Trident Media Guard (TMG) est une société française
spécialisée dans le contrôle d'échange entre utilisateurs d'internet
(P2P) et de la protection des droits d'auteur. Créée en 2002 par Alain
Guislain (P.D.G.) et Bastien Casalta (Directeur technique, et principal
développeur des brevets de la société.), elle est située au 4, rue de la
Cornouaille, à Nantes.
Elle vise à « fournir un service aux grandes sociétés d'édition du
disque et du cinéma pour stopper les téléchargements illégaux sur les
réseaux peer-to-peer ».Certain disent un honeypot.
À sa création, elle a bénéficié des fonctions d'incubateur d'Atlanpole, et d'une souscription importante de la part du capital-risqueurrennais Ouest Venture2. Thierry Lhermitte est entré au capital en juin 2009 et en est administrateur3,4.
Elle a été choisie, fin janvier 2010, par l'industrie de la musique et du cinéma pour relever les infractions au droit d'auteur sur Internet dans le cadre de la loi Hadopi5,6. Dans ce cadre, elle a pour mission de relever les adresses IP procédant à un téléchargement illicite, puis d'envoyer ces informations à la Haute Autorité.
Depuis le début du mois d'avril 2010, TMG a mis en ligne 6 serveurs chargés de recueillir des informations sur les échanges de données utilisant des protocoles peer-to-peer7.
Aussi, elle travaille également avec d'autres sociétés (Canal Plus,
LFP, France Télévisions), afin de lutter contre la retransmission en
streaming de flux illégaux durant divers événements sportifs.
En 2010, Trident Media Guard & Thierry Lhermitte ont reçu
conjointement le « prix Orwell Mention spéciale internet » lors des Big Brother Awards France annuels8.
Le 13 mai 2011, Bluetouff, sur le site Reflets.info, révèle
l'existence d'un serveur non protégé de la société qui laisse fuiter des
données personnelles9 ainsi que des scripts de traitement de ces données. Cet incident lui vaudra un triple audit (CNIL,
HADOPI et HSC, mandaté par les ayants droit) et une coupure de
l'interconnexion servant à communiquer les adresses IP des téléchargeurs
à l'HADOPI. Les conclusions de ces audits ne seront jamais rendues
publiques, seules celles de Bluetouff10 le seront après qu'il aura présenté ses conclusions à la commission de protection des droits de l'HADOPI.
Le paiement sans contact est une
fonction disponible sur plus de 60% des cartes bancaires en circulation.
Les données bancaires étant des éléments sensibles, elles doivent
naturellement être protégées.
Est-ce vraiment le cas ?
Evolution du paiement sans contact
Cette fonctionnalité est apparue en France aux alentours de 2012. Depuis, elle n’a cessé de se développer. Selon le GIE Cartes bancaires, 44,9 millions de cartes bancaires sans contact étaient en circulation en septembre 2017, soit 68% du parc français.
(source : GIE Cartes Bancaires)
Dans son bilan 2016 (PDF,
page 11), ce même GIE déclare que 605 millions de paiements ont été
réalisés via du sans contact. Si ce chiffre semble énorme, l’évolution
de ce dernier l’est encore plus : +158% de paiements par rapport à 2015,
et la tendance ne faiblit pas.
Le paiement sans contact est fait pour
des petites transactions, celles de « la vie quotidienne », le montant
des échanges étant plafonné à maximum 30€ depuis octobre 2017.
Fonctionnement du paiement sans contact
Le principe est relativement simple, la
personne détentrice d’une carte sans contact souhaite payer sa
transaction (inférieure à 30€ donc), elle pose sa carte à quelques
centimètres du terminal de paiement sans contact et « paf », c’est
réglé.
Le paiement sans contact
est basé sur la technologie NFC, ou Near Field Communication
(communication en champ proche) via une puce et un circuit faisant
office d’antenne, intégrés à la carte bancaire.
