|
Publié le 08/01/2009 à 11:14
Par ISoft
Moins médiatisée –et pourtant considérablement plus dangereuse !- cette communication faite à l’occasion du 25C3 : par MM Erik Tews, Ralf-Philipp Weinmann et Andreas Schuler, le hack des communications DECT. Les transparents de cette passionnante causerie ainsi que le Wiki consacré à ces recherches fourmillent de détails sur l’art d’écouter les combinés sans fil de son prochain. Comme pour confirmer l’inutilité relative des travaux de Sotirov (voir article précédent), les certificats du serveur du CCC sont invalides… les plus curieux devront se faire violence et accepter ladite ouverture de cession.
Que nous apprend ce piratage attendu par certains depuis quelques lustres ? Tout d’abord qu’il n’existe aucune communication sans fil qui ne puisse faire l’objet d’une écoute, d’un risque de démodulation par logiciel ou d’un spoofing (injection de fausses informations). L’on retrouve ici encore la plateforme « Software Defined Radio » de Matt Ettus, qui servit en son temps à hacker les principaux outils de transmission radio : de bluetooth à Wifi, des CPL à la télévision HD « cryptée »*, en passant par l’interception des signaux RFID ou des réseaux de signalisation RDS. Mais plutôt que d’enrichir le thésaurus des développements GNU Radio, ces hackers du combiné sans fil ont utilisé de biens plus simples accessoires : de vulgaires cartes PCMCIA Com-On-Air, vendues aux environs d’une vingtaine d’Euros.
La portée du hack est incalculable. A quelques antiques TPV (Terminaux Point de Vente) près, qui utilisent les liaisons infrarouges, la quasi-totalité des terminaux mobiles de payement par carte de crédit utilise une liaison DECT. On estime, compte-tenu de la baisse des prix atteints en ce domaine, que la grande majorité des foyers français se sert également de terminaux DECT en remplacement des vieux postes téléphoniques S63 des P&T d’autrefois. Les entreprises elle-même sont de grandes consommatrices d’appareils à la norme DECT, et particulièrement les TPE et PME. C’est donc un véritable « manuel du petit plombier » qu’offrent ces trois chercheurs, manuel augmenté d’un add-in logiciel sous la forme d’une extension spécifique de Kismet, le sniffer « sans fil » le plus connu des passionnés des communications radio. Certes, le hack nécessite de solides connaissances. Mais le « retour sur investissement » est prometteur. Usurpation de poste et d’identifiant, écoute à distance sans lien physique, « empoisonnement » des données, récupération de mots de passe ou de hashs de codes PIN… il y a des trésors cachés dans cet algorithme de chiffrement DSC originellement déposé par Alcatel. Et contrairement au monde WiFi, dans lequel la course au débit a peu à peu joué en faveur du renouvellement de parc « vieux Wep » en faveur d’un « nouveau WPA », il n’y a pas, ou très peu, de budget pour changement d’équipement dans l’économie des ménages. En outre, s’il est parfois possible de mettre à jour, pour un usager aguerri, les outils et firmwares de sécurité d’un appareil Wifi, ce n’est pas le cas sur un équipement téléphonique destiné à une clientèle « non technique ».
CommunauTech - Bidart,France
Publié le 08/01/2009 à 11:12
Par ISoft
Depuis quelques jours, un site Internet propose aux internautes de récupérer des accès piratés à des joueurs de Dofus.
Le jeu Dofus, un MMORPG (Massive Multiplayer Online Role Playing Game) français à la renommée mondiale, n'attire pas que les amateurs de jeu vidéo.
Un pirate a mis en place une arnaque qui exploite la crédulité des internautes et utilise des lignes de telephones sur-taxées. Pour attirer son public, l'escroc promet de "trouver le mot de passe d'un compte Dofus ici et facilement." de "Pirater un compte Dofus. Hacker dofus. Hack de compte Dofus mode d'emploi." Le site pirate propose de "trouver le mot de passe msn d'un compte Dofus" Pour ce faire, l'internaute doit téléphoner à l'une des quatre lignes en 0899. "Ce service est pour vous, enchéri le pirate sur sa page; C'est une chance d'exception qui vous est offerte ici. Ce service n'est connu que de quelques rares personnes. Et vous êtes désormais de ces gens là. Ayez le meilleur usage possible de ce secret, ne soyez pas impulsif et prenez le temps de réfléchir de l'usage que vous pourriez faire de ce service." L'escroc confirme que son logiciel "Trouvera, à l'aide du Login du compte en ligne d'une tiers personne, son mot de passe grâce à un script contenant une faille dans les processus d'authentification ! L'opération est automatisée, une boite vocale vous demandera le login de la personne que vous ciblez et la réponse sera automatique et immédiate ! Ce service est gratuit !" Une gratuité pirate qui coûté 1.34 € l'appel et 0.34 centimes d'euro la minute. Autant dire que le répondeur vous promettant ce piratage tourne en rond. La page pirate, en français, est hébergée aux USA, chez eNet INC. La société Ankama, créatrice de Dofus, nous a confirmé que le support (service client) et le service juridique prenaient les mesures adéquates pour que cesse cette arnaque.
