Vous n'êtes pas identifié(e).
Transports: Le Navigo s'exporte en USB
Toujours sous étroite surveillance de la part de la CNIL, le Stif a lancé une phase de test sur un nouveau passe qui est aussi une clef USB.
Hors ligne
Le système actuel rendait difficile le trucage des données du pass : il faut avoir une machine avec le système RFID adéquate pour trafiquer les données. On va bientôt se marrer. Si un service web peut avoir accès aux données via le port usb, on devrait "facilement" faire un petit programme qui craque le système de protection des données. A quand les clés Navigo piratées avec date de validité et nombre de zones trafiqués ? Merci le Stif
Hors ligne
A quand un passe Navigo pour Elvis Presley ?
http://freeworld.thc.org/thc-epassport/
Certains l'ont bien fait pour le passeport "biométrique", pourtant réputé inviolable...
Hors ligne
Le système actuel rendait difficile le trucage des données du pass : il faut avoir une machine avec le système RFID adéquate pour trafiquer les données. On va bientôt se marrer. Si un service web peut avoir accès aux données via le port usb, on devrait "facilement" faire un petit programme qui craque le système de protection des données. A quand les clés Navigo piratées avec date de validité et nombre de zones trafiqués ? Merci le Stif
Bein voyons. Hormis quelques geeks, je met ma main a couper que personne ne reussira a filouter. Ce serait si simple si ce que tu dis était applicable...
Hors ligne
Une clef USB est le meilleur moyen d’installer secrètement un programme sur un ordinateur, auquel l’accès physique est autrement impossible.
Dès que la clef est branchée, un fichier se télécharge sur l’ordinateur, peut-être pour ouvrir une porte d’accès à ce dernier, ou voler et envoyer des données personnelles à un serveur, ou bien surveiller la nature des téléchargements ou encore des sites visités.
Cette méthode est à l’origine de nombreux hacks, et au plus haut niveau. Le plus souvent lors d’un sommet ou d’un conférence, un participant demande à un autre de bien vouloir lui imprimer les documents dont il a besoin pour sa présentation, et lui tend sa clef USB.
Aujourd’hui beaucoup d’institution se méfient de ces véritables clefs Passepartout, et certaines les interdisent !
Disons que cette initiative tombe à pic avec la loi HADOPI qui, sans un tel system de surveillance installer sur les ordinateurs des usager même, est totalement innaplicable, du fait de l’usage de VPN ou d’IP volées, ou tout simplement du trop grand nombre d’utilisateurs pour qu’une petite équipe dans un bureau puisse traiter tant de données manuellement.
La volonté du pouvoir de contrôler se que le peuple fait sur Internet est bien réel.
« Dit-il du mal de Sarkozy ? »
Dernière modification par Yomama (06-02-2010 11:22:19)
Hors ligne
Une clef USB est le meilleur moyen d’installer secrètement un programme sur un ordinateur, auquel l’accès physique est autrement impossible.
Dès que la clef est branchée, un fichier se télécharge sur l’ordinateur, peut-être pour ouvrir une porte d’accès à ce dernier, ou voler et envoyer des données personnelles à un serveur, ou bien surveiller la nature des téléchargements ou encore des sites visités.Cette méthode est à l’origine de nombreux hacks, et au plus haut niveau. Le plus souvent lors d’un sommet ou d’un conférence, un participant demande à un autre de bien vouloir lui imprimer les documents dont il a besoin pour sa présentation, et lui tend sa clef USB.
Aujourd’hui beaucoup d’institution se méfient de ces véritables clefs Passepartout, et certaines les interdisent !
Disons que cette initiative tombe à pic avec la loi HADOPI qui, sans un tel system de surveillance installer sur les ordinateurs des usager même, est totalement innaplicable, du fait de l’usage de VPN ou d’IP volées, ou tout simplement du trop grand nombre d’utilisateurs pour qu’une petite équipe dans un bureau puisse traiter tant de données manuellement.
La volonté du pouvoir de contrôler se que le peuple fait sur Internet est bien réel.
« Dit-il du mal de Sarkozy ? »
Mouais... Un système bien fait et équipé d'une sécurité raisonnable ne lance pas automatiquement tout les programme. Insérer une clef USB ne va donc rien installer sans votre permission (pop-up demandant la permission d'installer un truc). Après c'est à l'utilisateur de ne pas être trop bête. Mais ça on ne pourras jamais l'empécher.
Hors ligne
Mouais... Un système bien fait et équipé d'une sécurité raisonnable ne lance pas automatiquement tout les programme. Insérer une clef USB ne va donc rien installer sans votre permission (pop-up demandant la permission d'installer un truc). Après c'est à l'utilisateur de ne pas être trop bête. Mais ça on ne pourras jamais l'empécher.
Il y a de nombreux scripts très simples qui sont exécutés automatiquement et sans
pop-ups, permettant par exemple d’aspirer, en silence, tous les mots de passe d’un ordinateur et de les uploader sur un serveur. Les nouvelles clefs USB exploitant l’U3 sont particulièrement appréciées pour ce genre de numéro.
Je vous mets sur quelques pistes : «USB Switchblade » ou encore « Amish technique ».
Des approches similaires sont d’ailleurs utilisées par de nombreux périphériques, tout simplement pour rendre leur utilisation plus ergonomique.
Hors ligne
Le système actuel rendait difficile le trucage des données du pass : il faut avoir une machine avec le système RFID adéquate pour trafiquer les données. On va bientôt se marrer. Si un service web peut avoir accès aux données via le port usb, on devrait "facilement" faire un petit programme qui craque le système de protection des données. A quand les clés Navigo piratées avec date de validité et nombre de zones trafiqués ? Merci le Stif
Je ne sais pas trop ce qui est physiquement stocké sur le passe (google n'aide pas sur le coup), mais j'imagine qu'ils ont prévu de crypter les données stockées et transmises (à priori nom, prenom, date de validité des abonnements) ?
_____________________________
Knowledge is power. Help keep it free!
Hors ligne
Je vous mets sur quelques pistes : «USB Switchblade » ou encore « Amish technique ».
Très bon exemple. Ces système ne font qu'utilisé l'autorun pour lancer des taches invisibles qui récupèrent ensuite les informations.
Alors je sais que plus de 80% des utilisateurs ne désactive pas l'autorun et que du coup ça peut marcher. Mais dans le cas d'ordinateur professionnel et tout particulièrement dans le cas d'ordinateur appartenant à du personnel responsable du bon fonctionnement des organisme d'état (lors d'un sommet ou d'une conférence), il est irresponsable de ne pas un minimum faire réviser sa sécurité par un spécialiste.
Je répète donc ce que j'ai dit plus haut:
Un système bien fait et équipé d'une sécurité raisonnable ne lance pas automatiquement tout les programme
Hors ligne