Catégorie : Sécurité

Hacking stuff et sécurité

Publié le

Wawa-Mania est bien une organisation structurée de cyber délinquants

***NOTE : AVANT DE LIRE CE BILLETMERCI DE LIRE CELUI-CI ***

Soutenir Wawa-Mania c’est soutenir un échange bien commercial et non le partage !

Avertissement : Ce qui suit est une enquête menée en une nuit par fo0 et moi même. Ce billet est motivé par notre volonté de vous ouvrir les yeux sur une organisation qui vous manipule en jouant sur de nombreux tableaux. Nous allons ici vous démontrer que Wawa-Mania, ce n’est pas que Zac. Chaque lien posté ici est une source d’information ahurissante et nous espérons qu’après avoir lu ce billet, vous ferez particulièrement attention à ne pas vous engager dans cette organisation, ni à la soutenir.

Nous ne tolérons pas que Wawa-Mania soit érigé en symbole du partage de la culture après tout ce que nous avons trouvé

Je vous parlais il y a quelques heures à peine de Wawa-Mania et je vous faisais part de mes soupçons sur l’éthique de Zac et sa fine équipe. Nous avons maintenant un paquet d’éléments qui nous font penser que nous sommes bien face à une organisation de cyber délinquants. Vous allez voir, il y a de quoi faire, tout ce petit monde a laissé un paquet de traces sur le Net. On y apprendra en vrac que des administrateurs de Wawa-Mania livrent la guerre à d’autres boards à coup de DDoS, defacing, vol de bases de données, vol de codes AlloPass, trojaning, on nous renseigne sur les finances de l’organisation,  sur les stratégies que l’organisation compte mener … tout y passe !

Nous avons acquis la conviction que Wawa-Mania discrédite aussi bien la scène warez que les opposants au projet de loi liberticide qu’est HADOPI. Ne vous laissez donc plus manipuler, partez de cette base, enquêtez vous mêmes, faites vous votre propre opinion, dans la plus grande tradition de la culture hacker.

Il apparait à 90% sûr que plusieurs personnes se sont enrichies et manipulent les autres

ATTENTION : Notre enquête ne vise en AUCUN CAS A DECREDIBILISER LA LIGUE ODEBI, en revanche, ceci devrait la mettre en garde sur qui elle soutient. D’après les informations que nous avons pu  collecter, nous émettons une extrême prudence, nous ne parlerons donc, à propos de la ligue ODEBI, que de l’un de ses acteurs, A.B, collègue de Zac. Visiblement un acteur très informé et très bavard. Nous soupçonnons A.B de ne pas avoir tout raconté à la Ligue Odebi, ce qui expliquerait son soutien aveugle à cette organisation bien huilée, en clair A.B aurait manipulé la ligue Odebi. Au centre de cette organisation des boards de warez (très nombreux), et une association : l’ATILD.

Au coeur de nos investigations on retrouve systématiquement A.B alias Nawak, proche de Zac, membre très actif de la Ligue Odebi, et gérant de la société qui emploie Zac.

Autant vous le dire tout de suite, nous sommes tombés là dessus en une seule nuit, vous vous doutez bien que les autorités qui instruisent l’affaire doivent en avoir par gigaoctets !

Les petits dessous de Wawa-Mania

1° – Wawa-Mania en chiffres :

Pas compliqué d’y accéder, le forum est un fluxBB, un petit tour ici : http://forum.wawa-mania.ws/onlinestats.php

Et on découvre pas moins de 867 148 membres  et plus de 3 millions de posts  !

On apprend plus tard sur pastebin que ça représente 3 millions de pages vues par jour

Si 2% de ces personnes cliquent sur une pub (sans parler des pubs qui rémunèrent à l’affichage), ça nous fait quand même 60 000 clics par jour, ce qui nous donne à 5 ct le clic, la somme de 3000 euros par jour

Ce graphe est aussi très parlant, vous le trouverez ici :

2° – Un réseau très structuré

Un autre scoop, Wawa Mania, ce n’est pas un seul site actuellement fermé, mais des dizaines de boards, d’espaces de stream privatifs … c’est juste énorme ! En voici quelques uns :

  • http://www.wawa-coffee.net/ —> http://pastebin.com/wEqdQR8p
  • http://streamguims.com/
  • http://onedayonelink.com
  • http://www.lebardeswareziens.org
  • ..

