février, 2011

Une photo (même très sombre) vaut mieux qu’un long discours. StenoPlasma, sur ExploitDevelopment.com, montre comment il a pu intégrer 16 Go de stockage, une clef WiFi Atheros et un hub usb dans le boîtier d’une souris… tout en faisant en sorte que le périphérique continue de fonctionner normalement. La chose n’as strictement rien de compliqué à tel point que la qualification de « hack » est presque superlative. Mais ce petit bricolage montre combien il est aisé de camoufler des périphériques destinés à extraire des données de manière discrète ou faire démarrer une machine sur un système embarqué. Cette approche assez simple peut être améliorée avec d’autres extensions : microcontroleur avec port USB (il en existe des centaines tous plus rapides les uns que les autres), caméra-espion (souris, tu es filmé), Bluesnarfer embarqué (codename « les vacances de Monsieur Mulot »), keylogger invisible (touche-rat, touchera pas) et ainsi de suite. Il manque toutefois un peu de place pour y concentrer la puissance de calcul nécessaire à un Metasploit ou un Aircrack autonome.

Le blog du MSRC (cellule sécurité de Microsoft) signale, au fil d’un billet, d’une mesure de contournement et d’un bulletin d’alerte, l’existence d’une faille MHTML pouvant faire l’objet d’une attaque en cross-site scripting. Secunia précise que le niveau de dangerosité n’est pas particulièrement élevé, mais que le défaut a fait l’objet d’une publication en Chine. Le problème semble affecter toutes les éditions encore maintenues par Microsoft, de Windows XP à 2008R2/64, édition Itanium comprise.

Privacy International, l’Epic (Electronic Privacy Information Center) et le CMCS (Center for Media and Communications Studies), publient leur rapport sur l’état des libertés individuelles en Europe. L’élève le mieux noté est la Grèce ainsi que la moitié sud de Chypre. La Turquie, la Croatie, le Royaume Uni et l’Italie sont qualifiés de pays « à surveillance endémique » ou « généralisée ». La France, qui appartient au groupe de pays coupables de « manquements systématiques au respect des règles » écope de nombreux points noirs dans les domaines du respect du droit constitutionnel, de la préservation des données à caractère privé, de la rétention de données, de l’accès abusif des données par les organismes gouvernementaux, des informations financières, des agissements des services de renseignement… La longue liste de griefs dressée par les trois organismes pointe du doigt notamment les risques provoqués par le nouveau système d’identification du système de santé (le DMP) ou les violations du secret bancaire.

Si les positions de l’Epic sont souvent plus que radicales, voir outrancières, la présence temporisatrice de Privacy International et du CMCS ne parvient pas à masquer une nette progression, dans la quasi-totalité des pays européens, des dispositions légales limitant les libertés individuelles : contrôle des échanges internet et des communications privées, tant sur les canaux IP que via les réseaux de téléphonie mobile, accroissement des politiques de déploiement de vidéo surveillance etc. De manière générale, cela se traduit, commente Brian Honan, patron du Cert Irlandais, par un accroissement drastique des moyens de surveillance sur tout ce qui touche aux nouvelles technologies en général et aux TIC en particulier, sans pour autant que les politiques aient une idée précise de la manière dont elles sont consultées ou consultables.

Elle mériterait d’être proposée au Darwin Awards, cette dame qui voulait faire la bombe sur la place Rouge de Moscou, le soir de la Saint Sylvestre. Le journal Canadien Leader Post nous apprend comment, en préparant ses artifices, une militante jihadiste a mis brutalement fin à ses jours sans pourtant atteindre son but. Le paquet d’explosifs manifestement destiné à être déclenché à distance, a fonctionné comme prévu lorsque, pense la police, un SMS de bonne année a brusquement activé le détonateur. Fail.