CIA: espionnage par objets connectés

[slash33]

Espionnage par objets connectés: WikiLeaks révèle des documents de la CIA
AFP le 07/03/2017
http://www.boursorama.com/actualites/es ... 51f42b6fbe

La CIA peut transformer votre télévision en appareil d'écoute, contourner les applications de cryptage voire contrôler votre véhicule, selon des documents publiés mardi par WikiLeaks, qui met en garde contre le risque d'une prolifération des "armes" informatiques ainsi exposées.

C'est le dernier "scandale" en date, que seuls des naïfs pouvaient ignorer. On y lit des trucs délirants, atteintes à la sécurité nationale et cie. Vous vous souvenez probablement de mes mises en garde sur le sujet.

Mais le fait d'exploiter des failles est "imprudent au-delà des mots", estime M. Snowden. "Parce que n'importe quel pirate informatique peut se servir de ces vulnérabilités mises au jour par la CIA pour s'introduire dans n'importe quel iPhone dans le monde".

La directrice générale de l'association Electronic Frontier Foundation, Cindy Cohn, reproche à la CIA de n'avoir pas aidé à combler les lacunes de sécurité des appareils visés.

Mdr. Il n'y a pas de risque que l'agence vous aide à corriger les failles dont elle a besoin madame.

Notez que l'on reproche principalement à l'agence d'avoir fait n'importe quoi sans aucun égard pour la sécurité des biens et des personnes et de lui reprocher les très nombreux défis de sécurité que ces failles vont poser au marché, la NSA n'étant pas inquiétée bien que faisant la même chose (mais "légalement"). Ils doivent pliés de rire en face, sérieusement.

[pimono]

ca fait longtemps que je suis au courant de tout ça.


Dès qu'on télécharge un contenu même x, une copie est envoyée à la CIA avec nos références à nous. ( id machine, date etc)

[crispus]

Ben oui, rien à voir avec ces pays totalitaire du temps jadis, où chaque possesseur de machine à écrire doit fournir une page dactylographiée au commissariat.

A présent, la machine le fait pour nous.

[clairette2]

erreur

[slash33]

Sécurité informatique : 800 000 peluches connectées piratées
Boursorama avec Pratique.fr le 13/03/2017
http://www.boursorama.com/actualites/se ... 2c43e94d95

Insuffisamment protégées, les peluches Cloudpets de la marque américaine Spiral Toys auraient été laissées à la merci des pirates. Des demandes de rançon auraient même eu lieu, sans que la marque n'en informe ses clients. Des failles de sécurité dans les objets connectés sont régulièrement constatées. Des poupées ont ainsi été retirées de la vente en Allemagne.

[emrik]

Dans le même genre :

Des webcams Wi-Fi chinoises victimes d'importantes failles de sécurité
NextInpact le 14/03/2017 à 08:30

https://www.nextinpact.com/news/103657- ... curite.htm

Souriez !! vous êtes filmés :1 250 modèles environ concernés par ces failles.

[sim_v]

Je suis la SSI depuis quelques années. C'est l'explosion depuis 1-2 ans.
Les données personnelles rapportent un Max et il y a un vrai biz-ness du piratage (ceux qui conçoivent, ceux qui maintiennent, ceux qui exploitent).
Les réseaux sociaux, l'hyper-connexion des humains et objets, les progrès techniques facilitent grandement les choses.

Exemples que je donne à mes collègues :

Bonne année 2017

Si l’année 2015 a été marquée par le piratage d'Ashley Madison, 2016 n'aura pas été en reste avec d'énormes piratages tel que celui de Yahoo (1 milliard de comptes !) ; vous connaissez mon amour pour les grands chiffres.
Le mode d'attaque a sensiblement évolué avec le détournement de certains équipements de la maison comme les télévisions, les routeurs et les webcams. Ces attaques ont réussies face à l'annuaire DynDNS et échouées face à l'hébergeur OVH. Mais avec une armée de robots connectés, aucun système central ne pourra résister à une vrai vague d’attaque.
Dès les premiers jours de cette année, le piratage devient aussi politique avec la guerre diplomatique ouverte entre les américains et les russes suite au piratage des mails de "celle qui ne rit plus" Clinton.

2017 sera l'année de tous les exploits.
La multiplication des équipements connectés (mais non sécurisés) tels que frigos, station météo, thermostats, alarmes, voitures,... fournit chaque jour des moyens supplémentaires à ceux qui seront en prendre le contrôle. Le blocage d'une bonne partie d'Internet est prévisible dès cette année.
Peut-être que l'on se rendra compte à ce moment-là de notre trop grande dépendance à ce réseau et à tous les objets connectés qui dépendent.

Dans mon cas, l'année 2017 sera l'année de la DE-***-NEXION.
Moins de sollicitations, moins de dépendances, beaucoup plus d'humain !

- Avec la progression en résolution des capteurs photo des appareils (Smartphones en tête), il est possible de reconstituer une ou plusieurs empreinte(s) digitale(s) depuis une photo pleine résolution prise à 3 mètres de la personne !

Ou la conclusion d'une interview pour un magazine info grand public :

[slash33]

Mais rofl quoi.

Un sex-toy "intelligent" téléchargeait les données d'utilisateurs
AFP le 14/03/2017
http://www.boursorama.com/actualites/un ... 7e4314cc2e

Le groupe canadien qui a conçu ce vibromasseur électronique nommé "We-Vibe" a accepté de payer 3,75 millions de dollars de dommages et intérêts, soit jusqu'à 10.000 dollars pour chaque utilisateur dont les données ont été téléchargées, selon des documents judiciaires présentés devant un tribunal américain

[Utilisateur supprimé]

Je suis la SSI depuis quelques années. C'est l'explosion depuis 1-2 ans.
Les données personnelles rapportent un Max et il y a un vrai biz-ness du piratage (ceux qui conçoivent, ceux qui maintiennent, ceux qui exploitent).
Les réseaux sociaux, l'hyper-connexion des humains et objets, les progrès techniques facilitent grandement les choses.

Exemples que je donne à mes collègues :

Bonne année 2017

Si l’année 2015 a été marquée par le piratage d'Ashley Madison, 2016 n'aura pas été en reste avec d'énormes piratages tel que celui de Yahoo (1 milliard de comptes !) ; vous connaissez mon amour pour les grands chiffres.
Le mode d'attaque a sensiblement évolué avec le détournement de certains équipements de la maison comme les télévisions, les routeurs et les webcams. Ces attaques ont réussies face à l'annuaire DynDNS et échouées face à l'hébergeur OVH. Mais avec une armée de robots connectés, aucun système central ne pourra résister à une vrai vague d’attaque.
Dès les premiers jours de cette année, le piratage devient aussi politique avec la guerre diplomatique ouverte entre les américains et les russes suite au piratage des mails de "celle qui ne rit plus" Clinton.

2017 sera l'année de tous les exploits.
La multiplication des équipements connectés (mais non sécurisés) tels que frigos, station météo, thermostats, alarmes, voitures,... fournit chaque jour des moyens supplémentaires à ceux qui seront en prendre le contrôle. Le blocage d'une bonne partie d'Internet est prévisible dès cette année.
Peut-être que l'on se rendra compte à ce moment-là de notre trop grande dépendance à ce réseau et à tous les objets connectés qui dépendent.

Dans mon cas, l'année 2017 sera l'année de la DE-***-NEXION.
Moins de sollicitations, moins de dépendances, beaucoup plus d'humain !

- Avec la progression en résolution des capteurs photo des appareils (Smartphones en tête), il est possible de reconstituer une ou plusieurs empreinte(s) digitale(s) depuis une photo pleine résolution prise à 3 mètres de la personne !

Ou la conclusion d'une interview pour un magazine info grand public :

impressionnant.
Pourquoi un blocage d'internet ? volontaire ? comment ?

[ET46]

Je suis la SSI depuis quelques années. C'est l'explosion depuis 1-2 ans.
Les données personnelles rapportent un Max et il y a un vrai biz-ness du piratage (ceux qui conçoivent, ceux qui maintiennent, ceux qui exploitent).
Les réseaux sociaux, l'hyper-connexion des humains et objets, les progrès techniques facilitent grandement les choses.

Exemples que je donne à mes collègues :

Bonne année 2017

Si l’année 2015 a été marquée par le piratage d'Ashley Madison, 2016 n'aura pas été en reste avec d'énormes piratages tel que celui de Yahoo (1 milliard de comptes !) ; vous connaissez mon amour pour les grands chiffres.
Le mode d'attaque a sensiblement évolué avec le détournement de certains équipements de la maison comme les télévisions, les routeurs et les webcams. Ces attaques ont réussies face à l'annuaire DynDNS et échouées face à l'hébergeur OVH. Mais avec une armée de robots connectés, aucun système central ne pourra résister à une vrai vague d’attaque.
Dès les premiers jours de cette année, le piratage devient aussi politique avec la guerre diplomatique ouverte entre les américains et les russes suite au piratage des mails de "celle qui ne rit plus" Clinton.

