SS7 : Avec un numéro de téléphone ont peut hacker des comptes web comme (Twitter, Facebook, Whatsapp…etc)

Vous êtes serein, car vous avez mis une phrase de passe de 72 caractères à Gmail et votre compte Facebook fonctionne avec un système de double authentification.
C'est bien.
Mais vous allez vite déchanter, car une nouvelle méthode testée et approuvée par des chercheurs de Positive Technologies permet de prendre la main sur n'importe quel compte Twitter, Facebook, Telegram, Whatsapp et bien d'autres. Pour cela, il suffit d'exploiter une faille dans le protocole SS7 (Signalling System Number 7) utilisé par quasiment tous les opérateurs du monde entier pour échanger des informations entre eux, faire la facturation partagée, activer le roaming…etc.
Cette faille découverte en 2014 permet de rerouter les SMS et les appels reçus vers un autre numéro de téléphone. Ainsi, en connaissant simplement votre numéro de téléphone, l'attaquant pourrait de manière ciblée faire une demande de mot de passe perdu, et récupérer sur son téléphone, le code de validation nécessaire au changement du mot de passe.
Voici la démonstration du hack :
Il n'y a malheureusement pas grand-chose à faire pour se protéger mis à part éviter d'associer son numéro de téléphone avec ses comptes web. Le mieux pour la double authentification, c'est d'utiliser une application dédiée comme Google Authenticator ou de demander à recevoir le code de validation uniquement par email.
Toutefois rassurez-vous, la technique est complexe et nécessite pas mal de moyens. Il faut opérer en pratiquant un bon MITM (Man in the middle) avec un peu de matos comme sur la vidéo ou avoir un accès direct au réseau SS7 (ce qui n'est possible que si on bosse chez un opérateur). Bref, pour Big Brother c'est easy.
Et n'espérez pas que les opérateurs télécom patchent cette faille avant plusieurs années (voire décennies).

REF.:

Le SS7 la faille non colmaté des réseau de téléphonie mobile

Un IMSI-catcher, parfois traduit en intercepteur d'IMSI, est un appareil de surveillance utilisé pour intercepter le trafic des communications mobiles, récupérer des informations à distance ou pister les mouvements des utilisateurs des terminaux. Le terme IMSI-catcher est en réalité non exhaustif, l'appareil permettant de faire bien plus que simplement récupérer le numéro IMSI. Pour arriver à ses fins, un IMSI-catcher simule une fausse antenne-relais en s'intercalant entre le réseau de l'opérateur de téléphonie et le matériel surveillé.

Un IMSI-catcher (International Mobile Subscriber Identity) est un matériel de surveillance utilisé pour l'interception des données de trafic de téléphonie mobile et pour suivre les données de localisation des terminaux et donc de leurs utilisateurs. Un IMSI-catcher simule une fausse antenne-relais en agissant entre le téléphone mobile espionné et les antennes-relais de l'opérateur téléphonique. La spécificité de ce modèle de surveillance, et la raison pour laquelle certaines associations de défense de la vie privée le contestent, est qu'il cible toutes les personnes qui se trouvent dans son rayon d'action. Un IMSI-catcher ne vise pas uniquement la (ou les) personne(s) soupçonnée(s), mais toutes celles qui se trouvent à proximité.
Il s'agit en fait d'une attaque de l'intercepteur. Les IMSI-catchers sont utilisés dans certains pays par la police ou les services de renseignement, mais leur usage est parfois illégal pour des raisons de liberté civile ou de protection de la vie privée. L'IMSI-catcher exploite des faiblesses dans les protocoles de communication 2G, 3G et 4G,dont la faille SS7. Il existe peu de contre-mesures pour se prémunir d'être espionné par un IMSI-catcher, mais son utilisation peut être détectée à l'aide de certains outils.Si cette faille reste non colmaté c'est que c'est surem,ent a cause des investissements que ça occasionne aux cie de réseau mobile, qui ne s'en soucis peu !Certains scandale arriveront comme,l'espionnage du journaliste Patrick Lagacé en 2016 au Québec.

SS7

Sur les réseaux 2G et 3G, Il existe un moyen de connaître la position d’une station mobile grâce à son IMSI en la demandant directement au MSC/VLR grâce à une requête d’information sur un utilisateur par le protocole SS7^{note 12}. Pour cela, il faut d’abord connaître l'IMSI. Il existe un moyen de se procurer l’IMSI d’une station mobile grâce à son numéro de téléphone. Il suffit d’envoyer une demande d’information de routage^{note 13} à la HLR. Si en plus le titre global^{note 14} de la MSC/VLR n’était pas connu, il est récupéré en demandant l’IMSI. Une fois l’IMSI récupéré en envoyant une requête d’information sur un utilisateur à la VLR, elle nous renvoie la position de la station mobile¹⁸.
Il est possible de demander la position d’une station mobile grâce à un numéro de téléphone sans avoir besoin de demander préalablement à une HLR grâce à une requête sur le service de position^{note 15} qui permet aux services d’urgences de connaître la position d’une station mobile. Pour cela il faut s’authentifier à la GMLC (en)^{note 16}, qui transmet la requête au serveur MSC et qui, par le RRLP^{note 17}. Le serveur MSC vérifie l’adresse du service qui fait la demande, mais ne lui demande pas de s’authentifier, ce qui permet de lui demander directement en se faisant passer pour une GMLC¹⁹.
Il est possible de créer un déni de service en connaissant l'IMSI et la VLR. En envoyant des requêtes telles qu’un cancel Location, il est possible d’autoriser ou d’empêcher les appels entrants ou sortants, les SMS, les connexions de données ou juste de supprimer la station mobile de la table²⁰.
Il est possible de rediriger les appels téléphoniques si la station mobile se trouve sur un réseau étranger. Il est alors probable que le réseau de l’opérateur envoie une requête d’insertion de données sur un utilisateur^{note 18} à la VLR du réseau visité contenant l'adresse de la gsmSCF^{note 19} et la liste d’événements à reporter. Il est alors possible pour un adversaire d’envoyer directement ce message à la VLR, pour qu’il indique sa propre gsmSCF, ce qui induit que lorsque la station mobile veut appeler un numéro, il est possible que le réseau visité envoie une demande à la gsmSCF de l’adversaire pour lui demander à quel numéro transférer (cas possible si le numéro appelé n’est pas un numéro international, mais un numéro interne au réseau de l’opérateur). La gsmSCF peut alors renvoyer à un autre numéro (un autre IMSI-catcher) pour pouvoir écouter²¹. Une autre forme de cette attaque serait de faire une updateLocation request à la HLR de l’opérateur pour donner son adresse en tant que VLR²².
Il existe une attaque qui permet de « désanonymiser » les utilisateurs autour d’un IMSI-catcher. Lors d’une paging request, le TMSI (en) est envoyé non chiffré. Si un IMSI-catcher est à proximité, il peut le récupérer²³. Avec cette donnée, il peut faire deux choses :

• demander l'IMSI au MSC avec une sendIndentification request,
• demander la clé de session à la MSC pour pouvoir déchiffrer toutes les données chiffrées qui seront utilisées pour cette connexion.

REF.:

IMSI catcher pour vous servir

Un IMSI-catcher, parfois traduit en intercepteur d'IMSI, est un appareil de surveillance utilisé pour intercepter le trafic des communications mobiles, récupérer des informations à distance ou pister les mouvements des utilisateurs des terminaux. Le terme IMSI-catcher est en réalité non exhaustif, l'appareil permettant de faire bien plus que simplement récupérer le numéro IMSI. Pour arriver à ses fins, un IMSI-catcher simule une fausse antenne-relais en s'intercalant entre le réseau de l'opérateur de téléphonie et le matériel surveillé.

Un IMSI-catcher (International Mobile Subscriber Identity) est un matériel de surveillance utilisé pour l'interception des données de trafic de téléphonie mobile et pour suivre les données de localisation des terminaux et donc de leurs utilisateurs. Un IMSI-catcher simule une fausse antenne-relais en agissant entre le téléphone mobile espionné et les antennes-relais de l'opérateur téléphonique. La spécificité de ce modèle de surveillance, et la raison pour laquelle certaines associations de défense de la vie privée le contestent, est qu'il cible toutes les personnes qui se trouvent dans son rayon d'action. Un IMSI-catcher ne vise pas uniquement la (ou les) personne(s) soupçonnée(s), mais toutes celles qui se trouvent à proximité.
Il s'agit en fait d'une attaque de l'intercepteur. Les IMSI-catchers sont utilisés dans certains pays par la police ou les services de renseignement, mais leur usage est parfois illégal pour des raisons de liberté civile ou de protection de la vie privée. L'IMSI-catcher exploite des faiblesses dans les protocoles de communication 2G, 3G et 4G,dont la faille SS7. Il existe peu de contre-mesures pour se prémunir d'être espionné par un IMSI-catcher, mais son utilisation peut être détectée à l'aide de certains outils.Si cette faille reste non colmaté c'est que c'est surem,ent a cause des investissements que ça occasionne aux cie de réseau mobile, qui ne s'en soucis peu !

 Le piratage se fonde sur une attaque dans SS7, un système de signalisation utilisé par les réseaux mobiles et développé dans les années 1970, à l’époque des premiers commutateurs téléphoniques électroniques.La mauvaise nouvelle, ce sont les réglementations laxistes permettant de mettre en place des réseaux. Certains pays délivrent facilement aux opérateurs des licences qui, à leur tour, permettent à n’importe qui de configurer légalement un hub et de le connecter à un nœud de transport. C’est pourquoi de nombreux vendeurs illégaux se bousculent sur le marché noir pour proposer des « services de connexion » à de tels hubs.
Le problème vient des compagnies mobiles
Les opérateurs sont loin d’être pressés de déployer de tels systèmes, laissant les abonnés se demander s’ils sont ou non protégés contre de pareilles attaques. Même si vous découvrez que vous être protégé avec votre premier opérateur, vous ne pouvez jamais être sûr d’être en sécurité à cause des services d’itinérance.
Vous devriez obéir à une règle simple pour empêcher que vos secrets ne tombent entre les mains des criminels : n’abordez pas de sujets sensibles au téléphone, gardez-les plutôt pour quand vous verrez la personne. Imaginez que vous en parliez sur YouTube. Pour protéger les SMS qui vous sont envoyés par les systèmes d’authentification à deux facteurs, prenez une autre carte SIM avec un numéro que seul vous connaissez, et utilisez-la uniquement dans ce but. Il y a une technologie qui est destinée à remplacer SS7. Cela fait partie de la norme LTE et ça s’appelle Diameter. Les spécifications ont été élaborées il y a quelques années, quand on a commencé à évoquer les problèmes autour de SS7. Mais Diameter présente exactement les mêmes problèmes que SS7. Donc on est bloqué pour les 25 prochaines années avec une technologie qui présente les mêmes défauts que celle des années 80. Ça me laisse penser que nos recherches ont été vaines et que nous n’avons pas eu assez été entendus.

Gouvernementales

La première implémentation d'un IMSI-catcher a été faite par la société allemande Rohde & Schwarz (en) en 1993. Un brevet a été déposé le 8 novembre 2000²⁴, mais celui-ci sera rendu invalide le 24 janvier 2012, car l'invention est qualifiée non innovante²⁵.
L'implémentation la plus connue est le StingRay (en) de la société américaine Harris Corporation à cause de ses nombreuses utilisations par le gouvernement américain^26,27.
D'autres entreprises fournissent également des IMSI-catchers à destination des gouvernements, comme la société Digital Receiver Technology, Inc. [archive] avec sa Dirtbox (en), Bull Amesys, Septier Communication (en) ainsi que PKI Electronic [archive]²⁸.
Il y a également des implémentations portables afin de pouvoir placer l'IMSI-catcher plus proche des cibles sans qu'elles s'en rendent compte, par exemple Gamma Group (en) propose un modèle prenant la forme d'un vêtement²⁹.

Ottawa : La capitale fédérale sous surveillance

Otawa, Canada : Des appareils capables d’intercepter les données des téléphones mobiles ont été décelés à Ottawa. Dans le cadre d’une enquête échelonnée sur plusieurs mois, Radio-Canada a détecté des appareils capables d’intercepter les données des téléphones mobiles, entre autres, près du parlement du Canada et de l’édifice Langevin, lequel héberge le bureau du premier ministre.