Le NFC est caractérisé par sa distance
de communication, qui ne dépasse pas 10 cm avec du matériel
conventionnel. Les fréquences utilisées par les cartes sans contact sont
de l’ordre de la haute fréquence (13,56 MHz) et peuvent utiliser des
protocoles de chiffrement et d’authentification. Le pass Navigo, les
récents permis de conduire ou certains titres d’identité récents
utilisent par exemple de la NFC.
Si la technique vous intéresse, je vous invite à lire en détail les normes ISO-14443A standard et la norme ISO 7816, partie 4.
Paiement sans contact et données personnelles
On va résumer simplement le problème : il n’y a pas de phase d’authentification ni de chiffrement total des données. En clair, cela signifie que des informations relativement sensibles se promènent, en clair, sur un morceau de plastique.
De nombreuses démonstrations existent çà
et là, vous pouvez également trouver des applications pour mobile qui
vous permettent de récupérer les informations non chiffrées (votre
téléphone doit être compatible NFC pour réaliser l’opération).
Pour réaliser l’opération, avec du
matériel conventionnel, il faut être maximum à quelques centimètres de
la carte sans contact, ce qui limite fortement le potentiel d’attaque et
interdit, de fait, une « industrialisation » de ces dernières.
Cependant, avec du matériel plus précis,
plus puissant et plus onéreux, il est possible de récupérer les données
de la carte jusqu’à 1,5 mètre et même plus avec du matériel spécifique
et encore plus onéreux (il est question d’une portée d’environ 15 mètres
avec ce genre de matériel). Un attaquant doté de ce type d’équipement
peut récupérer une liste assez impressionnante de cartes, puisqu’elles
sont de plus en plus présentes… problématique non ?
En 2012, le constat était plus alarmant qu’aujourd’hui, puisqu’il était possible de récupérer le nom du détenteur de la carte, son numéro de carte, sa date d’expiration, l’historique de ses transactions et les données de la bande magnétique de la carte bancaire.
En 2017… il est toujours possible de
récupérer le numéro de la carte, la date d’expiration de cette dernière
et, parfois, l’historique des transactions, mais nous y reviendrons.
Que dit la CNIL sur le sujet ?
J’ai demandé à la CNIL s’il fallait
considérer le numéro de carte bancaire comme étant une donnée à
caractère personnel, sans réponse pour le moment. J’éditerai cet article
lorsque la réponse arrivera.
Si le numéro de carte bancaire est une
donnée à caractère personnel, alors le fait qu’il soit disponible, et
stocké en clair, me semble problématique, cela ne semble pas vraiment
respecter la loi informatique et libertés.
En 2013, cette même CNIL a émis des recommandations à destination des organismes bancaires, en rappelant par exemple l’article 32 et l’article 38
de la loi informatique et libertés. Les porteurs de carte doivent,
entre autres, être informés de la présence du sans contact et doivent
pouvoir refuser cette technologie.
Les paiements sans contact sont
appréciés des utilisateurs car ils sont simples, il suffit de passer sa
carte sur le lecteur. Ils sont préférés aux paiements en liquide et
certains vont même jusqu’à déclarer que « le liquide finira par disparaître dans quelques années ».
Son usage massif fait que votre organisme bancaire vous connaît mieux,
il peut maintenant voir les paiements qui lui échappaient avant, lorsque
ces derniers étaient en liquide.
La CNIL s’est également alarmée, dès 2012, des données transmises en clair par les cartes en circulation à l’époque. Ainsi, il n’est plus possible de lire le nom du porteur de la carte,
ni, normalement, de récupérer l’historique des transactions… ce dernier
point étant discutable dans la mesure où, pas plus tard que la semaine
dernière, j’ai pu le faire avec une carte émise en 2014.
Comme expliqué précédemment, il est
encore possible aujourd’hui de récupérer le numéro de carte ainsi que la
date d’expiration de cette dernière.
Dans le scénario d’une attaque ciblée
contre un individu, obtenir son nom n’est pas compliqué. Le CVV – les
trois chiffres indiqués au dos de la carte – peut être forcé, il
n’existe que 1000 combinaisons possibles, allant de 000 à 999.
