244 liens privés
Quelles sont les différences techniques entre ces fameuses applications que je conseille pour protéger votre vie privée et/ou votre anonymat ?
Signal - Les précurseurs
Ils arrivent et fracassent techniquement le marché des communications en temps réel en sortant un protocole open-source réutilisable E2EE qui intègre des fonctionnalités avancées comme le Perfect Forward Secrecy, Double Ratchet, X3ECDH, Dénégation Plausible.
Ces technologies ne vous disent peut-être rien, donc je vais les expliquer rapidement.
E2EE, vous connaissez déjà, c'est l'acronyme de End to End Encryption.
Ça signifie que votre communication est chiffrée de bout en bout, aucun serveur ou fournisseur ne peut lire votre conversation, seuls l'émetteur et le récepteur du message. À l'inverse des emails, de vos DMs et des groupes Telegram.
En sachant que les conversations sont chiffrées avec des clés, la sécurité de ces clés est cruciale. Imaginons que toute votre conversation soit chiffrée avec une seule clé et qu'elle finisse par être récupérée par un attaquant, votre conversation sera déchiffrée et donc lisible par l'attaquant.
Pour réduire ce risque, Signal a intégré les notions de Perfect Forward Secrecy et l'algorithme de Double Ratchet. Cela permet d'avoir à chaque fois une nouvelle opération de chiffrement et donc de nouvelles clés pour chaque nouveau message envoyé/reçu. Si une des clés est récupérée, seul le message chiffré avec cette clé sera lisible, mais pas les anciens ni les nouveaux messages.
L'autre concept amené par Signal pour protéger votre vie privée, c'est la Dénégation Plausible ou Répudiation. Là où en sécurité nous sommes plutôt habitués à la non-répudiation, ici, c'est l'inverse qui s'applique.
En effet, la non-répudiation est très utile en sécurité pour permettre de certifier qu'un message a bien été envoyé par un certain interlocuteur et pas un autre.
Mais quand on veut protéger sa vie privée, on préfère que personne ne puisse certifier que nous sommes réellement l'auteur ou non d'un message. C'est là qu'intervient la Dénégation Plausible.
Elle permet de s'assurer techniquement que le message est bien de l'utilisateur et non d'un usurpateur, sans donner le pouvoir cryptographique au récepteur de prouver qu'un message provient de cet utilisateur. Ceci grâce à une signature différente pour chaque message envoyé.
Pour nous permettre d'avoir ces différentes protections et sur plusieurs équipements, les deux interlocuteurs doivent pouvoir s'échanger plusieurs clés (publiques, éphémères, partagées) avant la communication, via un canal non protégé, puisque pas encore chiffré de bout en bout. À cela s'ajoute la complexité que les utilisateurs ne sont pas forcément connectés en même temps au serveur.
C'est pour cela qu'existe le X3ECDH pour eXtended Triple Elliptic Curve Diffie Hellman.
Diffie Hellman (DH) est connu pour être le protocole d'échange de clés partagées sur un canal non protégé avant une communication chiffrée.
C'est là qu'Alice donne sa clé publique à Bob et inversement. C'est là aussi qu'ils décident des modalités de génération d'une clé partagée commune dérivée de leur clé privée respective. Ces fameuses modalités, qui auparavant n'étaient qu'un simple nombre premier et la racine primitive modulo ce nombre premier, sont maintenant remplacées par une courbe elliptique (EC) définie sur un corps fini.
On passera les détails, mais cette courbe permet de générer de plus petits nombres sans altérer la sécurité, et cela optimise les opérations d'échange de clés et de chiffrement/déchiffrement.
Ces avancées marquent un tournant dans les communications mobiles chiffrées, c'est pourquoi leur protocole est directement intégré à d'autres applications comme WhatsApp et Session.
Cependant, petit problème pour l'anonymat, Signal demande un numéro de téléphone pour s'inscrire. Ceci fâche la communauté anonyme qui, pour certains, va totalement boycotter l'application et pour d'autres, utiliser un numéro anonyme pour quand même profiter du protocole.
