[News] Lorsque Google espionne illégalement le Wi-Fi dans plus de 30 pays…

[Adrien]

Google se fait taper sur les doigts dans de nombreux pays à cause des révélations concernant ses activités de collecte de données sur les réseaux Wi-Fi. La société californienne, profitant de ses prises de vues pour son Street View, a amassé quelque 600 Go de données dans plus de 30 pays sur les réseaux Wi-Fi non sécurisés, de façon totalement illégale. Cette collecte n’était pas prévue par les responsables du projet, mais le mal est fait : de nombreux gouvernements se pla...

Lire la suite

[aztazt]

Purée, mais c'est quoi 600 Go alors que Google brasse plus de 24 Peta-octets par jours (24.000 Tera-Octets ou 24 millions de Go) ?

Les gens n'ont qu'à sécuriser leur accès WiFi que voulez-vous que je vous dise ! C'est un comble !

[Reumain.]

Ce n'est pas à la portée de tout le monde de bien sécuriser son réseau. Et puis, je suis d'accord que Google brasse des quantités immenses de données par jour, mais 600Go de données critiques, c'est quand même pas un pet de mouche.

Je risque de ne pas être content de savoir que Google possède peut-être certains de mes identifiants ou certaines de mes données bancaires.

[CDN]

Bjr a tous
Eh bien je pense que 600 Go pour 30 pays c'est déjà pas mal !!
Il ne faut pas oublier que nos amis américains, comme toutes les nations d'ailleurs, font du renseignement.
Je citerai par exemple Echelon qui permet lui aussi d'écouter les communications radios et même GSM.
Derriere Google il y a peut etre des services secrets. Alors bien sûr notre petit réseau Wifi familliale
n'intéresse pas directement la sécurité nationale mais pouvoir localiser précisement une adresse MAC et
son propriétaire dans la lutte par exemple du terrorisme...ça peut etre important.

[buck]

Ce n'est pas peut etre, ils bossent avec les renseignement us (cf leur retrait de chine) ;)

[Guiom]

Comment ça, pas évident pour tout le monde de protéger son réseau ? Mettre une clef WEP ou WAP aurait suffi en l'occurrence, puisque Google n'a capté que les réseaux non protégés. Ensuite, une clef WAP/WEP se craque en quelques minutes, donc faut pas se leurrer, les réactions des commissions sont uniquement sur la forme.

Je ne comprends pas que les gens se plaignent de piratage quand ils ne prennent même pas la peine de crypter leur réseau. Les deux personnes qui montent la "class action" contre Google se plaignent parce qu'elles font passer des informations ultra sensibles sur leur réseau personnel non protégé, j'espère bien qu'on ne leur donnera pas raison, ce serait un comble ! Le cryptage SSL 256 est accessible à tout le monde, le VPN, pareil, qu'on peut coupler à des solutions comme TOR. Il suffit de chercher un peu, ce qui est envisageable quand on fait transiter des informations "ultra sensibles" sur son réseau...

Je crois aussi que depuis Microsoft, on confond "abus de position dominante" et "position dominante". Parce que tout le monde tombe sur Google en ce moment, mais ça fait plus de 20 ans que certaines entreprises font bien pire, au vu et au su de chacun.

[QJ]

Je risque de ne pas être content de savoir que Google possède peut-être certains de mes identifiants ou certaines de mes données bancaires.

C'est un comble.
1: Pratiquer le NetBanking à travers le WiFi est déjà une ineptie en soi !
2: Un réseau WiFi cela peut se sécuriser très facilement: Vous vous connectez sur votre "box" et placez une mot de passe.
Pour les détails voyez la littérature sur par exemple WikiPédia, le manuel de la box, si il vous a été fournit, vous en avez pour une heure de lecture pas plus.
3: Si vous ne savez pas de quoi je parle, cessez immédiatement toute activité sensible sur Internet et faites-vous aider par pitié !!

[Victor]

Je te signale que les mots de passe wifi sont très facilement cassable à moins de sécuriser un max... les codes wap 10 bits se cassent en 1/4 d'heure, je suis repassé au câble pour cette raison

[Aldebaran]

Oui il est facile de sécuriser un réseau wifi.
Oui c'est idiot pour les entreprises qui font transiter des données sensibles sur un réseau wifi non crypté (de plus chaque entreprise à un service informatique).
Cependant, demandez donc à ma grand mère de sécuriser son réseau wifi, elle qui vient de démarrer sur internet et qui lutte déjà pour comprendre comment faire une recherche google. Certes, les données qu'elle y ferait transiter ne sont pas importantes mais n'est-il pas simplement illégal de se connecter à un réseau wifi même si ce dernier n'est pas sécurisé ?
Pourquoi Google a-t-il scanné les réseaux Wifi pour faire simplement de la photo ?

