises de courant électrique, aussi dénomé CPL. (Présentation).

Les téléphones sans fil… piratés (pour 23 euros !)

Vous le savez peut-être, le DECT est (entre autres) ce qui relie les combinés téléphoniques sans fil à leur base. Il y a des millions de téléphones de ce type dans nos foyers, entreprises et ailleurs. Seulement voilà… Il est désormais possible d’écouter à distance les conversations à l’aide d’un ordinateur sous Linux et une carte coûtant la modique somme de… 23 Euros ! La carte en question se fait passer pour la base, et demande gentillement au combiné de ne pas chiffrer la conversation. Comme c’est simple ! Ah, j’oubliais… ça utilise le même outil que pour attaquer les réseaux WiFi, comme c’est pratique !

Le réseau GSM… piraté

En fait c’est déjà fait depuis quelque temps. Il s’agit plutôt de : Comment monter son réseau GSM à la maison… c’est tout de même amusant de transformer son appartement en réseau opérateur, histoire de faire une farce aux voisins… Ah ? Il faut une licence opérateur pour cela et l’Etat ne me la donnera certainement pas ? Allons bon ! (Présentation).

Les terminaux de paiement par carte bancaire… piratés

Lorsque vous payez par carte au restaurant, on vous apporte une petite machine munie d’un clavier sur lequel vous tapez votre code PIN… Comme c’est assez délicat et un peu secret tout de même, les constructeurs ont mis en place des mesures pour éviter les bricolages éventuels de commerçants indélicats qui aimeraient bien avoir votre code PIN et votre numéro de carte… Désormais il faudra vous méfier, car à priori l’exercice semble possible ! (Présentation).

Les sites Internet « sécurisés »… piratés

A l’aide de « seulement » 200 consoles de jeu Playstation 3 (qui sont parmi les ordinateurs les plus puissants disponibles au le public), il est possible de recréer des certificats racine… Vous savez, le petit cadenas qui s’affiche lorsque vous allez sur le site de votre banque ou de vente en ligne préférée, ou des impôts… En synthèse, la preuve a été apportée que « n’importe qui » (ou presque) pouvait fabriquer un faux site et le faire passer pour un vrai, même si ce dernier était dit sécurisé. Cela touche bien d’autres domaines d’ailleurs… Toute la presse en a parlé mais je ne pense pas que ce soit l’annonce la plus inquiétante de la conférence.

Les rames de métro… piratées

Ou « comment prendre le contrôle des systèmes de communication d’une rame de métro ? » Simplement par radio, puisque ces engins discutent avec leur central via des guides d’onde et des capteurs radio… Une vraie mine pour un scénariste de films à sensation en mal d’inspiration ! (Présentation).

Les machines à voter… piratées

Les spécialistes de la sécurité sont unanimes, ces engins ne sont pas au point du tout malgré ce qu’on veut faire croire au public. Une énième présentation en démontrent certaines faiblesses, et pourquoi les corrections successives ne corrigeront finalement rien du tout. (Présentation).

Les passeports et permis de conduire… piratés

L’art d’utiliser les fréquences radio pour « exciter » les puces présentes dans les documents d’identité, et leur faire cracher leur contenu… Une rumeur circule à cet effet disant qu’un terroriste pourrait utiliser un tel procédé pour cibler son attaque… une bombe qui ne se déclencherait qu’après s’être assuré qu’au moins cinq personnes de plus de 18 ans, de nationalité américaine et de sexe masculin sont présents sur le site… C’est désormais possible avec les avancées technologiques. Fou, n’est-ce pas ?

Les pass de métro et les badges d’accès… piratés

Cet été, cette équipe de chercheurs a défrayé la chronique en expliquant qu’ils avaient cassé MiFair… Késako ? Tout simplement l’un des systèmes de contrôle d’accès (cartes de métro, badges d’accès de bâtiments et parkings, etc…) les plus répandus au monde, en millions d’exemplaires… Que ce soit la carte Oyster du métro de Londres, ou d’autres applications, ce système est omniprésent. Maintenant que son mécanisme a été mis à nu, le monde entier va devoir réinvestir dans des millions de nouveaux systèmes de serrures électroniques, remplacer des millions de cartes et badges d’accès… ah que le progrès surprend parfois… (Présentation).

