Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

La police américaine teste actuellement une nouvelle technologie de surveillance de véhicules plutôt intrusive. Le système Elsag EOC Plus, développé par la société Leonardo, peut scanner les voitures en mouvement pour détecter tous les appareils émettant un signal, des smartphones aux livres de bibliothèque équipés de puces RFID.

Ça permet en quelques secondes d’identifier les modèles exacts de téléphones et d’accessoires présents dans une voiture, suivre les animaux de compagnie grâce à leur puce, et même de savoir si le conducteur a emprunté le dernier Stephen King ! Les possibilités sont infinies, et un peu flippantes. Chaque appareil émet une signature électronique unique et en combinant ces signatures avec le numéro de plaque d’immatriculation, on obtient une véritable empreinte digitale du véhicule et de ses occupants. Un peu comme si on mettait une caméra dans votre bagnole pour savoir tout ce que vous trimballez.

ELSAG EOC Plus est donc un système de surveillance électronique qui combine donc les caméras de lecture de plaques d’immatriculation (LPR) avec une nouvelle technologie de capteurs pour aider la police à trouver des suspects grâce aux appareils qu’ils utilisent. Il corrèle les identités électroniques des appareils grand public, comme les téléphones mobiles et les trackers de fitness, avec les données LPR, via des horodatages communs, créant ainsi une empreinte électronique pour cet ensemble de données.

Bien que 30 voitures sur 100 puissent contenir des iPhones, une seule aura un iPhone 13rev2, une radio Audi, un casque Bose, une montre de sport Garmin, un localisateur de clés et la plaque d’immatriculation ABC-1234. l’appareil capture les fréquences des appareils émises dans l’air. Faible consolation, il ne capture pas le contenu des appareils ou leurs communications.

Il peut donc détecter les étiquettes RFID comme les cartes d’accès, les livres de bibliothèque, les étiquettes sur les produits, les émetteurs sur les palettes et les puces des animaux domestiques. Il capte aussi le Bluetooth des téléphones, des appareils électroniques portables et des casques. Enfin, il identifie les composants des véhicules comme les capteurs de pression des pneus, les capteurs de sécurité, ainsi que les systèmes d’info-divertissement et les points d’accès Wi-Fi des véhicules, des smartphones, des tablettes et des ordinateurs portables.

Évidemment, les défenseurs de la vie privée sont en mode panique car ils craignent, à juste titre, que cette technologie ne soit utilisée pour pister les gens sans mandat, en apprenant tout sur eux à partir de leurs objets connectés ou des livres qu’ils lisent. Mais Leonardo se veut rassurant (tu m’étonnes). Ils promettent de collaborer avec les forces de l’ordre pour respecter la loi et ne pas collecter trop de données sans autorisation. Mouais, j’ai déjà entendu ça quelque part…

C’est un peu comme si on mettait un IMSI-Catcher sous stéroïdes dans les voitures de patrouille sauf qu’au lieu d’aspirer les données des téléphones alentours, ça récupère toutes les infos des gadgets connectés (Wifi, Bluetooth, composants radio de la voiture) et tout ce qui contient une puce RFID. Allez, je vous mets une petite liste non exhaustive d’objets du quotidien qui peuvent contenir des puces RFID, histoire que vous réalisiez le délire de ce truc :

  • Cartes bancaires : Utilisées pour les paiements sans contact.
  • Passeports : Les passeports modernes contiennent souvent des puces RFID pour stocker des informations biométriques.
  • Badges d’accès : Utilisés pour entrer dans des bâtiments sécurisés.
  • Étiquettes de vêtements : Pour la gestion des stocks et la prévention du vol dans les magasins de détail.
  • Livres de bibliothèque : Pour le suivi et la gestion des emprunts.
  • Cartes de transport : Comme les cartes de métro ou de bus.
  • Étiquettes de bagages : Pour suivre les bagages dans les aéroports.
  • Étiquettes d’inventaire : Utilisées dans les entrepôts pour le suivi des produits.
  • Bracelets de festival ou de concert : Pour contrôler l’accès aux événements.
  • Étiquettes d’animaux de compagnie : Implantés pour identifier les animaux perdus.
  • Ordinateurs portables et autres équipements électroniques : Pour la gestion des actifs dans les entreprises.
  • Pneus de voiture : Certains pneus contiennent des puces RFID pour le suivi et la gestion des stocks.
  • Clés électroniques de voitures : Utilisées pour l’ouverture et le démarrage sans clé.
  • Produits pharmaceutiques : Pour lutter contre la contrefaçon et assurer la traçabilité.
  • Instruments médicaux : Pour suivre l’utilisation et la stérilisation.
  • Cartes de fidélité : Utilisées dans les magasins pour suivre les points de fidélité des clients.
  • Cartes d’identité d’étudiant : Pour l’accès aux bâtiments universitaires et autres services.
  • Tickets de ski : Pour le contrôle d’accès aux remontées mécaniques.
  • Objets de collection : Pour authentifier et suivre des objets de valeur.
  • Montres intelligentes et bracelets de fitness : Pour le suivi des activités et des paiements.

Bien sûr, l’entreprise nous explique que ce sera super car ça permettra de retrouver une voiture volée, par exemple, ou de localiser un suspect en cavale mais comme d’hab, c’est une question d’équilibre entre sécurité et liberté, et là, je pense qu’on n’y est pas. D’autant que les flics ne seraient pas les seuls à pouvoir utiliser ce système puisque son fabricant Leonardo voit encore plus loin, avec des clients potentiels dans les gares ou les centres commerciaux, ce qui permettrait d’augmenter la densité des capteurs à moindre coût car le lecteur de plaques d’immatriculation ne serait pas utile dans ce cas là.

Le système stocke ensuite toutes les données sur des serveurs où elles peuvent ensuite être interrogées et analysées pour aider les enquêteurs ou les marketeux… Comme ça on pourra savoir qui a le dernier iPhone ou qui a une carte de fidélité de Castorama rien qu’en scannant le parking !

Leonardo affirme également avoir plus de 4 000 clients pour ses lecteurs de plaques d’immatriculation Elsag à travers les États-Unis donc je vous laisse imaginer l’ampleur du système existant et la potentielle intégration de cette nouvelle technologie. D’autres technologies concurrentes, comme celles de Flock Safety, sont également déjà utilisées dans les centres commerciaux et alimentent directement les données aux agences de police.

Perso, je pense qu’il faut rester vigilants et pourquoi pas investir dans une bonne vieille cage de Faraday pour votre voiture…^^ Bah quoi, c’est toujours mieux que de retourner aux Nokia 3310 et aux K7 audio.

Source

@  — 

Windows XP sur un processeur i486, sérieux ? Hé oui, un programmeur allemand totalement barré a réussi à faire tourner ce bon vieux Windows XP SP3 sur un processeur Intel i486 pourtant aussi vieux que Mathusalem. On parle d’un ancêtre qui date quand même de la fin des années 80, une époque où j’étais encore frais 🙂

Ce modder de génie est donc parvenu à triturer les entrailles de XP directement en assembleur pour le rendre compatible avec ce CPU préhistorique. Mais attention, avant de vous lancer, sachez que le bidule ne parle que la langue de Goethe pour l’instant, et n’est pas sans bugs, ce qui risque de vous donner des sueurs froides…

Pour info, cette prouesse technique repose sur la modification de l’opcode cmpxchg8b, une instruction qui n’est pas supportée par le CPU 486. Le secret réside dans le remplacement de cet opcode par une série d’instructions compatibles avec ce processeur. Cela nécessite des compétences avancées en assembleur et en architecture CPU. Par exemple, réécrire des fonctions comme ExInterlockedFlushSList dans les fichiers système (ntoskrnl.exe et ntdll.dll) pour omettre cet opcode problématique et éviter les fameux BSOD (Blue Screen of Death) est une tâche titanesque, mais c’est ça la beauté du bidouillage !

Maintenant si l’allemand et le masochisme ne vous font pas peur, vous pouvez tenter l’expérience en allant choper l’ISO de ce XP frankensteinisé sur Archive.org. Ça peut être fun de ressusciter un vieux PC et de lui insuffler une nouvelle jeunesse, mais je vous aurais prévenus : gaffe aux backdoors et autres saloperies qui traînent sur ce genre d’OS préhistorique qui n’est plus mis à jour.

En bref, cette histoire de revival de Windows XP sur i486, c’est à la fois fascinant techniquement, et complètement perché. En tout cas, c’est rigolo 🙂

Source

@  — 

La Quadrature du Net a dégainé sa plus belle plume pour attaquer en justice le récent blocage de TikTok en Nouvelle-Calédonie. Comme vous le savez, notre cher gouvernement a décidé, dans sa grande sagesse, d’interdire purement et simplement l’accès à TikTok sur le Caillou. Et tout ça comme un grand, sans passer par la case « justice » ! Le motif invoqué est assez flou car sans preuve, mais selon leurs dires, la plateforme serait utilisée pour diffuser de la désinformation, alimentée par des pays étrangers et relayée par les émeutiers.

Sauf que voilà, pour nos preux défenseurs des libertés numériques, cette décision a autant de finesse qu’un troupeau de Panzer dans un champ de pâquerettes. La Quadrature du Net y voit en effet une atteinte grave et manifestement illégale à la sacro-sainte liberté d’expression. D’ailleurs, des réactions que j’ai pu voir, ceux qui connaissent bien Internet sont de cet avis. Bref, LQDN n’a pas l’intention de laisser passer ça !