Si la CNIL a constaté des améliorations,
elle n’est pas rassurée pour autant. En 2013, elle invitait les acteurs
du secteur bancaire à mettre à niveau leurs mesures de sécurité pour
garantir que les données bancaires ne puissent pas être collectées ni
exploitées par des tiers.
Elle espère que ce secteur suivra les différentes recommandations émises [PDF, page 3],
notamment par l’Observatoire de la Sécurité des Cartes de Paiement,
quant à la protection et au chiffrement des échanges. Les premières
recommandations datent de 2007 [PDF],
mais malheureusement, dix ans après, très peu de choses ont été
entreprises pour protéger efficacement les données bancaires présentes
dans les cartes sans contact.
S’il existe des techniques pour
restreindre voire empêcher la récupération des données bancaires via le
sans contact, le résultat n’est toujours pas satisfaisant, le numéro de carte est toujours stocké en clair et lisible aisément, les solutions ne garantissent ni un niveau de protection adéquat, ni une protection permanente.
Une solution consiste à « enfermer » sa
carte dans un étui qui bloque les fréquences utilisées par le NFC. Tant
que la carte est dans son étui, pas de risques… mais pour payer, il faut
bien sortir ladite carte, donc problème.
L’autre solution, plus « directe »,
consiste à trouer – physiquement – sa carte au bon endroit pour mettre
le circuit de la carte hors service. Attention cependant, votre carte bancaire n’est généralement pas votre propriété, vous louez cette dernière à votre banque, il est normalement interdit de détériorer le bien de votre banque.
DCP ou pas DCP ?
J’en parlais précédemment : est-ce que
le numéro de carte bancaire constitue à lui seul une donnée à caractère
personnel, ou DCP ?
Cela semble un point de détail mais je
pense que c’est assez important en réalité. Si c’est effectivement une
DCP, alors le numéro de carte bancaire doit, au même titre que les
autres DCP, bénéficier d’un niveau de protection adéquat, exigence qui
n’est actuellement pas satisfaite.
Si vous avez la réponse, n’hésitez pas à me contacter ou à me donner quelques références.
Plus de deux années après leur
création dans la loi, les équipements permettant aux services de
renseignement d’analyser de grands volumes de données semblent
fonctionnels.
Lors d’un colloque organisé par l’université de Grenoble ce mardi 14 novembre, Francis Delon,
le président de la Commission nationale de contrôle des techniques de
renseignement – ou CNCTR – a déclaré que les « boites noires » étaient à
présent opérationnelles, et ce depuis environ un mois.
Ces équipements, surnommés ainsi pendant
les débats sur la loi renseignement, doivent permettre aux services de
renseignement d’analyser de grands volumes de données afin de détecter
toute trace d’une menace terroriste… et c’est tout ce qu’on sait,
officiellement.
Le principe et son problème
Pour vous résumer les débats de
l’époque, il était question de créer des algorithmes permettant de
détecter les terroristes, le tout sans aller lire le contenu des
échanges ou des communications, les algorithmes n’utilisant que les
métadonnées et pas le contenu direct.
La CNCTR a donné son feu vert à la mise en place desdits algorithmes :
« Nous avons examiné le projet
d’algorithme sur le plan juridique. Est-il adapté ? Remplit-il les
critères de proportionnalité ? Mais aussi un contrôle technique.
Nous avons des ingénieurs, ce qui permet de le faire. »
A l’époque du projet de loi, en 2015,
ces dispositions faisaient débat. Des associations protectrices des
libertés individuelles et numériques, comme La Quadrature du Net,
dénonçaient la mise en place d’un système de surveillance de masse et
une absence de mécanismes de contrôles clairs et adaptés.
Problème n°1 : les métadonnées parlent plus que « la donnée ».
La loi sur le renseignement autorise
l’exploitation des métadonnées, c’est-à-dire des informations qui
gravitent autour de la donnée sans être de la donnée… exemple : dans un
e-mail, l’heure d’envoi, l’expéditeur, le destinataire et tout ce qui
n’est pas directement le contenu du mail sont des métadonnées.
