PIRATE PIRATE N06 inf rmatique inf rmatique SEPT/OCTOBRE102€ EXCLUSIF Wikileaks : quiSEULEMENT sont ses sources ? Comment elles transfèrent des données cryptées. Comment Wikileaks les protège. Le Pentagone veut leurs têtes.PRENEZ DANGERLE CONTRÔLED’UN ORDINATEUR petits guides du chimiste amateur : ils fabriquent deÀ DISTANCE ! la drogue sur internet ! HACKING Piratage de mobiles GSM : Ils savent où vous êtes et ce que vous faites Sécurisez votre clé USB Piratage de compte Facebook Modifiez votre voix au téléphone Tout savoir sur l'art de la sténographie100% MOTS DE PASSE, ANONYMAT, CRACKS, BEL : 3 € - DOM : 3,90 € - CAN : 5,95 $ cad - POL/S : 650 CFP BASES DE DONNÉES, IPAD,INFOS GOOGLE, PROTECTION, JAILBREAK,0% INTOX ! SOCIAL ENGINEERING, WI-FI...
Pirate informatique#6 - Sept/Oct 2010, une publication du groupe ID PRESSE (www.idpresse.com) - Directeur de la publication : David Côme - Rédacteur en chef : Benoît Bailleul - Collaborateur : Damien Bancal ,Michaël Couvret. PIRATE 100% LIBRE Copyright, tous droits réservés, textes et images ID Presse - Imprimé en Espagne / Printed in Spain par : Rotimpres S.A.Pla De L'estany S/N 17181 Aiguaviva (GIRONA)/ Distribution : MLP / Dépôt légal : à parution / Commission paritaire : en cours / ISSN : 1969-8631 - \"Pirate informatique\" est édité par SARL ID Presse, 27 bd Charles Moretti, 13014 Marseille. / RCS : Marseille 491 497 665. / Parution : 6 numéros par an. inf rmatique PAGE 08-09 PAGES 16-17 La Chine s'éveille ! Les nouveaux Entre l'Empire du Milieu et outils pour pirater Google, rien de va plus ? les bases de données PAGES 10-11 PAGES 20 Le Social Engineering Ils fabriquent de ou l'art de la la drogue ! Protégez vos tromperie. Les sites qui clés USB ! Obtenez des donnent les informations sans PAGES 21 toucher d'ordinateur ! «recettes»... Les zones sensibles PAGES 12-13 de votre Facebook ATTENTION AUX GSM : PAGE 19 Nos MICRO-FICHES : VOUS ÊTES FLIQUÉS ! Les meilleures WIKILEAKS : astuces de la PAGE 14-15 rédaction ! la liberté d'expression en danger ? PAGES 22-23 PAGES 26-27 L'art de dissimuler Prise de contrôle des informations : à distance : la stéganographie. quand se déplacer ne PAGES 24-25 sert à rien ! Moduler sa voix : c'est PAGES 28-29 possible et sa peut rapporter gros...
HacktualitÉS EN BREF13 millions StarCraft II gratuit ?de PC zombieorphelins Douze ans après la sortie du premier volet, StarCraft II est en quelquesL e «créateur» du gigantesque botnet semaines devenu un blockbuster que Mariposa a été arrêté ! Il s'agissait d'un les utilisateurs de PC attendaient de Slovène de 23 ans qui, non content d'avoir pied ferme. Il n'en fallait pas plus pour créé ce gigantesque réseau de PC zombie, que des petits malins exploitent ce phénomène. Attention donc vendait aussi une aux emails qui circulent actuellement et dont le but est de mettre solution clé en la main sur le compte Battle.net des joueurs. Ce phishing envoyé main pour que ses depuis une adresse du type «@blizzard.review.com» propose une «clients» puissent clé gratuite à tout possesseur d'un compte Battle.net. Quoique en faire de même. très ciblé, ce piège devrait tout de même faire des victimes. Fort de 13 mil- Prudence… lions de machines contaminées, Vi4gr4 ch3r & p4s b0n… Mariposa a servi à pirater Selon le magazine Test-Achats, la moitié des médicaments des cartes ban- vendu sur Internet sont contrefaits ! Pire encore puisque caires et des comptes en ligne de 500 grandes dans un récent communiqué, le site indique qu'ils sont plus chers entreprises et 40 banques. Maintenant que que dans les pharmacies. Pour réalisé son test, le magazine «Iserdo» est sous les verrous, Mariposa devrait a commandé sur différents sites trois médicaments délivrés disparaître puisqu'il lui est impossible de uniquement sur ordonnance : le Xenical (pour la perte de poids), mettre son logiciel à jour. La tâche est cepen- le Tramadol (analgésique) et le Viagra (qu'on ne présente plus). dant énorme puisque la plupart du temps les Lors de la commande, les sites demandent à ce que le «patient» utilisateurs débutants ignorent que leur ma- remplisse un formulaire médical et à chaque fois les testeurs chine est infectée… inséraient une affection incompatible avec la commande (personne cardiaque qui commande du Viagra, par exemple). Or sur les 16 commandes passées, 11 ont été acceptées et seulement 9 ont été livrées (dont 2 sans notice et sans la boîte d'origine). En moyenne, le prix des médicaments commandés est 34,5 % plus cher qu'en pharmacie.Ils font le bonheur des prosCaméras cachées, micros invisibles… Désormais, grâce à Internet, le matériel d'espionnage professionnel est exposé àla convoitise de tous. James Bond, François Mitterrand et Richard Nixon les auraient réclamés !Porte-clés caméra Micro discretDisponible en version 4 et 8 Go, cette caméra enregis- De la taille d'une clé USB, cet enregistreur audiotre le son et la vidéo d'une simple pression de bouton. numérique permet d'espionner sans se faire re-Se dissimulant sous des airs de porte-clés, il est possi- marquer. Doté d'une fonction d'enregistrementble de la laisser dans une pièce en votre absence ou la directe par simple pression d'un bouton, l'appareilgarder en main. Il est possible de paramétrer l'appareil est aussi doté de nombreuses fonctions qui le rendpour qu'il prenne des photographies à intervalle ré- polyvalent : trois modes de qualité audio différents,gulier. Pas de problème pour récupérer les données activation vocale pour enregistrer seulement quand il y a une conversation dans la pièce où vous l'avez placé, micro interne et puisque vous pourrez le micro cravate, réduction du bruit ambiant, etc. Sa mémoire interne de 2 Go connecter sur un simple permet de stocker jusqu'à 560 heures d'enregistrements. port USB… Prix : 149 € Prix : 49 € www.espion-on-line.com www.top-espion.com 4
EN BREF HacktualitÉSWi Robin, paré Jail-à cracker ! break facile !Nous vous avions déjà parlé du WiFi-Box, un dispositif Depuis la légalisation du déblocage des téléphones parvenu de Malaisie qui permettait les États-Unis, les choses semblent s'accélérer du côté«d'emprunter» la connexion du des logiciels de jailbreaking. Dorénavant, il existe même unvoisin grâce à l'application Back- service uniquement disponible en ligne. Compatible avecTrack. À la fois utilisé pour pirater les les appareils tournant sous iOS 4 (iPhone, réseaux Wi-Fi mal protégés et éviter de tomber dans iPad et iPod Touch), JailBreakMe ne les mailles du filet HADOPI, ce genre d'appareil fait des nécessite pas d'ordinateur émules puisque depuis peu de temps, la société espa- pour procéder à cette gnole WifiRobin propose un boîtier embarquant direc- manipulation (qui tement le logiciel qui permet d'analyser et de cracker consiste en fait à les clés de chiffrement. Doté d'une antenne surpuis- pouvoir installer des applications non signées). sante (5 dBi au lieu de 2 dBi pour la WiFi-Box), ce Il suffit de se connecter à WifiRobin détecte un grand nombre de réseaux Wi-Fi www.jailbreakme.com depuis dans un rayon de 2 kilomètres et permet de contour- son téléphone. Comme son grand ner en vingt minutes les protections WEP (64, 128 frère, JailBreakMe exploite une et 152 bits), WPA 802.1X, TKIP et AES. Le taux de faille d'iOS par l'intermédiaire du transfert est de 54 Mbps, l'appareil est auto-alimenté navigateur Safari. Attention, si vous par port USB et est bien sûr compatible avec tous les tentez une telle opération Windows ainsi que les Mac et Linux. Pour la modique veillez à bien sauvegarder somme de 120 €, vous pourrez donc vous amuser à vos données… tester la connexion de vos chers voisins. Attention, ce genre de sport peut vous attirer des ennuis : 30 000 € d'amende et 2 ans de prison si le voisin en question n'est pas au courant…À la trace Access deniedVoici un enregistreur de position GPS très Appelée Pledge, cette poignée de porte intègre un verroucompact (47x38x13 mm) très facile à utiliser. avec lecteur d'empreintes digitales. Ce solide petit systèmeUne fois activé, il enregistre les positions biométrique permet deGPS. Il peut être mis sur un porte-clés ou s'assurer de la sécuritédissimulé dans un véhicule. Vous de votre vie privée. Idéalpourrez, par exemple, retracer pour protéger une pièceune randonnée, l'itinéraire d'un de votre appartement ouvéhicule, d'une personne, etc. votre garage, le dispositifUne fois récupéré, connectez-le fonctionne avec 4 pilesà votre PC et téléchargez via AA et reste très facileson câble USB les itinéraires à utiliser. Il est possibleenregistrés. Pour visualiser la de programmer jusqu'àposition sur une carte ou une 120 empreintes digitalesimage satellite, le service Google pour garantir l'accès à vosMAP est gratuit ! collègues, amis, etc.Prix : 59 € Prix : 200 € www.top-espion.com http://toutpourvous0.surinternet.com 5
HacktualitÉS EN BREFBye bye Jiwa… Souriez,Un des pionniers du vous êtes streaming musical en payante pour booster un peu filmés !ligne vient de disparaître. En ses chiffres, les majors onteffet, Jiwa n'est plus depuis immédiatement demandé Les chiffres d'un récent rapport de la Chambrele 4 août dernier. En liqui- encore plus d'argent. Équa- Régionale des Comptes de Rhône-Alpes surdation judiciaire, la société tion impossible pour cette la sécurité publique à Lyon ne parlent pas vrai-n'a pas pu faire face à la petite entreprise… De même, ment en la faveur des caméras de surveillance.concurrence d'Apple, aux Jiwa comptait beaucoup sur En effet, cette analyse sérieuse montre que danstéléchargements illégaux «Carte musique jeune» (une la Capitale des Gaules, les caméras de vidéosur-(qui représentent toujours initiative gouvernementale veillance permettent une arrestation par caméraune part importante de la qui devait octroyer 50 € de et par année. C'est ainsi que l'on apprend que lesconsommation de musique bon d'achat aux jeunes pour 219 caméras qui surveillent la ville n'ont permissur Internet) et à la cupi- acheter de la musique en l'arrestation que de 200 personnes. Quand ondité des majors. En effet, ligne) qui devait être lancée sait que sur une année, Lyon compte plus de 20les sommes que Universal au début de cette année 000 actes de «délinquance de voie publique», onMusic, Warner Music, EMI mais qui a été repoussée à peut se poser des questions sur l'utilité de cesou Sony Music exigeaient l'automne prochain. Pas de caméras, qui, en plus de coûter une fortune auxpour que Jiwa puisse se place pour les «petits» dans contribuables, posent le problème de la protec-targuer d'être un service ce monde de «majors»... tion de la vie privée. Pour le gouvernement pour-légal étaient bien au-dessus tant, la multiplication des caméras permettraitdes revenus du site. Pour une baisse de la délinquance. Or, toujours selon2009, la société avait dû ce même rapport, l'impact n'est pas aussi net. Enverser 1 million d'euros effet, même si entre 2003 et 2008, la délinquancealors que le chiffre d'affaire a baissé de 33 % à Lyon, elle a baissé de 48 % chezn'était que de 300 000 €… la voisine Villeurbanne où aucune caméra n'estEt lorsque Jiwa a commencé installée. On fait dire aux chiffres ce queà préparer une version l'on veut…Plus de BlackBerry dans aucun intérêt (à part celui de téléphoner bien sûr). L'Inde a aussi dernièrement demandé à avoirles pays totalitaires ? un accès aux données mais pour ce pays, RIM a trouvé un compromisSuivant l'exemple des Émirats Arabes Unis, l'Arabie avec le gouvernement. La société aSaoudite a suspendu les services des BlackBerry (tchat, proposé de fournir aux services dee-mails et la recherche sur Internet). En effet, le fabricant renseignement indiens les codescanadien Research in Motion (RIM) ne souhaite pas nécessaires pour avoir accès auxpartager les secrets de son algorithme de cryptage e-mails des entreprises et desunique. Il faut savoir que lorsque vous envoyez un email, particuliers limités dans le temps.les données transmises par les BlackBerry transitent par C'est peut-être le début de la finles serveurs de RIM pour y être chiffrées ou déchiffrées. pour la méthode de chiffrement dePour les gouvernements, il n'est alors plus possible de RIM puisqu'on voit mal commentsurveiller les données réceptionnées ou émises par ces la société pourrait dire non auxtéléphones. Pour ces pays du Golfe persique, il s'agit Émirats Arabes Unis et àofficiellement d'un problème de sécurité nationale mais l'Arabie Saoudite. De même, lespour les organismes non gouvernementaux, il s'agit avant Canadiens qui viennent d'ouvrirtout de censurer le Net. Le problème très épineux puisque leur première boutique en Chinece sont plus de 500 000 clients aux Émirats Arabes Unis devront sans doute mettre dequi pourraient se retrouver avec un BlackBerry sans l'eau dans leur Tsingtao… 6
HacktualitÉS Focus La Chine s'éveille !Depuis le début de l'année, nous avons été témoin du brasde fer entre la République Populaire de Chine et Google.Entre hacking, menaces, soupçons et réconciliation,revenons sur ces événements pour le moins particuliers…Une légère détente ? i Lancé en grande pompe en 2006, Google.cn aDernier rebondissement en date du côté de l'affaire «Google immédiatement essuyécontre la Chine» : David Drummond s'est dernièrement félicité des critiques de la partdu renouvellement de la licence ICP (Internet Content Provider) des opposants au régimequi permet aux sites d'opérer en toute légalité en Chine. Il faut chinois et des organisations nondire qu'à part le moteur de recherche, toujours redirigé vers gouvernementales. À l’instar deHong Kong, les services Google (Gmail, etc.) sont disponibles Microsoft et Yahoo, ces derniers luidepuis Google.cn. Pour la Chine, ce renouvellement implique que reprochaient d’accepter le «filtrageGoogle jouera le jeu. Wait and see... des contenus», une censure visant à mettre un mur entre l’internet des chinois et l’internet du reste du monde. Il suffisait de taper «Tien’anmen» sur le Google chinois pour se rendre compte que les résultats qui s’affichaient différaient de ce que l’on pouvait trouver ailleurs, tant au niveau des liens que des images… Pourtant le gouvernement chinois n’a pas facilité la tâche au géant de Mountain View puisque parfois, les services «made in» Google se voyaient coupés pour des raisons plus ou moins fantaisistes. La plupart du temps, le prétexte utilisé était la mise à disposition de contenus pornographiques (mouais…). Google s’accommodait de ces petits caprices jusqu’en mars dernier où la compagnie a eu une désagréable «visite» dans ces serveurs. Une attaque informatique venant de Chine et ayant «abouti à un vol de propriété intellectuelle» selon un des vice-présidents David 8
FocuS HacktualitÉSDrummond. Après enquête de local Baidu s’accapare près de 65 % David Drummond a réussi son coup. NiGoogle, il semblerait que d’autres des parts de marché. Google, ni la Chine ne perdent la face !sociétés évoluant dans les domainesd’Internet, des médias et de la La Chine s’offusque n’a pu être trouvé et Pékin trouvetechnologie ont aussi été attaquées cette mesure «inamicale». La Chinede la même manière. Pour Google, Devant ces accusations à mots rappelle d’ailleurs que «la seulevu la débauche de moyen mis en couverts, le porte-parole du condition de l’ouverture aux investisse-œuvre, il ne peut s’agir d’un pirate ministère des Affaires étrangères ments étrangers est le respect des loisisolé. Mais sans preuve, Google chinois a déclaré que : «l’Internet en chinoises». Pourtant il serait facilen’accuse pas implicitement le Chine est ouvert, que le gouvernement aux chinois de bloquer l’accès à lagouvernement chinois… chinois encourage son développement version hongkongaise de Google. et que la loi chinoise interdit toute Il y a déjà eu des précédents pourPourquoi Google ? forme de cyber-attaques». Il faut YouTube et même avec le service bien sûr comprendre : «On ne Google Blogger (Ha, les chinois etMais pourquoi une telle attaque censure pas, on veut vraiment la liberté d’expression !). Mais ici? Selon Google, le but des pirates faire du business avec Internet et ce statu quo arrange tout le mondeétait d’accéder aux comptes Gmail pour ce qui est des attaques, c’est puisque personne ne perd vraimentde certains militants chinois des pas nous !». Le gouvernement la face.droits de l’Homme. Heureusement chinois n’en dit pas plus pour ne Google reste dans la place et compteles correspondances n’ont pu être pas envenimer la situation. Il faut bien faire travailler ses employés surpiraté, seules des données non dire que même si Google n’est que d’autres projets (comme Android)sensibles ont été compromises numéro 2 avec un peu plus de 30% et le gouvernement chinois peut(diverses informations concernant des parts de marché, la marque continuer de dire que toutes lesles comptes, date de création, etc.) américaine est très connue même entreprises étrangères qui ont desMais le divorce est déjà à l’horizon. des non-internautes. Depuis les sites sur leur territoire respectentSuite à ces histoires, Google décide débuts du capitalisme dans ce pays, les lois. Il est aussi intéressant dealors de «reconsidérer l’approche de tout le monde - y compris les grands noter que sur le blog de l’entreprise,la Chine» et de ne plus filtrer les dirigeants mondiaux (suivez mon David Drummond a pensé auxrésultats de recherche sur Google.cn. regard) - leur mange dans la main. 700 employés chinois en précisantPlutôt courageux alors que Microsoft Si Google ferme ses locaux, licencie que «Toutes les décisions ont étéet Yahoo avaient courbé l’échine ses 700 employés et dit au revoir au inspirées et mises en œuvre par nosdevant le formidable marché que marché chinois, ce serait une sorte dirigeants aux États-Unis» (ici, il fautreprésente la Terre du Milieu (plus de camouflet pour le gouvernement comprendre : «Ils n’y sont pour riende 350 millions d’internautes). En de Pékin. alors ne leur faites pas de mal, on neeffet Google, leader des moteurs de paiera pas les exécutions !»).recherche dans le monde n’est que Statu quo ?numéro 2 en Chine où le moteur Depuis peu, Google est en partie Impossible de faire une recherche sur passé à l’acte. Les Google.cn depuis mars ! internautes chinois qui se connectent sur Google.cn ne peuvent plus faire de recherches. Lorsqu’on clique dans le champ prévu à cet effet, nous sommes redirigés vers la version hong- kongaise de Google, non censurée bien sûr (l’arrêt du filtre de censure sur Google.cn aurait été perçu comme une véritable déclaration de guerre pour les officiels chinois). La maison Blanche se dit «déçue» qu’un accord 9
SOCIÉTÉ EXTIRPATION DE DONNÉESSocial Engineering :l'art de la tromperieAppelé ingénierie sociale en français,le social engineering est un ensemblede technique qui permet d'obtenirdes informations auprès de personnesautorisées sans qu'elles se rendentcompte de la supercherie. Pour arriverà ses fins le pirate va alors utiliserses connaissances (pas forcementinformatique), une dose de culot et sacapacité de persuasion…Einstein disait «Deux choses un logiciel qui va générer des ID Presse : Ha mince combien de sont in nies : l’Univers et bruits de bureau ou qui va changer kiosque ? la bêtise humaine. Mais, en le timbre de la voix pour imiter Le pirate : Une centaine mais les ce qui concerne l’Univers, je celle d’une secrétaire par exemple magazines sont juste perdus, onn’en ai pas encore acquis la certitude (voir notre article page 24). va les retrouver ne vous inquiétezabsolue». En utilisant la bêtise, pas. Il nous faudrait juste le tiragel’ignorance ou la crédulité de Hackons la rédaction… exact pour redistribuer au mieuxcertaines personnes, il est possible en attendant…d’obtenir ce qu’on veut. Pourquoi Imaginons que vous souhaitiez ID Presse : Quoi ? Mais vousessayer de hacker un mot de connaître les chiffres de vente n’avez pas cette information danspasse s’il suf t de le demander de ce magazine. Cette donnée vos registres ?«gentiment». Ce n’est pas aussi con dentielle n’est connue que Le pirate (prend l’air gêné) :simple que cela mais en utilisant de très peu de personnes : le Si mais nous avons un problèmeun peu sa tête, il est possible de chef, quelques journalistes et le d’informatique ici et avec lesfaire croire à certaines situations. distributeur. Vous appelez à la vacances, vous savez ce que c’est…Il faut pour cela se mettre dans rédaction pendant une période ID Presse : Ok, le tirage pourla tête de votre adversaire. La de vacances (les gens sont parfois ce numéro est de XX XXXtechnique la plus facile passe par partis et les stagiaires, même exemplaires.le téléphone : le but du pirate est intelligents, ne sont pas forcément Le pirate (prend un air détachéd’avoir le renseignement le plus au courant de la con dentialité et fait semblant de chercher dansrapidement possible. Pour cela, de certaines infos) et vous tombez des papiers, bruits de feuilles àil aura préparé son personnage, sur un journaliste. En vous faisant l’appui) : Ha oui quand mêmeson discours et son «histoire». Il passer pour quelqu’un de lasera très persuasif dans le timbre distribution (le nom est écrit dansde sa voix. Certains hackers ont l’ours du magazine) vous lui faitequelques techniques pour parfaire croire qu’il y a un problème avecleur crédibilité, comme posséder certains kiosques qui n’ont pas reçu les magazines (une catastrophe !)... 10