Dans leur recours en référé-liberté, ils expliquent que le blocage total d’une plateforme aussi populaire que TikTok, c’est quasiment la même chose que si on interdisait d’un coup tous les kiosques à journaux. Une mesure radicale et disproportionnée, qui priverait les Calédoniens de leur droit fondamental de recevoir et de communiquer des informations. Même si ces infos consistent principalement en des ados qui se trémoussent sur la dernière chanson à la mode

Au-delà de l’aspect « gros marteau pour écraser une mouche », l’association pointe aussi du doigt le caractère pour le moins opaque de la décision gouvernementale. Pas de décret publié au Journal officiel, pas de communiqué de presse, nada ! Juste une annonce en mode « sous le manteau » du Premier ministre aux médias. Une approche qui fleure bon l’arbitraire et qui se contrefout des garde-fous démocratiques élémentaires.

Face à cette censure d’un nouveau genre, La Quadrature du Net sort donc l’artillerie lourde et invoque pêle-mêle la Déclaration des droits de l’Homme, la Convention européenne des droits de l’Homme et le Pacte international relatif aux droits civils et politiques. L’objectif ? Faire reconnaître par le juge l’illégalité manifeste de ce blocage et obtenir son annulation en urgence.

Mais les Quadraturiens ne s’arrêtent pas là ! Ils en profitent également pour épingler les dangers d’une loi vieille de presque 70 ans, celle de l’état d’urgence de 1955, qui permet au gouvernement de prendre des mesures restrictives des libertés sans aucun contrôle préalable du juge. Un super pouvoir qui fait saliver nos dirigeants mais qui fait froid dans le dos des gens qui aiment leur liberté.

Derrière ce recours se cache donc en réalité un combat plus vaste contre la tentation récurrente du pouvoir de museler Internet au nom de la lutte contre le terrorisme ou les troubles à l’ordre public. Une tendance lourde qui s’est accélérée ces dernières années, avec la multiplication des lois sécuritaires et des mesures de censure administrative. Pour La Quadrature du Net et tous ceux qui les soutiennent, il y a donc urgence à endiguer cette dérive liberticide avant qu’il ne soit trop tard !

Bien sûr, l’association ne se fait guère d’illusions sur le modèle toxique de TikTok, avec ses algorithmes opaques et son appétit gargantuesque pour les données personnelles mais elle refuse de laisser le gouvernement se servir de ce prétexte pour imposer sa vision d’un Internet sous surveillance, où les plateformes seraient à la botte de l’exécutif et où les internautes seraient présumés coupables.

En attaquant le blocage de TikTok, La Quadrature du Net mène donc une bataille supplémentaire pour défendre la liberté d’expression en ligne. Une liberté fragile et sans cesse menacée, qu’il faut défendre bec et ongles face aux sirènes de la censure étatique parce qu’un Internet libre et ouvert, c’est la garantie d’une démocratie vivante, et ça, ça n’a pas de prix !

Bref, je croise les doigts pour que le juge entende la voix de la raison et remette l’État à sa place, histoire de rappeler que même en période troublée, les libertés fondamentales ne sont pas une variable d’ajustement. Et que si on commence à accepter la censure pour TikTok, demain ce sera au tour de Snapchat, d’Instagram ou de Twitter et ça continuera petit à petit jusqu’à ce qu’il ne reste plus que la voix officielle du gouvernement… Vous connaissez la chanson.

Bref, encore merci à La Quadrature du Net pour sa détermination. Et je vous invite une fois de plus à les soutenir dans leur combat, parce que c’est aussi le nôtre ! N’hésitez pas à consulter leur site web pour en savoir plus et faire un don si le cœur vous en dit. C’est par ici !

@  — 

Des chercheurs viennent de pondre un nouvel algorithme révolutionnaire pour compter les éléments distincts dans un flux de données. Ça s’appelle le CVM et c’est super malin !

Imaginez un peu le truc, vous recevez des tonnes de données en continu, genre des milliards d’entrées, et vous voulez savoir combien y a d’éléments uniques là-dedans. Facile à dire mais pas évident à faire ! Parce que si vous essayez de tout stocker en mémoire pour comparer, bonjour la galère et l’explosion de RAM. C’est là que le CVM entre en scène !

Le principe est simple comme bonjour (enfin, quand on vous l’explique !). Au lieu de tout garder, on va échantillonner aléatoirement les données qui arrivent. Un peu comme quand vous piquez des frites dans l’assiette de votre pote pour goûter parce que vous, vous avez pris une salade. Sauf qu’ici, c’est un échantillon représentatif qu’on veut.

