Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

1200 détenus US privés de leur SecureBook suite à un hack matériel

11 mars 2024 à 09:57

Minimachines.net en partenariat avec TopAchat.com

Les portables SecureBook ne sont pas les machines de monsieur et madame tout le monde. D’ailleurs, même si ils étaient mis en vente pour le grand public, personne n’en voudrait. Il s’agit d’un de ces nombreux produits destinés au marché carcéral américain. Des produits que l’on reconnait facilement parce qu’ils sont… transparents.

Un magnétophone transparent, sans fonction d’enregistrement

L’administration US juge plus pratique de forcer des fabricants spécialisés à proposer des produits employant des plastiques transparents plutôt que d’implanter des yeux à rayons X aux gardiens. Voir au travers d’un de ces engins permet de voir si aucun produit illégal y transite. Cela permet également de voir la  différence entre les machines. Le magnétophone ci dessus existe en deux versions. La première en plastique classique avec une possibilité d’enregistrer. La seconde en plastique transparent sans bouton Record. En enlevant cette fonction, on est sur que la voix d’un détenu ne puisse pas sortir sans être contrôlée par l’administration. Eviter que des ordres directs d’un chef mafieux à ses hommes puissent être donnés. Cela permet également de créer un marché spécifique, facile à identifier, de produits qui ont le droit d’être vendus et utilisés en prison. Au passage, les détenus qui souhaitent ces produits sont forcés de les acheter au prix fort au système pénitentiaire… De nombreux produits « transparents » sont ainsi proposés à ce public captif : téléviseurs, liseuses, lecteur de CD, casques audio, radios… et même machines à écrire.

Une radio transparente

Tout ces appareils sont collectionnés, certains apprécient leur design transparent et si ils n’ont pas envie de s’en servir, ils aiment apercevoir les entrailles de ces machines. Si la justice US a décidé de cette transparence, c’est évidemment pour des raisons de sécurité et de contrebande. Mais pour d’autres, cela provoque sans doute une certaine émotion esthétique.

Les SecureBook : des ordinateurs portables pas comme les autres

Evidemment, l’informatique est au programme. Beaucoup de détenus essayent de passer des diplômes pendant leur incarcération et y parviennent grâce à des programmes d’enseignement spécifiques mais également des cours « classiques ». Ces cours étant devenus dématérialisés pour la plupart, il leur faut un outil informatique. C’est là que les « SecureBook » entrent en action.

Cette gamme d’ordinateurs portables a été pensée de A à Z pour être sécurisée. Le BIOS est protégé, la machine n’offre pas de liaison vers l’extérieur, elle embarque un matériel un peu vieillot qui se justifie amplement par les usages limités qu’elle est censée octroyer. Sa connectique est ultra limitée avec aucun port USB, sa mémoire est soudée et… l’engin n’avait pas de stockage interne. Il n’est pas vraiment question que ce SecureBook puisse être volé et atterrisse dans une cellule non prévue pour son usage. Il n’est donc possible de s’en servir que sur un dock fixé dans un lieu identifié. Personne ne voudrait évidemment d’un engin pareil. D’autant que ces engins sont vendus probablement au prix d’un portable haut de gamme  aux détenus.

Il y a peu, un de ces SecureBook 5 s’est retrouvé dans la nature. Un internaute l’a acheté sur Ebay et s’est pris au jeu de le hacker. Un challenge intéressant puisque le constructeur a tout fait pour le rendre impénétrable. Son BIOS, par exemple, avait la capacité de se remettre « par défaut » à chaque démarrage. Empêchant ainsi d’altérer sa séquence de démarrage. Son absence de stockage était également un gros challenge et le fait que l’engin n’ait aucune connectique classique un véritable casse tête. Cependant, @zephray_wenting est parvenu à ses fins. Il a d’abord été nécessaire de trouver le mot de passe du BIOS puis de remplacer la puce physique de celui-ci  à chaud1. Il a ainsi pu modifier la machine de manière à lui faire conserver ses réglages en mémoire. Il a également fallu souder un hub USB sur l’engin et trouver un disque dur compatible. Une liste limitée de modèles spécifiques agréés par le BIOS étant obligatoire.

Le Hub USB soudé sur la carte mère

Tout cela a été documenté sur un long thread sur Twitter qui n’est plus accessible car son auteur a depuis limité l’accès à son compte… mais cela a été sauvegardé par une de ces applications en ligne qui permettent de faire apparaitre les Threads sur une longue suite de posts2. On y retrouve l’ensemble des processus mis en œuvre qui a permis au final d’installer une distribution Linux Ubuntu MATE sur la machine (et de jouer à FreeDOOM).

Des conséquences désastreuses

Même si au bout du compte le résultat n’est pas accessible à un prisonnier quel qu’il soit, le hack a semble t-il alerté les autorités US. Plus de 1200 machines ont ainsi été reprises à des prisonniers US. Ce qui va mettre évidemment en péril les efforts éducatifs de ceux-ci. Les étudiants ne pourront plus forcément poursuivre leurs travaux de manière aussi facile qu’avant et surtout le calendrier d’études tombe assez mal à cette période puisque les étudiants doivent rendre leurs travaux à cette période.

Cette réaction des prisons américaines est assez compréhensible si on suit leur logique. Je ne pense pas qu’ils aient peur qu’un prisonnier US puisse procéder aux longues expérimentations réalisées par notre internaute hacker. Mais tout simplement que des groupes externes fassent appels à des hackers hors de prison pour leur modifier des SecureBook de la même manière. Afin que ces machines puissent utiliser un système d’exploitation complet, ce qui est interdit en prison. Il ne suffirait plus alors qu’a introduire une de ces machines pour remplacer un ordinateur intact et permettre à un prisonnier des usages totalement proscrits par la justice US. 

@zephray_wenting s’est dit désolé des conséquences de son hack et surtout de sa publication. Si il avait su la tournure des évènements, il ne l’aurait pas rendu public. Les risques sont assez lourds, en plus d’avoir procédé à la confiscation des machines, avec parfois un enfermement à l’isolement du prisonnier pour le faire, les SecureBook pourraient ne pas être rendus aux prisonniers ou être restitués altérés. Les stockages pouvant être effacés ou remplacés par d’autres, ce qui amènerait à réduire à néant le travail de ces étudiants.

1200 détenus US privés de leur SecureBook suite à un hack matériel © MiniMachines.net. 2024.

Mowing down demons: DOOM comes to Husqvarna smart lawnmowers

27 février 2024 à 07:15
C'est devenu une tradition de hacking en informatique : Tenter de faire fonctionner le jeu DOOM sur n'importe quel type d'appareil: Appareil photo numérique, frigo, distributeur de billets, calculatrice...
Là, c'est carrément Husqvarna qui va fournir une mise à jour de ses tondeuses-à-gazon-robot pour permettre de jouer à Doom dessus 😄.  
Ah mais non, c'est plus marrant quand ce sont les fabricants eux-mêmes qui s'y mettent !
(Permalink)

Développement personnel : pourquoi j'ai arrêté et pourquoi faut-il s'en méfier ?

21 février 2024 à 11:14
Sous le coude pour lecture ultérieure :
« La CNV (Communication Non Violente), l'ennéagramme, le MBTI, la méditation de pleine conscience, le jeûne, la pensée positive, la « loi » de l'attraction, la « spiritualité New Age », les énergies, les vibrations,… ça n'en finissait jamais. Il y avait toujours quelque chose de nouveau pour se développer encore plus, pour devenir encore un peu plus chaque jour « la meilleure version de moi-même » : foutaises et danger. »
(Permalink)

« Des dommages incalculables » contre les USA : 40 ans de prison pour l’auteur de la pire fuite de la CIA

2 février 2024 à 14:01

cia-mur-agency-central

Le département de la justice américaine a applaudi la sanction prise contre Joshua Schulte, un ex-employé de la CIA. Il va passer les 40 prochaines années derrière les barreaux. Il a été à l'origine de la fuite Vault 7, qui a exposé l'arsenal numérique de la CIA.

❌
❌