Et si le premier ministre et son entourage utilisaient des téléphones mobiles?
« En gros, ils traînent avec eux un outil de leur propre espionnage »

La capitale fédérale sous surveillance

Des appareils capables d’intercepter les données des téléphones mobiles ont été décelés à Ottawa. Dans le cadre d’une enquête échelonnée sur plusieurs mois, Radio-Canada a détecté des appareils capables d’intercepter les données des téléphones mobiles, entre autres, près du parlement du Canada et de l’édifice Langevin, lequel héberge le bureau du premier ministre.

Une enquête de Brigitte Bureau et de Sylvie Robillard pour Radio Canada

Si vous travaillez au centre-ville d’Ottawa ou que vous vous y rendez fréquemment, les données de votre téléphone mobile peuvent avoir été espionnées. Il en va de même pour les députés et sénateurs qui travaillent sur la colline du Parlement.
Notre enquête a en effet permis de découvrir que des « intercepteurs d’IMSI » sont à l’oeuvre dans la capitale fédérale. Il s’agit d’appareils qui imitent le fonctionnement d’une antenne de téléphonie cellulaire.
Tous les téléphones mobiles à proximité s’y branchent. L’intercepteur capte alors l’IMSI des téléphones, soit le « International Mobile Subscriber Identity » (identité internationale d’abonnement mobile), un numéro unique sur la carte SIM qui identifie l’usager.
L’intercepteur saisit aussi tous les numéros entrants et sortants. Certains modèles peuvent même écouter les conversations téléphoniques et lire les textos.

De nombreuses alertes à Ottawa

Photo(s) : Radio-Canada / Michel Aspirot

Une première au Canada
Des médias en Norvège, en Australie et aux États-Unis ont déjà fait l’exercice de déceler la présence d’intercepteurs d’IMSI à l’aide d’un CryptoPhone. Radio-Canada est cependant le premier média au pays à mener une telle expérience. Le CryptoPhone a été conçu par la compagnie allemande GSMK. Il est distribué en France par Cryptofrance, et en Amérique du Nord par ESD America. Cette dernière est une entreprise américaine spécialisée en équipements technologiques pour la défense et les forces de l’ordre. Elle compte parmi ses clients Homeland Security, le ministère américain de la Sécurité intérieure. En plus du CryptoPhone, nous avons utilisé un « Overwatch Sensor » de GSMK, un détecteur plus sophistiqué encore, surtout utilisé par les gouvernements, pour identifier avec davantage de précision l’emplacement des intercepteurs d’IMSI.

Pour détecter les intercepteurs d’IMSI, nous avons utilisé ce qu’on appelle un « CryptoPhone ». Cet appareil ressemble à un banal téléphone, mais il émet des alertes rouges quand une fausse antenne tente de s’emparer de son signal.
Des médias en Norvège, en Australie et aux États-Unis ont déjà mené une telle expérience, mais il s’agit d’une première au Canada (voir l’encadré ci-bas).
Nous avons obtenu de nombreuses alertes à Ottawa, surtout en décembre et en janvier.
Elles sont survenues, entre autres, à différents endroits du marché By, au Centre Rideau et dans les bureaux de Radio-Canada, au centre-ville d’Ottawa.
Un intercepteur d’IMSI peut couvrir un rayon d’un demi-kilomètre, en milieu urbain, et de deux kilomètres dans les grands espaces.
Le territoire couvert par les intercepteurs d’IMSI que nous avons détectés engloberait donc, notamment, toute la colline du Parlement, l’édifice Langevin où le premier ministre Trudeau a ses bureaux, la Défense nationale, l’ambassade des États-Unis et l’ambassade d’Israël.
Pour approfondir notre enquête, nous avons utilisé de l’équipement encore plus sophistiqué qui a confirmé la présence de intercepteurs d’IMSI près de la colline du Parlement.

Des appels sur écoute ?

Photo(s) : Radio-Canada / Michel Aspirot
Nous avons demandé au fournisseur nord-américain du CryptoPhone, ESD America, de procéder à une analyse poussée de ces alertes.
Nous nous sommes rendus à Las Vegas, où se trouve le siège social de cette entreprise spécialisée dans les équipements technologiques pour la défense et les forces de l’ordre.
À une quinzaine de minutes de la frénésie des casinos, ESD America occupe des bureaux discrets. La compagnie travaille, entre autres, avec Homeland Security, le ministère américain de la Sécurité intérieure.
« Vous avez vu, fréquemment, de l’activité d’intercepteurs d’IMSI. Absolument », affirme le président d’ESD America, Les Goldsmith, en examinant nos données.

« Les intercepteurs d’IMSI peuvent suivre la trace de votre téléphone, écouter vos appels et lire vos textos. Ils peuvent aussi vous empêcher de faire des appels et peuvent envoyer de faux messages en votre nom. »
– Les Goldsmith, président, ESD America

Photo(s) : Radio-Canada / Michel Aspirot

En savoir plus… Les téléphone sécurisés Cryptophone et le système d’analyse Overwatch sont des produits développés par la société allemande GSMK.
Ces produits sont distribués en France par la société Cryptofrance, et en Amérique du nord, par ESD America.

Selon M. Goldsmith, le risque d’intrusion pour les gens qui se trouvent, notamment, sur la colline du Parlement est bien réel. « Quelqu’un pourrait être en train d’écouter leurs appels, maintenant, et ils ne le sauraient même pas », affirme cet expert en contre-espionnage.
Et si le premier ministre et son entourage utilisaient des téléphones mobiles? « En gros, ils traînent avec eux un outil de leur propre espionnage », répond-il du tac au tac.
Le président d’ESD America explique que les plus grands utilisateurs d’intercepteurs d’IMSI sont les forces de l’ordre et les agences fédérales, mais aussi le crime organisé ainsi que les services de renseignement étrangers.
Selon lui, les intercepteurs que nous avons détectés à Ottawa pourraient être d’origine étrangère.

