Votre repaire préféré Ygg (anciennement YggTorrent) vient de tirer le rideau et de passer en mode privé ! Fini le téléchargement à tout-va pour les passants, désormais il faudra montrer patte blanche et s’identifier pour accéder à la caverne d’Ali Baba du torrent made in France qui attire des millions de visites chaque mois.

Pourquoi ce revirement soudain ?

La pression des ayants droit et de la justice française devenait insoutenable pour ce site qui a pris la relève de l’iconique T411 en 2017. Entre les blocages DNS et IP, les injonctions judiciaires et les menaces de poursuites, les admins de Ygg ont préféré la jouer profil bas et verrouiller la boutique. La plateforme a même été récemment listée par la puissante Motion Picture Association (MPA) de Hollywood dans son bilan annuel des sites pirates les plus « notoires ». Désormais, seuls les 6 millions de membres enregistrés pourront profiter des torrents bien garnis, à l’abri des regards indiscrets.

Cette décision radicale témoigne de l’acharnement des autorités contre le partage non-autorisé. Mais est-ce vraiment efficace de traquer sans relâche les sites de P2P ? Pas sûr, car comme le soulignent avec malice les responsables de Ygg, les internautes ont plus d’un tour dans leur sac pour contourner la censure :

• VPN : ces réseaux privés virtuels masquent votre adresse IP et chiffrent votre trafic, vous permettant de surfer incognito et d’accéder aux sites bloqués. Selon certaines statistiques, près d’un tiers des Français utiliseraient déjà un VPN !
• Changement de DNS : en modifiant vos paramètres DNS, vous pouvez court-circuiter les blocages mis en place par votre fournisseur d’accès. Les serveurs alternatifs comme ceux de Google ou OpenDNS sont très prisés.
• Sites miroirs et proxys : tel un château de cartes, à chaque domaine bloqué, dix autres réapparaissent pour prendre le relais. YggTorrent en a fait les frais, contraint de changer plusieurs fois d’adresse ces derniers mois.

Alors, blocage ou pas blocage, les aficionados du téléchargement trouveront toujours un moyen de gruger le système. Un éternel jeu du chat et de la souris qui ne semble pas prêt de s’arrêter, au grand dam des majors et des artistes. Mais au fond, est-ce si étonnant dans un pays champion du monde du piratage ? À bon entendeur…

Source

Vous débarquez dans votre laverie automatique préférée, les bras chargés de linge sale, et là, magie magie, grâce à une petite bidouille bien sentie, vous pouvez lancer une lessive gratuite, sans débourser un centime. C’est le rêve, non ? Eh bien, figurez-vous que c’est exactement ce qu’ont réussi à faire des étudiants un peu hackers sur les bords.

Alexander Sherbrooke et Iakov Taranenko, 2 petits génies de l’université de Santa Cruz, ont découvert une faille de sécurité dans le système des laveries connectées de CSC ServiceWorks. Je vous parle quand même d’un réseau de plus d’un million de machines à laver installées un peu partout dans le monde, des campus universitaires aux hôtels en passant par les résidences. Bref, un sacré parc de machines qui tournent à plein régime.

Pour y arriver, ils ont bidouillél’API utilisée par l’appli mobile CSC Go. Pour ceux qui ne sont pas familiers avec le jargon technique, une API c’est un truc qui permet à des applis et des appareils de communiquer entre eux au travers du réseau. Dans le cas présent, l’appli CSC Go permet aux utilisateurs de recharger leur compte, de payer et de lancer un cycle de lavage sur une machine proche. Cependant, les serveurs de CSC ne vérifiaient pas correctement qui avait le droit de faire quoi. N’importe qui peut entrer et faire ce qu’il veut. Et c’est exactement ce qu’ont fait nos deux compères.

En analysant le trafic réseau pendant qu’ils utilisaient l’appli CSC Go, Alexander et Iakov ont réussi à court-circuiter les contrôles de sécurité pour envoyer des commandes directement aux serveurs de CSC. Résultat des courses : ils ont pu modifier leur solde, ajouter des millions de dollars virtuels pour le budget lessive, et même localiser et interagir avec toutes les machines du réseau CSC ServiceWorks.