… on retrouve souvent les mêmes personnes comme :

  • Adaur (que vous trouverez ici ouvertement avec son hébergeur causer warez, visiblement tout à fait complice et qui rassure même Adaur en lui disant qu’il a déjà reçu des demandes de retrait de contenu mais que comme le fichier n’est pas physiquement sur le serveur, on ne peut mener d’action),
  • Mesko
  • AcidTouch

3° – A.B est bien un organisateur et un meneur d’hommes

A.B n’est pas que président de l’ATILD, dirigeant d’ODEBI, gérant de la société qui embauche Zac, pote de Mesko sur lequel nous allons revenir, c’est aussi un véritable manager et un habile manipulateur comme en atteste ce mail qu’en super warezien, on colle évidemment sur pastebin (cliquez pour zoomer) :

Attention, on arrive maintenant dans le rock’nroll. Je vous invite à TOUT lire, les manipulations de la presse, les collaborations entre boards, les appels aux dons alors que les sommes collectées sont probablement quelque part à l’étranger …

… il y en a des pages entières et A.B sollicite les wareziens en leur demandant de contribuer financièrement ce qui est hallucinant quand on jette un oeil là dessus

Puis dans la manipulation médiatique on a du lourd, le NouvelObs et France2 seraient demandeurs de spectacle, « c’est donnant/donnant » explique A.B.

4° – Le staff de Wawa-Mania

Croyez le ou pas … mais tout est en ligne, sur PasteBin,

Voici toute l’équipe :

Les Administrateurs : JadJoud ,Kaejan, MelJer, macky410
Administrateur Graphique: rom’
Modératrice Graphique: Marinou7
Les modérateurs Généraux: antho , legend killer, shinozuke
Les modérateurs Spécialisés:

  • xxxxxxxxxx ===> Musique
  • TheLuneaire===> Films
  • kosukeatami7===> Gamez
  • shadows.shogun====> Informatique
  • alcazard====> Majeur XXX

Les Graphistes: Angedughetto, ashexen, BYSnake, Dio-fr, Gordonne94, Helhunter, Rikey, roro82, Sn!PeR, zlatkobsd


5° – Les talents cachés du staff de Wawa-Mania

Vous vous doutez bien que dans la « scène », les warl0rdz se livrent une guerre sans merci, à coup de Ddos et de defacing, là encore on en parle ouvertement, on logue, et on fait indexer tout ça par Google, c’est une tradition semble t-il dans ce petit groupe :

Puis rapidement, on tombe dans plus fun que le warez, encore sur pastebin, on confesse volontiers qu’on utilise des botnets et des trojans pour se débarrasser de la « concurrence » et là on est plus du tout dans le petit partage de fichiers entre amis:

6° – Wawa-Mania et le fric (encore et toujours)

Un membre de la ligue Odébi nous apprend dans cette très intéressante page que Zac a gagné 1000 euros par mois pendant 3 ans … soit 36 000 euros (et ce n’est que ce que A.B avoue à des personnes auxquelles il sollicite des dons)… un vrai mécène quoi. Mais le plus fun c’est qu’il a surement organisé son insolvabilité, son pognon est à l’étranger et la même personne nous apprend qu’il paye son avocat (un ténor du barreau comme décrit dans le reportage de France 2) avec ses petites économie… pauvre Zac !

 

21:14 < w-irc936> D'ou provient l'argent que zac utilise pour payer son avocat? Touche toujours de l'argent des pubs sur wawa?
21:14 <@aurelienboch> zac utilise de l'argent qu'il avait mis de coté
21:15 <@aurelienboch> il n'est plus le webmaster de wawa

21:15 < bot76> Mais le forum vivra-t-il encore après ce procès ?
21:15 <@aurelienboch> oui
21:15 < Benj973> Qui s'occupe de Wawa ?
21:15 <@aurelienboch> quoiqu'il arrive wawamania restera en ligne21:52 < MaGiiC> question peut etre inutile, mais que fais zac actuellement? que fait t'il au lieu de rester sur le chan ?
21:52 <@aurelienboch> zac est occupé par ses affaires perso, il essaye de passer du temps avec ses proches
21:52 <@aurelienboch> car il ne le pourra plus s'il va en prison

Contrairement à ce que des personnes de la Ligue Odebi soutenaient dans les commentaires de ce billet, Zac n’est visiblement pas à plaindre. La ligue a peut-être tout simplement été bernée.

 

21:30 < SheitaN> Ouais enfin quand même, WM c'est pas une petite board, dites pas le contraire, il doit pas se faire que 200e/mois hein.
21:30 < AcidTouch> +1
21:30 <@aurelienboch> pendant une période il a gagné un peu plus de 1000 euros par mois, ça a duré trois ans
21:32 <@aurelienboch> zac est inquiet, il me confiait hier qu'il se couchait tous les soirs avec la sensation qu'il serait en prison le lendemain
21:32 <@aurelienboch> mais le buzz créé par l'Atild lui donne confaince
21:33 <@aurelienboch> et aussi voir que les dons montent vite
21:33 <@aurelienboch> pour l'autre question
21:33 <@aurelienboch> zac n'a pas les sous

