J'étais récemment aux alentours de Dieppe (76), ceux qui n'ont pas quitté la carte des points d'accès de YouSpot des yeux n'ont pas manqué de voir apparaître des APs dans ces environs, et je suis tombé sur une clef USB entièrement détruite abandonnée sur un trottoir. N'étant pas dans un état très net (bien qu'il fut 14 heures du matin) je pris la clef USB et la rangeai dans la poche, pensant que cela pourrait être intéressant de l'analyser, "just for fun".
Remise en état de la clef
La clef USB était en assez bon état, mais son connecteur USB avait disparu, et je n'étais pas sûr de la fiabilité de l'électronique (peut-être trainaît-elle par terre depuis quelques jours ?). J'entrepris tout de même de souder un connecteur que j'avais en supplément (provenant d'une vieille clef USB cassée), afin de pouvoir tenter de lire quelque chose.
Une fois le connecteur soudé, j'ai connecté la clef sur mon ordinateur portable, en priant pour que la LED s'allume. Et Ô joie, elle clignota. Et elle fut reconnue par mon système: il s'agit d'une clef Kingston de 8Go (quand même !). J'eus vite fait de faire une image bit à bit (merci dd), mais la clef lacha à environ 90% du processus. Cela ne m'a pas empêché de monter l'image sur un périphérique de loopback, afin de pouvoir y accéder grâce à mon linux.
Récupération des fichiers
Lors d'analyses forensiques, l'emploi d'un seul outil de récupération est déconseillé. Je commençais donc par tester les outils disponibles sous Linux: testdisk et photorec. Le premier ne trouva rien (pas de partition récupérable), mais le second m'identifia plus de 700 fichiers multimédias, ainsi que du texte et des fichiers SWF. Parmi les fichiers multimédias, des vidéos de Resident Evil 3 (entrecoupées car le média était bien endommagé, cela devait provenir d'un fichier effacé), ainsi que des extraits de "Maman je m'occupe des méchants", c'est dire. Les données de texte révèlent des données EXIF, identifiant des photos datant de 2005 ! On y reviendra lors de l'analyse.
Je ressors ma version de FTK (d'Access Data), et lance une récupération des fichiers par "Data Carving" (une méthode permettant de reconstruire des fichiers à partir de morceaux identifiés dans des secteurs du disque) et celui-ci me trouve 78 photos au format JPEG. Je jette rapidement un oeil à ces photos: majoritairement des jeunes femmes entre 17 et 24 ans environ, pour certaines peu vêtues. Les données EXIF montrent qu'elles sont de sources hétéroclites (téléphone portable, source inconnue, etc ...). FTK n'a pas réussi à me trouver les fichiers vidéos identifiés par photorec, ni les données EXIF présentes dans l'espace libre du disque. Qu'à cela ne tienne, il m'a tout de même été utile pour les phases de recherche.
Analyse des informations récupérées
La pêche n'a pas été miraculeuse, mais devient cependant intéressante. Je continue de creuser avec FTK à l'aide de mots clefs ("hotmail", "live","msn","JFIF", ...) afin de localiser des informations de valeur. Et je tombe assez rapidement sur un ensemble d'adresse MSN, de personnes féminines d'après les noms (elles ont été floutées pour des raisons évidentes):
J'ai tout de même réussi à trouver trois adresses de courriel associées à trois compte MSN, qui semblent appartenir à un certain Régis, propriétaire d'un ordinateur (traces de C:UsersRégis... ) habitant Dieppe (d'ailleurs, si celui-ci se reconnaît, qu'il ne s'inquiète pas, je n'ai absolument rien fait des données stockées sur la clef). A partir de ces adresses et de son nom, je retrouve rapidement pas mal d'informations sur le net: des profils sur divers sites de rencontre/drague, voire même beaucoup de profils: pas moins de 6 profils différents sur Netlog, un profil Viadeo (très explicite par ailleurs), et des réponses postées à différents endroits du web. Et bien evidemment son compte Facebook, sinon ça n'aurait pas été drôle.
Les données concordent entre les différents profils (je vous passe les profils parallèles de Netlog ...), ce qui tend à croire que cette personne a bien plusieurs comptes, associés à plusieurs adresses emails. En fouillant un peu plus, je retrouve sa trace sur le mur d'une jeune fille, Lia.