Concrètement, on conserve un petit sous-ensemble des éléments dans une mémoire limitée. Et quand ça déborde, on vire aléatoirement la moitié ! Hop, un petit coup de pile ou face et on libère de l’espace. Mais attention, c’est pas fini ! On repart pour un tour en ajustant la probabilité de garder un élément. Ainsi, à la fin, chaque rescapé a la même probabilité d’être là. Vous me suivez ? Non ? On s’en fiche, l’essentiel c’est que ça marche !

Les chercheurs qui ont inventé ça ont prouvé mathématiquement que leur bidule était précis et peu gourmand en mémoire. Genre vraiment précis, à quelques pourcents près. C’est dingue quand même, avec une poignée d’octets, on peut estimer des millions d’éléments distincts !

Et vous savez quoi ? L’algo est tellement simple qu’un étudiant pourrait l’implémenter. Pas besoin d’être un crack en maths ou en informatique, c’est à la portée de tous. Bon après, faut quand même en vouloir pour se fader les preuves théoriques. Mais ça ce n’est pas notre problème !

En gros, le CVM c’est une avancée notable, que ce soit pour analyser les logs, détecter des anomalies, mesurer une audience ou je ne sais quoi, il y a des tonnes d’applications. On nage en plein dans le Big Data !

Je peux déjà vous voir les data scientists qui me lisent, en train de vous frotter les mains et dégainer votre plus beau Python pour tester ce truc. Les entreprises vont pouvoir économiser des téraoctets de stockage et des heures de calcul, tout ça grâce à un petit algorithme simple mais efficace.

C’est quand même beau de voir comment avec une idée futée, on peut résoudre de grands problèmes. C’est encore une fois un bel exemple d’élégance algorithmique.

Bref, chapeau bas aux chercheurs de l’Institut Indien de Statistiques, de l’Université de Nebraska-Lincoln et de l’Université de Toronto qui ont pondu cette méthode de comptage. Les détails, c’est par ici que ça se passe : Computer Scientists Invent an Efficient New Way to Count

@  — 

Vous l’avez peut-être remarqué, mais ces derniers temps, les vulnérabilités dans les routeurs et autres équipements réseau se multiplient comme des petits pains. Et quand je dis petits pains, je parle plutôt du genre rassis et moisi qui traîne depuis des années dans un placard. C’est le cas de deux failles qui touchent les routeurs D-Link DIR-600 et DIR-605, qui viennent d’être ajoutées par la CISA à son catalogue des vulnérabilités activement exploitées par les pirates malveillants.

La première, CVE-2014-100005, permet à un attaquant de changer la configuration du routeur DIR-600 à distance, sans avoir besoin de se connecter. Comment ? Et bien grâce à une bonne vieille faille CSRF (Cross-Site Request Forgery), cette faille bien connue des années 2000 qui fait toujours des ravages en 2024. Il suffit que l’admin du routeur visite une page web piégée, et hop, l’attaquant peut faire ce qu’il veut de la config !

La deuxième, CVE-2021-40655, est une fuite d’informations dans l’interface web du DIR-605. En forgeant une requête HTTP POST vers la page « /getcfg.php », un petit malin peut récupérer en clair le nom d’utilisateur et le mot de passe de l’administrateur. Ça fait rêver, n’est-ce pas ?

La CISA précise que ces failles sont activement exploitées, mais ne donne pas plus de détails.

Le plus rigolo, c’est que la première faille date de 2014 et concerne un modèle qui n’est plus supporté depuis belle lurette. Donc si vous avez encore un DIR-600 qui traîne, il est plus que temps de le mettre à la retraite et de passer à un modèle plus récent. Pour la deuxième, pas de patch connu à ce jour, donc restez vigilants.

Mais ce n’est pas fini puisque d’autres chercheurs de SSD Secure Disclosure ont aussi trouvé des failles 0-day dans le routeur D-Link DIR-X4860. En combinant un contournement d’authentification et une injection de commande, un attaquant pourrait prendre le contrôle total de l’appareil, avec les privilèges root s’il vous plaît. Bref, le routeur est complètement compromis.

D-Link a été prévenu il y a un mois, mais n’a toujours pas réagi. Les détails techniques sont disponibles sur le blog de SSD, avec même un PoC prêt à l’emploi. La faille touche la version de firmware 1.04b03. Donc, si vous avez ce modèle, vérifiez votre version et espérez que D-Link réagisse rapidement et publie un correctif.

En attendant, la meilleure chose à faire est de garder son routeur à jour, de changer les mots de passe par défaut et de désactiver les fonctions dont on n’a pas besoin, comme l’accès à distance. Et pourquoi pas flasher son vieux routeur avec un firmware alternatif comme OpenWrt ou DD-WRT, qui sont généralement plus sûrs et plus à jour que les firmwares constructeurs ?

Allez, au boulot !

Source