Les badges RFID et autres tags électroniques… piratés

Une présentation plus générale que la précédente, mais intéressante également, démontrant qu’il ne faut plus vraiment vouer une confiance aveugle en nos petits badges et portes-clefs « magnétiques » (comme certains disent encore) ! (Présentation).

Les appareils médicaux et les pacemakers… piratés

Plus précisément un microcontrôleur (puce) chargé de faire fonctionner de nombreux équipements, dont des systèmes médicaux… Sur un même registre, le piratage des pacemakers et des défibrillateurs implantés a déjà été traité un peu plus tôt… certains pourraient d’ailleurs en avoir une attaque rien qu’en lisant le titre : « Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses » !

La mémoire des ordinateurs… piratée

Une attaque qui commence à dater mais qui a fait couler beaucoup d’encre. Ou comment extraire les mots de passe de la mémoire d’un ordinateur ultra sécurisé par opération à coeur ouvert (une vraie lobotomie) : on ouvre la machine, et on lui retire la mémoire sous cryogénie pour l’analyser… promis la bête ne souffre pas, l’effet est immédiat et lors du réveil la machine ne se souvient de rien, mais le « chirurgien » possède désormais les mots de passe ! (Présentation).

Les portes de garage, les portières de voiture et les sas d’accès… piratés

Ces systèmes utilisent un mécanisme appelé KeeLoq pour s’assurer que le boîtier ou la clef que la personne utilise pour ouvrir sa porte de garage, voire sa voiture est légitime… C’est fini, on peut maintenant s’amuser avec la porte du voisin et même ouvrir sa portière de voiture. Cool !

l’iPhone d’Apple… piraté

On le sait depuis un peu de temps, mais il est intéressant de voir que les mesures de sécurité mises en place par Apple pour protéger ce qui tourne sur un iPhone ou iPod Touch ne tiennent pas longtemps… pourtant elles semblent sophistiquées au premier abord…

Les consoles de jeu Wii… piratées

Elle est complexe à pirater et cela a pris beaucoup de temps, mais il semble que nos compères soient parvenus à leurs fins. Cela reste encore assez technique et réservé aux bricoleurs, mais l’exercice est beau. On le savait depuis quelques mois mais voici réexpliqué le tout. (Présentation)

Internet… tout planté (troisième essai)

Cette année, Internet n’aura pas eu de répit : plus de trois démonstrations de comment planter tout Internet ! Heureusement que les gentils sont là pour corriger vite ! Cette fois-ci on parle des attaques TCP, un terme technique pour évoquer ce qui fait marcher Internet depuis ses débuts… Et c’est maintenant qu’on s’en aperçoit ? Alors là, je n’applaudis pas ;)

Les comptes en banque… piratés

Petite étude démontrant comment les criminels s’y prennent pour voler les pauvres internautes qui accèdent à leur banque en ligne… (Présentation).

Votre ADN… piraté

Après tout, tant qu’on y est… laissons nous pirater notre corps. Le génome humain a été entièrement séquencé, c’est fait. Certes, il y a encore du travail pour en comprendre le contenu, mais c’est en bonne voie et cela signifie le meilleur mais également le pire… Le titre suggestif de la présentation « All your base(s) are belong to us » est angoissant pour ceux qui en devinent le sens. A méditer ! (Présentation)

SECONDE PARTIE : LES QUESTIONS DE FOND

Pourquoi la sécurité ne sert (et ne servira jamais) à rien

Si l’on sécurise toutes vos données, vous risquez à un moment soit de ne plus avoir confiance puisque vous ne savez pas ce qu’ON en fait, et vous allez alors vous méfier des contrôles et cybersurveillances mis en place pour les sécuriser… donc vous allez instictivement chercher des moyens de contournement. Donc les données ne seront plus sécurisées… Scénario un peu pessimiste certes, mais que je vis au quotidien lorsque je dois mettre en place des mesures de sécurité dans le cadre de mes activités : elles sont tôt ou tard ignorées ou contournées (pire!)… cercle vicieux qui laisse songeur. (Présentation).

Tout sur le Commodore 64 en 64 minutes

Ah ! Et dire que je n’y étais pas… bouuuh !!! Il n’empêche que cette vieille machine tient bon la barre, puisqu’on parle d’elle depuis 25 ans ! J’en ai d’ailleurs encore quelques uns à la maison, et tous en état de marche, que je conserve avec une attention pieuse ;) Avec ses 64 Kilo-octets de mémoire RAM et son processeur tournant à la vitesse foudroyante de 1 MHz (non les jeunes, ne vous frottez pas les yeux, vouz avez bien lu !), cette machine était merveilleuse… elle l’est encore par certains aspects, d’ailleurs ! (Présentation).

Comment stocker ses vidéos pornographiques ?

Si, vous avez bien lu ! Et c’est à mademoiselle Rose White que revient l’honneur de présenter sa… thèse de doctorat sur le stockage des films cochons. Elle nous dit d’ailleurs ceci : « I am doing preliminary research on how people store and access their digital pornography collections. » Et elle conclut en suggérant de stocker TOUT ce qui existe en matière de pornographie ! J’avais vu/lu des présentations bizarres et loufoques, mais celle-ci dépasse l’entendement !

TROISIÈME PARTIE : BIG BROTHER IS WATCHING US… puisque je vous le dis !

Votre grand-mère est une terroriste

Un titre un peu racoleur ! La présentation en question (qui n’a pas ce titre, désolé) explique que de plus en plus de personnes sont accusés de terrorisme sous de faux prétextes… Et de se poser la vraie question : qu’est-ce que le terrorisme, au juste ? (Présentation)

Vous n’avez pas encore de caméra qui vous filme aux WC ? Ca va venir !

Petit rappel de tout ce qui existe pour surveiller, tracer, enregistrer et analyser ce que l’on veut sur un individu, et comment les corporations et organismes étatiques ou non s’en servent déjà ou s’en serviront dans un proche avenir… Bon, si je débranchais tout ! Et je vais relire 1984, d’ailleurs ! (Présentation).

La vie sans vie privée : il va falloir… vivre avec !

Essai intéressant sur ce qui nous tombe déjà dessus : nous n’avons presque plus de vie privée, et cela le deviendra certainement dans quelques années. Et de se poser la vraie question : Qu’est ce que la vie privée, au juste ? Reste à savoir comment le prendre du bon côté et vivre avec. (Présentation).

…ou bien il va falloir apprendre à la protéger

un petit cours que tous les jeunes devraient retenir : pourquoi il n’est pas bien de tout dire sur un blog, de tout poster et de publier toutes ses photos de vacances en ligne… (Présentation).

Comment l’on vous traque dans les salons…

Superbe étude : On distribue à l’entrée d’une conférence des badges nominatifs à porter. Ceux-ci contiennent en réalité une puce RFID (encore eux) qui émet des signaux. Ainsi on peut traçer durant la totalité de l’évènement précisément où vous êtes, et surtout avec qui vous discutez et combien de temps durant les pauses. Un outil inquiétant pour découvrir qui fréquente qui… le KGB aurait rêvé le posséder si cela avait existé en son temps ! (Présentation).

CONCLUSION

Je sens que l’année 2009 va être riche sur le plan de la sécurité… Joanna Rutkowska vient de publier une nouvelle attaque contournant les modules de sécurité de nos ordinateurs, et MarcO avance bien sur son méga projet top secret… Heureusement que les mécapoulets n’ont pas encore attaqué

Bruno Kerouanton on janvier 6th 2009 in IT Security

Aucun commentaire: