mai 2nd, 2013

Schmidt, tête pensante de Google, l’une des plus formidables usines à collecter de la donnée privée, et qui lui-même niait il n’y a pas si longtemps l’importance de la préservation de la vie privée, part en guerre contre les drones privés dans le secteur civil, nous apprend un article de la BBC. Il faut dire que, depuis quelques années, divers hackerspaces, tant aux USA qu’en France, s’intéressent à la question. Une concurrence qui a de quoi inquiéter le patron de la flottille de GoogleCars qui constitue l’un des plus importants vecteurs de collecte d’informations photographiques géolocalisées … Les arguments de Schmidt en faveur de sa croisade sont aussi peu sérieux qu’anxiogènes : emploi de drones dans les querelles de voisinage (le patron de Google passe pudiquement sur les milices de Neighbors Watch qui sévissent aux Etats-Unis depuis des décennies) et, pire encore, risque de favoriser les moyens exploitables par des terroristes… comme si une interdiction légale pouvait encore intimider un poseur de bombe, comme si la reconnaissance photographique de Google Street ne constituait pas déjà un formidable outil de repérage. Les drones privés sont utilisés depuis des années dans le domaine civil. Notamment par des archéologues, pour qui la photogrammétrie et la mise en évidence des disparités végétales constituent des indices de recherche d’une grande importance. Les agriculteurs s’en servent de plus en plus pour détecter la présence de maladies cryptogamiques à l’aide de photographies infrarouges, les géomètres en font un usage de plus en plus fréquent, sans parler des cinéastes pour qui l’heure de film aérien à l’aide de drones coûte entre 50 à 150 fois moins cher que son équivalent sur avion piloté ou sur hélicoptère. Et l’on ne parle pas des usages que l’on peut attendre des drones par les ONG dans des zones difficiles d’accès …

HD Moore publie un billet amusant sur une « vulnérabilité par omission » relativement courante : la présence sur Internet de serveurs de ports série , en majorité de fabrication Digi.

Initialement destinés à piloter des batteries de modems ou de télécopieurs, voire de distribuer des signaux vers des terminaux passifs connectés à une machine Unix, Prologue ou Pick (qui se souvient encore de con et de tty ?), ces concentrateurs de ports série sont depuis quelques années associés à des passerelles IP donnant à l’administrateur le droit de contrôler à distance ces extensions. Extensions qui, par ailleurs, sont toujours utilisées dans le monde de l’automatisme, là où règne en maîtresse absolue la boucle V24 et les couples TxD/RxD. Au total, un scan rapide nous apprend, explique HD Moore, que l’on peut ainsi accéder à plus de 144 000 « serveurs série », dont plus de 95 000 via des fournisseurs d’accès mobiles. Un parc exploitable qui connaît rarement la supervision d’un IDS ou d’un firewall, lorsque ce n’est pas la totale absence du moindre mot de passe. Vannes de contrôle d’alimentation en eau d’une grande ville Française, systèmes de commande de serrures centralisées etc.

Pour faciliter le travail d’exhumation de ces ports indiscrets, Moore a développé un module Metasploit, qui ira dénicher les cartes Digi cachées dans un réseau… et au-delà. Les hack des vieilles technos désespérantes sont les hacks les plus beaux.