Publié le 08/01/2009 à 10:56
Par ISoft
Il n'est pas toujours facile de bien appréhender le monde de la modification d'une console lorsque les termes techniques aperçus ici ou là s'apparentent à une langue étrangère.
Modifier une console n'a rien d'anodin et malgré les nombreux tutoriaux et documentations disponibles, on se retrouve parfois "seul au monde" devant cet amas d'informations relativement indigestes quand on ne possède pas les bases.
C'est pourquoi nous avons concocté un Guide du débutant de la modification sur Wii afin de permettre à chacun de mieux cerner la majorité des aspectes techniques liés à cet exercice.
Rédigé par Ezial, ce guide est une vulgarisation du hack Wii accessible au commun des mortels. ils ont volontairement simplifié certaines approches techniques à l'aide de diverses analogies qui feront peut être crier au scandale les plus aguerris du hack mais ce guide se veut avant tout un aperçu général du hack Wii et non pas un didacticiel pur et dur.
Lire le Guide du Débutant Wii
Publié le 08/01/2009 à 10:52
Par ISoft
L’école Française du hack, celle de la recherche en sécurité bien tempérée, se reconnaît en un instant : elle est la fille aînée d’une éducation cartésienne, rigoriste, précise… en un mot scientifique. Limite « universitaire », même. Les spécialistes des architectures Ethernet sans-fil écoutent avec attention les conférences des gourous du chiffrement, lesquels prennent un air très inspiré lorsque s’exprime une sommité de la recherche de preuve sur les cartes « à puce ». Pendant ce temps, les sorciers du réseau apportent en offrande leurs contributions sur les arcanes d’un IOS ou d’une bizarrerie normative d’une trame ésotérique.
Mais il est rare, exceptionnel même, de voir tel gourou empiéter le terrain de tel autre spécialiste ou sommité. Ceci en vertu du principe « On ne parle sérieusement que de ce que l’on maîtrise ». Et c’est ainsi que le savant des rayonnements électromagnétiques affirme qu’il ne peut affirmer ou infirmer l’éventuelle nuisance provoquée par les ondes sous prétexte qu’il ne dispose pas des connaissances d’un mandarin de l’anatomopathologie. La première conséquence de tout cela, c’est la prolifération d’hypothèses plus fantaisistes les unes que les autres, comblant ce vide insupportable laissé par l’informulé. Et peu à peu, le spécialiste, bien que conservant le respect de ses semblables, perd la confiance que lui accordait le reste du monde.
Le monde Français de la sécurité pèche par excès de prudence. Cela semble nettement moins le cas en dehors de nos frontières, où les chercheurs n’hésitent pas à sortir de leurs domaines pour « tâter » un peu du monde qui les entoure. Aux Etats-Unis, tout d’abord, mais également en Allemagne, en Hollande, en Grande Bretagne, on associe sucré et salé, science pure et mariages exogènes, analyse logicielle et… comble de l’horreur, électronique. Une électronique qui n’est plus le parent pauvre du développement, un « mal nécessaire », mais un prolongement des travaux, un aspect complémentaire indissociable. Et ce particulièrement dans le domaine du sans-fil, si l’on en juge par la densité des communications faites à ce sujet à l’occasion de la dernière 25C3 de Berlin. Bruno Kerouanton, au fil de son blog, dresse l’impressionnante liste de travaux publiés lors de la 25C3. Et si l’on excepte la magistrale histoire du « MD5 de Sotirov », force est de reconnaître que les hackers Saxons et Anglo-Saxons sont de plus en plus proches du fer à souder. Est-ce que tout se pirate ? Oui, sans l’ombre d’un doute. Car le hack, la recherche en sécurité, devient non plus une recherche focalisée sur les erreurs de conception purement logicielles ou purement matérielles, mais de plus en plus une quête d’imperfection dans l’interpénétration de ces deux mondes. Ce que les spécialistes désignent par le barbarisme « erreur d’implémentation ». Promenade au pays du circuit imprimé et de la résistance de pull-up.