2017 sera l'année de tous les exploits.
La multiplication des équipements connectés (mais non sécurisés) tels que frigos, station météo, thermostats, alarmes, voitures,... fournit chaque jour des moyens supplémentaires à ceux qui seront en prendre le contrôle. Le blocage d'une bonne partie d'Internet est prévisible dès cette année.
Peut-être que l'on se rendra compte à ce moment-là de notre trop grande dépendance à ce réseau et à tous les objets connectés qui dépendent.

Dans mon cas, l'année 2017 sera l'année de la DE-***-NEXION.
Moins de sollicitations, moins de dépendances, beaucoup plus d'humain !

- Avec la progression en résolution des capteurs photo des appareils (Smartphones en tête), il est possible de reconstituer une ou plusieurs empreinte(s) digitale(s) depuis une photo pleine résolution prise à 3 mètres de la personne !

Ou la conclusion d'une interview pour un magazine info grand public :

impressionnant.
Pourquoi un blocage d'internet ? volontaire ? comment ?

Attaque DOS en faisant envoyer par des milliers d'objets connectés des milliards de requetes vers des serveurs.
Il y en a eu une l'automne dernier je crois vers des sociétés californiennes (notamment github qui est tombé en rade le seul jour de l'année où je voulais récupérer du code sur leur site )

[sim_v]

Blocage d'internet : facile aujourd'hui !
Malgré qu'il soit déconcentré, le service web repose sur quelques opérateurs devenus incontournables. Il suffit de les inonder de requêtes pour rendre le service indisponible. Exemple l'année dernière, en détournant quelques centaines de milliers de caméra connectés, OVH en a fait les frais et c'était clairement un test. Il suffit de bloquer durablement un DNS largement utilisé, Amazon S3 (quand il plante pas tout seul) ou cloudfare (origine d'une fuite de données le mois dernier) et hop, c'est le black out !

Bonus sécurité de la fin 2016 à mes collègues.

Il y a deux ans je vous avais fait ce bonus sécurité :
"Si vous trouvez que la téléréalité est trop scénarisée, je vous présente http://www.Insecam.com qui référence pas moins de 70000 caméras de surveillance (si si !) dans différents pays et villes (dont Rennes). La faute aux utilisateurs qui ont laissé le mot de passe par défaut ou mis un mot de passe très simple à deviner."

Aujourd'hui ces objets connectés non sécurisés permettent à d'illustres inconnus de se rincer l'œil mais aussi et surtout à des pirates d'installer de nouvelles fonctionnalités telles que : DDoS.
Le DDoS, c'est rendre un service d'internet indisponible en le surchargeant de requêtes en provenance de milliers de connexions. Lorsque des pirates contrôlent des centaines de milliers de caméras le pouvoir de nuisance devient incroyable. L'hébergeur OVH a subi une attaque sans précédent il y a quelques semaines et ce samedi, plusieurs sites internet étaient indisponibles durant quelques heures : Twitter, Spotify, Paypal, etc.
Pour le coup, le réseau de caméra ne s'est pas attaqué directement aux sites mais au point faible du système internet : les serveurs DNS. Ces serveurs servent d'annuaires et transforment le nom de domaine (ex: "ABCXX.fr") en adresse numérique (ex : "45.184.66.99"). Sans serveur DNS, il faut connaître toutes les adresses IP et prier pour qu'elles ne changent jamais.
Votre caméra, votre Smart-TV, votre tablette, votre réfrigérateur, etc. peuvent donc à votre insu devenir des armes pour rendre internet indisponible. Les pirates exigeant des rançons pour cesser les attaques ou se rémunèrent en les ciblant sur des concurrents.

[pimono]

Un sex-toy "intelligent" téléchargeait les données d'utilisateurs

Le groupe canadien qui a conçu ce vibromasseur électronique nommé "We-Vibe" a accepté de payer 3,75 millions de dollars de dommages et intérêts, soit jusqu'à 10.000 dollars pour chaque utilisateur dont les données ont été téléchargées, selon des documents judiciaires présentés devant un tribunal américain

les acheteurs ont fait une sacré bonne affaire !

En France, les gens qui utilisent ce type de produit n'ont aucun mal à se diffuser gratuitement (question de profil ), c'est surprenant que de l'autre coté de l'atlantique, ce genre de contenu puisse avoir autant de valeur !