Bien sûr, avoir la lessive gratuite, c’est cool. Mais Alexander et Iakov ont surtout voulu montrer les dangers d’avoir des appareils connectés à Internet sans une sécurité au top. Le pire dans l’histoire, c’est qu’ils ont prévenu CSC ServiceWorks de la faille à plusieurs reprises depuis janvier, mais la société n’a jamais répondu. Pourtant, un simple petit formulaire de contact pour signaler les problèmes de sécurité, ça ne coûte pas bien cher et ça peut éviter de gros dégâts… J’espère juste que ces derniers ne préparent pas une action en justice…

Évidemment, bidouiller des machines à laver pour avoir des lessives gratuites, ce n’est pas l’attaque du siècle mais cela montre qu’il y a encore du boulot côté sécurité pour tous ces objets connectés. Alors pour se protéger de telles vulnérabilités, il est crucial de sécuriser les API en effectuant la vérification des commandes côté serveur plutôt que côté client et en utilisant des tokens d’authentification sécurisés.

En attendant, si vous croisez Alexander et Iakov sur leur campus, vous pouvez leur donner vos slips sales, ils savent y faire pour vous les rendre plus blanc que blanc. ^^

Source

Grosse panique sur la blockchain Ethereum ! Alors qu’on pensait la technologie des registres distribués imparable, voilà qu’elle se fait braquer en un clin d’œil par deux petits génies de l’informatique. Anton et James Peraire-Bueno, deux frérots qui ont étudié au MIT, une des facs les plus prestigieuses des States, ont mis au point un plan diabolique pour s’enrichir sur le réseau Ethereum.

Les frangins ont bien travaillé et ont réussi à exploiter une vulnérabilité dans le protocole mev-boost, qui permet aux validateurs de vendre leur espace de bloc à un marché ouvert d’acteurs spécialisés appelés « builders ». En se faisant passer pour des validateurs légitimes, les frères ont pu accéder au contenu des blocs avant leur publication et en extraire des transactions lucratives !

Résultat des courses : 20 millions de dollars de cryptos qui s’envolent en quelques secondes chrono. Un casse éclair daté du 3 avril 2023, qui en laisse plus d’un sur le carreau et qui pourrait bien faire trembler tout l’écosystème. C’est que la confiance, c’est la base des échanges sur ces réseaux !

Mais attention, les frères Peraire-Bueno sont loin d’être des enfants de chœur. Pour planquer leur magot, ces petits malins ont tout prévu : des sociétés-écrans, des comptes dans tous les sens et même un plan d’attaque en règle pour brouiller les pistes. Sauf que c’était sans compter sur les fins limiers du fisc américain, qui ont flairé l’embrouille et décortiqué tout le stratagème. Parce que bon, faire des recherches sur Google pour savoir comment blanchir du pognon, c’est un peu cramé comme technique… Bref, les frangins risquent maintenant 20 ans à l’ombre pour chaque chef d’accusation. Pas sûr que ça valait le coup !

Mais au-delà de l’histoire rocambolesque, c’est toute la sécurité des blockchains qui est remise en question. Si même le sacro-saint Ethereum peut se faire dépouiller en deux temps trois mouvements, où va-t-on ? Les experts s’écharpent déjà sur les forums pour savoir si c’est un bug isolé ou une faille béante dans le système de « proposer-builder separation » (PBS) utilisé par mev-boost.

Heureusement, la communauté Ethereum réagit rapidement. Un patch a été déployé dès le 3 avril pour colmater la brèche exploitée par les frères Peraire-Bueno. D’autres vulnérabilités potentielles ont aussi été identifiées et des contre-mesures mises en place, comme l’ajout d’un délai limite pour empêcher les validateurs malveillants de demander un bloc trop tard.

Mais bon, il reste encore du boulot alors on espère que les développeurs, chercheurs en sécurité, opérateurs de relais mev-boost… travailleront main dans la main pour renforcer le protocole mev-boost et les futures implémentations de PBS.

Pour en savoir plus sur les détails de cette affaire, vous pouvez consulter l’annonce du Department of Justice et l’acte d’accusation officiel. Et pour aller plus loin, jetez un oeil au dépôt GitHub de mev-boost et aux discussions de la communauté autour de cet incident.