Le nouveau service de notifications SMS d'Algérie Poste: Pourquoi le numéro de mobile n'est pas unique ?

Rédigé par Karim Khelouiati - - aucun commentaire




J'ai essayé le nouveau service d'ALGÉRIE POSTE en ce qui concerne les notifications par SMS des opérations CCP.

La demande est très intuitive, et très bien pensée, on se retrouve avec un tableau de bord, pour de futures modifications.



Il y a deux choses qui ne me plaisent pas, la première est le prix pour chaque SMS qui est de 10 DA la notification, je trouve ceci très onéreux, connaissant que le prix public moyen d'un SMS est de 5 DA, et sachant qu'ALGÉRIE POSTE a du négocier un contrat de gros, et proposer ce dernier à 10 DA c'est beaucoup.

POURQUOI UN MÊME NUMÉRO DE MOBILE PEUT GÉRER PLUSIEURS COMPTES CCP !!!!????
Le deuxième point qui est d'envergure, et que j'ai testé par hasard , c'est que le système d'ALGÉRIE POSTE accepte un même numéro pour plus d'un compte CCP.



J'ai fais l'opération pour mon compte CCP, et ensuite j'ai essayé avec celui de ma femme, et le système a accepté le plus normalement possible l'opération, avec le même numéro de mobile !!!

Donc ce qui me donne un aperçu sur le fonctionnement de ce système de notification, qui ne fais aucunes vérification.!!!

Avec cette façon de faire, cette option ouvre une faille énorme de sécurité de l'information.



APS.DZ LES DESSOUS D’UNE ATTAQUE

Rédigé par Karim Khelouiati - - 3 commentaires

Le 31 Mars 2017 vers 15h06 locale (heure d’Algérie) la page d’accueil du site web principal de l’Agence de presse Algérienne à été modifier, laissant apparaître une photo animée qui est la marque de fabrique d’un (hacker) Algérien,


J’ai essayer de comprendre comment le site web officiel d’une institution aussi importante peux subir ce genre d’attaque, voir ici le cache de l’exploit http://www.zone-h.org/mirror/id/29001052  (Attention la bande sonore contient une chanson pour adultes)


En premier lieu , je me suis documenter sur le site de l’APS, quelle est le type d’hébergement (dédié ou mutualisé), l’emplacement géographique réel du site (hébergement physique), et enfin qui est chargé du technique (le Whois),


Première surprise, je découvre que APS.DZ est sur un serveur dédié aux USA, plus exactement au Massachusettset au Kansas !!!!







Et pourtant le Ministre de la Communication avait signifier sur les colonnes du quotidien LIBERTÉ datant du 28 Novembre 2016 de la nécessité que les sites d'informations électronique soient hébergés physiquement en Algérie. Voir le Lien .


Je ne vais pas encore développer sur la nécessité que la machine qui héberge un site qui gère toute la communication d'une nation soit en Algérie, cela fait plus de 15 ans que je le répète.... bref.



Passant maintenant à l'attaquant, cette personne qui a pus changer la page d'accueil en changeant simplement le fichier [index.html], est un jeune qui à déjà fais cela des centaines de fois, mais n'a jamais toucher un site Algérien.
En faisant une petite analyse sur sa chaîne YouTube et sa page Facebook, nous nous rendons vite compte que cette personne utilise des scriptes tous fait émanant du darknet, qu'il est arabisant, qu'il est situé géographiquement dans une zone entre Bouira et Tizi Ouzou, son age se situe entre 19 et 26 ans.
En sommes c'est un script kiddies ou Lamer (tout bonnement un débutant utilisateur de tous ce qu'il peut ramasser sur internet)

Juste après avoir commis son forfait, il a poster sur sa page Facebook en donnant les liens etc




En fin de soirée , coup de théâtre , l'attaquant efface les publications sur sa page Facebook liées au forfait de l'APS et désactive sa chaîne YouTube. !!!
Ce comportant nous assure que la personne à été manipuler.



