Services
Selon une étude réalisée par des chercheurs en sécurité, des équipements peu coûteux permettraient de lire à distance, dans le réseau d'alimentation électrique, les caractères frappés sur certains claviers.
Les chercheurs Andrea Barisani et Daniele Bianco, de la firme Inverse Path, affirment qu'ils ont pu lire les caractères qui étaient frappés sur un clavier PS/2 jusqu'à une distance de 15 mètres.
Les chercheurs expliquent que, dans les claviers de type PS/2, les fils électriques sont près les uns des autres et qu'ils sont faiblement isolés, ce qui permettrait l'induction des données dans le fil de mise à la terre. La fuite des données - mesurées comme des variations de voltage - serait ensuite transmise vers les fils de mise à la terre de la prise de courant, et pourraient être détectée à une certaine distance avec des appareils relativement communs et peu coûteux.
D'après la BBC, les claviers de type PS/2 faciliteraient ce type d'écoute électronique car les données sont transmises un bit à la fois, et à une cadence relativement faible.
«Le signal carré du PS/2 est conservé avec une bonne qualité... et peut être décodé vers les informations originales de frappes au clavier», indiquent Andrea Barisani et Daniele Bianco sur le site de la BBC.
Les deux chercheurs feront une démonstration d'espionnage à distance grâce aux fuites dans les prises de courant lors du congrès Black Hat qui se tiendra à Las Vegas, du 25 au 30 juillet 2009.
par Jean-Charles Condo
Il me semble avoir déjà entendu parler de ça voilà quelques années. Je me trompe peut-être.
Trop peu trop tard, il ne se font pratiquement plus de clavier PS/2, encore nombreux dans les entreprises par contre, mais qui sont détrônés par les USB. On peut dormir tranquille.
@ND
Il y a quelques décennies.
SI je dis bien SI cette information était connue des services de renseignements ou de services de renseignement privé ...
Combien de pitonneux ont du se faire espionner svp lol
( espionnage industriel surtout )
@ND
Si ma mémoire est bonne, il y a quelques années, un test semblable avait été fait et démontrait qu'il était possible de déchiffrer les caractères tapés par le son des lettres du clavier.
C'était plustôt par les ondes émisent par les tube cathodiques des écrans.
De toute façon, je crois qu'il faut plus s'inquiéter des attaques de type social engineering que de ces conneries théoriques. Personne utilise ces méthodes!
L'être humain est de nature peu méfiante alors pourquoi utiliser des techniques complexes alors que le plus simple est souvent de demander l'information!
ND: moi aussi ça me dit quelque chose... tu ne te trompes pas. Ça m'avait surpris de lire ça, ça date de quelques mois. Mais bon, j'ai pas le temps de chercher.
heu !
Si je comprend bien, c'est via une prise de courant ?
Donc on passe par le mise à le terre du power suppley de l'ordinateur.
Donc normalement, devrait y avoir pas mal de bruit.
Pis ... s'il y a 45 ordinateurs avec 45 personnes qui tape en même temps. :)
M'enfin ... c'est un peux nul comme truc.
Pourquoi s'en étonne t ton alors qu'avec certain Fournisseur d'accès Internet on peut capter la TV par les prises électriques :)
Donc pourquoi pas le clavier ! Après c'est vrai qu'au niveau espionnage c'est limite. Mais pas choquant !
Pourquoi s'en étonne t ton alors qu'avec certain Fournisseur d'accès Internet on peut capter la TV par les prises électriques :)
Donc pourquoi pas le clavier ! Après c'est vrai qu'au niveau espionnage c'est limite. Mais pas choquant !
Pourquoi s'en étonne t ton alors qu'avec certain Fournisseur d'accès Internet on peut capter la TV par les prises électriques :)
Donc pourquoi pas le clavier ! Après c'est vrai qu'au niveau espionnage c'est limite. Mais pas choquant !
Systèmes d’informations hébergés et risque d’espionnage économique des voyages d’affaires
Il est bien connu que les industriels français sous-estiment largement les risques d’espionnage économique et que bien souvent les oiseaux de mauvais augure font figure de « théoriciens du complot » et de gentils paranoïaques trop versés dans le roman à suspens … Et c’est ainsi que les administration et les groupes industriels les plus sensibles continuent de confier des données ultrasensibles à des entreprises étrangères sans aucune garantie quant à l’utilisation ultime de ces informations. Il y quelques années certains experts ont mis en garde les autorités contre l’usage des mails sur Blackberry et malgré les indictions édictées par le SGDN, cette solution a continuer de se répandre dans les entreprises et les administrations. Il est frappant de constater que, non seulement le risque a été constamment minoré, mais qu’aucune solution alternative n’a véritablement vu le jour. Nécessité faisant loi, des millions de données commerciales circulent aujourd’hui sur cette plateforme sans aucun contrôle … et les Cassandre se sont tues.
Bases de données stockées aux USA : Depuis les attentats du World trade center, une loi autorise la CIA pour une « lutte anti terroriste », a avoir accès à toute donnée présente sur le territoire américain (y compris un PC d’une personne en transit). Cette même loi interdit aux entreprises US d’avoir leurs données hébergées hors du territoire.
CRM :
Les données commerciales exploitées sur des outils développés par des sociétés américaines comme Salesforce.com. Cet outil, permet à des entreprises de faire héberger des listes de clients, des stratégies commerciales et même des offres financières sur des serveurs à l’extérieur de l’entreprise (aux USA). Du pain béni pour un concurrent potentiel qui, s’il avait accès à ces informations, serait aux premières loges pour remporter les marchés à un coût « optimisé ». La plupart des groupes internationaux sont séduit par ces solutions dont de nombreuses entreprises françaises, concurrentes d’entreprises américaines.
Informations financières et prospection pour le compte d’entreprises :
Des entreprises telles que Dun et Bradstreet proposent des services de ventes de « leads » sur des projets. Une connexion avec des données stockées chez Sales force permettrait d’alimenter les concurrents de nos groupes hébergés de mines d’informations (projets en cours, qualifiées avec les bons interlocuteurs, voir les tarifs) : plus besoin de faire les poubelles pour retrouver les propositions financières ! Des entreprises comme Microsoft proposent ces services à leurs partenaires.
Par ailleurs, il semblerait que ce même Dun et Bradstreet exploite des licences INSEE hors de France (ce qui est interdit), en Angleterre ou aux USA, et centralise des bases de données qui comprennent notamment la surveillance des clients de grands groupes. (Informations au combien intéressantes).
Déplacement professionnels
Dans le domaine des déplacements professionnels, la situation semble anodine et pourtant…
Qui n’a pas rêvé de connaître les déplacements de son principal concurrent ou de la partie adverse d’une négociation serrée ?
Le voyage d’affaire est maintenant très largement automatisé au sein des entreprises et des administrations. Des outils de réservations en lignes (SBT), des cartes de paiement centralisées, aux outils d’ordre d’ordres de missions et de notes de frais, c’est toute une chaîne de systèmes d’information qui enregistrent, stockent (souvent sur des serveurs situés aux Etats-Unis) et traitent une information apparemment anodine mais en réalité très sensible.
Dans le contexte de concurrence internationale, de nombreuses sociétés françaises (y compris du gouvernement français) confient à American Express des informations du détail des voyages en payant leurs voyages avec des Cartes BTA qui complètent les cartes corporate. Ces informations avec un détail très précis permettent de retracer précisément tous les déplacements de nos dirigeants. Ces informations stockées pour l’Europe en Angleterre à Brighton, sont transmises aux USA à Miami toutes les nuits.
La stratégie d’AEV filiale d’American Express a été modifiée récemment, elle souhaitait développer des clients sur la technologie Etravel (SBT) fournie par le consortium Européen Amadeus. Mais concomitamment à une grosse augmentation de capital par des fonds de pension américains, Kds alors qu’il offre un outil instable a été soudain renforcé sur le plan Europe. Avec une information de cette nature, on sait même à l’avance l’hôtel réservé et la place dans le train ou l’avion.
American Express vient d’investir lourdement chez un éditeur de notes de frais américain et de réservation en ligne « Concur ». Celui-ci a acquis le leader français sur les grands comptes et les administrations Etap on Line, qui équipe de nombreuses entreprises du CAC40 dont Areva, Thales, Ministère de la défense, France telecom, Total, Eads … ). Sur ce type de solution, on peut connaitre le motif des déplacements, et le détail des déplacements.
D’où vient cette apparente naïveté qui conduit nos dirigeants à ignorer ces risques et ne prendre ainsi que des précautions limitées ? Sans doute la réponse réside t’elle dans la méconnaissance que l’élite française a longtemps entretenu sur les systèmes d’information en général. On utilise ces outils sans y réfléchir car on ignore tout de leur fonctionnement intime. Cela tient sans doute aussi à l’émergence somme toute récente d’une véritable direction de l’intelligence économique au sein de l’administration, le risque informatique ayant longtemps été occulté par des problématiques plus directement centrées sur la sécurité des personnes.