EXTIRPATION DE DONNÉES SOCIÉTÉc’est pas mal en ces temps de crise problème de comptabilité sur Souvent, plus c’est gros et plusmais vous devez avoir beaucoup le mois de juin et ce n’est pas ça passe. Avec une simple règled’invendu tout de même… [ici le la première fois ! Qu’est-ce qui de trois, notre pirate connaîtpirate essaye d’obtenir les chiffres cloche chez vous en n ? maintenant les chiffres de ventede vente en jouant sur l’orgueil du Le distributeur : Ha je suis des mois précédents…journaliste] désolé, je remplace actuellementID presse : Ho pas tant que ça Monsieur X, je ne suis pas au Une seule parade :vous savez, nous vendons à peu courant… la paranoïaprès ... Heu attendez, comment Le pirate : C’est un scandale,vous m’avez dit que vous vous nous ne sommes pas payés et vous Il existe aussi d’autres cas de gure.appelez ? n’êtes pas au courant ! Par exemple, le pirate peut prendreLe pirate (sans se Le distributeur (en panique car contact avec la société par lettre :décontenancer) : Monsieur Y, je ID Presse est un bon client) : Le en-tête, logo et ligrane àremplace Monsieur X pendant ses mois de juin vous dites ? Attendez l’appui. On peut aussi imaginervacances [le pirate a été chercher je regarde… une boîte postale avec un nomsur Internet l’organigramme de la Le pirate (qui utilise les données d’emprunt pour sa société ctive.société]. qu’il a obtenues auparavant pour Via Internet, le pirate peut seID Presse : Ha sacré Monsieur X, se donner de la crédibilité) : Oui faire passer pour un responsabletoujours fan du PSG ? c’est celui du mois de juin avec un informatique ou un ingénieurLe pirate : Oui, il a même tirage de XX XXX exemplaires. réseau dans l’espoir d’obtenirrenouvelé son abonnement au Le distributeur : C’est étrange, des informations sensibles. OnParc ! selon mes chiffres vous avez reçu peut aussi imaginer un contactIci le pirate est démasqué puisque X € pour la vente de XX XXX direct. Ici les accessoires serontle journaliste sait pertinemment magazines [ça y est notre pirate un costard-cravatte ou un bleuque Monsieur X est fan absolu a réussi son coup, il connaît de travail en fonction de sonde l’OM. La conversation s’arrête maintenant les ventes du mois «histoire». Le pirate peut aussimais le pirate a quand même de juin et combien l’entreprise a cumuler ces différentes techniquesréussi à connaître le véritable touché pour ces ventes.] : téléphoner pour obtenir untirage du magazine. Il persévère Le pirate : Attendez c’est peut- rendez-vous puis con rmer paret appelle maintenant le être une erreur de notre part e-mail pour mieux vous grugerdistributeur… au niveau des dates. Selon vous lors de l’entretien où vous vousLe pirate (d’un ton mécontent) : combien avons-nous touché rendrez compte qu’il partage laBonjour c’est Monsieur Côme pour janvier, février, mars, avril même passion que vous pour lad’ID Presse, nous avons un et mai ? pêche à la mouche ! Pour une entreprise, il est absolument vital de former le personnel à ce genre de problème. Un pirate prendre soin de s’attaquer aux personnes les plus «faibles» techniquement : secrétaires, comptables, stagiaires et les petits nouveaux.Kevin Mitnick et son «Art of Deception» Si vous souhaitez en savoir plus sur le social engineering, sachez que Kevin Mitnick a coécrit un livre entier sur ce sujet. Celui qu'on considère comme le meilleur hacker du monde n'a pas uniquement réussi grâce à ses talents en informatique. «L'art de la supercherie» («The Art of Deception»), publié en 2002 traite de l'art du social engineering principalement par le biais de la téléphonie. Si vous êtes plutôt «cinéma», vous trouverez quelques exemples dans le film retraçant une partie de la vie de Mitnick : Cybertr@aque (Takedown). 11
SOCIÉTÉ CHIMIE & DÉFONCEIls fabriquent de la DROGUE !C'est bien connu, on trouve de toutsur Internet ! Avant que la policedu Net apprenne à se servir d'unmulot, on trouvait même des sitesqui proposaient toutes sortes dedrogues en vente par correspondance.Mais maintenant que le réseau desréseaux est sous étroite surveillance,les cyber-dealers sont de plus enplus rares. La nouvelle mode est auxsites de «recettes» : héroïne, LSD,oxycodone, GHB, cocaïne, etc.QUID DE i Le phénomène est tellement «à la mode» qu'une série a vu le jour. Breaking Bad ou l'histoire d'un prof de chimie qui se met à fabriquer de laLA LOI ? méthamphétamine pour subvenir aux besoins de sa familleLa production et/oula fabrication illicitesde stupéfiants sontun crime, passiblede 20 ans de réclu-sion criminelle etd’une amende de7 500 000. Cettepeine pouvant êtreportée à 30 ans siles faits sont commisen bande organisée.De quoi refroidir lesapprentis botanistes/chimistes. 12
CHIMIE & DÉFONCE SOCIÉTÉL es sites proposant des En cherchant un peu sur Internet ou Usenet, on trouve des graines de cannabis et ressources très précises sur la manière de fabriquer de la les moyens de cultiver de drogue. Ici un site pour «chimiste» qui donne des chez soi ne manquent pas méthodologies pour réaliser MDMA, Meth, LSD ou GHB,sur la Toile. On en trouve même «la drogue du violeur»proposant le matériel adéquatpour commencer ce type de d'huile de sassafras pour faire ses véritable laboratoire… C'estculture dans un simple placard. propres comprimés d'ecstasy. Il d'ailleurs là tout le problème :Évidemment puni par la loi, ce a expliqué à la police qu'il était l'appât du gain attire de plus entype de pratique n'a cependant simplement entré en contact plus de gens vers ce genre dérive. Iljamais tué personne. Par contre, avec un administrateur de forum faut pourtant savoir que la drogueon trouve de plus en plus de sites qui lui avait expliqué comment de synthèse demande beaucoupqui proposent des protocoles très réaliser sa «popote» et où trouver de rigueur scienti que à produire.détaillés permettant de faire à la les «ingrédients». L’apprenti Comme toute manipulationmaison des drogues beaucoup plus Escobar ne savait pas que l'huile chimique, le danger est grand et lespuissantes. Notre confrère Zataz. de sassafras, à la fois utilisé dans risques sont multiples : explosion,com a dernièrement fait état d'un la parfumerie mais aussi comme contamination par des produitssite qui proposait des livres entiers médicament est bien connu des volatils, mauvais dosage entraînantsur le sujet pour un abonnement services de police pour être un un empoisonnement ou la mort.d'une vingtaine d'euros mais précurseur de l'ecstasy. Cette Même un élève studieux avecavec un peu de persévérance, huile essentielle est d'ailleurs 20/20 en chimie et équipé dunous avons trouvé des sites qui interdite en France depuis 2007 et matériel adéquat (on parle ici deproposaient gratuitement de telles son importation est étroitement milliers d'euros d'appareil) n'estinformations. Et les réseaux P2P ne surveillée. Lors de la perquisition pas à l'abri d'une surprise qui peutsont pas en reste… les policiers ont découvert un être fatale…Papa est en haut, il faitde l'héro…Attention, il n'est pas si facilede réaliser de telles drogues chezsoi avec du matériel volé encours de chimie. Mais comme lessommes en jeu sont considérables,l'investissement est payant.Pourtant, des apprentis chimistescommencent à se faire attraperpar la police. L'année dernière, unjeune homme habitant Bourgoin-Jallieu a commandé sur Internet900 g de feuille de coca et un litreLes herbes type «Legal buds» Aujourd'hui fermé, le site Biosmoke proposait desbannies de France dizaines de type de «drogues légales». Depuis de nombreux autres ont pris la relèveOn trouve aussi sur Internet des sites qui vendent des alternatives à la marijuana : les Legal Buds. Présentées comme des herbes à parfumer ou comme de l'encens,elles ont été récemment interdites par le Ministère de la Santé et des Sports français (etne sont donc plus «Legal»). Sans THC (la substance active du cannabis), ces mélangesd'herbe censés contenir de la queue de lion (un proche parent du cannabis) ou de lasalvia divinorum (appelé sauge des druides) contiennent des molécules chimiquescomme la CP47 ou la CP497, des cannabinoïdes très puissants réalisés en laboratoire. Ily a encore peu de temps, il suf sait de commander ces «herbes» pour les recevoir chezsoi dans des petits paquets ashy avec des noms exotiques : Gorilla, Gold Spirit, GreenViper, etc. Voici un petit reportage très intéressant sur ce sujet diffusé sur TF1 :www.wat.tv/video/drogue-sur-internet-1ap6n_2 v7_.html 13
HACKING TÉLÉPHONE PORTABLE ET VIE PRIVÉEEn une quinzaine Sur Internet, on trouve un peu de tout et ded'années, le n'importe quoi concernant la possibilitétéléphone GSM de traquer un GSM. Il faut dire que laest partout. On en possibilité de localiser un individu sanscompte maintenant bouger de chez soi est un véritable fantasme pourpresque autant que certaines personnes. Du coup certains sites end'individus sur terre. pro tent pour faire des blagues (vous rentrez leRien n'est donc plus numéro et vous vous retrouvez avec des photos detentant que d'utiliser mauvais goût) ou pour arnaquer les plus crédules…cette technologiepour suivre les Où es-tu ?utilisateurs pas à pasou espionner des Il est techniquement possible de localiser unconversations. Entre téléphone GSM grâce à un procédé utilisé parmythe et réalité… la police : la triangulation. Il s'agit de calculer l’intensité de réception d'un signal à partir des 3 Ootay, un des nombreux services qui permettent de traquer antennes relais les plus proches. Un peu comme un GSM légalement dans les lms, il est possible d'avoir une précision suf sante pour appréhender un suspect. Attention, il faut que le téléphone soit allumé dans une zone de réception suf sante. Plus fort, les téléphones plus récents qui sont équipés d'une puce GPS peuvent être localisés avec encore plus de précision. Il suf t pour cela que notre individu se connecte à son service GPS (ou une page Internet qui utilise le GPS) pour savoir avec une précision extrême. Mais si la police réussit ce tour de passe-passe, les citoyens peuvent-ils les imiter ? À moins de passer par un service spécial payant qui demandera l’accord au propriétaire du téléphone pour le localiser, il est impossible de faire quoique ce soit. Le service Ootay (www.ootay.fr) propose par exemple de géolocaliser les GSM de vos proches pour éviter l'absentéisme scolaire ou évitez le vol de votre téléphone. Une fois inscrit, il faut que le fournisseur accepte de géolocaliser la personne (car bien sûr, Il n'est possible de suivre à la trace qu'un utilisateur 14
TÉLÉPHONE PORTABLE ET VIE PRIVÉE HACKINGqui soit d'accord : enfants, amis, une équipe de hackers a Karsten Nohl estime que le protocole A5/1parents âgés, etc.) et que la personne présenté une tentative est en bout de course...que vous voulez localiser accepte les d'attaque de l'algorithmetermes du contrat via SMS. Il suf t A5/1. Cette dernière États-Unis est plus faible encoreensuite d'aller sur le site Internet utilisait un «sniffer» que son homologue Européen…du service ou sur le service WAP de (un appareil d'écoute Pour la GSMA (l'associationOotay puis lancer la géolocalisation. qui n'enregistre que les en charge du protocole GSM),La personne est prévenue par SMS conversations «cryptées Karsten Nohl sous-estime certainsque vous venez de la retrouver mais ») et un module d'analyse éléments du A5/1 notammentil est un peu tard pour courir au qui déchiffrerait la la partie concernant le ciblage etlycée… conversation. Le but étant l'identi cation d'un appel GSM de prouver la faiblesse de visé. L'association souligne aussiLes conversations l'algorithme, ce projet que son dernier rejeton, le A5/3,bientôt hackées ? Open Source ne prévoit pas est progressivement mis en place et un décryptage à la volée qu'il pourrait prendre la relève aussiEn ce qui concerne les écoutes mais la technique est là… bien sur la 3G que sur le GSM.téléphoniques, la glace comment Le responsable, Karsten Nohl, Encore une fois, il s'agit d'uneà se briser sous les pieds de la souhaite donc mettre les pieds course de fond…méthode de chiffrement A5/1. Le dans le plat. Il estime actuellementChaos Computer Club (CCC), à trois mois la durée totale quiune des associations de hackers serait nécessaire à ce que quatre-les plus in uente dans le monde vingts ordinateurs, présentant depromet même un contournement fortes capacités de calcul, puissenttrès rapide de cet algorithme. C'est réaliser une attaque par force bruted'autant plus inquiétant que de sur l'algorithme A5/1. Une foisplus en plus de services demandant cassé, l'algorithme permettrait deune sécurité optimale (banque générer des tables pouvant êtremobile, etc.) commencent à se ensuite utilisées par tout un chacun.populariser sur ce réseau. La volonté Au nal, avec un ordinateur,du CCC n'est pas de jouer le jeu l'équipement radio (le sniffer) etdes organisations ma euses mais ces fameuses tables, il serait possiblesurtout d'alerter le grand public d'intercepter des conversations. Ceet l'industrie téléphonique sur les la vous semble énorme ? Sachezrisques qu'ils font encourir à leurs que l'algorithme A5/2 utilisé auxclients. Déjà l'année dernière lorsd'une conférence au Pays-Bas,Quand le piratage se démocratise…P as forcément besoin via la caméra, enregistrement de la d'attendre le prochain crack conversation lorsque vous ne pouvezdu A5/1 pour espionner des pas surveiller, scan des SMS, MMS,GSM ! De plus en plus de sites interception des communications àproposent des modifications de la volée, etc. Il faut bien sûr avoirtéléphones portables permettant accès au téléphone de l'individu qued'espionner vos proches. Il suffit vous voulez espionner mais cetted'installer un programme sur activité est en pleine expansion. Laun téléphone cible pour pouvoir cible est large : femmes ou marisécouter les conversations sans trompés, espionnage industriel,éveiller les soupçons. La liste des espionnage de nourrice, surveillancetéléphones compatible est de plus en plus longue. Plus d'ado difficile ou simple curiosité. Attention, ce genrefort : il est même possible d'offrir un portable déjà de site ne prévient pas toujours que ce type d'utilisationéquipé ! Un autre pack évoque la possibilité d'espionner (comme le fait d'installer un programme sur leenvironnement du portable cible : un véritable micro téléphone d'un tiers à son issu pour l'espionner) estactivable à distance ! Tout est possible : enregistrement complètement illégal en France… 15
HACKING BASES DE DONNÉESPiratage de bases de données :Les nouvellesarmes des hackersDes pirates informatiques iraniens ont inventé un logiciel qui ne laisseaucune chance aux serveurs Internet. En quelques clics de souris, nousavons pu nous rendre compte que les données privées et sensiblessauvegardées sur les serveurs d'entreprises Françaises et étrangèresétaient accessibles aux flibustiers du Web. Enquête !T out débute à la n du onglets ; aucun mode d’emploi. une razzia sur leurs informations, mois de mai dernier. Un Pourtant, derrière ces quelques en quelques minutes» s’amusait hacker français contacte bits, une arme redoutable qui alors notre interlocuteur. Dans sa la rédaction pour nous devrait permettre aux responsables démonstration particulièrementexpliquer que certaines données de informatiques de ré échir à deux inquiétante, des données bancairesnotre serveur Internet pouvaient fois sur la sécurité de leurs serveurs. se sont af chées dans certains cas ;être lues et copiées très simplement. Dans le cas de cet «outil», il en des identi ants de connexion ; les«Il me suf t de quelques clics de existerait plusieurs dizaines du messages internes. Bref, l’ensemblesouris pour accéder à l’ensemble des même type sur la toile, il suf t de des petits et grands secrets inscritsadresses électroniques de la rédaction» rentrer une adresse Internet trouvée et sauvegardés dans la moindre basesoulignait-il alors. Et effectivement, via le moteur de recherche Google. de données. À noter que Françoisen quelques secondes, une base «Le plus terrible, souligne François nous a fourni les liens et les accèsde données s’ouvrait à nos regards (un pseudonyme), un pirate fautifs a n que les sites découvertsétonnés. Un tour de passe-passe informatique, Il suf t de quelques lors de notre entretien soient alertésdigne d’un David Copper eld de mots clés dans Google pour établir le et corrigés. Du remords le jeunel’informatique. Inquiétant ! Si notre lien qui ouvrira les portes du site que homme ? Peut-être ! En attendant,hacker s’est donné pour mission de je cible». Bilan de cette opération lors de sa démonstration, nous avonsnous aider, nous allons découvrir banale, le logiciel informatique se pu voir dé ler devant nos yeuxque le business des bases de données charge de trouver le point d’entrée écarquillés des dizaines de mots desur Internet est devenu un gagne- à la base de données de n’importe passe, non chiffrés ; des donnéespain fructueux pour des centaines de quel site Internet. Opération que bancaires sauvegardées dans despirates informatiques. Des e-voleurs ce software effectue en moins bases de données de boutiques enéquipés de logiciels étonnants. De de trois secondes. Vous avez bien ligne.véritables passe-partout électroniques lu, n’importe quel site Internetà l’image du logiciel X’j3v (Le nom équipé d’une base de données est Une demande très fortea été modi é pour ne pas permettre en danger. Lors de notre rencontre pour ce type de donnéesaux scripts kiddies de s’en donner à avec François, aux hasards de noscœur joie, NDLR), un programme questions, l’intrus a été capable Vicieux, l’outil décortique une parcréé par des bidouilleurs iraniens. de nous présenter des serveurs une les tables d’enregistrements faillibles appartenant à Orange, sauvegardées dans les bases dePetit outil, grands secrets Paris Match, M6, mais aussi des sites données. En quelques secondes, gouvernementaux, des boutiques, selon les con gurations des sitesX’j3v ne paie pas de mine. Quelques des hôtels, ... «J’aurai pu effectuer et serveurs Web, les identités, lesboutons en anglais ; deux/trois adresses physiques, les courriels, les 16