Et je me rends compte assez rapidement que Régis aime les jeunes filles, et non pas les femmes de 34 ans (son âge), avec une préférence pour les filles métissées, voire blacks. En effet, parmi les 78 photos retrouvées par FTK, on remarque assez rapidement certaines qui attirent l'oeil:
Et je ne pus m'empêcher de penser que Régis avait récupéré ces photos de ses conversations MSN (le fait que les photos viennent de périphériques très différents amène rapidement cette hypothèse), et les conservait sur sa clef. Tiens, d'ailleurs, en parlant de Régis, celui-ci a aussi stocké des photos de lui:
On peut d'ailleurs remarquer que sur cette clef était stocké la photo qu'il a associé à un de ses profils Netlog, ce qui prouve encore plus l'identité de cette personne.
Ce qu'il faut retenir de ce cas d'école
Une clef USB c'est bien, c'est pratique, c'est parfois beau et amusant, mais les données stockées ne sont jamais complètement effacées. Alors, avant de jeter votre clef USB toute cassée et qui ne semble plus vouloir fonctionner, réfléchissez à deux fois: souhaitez-vous rendre accessible des informations personnelles ? Souhaitez-vous qu'un quidam qui trouve cette clef et fasse quelques recherches forensiques puissent vous identifier, et pourquoi pas vous faire chanter ? Non ? Alors faites comme moi, conservez vos vieilles clefs en lieu sûr :D. Et oui, mon bureau ressemble à rien, et j'entasse de plus en plus de choses inutiles ....
<article45|flattr>
J'ai lancé en beta-test via Twitter, il y a de cela un mois environ, l'application Youspot pour Android. Cette application est gratuite et sans publicité, et permet de «wardriver» ainsi que de centraliser les informations sur les points d'accès détectés.
Présentation de l'application Youspot
L'objectif premier de cette application est de fournir aux possesseurs de smartphones une alternative à a connexion 3G. En effet, il y a dans les villes de nombreux points d'accès ouverts, sur lesquels les connexions sont possibles et plus efficaces que la 3G. A l'heure où le trafic 3G est montré du doigt, le Wifi collaboratif peut devenir une alternative viable.
Les utilisateurs ont aussi la possibilité de recenser les points d'accès manuellement, via le site de l'application. Pour le moment, l'application et le site étant en version beta, il n'y a pas possibilité de retirer un point d'accès connu de la base de connaissances. Cette fonctionnalité devrait être implémentée rapidement.
Fonctionnement de Youspot
L'application Youspot, une fois installée sur un smartphone Android (version >= 1.5) scanne les réseaux sans-fils alentours, et les envoie dans la base de connaissances de Youspot. Celle-ci vérifie si les points d'accès sont connus, auquel cas elle retourne des informations complémentaires (clef d'authentification, si connue, etc ...). Aucune information privée n'est transmise, pas même la configuration des points d'accès enregistrés dans le smartphone, ni la localisation géographique, ou encore le numéro IMEI.
Les données collectées servent à générer deux graphes de statistiques, le premier proposant une synthèse du nombre de points d'accès par fournisseurs d'accès Internet, le second synthétisant la répartition des chiffrements employés par les points d'accès recensés. Une carte est aussi disponible (mise à jour différée), et permet de localiser des points d'accès ouverts ou accessibles, et ceux qui sont (a priori) correctement protégés. A ce jour, plus de 30 000 points d'accès ont été recensés par les beta-testeurs !
Chiffrement des points d'accès sans-fil
Il est assez effarant de voir que bon nombre de points d'accès utilisent encore le chiffrement WEP (29%), et même que 6,3% de ceux-ci sont (a priori) complètement ouverts. Seuls 18,8% des points d'accès utilisent le chiffrement WPA2. Le manque d'information et l'obsolescence des points d'accès (qui ne supportent pas WPA/WPA2 pour la grande majorité) sont des raisons plausibles pouvant expliquer ces constatations.