7°- Les régies publicitaires de Wawa-Mania

Je les ai tout simplement trouvé en regardant le source des pages HTML, en voici 3, il y en a surement d’autres :
  • Une en Israel :
http://xtendmedia.com/
Registrant:
Personal
26 Hamitpe Apartment 20
Shoham,  POB 2657
Israel
Administrative Contact:
DRUKER, OFER  [email protected]
Personal
26 Hamitpe Apartment 20
Shoham,  POB 2657
Israel
+1.00972545642113
  • Une aux USA
z5x.net
Registrant:
Domains by Proxy, Inc.
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
  • Et encore aux USA
http://www.zedo.com/
Registrant:
roy de souza
roy de souza
215 2nd street 3rd floor
san francisco, ca 94105
US
Phone: +1.8474911104
Email: [email protected]
8° Le pack presss
Voici un petit zip avec les PDF des discussions que nous avons trouvé (il y a de fortes chances que très vite elles disparaissent du net vu qu’elles proviennent d’un serveur web hébergé chez un particulier (coucou freebox).
9°- conclusion :

Cette enquête, réalisée à l’aide d’un simple navigateur, vous démontre comment des personnes peuvent vous manipuler et vous exploiter sur le Net en se faisant passer pour des défenseurs de vos libertés, alors qu’elles ne défendent en fait que leur porte-feuille. Les faits relatés ici devraient vous permettre de porter un regard avisé sur l’affaire Wawa-Mania et de ce qu’on a tenté de vous faire gober.
Ce billet est « sponsorisé » par
Google Cache, Pastebin, the irc network et les cafés grand mère
Bluetouff & fo0
Publié le

Les Google cars de Google Street view récupéraient des données qui passaient en clair sur les réseaux wifi

On a beau nous expliquer que ceci était accidentel, personnellement, je n’y crois pas un instant. Je ne sais pas si vous vous souvenez d’un billet dans lequel je m’inquietais de voir tourner une voiture autour d’une installation d’un réseau openmesh que j’avais déployé.

Il s’agissait d’une Google car, suréquipée (antenne wifi, gps, laptops embarqués). Cela laissait peu de doute, il y avait bien une cartographie wifi en cours.

Mais ce n’est pas tout, une simple cartographie n’aurait pas nécessité le curieux manège que j’ai pu observer. Les équipements que l’on pouvait observer sur les Google car à l’époque n’embarquaient pas de cameras Elphel utilisées pour Google Street View mais le parfait équipement du wardriver.

Et bien devinez quoi ? Google nous apprend aujourd’hui, que ces petites voitures auraient « accidentellement » collecté des données passant en clair sur les réseaux ouverts. Les Google car sniffaient les connexions et récupéraient les données qui transitaient en clair sur ces réseaux (pages web, texte, images, mais aussi mots de passe …). J’ai pu constater, pendant plusieurs jour, le manège de cette voiture qui s’arretait plusieurs minutes, tournaient autour de l’installation plusieurs fois. C’est pour cela que j’affirme que Google savait très bien qu’il collectait illégalement ces données, une simple cartographie n’aurait jamais nécessité de si fréquents arrêts. Ces stationnements attestent de la volonté de collecter des données, cela ne fait aucun doute en ce qui me concerne.

Je cherchais quelque chose à reprocher à Google, c’est aujourd’hui chose faite, cette société a employé des méthodes de voyous et a collecté soit disant accidentellement vos données personnelles.

Publié le

PES 2010 Jour 2 : Hacking GSM, Hacktivisme et Hacker space

Si vous n’étiez pas à la Cantine hier Pas Sage en Seine hier, vous avez raté des conférences géniales, comme celle de Fabrice Epelboin et Jean-Marc Manach qui en a laissé plus d’un sur les fesses, l’intarissable Benjamin Bayart, ou encore l’excellent Khorben qui nous remet son workshop aujourd’hui. Peut être avez vous pu vous connecter au stream pour les voir en live, si ce n’est pas le cas, il faudra prendre un peu votre mal en patience pour que nous mettions en ligne les plusieurs gigas de video de Pas Sage en Seine.

Aujourd’hui, la journée s’annonce aussi palpitante que celle d’hier avec en ce moment même un workshop de développement sur Android animé par Deubeuliou, la suite du workshop chiffrement SMS avec Khorben, Philippe Langlois et Guizmo qui viendront nous parler des Hacker Spaces, Jérémie Zimmerman et Benjamin Ooghe-Tabanou qui sont deux figures incontournables de l’hacktivisme et de la néo cyber citoyenneté, enfin c’est Kitetoa, pizza hacker since 1998, qui viendra nous retracer les évolutions de l’Internet.

Follow the black Rabbit

Publié le

Deux ou trois choses, comme ça … en vrac

Désolé si vous vous demandiez où j’étais passé, les derniers jours ont été sportifs, mais c’est pas pour ça qu’il ne s’est rien passé dans votre Internet quasi neutre. Je dois avouer que je me suis un peu volontairement retenu d’écrire suite à la dernière performance de la HADOPI où elle exposait ses plans pour fliquer Internet. C’est finalement pas plus mal, je pense que j’aurais perdu mon calme.

Il s’est d’abord passé que la Quadrature du Net et FDN ont déposé un recours devant le conseil d’Etat portant sur le traitement automatisé des données personnelles induites par le dispositif de la HADOPI. Plus exactement le décret 2010-236 publié au JO le 5 mars dernier sur lequel, l’avis de l’ARCEP, pourtant obligatoire, n’ a pas été demandé. Il s’agit d’un vice de forme assez conséquent dans lequel FDN s’est engouffré en sa qualité de fournisseur d’accès Internet. Comme quoi HADOPI, depuis le début, c’est n’importe quoi, tant sur la forme que sur le fond.

J’étais ce matin à la Cantine pour l’annonce du cru 2010 des Big Brother Arwards dont on fête cette année les 10 ans, le 29 mai pour un barcamp exceptionnel. Figurez vous que TMG et Thierry Lhermitte ont remporté un Big Brother Award dans la catégorie Entreprises Internet.

Enfin, ce weekend, c’est Pas Sage en Seine (n’hésitez pas à vous inscrire sur le site de la Cantine) édition 2010 que j’ai hacktivement préparé aux côtés de Bearstech (attention peinture fraiche). Le programme est venu s’enrichir de nouvelles performances de la HZV Team, Bugcore et Albertine Meunier. J’espère que vous serez nombreux à nous rejoindre dés le début des hostilités, par exemple à l’occasion de la conférence de Serge Humpich qui ouvre la Session de cette année.

Publié le

Pas Sage en Seine 2010 Co-Hacking Space : Le programme

Cette année, pour la seconde édition de Pas Sage en Seine, nous vous avons concocté un programme fort sympathique : hackers, artistes, hacktivistes et activistes, vous donnent rendez-vous à la Cantine du vendredi 14 au dimanche16 mai et vous invitent à venir découvrir leur hacktivités pas toujours très sages.

Vous y retrouverez cette année des intervenants qui vous parleront d’ouverture et de liberté sur des sujets pas forcément techniques mais toujours motivés par la passion comme Benjamin Bayart (FDN), Jérémie Zimmerman (La Quadrature du Net), Benjamin Roux (NosDéputés.fr), Jean-Marc Manach (Bug Brother), Serge Humpich (Bearstech), Kitetoa, Philippe Langlois (/TMP/LAB), Fabrice Epelboin (Read Write Web France), Guyzmo (La suite Logique), Sam Synack, Zitune (Hackable-Devices), Babozor (La Grotte du Barbu), Deubeuliou (Hackable:1), Paul Guermonprez (Intel Software), Fo0, Kazey, Khorben (Defora), Bluetouff (Bearstech / Toonux)…

Cette année, nous aborderons de nombreux thèmes comme le hacking hardware, l’hacktivisme politique, l’ouverture et la liberté numérique, les problématiques de filtrage et d’analyse du trafic Internet, Hackerspaces, Fablab… Le tout dans le cadre convivial de la Cantine, le co-working space qui se tranformera pour l’occasion en co-hacking space.

Les partenaires, Bearstech, La Cantine, Silicon Sentier, la Suite Logique, le /TMP/LAB et Toonux sont heureux de vous  présenter cette affiche exceptionnelle qui devrait encore de venir s’enrichir. Et si le coeur vous en dit, sachez qu’il est pas trop tard et que vous pouvez encore proposer d’intervenir.

Analyses et prédictions de séquences par la modélisation
  • Thème : Sécurité
  • Niveau : ☠☠☠☠
  • Intervenant : Sam_Synack
  • Description : Utilisation d’outils de modélisation en 3D pour la prédiction de séquences. Méthode avancée d’attaque et de filtrage par visualisation de trafic.
  • Statut : CONFIRME
  • Date : pending
Hackable devices
  • Thème : Hardware Hacking
  • Niveau : ☠☠
  • Intervenant : Zitune (Bearstech / Hackable:Devices)
  • Description : Le projet hackable-devices est né de la volonté de hackers de mettre à la disposition des autres hackers le matériel qui leur correspond. Beaucoup plus qu’une simple boutique en ligne, hackable-devices est une plateforme technique d’échanges autour du matériel et des appareils dont vous pouvez prendre le contrôle, que vous pouvez adapter, modifier, bidouiller ou améliorer.
  • Statut : CONFIRME
  • Date : Dimanche 16 à 16h00
DIY ISP : devenez votre propre fournisseur d’accès à Internet
  • Thème : Internet Propre
  • Niveau : ☠
  • Intervenant : Benjamin Bayart (FDN)
  • Description : Pourquoi et comment devenir votre propre fournisseur d’accès Internet
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 19h00
Développement Natif sur Android
  • Thème : Développement embarqué
  • Niveau : ☠☠☠☠
  • Intervenant : Deubeuliou (Bearstech / hackable:1)
  • Description : faites vous plaisir sur votre Android.
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 10H00
Meego : Développement pour SetTopBox, téléphones et Netbooks
  • Thème : Hardware hacking et développement
  • Niveau : ☠☠☠
  • Intervenant : Paul Guermonprez (Intel Software)
  • Description : Développer une application libre qui tourne à la fois sur des SetTopBox, des netbooks et votre téléphone, ça vous tente ? Découvrez Meego, la distribution linux pour processeurs Atom par Intel et Nokia.
  • Statut : CONFIRME
  • Date : pending
« Chérie, j’ai rooté la Télévision »
  • Thème : Hardware Hacking
  • Niveau : ☠☠
  • Intervenant : Serge Humpich (Bearstech)
  • Description : Bidouiller du matériel est un loisir très gratifiant et ludique.
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 11H00
« Dis papa, c’est quoi cet Internet ?
  • Thème : Internet propre
  • Niveau : ☠
  • Intervenant : Kitetoa
  • Description : Internet avant, en quoi il a évolué, pas forcément en bien, quels problèmes de sécurité ça pose, comment les éviter si possible, mythologie du Net, problèmes juridiques, virtualitude, P2P, vie privée, motif légitime, couteaux de cuisine, idées connes, droit à l’oubli…
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 18h00
Les Hackerspaces
  • Thème : Life Hackers
  • Intervenants : Philippe Langlois (/tmp/lab), Guyzmo (LaSuite Logique)
  • Niveau : ☠
  • Description : Hackerspaces, hacklabs, labo d’innovation indépendants, fablabs, incubateurs sociaux, bricolabs, société civile electronique. Une multitude de définitions existe pour ces espaces, et correspond à une variété de lieux physiques, d’activités, de buts et de modes de fonctionnements. Nous décrirons l’histoire ainsi que les différents exemples de hacklabs dans le monde et en France ainsi que leur role dans les grands débats actuels des TIC: neutralité du net, droit à la recherche libre en sécurité et ingénierie inverse, écoute des réseaux et protection contre les écoutes de toutes natures, réseaux peer to peer et défense contre leur « flicage », etc… Nous discuterons aussi des passerelles avec les autres domaines de la R&D, notamment avec les nouveaux paradigmes de l’éducation, de l’entrepreneuriat social (ONGs), de la recherche, de la fabrication locale (fablabs).
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 14h00
La Grotte du barbu
  • Thème : Casual hacking
  • Niveau : ☠☠☠
  • Intervenant : Babozor (La Grotte du Barbu)
  • Description : tournage à la Cantine d’une épisode de la Grotte du barbu
  • Statut : CONFIRME
  • Date : Dimanche 16 mai à 14h00
Hacking the law
  • Thème : hacktivisme
  • Niveau : ☠
  • Intervenants : Jérémie Zimmerman (La Quadrature du Net) / Benjamin Ooghe-Tabanou (aka Roux) (Nos Députés).
  • Description : une loi mal fichue, c’est comme un code percé
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 15H30
Atelier : The Seedfuckerz
  • Thème : blackhat
  • Intervenants : Kasey et fo0
  • Niveau : ☠☠☠☠
  • Description : Exploitation de BitTorrent avec Seedfuck, identification faiblesses de BitTorrent et problématique de la valeur légale de  l’adresse ip.
  • Statut : CONFIRME
  • Date : Dimanche 16 mai à 10h00

Confidences par SMS (et plus si affinités)

  • Thème : Crypto / GSM
  • Intervenants : Khorben (Defora)
  • Niveau : ☠☠☠☠
  • Description : Cet atelier propose l’implémentation de communications chiffrées sur réseau GSM, en commençant par les SMS. L’équivalent pour les communications vocales serait un plus, dont l’utilisation de l’Openmoko Freerunner en boitier dédié pourrait en faciliter la réalisation.
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 15h00
Anonymat, identités numériques et réseaux sociaux
  • Thème : privacy
  • Intervenant : Jean-Marc Manach (Bug Brother) / Fabrice Epelboin (Read Write Web France)
  • Niveau : ☠☠
  • Description : Anonymat, identité numérique, peut on encore aspirer à une vie privée quand on est présent sur les réseaux sociaux.
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 17h00
Salon Creative Commons
  • Thème : Droit / Propriété inetellectuelle
  • Niveau : ☠
  • Intervenant : Creative Commons
  • Description :
  • Statut : pending
  • Date : pending
Publié le

Réaction à l’interview de Michel Zumkeller : Seedfuck, c’est juste l’apéritif…

Une interview de Michel Zumkeller a aujourd’hui été publiée sur 01Net. Le député a récemment demandé au ministre de la culture, de s’expliquer sur un problème laissé en suspend depuis bientôt un an qui est le risque important de voir de nombreux innocents accusés à tort par la HADOPI d’avoir illégalement téléchargé des oeuvres. Le journaliste de 01Net titille un peu Michel Zumkeller sur Seedfuck et j’abonde dans la démarche de Michel Zumkeller qui sans éluder la menace pose son regard sur le problème de fond sans plonger dans la psychose des vilains pirates, c’est franchement tout à son honneur.

Les faits à propos de Seedfuck:

  • Seedfuck est un proof of concept et non un logiciel hostile (ce que ces successeurs pourraient devenir).
  • Seedfuck n’est que l’apéritif, l’INRIA a par exemple validé la thèse des attaques par scan DHT pour confondre des utilisateur du P2P derriere le réseau TOR, à n’en pas douter, cette attaque se retournera contre les sociétés mandatées part les majors. Peu de temps avant la publication de cette étude, j’en parlais d’ailleurs dans ce billet.
  • Seedfuck n’est pas une arme technique mais une arme psychologique qui est là pour rappeler la faiblesse de la seule adresse IP comme preuve : ça c’est le premier problème majeur.
  • Seedfuck pourrait très vite faire grimper substantiellement la facture de la collecte des adresses ip que le gouvernement souhaitait complètement automatisée, « comme avec des radarts sur une autoroute », sans l’intervention d’un juge pour ceux qui n’ont pas la mémoire courte. On s’est donc orienté vers des ordonnances pénales, ce qui est une manière détournée d’évacuer le problème.

Mais il y a bien pire que Seedfuck…

Si on peut trouver une parade à un proof of concept, il y a un adage, chez nous qui dit la chose suivante : « There Is No Patch To Human Stupidity »… on ne patch pas la bêtise. J’y ajouterai que patcher l’ignorance a un cout financier social et humain que la HADOPI (donc le contribuable) risque de sentir passer avec ce qui va suivre.

Je vous en ai longuement parlé dans ce livre blanc. Il s’agit du WiFi, aujourd’hui présent dans toutes les box des founisseurs d’accès à Internet, livré par activé par défaut de manière non sécurisé chez certains fournisseurs d’accès (comme Numéricable).

Chaque année, depuis 5 ans maintenant, je me fais une session de wardriving. Il s’agit de recencer les réseaux WiFi et d’observer le chiffrement qu’ils utilisent. Cette année, les chiffres n’ont pas évolués, près de 60% des réseaux sans fil que j’ai relevé peuvent être pus ou moins facilement crackés. Le fichier de dump contenant les noms des réseaux et les adresses mac des points d’accès, je ne sais pas si j’ai le droit de les diffuser publiquement, toutefois si vous êtes journaliste et que votre demande est motivée par le besoin de vérifier mes propos dans un but d’information je vous invite à m’en faire la demande. En voici un court extrait (le fichier comporte plus de 2000 points d’accès recensés (non crackés, je précise) :

L’étape suivante, que je ne pratique pas car elle ne m’intéresse pas, c’est de géolocaliser ces réseaux, il suffit de brancher un GPS sur la machine qui réalise le wardriving (tout comme Google lui même le fait). Et vous devinez la suite ?

Imaginez une carte Google, qui serait mise à jour par des milliers d’internautes et qui recenserait des réseaux WiFi avec

  • leur position exacte,
  • leur SSID (nom de réseau)
  • leur clef WEP ou WPA qu’une personne aurait déja cracké

Les logiciels de sniffing WiFi incluent déjà tout ce qu’il faut pour cette pratique, comme l’export du dump pour Google Earth ou la visualisation géolocalisée des réseaux :

Enfin, WiFi ou pas WiFi, avec plus de 90% du parc informatique sous Windows (et plus de 40% dans des versions obsolètes, crackées ou pas à jour), le délit de négligence caractérisée devient une présomption de culpabilité et il n’est toujours pas proposé aux internautes une défense équitable ni un moyen de sécurisation absolu … car il n’existe pas. Dans ces conditions je ne m’étonne pas un instant de n’avoir encore vu passer la moindre bribe de spécification du logiciel de sécurisation de Christine Albanel et voté dans HADOPI 2 (le « Anéfé réjeté, gogogadjeto’firewallopenoffice« , ça marche à l’Assemblée Nationale, mais dans la vie réelle, c’est une autre paire de manches). C’est bien là toute l’absurdité de la loi HADOPI que nous dénonçons depuis le début.

Les récentes et consternantes déclarations de Franck Riester sont la pour nous rappeler qu’HADOPI est une guerre perdue d’avance car la loi elle même, comme les personnes qui l’ont rédigé, ne connaissent pas leurs ennemis ni leurs alliés.

HADOPI était sourde dans l’Hémicycle, elle est aujourd’hui aveugle.

Publié le

BitTorrent: De Seedfuck à TMGKicker ?

Alors que le Net est toujours en ébullition autour de Seedfuck, ce petit proof of concept continue son bonhomme de chemin et intéresse des experts du P2P. Tout le monde s’accorde à dire que tuer les réseaux P2P n’est pas la bonne solution, du coup, la cible identifiée devient TMG, marquant ainsi une nouvelle étape dans la préparation de la cyber guerilla qui se profile et qui fait maintenant peu de doutes.

Un simple élément du protocole d’échange P2P Bittorent pourrait permettre le développement d’un nouveau proof of concept visant à éjecter du réseau les IP identifiées et surtout les paquets DHT issus des serveurs de TMG. Notez qu’il existe déja des serveurs de TMG qui diffusent de faux paquets DHT sur le réseau déclarant ainsi de fausses Inodes (leur permettant de récupérer les IP des gens qui s’y connectent).

Les amateurs apprécieront cette simple ligne de Python qui en dit long :

from BitTorrent.Rerequester import DHTRerequester

L’élement visé est donc la requête DHT, qui permettrait, dans certaines conditions d’éjecter du réseau BitTorrent par scans répétés. Même si TMG change rapidement d’IP, cette nouvelle méthode s’avère être un SPOF (Single Point of Failure) du dispositif de TMG. Tout semble indiquer que TMG a mis le premier le doigt dans un engrenage qui sera exploité et retourné contre lui.

Des outils comme Peerguardian pourraient donc se voir dotés de nouvelles fonctionnalités qui rendraient la vie bien plus compliquée à TMG. Les serveurs DHT se certifient entre eux et une création massive de serveurs DHT pourrait vite polluer l’écoute de TMG et même forcer au drop (une déconnexion sans ménagement) du réseau… et oui, il existe bien un début de proof of concept. Il ne s’agit encore que du début de la réponse des internautes partageurs à TMG, quand ces derniers auront clairement identifié les faiblesses de l’infrastructure de TMG, ils pourraient bien leur donner beaucoup de fil à retordre. En pratiquant comme on le soupçonne une pollution DHT/PeX (Peer Exchange), TMG a involontairement ouvert la porte à l’utilisation d’une arme qui risque de se retourner contre lui.

Source (for l33tz Hackers)

Publié le

Pas Sage en Seine 2010 : Call for Hacks

Pas Sage en Seine édition 2010, c’est un rendez-vous pour hackers, artistes, créateurs et amateurs, au sens large du terme, de la bidouille. Musiciens, plasticiens, électroniciens, programmeurs, hackers et hacktivistes exposent leurs activités au grand jour pour vous donner, vous aussi, l’envie de vous lancer dans un projet où la DIY et bidouillabilité sont les maîtres mots.

On y parlera Free Culture, Art Libre, sécurité, électronique, activisme, partage des connaissances, détournement d’utilisation d’objets ou de concepts dans le but d’innover, de rendre accessible et d’ouvrir de nouvelles portes.

Le Passage des Panorama à Paris et La Cantine se transformeront en CoHacking Space et accueilleront cette manifestation qui se tiendra du Vendredi 14 au Dimanche 16 mai. Des conférences et des ateliers s’y tiendront, vous pouvez vous faire une idée du programme toujours en cours de préparation ici :

http://www.passageenseine.org/pes-2010

Bidouilles software et Hardware, Android, Freerunner, Darknets, hacktivime, guerillas numériques … L’édition de 2010 de Pas Sage en Seine propose une variété de thèmes importante pour tous les niveaux, quelque soit votre domaine de prédilection.

Call For Hacks

Cet événement est totalement libre et ouvert, vous pouvez donc, si vous le désirez, venir partager avec nous vos propres bidouilles, rencontrer d’autres personnes pour faire progresser vos projets. Vous pouvez proposer des interventions via ce formulaire.

Les partenaires :
Publié le

blippy.com expose les données bancaires de ses clients

On pensait que les boulettes d’admins de ce genre étaient d’une époque révolue… mais non. Blippy est un réseau social sur lequel on partage des avis sur des achats, manque de bol, on partage aussi les données bancaires des membres. C’est un peu comme ce qu’on avait vu à une époque sur beaucoup de sites bancaires, sauf que là c’est 2.0 avec du social et de l’ajax dedans. Le point commun ? Des données des clients/membres sont accessibles sur le net, via un simple navigateur, dans le cache de Google (c’était encore le cas il y a quelques minutes).

Blipy est un réseau social se définissant comme par ces mots : « Blippy is a fun and easy way to see and discuss what everyone is buying. » soit comme « un moyen amusant est simple de voir et discuter de ce que tout le monde achète ». Aujourd’hui, suite une « petite boulette » expliquée ici, Blippy a laissé fuiter une poignée de numéros de cartes de crédit de ses membres ce qui nous donne à peu près ceci :

La petite boulette confessée par l’un des co-fondateurs a été nous assure t-on réparée suite à une intervention pour faire retirer ces résultats de recherche du cache de Google. C’est une mésaventure qui peut arriver à beaucoup de startups manipulant des données personnelles, et ce genre de petits incidents est également là pour nous rappeler l’intérêt d’organismes comme la CNIL ou les structures gouvernementales de veille comme l’ANSSI dont les rôles sont encore à la fois méconnus et peu valorisés au près de nombreux entrepreneurs du Net. Bref, rien de bien méchant, rien de bien grave, mais si ceci arrive pour un réseau social US qui en plus fonctionne pas trop mal, vous imaginez aisément le genre d’horreurs que l’on trouve sur le Net en France comme dans plein d’autres pays (non nous ne sommes pas les plus ridicules). Si l’acte d’achat sur le Net est aujourd’hui quelque chose de très courant en France, l’utilisation de certaines technologies non adaptées à l’informatique de confiance et quelques erreurs de conception font encore le bonheur de voleurs à la petite semaine qui n’hésitent pas à piller des victimes avec de simples requêtes sur des moteurs de recherche (et dans le domaine, Google est loin d’être le pire, Yahoo se montre souvent encore plus bavard).

Bonne chance à Blippy pour que ses membres oublient rapidement cet incident, le principe du site en lui même n’est pas mauvais et mérite que l’on s’y intéresse, on a vu des projets réussir avec des idées plus bêtes. En tout cas, Blippy a su communiquer de manière intelligente et agir promptement (et ça c’est nouveau, car en France, on a vu beaucoup d’entreprises comme Tati pour ne pas les citer) avoir une atitude bien plus stupide que Blippy pour tenter de justifier ce qu’il convient d’appeler depuis HADOPI, un « délit de négligence caractérisée« .

Merci à François pour l’info 😉

Publié le

HADOPI : TMG pourrait injecter votre propre adresse IP sur Emule

Bon là vous allez voir, on a touché le fond, ou quand les sociétés privées emploient des méthodes qui fricottent avec l’usurpation d’identité pour vous piéger.

Nous nous étions posé, la question de la légalité de l’injection d’IP spoofées avec l’outil Seedfuck.

Tout d’abord, il faut lire le troisième commentaire de cette page, il semble fort bien renseigné et argumenté, même si je dois avouer que je n’ai pas eu le temps de faire des recherches pour confirmer ces informations. Et je dois vous avouer que passer le fou rire, ça me fait quand même réfléchir.

Tout d’abord le four rire :

« Avec juste le serveur 85.159.232.81 dans emule, faite une recherche sur ‘( ‘ en type mp3 avec au moins 10 sources. (n’oubliez pas de désactiver kad). vous trouverez des fichiers, notamment pas mal concernant m. jackson. telechargez ces fichiers : vous constaterez environ 70 sources IP, dont 65 sont des ip artificiellement injectées, correspondant a des utilisateurs du bresil, du portugal, de pologne ou d’autre pays europeens. (environ 5-10 ip par pays). concernant la france, ces ip renvoient chez des clients wanadoo, free, dont certain sont ACTIFS ET EN LIGNE, MEME s’ils n’ont aucune connexion sur un reseau p2p … »

Là on parle bien de spoofer l’adresse IP d’un internaute qui n’a peut-être jamais mis les pieds sur un réseau P2P, ou qu’y s’y trouve et donc rencontre des problèmes de connexion puisque TMG usurpe son IP pour accéder au même service que lui ! Ainsi, un internaute téléchargeur, croisant sa propre adresse IP sur un réseau P2P pourrait engager des poursuites contre TMG si l’adresse IP était reconnue comme un élément de votre identité.

Ce qui nous amène directement à … Seedfuck.

Seedfuck fonctionne sur un principe différent pour des finalités différentes. Mais si TMG use bien de spoofing IP, on se demande ce qu’on reprochera aux internautes qui l’utilisent pour tromper TMG. D’ailleurs toujours sur Seedfuck, j’en profite pour vous signaler, que comme prévu, le code est en train de muter, il est passé en GPL (une version threadée en Python), et plusieurs variantes amusantes se trouvent sur Pastebin ou d’autres pasters.

Le plus triste là dedans c’est d’avoir raison … on assiste comme prévu à une course à l’armement, aux frontières de la légalité, de la part des uns et des autres. Tout ça à cause de quelques moines copistes de DVD…