1 commentaires

 
GN⁺ 2024-12-22
Commentaires sur Hacker News
  • En écoutant les épisodes de Darknet Diaries qui traitent de NSO Group directement, ou du point de vue de personnes qui ont été ciblées, on se rend compte à quel point ils sont terrifiants.
    Ce qui pose particulièrement problème, c’est qu’ils opèrent sous la protection des États-Unis et sont de fait autorisés à surveiller des citoyens américains sans quasiment aucune responsabilité.
    Le cas de l’écoute illégale de Ben Suda après qu’il a commencé à enquêter sur des crimes de guerre israéliens était particulièrement répugnant, et il semble que cela ait servi à intimider le procureur ou à dissimuler des preuves visées par l’enquête.
    Il est aussi grave qu’ils aient exploité une faille en portant l’affaire devant un tribunal puis en la retirant, afin de dire à la CPI qu’ils avaient « tenté de poursuivre », empêchant ainsi la CPI de se saisir du dossier.
    Beaucoup de pays font sans doute des choses similaires, exploitent des botnets ou intimident des journalistes, mais ce qui est particulier ici, c’est que les organisations de renseignement israéliennes bénéficient, aux côtés du gouvernement américain, de la protection totale des États-Unis, sans aucune surveillance ni contrôle.
    Nous vivons déjà dans la dystopie contre laquelle on nous mettait en garde depuis des décennies.

    • Les États-Unis hébergent et protègent aussi des entreprises qui font cela mieux que NSO.
      Ce n’est pas seulement parce que ces entreprises sont assez intelligentes pour ne pas se retrouver dans l’actualité.
    • Le principe de complémentarité de la CPI ne s’applique pas aussi facilement si l’enquête nationale n’est manifestement pas menée de bonne foi.
      La CPI peut ignorer une enquête nationale qu’elle juge ne pas être une tentative sérieuse.
      Ce serait un tribunal assez ridicule si l’on pouvait échapper à toute responsabilité en faisant seulement tourner entre soi de fausses enquêtes.
    • Dans la mesure du possible, j’essaie de ne pas utiliser de technologies israéliennes dans ma stack.
      Je ne sais pas si l’on peut utiliser un logiciel comme Snyk sans se mettre en danger. Ses fondateurs sont d’anciens membres de l’IDF Unit 8200.
      Surtout dans le domaine de la sécurité, utiliser de la technologie israélienne me donne l’impression de faire entrer le loup dans la bergerie. Non merci.
  • Il serait plus approprié de traiter les propriétaires ou les décideurs de NSO de la même manière que Gary McKinnon.
    Sauf qu’eux semblent être du côté « plus égal » que les autres.

  • Je ne suis pas avocat, donc j’ai peut-être mal compris quelque chose, mais le plaignant n’est pas constitué des journalistes : c’est WhatsApp.
    Cette affaire semble porter moins sur la responsabilité de NSO Group pour le piratage de journalistes que sur la question de savoir s’ils ont « dépassé leurs autorisations » vis-à-vis de WhatsApp en envoyant le vecteur d’installation de Pegasus aux victimes via WhatsApp.
    Le fait que des journalistes aient été compromis est accessoire ; la décision traite de la question de savoir s’il y a eu dépassement d’autorisation dans les systèmes de WhatsApp plutôt que de savoir si l’accès aux victimes était non autorisé.
    Le jugement considère aussi que, puisque tous les utilisateurs de WhatsApp sont autorisés à envoyer des messages, il ne s’agit pas d’un « accès non autorisé » même si ces messages contiennent un logiciel espion ; seule la théorie du « dépassement d’autorisation » est retenue.
    La défense a soutenu que le vecteur d’installation de Pegasus n’avait fait que transiter par les serveurs de WhatsApp comme n’importe quel autre message, et que les informations obtenues provenaient non pas des serveurs, mais des appareils des utilisateurs ciblés.
    Les plaignants se sont appuyés sur l’expression « tout ordinateur protégé (any protected computer) » figurant dans la disposition, et il a été établi lors de l’audience que WIS obtenait des informations sur les appareils ciblés non seulement directement depuis les appareils des utilisateurs, mais aussi via les serveurs de WhatsApp.
    Si l’on remonte aux pièces précédentes du dossier, NSO Group avait scripté un faux client WhatsApp qui envoyait des messages impossibles à envoyer avec l’application normale, et s’en servait pour obtenir des informations sur les appareils ciblés.
    La logique est que le faux client faisait des choses qu’un vrai client ne pouvait pas faire et qui étaient interdites par les conditions d’utilisation, donc qu’il dépassait les autorisations.
    Il faut prendre un instant pour réfléchir à ce que cela implique. Je ne dois pas être le seul à avoir déjà créé un client alternatif pour quelque chose.
    WhatsApp ne semble pas soutenir que le faux client a exploité une vulnérabilité pour obtenir les informations, mais que le simple fait qu’il s’agissait d’un faux client suffit. Il existe toutefois des passages caviardés qui pourraient être pertinents sur ce point.
    Le CFAA est assez vague et a déjà été appliqué de façon très large par le passé, donc ce n’est pas surprenant, mais après l’affaire Van Buren il y a quelques années, j’espérais que l’interprétation large transformant une violation des conditions d’utilisation en violation du CFAA reculerait un peu.
    Le jugement pour les personnes intéressées : https://storage.courtlistener.com/recap/gov.uscourts.cand.35...
    Pour consulter d’autres pièces contenant les arguments des deux parties, voir CourtListener : https://www.courtlistener.com/docket/16395340/facebook-inc-v...

    • J’ai déjà créé des clients non officiels, et j’ai aussi dû combattre des clients non officiels malveillants sur des services que j’exploite.
      Donner un chèque en blanc total à l’un ou l’autre camp n’est pas viable.
      Les 99,99 % de clients qui fonctionnent correctement sont implicitement tolérés, mais je ne suis pas opposé à ce que ceux qui diffusent des malwares ou contournent les limites de débit se retrouvent devant un tribunal.
    • Vu la nature des parties prenantes, la manière la plus propre d’atteindre l’objectif est de viser la question des autorisations.
      Cela déplace l’attention de qui a fait quoi vers la manière dont cela a été fait.
      Cela permet de limiter la perte de face pour les parties prenantes, de protéger les sources et les méthodes, et d’envoyer tout de même un message.
      La loi est rédigée de manière aussi large que possible. Si cela avait été un Américain plutôt que NSO Group, on l’aurait poussé à plaider coupable avec un calcul absurde des dommages et intérêts, au lieu de milliers de mois de prison.
    • Il est clairement temps de réformer le CFAA.
      Il n’est pas difficile de soutenir qu’il est vaste et vague, et sa portée générale peut facilement englober des comportements en ligne inoffensifs.
    • Il me semble difficile pour un utilisateur de WhatsApp d’avoir qualité pour agir contre les personnes qui ont piraté WhatsApp afin de récupérer ses données.
      Le système appartient à WhatsApp, donc c’est à WhatsApp d’intenter l’action.
    • Si la partie en question est « a obtenu des informations sur les appareils des utilisateurs ciblés avec un faux client envoyant des messages impossibles à envoyer avec l’application normale », alors la distinction du dépassement d’autorisation me paraît assez claire.
      Je ne lis pas cette décision comme défavorable aux personnes qui veulent créer leur propre client.
      Ils ont délibérément créé un client tiers à des fins malveillantes.
      Si vous créiez un client Discord pour envoyer du spam ou nuire aux utilisateurs, il serait tout à fait raisonnable que cela pose problème.
  • Je pensais que WhatsApp et Signal partageaient le même chiffrement

    • Il ne s’agit pas d’affirmer que le chiffrement a été cassé
      L’application elle-même traite beaucoup d’entrées non fiables ; par exemple, la génération de vignettes pour les fichiers vidéo reçus crée une surface d’attaque significative en dehors du protocole
    • C’était un buffer overflow dans la pile VoIP
      https://www.theverge.com/2019/5/14/18622744/whatsapp-spyware...
      Fait intéressant, Signal et d’autres avaient aussi une vulnérabilité similaire sur Android à cause de la pile WebRTC
      https://googleprojectzero.blogspot.com/2020/08/exploiting-an...
      Dans les deux cas, le gros problème était que l’exploit s’exécutait avant même que l’utilisateur ne réponde à l’appel
      Une messagerie sûre ne devrait pas exécuter, pour le compte d’une entité en laquelle l’utilisateur n’a pas réellement confiance, du code intrinsèquement peu sûr, c’est-à-dire du code complexe
      À mon avis, la valeur par défaut devrait toujours être le texte brut
    • Ce groupe a exploité un bug de WhatsApp pour livrer un spyware
      Ce n’était pas un problème de chiffrement de bout en bout
      Un juge américain a donné raison à WhatsApp, de Meta Platforms, dans un procès accusant l’israélien NSO Group d’avoir exploité un bug de l’application de messagerie pour installer un logiciel espion permettant une surveillance non autorisée
    • L’attaque ne visait pas la partie chiffrement de WhatsApp
      Le chiffrement est important, mais c’est rarement le maillon le plus faible de la chaîne de sécurité
    • Il faut commencer à partir du principe que tout moyen de communication est déjà compromis
      Des organisations comme la NSA ne vont pas lever les bras et renoncer face à des applications comme Signal. Si c’est l’une des applications de messagerie les plus téléchargées, cela vaut largement l’investissement pour la compromettre
      Mieux vaut considérer que tout ce qui implique un téléphone ou un ordinateur est intrinsèquement non sûr
      En revanche, des méthodes analogiques comme un carnet de codes à usage unique ou couvrir sa bouche de la main pour chuchoter à l’oreille de quelqu’un ne créent pas un rapport de force aussi déséquilibré entre États et individus que les communications numériques, qui ont probablement déjà été compromises d’une manière ou d’une autre
  • La phrase « les entreprises de surveillance doivent savoir que la surveillance illégale ne sera pas tolérée » est à la fois un peu drôle et triste
    Dit autrement, on dirait que Meta accepte que les utilisateurs de WhatsApp soient « surveillés légalement »