« On voit de plus en plus d’intercepteurs d’IMSI avec des configurations différentes et on peut établir une signature. On voit des intercepteurs d’IMSI qui sont probablement d’origine chinoise, russe, israélienne, etc. »
– Les Goldsmith, président, ESD America

Source de l’article : Radio Canada

Indépendantes

Les matériels et logiciels requis pour la mise en œuvre d'un IMSI-catcher sont devenus accessibles au grand public par des projets libres et l'utilisation de matériel générique³⁰.
Pour la partie logicielle, des projets libres comme OpenBTS, YateBTS [archive], srsLTE [archive], OpenLTE ou encore Osmocom mettent à disposition des implémentations des protocoles GSM et LTE.
Pour la partie matérielle, l'utilisation d'ordinateurs génériques ou de Raspberry pi, ainsi que des cartes de Radio logicielle génériques comme la bladeRF [archive], HackRF [archive], Ettus UB210-KIT [archive] ou spécialisées dans les télécommunications comme la umTRX [archive] ³¹.
Par exemple, le chercheur en sécurité informatique Chris Paget a présenté, à la DEF CON de 2010, la mise en place d'un IMSI-catcher à base de matériel générique pour la somme de 1 500 $, démontrant que cette solution était peu coûteuse et accessible au grand public³².
Les chercheurs en sécurité informatique Mike Tassey et Richard Perkins ont présenté à la Conférence Black Hat de 2011 l'implémentation d'un IMSI-catcher dans un drone spécialisé dans la surveillance des télécommunications³³.

En 2012, la police de Los Angeles a utilisé le StingRay (en) 21 fois sur une période de 4 mois sur des enquêtes n'étant pas en rapport avec le terrorisme, ce qui sort donc de l'usage prévu initialement des IMSI-catchers³⁹.
D'après des journalistes du journal The Intercept, la NSA utiliserait des IMSI-catchers pour géolocaliser des cibles grâce à leur téléphone mobile afin de fournir des coordonnées à d'autres organismes comme la CIA ou l'armée américaine leur permettant d'organiser des enlèvements de personnes ou des assassinats avec des drones⁴⁰.
D'après l'Union américaine pour les libertés civiles, de nombreuses agences fédérales américaines ont accès aux IMSI-catchers⁴¹.

Contre-mesures

S'il est difficile de se protéger totalement d'un IMSI-catcher, il existe des solutions pour détecter la présence éventuelle d'un tel dispositif. On parle alors d'IMSI-catcher-catcher ou d'IMSI-catcher-detector.

Fonctionnement des contre-mesures

Certaines implémentations, comme SnoopSnitch⁴², surveillent diverses variables telles que le CID (en)^{note 20} et le LAC (en)^{note 21} pour déterminer si le réseau semble être relayé par un IMSI-catcher. En effet, si une tour de télécommunication identifiée par un CID possède un LAC incohérent ou changeant⁴³, elle peut être qualifiée de suspecte. De plus, il est possible de vérifier les couples CID/LAC des tours de télécommunication connues⁴³ pour confirmer les suspicions détectées par l'observation d'un LAC incohérent. D'autres suspicions peuvent être détectées si l'identifiant de cellule radio (CID) utilisé par la tour n'a jamais été rencontré dans cette zone géographique auparavant⁴⁴.
Il existe d'autres techniques, surveillant entre autres :

• la fréquence utilisée, certains IMSI-catchers peuvent changer la fréquence utilisée par le réseau de télécommunications afin de réduire le bruit sur ce réseau⁴⁵
• les aptitudes de la tour, et les paramètres du réseau⁴⁴
• la durée de vie de la connexion à la tour. Des connexions discontinues et courtes, de bonne qualité peuvent révéler la présence d'un IMSI-catcher en mode identification des téléphones présents sur son réseau⁴⁶

Par exemple, le CryptoPhone utilise trois indices⁴⁷ pour déterminer que le réseau est suspect :

• Quand le téléphone passe d'un réseau 3G à un réseau 2G
• Quand la connexion téléphonique n'est plus chiffrée
• Quand la tour ne communique pas la liste des tours voisines

Plusieurs applications mobiles de détection d'IMSI-catcher existent, avec des degrés de fiabilité variables⁴⁸, dont quelques exemples :

• SnoopSnitch⁴²
• Cell Spy Catcher⁴²
• Android IMSI-Catcher Detector⁴⁹ (AIMSICD)

Ces applications nécessitent que le téléphone soit débloqué, dit rooté ou jailbreak, et utilisent les techniques décrites ci-dessus.

Matérielles

Il existe deux types de solutions matérielles servant de contre-mesures aux IMSI-catchers : d'une part les solutions mobiles, d'autre part les solutions stationnaires.
Pour les solutions mobiles, il s'agit majoritairement de smartphones utilisant le chiffrement des communications, un accès Internet par un VPN⁴⁷.
Voici une liste non exhaustive d'exemples :

• Le Blackphone (en),utilisant une version modifiée d'Android, nommée SilentOS [archive].
• Le GSMK Cryptophone [archive] 500
• Le Privacy Phone de FreedomPop (en), basé sur le Samsung Galaxy S II

Parmi les solutions mobiles alternatives, la gamme de téléphones non smartphones de X-Cellular [archive] possède des défenses contre les IMSI-catchers différentes de celles des smartphones, notamment un IMEI dynamique⁴⁷.
Pour les solutions fixes, les équipements sont variés, allant du Raspberry Pi associé à divers équipements⁵⁰, à des implémentations industrielles, telles que le ESD America Overwatch [archive] ou le Pwnie Express [archive].

Historique

• 1993 : Première mise en œuvre d'un IMSI-catcher par la société allemande Rohde & Schwarz

• 2000 : Rohde & Schwarz déposent un brevet le 8 novembre. Il sera invalidé le 24 janvier 2012, par la Cour d’appel d’Angleterre et du Pays de Galles, pour cause d'évidence (non-innovation)

• 2002 : Les premières lois prenant en compte les IMSI-catchers apparaissent. En Allemagne par exemple, le Code de procédure pénale définit ses limites d'utilisation par les services judiciaires

• 2003 : Commercialisation du premier prototype par Rohde et Schwarz

• 2006 : Le Département de Police de Los Angeles achète un StingRay pour des investigations de terrorisme. Mais selon l'Electronic Frontier Fondation en 2013, la police l'utilise depuis à d'autres fins que son usage officiel⁸⁵

• 2008 : En Autriche, écriture dans la loi de l'utilisation des IMSI-catchers sans autorisation judiciaire

• 2010 : Présentation par Chris Paget à la DEF CON d'un IMSI-catcher artisanal lui ayant coûté 1 500 $ à produire

• 2015 : Utilisation d'un IMSI-catcher lors de la traque des frères Kouachi, après l'attentat contre Charlie Hebdo

• 2016 : En France, le 3 juin, la loi renseignement rend légale l'utilisation des IMSI-catchers par les services de renseignement.Et espionnage du journaliste Patrick Lagacé en 2016 au Québec.

