Re: [MISC] [FRnOG] [MISC] [Émeutes] Interdiction des réseaux sociaux ?

[Jérôme Nicolle]

Philippe,

Apple peut clamer toutes les meilleures intentions du monde, ils sont 
soumis au CLOUD Act.


Leurs pirouettes judiciaires, pour procrastiner le temps qu'un 
fournisseur de défense casse le chiffrement, ne les soustrait aucunement 
à leurs obligations légales.


Si ces obligations ne sont pas encore suffisantes pour que le 
gouvernement US ne leur torde le bras, alors il suffira d'attendre une 
prochaine crise d'hystérie sécuritaire pour que ce soit le cas.


Quand bien même le soft serait robuste et pas conçu pour le permettre, 
outre les hacks toujours possibles, ils ont toute latitude de changer le 
soft en loucedé.


Par ailleurs, s'ils clament bien "protéger les utilisateurs" d'abus des 
forces de l'ordre, quand il s'agit de vendre de la donnée - dans le 
cadre de leurs accords avec google ou en direct - le droit US le leur 
permet, ils ne pourraient pas être aussi rentables s'ils s'en privaient.


Donc les cries d'orfraies des fanboys quand on rappelle les faits, c'est 
à dire que Apple et Google c'est bonnet blanc et blanc bonnet, c'est 
drôle cinq minutes, mais c'est un peu ridicule.


Dès lors qu'une boîte est soumise aux juridictions américaines, russes 
ou chinoises, alors elle ne _peut pas_ être au niveau de protection des 
données personnelle équivalent à ce qu'offre l'Europe. C'est tout le 
sens des arrêts Schrems I et II.


Quand à ma proposition initiale, disant que c'est "plus simple de 
demander à un GAFAM qu'à un BOFS", c'est encore une question de 
juridiction. Nos MNO savent rechigner, traîner, plaider la défense des 
utilisateurs en toute hypocrisie, pour se faire subventionner - ou au 
moins indemniser - les moyens et réponses aux commissions rogatoires ou 
d'éventuelles autres procédures disponibles.


C'est pour ça que j’émets cette proposition : c'est forcement plus 
simple de négocier avec des boîtes dont on sait que la juridiction 
applicable - et leur modèle d'affaire - leur impose déjà d'en être 
capable, ce n'est alors plus que de la négociation, que de causer avec 
nos têtes de c*** habituelles.


Maintenant si tu souhaite maintenir que Tim Cook est un bisonours et 
Apple une Blanche Colombe, tant pis. Moi je m'en tiendrai au bon vieux 
rasoir d'Okam.


@+

Le 02/07/2023 à 21:25, Philippe ASTIER a écrit :
Apple ne connaît pas la position des AirTags, jamais, le réseau a été 
conçu pour ça.


Non, Apple ne possède pas et ne peut pas extraire les coordonnées GPS 
d’un iPhone. Ca aussi c’est du bullshit, vraiment, et il faut le 
consentement de l’utilisateur. Même pour des appareils d’entreprise 
gérés, ce n’est pas possible.
Je vous rappelle que c’est une des rares boites qui a fait échec au FBI 
devant la Cour Suprême ? Ou bien que les sources de macOS et d’iOS sont 
disponibles en OpenSource depuis 2001 (sous licence APSL, certes, mais 
c’est un autre débat) ?
https://opensource.apple.com/releases/ 



Alors, oui, de temps en temps, ya des failles de sécurité, et elles se 
vendent cher, parce qu’elles permettent de contourner les barrières de l’OS.


Mais parler "d’évidence en face de ta poire" quand on a aucun argument 
technique, aucune preuve ou soupçon de ce qu’on avance, c’est 
strictement le mécanisme du FUD sur lequel les complotistes se basent. 
Va lire les sources, ils sont ouverts.


Je travaille pour moi, je reste vigilant et pas naif, je surveille mon 
trafic réseau. Et j’ai des contacts suffisants dans certains milieux 
pour savoir qu'Apple fait plus que braire tous les services de 
renseignements justement, parce que ça arrangerait tout le monde qu’ils 
soient plus souples pour éviter de payer des failles de sécurité de 
certaines botites israéliennes.
Balancer des phrases « évidentes » sans aucun fondement, c’est pas mon 
style.


A chacun son opinion.


Le 2 juil. 2023 à 21:12, Jérôme Nicolle  a écrit :

Philippe,

Le 02/07/2023 à 19:56, Philippe ASTIER via frnog a écrit :
Au passage, ni Apple, ni Google ne sont en mesure de fournir les 
coordonnées GPS d’un téléphone, ça aussi c’est vraiment de la fake 
news à deux balles.


Qu'Apple n'aie pas envie de reconnaître leur capacité à le faire 
(alors que pour des airtags pas de soucis), je comprends bien le bullshit.


Mais non seulement ils ont les infos, ils en ont encore plus que ça 
qui seraient utiles à la police, même si pas souhaitables en 
démocratie. Les agences à trois lettres américaines les ont, par leurs 
loi.


Fort heureusement le fait qu'ils se drapent dans les draps de soie 
blancs d'une vierge effarouchée les aide pour l'instant à passer un 
peu à l'écart des viseurs européens, en tout cas semble-t-il.


Google, c'est différents. Leurs supports marketing (Ads) revendiquent 
cette capacité. Par contre ils ont refusé les négociations d'intercos 
pour commissions rogatoires.


Alors arrête de crier au complotisme quand c'est juste une évidence 
pleine en face de ta poire, peu importe pour qui tu bosse.


Merci.

--
Jérôme Nicolle
+33 6 19 31 27 

Re: [MISC] [FRnOG] [MISC] [Émeutes] Interdiction des réseaux sociaux ?

