Hacking Team : l'arroseur arrosé

Jusqu’il y a quelques jours, le nom de Hacking Team était totalement inconnu du grand public. Si on vous en avait parlé, vous auriez sans doute cru qu’il s’agissait là d’une énième groupe de piratins de jeux vidéo. En fait, c’est largement pire.

hackingteam.png

Société italienne, basée à Milan, Hacking Team vend des solutions de surveillance aux gouvernements et forces de l’ordre à travers le monde. Et il y a quelques jours, ils se sont fait subtiliser 400 Go de données internes par des hackers : clients, mots de passe, documentation de leurs outils, du bon gros dossier.

Mais cette fuite a également permis au monde d’ouvrir les yeux sur le côté pour le moins discutable du business des “ennemis d’Internet”, comme les surnomment Reporters Sans Frontières, qui tentent désespérément d’attirer l’attention sur leurs pratiques depuis des années.

Ces “mercenaires numériques” (le surnom est encore de RSF) fournissent à des gouvernements répressifs les outils nécessaires pour espionner leurs concitoyens : spywares qui donnent accès aux caméras et micros des appareils, qui enregistrent conversations écrites et téléphoniques, surveillent surf et mail, bref tout y passe.

Parmi leurs clients, des gens bien sous tous rapports : le RAB (unité anti-terrorisme du Bengladesh, célèbre pour son affection particulière de la torture et du meurtre), le Soudan (pourtant sous embargo de l’ONU) ou encore le gouvernement Éthiopien qui aime bien utiliser ce genre de jouets pour surveiller les journalistes à travers le monde.

Et il n’y a pas que les méchants gouvernements répressifs qui font leurs courses chez HT : parmi les possesseurs de la carte de fidélité, on citera notamment le FBI, la DEA ou encore l’armée américaine. Businness is businness, hein. Pourquoi s’embêter d’une conscience quand son ablation permet de manger à tous les râteliers sans indigestion ?

Ah et si vous pensiez être à l’abri, réfléchissez-y à deux fois : parmi les cibles préférées d’HT, une jolie faille d’un habitué du genre, le player Flash d’Adobe.

Source : CSO et The Verge.

En même temps, avec un nom pareil…

Et ca rejoint ce que je dis toujours sur la sécurité réseau: la sécurité 100%, ça existe pas, donc il faut toujours considérer que tu vas te faire POWNED un jour. Ca simplifie plein de trucs en terme de logiciel secu kikoulol et ca permet de se focaliser sur les bases (mot de passe velus et backup qui roxxor)

LoneWolf
Tout pirate motivé et ayant du temps arrivera a péter votre serveur… Ça, c’est garanti a 100%

On sait quel groupe de hackers a réussi ce jolie coup? J’imagine que la  boite le sait mais que l’info est bien gardé.

[quote=“nothuman, post:3, topic: 56313”][/quote]

J’ai cherché l’info mais rien trouvé. A priori, ça n’a pas été revendiqué. On sait juste qu’ils ont aussi hacké GammaGroup, une autre société de cybersurveillance.

Les catchphrases sur leur page d’accueil sont assez hallucinantes je trouve.

Ah ben c’est joli: oui, oui, on comprend, mais nos clients ne sont que des « gentils »:
 
 
 

Since we founded Hacking Team, we have understood the power of our software in law enforcement and intelligence investigations. We also understand the potential for abuse of the surveillance technologies that we produce, and so we take a number of precautions to limit the potential for that abuse. We provide our software only to governments or government agencies. We do not sell products to individuals or private businesses. We do not sell products to governments or to countries blacklisted by the U.S., E.U., U.N., NATO or ASEAN

Edit: En fait toute la page :smiley:

[quote=“LoneWolf, post:2, topic: 56313”][/quote]

Sisi, ya des endroits ou ca existe encore, c’est compliqué, mais etre offline, ca marche en general pas mal.

Et encore, on l’a vu avec les centrales nucléaire, ça reste pas fool proof non plus. C’est juste beaucoup plus long et hasardeux.

[quote=“AnA-l, post:7, topic: 56313”][/quote]

Etre offline, dans une cage de faraday ;).

https://www.usenix.org/legacy/events/sec09/tech/full_papers/vuagnoux.pdf

[quote=« LoneWolf, post:2, topic: 56313 »][/quote]
Ca simplifie par forcément grand chose, ça veut surtout qu’il faut prévoir les mécanismes pour savoir rapidement qu’on s’est fait attaquer et pouvoir limiter les dégats ASAP.

C’est pas parce que je sais que ma porte sécurit va à peine ralentir les voleurs que je mets pas de porte. Par contre effectivement, il faut jamais oublier les bases. Si j’ai une super porte de la mort mais que la clef « super sécurisée » est posée dehors sur une table à côté de la porte, c’est un peu con. Et c’est ça que certains commencent enfin à comprendre, revenir à avoir une bonne politique de gestion de mot de passe + quelques outils associés pour aider, ça change pas mal de choses :slight_smile:

[quote=“Ellminster, post:10, topic: 56313”][/quote]

J’avais entendu à la radio une étude, d’un autre pays nordique je crois, relatant les habitudes des cambrioleurs aguéris qui se “confessaient” de bonnes grace. Genre ils étudient pendant plusieurs jours, ils vont direct au 1er…mais si une porte est ouverte pour une autre cible ils la préfèrent et abandonnent leur plan initial, et a contrario quand ça craint plus ils abandonnent.

Donc effectivement “C’est pas parce que je sais que ma porte sécurité va à peine ralentir les voleurs que je mets pas de porte.”

En hacking informatique il y a aussi je crois beaucoup d’ingénierie sociale comme ils l’appelent. (l’américain qui s’était fait coffré il y a plusieurs années pratiquait beaucoup cela.) Cela revient à l’image de laisser ses clés sur une table en vue.

quand tu vois nos joueurs continuer à répondre à du phishing dégueux 10 ans après la sortie du jeu tu te dis que le social ingeniring à toujours de l’avenir

[quote=“FrancisXV, post:12, topic: 56313”][/quote]
Je me suis toujours demandé si c’était faisable pour un acteur (genre Blizzard, au hasard), de faire des campagnes de sensibilisation au phising du type:

  • Envoyer un mail fraudauleux
  • Le couillon clique
  • Le couillon arrive sur une page “vous avez cliqué sur un mail de phishing, espèce de gros débile, maintenant tu sais à quoi ça ressemble un mail de phishing”

Parce que je me dis que c’est bien beau de dire aux gens de faire attention, mais vu qu’avec le vrai phishing, contrairement à pas mal de virus, tu ne sais pas que tu t’es fait avoir (ou alors bien plus tard).
Du coup, tu identifies pas forcément comment tu t’es fait avoir. Et en plus tu risque de te refaire avoir plus tard.

Je sais par contre que chez certaines banques, ils envoies parfois de tels mails, qui contactent l’équipe sécu si quelqu’un clique.

je pense pas que ca soit une bonne idée chez nous car : 

  • prendre tes clients pour des cons ils aiment pas (même si c’est avec humour et pour les aider a être plus alerte)
  • si on le fait et que ca marche, le prochain vrai phishing ils vont se dire : je peux cliquer ca soit être un autre test de Blizzard

Depuis le temps on en a vu des pas mal fait, avec en effet la connexion sur le mirroir qui te dit : c’est bon tu as réussi et tu vas recevoir ton cadeau dans les 12h, donc le client ne s’emmerde pas a attendre il croit que tout est ok

Mais bon quand je vois des tickets nous demandant si “wow-help-blizzard.cn” c’est nous tu te dis que la “pc academie” ca pourrait fonctionner 

[quote=« FrancisXV, post:14, topic: 56313 »][/quote]
j’ai une idée maquiavélique: vous mandatez un tiers pour faire le fishing. vous le payez pas, il se payera avec le pogon qu’il aura aspiré des mecs assez qui auront cliqué :stuck_out_tongue:

Pour être plus sérieux, même en étant averti c’est très dur de lutter contre, surtout quand c’est ciblé et customisé: si tu te prends un mail « de ton boss » en disant « on a une réunion super urgente dans 30 minutes, va récupérer ce rapport pour savoir de quoi ça parle », ben il y a de grandes chances que tu cliques avant de percuter que c’était pas une bonne idée …

Mais pour moi le phishing c’est comme la sécurité en général: il faut se protéger … mais apprendre aux gens à identifier qu’il se sont fait avoir et à alerter, c’est presque mieux. (et là dessus, c’est très rare que quoi que ce soit soit fait :(, Comme tu dis, c’est rarement faisable en fait).
Parce que dans l’absolu, si tu te fais avoir mais quand 5 minutes après tu commences à nettoyer et que tu changes tes mots de passes depuis une autre bécanne, ça va.

je fais de l’éducation familiale la dessus, genre passer la souris sur un lien avant de cliquer pour voir si c’est bien le site de la banque (et si oui bien vérifier dans la barre d’adresse après).

Et sinon si doute (et ca nos clients le font je trouve ca bien) contacter avec un numéro fiable la banque / impot / société et demander si le mail / message est legit

[quote=« FrancisXV, post:16, topic: 56313 »][/quote]
Oula surtout pas !
Perso ce que je leur ai appris c’est tu ne cliques JAMAIS sur un lien (en fait je leur fait pas assez confiance pour vérifier l’url :slight_smile: ). Si tu veux aller sur un truc depuis un mail, copier coller dans un navigateur.
C’est paradoxal mais je compte sur le fait que les phishers font leur boulot proprement et ne feront jamais un mail « bonjour, c’est le crédit léopard, cliquez sur le lien suivant pour recevoir l’héritage d’un prince nigérian: http://www.tu_es_un_pigeon.net ».
Jusqu’à présent ça marche pas mal: il y a juste une fois où j’ai eu un coup de fil « j’ai copié le lien mais ça marche pas », ce qui était plutôt une bonne nouvelle en fait :slight_smile:

certes mais sur le lien banque du client cliquez ici je suis un bel url sympa en passant la souris dessus sans cliquer tu vois que l’url est un fake

Il me semble que la moindre des courtoisies serait de mettre des vrais easter egg derrière vos fausses URL.
Tout se perd…

fixed !