REF.:

Le contrôle d'échange entre utilisateurs d'internet (P2P) et de la protection des droits d'auteur,Trident Media Guard vous surveille !

Trident Media Guard (TMG) est une société française spécialisée dans le contrôle d'échange entre utilisateurs d'internet (P2P) et de la protection des droits d'auteur. Créée en 2002 par Alain Guislain (P.D.G.) et Bastien Casalta (Directeur technique, et principal développeur des brevets de la société.), elle est située au 4, rue de la Cornouaille, à Nantes.
Elle vise à « fournir un service aux grandes sociétés d'édition du disque et du cinéma pour stopper les téléchargements illégaux sur les réseaux peer-to-peer ».Certain disent un honeypot.
 À sa création, elle a bénéficié des fonctions d'incubateur d'Atlanpole, et d'une souscription importante de la part du capital-risqueur rennais Ouest Venture². Thierry Lhermitte est entré au capital en juin 2009 et en est administrateur^3,4.
Elle a été choisie, fin janvier 2010, par l'industrie de la musique et du cinéma pour relever les infractions au droit d'auteur sur Internet dans le cadre de la loi Hadopi^5,6. Dans ce cadre, elle a pour mission de relever les adresses IP procédant à un téléchargement illicite, puis d'envoyer ces informations à la Haute Autorité.
Depuis le début du mois d'avril 2010, TMG a mis en ligne 6 serveurs chargés de recueillir des informations sur les échanges de données utilisant des protocoles peer-to-peer⁷.
Aussi, elle travaille également avec d'autres sociétés (Canal Plus, LFP, France Télévisions), afin de lutter contre la retransmission en streaming de flux illégaux durant divers événements sportifs.
En 2010, Trident Media Guard & Thierry Lhermitte ont reçu conjointement le « prix Orwell Mention spéciale internet » lors des Big Brother Awards France annuels⁸.
Le 13 mai 2011, Bluetouff, sur le site Reflets.info, révèle l'existence d'un serveur non protégé de la société qui laisse fuiter des données personnelles⁹ ainsi que des scripts de traitement de ces données. Cet incident lui vaudra un triple audit (CNIL, HADOPI et HSC, mandaté par les ayants droit) et une coupure de l'interconnexion servant à communiquer les adresses IP des téléchargeurs à l'HADOPI. Les conclusions de ces audits ne seront jamais rendues publiques, seules celles de Bluetouff¹⁰ le seront après qu'il aura présenté ses conclusions à la commission de protection des droits de l'HADOPI.

---

Création	2002
Dates clés	2009 Vote de la loi Hadopi ; 2010 obtention du contrat correspondant
Fondateurs	Alain Guislain et Bastien Casalta
Personnages clés	Thierry Lhermitte
Forme juridique	SA
Siège social	Nantes  France
Direction	Alain Guislain
Actionnaires	Ouest Venture
Activité	Informatique
Produits	Conseil en systèmes et logiciels informatiques
Effectif	12
Site web	http://tmg.eu/ [archive]
Chiffre d’affaires	866.000 € (Chiffre d'affaires datant de 2007, aucune publication du CA réalisé depuis cette date)

REF.:

Les cartes bancaires sans contact et la confidentialité des données

Le paiement sans contact est une fonction disponible sur plus de 60% des cartes bancaires en circulation. Les données bancaires étant des éléments sensibles, elles doivent naturellement être protégées.

Est-ce vraiment le cas ?

Evolution du paiement sans contact

Cette fonctionnalité est apparue en France aux alentours de 2012. Depuis, elle n’a cessé de se développer. Selon le GIE Cartes bancaires, 44,9 millions de cartes bancaires sans contact étaient en circulation en septembre 2017, soit 68% du parc français.

(source : GIE Cartes Bancaires)

Dans son bilan 2016 (PDF, page 11), ce même GIE déclare que 605 millions de paiements ont été réalisés via du sans contact. Si ce chiffre semble énorme, l’évolution de ce dernier l’est encore plus : +158% de paiements par rapport à 2015, et la tendance ne faiblit pas.

Le paiement sans contact est fait pour des petites transactions, celles de « la vie quotidienne », le montant des échanges étant plafonné à maximum 30€ depuis octobre 2017.

Fonctionnement du paiement sans contact

Le principe est relativement simple, la personne détentrice d’une carte sans contact souhaite payer sa transaction (inférieure à 30€ donc), elle pose sa carte à quelques centimètres du terminal de paiement sans contact et « paf », c’est réglé.

Le paiement sans contact est basé sur la technologie NFC, ou Near Field Communication (communication en champ proche) via une puce et un circuit faisant office d’antenne, intégrés à la carte bancaire.

Le NFC est caractérisé par sa distance de communication, qui ne dépasse pas 10 cm avec du matériel conventionnel. Les fréquences utilisées par les cartes sans contact sont de l’ordre de la haute fréquence (13,56 MHz) et peuvent utiliser des protocoles de chiffrement et d’authentification. Le pass Navigo, les récents permis de conduire ou certains titres d’identité récents utilisent par exemple de la NFC.

Si la technique vous intéresse, je vous invite à lire en détail les normes ISO-14443A standard et la norme ISO 7816, partie 4.

Paiement sans contact et données personnelles

On va résumer simplement le problème : il n’y a pas de phase d’authentification ni de chiffrement total des données. En clair, cela signifie que des informations relativement sensibles se promènent, en clair, sur un morceau de plastique.

De nombreuses démonstrations existent çà et là, vous pouvez également trouver des applications pour mobile qui vous permettent de récupérer les informations non chiffrées (votre téléphone doit être compatible NFC pour réaliser l’opération).

Pour réaliser l’opération, avec du matériel conventionnel, il faut être maximum à quelques centimètres de la carte sans contact, ce qui limite fortement le potentiel d’attaque et interdit, de fait, une « industrialisation » de ces dernières.

Cependant, avec du matériel plus précis, plus puissant et plus onéreux, il est possible de récupérer les données de la carte jusqu’à 1,5 mètre et même plus avec du matériel spécifique et encore plus onéreux (il est question d’une portée d’environ 15 mètres avec ce genre de matériel). Un attaquant doté de ce type d’équipement peut récupérer une liste assez impressionnante de cartes, puisqu’elles sont de plus en plus présentes… problématique non ?

En 2012, le constat était plus alarmant qu’aujourd’hui, puisqu’il était possible de récupérer le nom du détenteur de la carte, son numéro de carte, sa date d’expiration, l’historique de ses transactions et les données de la bande magnétique de la carte bancaire.

En 2017… il est toujours possible de récupérer le numéro de la carte, la date d’expiration de cette dernière et, parfois, l’historique des transactions, mais nous y reviendrons.

Que dit la CNIL sur le sujet ?

J’ai demandé à la CNIL s’il fallait considérer le numéro de carte bancaire comme étant une donnée à caractère personnel, sans réponse pour le moment. J’éditerai cet article lorsque la réponse arrivera.

Si le numéro de carte bancaire est une donnée à caractère personnel, alors le fait qu’il soit disponible, et stocké en clair, me semble problématique, cela ne semble pas vraiment respecter la loi informatique et libertés.

En 2013, cette même CNIL a émis des recommandations à destination des organismes bancaires, en rappelant par exemple l’article 32 et l’article 38 de la loi informatique et libertés. Les porteurs de carte doivent, entre autres, être informés de la présence du sans contact et doivent pouvoir refuser cette technologie.

Les paiements sans contact sont appréciés des utilisateurs car ils sont simples, il suffit de passer sa carte sur le lecteur. Ils sont préférés aux paiements en liquide et certains vont même jusqu’à déclarer que « le liquide finira par disparaître dans quelques années ». Son usage massif fait que votre organisme bancaire vous connaît mieux, il peut maintenant voir les paiements qui lui échappaient avant, lorsque ces derniers étaient en liquide.

La CNIL s’est également alarmée, dès 2012, des données transmises en clair par les cartes en circulation à l’époque. Ainsi, il n’est plus possible de lire le nom du porteur de la carte, ni, normalement, de récupérer l’historique des transactions… ce dernier point étant discutable dans la mesure où, pas plus tard que la semaine dernière, j’ai pu le faire avec une carte émise en 2014.

Comme expliqué précédemment, il est encore possible aujourd’hui de récupérer le numéro de carte ainsi que la date d’expiration de cette dernière.

Dans le scénario d’une attaque ciblée contre un individu, obtenir son nom n’est pas compliqué. Le CVV – les trois chiffres indiqués au dos de la carte – peut être forcé, il n’existe que 1000 combinaisons possibles, allant de 000 à 999.

Si la CNIL a constaté des améliorations, elle n’est pas rassurée pour autant. En 2013, elle invitait les acteurs du secteur bancaire à mettre à niveau leurs mesures de sécurité pour garantir que les données bancaires ne puissent pas être collectées ni exploitées par des tiers.

Elle espère que ce secteur suivra les différentes recommandations émises [PDF, page 3], notamment par l’Observatoire de la Sécurité des Cartes de Paiement, quant à la protection et au chiffrement des échanges. Les premières recommandations datent de 2007 [PDF], mais malheureusement, dix ans après, très peu de choses ont été entreprises pour protéger efficacement les données bancaires présentes dans les cartes sans contact.

S’il existe des techniques pour restreindre voire empêcher la récupération des données bancaires via le sans contact, le résultat n’est toujours pas satisfaisant, le numéro de carte est toujours stocké en clair et lisible aisément, les solutions ne garantissent ni un niveau de protection adéquat, ni une protection permanente.

Une solution consiste à « enfermer » sa carte dans un étui qui bloque les fréquences utilisées par le NFC. Tant que la carte est dans son étui, pas de risques… mais pour payer, il faut bien sortir ladite carte, donc problème.

L’autre solution, plus « directe », consiste à trouer – physiquement – sa carte au bon endroit pour mettre le circuit de la carte hors service. Attention cependant, votre carte bancaire n’est généralement pas votre propriété, vous louez cette dernière à votre banque, il est normalement interdit de détériorer le bien de votre banque.

DCP ou pas DCP ?

J’en parlais précédemment : est-ce que le numéro de carte bancaire constitue à lui seul une donnée à caractère personnel, ou DCP ?

Cela semble un point de détail mais je pense que c’est assez important en réalité. Si c’est effectivement une DCP, alors le numéro de carte bancaire doit, au même titre que les autres DCP, bénéficier d’un niveau de protection adéquat, exigence qui n’est actuellement pas satisfaite.

Si vous avez la réponse, n’hésitez pas à me contacter ou à me donner quelques références.

REF.:

Les « boites noires » de la loi renseignement semblent désormais fonctionnelles

Plus de deux années après leur création dans la loi, les équipements permettant aux services de renseignement d’analyser de grands volumes de données semblent fonctionnels.

Lors d’un colloque organisé par l’université de Grenoble ce mardi 14 novembre, Francis Delon, le président de la Commission nationale de contrôle des techniques de renseignement – ou CNCTR – a déclaré que les « boites noires » étaient à présent opérationnelles, et ce depuis environ un mois.

Ces équipements, surnommés ainsi pendant les débats sur la loi renseignement, doivent permettre aux services de renseignement d’analyser de grands volumes de données afin de détecter toute trace d’une menace terroriste… et c’est tout ce qu’on sait, officiellement.

Le principe et son problème

Pour vous résumer les débats de l’époque, il était question de créer des algorithmes permettant de détecter les terroristes, le tout sans aller lire le contenu des échanges ou des communications, les algorithmes n’utilisant que les métadonnées et pas le contenu direct.

La CNCTR a donné son feu vert à la mise en place desdits algorithmes :

« Nous avons examiné le projet d’algorithme sur le plan juridique. Est-il adapté ? Remplit-il les critères de proportionnalité ? Mais aussi un contrôle technique.

Nous avons des ingénieurs, ce qui permet de le faire. »

A l’époque du projet de loi, en 2015, ces dispositions faisaient débat. Des associations protectrices des libertés individuelles et numériques, comme La Quadrature du Net, dénonçaient la mise en place d’un système de surveillance de masse et une absence de mécanismes de contrôles clairs et adaptés.

Problème n°1 : les métadonnées parlent plus que « la donnée ».