L'Hadopi a du souci à se faire, tout particulièrement en ce qui concerne la sécurisation des points d'accès sans-fil et des moyens de sécurisation. Les FAIs ont tenté de faire des efforts en ce qui concerne les modes de chiffrement par défaut, mais certains irréductibles continuent d'employer le chiffrement WEP (qui a dit que la Nintendo DS ne supportait pas WPA ?), pour moultes raisons.
<article44|flattr>
Mise à jour [16/02/2011] - TF1 a modifié son lecteur Flash et remplacé la méthode incriminée par une version propre, nommée "hasRedirect". La version du player analysée dans cet article était la 4.0.80, celle actuellement en place sur les sites de WAT et TF1 est désormais la 4.0.81 .
Article original du 13/02/2011:
Je me suis (encore) penché sur la sécurité des applications Flash, notamment à cause de la médiatisation du streaming et du tintouin que cela a causé vis-à-vis de l'Hadopi, en espérant trouver quelque-chose du côté de TF1 et M6 (ces deux sociétés ont misé il y a quelques années sur le streaming, avec leur service de "catch-up" TV).
Et j'ai trouvé un truc bien cocasse.
Le player flash de WAT + une méthode bizarre
La plateforme WAT est une plateforme de diffusion de vidéo, propriété de TF1 qui s'en sert aussi de socle pour la diffusion des vidéos de "catch-up", via le protocole RTMPE (pur streaming). Il n'y a donc plus de problème de fuites de vidéos au format FLV, comme j'ai pu l'aborder dans un pécédent post.
Cette plateforme s'articule autour d'un lecteur vidéo développé maison, et intégré notamment dans les sites de WAT (http://www.wat.fr) et de TF1 vidéos (http://videos.tf1.fr). C'est en plongeant les mains dans le code de ce lecteur maison que j'ai pu identifier une routine peu commune:
override public function get hasPiegeACouillon() : Boolean
*
if (isEmbedMode)
{
return PlayerDataManager.getInstance().flashVars.hasRedirect == "1";
*
return super.hasPiegeACouillon;
}
Et là je suis resté coincé entre le rire et l'étouffement. Je me suis ensuite demandé à quoi servait cette méthode particulière, car des fois on trouve ce genre de choses dans des objets Flash sans qu'elles soient réellement fonctionnelles.
Investigation
J'ai donc fouillé dans le code désassemblé, et j'ai pu identifier la référence à cette méthode:
case "BAR_CLICKED":
*
if (super.playerState.currentErrorType == PlayerState.ERROR_TYPE_RSYND)
{
PlayerUtil.openPage(PlayerContextManager.getInstance().currentContextRules.targetCouillon);
return;
*
if (PlayerContextManager.getInstance().currentContextName == PlayerContext.CONTEXT_PLAYER_PUB || PlayerContextManager.getInstance().currentContextRules.hasPiegeACouillon && !(super.playerDataManager.flashVars.playerType == "watPlayer" && super.playerState.currentMediaObject.media.visibleOnWAT != false))
*
if (PlayerContextManager.getInstance().currentContextName == PlayerContext.CONTEXT_PLAYER_PUB || super.playerDataManager.flashVars.playerType == "watPlayer" && super.playerState.currentMediaObject.media.visibleOnWAT != false || super.playerDataManager.flashVars.playerType == "tf1Player" && super.playerDataManager.flashVars.permalink != null)
{
PlayerUtil.openPage(PlayerContextManager.getInstance().currentContextRules.targetCouillon);
*
}
else if (super.playerState.currentPlayerState == PlayerState.CURRENT_PLAYER_STATE_WAITING)
*
super.playerState.currentPlayerState = PlayerState.CURRENT_PLAYER_STATE_PAUSING;
*
else
*
super.playerState.wishPlayerState = PlayerState.WISH_PLAYER_STATE_PLAY;
*
break;
}
Traduisez par: "Si un couillon clique sur la pub, alors on le redirige sur le site concernant la pub" (targetCouillon). On voit clairement que pour les développeurs, la pub est un simple piège à couillons.
Le mot de la fin
J'espère que cette bourde ne traduit pas une considération en place chez TF1, qui consiste à considérer les internautes comme des "couillons", parce que sinon ils sont bien mal partis. De plus, je pense sincèrement que les annonceurs de TF1 et de WAT apprécieront leur humour (ou pas).
<article43|flattr>