Le modus operandi  
Il y a pas 36 chemins pour faire cela: les principales pistes sont:

1- l'exploitation d'une faille non encore colmaté du CMS utilisé par l'APS, en l’occurrence SPIP.
Si le staff technique à omis de faire des mises a jours de sécurité, mais j'ai totalement écarter cette voix puisque l'APS à d'autres sites régionaux qui eux sont héberger en Algérie chez FAWRI et qui sont aussi sous SPIP et qui ont été épargner.

2- L'exploitation d'une faille sur le système d'exploitation de la machine qui héberge le site, puisque APS.DZ est sur un serveur dédié. c'est fort possible , surtout si l'infogérance n'est pas assurée par la société américaine et que c'est le staff technique qui s'en occupe.

3- L'injection d'un cheval de troie (trojan) par courrier ou autres, au niveau des locaux de l'APS qui guette une connexion FTP, des lors qu'une personne de l'APS tente d’accéder au site en ftp il accroche des bouts de codes sur les fichiers distants, ouvrant une porte dérobée, donnant l’accès direct à l'attaquant. même cette technique est à oublier, suivant le même raisonnement que la première.


Conclusion, tout porte à croire que c'est l'OS de la machine qui à été attaqué en utilisant une vulnérabilité qui n'a pas été patchée à temps.

Je vous laisse à vos commentaire, mais je laisse ouvert ce billet en attendant d'autres info.

Comment crypter vos conversations téléphoniques

Rédigé par Karim Khelouiati - - aucun commentaire




Les conversations téléphoniques d'un décideur sont d'une telle sensibilité que faire des appels en clair et pis encore à partir de l'étranger sont un acte presque suicidaire.

De nos jours, les écoutes téléphoniques des mobiles sont à la mode, et compter sur la discrétion des opérateurs mobiles serais une gageure.

La meilleure façon de faire c'est de trouver un autre moyen de communication via la 3G
j'ai chercher un outils qui soit:

Open source: pour avoir la main dessus et jeter un coup d’œil sur le code.
Utilisant un protocole de chiffrement robuste ayant fais ses preuves.
Facile à installer.
Pas trop lourd ou encombrant.
Éviter l'utilisation de SIP.

Et le seul qui répond à tous ces critères est RedPhone , c'est une app open source, https://github.com/whispersystems/redphone/issues , qui est basée sur le protocole de chiffrement ZRTP , qui s'installe en deux minutes sur votre smartphone.

La conversation vocale est cryptée de bout en bout, et n'utilise pas de SIP, mais plutôt la connexion internet wifi ou Data.

Pour l'utiliser avec une autre personne, il faut impérativement que cette dernière installe elle aussi l'app.

La confidentialité de vos conversations téléphoniques est primordiale.

Lien de téléchargement de l'app: ICI



PICNIC UN ÉVÉNEMENT OVNI A ALGER

Rédigé par Karim Khelouiati - - 2 commentaires

J'ai assisté hier à la première édition de l’événement #picnic organisé par l'entreprise PI RELATION au niveau du terrain de Golf de Dely Brahim.

Une rencontre élitiste pour Geek et professionnels de la Presse et de la communication, le pari de l'organisateur est de mettre sur le même terrain (au sens propre du mot) les pseudos du web Algérien les plus tendances ses jours-ci avec les professionnels de la com cherchant à trouver des vecteurs potentiels pour véhiculer leurs messages mercantiles .

Lire la suite de PICNIC UN ÉVÉNEMENT OVNI A ALGER

La différence entre « une Revue de Presse » et « Un service de Veille »

Rédigé par Karim Khelouiati - - 2 commentaires

La majorité pour ne pas dire toutes les entreprises Algériennes avec qui nous avons eu affaire, n'ont pas encore une idée bien précise sur le concept de Veille, ce dernier est plus rapproché vers un système de collecte d'informations généralement venant de la presse « REVUE DE PRESSE » que les décideurs parcourent des yeux entre 09h – 10h du matin.

Et une minorité pensent que ce service est illégale et n'est que du ressort des Services de Renseignements. Et pourtant, c'est totalement faux

Lire la suite de La différence entre « une Revue de Presse » et « Un service de Veille »

Fil Rss des articles