Wi-Fi



J’ESPIONNE LES TÉLÉPHONES POUR 23 EUROS
[CNIS Mag – 05/01/2009]
Moins médiatisée –et pourtant considérablement plus dangereuse !- cette communication faite à l’occasion du 25C3 par MM Erik Tews, Ralf-Philipp Weinmann et Andreas Schuler, le hack des communications DECT. Les transparents de cette passionnante causerie ainsi que le Wiki consacré à ces recherches fourmillent de détails sur l’art d’écouter les combinés sans fil de son prochain. Comme pour confirmer l’inutilité relative des travaux de Sotirov (voir article précédent), les certificats du serveur du CCC sont invalides… les plus curieux devront se faire violence et accepter ladite ouverture de cession.

Que nous apprend ce piratage attendu par certains depuis quelques lustres ? Tout d’abord qu’il n’existe aucune communication sans fil qui ne puisse faire l’objet d’une écoute, d’un risque de démodulation par logiciel ou d’un spoofing (injection de fausses informations).

L’on retrouve ici encore la plateforme « Software Defined Radio » de Matt Ettus, qui servit en son temps à hacker les principaux outils de transmission radio : de bluetooth à Wifi, des CPL à la télévision HD « chifrée », en passant par l’interception des signaux RFID ou des réseaux de signalisation RDS. Mais plutôt que d’enrichir le thésaurus des développements GNU Radio, ces hackers du combiné sans fil ont utilisé de biens plus simples accessoires : de vulgaires cartes PCMCIA Com-On-Air, vendues aux environs d’une vingtaine d’Euros.

La portée du hack est incalculable. A part quelques antiques TPV (Terminaux Point de Vente), qui utilisent les liaisons infrarouges, la quasi-totalité des terminaux mobiles de payement par carte de crédit utilise une liaison DECT. On estime, compte-tenu de la baisse des prix atteints en ce domaine, que la grande majorité des foyers français se sert également de terminaux DECT en remplacement des vieux postes téléphoniques S63 des P&T d’autrefois. Les entreprises elle-même sont de grandes consommatrices d’appareils à la norme DECT, et particulièrement les TPE et PME.

C’est donc un véritable « manuel du petit plombier » qu’offrent ces trois chercheurs, manuel augmenté d’un add-in logiciel sous la forme d’une extension spécifique de Kismet, le sniffer « sans fil » le plus connu des passionnés des communications radio.

Certes, le hack nécessite de solides connaissances. Mais le « retour sur investissement » est prometteur. Usurpation de poste et d’identifiant, écoute à distance sans lien physique, « empoisonnement » des données, récupération de mots de passe ou de hashs de codes PIN… il y a des trésors cachés dans cet algorithme de chiffrement DSC originellement déposé par Alcatel.

Et contrairement au monde WiFi, dans lequel la course au débit a peu à peu joué en faveur du renouvellement de parc « vieux Wep » en faveur d’un « nouveau WPA », il n’y a pas, ou très peu, de budget pour changement d’équipement dans l’économie des ménages.

En outre, s’il est parfois possible de mettre à jour, pour un usager aguerri, les outils et firmwares de sécurité d’un appareil Wifi, ce n’est pas le cas sur un équipement téléphonique destiné à une clientèle « non technique ».

http://www.cnis-mag.com/fr/jespionne-les-telephones-pour-23-euros/actualite.html


[Lettre de Temps Réels n° 96 – 4 avril 2008]

Le gouvernement envisage de déposer au Sénat fin avril et en urgence le Projet de loi visant a permettre juridiquement la mise en place de la fameuse « riposte graduée ». Ce projet de loi (qui reprend les propositions formulées par le Rapport Olivennes) va profondément remanier la procédure de sanctions en matière de téléchargements dits illicites avec la menace de suspension de abonnement à Internet, après deux alertes. Il prévoit la création d’une Autorité administrative appelée Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI).

Riposte graduée : les pirates recevront une lettre recommandée

Les insolents commentaires en vert de l’HADOPI

La riposte graduée préservera le chiffre d’affaires des FAI

Un acronyme qui rime, involontairement, avec DADVSI. Comme pour la DADVSI, le gouvernement entend le faire adopter en urgence. Comme pour la DADVSI, le débat risque de tourner mal. (suite…)


Une parfaite illustration de ce que l’on appelle désormais la « sous-veillance »… à tout moment j’indique volontairement où je suis et ce que je fais — et j’en apporte la preuve en me photographiant moi-même…

[Future Perfect – le blog de Jan Chipchase chez Nokia Design – 10/04/2008 – Trad. Grégoire Seither]

a selca moment

Une mode omniprésente parmi les jeunes de Seoul en Corée :  selca = self camera = le fait se prendre soi-même en photo avec son téléphone et d’envoyer automatiquement la photo pour publication sur sa page personnelle chez Cyworld .

La moindre visite à un café ou un restaurant comporte invariablement une séance d’auto-photographie par les membres de l’assemblée.

Et il ne s’agit pas de photos prises à la va-vite, les auteurs des photographies réfléchissent intensément à l’angle désiré de prise de vue, évaluent le résultat, refont la photo, retouchent leur coiffure, etc. etc. Le tout peut bien prendre une dizaine de minutes.

Cette mode est déjà assez intéressante à observer quand il ne s’agit que d’une seule personne, mais l’effet est magnifié quand toute une tablée s’adonne à cette activité auto-centrée… parfois même en réduisant au minimum les interactions humaines entre les divers convives.

Les vendeurs de téléphones dotés d’appareils photos intègrent même le selca dans leur publicité, vantant  la bonne prise en main de l’appareil et la facilité avec laquelle il permet de se prendre en photo. Certains modèles intègrent même des fonctions spécialement concues pour le selca : catalogue des portraits, filtres de retouche d’image ou d’ajout d’effets visuels.

Cette mode est tellement éloigné de ma réalité quotidienne que, quand j’y suis confronté, je me sens comme un extraterrestre.

Est-ce que les choses que nous vivons dans notre vie ne sauraient exister si elles ne sont pas enregistrées et diffusées via un media ? Est-ce que nous n’existons pas si nous ne sommes pas visbiles dans les photos de l’évènement ?

http://www.janchipchase.com


[Technology Review – 24/03/2008 – Trad. Grégoire Seither]

S’il ya une leçon à tirer des mésaventures qui ont forcé à la démission le gouverneur de New York, Eliot Spitzer (hormis la plus évidente), c’est ceci: les banques surveillent avec attention la moindre de vos transactions. . . et si elles trouvent quelque chose qui leur paraît pas net, elles vont commencer par appeler le FBI, avant de vous en parler.

Dans le cas de Spitzer, si on en croit la presse, ce sont trois petits virements de 5 000 dollars chacun qui ont déclenché l’alarme. Bon, le fait qu’il s’agissait d’une figure politique a contribué à rendre la banque plus vigilante. Mais même les transactions banquaires les plus banales de citoyens ordinaires sont soumises à ce type de contrôle informatisé.

«Toutes les grandes banques utilisent ces logiciels», explique Pete Balint, co-fondateur du Dominion Advisory Groupe, qui aide les banques à développer des stratégies de lutte contre le blanchiment et la fraude. « En fonction de leur volume, ils peuvent recevoir des milliers de messages d’alerte chaque mois. »

La plupart des systèmes suivent des règles assez simples, recherchant des anomalies dans le fonctionnement du compte et déclenchant des alertes qui entraînent une surveillance renforcée. L’éditeur informatique Metavante affirme, par exemple, que son logiciel contient plus de 70 règles de  « bonnes pratiques », couvrant une large variété de transactions allant des dépôts et retraits de liquide à l’achat de contrats d’assurance vie. (. . . )

La façon la plus simple d’identifier un mouvements de fonds suspect est un changement de routine. Par exemple, une personne qui dépose juste deux chèques de paie par mois pendant deux ans, se fera répérer si elle dépose soudain 6 grosses sommes d’argent en 15 jours . . .

La plupart des logiciels sophistiqués sont capables de classer les comptes en plusieurs catégories : un compte client pourra être comparé à celui d’autres membres du corps enseignant, ou bien aux personnes qui effectuent toutes leurs transactions au guichet de la même agence… ou encore comparer les revenus de cette personne à ceux de personnes ayant des revenus stables, par exemple des retraîtés ou des fonctionnaires. Certaines catégories sociales ont des comportement banquiers et fiscaux similaires. Si l’un d’eux s’écarte des chemins battus, il devient suspect.

http://www.technologyreview.com/Infotech/20435/?nlid=947&a=f


« J’ai n’ai quand même pas vieilli de cinquante ans ! »

[ 20 Minutes, éditions du 06/12/2007 ]

Les témoignages restent anonymes. « Le wi-fi, c’est un vrai choix politique. Donc on dérange », expliquent les victimes. « Au début on s’est moqué de nous : « Contre le progrès ! » ; « Histoires de bonnes femmes ! » Et puis sans s’être concertés, on a appris qu’on était plein à souffrir », explique Evelyne. D’abord, « mal aux yeux, aux orbites ». « Ça dessèche, ça picote », témoigne Alain, qui enchaîne : « Les oreilles qui chauffent, comme un casque qui serre la tête, et qui part pendant le déjeuner et le week-end. »

Aline, quinze ans de métier, raconte : « Ça venait au bout d’une heure. Des nausées, mal au crâne. Des difficultés à rester en place. J’ai encore des vertiges alors que je n’en avais jamais eu. Et le samedi, je suis épuisée. On me dit que c’est l’âge. Mais je n’ai pas vieilli de cinquante ans en quatre mois. C’est effrayant. » Au printemps, Aline anticipera sa retraite. « Parce que la santé compte plus que le travail. »

http://www.20minutes.fr/article/199197/Paris-J-ai-n-ai-quand-meme-pas-vieilli-de-cinquante-ans.php