Si la loi interdit d’analyser les
données, le contenu du mail dans notre exemple, il n’en reste pas moins
que ces boites noires posent un vrai problème de confidentialité, les métadonnées étant bien plus parlantes que les données.
En soi, sauf dans des cas de
surveillance ciblée, le contenu n’intéresse que très peu les
renseignements, ils souhaitent savoir qui communique avec qui, quand,
où, comment, à quelle fréquence. Ils souhaitent savoir qui visite quoi,
quelle adresse, à quelle heure, combien de fois, etc.
Prenons un exemple très concret, qui ne va utiliser que des métadonnées. Aujourd’hui, un individu a :
Consulté un site de vidéos pour adulte pendant 14 minutes
Consulté un site d’e-commerce pendant 31 minutes
Consulté un site de recherche d’emploi pendant 8 minutes
Envoyé 3 mails à doe@example.xyz
Envoyé 2 SMS au numéro de téléphone 06xxxxxxxx
Envoyé 3 MMS au numéro de téléphone 07xxxxxxxx
A effectué deux sorties, d’une durée de 6 minutes pour la première et de 43 minutes pour la seconde
Ces trajets, grâce au smartphone de l’individu, sont connus
J’arrête l’exemple ici mais vous l’aurez compris, une journée entière
serait bien trop longue. Les métadonnées sont très précises et, par
croisement, elles permettent d’identifier une personne assez rapidement.
Ce qui nous amène au…
Problème n°2 : on ne sait pas comment ça fonctionne
Selon M. Delon, pour des « raisons évidentes », les algorithmes des boites sont secrets. On ne sait donc rien d’eux.
On peut déjà s’interroger sur les raisons qui font que cet algorithme
est secret. Si les critères de l’algorithme peuvent être sensibles,
l’algorithme en soi n’a, normalement, rien de cela. Je trouve toujours
étonnant que les gouvernements préfèrent la sécurité par l’obscurité à
la transparence d’un code, mais passons…
On peut tout de même imaginer que ces
derniers ne sont pas en mesure d’intercepter et de casser du trafic
chiffré. On peut aussi imaginer que les jeux de données doivent être
très larges, afin de permettre aux algorithmes d’avoir assez de matière
pour faire le boulot.
On renverse donc un peu plus la logique
de surveillance actuelle, en passant d’une surveillance ciblée pour
obtenir des informations à l’obtention d’informations sur une population
très large pour trouver des individus qui répondent à des critères
précis. Autrement dit, on bascule davantage dans la surveillance de
masse de tout le monde que dans la surveillance ciblée. Ce qui n’est pas
sans poser de nombreux problèmes, comme l’ONU s’en inquiétait à l’époque.
Les algorithmes, ce n’est pas « automagique », des personnes ont travaillé sur ces choses, ont produit du code. Qui ? Comment ? On ne sait pas.
On peut donc s’interroger quant à l’impartialité des algorithmes. Sur
quels critères ces derniers déclarent que telle ou telle personne a un
comportement étrange, voire suspect ? Est-ce que les algorithmes sont
assez efficaces pour éviter tout faux positif ? Et même dans ce cas,
est-ce que ces techniques ne seraient pas disproportionnées ? Combien de
milliers de données passent dans les moulinettes des algorithmes alors
qu’elles ne devraient rien y faire ?
La CNCTR déclare que, pour le moment,
une seule machine a été déployée, dans un endroit tenu évidemment
secret, comme le reste… mais est-ce un test ou une généralisation ?
Vous l’aurez compris, je suis sceptique quant à l’usage et l’efficacité de ces outils, et vous ?
T411 entre les mains de Cloudflare ? Pour lutter contre le spam, les spammers et des bots ou de la fraude en ligne.
T411(Torrent 411) un Honeypot ? Cloudflare
est une entreprise américaine qui propose un réseau de distribution de
contenu, des services de sécurité Internet et des services distribués de
serveur de noms de domaine, entre le visiteur et le fournisseur de
services d’hébergement de l’utilisateur de Cloudflare ; le système
fonctionne comme un serveur proxy inversé pour les sites Web. Le siège
social de Cloudflare se trouve à San Francisco (Californie), avec des
implantations à Londres, Singapour, Champaign, Austin, Boston et
Washington1,2.
Mais pourquoi tant de surveillance pour du P2P ?
Cloudflare a été créée en 2009 par Matthew Prince, Lee Holloway et
Michelle Zatlyn, qui travaillaient précédemment sur Project Honey Pot.
La solution Cloudflare a été lancée à l’occasion de la conférence
TechCrunch Disrupt de septembre 2010. Elle a attiré l’attention des
médias en juin 2011, après avoir fourni des services de sécurité au site
Web LulzSec. En juin 2012, Cloudflare s’est associée à plusieurs
hébergeurs Web, tels que HostPapa, pour mettre en œuvre sa technologie
Railgun. En février 2014, Cloudflare a freiné l’attaque DDoS la plus
importante jamais enregistrée, qui a atteint les 400 Gbits/s, contre un
client dont l’identité est restée confidentielle. En novembre 2014,
Cloudflare a signalé une autre attaque DDos massive à 500 Gbits/s, dont
les cibles étaient des sites de médias indépendants3.
En 2004, Matthew Prince et Lee Holloway créent « Project Honey Pot »,
une organisation à but non lucratif qui cherche à lutter contre le spam avec un système distribué de détection des spammers et des bots. Cette dernière connaît un grand succès, et intéresse notamment en 2007 le département de la Sécurité intérieure qui y voit l'opportunité d'exploiter des données sur la fraude en ligne.
Par la suite Prince et Holloway font équipe avec Michelle Zatlyn. Le
projet d'entreprise de Cloudflare remporte en avril 2009 la compétition
Harvard Business School Business Plan4. En novembre, l'entreprise clôt un tour de table « série A(en) »
de 2 millions de dollars auprès de Venrock et Pelion Venture Partners,
complété en juillet 2012 par une levée de 20 millions auprès des mêmes
partenaires, ainsi que New Enterprise Associate.
En 2010, Cloudflare lance une version bêta fermée aux membres de la
communauté du projet Honey Pot. Le lancement au grand public se fait le
27 septembre 2010 au cours de la conférence TechCrunch Disrupt.
En juin 2011, le service fait parler de lui en protégeant le site du groupe Lulzsec5, qui a recours à ses services pour se protéger d'attaques DDOS.
En 2012, il est estimé que plus de 200 millions d'utilisateurs
visitent des sites qui sont protégés par Cloudflare. L'entreprise
acquiert au même moment environ 1 000 clients par jour5.
En juin 2012, le groupe de hacker UGNazi
attaque Cloudflare via des failles dans le système d'authentification
de Google, pour obtenir des accès d'administrateurs au service et défigurer4chan6.
En mars 2013, Spamhaus, entreprise de lutte contre le spam basée à Genève
et cliente de Cloudflare, annonce avoir subi une attaque DDOS de très
grande ampleur après avoir placé sur sa liste noire le site internet
néerlandais Cyberbunker7.
Après les événements, Matthew Prince estime sur le blog de l'entreprise
que l'attaque DDOS compterait parmi les plus grosses jamais lancées,
avec des pics à 300 Gbit/s sur certaines cibles, avec pour conséquences possibles un ralentissement de la vitesse des accès à Internet en Europe8.
En juin 2014, Cloudflare a fait l’acquisition de CryptoSeal, fondé par
Ryan Lackey, une opération visant à accroître les services de sécurité
proposés à l’internaute. En février 2014, Cloudflare a acquis
StopTheHacker, qui propose une détection et une suppression automatique
des programmes malveillants, ainsi qu’un contrôle des réputations et des
listes noires. En décembre 2016, Cloudflare a racheté Eager, dans le
but de mettre à niveau sa propre plateforme d’applications, afin de
permettre une installation de type « glisser-déplacer » d’applications
tierces sur des sites où Cloudflare est actif 10.
Cloudflare propose un service gratuit de base, et des options payantes (protection DDOS avancée par exemple)11. Parmi ses clients, on peut citer le gouvernement turc, Stratfor, Laughing Squid ou Metallica12.
L'infrastructure du service s'appuie sur une version modifiée de Nginx, et intègre la technologie SPDY développée par Google13. En mars 2013, il compte vingt-trois centres de données14.Cloudflare propose à tous ses clients le paramètre « I'm Under Attack
Mode ». Selon Cloudflare, cela peut empêcher les attaques visant la
couche 7 en présentant un défi de calcul JavaScript, qui doit être
resolu avant qu’un utilisateur puisse accéder à un site Web. Cloudflare a
protégé SpamHaus d’une attaque DDoS qui a dépassé 300 Gbits/s.
L’architecte principal d’Akamai a indiqué qu’il s’agissait de
« l’attaque DDoS publiquement annoncée la plus importante de l’histoire
d’Internet ». Cloudflare a également indiqué avoir absorbé des attaques
qui ont atteint les 400 Gbits/s pour une attaque par réflexion utilisant
le service NTP15.
Pare-feu pour les applications Web Cloudflare permet aux clients ayant
souscrit une formule payante d’utiliser par défaut un service de
pare-feu pour les applications Web ; le pare-feu possède l’OWASP
ModSecurity Core Rule Set en plus de l’ensemble de règles propre à
Cloudflare et des ensembles de règles pour les applications Web
populaires16.
Ce qu'ont a dit:
T411 et XXXXXXX fusionnent pour devenir n° 1 ?
C'est évident que le Staff de XXXXXXX, est derrière depuis le début
(bien sur ! on va s'échanger des login de domaine et autres infos
sensibles entre sites de piratage ;))) )
Ils ont profité de la mort de l'original pour squatter le domaine, se
sont fait promouvoir par la pseudo presse spécialisée qui voulaient
surfer sur le buzz provoqué par la fermeture , on mit des magnets sans
login pour attirer + de gibier (si ça c'est pas la preuve ultime que
c'est pas les originaux...) et maintenant hop ! Faut se logger et ils
récupèrent tout le traffic !
Très bon coup de poker en tout cas ! En générale c'est plutôt les pages Facebook de "buzz" qui font ça
Selon l'entrevue de t411 a Nextwarez.com: Nous avions précédemment vu qu’XXXXXXXX, avait réussi à prendre sa place dans le classement des sites warez les plus visités en août; mais le nouveau T411 avec l’extension en .si l’a rejoint un mois après, en septembre.
Nous avons donc rencontré le staff du nouveau site, afin d’en savoir un
peu plus sur eux …Le site T411 a fermé le 26 juin 2017 et nous avons mis en ligne la relève le 17 juillet ,mais tiendra-t'il encore le coup ?
Aujourd'hui t411 est down et celui qui le remplace et qu'ont ne peut
mentionner (P2P)est encore associer avec cloudfflare et Amazon.com(pour
un peu de rentabilité évidemment) ! Oui encore cloudflare car a la
résurrection de t411 pour un bref moment, son compétiteur actuel P2P
Francophone(qu'on ne nommera pas) avait probablement accès aux serveurs
de l'ex-t411,par Cloudflare !!!
Voici les 2 serveurs non fonctionnels de t411:
FQDN:
L'industrie du sextoy semble toujours incapable de produire un jouet sans fil résistant aux attaques informatiques.
L'article original a été publié sur Motherboard.
Mardi 17 septembre, les rectums du monde entier se sont serrés de peur quand le spécialiste en cybersécurité Giovanni Mellini a révélé sur son blog à quel point il était facile de pirater un plug anal contrôlé par Bluetooth.
L'appareil en question est le Hush de Lovense, que l'entreprise présente comme "le premier plug anal télédildonique" que vous pouvez "contrôler de n'importe où !"
Malheureusement pour Lovense, le Hush s'illustre aussi comme l'un des sextoys connectés les plus vulnérables
du marché : manifestement, il peut être contrôlé "de n'importe où",
mais aussi par n'importe qui. Il suffit de se trouver à portée de
Bluetooth.
Dans son billet de blog, Mellini explique qu'il est
parvenu à hacker le jouet en utilisant un scanner de réseaux Bluetooth
Low Energy (BLE) développé et distribué gratuitement sur GitHub par Simone Margaritelli.
Le Bluetooth est considéré comme un moyen peu sûr
de transmettre de l'information à distance. Sa version économe en
énergie, le BLE, est encore plus fragile. Malheureusement, elle tire si
peu sur la batterie des smartphones qu'elle s'est aisément trouvé une
place dans l'Internet des objets.
Simone Margaritelli n'est pas tendre avec le BLE dans le billet de blog
qu'il a consacré à son scanner : "Le BLE est une version cheap et très
peu sûre du Bluetooth. Il n'utilise pas le saut fréquence et n'a pas de
protocole de sécurité intégré." Ces faiblesses le rendent vulnérable aux
attaques par interception, au cours desquelles le pirate se glisse
entre deux machines qui communiquent ensemble.
Dans ce cas
précis, un hacker pourrait prendre le contrôle du Hush en lui faisant
croire qu'il obéit au smartphone de son propriétaire. Au passage, il
pourrait également récupérer les paquets d'information qui circulent
entre les deux appareils. C'est ce qu'on appelle le sniffing.
S'il est si nul, pourquoi le BLE a-t-il toujours ses entrées chez les
fabricants d'objets connectés ? Une fois de plus, Margaritelli s'exprime
sans ambage : "Si vous voulez concevoir et vendre n'importe quelle
merde branchée à l'IoT, et que vous voulez le faire vite parce que votre
concurrent s'apprête à débarquer sur le marché avec une merde
similaire, vous prenez le Bluetooth, vous le débarrassez de ses quelques
maigres qualités et voilà !", vous avez un appareil BLE.
Mellini
affirme qu'il est parvenu à coupler son ordinateur au plug sans
identifiant, mot de passe ou code PIN en utilisant le scanner de
Margaritelli et l'application smartphone de Lovense. L'appariement
effectué, il avait tout contrôle sur les vibrations de l'engin.
Sur son site officiel, Lovense affirme que le Hush a une portée d'une
dizaine de mètres si l'utilisateur est debout, trois s'il est assis. Ce
qui signifie qu'un malfrat aurait besoin d'être très proche de vous pour
prendre le contrôle de votre jouet. Reste que l'application de Lovense
se connecte à Internet : un hacker entreprenant pourrait sans doute
utiliser les vulnérabilités dévoilées par Mellini pour orchestrer une
attaque à distance, une vraie.
Mellini pense que ce hack
n'aurait pas été possible avec un protocole sans fil plus sûr que le
BLE. "C'est vraiment facile de pirater le protocole BLE à cause
d'erreurs de conception bêtes, écrit-il. Bienvenue en 2017."
Motherboard a fait parvenir une demande de commentaire à Lovense. Si nous obtenons un retour, cet article sera mis à jour.
L'industrie des jouets pour adulte traverse une grande phase de réinvention télédildonique.
En connectant ses produits à Internet, elle espérait tirer parti des
dernières tendances. Malheureusement, elle a surtout inondé le marché de
godes vulnérables aux attaques informatiques.
Les sextoys
connectés doivent protéger l'intimité de leurs utilisateurs s'ils
souhaitent devenir des produits courants. Pour le moment, il semble
qu'ils ne travaillent qu'à dissoudre la frontière vie privée-vie
publique.
Le
fabricant sud-coréen veut inciter les utilisateurs à transformer leur
ancien smartphone en objet connecté pour des usages aussi variés que le
minage Bitcoin, la gestion d’aquarium ou l’authentification biométrique.