BASES DE DONNÉES HACKINGadresses IP, les Jérôme En quelques clics et avec un peu de chance, n'importemessages laissés Granger, qui peut trouver quantité de données sensibles…par les employés et les responsable devisiteurs des sites concernés la communication l’économie des cyberdélinquants». Bref,apparaissent. Dans le pire des de l’éditeur de le «black market» informatiquecas, les commandes et les données solutions de sécurité a encore de beaux jours devantbancaires sont consultables à informatique G DATA «Cette lui ! Pour rappel, tout responsablesouhait. «Aujourd’hui, souligne économie souterraine qui prend de traitement informatiqueFrançois, une base de données peut se de l’ampleur. Le développement de de données personnelles doitrevendre très chère. Si je mets la main l’économie souterraine au cours adopter des mesures de sécuritésur des adresses électroniques, je les des dernières années s’illustre par physique (sécurité des locaux),revends à des spammeurs. Si j’accède le biais d’un exemple : Là où les logiques (sécurité des systèmesà des données bancaires. Il existe sur pirates informatiques se vantaient d’information) et adaptées à lala Toile des espaces privés où il est autrefois d’arriver à obtenir nature des données et aux risquespossible de revendre, échanger, acheter via des données volées un accès présentés par le traitement. Lece type de prestations. Il m’est arrivé gratuit à d’innombrables offres de non-respect de l’obligation dede toucher plus de 4 000 € par mois pornographie sur Internet, ils se sécurité est sanctionné de cinq ansen revendant mes découvertes.» targuent aujourd’hui du nombre de d’emprisonnement et de 300 000 € cartes de crédit qu’ils ont déjà réussi d’amende (art. 226-17 du codeUn marché noir en pleine à dérober. Fait remarquable : ces pénal).expansion données se transforment à présent en espèces sonnantes et trébuchantes.Les tarifs varient selon les Une tendance qui a fait naître une«produits». Nous avons pu économie souterraine. Aujourd’hui,constater sur deux forums basés en tout ce qui existe déjà dans un vraiRussie que les informations d’une environnement économique légal :carte bancaire (Les 16 chiffres, fabricants, commerçants, prestatairesla date de validité et le CVV, le de services et clients se trouve danscryptogramme inscrit à l’arrière dela CB) pouvaient se revendre entre5 et 30 euros pièce. «Le problème,souligne le pirate informatique, estqu’il y a de plus en plus de monde pourla revente de données piratées. Cela faitbaisser les prix.» Comme le souligne 17
LIBERTÉ D’EXPRESSION HACKINGWikiLeaks :un trublion impossible à materWikiLeaks est un site qui fait peur, même au gouvernement américain. Il s’agitd’une sorte de portail recensant des milliers de documents confidentiels quin’auraient jamais dû sortir de là où ils étaient soigneusement rangés. S’ils sontarrivés en ligne, c’est grâce au courage de sources qui peuvent et doivent resteranonymes. Comment tout cela fonctionne-t-il ?Lancé en 2007, WikiLeaks est un Belgique dépendent des LES 3 PLUS GROS i site permettant lois de ces pays. Ces à tout à chacun dernières sont en effet «COUPS»de poster des «fuites» parmi les plus sûres du monde en ce qui concerne DE WIKILEAKS(«leaks» en anglais). l’aspect de la protectionQu’ils viennent des USA, des sources. Après tout, si 1. Divulgation d’une vidéo classéede l’ex-URSS, de la Chine une seule de ces personnes secrète (la fameuse «Collateral Murder») qui montre commentou de pays africains, ces est inquiétée, c’est tout lepersonnes prennent le système qui serait mis enrisque de divulguer des danger…informations qui sonten leur possession. Pour WikiLeaks, Il faut sauver le soldat Manning !permettre leur protection, une cible Manning, un analysteles échanges avec le site potentielle du renseignement, asont bien sûr sécurisés Seulement voilà, pour récemment été inculpé degrâce au protocole SSL certains gouvernements douze chefs d’inculpation. 18 personnes innocentes ainsi que 2mais il est aussi possible toute information n’est Ce soldat de 22 ans est en journalistes de Reuters ont été tués par und’utiliser le réseau pas bonne à dire, surtout effet soupçonné d’avoir hélicoptère Apache durant une opération enTOR en sus pour plus lorsqu’il s’agit de guerre et remis au site la vidéo Irak en 2007.de sûreté. L’envoi des de vies humaines… Le 15 d’une bavure de l’arméeinformations passe par mars 2010, un document américaine en Irak en http://wikileaks.org/wiki/Collateral_un simple formulaire. classé de 32 pages 2007 (voir notre encadré). Murder,_5_Apr_2010Il suf t de cliquer sur publié sur WikiLeaks Seulement ici, WikiLeaks«Submit documents» sur montrait que les services n’est pas responsable et 2. La mise en ligne du «Afghan Warla page de garde pour y secrets US cherchaient si le jeune Manning est Diary» où plus de 91 000 documentsavoir accès. Pour ne pas à détruire WikiLeaks dans de beaux draps, c’est classés reportent les innombrablesmettre en danger des en le marginalisant qu’il a été trop bavard et a difficultés de l’armée américaine danspersonnes (notamment aux yeux du monde. Le été dénoncé. Accusé aussi ce pays : corruption des agents locaux,en ce qui concerne rapport recommande d’avoir mis à disposition complicités du Pakistan, armementl’aspect militaire), il est «l’identi cation, la les «Afghan War Diary», grandissant des Talibans, etc.aussi possible de mettre poursuite judiciaire contre Manning risque plus deune date à laquelle le site les personnes, qui ont révélé 50 ans de prison… Julian http://wikileaks.org/wiki/Afghan_pourra mettre la fuite en au public des informations Assange, le médiatique War_Diary,_2004-2010ligne. En plus de cette internes» via WikiLeaks. porte-parole de WikiLeaks,protection informatique, Deux ans après la date du a quant à lui démenti que 3. La mise à disposition de documentsWikiLeaks offre aussi rapport, aucune source l’analyste soit sa source. très compromettants concernant leune protection légale n’avait été exposée… Bien essayé Julian ! pillage des ressources du Kenya pendant laet éthique. Les serveurs, Le conditionnel est de présidence Moi. Ou comment grâce à desbasés en Suède et en rigueur puisque Bradley paradis fiscaux, des hommes de pailles et la complicité de nombreux autres pays, la famille de l’ancien Président a réussi à voler plus de 2 milliards de dollars aux Kenyans. www.guardian.co.uk/world/2007/ aug/31/kenya.topstories3 19
En Pratique CLÉS USB Sécurisez votre clé USBLes menaces pesant sur votre clé USB sont nombreuses, vol de données confidentielles ou contaminationdue à un virus sur une machine tiers. Apprenez à protéger vos clés de manière efficace.Attention ! Si votre clé USB l’intégralité d’une clé sur l’ordinateur Se protéger contre est devenue votre meilleure « hôte » sans que l’utilisateur ne les virus amie, elle n’en reste pas moins s’aperçoive de rien. Face à de tellesfragile. De nombreuses menaces menaces, il n’existe pas dix mille La perte de données confidentiellespèsent effectivement sur elle et, par solutions. Il faut crypter les données n’est cependant pas le seul dangerconséquent, sur vous. Aussi pratiques sensibles. Nous avons tous sur nos que vous devrez affronter avec votreque les disquettes, capables de conte- ordinateurs des données auxquel- clé. Les appareils USB, en général,nir des gigas de données, plus rapides les nous tenons particulièrement : sont les cibles privilégiées des atta-à copier que des DVD, les clés USB images, films, musiques mais aussi ques de virus. Ceux-ci se transmet-n’ont aucun défaut. Enfin presque. mots de passe, projets professionnels tent, de manière transparente, de clés ou carnets d’adresses. Le logiciel en ordinateurs et réciproquement.Protéger ses données TrueCrypt est capable de chiffrer ces Le soft gratuit Dr Web permet de informations « à la volée ». Son seul protéger efficacement sa clé, mais ilLes appareils USB impliquent défaut, c’est qu’il nécessite d’être vous demandera sans cesse une miseplusieurs risques sécuritaires. Des aussi installé pour décrypter les à jour vers la version payante. L’autreprogrammes, comme le tristement fichiers. Heureusement, il existe une solution consiste à installer Clamwincélèbre USB Dumper, s’attaquent à astuce pour l’installer sur votre Free Antivirus, logiciel libre, dontl’intégrité des informations transpor- clé USB. le seul défaut est de ne pas faire detées. Ce programme permet de copier protection résidente.Protégez vos données1> Installer TrueCrypt sur 2 > ICréer un volume 3 > IProtégez vos documents votre clé Double-cliquez sur TrueCrypt- Votre volume est maintenant prêtCommencez par télécharger le logiciel Format.exe et sélectionnez la première option, Create an encrypted file à être utilisé et à recevoir vos fichiers(www.truecrypt.org) et installez-le sur container ou, si vous souhaitez utiliser toute la clé USB comme conteneur crypté, sensibles. Double-cliquez sur le fichiervotre ordinateur. Ensuite, dans le menu cochez Encrypt the entire system drive. TrueCrypt.exe se trouvant sur votre cléTools, choisissez Traveler Disk Setup. Choisissez ensuite Standard TrueCrypt USB. Cliquez sur Select File et allez cher- Volume. Dans le panneau Volume cher le fichier DONNEES_PERSOS, cliquezParcourez votre ordinateur et sélection- Location, créez un nouveau fichier sur Mount et entrez votre mot de passe. d’encryptage, nommez-le, par exemple, Magique, votre clé apparaît sur le disquenez votre clé. Laissez l’option suivante sur DONNEES_PERSOS. Il sera situé sur votre virtuel queDo nothing. Cliquez sur Ok, puis Create. clé, dans le dossier TrueCrypt. Il ne vous reste plus qu’à paramétrer l’encryptage. vous venez deVotre clé USB contient à présent un Les algorithmes AES et RIPEMD-160 sélectionner. Cedossier TrueCrypt. constituent une combinaison relative- disque se trouve ment inviolable. Entrez l’espace que vous maintenant dans souhaitez allouer à vos fichiers protégés et votre explora- créez votre mot de passe. Cliquez enfin sur teur. Utilisez-le Next pour lancer le formatage de votre clé. comme un disque classique. Après vos opéra- tions, cliquez sur le bouton Dismount et débranchez votre clé USB. 20
VIE PRIVÉE En Pratique Blindez votre FaceBook ! La société Reputation Defender a récemment mis au point une application FaceBook, permettant de sécuriser sa page. Dotée d’une interface visuelle conviviale, l’application Privacy Defender règle automatiquement vos paramètres pour que rien ne filtre.P irate ou pas, vous utilisez Verrouillez votre compte certainement FaceBook, FaceBook ne serait-ce qu’à titre «consultatif ». Si vous vous êtes pris 1> Scannez vos donnéesau jeu, vous ne souhaitez sans doutepas que vos photos de soirée ou votre Connectez-vous à votrenuméro de téléphone ne tombent entren’importe quelles mains. Notamment compte FaceBook et rendez-vouscelles des publicitaires, qui on3t fait deFaceBook leurs choux gras. Imaginez- sur la page de l’application Privacyvous un jour de tomber nez à nez avecune photo de vous sur un panneau de Defender (http://apps.facebook.quatre mètres de large ?Sans aller jusque-là, la politique de com/privacydefender/). Cliquezprotection de la vie privée de FaceBooklaisse à désirer et semble changer ensuite sur le bouton Autoriser, pour permettre à Privacy Defender detous les quatre matins. Difficilede s’y retrouver entre toutes les scanner vos paramètres.options, malgré les récents efforts detransparence effectués par le plus grand 2 > Dressez le bilanréseau social au monde. Une fenêtre apparaît et vous propose dePrivacy Defender est une application rajouter le bouton Privacy Defender dans votresimple d’utilisation, qui dresse, dans un barre de favoris. Deux solutions s’offrent à vous,premier temps, un état des lieux sur la faites-la glisser avec la souris ou faites un clicsécurité de votre compte. Un graphique droit et Ajouter aux favoris. Cliquez ensuite sur levous montre alors, les failles qui ont été bouton, l’analyse peut prendre quelques minutes. Ledétectées. Vous pouvez ensuite, en un graphique suivant vous informe sur plusieurs niveaux de sécurité.seul clic, les régler ou les ignorer. Voilàdonc une manière simple et efficace de 3 > Réparez les fuiteslaisser les photos de vos soirées les plus Tous d’abord, Privacy Defenderarrosées sur FaceBook, sans craindre vous montre si les partenairesde les voir apparaître là où vous les publicitaires de FaceBook ont accèsattendez les moins. à vos données publiques, si vos amis peuvent accéder à vos infos persosOù trouver Privacy i et enfin si les annonceurs peuvent montrer vos données à vos amis pourDefender des publicités. Le camembert principal vous permet de régler tous ces détails www.privacydefender.net au cas par cas. Cliquez sur les cases pour ajuster précisément ou utilisez le curseur tout en bas. Une fois quehttp://apps.facebook.com/privacy- vous êtes satisfaits, cliquez sur le bouton Fix My Privacy ! Privacy Defenderdefender/ paramétrera automatiquement vos données. N’hésitez pas à organiser ce scanner régulièrement, car les conditions d’utilisation de FaceBook changent souvent. 21
En Pratique DissimulationPourquoi crypter des informations lorsque l’on peut les dissimuler ? Là où les «gros bras» chiffrent,les petits malins utilisent la stéganographie : un procédé très ancien qui consiste à cacher la vraienature d’un document. Pour plus de sécurité il est même possible de combiner les deux !Le but de la stéganographie le citron a une température bits de poids faible » (ou « least est de dissimuler un message d'inflammation est plus basse significant bit » en anglais). Même dans un autre document pour que celle du papier. Chauffé, modifiés, ces derniers n'altèrentberner un éventuel petit curieux. une réaction d'oxydation laissera que très peu le rendu final d'uneCette pratique est utilisée depuis apparaître le message sur le papier. photographie mais il s'agit d'unel'Antiquité pour transmettre des Plus amusant, les messages d'amours suite suffisamment conséquente deinformations sans éveiller les à double sens entre les écrivains bits pour qu'elle puisse constituersoupçons de l'ennemi. L'historien George Sand et Alfred de Musset un message. Dans la pratique, il estgrec Hérodote raconte que pour que vous retrouverez à cette page : possible de cacher 130 Ko de texteinciter Aristagoras à se révolter http://5ko.free.fr/fr/sand.html. dans une image de 250 Ko sans quecontre Darius, Histiée fit raser la celle-ci ne soit suspecte (il serait entête d'un esclave, lui tatoua son La magie du numérique ! effet bizarre de trouver une photomessage sur le crâne. Il attendit de très mauvaise qualité pesantalors que les cheveux eussent À l'heure d'Internet et des échanges plusieurs Mo). Outre les couleurs, ilrepoussé puis envoya son esclave d'informations, la stéganographie est possible de jouer sur la méthodedélivrer son message sans risque a franchi un nouveau pallier. Il est de compression d'un documentqu'il soit intercepté avec une possible de dissimuler des messages, ou de dissimuler un message danslettre compromettante. Les encres des photos, des sons dans un autre un fichier sonore. Dans ce cas, lessympathiques, utilisé dès le premier document avec un simple logiciel. bits de poids faible changerontsiècle avant Jésus Christ, constitue Il suffit pour cela de jouer avec les de manière imperceptible le sonaussi un procédé stéganographique octets qui codent pour la couleur pour une oreille humaine. Tout est: l'acide citrique contenu dans de la photo. La méthode la plus possible à condition que l'émetteur courante consiste à modifier les « 22
Dissimulation En Pratiqueet le destinataire se soient entendus Alice ne risque rien tant que la par Internet. Avec la quantitésur la méthode... méthode de dissimulation n'est d'informations qui transitent, il connue que d'elle et de Basile. C'est faut d'abord savoir où chercher puisDans la pratique pour cela que la sténographie est déjouer la malice de l'expéditeur. particulièrement adaptée pour des De surcroît, la sténographie peutImaginez Alice, citoyenne d'un dissidents ou pour des terroristes. aussi être ajoutée à un chiffrement.pays totalitaire, souhaitant faire Après les attentats du 11 septembre En effet rien n'empêche l'émetteurparvenir un message à Basile. Il 2001, les services secrets américains de crypter le message qu'il asuffit à Alice de dissimuler sa prose ont d'ailleurs soupçonné Al Qaida dissimulé. Comment obtenir la clé ?dans une image anodine qu'elle de transmettre des directives en les En la dissimulant dans un autrepubliera dans son blog ou qu'elle cachant dans des images transitant document...enverra par email. Même surveillée,Dissimulez des documents avec SteganoEn France nous pouvons (encore) nous exprimer librement. Pour envoyer des messages originaux ou s’entraîner pour le jour du couron-nement de Sarko Ier, nous allons voir comment dissimuler un texte dans une image sans que celle-ci paraisse suspecte. Même si deslogiciels comme Steganos (avec un « s ») ou Invisible Secrets sont très complets, nous allons utiliser Stegano qui lui est gratuit...1 > L’image d’origine défaut, il faudra donc changer Tout d’abord, allez le nom car une image de chientélécharger le logiciel à cette qui porte le nom de «message»adresse : http://www.mike- est plutôt suspecte, drôle desoft.fr/Softs/Stegano/ nom pour un chien non ? NotezLogiciel%20stegano.htm. Une que votre image finale est aufois installé, démarrez-le puis format Bitmap (BMP) car ce typedans l’onglet Image d’origine de fichier n’est pas compressécliquez sur les trois petits point à l’inverse du JPEG. En effet unepour ouvrir l’image de votre compression occasionnerait lachoix. Dans notre exemple, perte pure et simple de votrecette image de chien pèse 2 message. Ne modifiez donc pas votre image si vous voulez que359 296 octets. Le logiciel vous l’astuce fonctionne : recadrage, conversion ou retouche sont àinforme alors qu’il est possible d’y dissimuler un fichier ou un proscrire !texte de 1 669 096 octets ! Notez que vous pouvez recadrervotre image à la souris directement dans le logiciel. 4 > La restitution du message Vous pouvez vous amuser à comparer l’image de2 > Un mot de passe ? départ et l’image modifiée mais les différences sont invisibles... Dirigez-vous ensuite vers le deuxième onglet (Fichier Armé du même logiciel, le destinataire devra ouvrir l’imageà crypter). Ici vous avez le choix entre taper directement un dans le troisième onglet, entrer le mot de passe et cliquer surtexte ou choisir un fichier de votre disque dur. Il est tout à Décrypter l’image. Il retrouvera alors notre message caché :fait envisageable de placer une autre image à l’intérieur de CE CHIEN EST LE DIABLE !!!la première... Pour plus de sécurité, le logiciel vous permet enplus d’ajouterun mot depasse. Eneffet, si unintercepteurconnaît cetteméthode de dissimulation (ici, le message est caché dans lesoctets qui codent les couleurs), il faudra en plus qu’il connaissele mot de passe. Si vous habitez en Chine, nous vous conseil-lons d’être plus créatifs que nous concernant le mot de passe !3 > L’image finale Cliquez enfin sur Fabriquer l’image pour faire appa-raître votre image modifiée. Sélectionnez ensuite Enregistrerl’image ci dessous avec ce nom pour sauver votre fichiersur le disque dur. Attention, celle-ci se nomme Message par 23
En Pratique Recherche d’informationsModifier votre voix au téléphoneOn peut se demander quel est l’intérêtde modifier sa voix pour un pirate.Pourtant cette technique se prêtetrès bien au social engineering : unprocédé qui permet de récupérerdes informations sur des tiers ou desentreprises dans le but de les tromperou d’obtenir des renseignements plussensibles (voir notre article page 10).P lus c'est gros et plus ça marche ! Nous avons vu comme une salle de travail, etc. Vous recevez un coup page 10 qu'il était à la portée de tout le monde de fil avec la voix d'une femme qui veut vous poser d'obtenir des renseignements confidentiels sur un «quelques questions» sur vos habitudes de surf, detiers. Il suffit parfois d'un peu de bagou et d'une bonne consommations, etc. La voix est sensuelle, la personnedose de confiance en soi pour rouler le plus méfiant a beaucoup d'humour et vous entendez dans le fonddes quidams. Encore plus fort : avec un simple logiciel d'autres conversations avec des bruits de téléphones.métamorphosant votre voix, il est possible d'améliorer Pour vous pas de doute, cette belle jeune femme a unvotre technique. En plus de la voix, certains types de boulot bien ennuyeux et vous compatissez. Pour nelogiciels permettent aussi de simuler des bruits de fond pas être désagréable vous accepter de répondre à ses 24