[QJ]

e te signale que les mots de passe wifi sont très facilement cassable à moins de sécuriser un max... les codes wap 10 bits se cassent en 1/4 d'heure, je suis repassé au câble pour cette raison

Absolument, mais casser un code WAP demande un peu plus de connaissance que pas de connaissance du tout.
C'est pas à la portée de la personne qui n'y connait rien.
Enfin, je recommanderais de ne pas signaler ("Broadcaster") son SSID (identifiant de réseau WiFi).

Maintenant, je suis d'accord, la personne qui veut pirater un service WiFi, si elle se donne les moyens de lire la littérature, elle finira par y arriver pour un modem/routeur/WiFi de particulier.

Enfin, n'oubliez pas que le NetBanking, cela se passe à travers un protocole "sécurisé" (443/HTTPS).
De plus les banques offrent une calculette pour générer des paires identifiant/mot de passe uniques pour chaque transactions.
Cela offre des barrières supplémentaire face aux apprentis hackers.

Quand aux réseaux domestiques sur courant porteur CPL, ne vous leurrez pas, c'est pas beaucoup mieux.

[QJ]

Pourquoi Google a-t-il scanné les réseaux Wifi pour faire simplement de la photo ?

Je pense qu'il y a un amalgame de la part de la presse non spécialisée.
Pour Google Street View il s'agit bien de référencer les HotSpots (Points d'accès) WiFi libre et leurs identifiants respectifs (SSID).
Voire certains HotSpots commerciaux des fastfood, et autres restaurants qui désirent être référencés.

Dire que Google est le bras armé de BigBrother espionnant à la solde de la NSA, il y a un pas qu'il ne faut surtout pas franchir.
Si vous utilisez la fonction "streetview", les HotSpots sont indiqués avec leurs SSID et/ou leur adresse MAC.
Pour info Google utilise le service fournit par http://www.skyhookwireless.com/.

Donc si une Google-Car passe devant chez vous et que votre point d'accès WiFi de votre box est non protégé... Il est considéré, et référencé, comme libre d'accès, forcément !

Pour déclarer Google coupable, il va falloir prouver qu'en passant en voiture (donc en un temps très court), ils ont espionnés bien plus que ces simples informations. Alors là, laissez-moi rire! C'est pas quelques Giga octect dont ils auraient eu besoin, ni de voitures, mais des semi-remorques remplis de data-centers pour stocker cela.
Bref avec un peu de bon sens tout le monde aura compris que cette attaque vers Google n'est pas rationnelle.

Par ce que, la vie privée elle s'arrête où ? On va attaquer les fournisseurs d'annuaires téléphoniques ? La poste ? Vous allez enlevez votre nom de famille sur votre boite-aux-lettres ?

[Aldebaran]

D'accord, merci de cette précision QJ, effectivement ça change tout le problème.

[t0m-s]

Salut,
J'aimerais faire quelques rectifications sur la sécurité du wifi.
Les clés WEP sont facilement cassables (environ un quart d'heure).
Les clés WPA (et non pas WAP) sont basées sur le même protocole que le wep, donc cassable, mais quand même plus dur.
Les clés WPA2 ne sont pas encore crackables.
Les fait de ne pas broadcaster son SSID n'est pas très utile, car chaque fois qu'un client se connecte au wifi, le SSID (donc le nom du wifi) passe en clair, et il est donc très simple de l'obtenir (il suffit "d'écouter" le réseau pendant quelque temps).
Placer un filtrage par adresse mac n'est pas vraiment utile non plus car l'adresse mac d'un pc peut-être modifiée.
Bien sur ces deux dernières barrières arrêteront bien des gens, mais ne sont pas un gage de sécurité pour autant.

Pour les données bancaires : tout passe par un protocole sécurisé (vous avez surement déjà vu un site commençant par https et avec un petit cadenas dessiné pas loin) donc si quelqu'un capte vos informations il ne sera tout de même pas les lire.

Concernant les réseaux TOR, les informations passe en clair sur la dernière machine du réseau, donc niveau sécurité c'est pas terrible.
Et pour les VPN et bien n'oubliez pas que le serveur par le quel vous passez n'étant pas chez vous, vous ne savez pas ce que les administrateurs font de vos informations, ils pourraient donc lire vos mots de passe.

Voila quelques infos que je tenais à préciser.

Sinon pour Google, si le wifi est ouvert, théoriquement c'est votre responsabilité, on peut le voir avec les textes de loi concernant hadopi, si quelqu'un télécharge sur votre wifi, vous êtes en tort car vous devez être capable de le sécuriser.

[Reumain.]

QJ, c'est bien gentil de m'expliquer comment sécuriser mon réseau mais il est déjà crypté en WPA2 et c'est certainement pas dans mon bled perdu au fin fond de la Hesbaye que les voitures Google viendront.

Je parlais au nom de Monsieur et/ou Madame Tout-le-monde, des billes en informatique, qui se contentent d'envoyer leurs PwerPoints à tout leur carnet d'adresses et peut-être faire un peu de Net-Banking.

[vlmath]

Juste pour compléter un peu, ce qu'a dit t0m-s est tout à fait correcte, sauf peut-être un tout petit point qui pourrait être complété :

Pour les communications https, c'est vrai qu'elles sont indéchiffrables dans un temps raisonnable à l'heure actuelle. Cependant, pourquoi pas utiliser des méthodes qui contournent le https ? Le transfert se fait en http, et donc tout est visible, sans que l'utilisateur ne voie quoi que se soit (tout y es (les images de cadenas sur le site, images de sécu, les liens normaux, ...) sauf le petit S, mais personne n'y fait attention normalement ...).

C'est facile à mettre en place (déjà testé sur mon réseau ), très efficace. ça marche disons pour 99.9999% des sites (un seule site m'a embété, mais c'est un système de log très spécial, avec 6 ou 7 redirection sur des serveurs externes ...).

De plus, il existe une autre technique, celle-ci basée sur la flemme des gens : si le client clique sur "accepter le certificat", la comm est cryptée, mais pas avec le serveur
Je n'ai jamais réussi à la mettre efficacement en place celle-ci par contre.

Je ne donne pas plus de détails, sinon je vais me faire taper sur les doigts

[QJ]

QJ, c'est bien gentil de m'expliquer comment sécuriser mon réseau mais il est déjà crypté en WPA2 et c'est certainement pas dans mon bled perdu au fin fond de la Hesbaye que les voitures Google viendront.

Mon réseau WiFi est codé avec une clef WPA2, j'habite en Belgique... Dans un bled perdu de 400 Habitants.
Point de Google Car, de toute façon, on a peine le GSM alors le reste...
Cela nous fait donc au moins 4 points communs cela...

Je parlais au nom de Monsieur et/ou Madame Tout-le-monde, des billes en informatique, qui se contentent d'envoyer leurs PwerPoints à tout leur carnet d'adresses et peut-être faire un peu de Net-Banking.

OK vu comme cela.

[t0m-s]

@vlmath :

Cependant, pourquoi pas utiliser des méthodes qui contournent le https ?

Effectivement tout est faisable, mais rare sont les gens qui iraient si loin. Et pour la flemme des gens, c'est plus souvent eux le problème, avec un peu de bon sens on peut vite voir un site qui n'est pas le bon, suffit de quelques mot sur Google.

Et pour ton petit "hack" avec le https, ok mais l'url du site n'est plus la même alors, non? Ou alors tu modifie directement les DNS, mais dans ce cas tu as un accès presque total au trafic de l'autre personne (et modifier les DNS c'est pas à la portée de beaucoup de gens).

[discofab]

En effet, si des gens ne sont pas capable de sécuriser leurs données, soit ils vont prendre des cours, soit ils arrêtent de râler.
Un jour peut être on exigera d'avoir le "permis informatique" comme on doit passer le permis auto pour se connecter sur le net.
Ca m'éviterais peut être d'avoir à passer mon temps à faire du dépannage et donner des cours autours de moi, la moitié de mon temps, à des abrutis qui passent leur temps à installer des gadgets msn à la con remplit de trojan.

[KiNidoz]

Je te signale que les mots de passe wifi sont très facilement cassable à moins de sécuriser un max... les codes wap 10 bits se cassent en 1/4 d'heure, je suis repassé au câble pour cette raison

Victor, ma clef wpa2 ressemble +- a ça :

?k@!@~\b#c^L4Tx~FU}kO(/A^~@l|>8g6&k4x=69L:BL`4x3;m8M0@I|3-qU^[;


64 caractères en "brute-force", c'est pas facile en 1/4 d'h

Ca m'éviterais peut être d'avoir à passer mon temps à faire du dépannage et donner des cours autours de moi, la moitié de mon temps, à des abrutis qui passent leur temps à installer des gadgets msn à la con remplit de trojan.

[QJ]

discofab twelve points... discofab douze points: C'est pas toujours évident de s'occuper de ce genre de cas pathologiques en effet.

KiNidoz !! Hey Mais ??!! Comment as-tu fais pour avoir ma clef WPA2 ??!!??

[vlmath]

@t0m-s

Pour la visualisation de la page, elle est exactement la même
Et pour l'URL, c'est exactement la même, à part le petit s

Et oui, j'ai effectivement un contrôle complet sur le trafique de la personne.

Le seul "problème" est le fait qu'il faut être sur le même réseau. Je n'ai pas encore essayé à travers le WAN.

[Victor]

Pour kinidoz je te signale que le codage des clés wpa 10 bit se fait en hexadécimal et que ça craint

[buck]

Pour kinidoz je te signale que le codage des clés wpa 10 bit se fait en hexadécimal et que ça craint

En quoi ???

[Aldebaran]

Wpa2 c'est du 256 bits.

Edit :

En quoi ???

Je suppose qu'il parle des caractères "simples" de l'hexa.

[Victor]

ça ne fait que 16 bits, par caractères et c'est pas très sécurisé