L'autre aspect qui refroidit la communauté, c'est la centralisation de leur plateforme. En effet, l'architecture de Signal repose sur la centralisation de ses serveurs qui, en plus, récoltent des informations comme l'adresse IP et des métadonnées sur les messages et contacts. Même si cela ne semble pas être leur business model, à la différence de WhatsApp, ils pourraient fournir ces informations.
Film de Robert Connolly · 1 h 30 min - 2012
Avant de devenir célèbre, avant Wikileaks, avant même qu'internet n'existe, Julian Assange était déjà un jeune hacker, vivant à Melbourne. En 1989, connu sous le pseudonyme de Mendax, Assange et deux amis formèrent un groupe appelé les « International Subversives ». Petits génies de l'informatique avec pour seul objectif de regarder sans voler, ils pénétrèrent dans la plupart des systèmes d'information des organisations les plus puissantes et les plus secrètes. Ils étaient jeunes et brillants et aux yeux du gouvernement américain, ils représentaient une menace pour la sécurité nationale...
Pourquoi des pirates informatiques polonais se sont introduits dans les trains
Il y a environ cinq ans, l'opérateur ferroviaire polonais Koleje Dolnośląskie (KD) a acheté 11 trains Impuls 45WE au fabricant national Newag. Après cinq ans d'utilisation intensive, il était temps de procéder à un entretien et à une maintenance : un processus plutôt complexe et coûteux qu'un train doit subir après avoir parcouru un million de kilomètres.
Afin de sélectionner un atelier pour l'entretien des trains, KD a lancé un appel d'offres. Newag figurait parmi les soumissionnaires, mais a perdu face à Serwis Pojazdów Szynowych (SPS), dont l'offre était nettement inférieure à la sienne.
Cependant, une fois l'entretien du premier train terminé, SPS s'est rendu compte qu'il ne démarrait plus, alors qu'il semblait en parfait état, tant sur le plan mécanique qu'électrique. Toutes sortes d'instruments de diagnostic ont révélé que le train ne présentait aucun défaut, et tous les mécaniciens et électriciens qui ont travaillé dessus étaient d'accord. Peu importe : le train ne démarrait tout simplement pas.
Peu de temps après, plusieurs autres trains réparés par SPS - ainsi qu'un autre transporté dans un autre atelier - se sont retrouvés dans le même état. C'est alors que SPS, après avoir tenté à plusieurs reprises de percer le mystère, a décidé de faire appel à une équipe de pirates informatiques (à la tête blanche).
La cabine du conducteur du train piraté par les chercheurs polonais
Intérieur de la cabine de conduite d'un des trains Newag Impuls qui ont fait l'objet de l'enquête. Source
Implants malveillants et portes dérobées du fabricant dans le micrologiciel du train
Les chercheurs ont passé plusieurs mois à faire de la rétro-ingénierie, à analyser et à comparer les microprogrammes des trains qui avaient été bloqués et de ceux qui fonctionnaient encore. Ils ont ainsi appris comment démarrer les trains mystérieusement en panne, tout en découvrant un certain nombre de mécanismes intéressants intégrés dans le code par les développeurs de logiciels de Newag.
Par exemple, ils ont découvert que l'un des systèmes informatiques des trains contenait un code qui vérifiait les coordonnées GPS. Si le train passait plus de 10 jours dans l'une des zones spécifiées, il ne démarrait plus. Quelles étaient ces zones ? Les coordonnées étaient associées à plusieurs ateliers de réparation tiers. Les propres ateliers de Newag figuraient également dans le code, mais le verrouillage des trains n'y était pas déclenché, ce qui signifie qu'ils étaient probablement utilisés à des fins de test.
Zones de verrouillage des trains définies par des coordonnées
Zones de la carte où les trains seraient verrouillés. Source
Un autre mécanisme du code immobilisait le train après avoir détecté que le numéro de série d'une des pièces avait changé (indiquant que cette pièce avait été remplacée). Pour remettre le train en marche, il fallait appuyer sur une combinaison prédéfinie de touches de l'ordinateur de bord dans la cabine du conducteur.
Un autre piège intéressant a été découvert à l'intérieur d'un des systèmes du train. Il signalait un dysfonctionnement du compresseur si le jour du mois en cours était le 21 ou une date ultérieure, si le mois était le 11 ou une date ultérieure et si l'année était 2021 ou une date ultérieure. Il s'est avéré que le mois de novembre 2021 était la date de maintenance prévue pour ce train en particulier. Le déclenchement a été miraculeusement évité parce que le train est parti en maintenance plus tôt que prévu et n'est revenu pour un service qu'en janvier 2022, le premier mois, qui est évidemment antérieur au 11.
Autre exemple : il a été constaté que l'un des trains contenait un dispositif marqué "UDP<->CAN Converter", qui était connecté à un modem GSM pour recevoir des informations sur l'état de la serrure de la part de l'ordinateur de bord.
Le mécanisme le plus fréquemment trouvé - et nous devons noter ici que chaque train avait un ensemble différent de mécanismes - était conçu pour verrouiller le train s'il restait stationné pendant un certain nombre de jours, ce qui signifiait la maintenance d'un train en service actif. Au total, Dragon Sector a examiné 30 trains Impuls exploités par KD et d'autres transporteurs ferroviaires. Il s'est avéré que 24 d'entre eux contenaient des implants malveillants.
Contenu du https://pastebin.com/VZmq5jKn
Documentaire GREAT BIG STORY :
https://www.youtube.com/playlist?list=PLk44WRCdTEuAfgtwClbW2iYLuOxEsHCT5
Youtube :
https://www.youtube.com/@NoxPopuli
https://www.youtube.com/watch?v=i4zWRrYZ5M4
https://www.youtube.com/watch?v=aZbGVhmOg2I
https://www.youtube.com/watch?v=gsn_HpF-VdA
https://www.youtube.com/watch?v=JpHzH3bWsKg
https://www.youtube.com/watch?v=I3bYm1aQbso
https://www.youtube.com/watch?v=vvk1R_SSpfA
https://www.youtube.com/watch?v=RatbYqc0-jE&t=355s
https://www.youtube.com/watch?v=lqL4rkWOmJw&t=256s
https://www.youtube.com/watch?v=HRYyhdTHraU&list=PLihKzqZU6q_XWpXNwxsfaw7Soi4rIfp7_&index=3&t=5s
https://www.youtube.com/watch?v=GanHp3XCYgg&list=PLihKzqZU6q_XWpXNwxsfaw7Soi4rIfp7_&index=4
https://www.youtube.com/watch?v=LdzSuKrTISc&t=1s
https://www.youtube.com/watch?v=lqL4rkWOmJw&t=256s
https://www.youtube.com/watch?v=Ua8iP5VOclQ&t=131s
https://www.youtube.com/watch?v=eDwZu4ZlT38
https://www.youtube.com/watch?v=lqL4rkWOmJw
https://www.youtube.com/watch?v=0TaYZp-mEGI&t=10s&pp=ygUUbWFyY3VzIHdhbm5lciBjaWNhZGE%3D
Sites :
https://web.archive.org/web/20210619204235/https://marcus.wanners.net/cicada3301/
https://therealsamizdat.com/2019/10/24/cicada-files-marcus-wanner-speaks/#more-8561
https://archive.org/details/rW1EjLjCrOuM5Ee
https://ctftime.org/event/8
https://ctftime.org/user/779
https://ctftime.org/team/3208
https://www.bibmath.net/quotidien/index.php?action=affiche&quoi=cigale
https://datascio.wordpress.com/2020/08/01/why-cicada-3301-consider-to-be-the-biggest-internet-mystery/
https://uncovering-cicada.fandom.com/wiki/PGP_Signed_Message_April_2017
https://www.boxentriq.com/code-breaking/cicada-3301-first-puzzle-walkthrough
https://www.fastcompany.com/3025785/meet-the-man-who-solved-the-mysterious-cicada-3301-puzzle
https://www.letemps.ch/economie/cyber/jeux-piste-linternet-parallele
netstat -a
ou aussi:
lsof -i
netcat un outil pour ouvrir des connexions tcp et udp, explorer les ports.
