Sécurité info - Page 22

Voilà pourquoi les firmwares devraient aussi être libres.

C'est vrai que ça corrigerait automagiquement tous les bugs ^^

ayé:

Coucou, voilà comment bricoler un IMSI-catcher à partir d'un portable sous Linux et une clé DVB-T cc @manhack @bortzmeyer https://t.co/kmItS0488K

— Veig Trebern (@torr_reor) July 17, 2017

Ayé quoi ?

ayé y'a des solutions "publiées" de imsi catcher diy

Je pensais que c'était déjà le cas... (Au passage, ce genre de trucs est interdit par le L. 226-5 du CP)

absolument. 226-5 je sais pas trop, mais la référence que j'oppose généralement aux would-be sniffers qui pensent que c'est pas interdit parce que c'est techniquement pas interdisable est l'article L226-15

(et en préliminaire, L226-3 qui pourrait du coup concerner les SDR si ca se fait trop: )

Est puni de cinq ans d'emprisonnement et de 300 000 € d'amende :

1° La fabrication, l'importation, la détention, l'exposition, l'offre, la location ou la vente d'appareils ou de dispositifs techniques de nature à permettre la réalisation d'opérations pouvant constituer l'infraction prévue par le second alinéa de l'article 226-15 ou qui, conçus pour la détection à distance des conversations, permettent de réaliser l'infraction prévue par l'article 226-1 ou ayant pour objet la captation de données informatiques prévue aux articles 706-102-1 et 706-102-2 du code de procédure pénale et L. 853-2 du code de la sécurité intérieure et figurant sur une liste dressée dans des conditions fixées par décret en Conseil d'Etat, lorsque ces faits sont commis, y compris par négligence, en l'absence d'autorisation ministérielle dont les conditions d'octroi sont fixées par ce même décret ou sans respecter les conditions fixées par cette autorisation ;

2° Le fait de réaliser une publicité en faveur d'un appareil ou d'un dispositif technique susceptible de permettre la réalisation des infractions prévues par l'article 226-1 et le second alinéa de l'article 226-15 lorsque cette publicité constitue une incitation à commettre cette infraction ou ayant pour objet la captation de données informatiques prévue aux articles 706-102-1 et 706-102-2 du code de procédure pénale et L. 853-2 du code de la sécurité intérieure lorsque cette publicité constitue une incitation à en faire un usage frauduleux.

L226-15:

Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45000 euros d'amende.

Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions.

mais le "de mauvaise foi" est important, et quand on garde strictement pour soi le résultat des interceptions il est difficile de prouver que l'action a eu lieu.

bref, ne pas se vanter de ses expériences est primordial.

plein de choses sont interdites dans qu'on puisse les bloquer matériellement (les excès de vitesse, par exemple).

Difficile? je dirais impossible

aussi oui.

squalyl (./637) :
bref, ne pas se vanter de ses expériences est primordial.

À ce moment-là, tu peux aussi interdire aux gens de révéler les failles de sécurité qu'ils ont trouvées, comme certains voudraient le faire...

On peut s'amuser à taper sur les personnes qui en parlent, mais c'est passer à côté du problème : les personnes qui utilise(ron)t ce genre de trucs, et qui se fichent pas mal de savoir si c'est légal.

Zerosquare (./641) :

squalyl (./637) :
bref, ne pas se vanter de ses expériences est primordial.

À ce moment-là, tu peux aussi interdire aux gens de révéler les failles de sécurité qu'ils ont trouvées, comme certains voudraient le faire...

Ça n'a rien à voir. Tu ne violes a priori aucune loi quand tu trouves une faille de sécurité (sauf bien sûr que tu joues à l'idiot en restant sciemment à un endroit interdit, et que tu récupères des données…).
Là, tu enfreints la loi, et ça n'apporte rien à personne.

flanker (./642) :
Tu ne violes a priori aucune loi quand tu trouves une faille de sécurité

Cas simple : tu tombes sur une URL qui contient un identifiant ou du SQL en clair. Tu les modifies pour voir si c'est possible de récupérer les infos d'un autre utilisateur.
Ben ça y est, tu as effectué un accès non autorisé à un système informatique, avec potentielle récupération de données auxquelles tu n'es pas censé avoir accès : c'est illégal.
Évidemment, rien ne dit que tu seras condamné, mais ça ne change pas le fond.

flanker (./642) :
Là, tu enfreints la loi, et ça n'apporte rien à personne.

Ben si, ça montre aux gens que ces informations sont récupérables avec un investissement très faible. Du point de vue de la sécurité, c'est important.

enfin on le sait deja que les imsi sont recuperables facilement

et un pote a reussi a faire marcher tout ca:

Ca marche chez moi :) pic.twitter.com/fb15rgB06O

— James L. (@Thaolia) July 18, 2017

je ne sais mais voici mon setup donc peut être bug mais je suis dans le Vexin donc probable pour les touristes :) pic.twitter.com/EwuBKlAC6j

— James L. (@Thaolia) July 18, 2017

Je vois surtout des geeks qui s'amusent, hein

Il ya une difference notable entre ecoute et faire un acces a une URL, l'un laisse des traces, pas l'autre :/

ne pas laisser de trace ne rend pas les choses moins illégales

exactement, dans l'absolu.

Peut-être, mais pour être condamné, il faut des preuves justement

ca oui. mais c'est comme les controles de vitesse, y'a que les radars qui te choppent, mais c'est pas moins illégal de rouler a 200kmh loin des radars

squalyl > arrête de faire joujou et de poster sur Twitter, alors

Tu remarqueras que je n'ai posté aucun résultat (vu que j'y suis pas arrivé )

Et si j'y étais arrivé, j'aurais pas posté un screen, moi.

https://www.theverge.com/2017/7/20/16003722/valve-one-up-security-exploit-hackers-ragdoll-source-sdk-vunerability

Heureusement, Folco n'est pas concerné : il ne perd jamais à CS:GO

Bien sûr, bien sûr

C'est original comme faille Je me demande si le choix de l'animation est volontaire ou si "par hasard" c'est la seule qui avait ce problème ^^

Je doit dire qu'il y a de l'idee, c'est un bon moyen de mettre la pression en compet!

Tu perds, ta machine est infecté par WannaCry, tu gagne, tu es safe!

Oui c'est une bonne methode, les gens ne vont vraiment pas vouloir perdre XD

(me suis posé la même question ^^)

(c'est quoi le fond de la question, je ne vois qu'un banal frag dans l'animation ^^)

Faille dangereuse dans Git, SVN et Mercurial :
http://blog.bitnami.com/2017/08/security-issue-cve-2017-1000117-git.html