Recherche d’informations En Pratiquequestions. À début d'ordre général Changez votre voix(«Vous êtes plutôt yaourt au avec MorphVOXProfruit ou nature ?»), les questionsdeviennent de plus en plus MorphVOXPro est un logiciel payant (32 €) que vous pouvez essayer pendant 7 jours.personnelles. Vous êtes tombédans le piège. Ce logiciel est enrichi de centaines de voix et d’effets spéciaux (distorsion, bruits deDes informations pas si fond). Vous pouvez transformer votre voix avec des filtres allant des plus graves auxanodines… plus aigus. Si vous voulez juste essayer le dispositif, sachez qu’une version gratuiteEn moins de deux, vous avez donné le nom de jeune fille de (MorphVOXJunior) est aussi disponible mais elle propose bien moins d’option… votre mère, la marque de votre première voiture ou votre 1 > L’analyse plat préféré. Cela ne vous Lorsque vous démarrerez MorphVOXPro celui-ci rappelle rien ? Ce sont va tout d’abord charger un assistant qui va analyser votre ces fameuses questions voix. Cette étape est indispensable pour transformer le «de sécurité» qui son au mieux des possibilités du logiciel. Il faut en effet permettent de que votre voix soit crédible… Si vous ne possédez pas retrouver ou de de micro-casque, cliquez sur la case Echo Cancellation changer un mot de et validez. Paramétrez ensuite les périphériques d’entrée et de sortie (si vous n’avez passe… Si en plus qu’un seul casque ou micro, laissez tel quel). Rentrez ensuite un nom pour votre profil de vous avez donné voix et cliquez sur Record lorsqu’on vous le propose. Lisez alors la phrase qui s’affiche votre email, vous à l’écran. Cette dernière est en anglais mais même si vous avez un très mauvais accent, pouvez dire adieu cela n’aura que peut d’incidence sur le résultat. Si le résultat est bon, la phrase devien- à votre compte dra verte. Sinon il faudra régler votre microphone ou le repositionner. Cliquez sur Next Paypal, votre jusqu’à ce que l’assistant disparaisse. compte mail (où se trouvent 2 > Les voix encore d'autres Vous arrivez alors à la fenêtre informations principale. Sur la gauche, vous pour- «sensibles»), rez choisir une voix de robot ou de etc. Bien sûr la démon mais celles qui nous intéressent personne que vous sont celle de l’homme (vous masquez imaginiez s'appelle votre voix), celle de la femme (pour changer un peu ou «charmer») et cellekévindu92, elle n'est pas dans un du petit garçon (tout aussi efficace :centre d'appel à la recherche du «Allo madame, j’ai oublié le code pourprince charmant mais chez elle rentrer»). Cliquez dans celle qui vousavec un logiciel de modulation de intéresse et parlez dans le micro. Mira-voix en train de vous rouler. Vous cle, votre voix est transformée ! Si vous n’êtes pas entièrement satisfait du résultat, il estn'avez rien vu venir car tout a possible de faire des réglages dans Tweak Voice. Ici vous pouvez changer le timbre ouété réalisé pour vous faire croire la force de la voix. Lors d’un appel, il est aussi possible d’activer une option pour ne pasà une histoire. On peut bien s’entendre (cliquez sur Listen) ou bidouiller l’equalizer (à droite). Les Voice Effects sontsûr imaginer d'autre situation aussi à essayer… Si vous voulez ajouter des types de voix, sachez qu’il vous en coûteraavec des voix d'enfants ou de quelques deniers (Get More Voices).personnes âgées. Il est possibled'utiliser ce type de logiciel pour 3 > Les bruits de fondsimplement faire une blague, En ce qui concerne les bruits de fonds, il faudra passer parpour prouver une discrimination les Backgrounds. Il n’existe malheureusement que deux options (lesou pour rappeler une personne autres sont payantes) : la circulation avec les bruits de moteurs etsans pour autant qu'elle les klaxons ou le centre commercial. À vous d’imaginer des situationsvous reconnaisse. Le logiciel pour l’une et l’autre («Je suis bloquée dans les embouteillages, aidez-MorphVOX autorise ce genre de moi» ou «C’est le magasin X, où devait-on vous livrer au fait ?») Pourbidouillage. Ce dernier «apprend» chaque bruit de fond il est possible de régler l’intensité. En ce quivotre voix et traite son signal concerne la mise en place de votre canular, sachez qu’il est possibleen fonction de votre timbre ou d’utiliser ce logiciel avec Skype, MSN, etc. Pour un vrai coup de fil, ilde la gravité. Voyons comment va falloir gruger et positionner le combiné en face de vos enceintes et se tenir suffisam-l'utiliser et en tirer profit… ment loin des deux pour ne pas dévoiler votre vraie voix. L’option Echo Cancellation est ici tout indiquée. Faites quelques essais avec des amis auparavant pour être sûr de votre petite supercherie. 25
EN PRATIQUE PRISE DE CONTRÔLEPrenez le contrôle... à distance !La prise de contrôle à distance revêt bien des aspects. D’un côté nous avons les pirates quiessaieront de s’approprier le PC d’une personne par challenge ou pour obtenir des informationset de l’autre monsieur tout le monde qui désire aider un ami à distance ou avoir accès à desdocuments sans se déplacer. Voyons tout cela de plus près…COMMENT SE ? C’est l’angoisse de tout possesseur d’ordinateur : un beau matin vous ouvrezPROTÉGER ? votre PC et le pointeur de votre souris n’en fait qu’à sa tête. Vous avez beau déconnecter Internet, le problème revient immédiatement dès que vous1. Attention aux spams et revenez sur le réseau. Vous êtes victime d’une prise de contrôle à distance ! L’intrusion aux emails vous invi- peut être plus pernicieuse : vous ne remarquez rien mais un petit malin scrutetant à découvrir un logiciel l’intégralité de votre disque dur à la recherche de tout ce qui sera utile pour usurperextraordinaire votre identité, vous voler ou vous faire chanter… Libre à lui ensuite de formater votre ordinateur ou de transformer votre beau Dual Core en PC zombie qui ira rejoindre des2. Les sites de warez milliers d’autres sur un botnet. En effet si votre PC ne comporte plus rien d’intéressant ou pornographiques pour notre pirate, il pourra s’en servir pour attaquer d’autres ordinateurs ou l’utiliserpeuvent abriter des malwares pour lancer des attaques DoS contre des sites (de l’anglais «Denial of Service» : unede ce type…3. Ne laissez pas un inconnu se servir devotre PC et verrouillez lasession lorsque vous vousabsentez4. Paramétrez correcte- ment votre pare-feuWindows ou dotez-vous dufirewall gratuit ZoneAlarm. 26
PRISE DE CONTRÔLE EN PRATIQUEimmense quantité de requêtes envoyées vers Prenez le contrôleun site pour le faire saturer). avec CrossloopL’espion et le bon samaritain CrossLoop est un outil de partage d'écran conçu pour permettre à des utilisateurs non techniques de se connecter à un PC distant en quelquesDe plus en plus dif cile à mettre en place secondes. Disponible en français, la version gratuite ne permet que de segrâce à la démocratisation des rewall, connecter à un seul PC à la fois. C'est bien assez pour aider un ami un peuune prise de contrôle à distance est «noob» ou pour consulter des documents sur l'ordinateur du bureau…pourtant toujours envisageable pour unpirate aguerri. Il est possible de se faire 1 > ON NE PEUT PLUS SIMPLEcontaminer par e-mail ou en surfant Pour utiliser Crooloop, dirigez-vous à cettesur un site douteux. Un clic au mauvais adresse (www.crossloop.com) et créez-vous unendroit et les ennuis commencent. Une fois compte gratuitement. Après avoir validé votre comptecontaminé par un malware de type Cheval (regardez votre boîte aux lettres), téléchargez etde Troie (Trojan), ce dernier va affaiblir installez-le logiciel. Bonne surprise, vous n’avez pas àles défenses de votre PC et permettre la bidouiller votre rewall…mise en place d’un logiciel de contrôle àdistance. Sans que vous ne remarquiez rien 2 > LE PARTAGE(c’est d’ailleurs la condition sine qua none Crossloop ne comporte que deux onglets.pour que le «travail» du pirate soit le plusdiscret possible), votre PC est en libre accès. Partage indique le nom de votre PC et le code d’accèsOn peut aussi imaginer qu’un individu que vous donnerez à la personne qui voudra avoirinstalle un logiciel de contrôle à distancesur votre PC pendant votre absence. Une accès à votre PC (par téléphone, e-mail ou messageriefois sur la machine, il saura exactementce que vous faites bien au chaud chez lui. instantanée). À l’inverse, Accès permet de trouver unC’est pour cela qu’il faut absolument être PC distant : vous n’avez qu’à rentrer le code d’accès etprudent avec les personnes qui peuventavoir accès à votre ordinateur. En dehors de à cliquer sur Connexion pour vous y rendre…ces techniques de pirate, vous aussi pouvezprendre contrôle d’un ordinateur à distance 3> QUELQUESpour aider un ami, votre grand-mère ou PRÉCISIONS…pour ne pas vous déplacer à chaque fois Attention, vous ne pourrez pasque vous aurez besoin de consulter undocument placé sur un autre PC. Dans utiliser ce logiciel à des ns peunotre pas à pas, nous vous présentonsCrossloop, un logiciel très simple et qui recommandable puisque l’ordinateurpermet de faire tout cela et même plus… distant est toujours informé par une fenêtre quand l’ordinateur «maître» est sur le point de prendre le contrôle. Lorsque le maître prend les commandes, la souris et le clavier du PC est distant sont désactivés cependant ce dernier peut couper la connexion quand il veut…AVEC XP ET VISTA iIl est tout à fait possible de prendre à distance !), il existe la solution Intégrale, il faut aller dans le menule contrôle d’une machine sans pourautant installer de logiciel. Il faut www.DynDSN.org : un service qui Démarrer puis faire un clic droit surpourtant que ce PC soit équipé de vous attribue gratuitement un nom Ordinateur. Ici, choisissez PropriétésWindows XP Pro, de Vista Intégrale ou > Paramètres systèmes avancés >de Windows 7. Avant toute chose il faut de domaine et qui suit à la trace les Utilisation à distance. Dans Bureausavoir que sur Internet, toute machine à distance, cochez la case Autoriserconnectée est repérée par une adresse évolutions de votre IP dynamique… la connexion des ordinateurs… puisIP. Malheureusement, les internautes validez.n’ont souvent que des IP dynamiques Ensuite, sous Windows XP Pro, faitesqui varient à chaque fois que vousvous connectez (et même parfois un clic droit dans Poste de Travail etcomplètement aléatoirement dans choisissez Propriétés. Activez ensuitela journée). Pour ne pas être embêté l’onglet Utilisation à distance et cochezlorsque vous voulez vous connecter la case Autoriser les utilisateurs àà un PC (pas facile de connaître l’IP se connecter à distance. Ensuite, à distance, il suf t de lancer le programme Connexion bureau à distance dans les accessoires de communication et de saisir l’adresse IP (ou l’URL si vous utilisez DynDSN) du PC cible. Pour Vista 27
EN PRATIQUE NOS MICROFICHESLES ASTUCES DE LA RÉDACTION Masquer une partition Retrouvez un mot de passe ZIP avec Windows avec ZIP Password FinderSi vous avez l’envie ou le besoin de masquer une partition Vous avez sans doute déjà remarquéou un disque dur de votre système, il existe une solution que certains chiers ZIP peuvent êtrepour Windows XP, Vista et 7. protégés par des mots de passe. Très pratique pour éviter qu’un individuCliquez sur le bouton Démarrer et choisissez la n’accède à vos dossiers, ces mots decommande Exécuter. Dans la fenêtre qui apparaît, tapez passe sont pourtant faciles à oublierregedit et validez en cliquant sur le bouton OK. Pour ! ZIP Password Finder permet de retrouver le mot de passe d’une archive au format ZIP en “bruteVista et 7, tapez juste regedit dans le champ Rechercher force”. Il s’agit en fait d’essayer tous les mots de passe possibledu menu Démarrer. Repérez dans l’arborescence, la clé a n de retrouver le bon. Pour réduire le champ de recherche,HKEY_CURRENT_USER \ Software \ Microsoft \ Windows il est possible de spéci er le nombre ou le type de caractères\ CurrentVersion \ Policies \ Explorer et double-cliquez (chiffres, minuscules, majuscules, ASCII, etc.) Le logiciel indique ledessus. Créez une nouvelle valeurs Dword nommée temps estimé pour avoir un aperçu du niveau de sécurité du motNoDrives en cliquant avec le bouton droit de la souris de passe (c’est d’ailleurs aussi un bon moyen de les tester)…dans la zone droite de la fenêtre, puis en sélectionnantles commandes Nouveau et Valeur Dword. Affectez à www.astonsoft.comcette chaîne une des valeurs suivantes en fonction dulecteur que vous désirez cacher : Disque de remise à zéroMasquer le lecteur A : 1 avec Windows VistaMasquer le lecteur B : 2Masquer le lecteur C : 4 (à éviter !) Windows Vista (mais aussi Windows 7) dispose d’une optionMasquer le lecteur D : 8 permettant de créer un “disque de remise à zéro”. Il s’agitMasquer le lecteur E : 16 en fait de réinitialiser vos mots de passe de connexion dansMasquer le lecteur F : 32 le cas où vous les oublieriez. Cette sauvegarde, qui ne pèseMasquer le lecteur G : 64 qu’une poignée de Ko, ira se loger dans une vieille clé USB paretc. exemple. Insérez votre clé USB obsolète dans un des ports libres du PC et attendez que le système la reconnaisse. CliquezVous pouvez cacher plusieurs lecteurs, dans ce cas, alors sur Démarrer, allez dans le Panneau de con gurationadditionnez tout simplement les valeurs : Pour cacher le et cliquez sur Comptes d’utilisateurs. Dans le panneaulecteur A et le lecteur C, saisissez 5. de gauche, tout en haut, cliquez sur Créer un disque deFermez l’éditeur de base de registres et redémarrez… réinitialisation de mot de passe. Sélectionnez alors la lettre correspondant à votre clé et entrez le mot de passe du compte actuel. Cliquez sur Suivant puis sur Terminer. Retirez la clé USB et mettez-la dans un endroit sûr. Le jour où vous n’arriverez plus à vous connecter sous Vista, réinsérez la clé USB créée ci-dessus, cliquez sur le lien Réinitialisez le mot de passe (il apparaîtra dès le premier échec) et suivez l’assistant… 28
NOS MICROFICHES EN PRATIQUE Retrouvez votre Protection contre les malwares mot de passe Wi-Fi avec Windows avec WirelessKeyView Pour s’immiscer dans votre système, lesS’il vous est impossible de vous souvenir de la pirates utilisent des failles logiciellesclé de l’un de vos réseaux Wi-Fi, pas besoin de pour glisser des malwares au cœur desretourner l’appartement ou de réinitialiser votre applications en cours d’exécution. Orrouteur ! Il suf t de faire con ance à l’utilitaire depuis la version SP2 de Windows XP,WirelessKeyView. Installez le logiciel sur le il est possible d’activer le DEP (DataPC que vous utilisez généralement pour vous Execution Prevention) pour surveiller d’un peu plus près les services,connecter à votre réseau et il vous dévoilera les DLL, programmes ainsi que contrôler la mémoire. Même si ce modeclés de tous les réseaux sans l enregistrés par DEP est activé d’of ce avec les programmes et services intégrés àWindows dans un champ baptisé Key (Hex). Windows (Explorer, etc.), il faudra le faire manuellement avec les autres. Ouvrez le Panneau de con guration de Windows, véri ez www.nirsoft.net que vous êtes bien en mode Page d’accueil et cliquez sur Système et maintenance. Cliquez ensuite sur Système puis sur Paramètres système avancés. Acceptez l’élévation de privilèges, cliquez sur le bouton Paramètres de la section Performances puis ouvrez l’onglet Prévention de l’exécution des données. En n, cochez la case Activer la prévention d’exécution des données pour tous les programmes… Si certains programmes rencontrent des plantages via ce mode, cliquez sur Ajouter puis sélectionnez-le pour l’ajouter à la liste des exceptions. Validez et redémarrez le système. Protégez votre vie privée avec l’iPadC’est joli un iPad mais après avoir investi autant dans ce petit bout de plastique, on a forcémentla hantise de l’oublier dans un coin et de voir un inconnu fureter dedans. Au revoir vos données,vos comptes mails, etc. Apple a heureusement pensé à proposer une option permettant deprotéger l’intégralité des données avec un mot de passe. En cas de vol, ce type de protectionpeut même devenir une source de motivation supplémentaire pour vous le retourner… Alleztout d’abord dans Réglages, Général puis Verrouillage par code. Entre un nombre à 4 chiffresque vous pourrez aisément vous rappeler et éteignez la machine. Tel un code PIN, l’appareilvous demandera ce code à chaque démarrage. Il est aussi possible d’activer l’option Effacer lesdonnées qui effacera toutes les informations au bout de 10 codes erronés. Radical mais ef cace.Effacer complètement un disque duravec CHAOS ShredderLa suppression d’un chier ou d’un dossier laisse des traces sur votredisque dur et ces données peuvent être récupérées grâce à deslogiciels spécialisés… même après avoir vidé la corbeille. De même unformatage laisse toujours des traces sur un disque dur. Le seul moyend’effacer complètement un disque dur est de faire un formatage de basniveau. CHAOS Shredder est le logiciel idéal pour cette tâche puisqu’ilefface complètement les chiers en réécrivant plusieurs fois desdonnées quelconques à l’emplacement préalablement alloué aux chiers concernés. Cette technique rend impossible touterécupération ultérieure par des méthodes logicielles ou matérielles. http://safechaos.com 29
EN PRATIQUETOP SERVICES PIRATES MULTIMÉDIANEWSGROUPS # USENEXT > Usenet tout confort ! # MIDOMI TOP Recherche de chansons Nous vous avions déjà parlé de Usenet, cet ensemble de protocole qui sert à la fois de forum de discussion et de forum d'échange de chiers. Sachez que UseNeXT revient sur le devant de la scène Vous avez une en proposant une période d'essai de 14 jours complètement gratuite durant lesquels vous pourrez chanson qui vous leecher 300 Go de données ! Pour en pro ter il suf t de se munir de sa carte bancaire et de ne surtout trotte dans la tête, mais malheureu- pas oublier de résilier avant la n de la période d'essai. Libre à vous de continuer l'aventure ensuite… sement vous ne connaissez pas son auteur ou son titre… Pour retrouver ces www.usenext.fr informations, il suf t d’essayer Midomi ! Chantez ou sif otez votre air dans unMOTEUR DE RECHERCHE # YAUBA > Recherche anonyme VPN # IPREDATOR micro et la communauté vous aidera à retrouver cette chanson et à en trouver La particularité de ce moteur de recherche est Téléchargement anonyme d’autres du même acabit… de respecter votre vie privée : en effet rien n'est sauvegardé ni du côté du moteur de recherche Lorsque la loi IPRED (Intellectual Property www.midomi.com (les fameux “logs”) ni du côté client (pas de Rights Enforcement Directive) est entrée cookies !). Yauba permet aussi de visiter un en vigueur en Suède, The Pirate Bay a # TUBEOKE site internet de manière anonyme suite à une immédiatement sorti son service IPREDator ! Karaoké recherche. Bien sûr, la navigation en est un Il s'agit d'un VPN (Virtual Private Network) qui peu ralentie, mais la con dentialité est une permet aux internautes de rester anonymes Il fallait y penser, contrepartie qui vous laisse accepter ce petit en utilisant un réseau privé virtuel. En effet YouTube est désavantage. On peut aussi noter la grande la question de l'adresse IP est la clé de voûte certainement le plus grand réservoir de qualité des recherches car, comme vous pourrez des débats qui agitent en ce moment les pays clips musicaux au monde. Les inven- le constater, ce petit robot met son nez partout européens (HADOPI, etc.) Le site de IPREDator teurs de TubeOke en ont donc pro té (sites Web, ux RSS, blogs, images, vidéos, est clair : « nous ne stockons aucune donnée pour utiliser ces vidéos sous forme de documents Word, documents PDF, documents de tra c ». Par contre la tranquillité a un prix : Karaoké. Faites votre recherche parmi Power Point, réseaux sociaux, etc.) 15 € pour 3 mois… les vidéos de YouTube et les paroles apparaissent sur le côté. De quoi animer http://fr.yauba.com www.ipredator.se les soirées !TESTS EN LIGNE # PC FLANK www.tubeoke.comz Testez votre firewall # YOUCONVERTIT Conversion de fichiers Ce site en anglais permet de tester la con guration de votre rewall sans installer quoique ce soit. Le site scan les ports un à un et véri e que tout YouConvertIt est en ordre. Il existe aussi d'autres services sur cette même page qui seront permet de convertir susceptibles de vous aider : test de connexion, antivirus, test de votre facilement, rapidement et gratuitement navigateur et de votre anonymat, etc. des chiers documents, images, audio ou vidéo en ligne sans télécharger la www.pc ank.com moindre application. Il suf t d'uploader votre chier, déterminer le format de conversion et saisir votre adresse email pour recevoir le chier converti. YouConvertIt permet également de faire des conversions de mesure ! www.youconvertit.com 30
LES PIRATES CRYPTENT,NOS LECTEURSDÉCRYPTENT ! Le hacking en pratique : LES DERNIERS LOGICIELS, CRACKS, ASTUCES, ALERTES ET TENDANCES POUR SAVOIR , SE PROTÉGER ET AGIR
Search
Read the Text Version
- 1 - 32
Pages: