Le Kinect de Microsoft Xbox : Un Outil d’Espionnage

Sympa la video, je suis quotidiennement infowars.com je l’avais vu il y a 2 jours,
J’ai ete interpelle par l’analyse mais pas surpris.
Cependant, j’aimerai nuancer les propos de la video du point de vue technique.

Le vrai risque n’est pas l’intrusion au sens propre du terme. Il ne faut pas s’imaginer qu’avec ces nouvelles devices (et j’ai google glass project en tete aussi) que des connections se feront des services derenseignement vers la device.
L’intrusion dans la vie privee ne se passera pas comme cela.
On peut distinguer 2 types d’attaques :
- live (en temps reel sur la device, hacking au sens mediatique du terme)
- dead (en temps differe non pas sur la device mais sur les donnees stockees a l’exterieur de la propriete de l’utilisateur)

Bien sur la premiere restera possible, en fait c’est la plus repandu. C’est l’action d’identifier une device sur un reseau et de frapper a sa porte pour voir comment rentrer.
C’est comme tenter de faire du port scanning sur une IP pour voir les services accessibles et de la identifier le protocole que les services utilisent.

Non, non, ici il ne s’agit pas du tout de cela.

Il s’agit de tirer benefices de toutes les donnees stockees par des tiers depuis que le web 2.0 a commence, j’ai a l’esprit facebook google microsoft etc.....
Les pepites d’or sont sur leur serveur. C’est aussi pour ca qu’en 2008 le projet de salles de stockage (18 stades de foot !!!!) pour la NSA a ete passe. C’est ce meme sujet qui a refait surface il y a un mois ou 2 devant le congres americains. Ils ont convie le chef de la CIA ou NSA je sais plus pour lui demander si le complexe allait etre utiliser pour espionner les citoyens et dans la video, le type repond clairement non, bref passons encore un autre mytho.

Donc je reviens a cette salle de 18 stades de foot en preparation.
Ces salles vont servir a plusieurs choses :
- stocker presqu’a l’infini (j’exagere mais on atteint des volumes incommensurables qu’ils pourraient copier tout le web s’il le voulaient)
- decrypter tout ce qui doit etre decrypte.

Vous savez surement que l’algo symmetrique (non publique) le plus a jour est Rjindael (et oui c’est flamand et ca vient de louvain :).
Cet algo est standardise par la DoD c’est donc un gage de qualite,
Meme dans la communaute des crackers il est connu que AES (l’implementation de Rjindael) est a ce jour incassable ! On va le casser oui mais on a le temps.

Cependant, tout algo est sujet au bruteforce !!!! Et le pot aux roses depuis moins de 5/6 ans est que l’industrie des cartes graphiques produit des processeurs qui ont une capacite de calcul qui depasse les processuers x86 de facteurs allant jusquau millier.
Restez avec moi svp.

Maintenant vous avez peut etre lu dans les 2 ans passe que les Marines US ont developpe des salles de cacul avec que des .........PS3 !

Bon et bien il faut savoir que la PS3 par example est une device qui peut tourner linux (other OSs option) et lse soft de brute force sous linux sont legions.

bon je pourrai continuer encore longtemps mais je vais faire vite.

mon propos :

Ce ne sont pas les devices qui vont etre attaquees mais les donnees que le devices vont exportees sur les servers.
Dans le cas de google, pensez a tout ce que ce geant stock sur vous et bien ce sera processe classe et centralise comme pour une DB. Une seule primary key (votre nom ou SS) et TOUTES les data trouvees sur ces servers (qui je vous le parie font deja regulierement des copies des DB des grands majors de l’indsutrie) y seront liees.

Maintenant regardez la Kinect. Comment vont ils pieger le user ? Il y aura des options de stockage distance, de plus en plus d’offres de cloud computing, d’externalisation du stockage, pour simplement en faire la copie et passer tout ca a travers leur mega uber giga algo qui correlece qui doit etre correler.

Oui il y aura des cas de hacking de la device, genre omg j’ai un user que j’ai pas cree sur mes googleglass (un type pourrait vous ce que vous voyez) mais ce ne sera pas le but final.
Le but final etant de creer une DB geante de tous les individus et toutes linformations trouvees sur l ;’individu dans les dat astocke.

Vous comprenez maintenant pourquoi facebook est un leurre ?
A l’heure ou j’ecris, des algo correlent toutes les datas des DB de facebook et google et microsoft etc.... et remplissent des DB interrogeables par des operateurs en fonction de quelques mots cles (primary key dont je parlais plus haut).

C’est ca le vrai danger, l’attaque differee pas celle en temps reel, car pour l’attaque en temps reel un bon firewall sous linux et bien configure et ca suffit a eviter de se faire penetrer sa device. Non ce qu’ils veulent c’est les data que vous avez VOUS MEMES externalisees.