Journal Les mails des eurodéputés ont été piratés par un hacker

Posté par  . Licence CC By‑SA.
25
21
nov.
2013

Mediapart publie un article (payant), racontant qu'ils ont rencontré un hacker qui a montré comment pirater l'accès aux boites mails de députés européens.
Il lui a suffi, pour cela, de se mettre à proximité desdits députés, d'activer le wifi de façon à ce que leur smartphone s'y connecte, et d'attendre que l'un d'entre eux cherche à se synchroniser, via l'appli Active Sync de Microsoft, le Parlement européen utilisant Microsoft Exchange pour héberger les boites mails des élus.
Là où c'est inquiétant, c'est que la faille se situe en partie dans l'interface homme-clavier : en effet, Active Sync affiche un message d'alerte lorsque la connexion n'est pas sûre (crainte d'un man-in-the-middle) mais qu'il suffit d'appuyer sur 'OK' pour forcer la synchronisation et, pour le hacker, de récupérer les précieuses informations de connexion.

Après l'affaire Snowden, c'est une nouvelle preuve que nos dirigeants (et leurs services informatiques) sont à mille lieues de ce qu'est la sécurité informatique !

  • # et les réactions des intéressés ?

    Posté par  . Évalué à 10.

    « mais c'est un scandale qu'un pedonazi pirate s'attaque à nos machinphones ! Il faut réguler le minitel internet »
    « p'tain on est trop con, quelles sont les solutions techniques pour éviter ça ? »

    à votre avis ?

    • [^] # Re: et les réactions des intéressés ?

      Posté par  . Évalué à 5.

      quelles sont les solutions techniques pour éviter ça

      Bah déjà ça dépend. Est-ce que les députés européens ont un smartphone « de travail » fourni par l'UE, auquel cas il devrait être aisé de bloquer la connexion vers n'importe quel réseau Wi-Fi, ou bien est-ce qu'ils utilisent leur terminal perso ? Dans ce dernier cas on pourra pas faire grand chose…

      • [^] # Re: et les réactions des intéressés ?

        Posté par  . Évalué à 4.

        Est-ce que les députés européens ont un smartphone « de travail » fourni par l'UE

        cela peut faire partie d'une solution technique envisagée plus haut…

        • [^] # Re: et les réactions des intéressés ?

          Posté par  . Évalué à 8. Dernière modification le 21 novembre 2013 à 11:54.

          complément… le canard enchainé a publié il y a 2-3 semaines un article sur le machinphone chiffré des ministres… qui n'est pratiquement pas utilisé :-(

          • [^] # Re: et les réactions des intéressés ?

            Posté par  (site web personnel) . Évalué à 3.

            Ils ont dit pourquoi ?

            "La première sécurité est la liberté"

            • [^] # Re: et les réactions des intéressés ?

              Posté par  (site web personnel) . Évalué à 9.

              Canard enchaîné du 30 oct :

              • article page 4 « Ces téléphones cryptés que le gouvernement méprise » : le téléphone sécurisé Teorem DGA/Thalès est boudé par les ministres (trop lent, sans carnet d'adresse, etc.). Pourtant l'ANSSI qui rappelle qu'« il est illusoire d'espérer atteindre un haut niveau de sécurité avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacré à son paramétrage ».
              • article dernière page « Cocorico crypté » : la France bombe le torse et explique que les infrastructures de télécom sont protégées des intrusions…
              • [^] # Re: et les réactions des intéressés ?

                Posté par  (site web personnel) . Évalué à 1.

                C'est tellement compliqué de prendre un Linux de smartphone et sécurisé la partie réseau et voix ?

                "La première sécurité est la liberté"

                • [^] # Re: et les réactions des intéressés ?

                  Posté par  (site web personnel) . Évalué à 10.

                  Tu veux dire changer les puces pour avoir des puces dans lesquelles on a confiance et changer les logiciels pour avoir des logiciels dans lesquels on a confiance et configurer tout bien partout avec ses propres certificats de crypto et autres ? Oui je pense que c'est compliqué.