[Richard Klein]

Bonsoir Philippe,
Pour te répondre :
>Donc… on peut modifier un AirTag pour le suivre de manière anonyme… OK.
"Modifié" oui puisque le soft et maintenant accessible. Pour illustrer il
est meme possible de reflasher l'airtag en changeant la petit pusique

>Mais on ne peut pas repérer ou extraire les coordonnées d’un AirTag qui
n’a pas été modifié.
L'airtag ou Beacon ne connais jamais sa position.
L'airtag va émettre un "signal" ADVERTISSEMENT qui va dire "je suis
l'airtag Bleu,blanc rouge" et tous les IBidules a l'écoute du
ADVERTISSEMENT vont recevoir  "je suis l'airtag Bleu,blanc rouge"/chiffré
,PRENDRE EN COMPTE LA POSITION de L'IPHONE(l'airtag est passif) et
transmettre aux serveurs d'apple qui va l'associer avec l'identifiant
Icloud du propriétaire du Beacon.
Il reste encore la puce U1 qui n'a pas livré tous ses secrets mais ce
système  serait plus précis que du GPS civil car selon la densité de
IBidule il serait possible de faire de la localisation même dans les
bâtiments ou le signal GPS ne passe pas.
Le BLE en indoor a une portée de 10m et il est possible d'analyser le RSSI
donc d'affiner la distance du beacon.

Pour donner une image le Beacon est un phare et le marin et son bateau sait
se repérer sur sa carte par rapport au phare .

>Et oui, le soft est le tendon d’Achille de la plupart fard appareils
électroniques...
Et surtout que lorsque il y a une chaine de transmission il est toujours
possible de remonter la cahine dont le premier maillon est le IBidule...

Le dim. 2 juil. 2023 à 23:26, Philippe ASTIER 
a écrit :

> Donc… on peut modifier un AirTag pour le suivre de manière anonyme… OK.
>
> Mais on ne peut pas repérer ou extraire les coordonnées d’un AirTag qui
> n’a pas été modifié.
> Au fait, l’AirTag lui-même ne connait pas sa position absolue, il n’y a
> pas de GPS, il est repéré par sa proximité avec d’autres appareils Apple.
>
> Et oui, le soft est le tendon d’Achille de la plupart fard appareils
> électroniques...
>
> Le 2 juil. 2023 à 23:06, Richard Klein  a écrit :
>
> Pour être en cours d étude/reverse engineering du nrf52832 qui compose les
> airtags et autre beacon clone chinois ou équivalent sous Android /Samsung
> Apple je confirme l'histoire des clefs.
> Par contre Apple utilise du chipset nordic ou il y a eu un petit hack pour
> faire un dump du programme.
> La méthode du Glitch de l'alimentation est un classic en électronique et il
> y a 30ans les premiers microcontrôleur Pic 16C5x était sensible à ce type
> d'attaque .
> Je trouve cela un peu léger de la part d'Apple sur ce coût la.
> La démonstration est donc faite qu'il est possible de faire des clones
> d'airtag( voir sur Aliexpress), qu'il est possible de générer le couple de
> clefs et qu'il est possible d'outrepasser les notifications de suivis d'un
> beacon qui n'est pas le votre.
> Première conclusion : ce n'est pas parce qu'il y a des clefs pour chiffrer
> que le système est infaillible.
> La première option serait simplement de taper sur les iphones pour
> récupérer la position de l'iPhone.
> Le patriot Act de toute façon fera le job.
> Quand les ordinateurs quantique seront en vente a la Fnac les clefs seront
> une formalité de quelques secondes :-)
> Seconde conclusion :
> Il y a des discussions pour imposer aux entreprises française de faire
> auditer leurs SI pour éviter les cyber attaques .
> Pourquoi il n'est pas imposer au éditeurs de faire auditer leurs softs
> avant la vente du produit et idem pour le matériel.
> L'histoire de l'informatique et des télécoms montrent que parfois il y a eu
> des failles "volontaire"
> Pour résumer mieux vaut prévenir que guerrir
>
> Désolé pour tous les hors sujets mais nous sommes entre Dredi et dimanche .
> Je précise que mon iPhone est proche de la limite des 16 airtags max ;-)
>
> Richard
>
> Le dim. 2 juil. 2023 à 22:23, Romain  a écrit :
>
> Officiellement Apple ne connaît pas la position d’un AirTag. La position
> est envoyée chiffrée avec la clé publique et seule la clé privée sur le
> compte du propriétaire peut la lire.
>
> Après…
>
> Le dim. 2 juil. 2023 à 21:12, Jérôme Nicolle  a écrit :
>
> Philippe,
>
> Le 02/07/2023 à 19:56, Philippe ASTIER via frnog a écrit :
>
> Au passage, ni Apple, ni Google ne sont en mesure de fournir les
>
> coordonnées GPS d’un téléphone, ça aussi c’est vraiment de la fake news à
> deux balles.
>
> Qu'Apple n'aie pas envie de reconnaître leur capacité à le faire (alors
> que pour des airtags pas de soucis), je comprends bien le bullshit.
>
> Mais non seulement ils ont les infos, ils en ont encore plus que ça qui
> seraient utiles à la police, même si pas souhaitables en démocratie. Les
> agences à trois lettres américaines les ont, par leurs loi.
>
> Fort heureusement le fait qu'ils se drapent dans les draps de soie
> blancs d'une vierge effarouchée les aide pour l'instant à passer un peu
> à l'écart des viseurs européens, en tout cas semble-t-il.
>
> Google, c'est différents. Leurs supports marketing (Ads) revendiquent
> cette