Thames Water fournit une grande partie des services d'eau essentiels aux personnes et aux entreprises. Cette entreprise est publique, ce qui signifie que non seulement elle fournit des services d'eau et d'assainissement à des millions de personnes, mais qu'elle permet également à de nombreuses personnes et entreprises d'investir grâce à son offre d'actions. Les entreprises comme celle-ci ont une grande responsabilité et nous les contactons pour leur dire qu'elles ont de très mauvais trous dans leurs systèmes. TOUS LES SYSTÈMES.
Nous avons passé des mois dans le système de l'entreprise et avons vu de première main des preuves de très mauvaises pratiques. Cette société est tout pour l'argent et ne fournit pas de service fiable. Il est préférable d'économiser une livre pour que la direction puisse faire des bonus et que le cours de l'action soit bon. Ils se sont perdus en se concentrant uniquement sur la finance.
Cl0p n'est pas une organisation politique et nous n'attaquons pas les infrastructures critiques ou les organisations de santé. Nous décidons de ne pas crypter cette entreprise, mais nous leur montrons que nous avons accès à plus de 5TB de données. Tous les systèmes, y compris SCADA et ces systèmes qui contrôlent les produits chimiques dans l'eau. Si vous êtes choqués, c'est bien.
Nous contactons la compagnie et disons que nous attendons de l'argent pour fournir des informations sur quoi, comment et quand afin qu'ils puissent réparer. Ils ne sont pas intéressés à réparer. Les personnes qui sont clientes de cette entreprise doivent réfléchir longuement avant d'utiliser leurs services. N'ayez pas peur de nous. Nous ne faisons rien. Mais les autres groupes qui essaieront ne seront pas aussi honnêtes que nous.
Lorsque le négociateur de l'entreprise est arrivé en ligne, nous avons vu qu'il ne s'intéressait qu'à gagner du temps. Ils ont également commencé à offrir des montants très bas, ce qui montre très simplement qu'ils ne mettent pas en valeur la qualité du service qu'ils fournissent. Il serait facile de changer la composition chimique de leur eau mais il est important de noter que nous ne sommes pas intéressés à causer du tort aux gens. Mais si l'entreprise choisit de ne pas payer, elle ne fera que jouer le jeu des médias et de la publicité, et nous savons tous que leur parole n'a aucune valeur. Tout ce qu'ils font pour sauver la face, mais après avoir fermé la porte, rien ne change.
Alors prenez cette plaisanterie de prix que vous offrez et gardez-la pour vos bonus. Les clients de cette entreprise doivent changer d'endroit pour s'approvisionner en eau. Si nous pouvons entrer par effraction, d'autres groupes le peuvent aussi et ils causeront des dommages parce que nous sommes le seul groupe honnête et fidèle à la parole donnée dans ce secteur.
Nous invitons les médias à nous contacter et nous vous fournirons un scoop sur cette entreprise et quelques faits intéressants sur les comportements malhonnêtes. Un contrat gouvernemental qui ne devrait pas l'être et un mauvais processus pour rendre l'eau potable. Les gens s'unissent et poursuivent cette entreprise. Si vous avez été malade dans le passé, et que vous êtes un client, il se peut que cette entreprise ait fait cela. Bientôt toutes les informations seront publiées pour montrer cette faute professionnelle.
Vendez toutes les actions avant l'effondrement.
Tenez votre institution responsable. Tenez votre personnel à un niveau plus élevé. Nous sommes la Cl0p. Si vous faites du tort, nous vous trouvons et vous aidons à réparer ou à vous faire réparer. La décision vous appartient.