                  • [^] # Re: et les réactions des intéressés ?

                    Posté par  (site web personnel) . Évalué à 1.

                    Les puces c'est des Soc ARM, c'est pas comme si tout les fabricants de Soc arm était à Sophia Antipolis, mais en fait si. En plus, on a 2 acteurs européens, ST et Infineon, qui font déjà des puces cryptés.

                    Je ne connais pas les puces ST ou Infineon, mais les puces TI avait un mode securité au-dessus de tous les autres pour faire les DRM. L'industriel français peut utiliser cela pour contrôler les soft peu sûr qu'il y aurait dans une distribution Linux.

                    Si ils n'ont pas assez confiance, ils peuvent toujours avoir leur propre puce réseau (qu'ils ont déjà), et le reste comme un téléphone classique. En france, on a wikio qui sait faire de l'Androïd classique.

                    "La première sécurité est la liberté"

                    • [^] # Re: et les réactions des intéressés ?

                      Posté par  . Évalué à 3.

                      En france, on a wikio qui sait faire de l'Androïd classique.

                      Si tu penses à Wiko, il semble que leurs téléphones soient largement de conception est-asiatique.

                      • [^] # Re: et les réactions des intéressés ?

                        Posté par  (site web personnel) . Évalué à 0.

                        Ils les font fabriqué là-bas. Mais je pensais surtout à leur compétence logiciel.

                        "La première sécurité est la liberté"

                        • [^] # Re: et les réactions des intéressés ?

                          Posté par  . Évalué à 3.

                          Donc en fait au lieu d'utiliser un téléphone spécifiquement conçu en France pour être sécurisé, tu proposes de réutiliser un téléphone pas spécialement conçu pour mais qui n'existe pas encore, et qu'il faut donc concevoir spécifiquement. Ça ne revient pas au même, au final ?

                          Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

                    • [^] # Re: et les réactions des intéressés ?

                      Posté par  . Évalué à 5.

                      Je suis peut-être sur le point d'apprendre quelque chose, ou alors c'est toi:
                      Pour moi Wikio c'est une boite qui rebadge et vend en France des téléphones conçus en Corée du Sud et fabriqués en Chine.

                      Aucune activité de conception en France (peut-être de la traduction logicielle au mieux?).

                      Je me trompe?

                • [^] # Re: et les réactions des intéressés ?

                  Posté par  (site web personnel) . Évalué à 1.

                  Ils ne se contentent peut-être pas de faire du VOIP encapsulé dans du SSL pour sécuriser tout ça…

                  • [^] # Re: et les réactions des intéressés ?

                    Posté par  (site web personnel) . Évalué à 2.

                    A mon avis, il font du VOIP mais avec leur propre algo de crypto. Donc soit, tout est fait en soft, et c'est un peu lent, et consommateur d'énergie. Soit, ils ont fait une puce dédiée, et cela coute chère.

                    "La première sécurité est la liberté"

              • [^] # Re: et les réactions des intéressés ?

                Posté par  . Évalué à 9.

                le téléphone sécurisé Teorem DGA/Thalès est boudé par les ministres (trop lent, sans carnet d'adresse, etc.)

                Qu'il soit plus lent (de chiffrer tout ça va déjà consommer des cycles CPU…), moins « design », je peux le comprendre. Par contre ne pas avoir de carnet d'adresse c'est vrai que ça fait tâche et on peut comprendre qu'il soit boudé :/

                • [^] # Re: et les réactions des intéressés ?

                  Posté par  . Évalué à 2.

                  j'ai souvenir d'un article la dessus qui donnait environ 40 secondes afin de pouvoir passer un simple appel.
                  je suppose qu'ils parlaient du temps mis entre l'appui de la touche appel et le signal d'appel chez le correspondant, mais c’était pas très clair

                • [^] # Re: et les réactions des intéressés ?

                  Posté par  . Évalué à 6.

                  Ouai, enfin on a encore oublié un truc tout con quand le téléphone et son cahier des charges de la mort sur la sécurité a été conçu:

                  Il faut qu'un mec ou une femme pressé(e) puisse s'en servir au quotidien comme n'importe quel téléphone!

                  Un truc qui rame à mort et qui n'a pas de carnet d'adresse en 2013 ne rentre pas dans cette catégorie.

                  Zut! On n'y avait pas pensé!

              • [^] # Re: et les réactions des intéressés ?

                Posté par  . Évalué à 2. Dernière modification le 22 novembre 2013 à 23:55.

                De toute façon, le système de chiffrement de ces téléphones étant propriétaire, on ne peut pas voir le contenu du logiciel de chiffrement et garantir qu'il n'y a pas de mouchard dedans.
                Si Thales veut y mettre un mouchard, il le peut et personne n'y verra rien.
                http://owni.fr/2012/12/06/la-police-contre-les-ecoutes/
                Kadhafi a été localisé par son téléphone, il n'était pas sécurisé ? http://www.tv5.org/cms/chaine-francophone/info/Les-dossiers-de-la-redaction/mediapart-sarkozy-kadhafi/p-23249-Mort-de-Kadhafi-un-dossier-explosif.htm

            • [^] # Re: et les réactions des intéressés ?

              Posté par  (Mastodon) . Évalué à 3.

              pourquoi ?

              Parce que touiteur est bloqué ?

      • [^] # Re: et les réactions des intéressés ?

        Posté par  (site web personnel) . Évalué à 10.

        On pourrait, je sais pas, leur expliquer que quand c'est écrit "attention cette connexion est potentiellement dangereuse, voulez-vous continuer" il faut réfléchir à 2 fois avant de cliquer sur OK ?

        Ou juste leur apprendre à lire en fait.

        Mais sinon on peut aussi déployer tout un arsenal technique pour protéger les gens de leur propre bêtise. Ça coûte plus cher, ça ne marche pas vraiment, mais c'est toujours étrangement la solution choisie.

        • [^] # Re: et les réactions des intéressés ?

          Posté par  . Évalué à 2.

          La solution technique serait en effet d'installer un mouchard sur les téléphones pour vérifier qu'ils ne se connectent qu'aux wifi qu'ils faut, et d'un autre vérifier quelles sont les machines qui se connectent sur des wifi via leur empreinte unique MAC®.

          La mise en place doit être simple et peu coûteuse vu qu'Apple® et Google® ont déjà participé à ce genre de scan massif à d'autres fins.

          Je suis même sur qu'on devrait pouvoir facilement trouver une app' pour ça.

          • [^] # Re: et les réactions des intéressés ?

            Posté par  . Évalué à 4.

            Pourquoi mettre un ® à MAC ?

            • [^] # Re: et les réactions des intéressés ?

              Posté par  . Évalué à 6.

              C'est pas le sigle pour dire qu'une technologie est fiable, sécurisée et qu'on sait de quoi on parle ?
              M'aurait on menti ?

              Mais j'apprécie ta remarque, au moins personne ne réagit sur le reste du texte… je suppose qu'on peut lancer le projet de loi !

              • [^] # Re: et les réactions des intéressés ?

                Posté par  . Évalué à 5.

                Haha :)

                Notons qu'une adresse MAC unique est liée à chaque interface réseau mais qu'on peut la « changer » (diffuser une autre adresse). Autrement dit si je connais une adresse MAC autorisée je peux me connecter avec n'importe quel matériel.

                • [^] # Re: et les réactions des intéressés ?

                  Posté par  . Évalué à 3.

                  J'ajouterais qu'il est de plus très difficile de trouver l'adresse mac d'un périphérique se connectant en wifi…
                  Ceci dit, j'ai plus regardé à ça depuis un bout de temps, ça a peut être évolué depuis
                  * espoir *

                  • [^] # Re: et les réactions des intéressés ?

                    Posté par  . Évalué à 3.

                    J'ajouterais qu'il est de plus très difficile de trouver l'adresse mac d'un périphérique se connectant en wifi…

                    Bof, un coup de airodump-ng et tu as les MAC de tout ce qui balance des ondes, connecté ou pas…

          • [^] # Re: et les réactions des intéressés ?

            Posté par  . Évalué à 2.

            La solution technique serait en effet d'installer un mouchard sur les téléphones pour vérifier qu'ils ne se connectent qu'aux wifi qu'ils faut, et d'un autre vérifier quelles sont les machines qui se connectent sur des wifi via leur empreinte unique MAC®.

            Pas besoin d'installer quoi que ce soit, il suffit de demander à la NSA.

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: et les réactions des intéressés ?

      Posté par  . Évalué à 3.

      J'imagine que ça dépend, sachant que parmi les Eurodéputés sont carrément anti Européen on peut pas forcément attendre d'eux qu'ils essayent de prendre ça au sérieux … (bon en même temps ils y sont jamais donc ça limite les risques :) )

    • [^] # Re: et les réactions des intéressés ?

      Posté par  . Évalué à 6. Dernière modification le 21 novembre 2013 à 23:29.

      Mediapart a publié des réactions, ça tape systématiquement à côté, mais certaines sont pas mal dans leur genre.

      « Ana Gomes, élue socialiste portugaise dont le compte a lui aussi été hacké, assure qu'elle n'est “pas étonnée. J'ai déjà été l'objet d'une attaque informatique, qui m'avait fait disparaître un document très sensible, sur une histoire de corruption. C'était en 2010 ; j'ai porté plainte, notamment auprès de la police portugaise, et le dossier a depuis été classé sans suite”.

      Celle-là devrait vous plaire :

      « Les Verts font valoir qu'ils n'ont cessé d'alerter sur les contrats noués ces dernières années entre le parlement européen et Microsoft, mais qu'ils n'ont jamais été écoutés dans leur plaidoyer pour le recours aux logiciels libres. »

      Il y a aussi le très classique, “faut du logiciel européen, et virer Microsoft”. Comme si l’incompétence des uns et des autres n’était pas universellement partagée…

      Mais la palme de la réponse idéologique revient à celle-ci :

      « “Sur le coup, je n'étais pas convaincue par [la présentation du responsable informatique]”, se souvient l'eurodéputée Sophie In't Veld, qui présidait la séance en question. “Désormais on a la preuve que tout cela ne fonctionne pas. C'est un classique pour une administration publique, qui réagit de manière trop bureaucratique, multipliant les procédures, en oubliant les questions politiques que cela pose.” »

      Toutefois, pour relativiser l’incompétence des députés : la responsabilité est partagée, c’est aussi le rôle des informaticiens de fournir un système fiable qui prend en compte les possibles défaillances et erreurs de leurs utilisateurs, et de mettre en place des systèmes de sécurité qui protègent l’utilisateur contre lui-même. Exemple (assez bidon) : la sécurité dans les voitures.

      « En cas de problème, et notamment de tentative d’intrusion, le téléphone affiche alors un message abscons, “sur lequel la plupart des gens appuient sur OK sans même l’avoir lu”, explique le hacker. »

      • [^] # Re: et les réactions des intéressés ?

        Posté par  (site web personnel) . Évalué à 3.

        Il y a aussi le très classique, “faut du logiciel européen, et virer Microsoft”. Comme si l’incompétence des uns et des autres n’était pas universellement partagée…

        Tu as raison mais l'intérêt d'un "Microsoft européen" n'est pas de faire des produits équivalents mais de meilleure qualité. L'objectif est de maitriser la technologie, l'aspect légal et l'approvisionnement tout en améliorant la balance commerciale.

        Le problème ici est que Microsoft est soumis aux lois américaines que l'Europe ne peut pas contrôler. Ainsi Microsoft peut collecter, revendre ou être forcé à donner des données à un organisme au détriment des entreprises européennes, faciliter l'espionnage industriel, etc. L'Europe peut faire pareil de son côté, mais au moins elle maitrise le processus pour s'adapter à ses besoins, ses lois. Et au moins, l'Europe en maitrisant sa technologie ne serait pas dépendante d'une bonne relation diplomatique avec les USA (qui ne peut être garantie à vie, ça peut déconner un jour) pour se fournir en logiciels.

  • # ssl / tls

    Posté par  . Évalué à 0.

    Active Sync n'utilise pas SSL / TLS pour protéger la communication ?

    • [^] # Re: ssl / tls

      Posté par  (site web personnel, Mastodon) . Évalué à 1.

      Sans doute, mais ça ne suffit pas: si SSL ne (re)connaît pas le certificat du serveur auquel il se connecte, ça fonctionne quand même (en tout cas OpenSSL fonctionne comme ça). C'est à l'application de vérifier le certificat, de voir s'il est bien signé par qui il faut (autorité tierce, ou autre chose), et si ce n'est pas le cas, prévenir l'utilisateur: "Attention, cette connexion n'est peut être pas sûre. Continuer quand même ?". C'est tout. Si on clique quand même sur continuer, ben, ça continue. Et comme le certificat est en fait celui du pirate, c'est lui qui reçoit toutes les infos, cryptées, mais c'est lui qui a envoyé la clé!

  • # exchange?

    Posté par  (site web personnel) . Évalué à 10.

    le Parlement européen utilisant Microsoft Exchange pour héberger les boites mails des élus

    Et après on se plaint de l'espionnage par la NSA…

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: exchange?

      Posté par  . Évalué à 6.

      Nan mais ça va pas durer hein! Ils se penchent sur la question et sont en pourparler avec plusieurs acteurs:
      -Google
      -Yahoo
      -la NSA (vu qu'à la fin ça ne changera rien, autant profiter directement de leurs compétences en sécurité pour se protéger "des autres")

    • [^] # Re: exchange?

      Posté par  (site web personnel) . Évalué à 5.

      Et après on se plaint de l'espionnage par la NSA…

      Le parlement européen, lui, il en a rien à cirer de l'espionnage par la NSA. L'intérêt des citoyens européens, c'est pas son problème …

      cf la quadrature du net :

      Malgré le rejet de l'accord commercial ACTA en 2012 et les mises en garde de la société civile, les membres du Parlement européen se sont exprimés en faveur du renforcement de la protection des droits d'auteur, des brevets et des marques dans le mandat autorisant la Commission européenne à négocier TAFTA. En outre, ils ne se sont pas opposés à la tenue de ces négociations dans l'opacité, et n'ont pas exigé leur suspension en réaction à l'espionnage par la NSA des négociateurs européens.

  • # typo

    Posté par  (site web personnel) . Évalué à 3.

    s/l'accès aux boites mails de députés européens/l'accès aux boites mails des assistants des députés européens

    :-)

    ウィズコロナ

  • # Bouuuuuuu

    Posté par  . Évalué à -10. Dernière modification le 22 novembre 2013 à 22:55.

    La honte koa…

    Puisque ces députés ne sont que des marionnettes, qui tire les ficelles ?

  • # Réponse des bergères au berger

    Posté par  . Évalué à 3.

    • [^] # Re: Réponse des bergères au berger

      Posté par  . Évalué à -2. Dernière modification le 25 novembre 2013 à 15:38.

      Pour cela, les écologistes, avec les pirates, ont toujours prôné l'utilisation de logiciels libres, c'est-à-dire qui n'appartiennent à personne, et open source, c'est-à-dire où les utilisateurs ont accès aux codes.

      Ça valait bien la peine que Wikipédia se décarcasse pour définir le logiciel libre et l'open source.

      • [^] # Re: Réponse des bergères au berger

        Posté par  . Évalué à 2.

        Par contre, j'aime bien la phrase de fin :

        On se boit un café un de ces quatre? Tu regardes nos agendas et tu bloques un créneau?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.