    • Toutes les entreprises de réseaux sociaux autorisent la surveillance légale
      Aux États-Unis, des mandats et des ordonnances d’interception sont délivrés tous les jours
    • Ça me paraît évident
      Meta veut le monopole de la surveillance des utilisateurs
      Il n’est pas permis de surveiller les utilisateurs via les produits de Meta
      Si vous voulez surveiller des utilisateurs, il vous suffit de créer votre propre application, suffisamment populaire pour que des milliards de personnes s’y inscrivent volontairement et consentent à la surveillance
  • C’est ironique quand on pense que le FBI et la CISA ont annoncé aujourd’hui même qu’il ne fallait pas utiliser les SMS pour l’authentification à deux facteurs, mais WhatsApp
    Bien sûr, le principal problème qu’ils pointaient était le fait que les utilisateurs mobiles cliquent sur les liens dans les SMS
    Nous vivons pour la plupart dans des environnements captifs et anti-consommateurs, au point que je ne sais même pas s’il existe vraiment de bons conseils
    https://www.newsnationnow.com/business/tech/fbi-warns-agains...

    • Bien sûr qu’il existe de bons conseils
      Il faut toujours préférer les applications d’authentification aux SMS
      Les passkeys devraient aussi représenter une grosse amélioration sur ce point
    • WhatsApp ne serait plus vulnérable à ce piratage, et les applications SMS ont elles aussi eu des vulnérabilités similaires par le passé
  • Il ne devrait y avoir aucune différence entre ces entreprises et les opérateurs de botnets ou groupes de ransomware ordinaires
    Les dirigeants devraient prendre 20 à 30 ans de prison et être extradés partout dans le monde
    Le tort causé à la société par ceux qui piratent des journalistes et des responsables politiques, mettant en danger non seulement leur portefeuille mais littéralement leur vie, pourrait être encore plus grand que celui causé par les groupes de ransomware
    À part l’extraction de données concernant une personne déjà condamnée, avec des droits de la défense garantis dans un tribunal public, il ne devrait pas exister de piratage « légal » de l’appareil de quelqu’un

    • Ce n’est pas si différent des « armes » traditionnelles
      Je n’aime pas l’analogie avec les « cyberarmes », mais ici elle fonctionne
      Vendre des armes à des gouvernements, même à des gouvernements à la réputation douteuse, ne vous attire presque jamais d’ennuis, sauf dans des cas vraiment extrêmes
      Vendre des armes à des gangs de rue, c’est une tout autre histoire
      Je ne vois pas en quoi cette situation serait différente simplement parce qu’il s’agit de « piratage »
    • Ceux qui ont piraté des journalistes devraient clairement aller en prison
    • Je suis d’accord avec la première partie, au moins dans l’esprit
      Mais la deuxième partie n’a aucun sens
      Si le président des États-Unis peut ordonner de tuer des terroristes par drone sans les traduire en justice, il peut aussi ordonner le piratage de leurs téléphones
      Si l’on considère que ce dernier ne peut absolument jamais être acceptable, il faudrait sans doute commencer par combattre le premier
    • Les Israéliens ne seront extradés vers les États-Unis pour rien du tout
      C’est amusant, alors même que les États-Unis soutiennent financièrement quasiment tout ce pays
      C’est devenu une sorte d’endroit où l’on permet à Israël d’enlever les gants et de menacer militairement ses ennemis, afin que les États-Unis puissent continuer à faire semblant de défendre un « ordre mondial fondé sur les droits » sans être accusés de l’avoir fait eux-mêmes
    • Imaginez que NSO soit poursuivi avec autant d’acharnement que Wikileaks