Publié le 07/01/2009 à 16:31
Par ISoft
On ne badine pas avec l'amour et encore moins avec le Copyright, aussi afin d'enrayer le piratage qui nuit à la création des petits malins ont injecté sur les principaux sites du réseau des réseaux un gardien sacré du temple de la Propriété Intellectuelle via un virus. Les grands sites réputés pour œuvrer du côté obscur, tel The Pirate Bay et Mininova, sans oublier les autres ont découvert un intrus, un cheval de Troie phagocyte les lieux et les internautes qui viennent rendre visite à ces sites, dans le but de souhaiter la bonne année ont trouvé porte close. Ainsi les dits sites touchés par cette vermine sont interdits de visites. C'est Sophos qui a relaté l'information, ce virus s'attaque donc au P2P, une espèce de justicier silencieux dissimulé dans un Keygen, la vermine interdit l'accès aux sites principalement définis. L'internaute qui se connecte à ces pages à droit non seulement à une page vide mais en prime reçoit un message d'avertissement comme quoi : Téléchargez, c'est mal. Un joli clin d'œil en tout cas, qui a le mérite de faire sourire, mais que ne fait pas oublier qu'une protection antivirale demeure la meilleure parade contre les infestions, quelles qu'elles soient....enfin sous Windause!
Publié le 06/01/2009 à 19:26
Par ISoft
La chanteuse américaine et Barack Obama, le futur président des Etats-Unis, ont vu leurs microblogs piratés. Twitter, vous connaissez ? Il s’agit du microblog à la mode depuis quelques mois déjà. De nombreux people, chanteurs, acteurs mais aussi des politiciens ou des journalistes ont créé leurs comptes afin de tenir au courant leurs fans de leurs moindres et faits et gestes.
Parmi les premières, Britney Spears. La chanteuse est devenue une véritable Twitter addict depuis qu’elle a remonté la pente. Entre ses escapades aux quatre coins du globe, de l’Europe au Japon,l’interprète de Womanizer vous dit tout. Mais quand un petit plaisantin, mal intentionné, s’amuse à pirater le compte de Britney, là tout de suite on ne rigole plus. Le hacker a ainsi fait proférer des insultes à la chanteuse.
Mais la jolie blonde n’était pas la seule visée. 33 comptes ont été piratés, mais cet as de l’informatique a également infiltré le Twitter de Barack Obama. Des propos ultra-familiers, à la limite de la grossièreté, ont été publiés sur le compte du futur président, qui ne s’était pas connecté à son compte Twitter depuis le 4 novembre dernier, date de son élection.
Rick Sanchez, un journaliste de CNN, a lui aussi été visé. Il ne serait pas allé travailler car il était trop « défoncé », pouvait-on lire sur sa page. Heureusement, les administrateurs de Twitter ont repris les choses en main. Les messages postés par l’individu en question ont été supprimés et la sécurité renforcée. De MySpace à Facebook, en passant maintenant par Twitter, les vilains sont partout. Protégez-vous !
My Twitter http://twitter.com/iSoftUsernet
Publié le 02/01/2009 à 23:14
Par ISoft
Eric Filiol, cryptologue issu du monde militaire, dirige le laboratoire de virologie et de cryptologie opérationnelles de l'ESIEA-Laval (Ecole supérieure en informatique, electricité et automatique). Au moment où, pour la troisième fois en quatre ans, des chercheurs viennent de démontrer que certains certificats électroniques peuvent être contrefaits, il commente l'évolution de la sécurité informatique.
Pourquoi cette faille essentielle dans la sécurité d'Internet n'a-t-elle pas été comblée ? C'est le problème éternel de la sécurité : celle-ci a un coût, financier et humain. Dans le cas présent, les différentes autorités de certification, et plus généralement les industriels de l'informatique, n'ont pas jugé utile d'investir, préférant relativiser la portée des avertissements. Un laxisme dont risquent de faire les frais les utilisateurs, qui se connectent sur des sites apparemment dignes de confiance. Espionnage, vol de données, racket : le pouvoir de nuisance des "cyberbandits" va bien au-delà du piratage des sites sécurisés. Cette délinquance électronique augmente-t-elle ? Les cyberattaques réussies étant par définition indétectables, il est très difficile d'évaluer leur portée réelle. D'autant que les entreprises comme les banques ne s'en vantent pas, et ne déposent pas plainte tant que le préjudice n'est pas supérieur au bénéfice. Tout ce que l'on peut dire, c'est que n'importe quel bon informaticien, en n'importe quel point du monde, est une menace potentielle. Et qu'il est beaucoup plus rentable et moins risqué de pratiquer le rapt de données informatiques que le rapt d'enfant. Ou que d'aller braquer une banque. Quelle est l'arme la plus efficace pour les pirates du Web ? La grande menace, ce sont les "botnets" : un ensemble de machines zombies tombées sous le contrôle d'un attaquant, via un "ver" ou un cheval de Troie, et exploitées de manière malveillante. Les plus gros botnets découverts dans le monde impliquaient la prise de contrôle de trois à quatre millions de machines : avec ça, un seul pirate peut faire ce qu'il veut. Attaquer l'Estonie, par exemple, comme ce fut le cas en mai 2007. Le botnet responsable de cette cyberguerre étatique a été dirigé vers l'ensemble des serveurs estoniens, qu'il a bombardés de paquets numériques. Résultat : tous les services du pays ont été paralysés. De la même façon, une entreprise peut très bien louer les services d'un botnet pour paralyser une entreprise concurrente. Techniquement, quels garde-fous espérer contre ces menaces ? Aucun. Le pare-feu le plus performant ne supprimera jamais tous les risques. Quant aux antivirus, ils ne détectent que les virus déjà connus. Comme dans la vaccination médicale, ils ne font que gérer le passé. Mais la différence, c'est l'échelle de temps de la contamination : pour le virus biologique, celle-ci se compte en semaines ou en mois, pour le virus informatique en secondes. Début 2003, lorsque le ver Slammer a attaqué plus de 200 000 serveurs, la planète a été infectée en quinze minutes. La même attaque aujourd'hui prendrait une minute. La sécurité sur Internet va donc devenir de plus en plus incontrôlable ? Elle l'est déjà ! Et cela n'a pas que des inconvénients. Si l'on disposait de systèmes véritablement sécurisés, les malfrats pourraient les utiliser à leur avantage, et la police ne pourrait plus agir. D'où l'idée, pour les Etats, d'utiliser les mêmes outils que les pirates - virus espions par exemple - pour les repérer. De même que la démocratie est le plus mauvais des systèmes de gouvernement à l'exception de tous les autres, cette liberté informatique est la "moins pire" des solutions. Elle va poser des problèmes énormes, car ses moyens d'intervention, à la portée de tous, ont une puissance inégalée. Il faudrait pouvoir légiférer. Mais compte tenu de l'engouement suscité par Internet, de sa vitesse d'évolution et des intérêts en jeu, on ne prend pas le temps de la réflexion. L'arme informatique est-elle devenue une arme de dissuasion ? Le nucléaire était une arme de dissuasion parce que peu de pays l'avaient, et qu'il fallait pour l'acquérir un degré de développement technologique avancé. Sous forme informatique, tout le monde peut lancer sa bombe. Tous les ingrédients d'un scénario catastrophe (guerre économique entre concurrents ou guerre inter-étatique) se trouvent ainsi réunis. Les experts ne se demandent plus si celui-ci peut survenir, mais quand. Peut-on limiter les dégâts ? Eviter de tout numériser. Les virus ne lisent pas le papier, mais ils peuvent lire tout ce qui est numérisé. Résultat : on n'a jamais produit autant d'informations avec autant de risques de les perdre.
Publié le 01/01/2009 à 22:10
Par ISoft
Onze membres d'un réseau basé en Chine et ayant distribué de faux logiciels Microsoft pour une valeur de plus de 2 milliards de dollars américains, ont été condamnés à des peines de prison de plusieurs années, a indiqué jeudi Microsoft. Le tribunal de Shenzhen (sud) a condamné mercredi les 11 personnes à des peines allant jusqu'à six ans et demi de prison, pour avoir distribué de faux logiciels dans 36 pays, a précisé Microsoft dans un communiqué.Les peines sont «les plus dures jamais infligées en matière de violation de la propriété intellectuelle en Chine», a indiqué la société. Le réseau, basé à Shenzhen, dans la province du Guangdong, et dont les responsables avaient été arrêtés en 2007, avait distribué des versions contrefaites de 19 logiciels de Microsoft, traduites dans 11 langues. Il s'agissait du plus gros réseau de logiciels pirates au monde, selon Microsoft.
Publié le 01/01/2009 à 21:28
Par ISoft
Alerte sur les certificats de validité de sites Web, dont les 'https'. Entre autres, la console de Sony PlayStation 3 permettrait de créer des faux.La petite image qui s’affiche dans le coin de votre navigateur pour indiquer qu'un site est compromis ou non pourrait jouer de mauvais tours. Voilà les conclusions d’une équipe transnationale de chercheurs en informatique. Des scientifiques américains et européens viennent de montrer que l'on peut utiliser le réseau en grid de la PlayStation 3 pour créer de faux certificats. Ils sont parvenus à intégrer ces certificats truqués sur un navigateur, ce dernier considérant alors que la connexion est sécurisée. Edifiant. Ces scientifiques plutôt hardis du Centre Wiskunde & Informatica (CWI) de Californie mais aussi de l’Université de Technologie des Pays-bas à Eindhoven et des équipes de l’Ecole polytechnique de Lausanne ont parlé de leur découverte lors d’un congrès dédié à la sécurité à Berlin. Dans la capitale allemande, ils ont montré qu’ils étaient capables de générer deux messages différents avec une seule signature électronique. Pour cela ils ont utilisé un algorithme de leur composition. Les chercheurs ont donc montré qu’il ne fallait pas avoir une confiance aveugle dans les sites dont les URL débutent par https puisqu’ils sont maintenant "piratables", certes par des mains expertes. L’intérêt de la méthode réside alors dans le fait que le navigateur est leurré: il considère qu’il s’agit bel et bien d’un site valide et correctement identifié. D’autant que le certificat digital MD5 est toujours utilisé par de nombreux sites même s’il permet d’être activé par des tiers pour créer de faux certificats de validité. Cette vulnérabilité aurait déjà été identifiée voilà quatre années par des chercheurs chinois qui avaient noté ce phénomène lorsqu’ils ont fait s’affronter deux signatures digitales identiques. L’une valide, l’autre pirate.
Cette technologie de hacking n’en est qu’à ses balbutiements puisque la puissance nécessaire pour effectuer ce type d’attaque nécessiterait 30 années de calcul pour un ordinateur traditionnel.
Or, l’utilisation du "réseau" de la PlayStation 3 a réduit ce délai à trois jours seulement. De quoi inquiéter les éditeurs de navigateurs Web. Si cette faille était utilisée massivement le phishing ou arnaque aux faux sites s’en trouverait d’autant plus facilité. Il serait alors bien plus compliqué de démasquer le faux du vrai. [Via silicon]
Publié le 01/01/2009 à 21:15
Par ISoft
Le déblocage de l’iPhone 3G est disponible. Le logiciel de déblocage s’appelle yellowsn0w. Il fonctionne comme une application invisible sur votre iPhone, et son installation est vraiment facile.
Mode d’emploi et explications après le saut:
• D’abord, mettez à jour votre iPhone 3G pour le doter de la dernière version du système d’exploitation de l’iPhone fourni par Apple sur iTunes.
• Ensuite, utilisez QuickPwn 2.2 pour jailbreaker et activer votre iPhone 3G.
• Utilisez Installer ou Cydia pour installer yellowsn0w, qui est entièrement gratuit. Voici les adresses que vous devez utiliser pour ajouter yellowsn0w à votre application d’installation:
For Cydia enter: http://apt9.yellowsn0w.com/
For Installer enter: http://i.yellowsn0w.com/
• C’est tout. Certaines cartes SIM peuvent générer des problèmes, mais si vous avez une carte SIM normale d’un opérateur non-officiel, vous devriez être tranquille.
ATTENTION: Cette appli est une beta —version 0.9.1— vous l’installez à vos risques et périls. Dans la mesure où c’est un processus qui n’altère rien de manière permanente, vous ne risquez pas grand-chose. Procédez simplement avec précautions et en connaissnce de cause.
[IPhone Dev Team]
sur Worldissmall un tuto en français très détaillé et illustré pour vous guider tout au long du processus. [Worldissmall]
|
|
<
|
Nov. 2009 |
|
| L |
M |
M |
J |
V |
S |
D |
| | | | | | | 1 | | 2 | 3 | 4 | 5 | 6 | 7 | 8 | | 9 | 10 | 11 | 12 | 13 | 14 | 15 | | 16 | 17 | 18 | 19 | 20 | 21 | 22 | | 23 | 24 | 25 | 26 | 27 | 28 | 29 | | 30 | | | | | | |
12 connectés
402705 visiteurs
FRASH DISQ : MICHAEL JOHN QUIRT POUR MICHAEL JEHOVAH.EX-MUHA YIMANA EMMANUEL
sexyboy : je veux causer avec toi
user : salope
romanachka : t'(emmerde counnasse
romachka : texte
bigdick : je trouve ton blog completement inintéressant puisque tu publie/pompe entierement le contenu d'autres sites web !
rickdivers : je trouve ton blog très interessant sur beaucoup de sujets,continus de nous faire connaitre les infos d' un domaine que tu as l'air de bien connaitre
|