Donner une seconde vie à son vieux smartphone Galaxy :
tel est le but affiché de la nouvelle initiative « Galaxy Upcycling »
que Samsung vient de présenter à l’occasion de sa dernière conférence
développeur. Plutôt que de laisser moisir son ancien appareil dans un
tiroir, pourquoi ne pas l’utiliser pour en faire tout autre chose ? S’il
est vrai que les terminaux d’ancienne génératios sont souvent bloqués
au niveau logiciel, leur base matériel reste tout à fait fonctionnelle
et il serait dommage de s’en priver.
Lutte contre l’obsolescence programmée
C’est pourquoi les ingénieurs de Samsung ont démontré sur leur stand
toute une série d’applications originales qui permettent de briser cette
loi de l’obsolescence programmée et que les utilisateurs pourront
télécharger sur le site upcycling.io.
L’une des réalisations les plus spectaculaires est
une ferme de minage Bitcoin. Constituée de 40 Galaxy S5, elle a une
puissance de minage de 104 Mhash/s, ce qui équivalent à celle de cinq
ordinateurs avec puce Intel Core i7-2600, mais pour une consommation
énergétique trois fois moins importante. C'est quand même largement
insuffisant pour gagner le moindre centime virtuel car selon le
calculateur de bitcoinx.com,
l’extraction n’est réaliste que lorsque l’on atteint plusieurs
centaines de Ghash/s. Mais bon, l’esprit y est. Et rien n’empêche
d’adapter cela à une autre monnaie plus facile à miner, comme le monero.
Autre projet intéressant : transformer son Galaxy S5
en plateforme de gestion d’aquarium. Le logiciel que proposera Samsung
permet de contrôler à distance la qualité de l’eau, d'allumer la lumière
et d'administrer la nourriture. Pour en profiter, il faut évidemment se
doter des capteurs nécessaires. La bonne nouvelle, c’est que Samsung
compte proposer sur son site tout l’attirail nécessaire pour mener à
bien ce type d’installation.
Déguisé en chouette, votre ancien terminal mobile
Galaxy pourra également inspecter l’identité des visiteurs qui se
présentent à votre porte, grâce à un logiciel de reconnaissance faciale.
Ou bien vérifier à distance la consommation alimentaire de votre animal
domestique. Et pourquoi pas le transformer en console de jeux d’arcade
ou en poste de travail d’appoint en y installant Ubuntu Desktop.
Android est effacé
Pour l’instant le site upcycling.io n’est pas encore actif. Il
devrait donner accès à tous les outils nécessaires pour supprimer
Android et installer les logiciels du projet en question. Des tiers
pourront également mettre en ligne leur propre projet de transformation.
Bref, l’idée est de créer autour de la gamme Galaxy un écosystème de
bidouilleurs comme on en connaît déjà pour Raspberry Pi et la mouvance
Maker. Le succès n’est pas garanti mais l’initiative est intéressante
d’un point de vue écologique… et économique. Le fait de pouvoir donner
une seconde vie à son smartphone lui donne en effet automatiquement plus
de valeur et pourrait inciter davantage de personnes à se tourner vers
Samsung plutôt que vers un autre fabricant. Source : Motherboard
Des
chercheurs hollandais disent que 1 000 hommes du monde entier ont pris
contact avec une fillette de 10 ans aux Philippines au cours d'une
enquête de 10 semaines, dont beaucoup voulaient la payer pour enlever
ses vêtements devant une webcam.
L'organisation
des droits de l'enfant Terre des Hommes a mis en place le faux profil
d'une fille nommée Sweetie dans un forum de discussion en ligne et ses
chercheurs spécialement formés ont été stupéfaits par l'avalanche de
réponses.
Un chercheur l'a décrit comme
«pétrifiant», mais il a déclaré que le véritable problème était le
nombre de filles de pays en développement qui avaient accès à Internet
et que les parents et les criminels essayaient de gagner de l'argent.
Les informations recueillies au cours de l'enquête seront transmises à Interpol.
Angus Crawford de la BBC a été invité dans un endroit secret pour voir comment le travail est effectué.
France