La loi sur le renseignement autorise l’exploitation des métadonnées, c’est-à-dire des informations qui gravitent autour de la donnée sans être de la donnée… exemple : dans un e-mail, l’heure d’envoi, l’expéditeur, le destinataire et tout ce qui n’est pas directement le contenu du mail sont des métadonnées.

Si la loi interdit d’analyser les données, le contenu du mail dans notre exemple, il n’en reste pas moins que ces boites noires posent un vrai problème de confidentialité, les métadonnées étant bien plus parlantes que les données.

En soi, sauf dans des cas de surveillance ciblée, le contenu n’intéresse que très peu les renseignements, ils souhaitent savoir qui communique avec qui, quand, où, comment, à quelle fréquence. Ils souhaitent savoir qui visite quoi, quelle adresse, à quelle heure, combien de fois, etc.

Prenons un exemple très concret, qui ne va utiliser que des métadonnées. Aujourd’hui, un individu a :

• Consulté un site de vidéos pour adulte pendant 14 minutes
• Consulté un site d’e-commerce pendant 31 minutes
• Consulté un site de recherche d’emploi pendant 8 minutes
• Envoyé 3 mails à doe@example.xyz
• Envoyé 2 SMS au numéro de téléphone 06xxxxxxxx
• Envoyé 3 MMS au numéro de téléphone 07xxxxxxxx
• A effectué deux sorties, d’une durée de 6 minutes pour la première et de 43 minutes pour la seconde
• Ces trajets, grâce au smartphone de l’individu, sont connus

J’arrête l’exemple ici mais vous l’aurez compris, une journée entière serait bien trop longue. Les métadonnées sont très précises et, par croisement, elles permettent d’identifier une personne assez rapidement.

Ce qui nous amène au…

Problème n°2 : on ne sait pas comment ça fonctionne

Selon M. Delon, pour des « raisons évidentes », les algorithmes des boites sont secrets. On ne sait donc rien d’eux. On peut déjà s’interroger sur les raisons qui font que cet algorithme est secret. Si les critères de l’algorithme peuvent être sensibles, l’algorithme en soi n’a, normalement, rien de cela. Je trouve toujours étonnant que les gouvernements préfèrent la sécurité par l’obscurité à la transparence d’un code, mais passons…

On peut tout de même imaginer que ces derniers ne sont pas en mesure d’intercepter et de casser du trafic chiffré. On peut aussi imaginer que les jeux de données doivent être très larges, afin de permettre aux algorithmes d’avoir assez de matière pour faire le boulot.

On renverse donc un peu plus la logique de surveillance actuelle, en passant d’une surveillance ciblée pour obtenir des informations à l’obtention d’informations sur une population très large pour trouver des individus qui répondent à des critères précis. Autrement dit, on bascule davantage dans la surveillance de masse de tout le monde que dans la surveillance ciblée. Ce qui n’est pas sans poser de nombreux problèmes, comme l’ONU s’en inquiétait à l’époque.

Les algorithmes, ce n’est pas « automagique », des personnes ont travaillé sur ces choses, ont produit du code. Qui ? Comment ? On ne sait pas. On peut donc s’interroger quant à l’impartialité des algorithmes. Sur quels critères ces derniers déclarent que telle ou telle personne a un comportement étrange, voire suspect ? Est-ce que les algorithmes sont assez efficaces pour éviter tout faux positif ? Et même dans ce cas, est-ce que ces techniques ne seraient pas disproportionnées ? Combien de milliers de données passent dans les moulinettes des algorithmes alors qu’elles ne devraient rien y faire ?

La CNCTR déclare que, pour le moment, une seule machine a été déployée, dans un endroit tenu évidemment secret, comme le reste… mais est-ce un test ou une généralisation ?

Vous l’aurez compris, je suis sceptique quant à l’usage et l’efficacité de ces outils, et vous ?

 

 

REF.:

Les secrets de l'ex-site T411(Torrent)

T411 entre les mains de Cloudflare ? Pour lutter contre le spam, les spammers et des bots ou de la fraude en ligne.

T411(Torrent 411) un Honeypot ?
Cloudflare est une entreprise américaine qui propose un réseau de distribution de contenu, des services de sécurité Internet et des services distribués de serveur de noms de domaine, entre le visiteur et le fournisseur de services d’hébergement de l’utilisateur de Cloudflare ; le système fonctionne comme un serveur proxy inversé pour les sites Web. Le siège social de Cloudflare se trouve à San Francisco (Californie), avec des implantations à Londres, Singapour, Champaign, Austin, Boston et Washington^1,2.


Mais pourquoi tant de surveillance pour du P2P ?


Cloudflare a été créée en 2009 par Matthew Prince, Lee Holloway et Michelle Zatlyn, qui travaillaient précédemment sur Project Honey Pot. La solution Cloudflare a été lancée à l’occasion de la conférence TechCrunch Disrupt de septembre 2010. Elle a attiré l’attention des médias en juin 2011, après avoir fourni des services de sécurité au site Web LulzSec. En juin 2012, Cloudflare s’est associée à plusieurs hébergeurs Web, tels que HostPapa, pour mettre en œuvre sa technologie Railgun. En février 2014, Cloudflare a freiné l’attaque DDoS la plus importante jamais enregistrée, qui a atteint les 400 Gbits/s, contre un client dont l’identité est restée confidentielle. En novembre 2014, Cloudflare a signalé une autre attaque DDos massive à 500 Gbits/s, dont les cibles étaient des sites de médias indépendants³.
En 2004, Matthew Prince et Lee Holloway créent « Project Honey Pot », une organisation à but non lucratif qui cherche à lutter contre le spam avec un système distribué de détection des spammers et des bots. Cette dernière connaît un grand succès, et intéresse notamment en 2007 le département de la Sécurité intérieure qui y voit l'opportunité d'exploiter des données sur la fraude en ligne.
Par la suite Prince et Holloway font équipe avec Michelle Zatlyn. Le projet d'entreprise de Cloudflare remporte en avril 2009 la compétition Harvard Business School Business Plan⁴. En novembre, l'entreprise clôt un tour de table « série A (en) » de 2 millions de dollars auprès de Venrock et Pelion Venture Partners, complété en juillet 2012 par une levée de 20 millions auprès des mêmes partenaires, ainsi que New Enterprise Associate.
En 2010, Cloudflare lance une version bêta fermée aux membres de la communauté du projet Honey Pot. Le lancement au grand public se fait le 27 septembre 2010 au cours de la conférence TechCrunch Disrupt.
En juin 2011, le service fait parler de lui en protégeant le site du groupe Lulzsec⁵, qui a recours à ses services pour se protéger d'attaques DDOS.
En 2012, il est estimé que plus de 200 millions d'utilisateurs visitent des sites qui sont protégés par Cloudflare. L'entreprise acquiert au même moment environ 1 000 clients par jour⁵.
En juin 2012, le groupe de hacker UGNazi attaque Cloudflare via des failles dans le système d'authentification de Google, pour obtenir des accès d'administrateurs au service et défigurer 4chan⁶.
En mars 2013, Spamhaus, entreprise de lutte contre le spam basée à Genève et cliente de Cloudflare, annonce avoir subi une attaque DDOS de très grande ampleur après avoir placé sur sa liste noire le site internet néerlandais Cyberbunker⁷. Après les événements, Matthew Prince estime sur le blog de l'entreprise que l'attaque DDOS compterait parmi les plus grosses jamais lancées, avec des pics à 300 Gbit/s sur certaines cibles, avec pour conséquences possibles un ralentissement de la vitesse des accès à Internet en Europe⁸.
 En juin 2014, Cloudflare a fait l’acquisition de CryptoSeal, fondé par Ryan Lackey, une opération visant à accroître les services de sécurité proposés à l’internaute. En février 2014, Cloudflare a acquis StopTheHacker, qui propose une détection et une suppression automatique des programmes malveillants, ainsi qu’un contrôle des réputations et des listes noires. En décembre 2016, Cloudflare a racheté Eager, dans le but de mettre à niveau sa propre plateforme d’applications, afin de permettre une installation de type « glisser-déplacer » d’applications tierces sur des sites où Cloudflare est actif ¹⁰.
Cloudflare propose un service gratuit de base, et des options payantes (protection DDOS avancée par exemple)¹¹. Parmi ses clients, on peut citer le gouvernement turc, Stratfor, Laughing Squid ou Metallica¹².
L'infrastructure du service s'appuie sur une version modifiée de Nginx, et intègre la technologie SPDY développée par Google¹³. En mars 2013, il compte vingt-trois centres de données¹⁴.Cloudflare propose à tous ses clients le paramètre « I'm Under Attack Mode ». Selon Cloudflare, cela peut empêcher les attaques visant la couche 7 en présentant un défi de calcul JavaScript, qui doit être resolu avant qu’un utilisateur puisse accéder à un site Web. Cloudflare a protégé SpamHaus d’une attaque DDoS qui a dépassé 300 Gbits/s. L’architecte principal d’Akamai a indiqué qu’il s’agissait de « l’attaque DDoS publiquement annoncée la plus importante de l’histoire d’Internet ». Cloudflare a également indiqué avoir absorbé des attaques qui ont atteint les 400 Gbits/s pour une attaque par réflexion utilisant le service NTP¹⁵. Pare-feu pour les applications Web Cloudflare permet aux clients ayant souscrit une formule payante d’utiliser par défaut un service de pare-feu pour les applications Web ; le pare-feu possède l’OWASP ModSecurity Core Rule Set en plus de l’ensemble de règles propre à Cloudflare et des ensembles de règles pour les applications Web populaires¹⁶.

Ce qu'ont a dit:

 T411 et XXXXXXX   fusionnent pour devenir n° 1 ?
C'est évident que le Staff de XXXXXXX, est derrière depuis le début (bien sur ! on va s'échanger des login de domaine et autres infos sensibles entre sites de piratage ;))) )
Ils ont profité de la mort de l'original pour squatter le domaine, se sont fait promouvoir par la pseudo presse spécialisée qui voulaient surfer sur le buzz provoqué par la fermeture , on mit des magnets sans login pour attirer + de gibier (si ça c'est pas la preuve ultime que c'est pas les originaux...) et maintenant hop ! Faut se logger et ils récupèrent tout le traffic !
Très bon coup de poker en tout cas ! En générale c'est plutôt les pages Facebook de "buzz" qui font ça

 "T411 serait-il de retour ? Une nouvelle copie du site vient en effet d’ouvrir ses portes et il semblerait qu’il ne s’agisse pas d’un simple clone cette fois."

Quel est l'intérêt de s'inscrire si les torrent ne fonctionnent qu'avec des trackers public...

[–]rinsaOurs 34 points 4 months ago 

Aucun, c'est un honeypot.

[–]FrenchDude647Réunion 5 points 4 months ago 

Question sincere, c'est quoi le pb des trackers publiques ? Je me suis jamais vraiment pris la tete et je chopais tout sur piratebay depuis des annees, y'a un risque de se faire choper ?

[–]rinsaOurs 18 points 4 months ago 

Tracker public : aucun flicage sur le ratio, donc aucun intérêt à rester en seed. Du coup c'est cool pour le contenu récent, mais les torrents dépassent généralement pas le mois d'espérance de vie.

Selon l'entrevue de t411 a Nextwarez.com:
Nous avions précédemment vu qu’XXXXXXXX, avait réussi à prendre sa place dans le classement des sites warez les plus visités en août; mais le nouveau T411 avec l’extension en .si l’a rejoint un mois après, en septembre. Nous avons donc rencontré le staff du nouveau site, afin d’en savoir un peu plus sur eux …Le site T411 a fermé le 26 juin 2017 et nous avons mis en ligne la relève le 17 juillet ,mais tiendra-t'il encore le coup ?

Aujourd'hui t411 est down et celui qui le remplace et qu'ont ne peut mentionner (P2P)est encore associer avec cloudfflare et Amazon.com(pour un peu de rentabilité évidemment) ! Oui encore cloudflare car a la résurrection de t411 pour un bref moment, son compétiteur actuel P2P Francophone(qu'on ne nommera pas) avait probablement accès aux serveurs de l'ex-t411,par Cloudflare !!!


Voici les 2 serveurs non fonctionnels de t411:
FQDN:

	t411.si
Host Name
Domain Name	t411.si
Registry	si
TLD	si
DNS
Name servers	ivan.ns.cloudflare.com vida.ns.cloudflare.com  REF.: