Christophe Boutry's avatar
Christophe Boutry
cedhaurus@christopheboutry.com
npub1nzjm...67g0
(Ex-DGSI) ̶H̶a̶u̶r̶u̶s̶ | #Cyber #Justice 💾 Auteur 📖 | Consultant en analyse criminelle | 🇫🇷 YouTube channel creator ➡️ https://youtube.com/@Ced_haurus > ⚡️ Projet nostr:npub1n2878xq8jmacnjsyun6a0nrys7tcglzq8znzv05s33ddrxupd36q6uhtpg ➡️ Relay wss://relay.nostrmap.net > 🔵 Fuites Infos (recensement des fuites de données impactant la France 🇫🇷 https://fuitesinfos.fr
🔴 Un hacker se revendiquant justicier affirme avoir piraté Astral Searcher. Astral Searcher était un "lookup", un site qui fonctionne comme un moteur de recherche, mais alimenté par des données volées lors de piratages (fuites e-commerce, administrations, opérateurs télécom...). Il suffit de taper un nom, un email ou un numéro de téléphone pour retrouver en quelques secondes des informations personnelles : adresse, IBAN, numéro de sécu, etc. Astral Searcher se présentait comme un service gratuit, avec la promesse de ne conserver aucun historique de recherche. Le hacker affirme aujourd'hui le contraire : que le site loggait en réalité toutes les actions de ceux qui l'utilisaient pour faire leurs recherches (adresses IP, historique des requêtes, données de compte, logs d'activité sur le site et sur le Discord), et que le fondateur, surnommé "Lightt", était directement à l'origine de cette collecte. Parmi les éléments que le hacker dit avoir récupérés : . emails et IP des utilisateurs du site . historique complet de leurs recherches . données clients . logs des actions effectuées sur le site et le Discord . l'intégralité du code source Le pirate annonce vouloir transmettre ce lot aux autorités compétentes afin d'identifier les utilisateurs de ce service illégal. Image : @w0iz3 image
👉 Plus de 150 000 signatures pour la pétition contre #ChatControl ! Je lis vos messages accompagnant chaque signature, et je mesure votre inquiétude face à un projet qui pourrait changer durablement notre rapport à la vie privée en Europe. Petit point d'actualité, parce que la situation a bougé vite : le 9 juillet, le Parlement européen n'est pas parvenu à réunir la majorité absolue nécessaire pour rejeter la prolongation de Chat Control 1.0 (le scan volontaire des messages par les plateformes). Ce régime reste donc en vigueur jusqu'en 2028. Seule bonne nouvelle : un amendement exclut désormais les messageries chiffrées de bout en bout (WhatsApp, Signal, iMessage) de ce dispositif. Mais rien ne garantit que cette exclusion soit reprise dans la suite du texte. Car le vrai danger est encore devant nous : le règlement permanent CSAR, celui qu'on appelle Chat Control 2.0, qui rendrait obligatoire l'analyse de vos messages, y compris un scan directement sur votre appareil, avant même le chiffrement. Les négociations reprennent à l'automne. La bataille continue, elle se déplace. Continuons à signer, à partager, à écrire à nos eurodéputés (l'outil permet de le faire en quelques clics). image
🚨 Le Maroc a espionné des ministres français. Et cette fois, la preuve vient de l'intérieur du renseignement marocain. #pegasus 23 juillet 2021. Le ministre Sébastien Lecornu doit remettre son iPhone à l'ANSSI. Verdict de la DGSI : des indices sérieux d'un ciblage par Pegasus, le logiciel espion israélien le plus redoutable au monde. 📱 Contexte : en 2021, @FbdnStories révélait que 50 000 numéros dans le monde étaient dans le viseur, dont environ 1000 numéros français. Journalistes, avocats, militants sahraouis, et jusqu'à Emmanuel Macron lui-même. Le Maroc a toujours nié, a même porté plainte contre les médias qui l'accusaient (dont Radio France). La Cour de cassation a définitivement rejeté cette plainte fin 2024. Mais voilà la nouveauté. 👇 Un ex agent de la DGST (le renseignement intérieur marocain), sous le pseudo "Safir", témoigne pour la première fois. Il raconte avoir vu Pegasus servir à monter des dossiers compromettants contre des journalistes et militants, quand la filature classique ne suffisait plus. Sa phrase résume tout : c'est "l'arme du monstre". Autre révélation : le Maroc n'a jamais acheté Pegasus directement à NSO. Il serait passé par une société émiratie, Al Fahad, aujourd'hui financée par les Émirats. Et la DGSE, dans une note confidentielle de novembre 2022, tranche : Maroc et Émirats utilisent des produits NSO depuis au moins 2017. Bilan judiciaire côté français : traces du logiciel confirmées sur les téléphones de 7 ministres ou ex ministres (Lecornu, Parly, Blanquer, Gourault, de Rugy, Denormandie, Wargon). Mais le Maroc et Israël refusent toujours de coopérer avec le juge Tournaire depuis 2022. Bon à savoir : la France elle-même a négocié pour acheter Pegasus jusqu'en 2021. Budget validé au niveau ministériel, 60 à 80 millions d'euros. Macron aurait finalement refusé, par crainte du risque réputationnel. 💸 (une première pour lui)
👉 L'extension Fuites Infos est en ligne ! Complémentaire à @fuitesinfos, elle vous alerte automatiquement quand vous naviguez sur un site dont l'entreprise a subi une fuite de données 🔓 L'objectif : rester vigilant sur les informations que vous partagez en ligne 🛡️ Disponible sur : 🟠 Chrome : https://chromewebstore.google.com/detail/mndohcgcbjiehimcfjpjbjmnookcdoji 🦊 Firefox (+ Android) : 🍏 Safari : bientôt disponible Plus de 600 domaines répertoriés issus de fuitesinfos.fr Mise à jour en temps réel. image
👉 Nouveauté sur - Un score de crédibilité des fuites de données lorsqu'elles sont au stade de la revendication. Une fuite « revendiquée » n'est pas encore une fuite confirmée. Un cybercriminel annonce une base sur un forum : est-elle réelle ? recyclée ? gonflée ? inventée ? Pour trancher, chaque revendication est notée selon la méthode Admiralty (le code d'évaluation du renseignement utilisé par l'OTAN), sur deux axes indépendants. ▶️ Il est calculé de la manière suivante : 🔹 La fiabilité de la SOURCE — de A à F Elle mesure l'historique de l'acteur, pas le contenu : · A / B — source établie, nombreuses fuites déjà confirmées · C — acteur connu, historique encore limité · D — acteur récent, peu de confirmations · E — antécédents de fausses annonces · F — anonyme, premier post, source inconnue 🔹 La crédibilité de l'INFORMATION — de 1 à 6 Elle mesure les preuves apportées, quel que soit l'auteur : · 1 — confirmée (victime, autorité ou analyse du corpus) · 2 — échantillon riche et cohérent, volume vérifiable · 3 — échantillon partiel, volume plausible non vérifié · 4 — simples captures, peu d'éléments vérifiables · 5 — incohérences, recyclage probable · 6 — aucune preuve, annonce vague ➡️ Les deux notes se combinent en un code unique (ex. « C2 ») et un indice de crédibilité sur 100. Pourquoi deux axes et pas un seul ? Parce qu'un « mauvais vendeur » peut diffuser une marchandise bien réelle - une source faible n'implique pas une donnée fausse, et une source réputée peut se tromper. En les notant séparément, on ne confond jamais qui parle avec ce qui est prouvé. Résultat : en un coup d'œil, vous savez si une revendication mérite une réaction immédiate ou une simple surveillance. image
👉 [Communiqué Officiel] http://Nostrmap.fr, l'annuaire des utilisateurs francophones de Nostr que j'ai créé, victime de son succès 🫶 Un "hacker" revendique avoir scrapé l'annuaire public des profils Nostr enregistrés dessus... Je ne sais pas trop quoi vous dire. C'est un annuaire. Public. 🤷 Le site ne stocke que ce qui est déjà public sur Nostr (npub, nom, bio, avatar) pour affichage rapide. Rien de privé : pas de clé, pas de mot de passe, pas de donnée de connexion. C'est un peu comme se vanter d'avoir scrapé les Pages Jaunes. Aucune clé privée. Aucune donnée personnelle. Aucun mot de passe. Rien de tout ça n'existe sur le site, donc rien de tout ça ne peut fuiter. Nostr, par définition, est un réseau public et ouvert. Comme un profil X ou Bluesky. Tout le monde peut consulter les infos qu'un utilisateur choisit d'afficher. C'est même tout l'intérêt du protocole. Donc oui, on peut "scraper" un annuaire public. C'est un peu la définition d'un annuaire. Ceci dit, j'ai quand même relevé le rate-limit sur la recherche, histoire de calmer les ardeurs. Je ne peux pas aller plus loin, sinon le site devient inutilisable pour les vrais utilisateurs. [Fin du communiqué] 🫡 image
🚨 L'Assemblée vient d'adopter plusieurs mesures de surveillance dans le cadre de la loi RIPOST. Au menu ce matin : ➡️Art. 15 : extension des lecteurs de plaques d'immatriculation (LAPI) ➡️Art. 15bis : exploitation algorithmique des données de déplacement par le renseignement ➡️Art. 19 : prolongation de la vidéosurveillance algorithmique jusqu'à fin 2030, désormais possible aux abords de tout lieu ouvert au public (pas seulement concerts et matchs) ➡️L'amendement de @midy_paul qui persiste et signe à vouloir légaliser la VSA dans les supermarchés est aussi passé, alors que des boîtes comme Veesion opèrent aujourd'hui dans l'illégalité totale Ce dernier point pourrait être retoqué par le Conseil constitutionnel comme cavalier législatif. Les débats se terminent ce soir. Peu d'illusions sur l'issue dans cette Assemblée.
Les luttes contre les grands maux de notre société ne peuvent et ne doivent jamais justifier le sacrifice de nos libertés fondamentales.
🔴 Les systèmes de vérification d'âge et d'identité en ligne sont des passoires. Exemple N°87876 Onfido (désormais @Entrust_Corp), l'un des géants mondiaux de la vérification d'identité, aurait subi une fuite de données. 👉 @Spiko_finance, plateforme fintech de placement de trésorerie, alerte ses clients... 10 MOIS après les faits, que son prestataire KYC (Onfido/Entrust) a subi un accès non autorisé à son compte. Données concernées : pièces d'identité et selfies de vérification faciale. 3 fois rien. La plateforme Spiko elle-même n'est pas compromise, c'est bien le prestataire tiers qui l'est. Mais le problème reste entier : vos papiers d'identité et votre visage finissent stockés chez un tiers, avec un délai de notification de près d'un an. Alors @EmmanuelMacron, prêts pour le grand lancement en septembre ? Prêts à faire fuiter les papiers de vos concitoyens ? image
👉 Excellent article de @Korben qui vous donne quelques astuces pour reprendre la main sur le GDID, cet identifiant que Windows colle à votre installation dès la toute première connexion, et que ni VPN, ni changement d'IP, ni passage en compte local ne parviennent à effacer. Le service qui le fait remonter (DoSvc) refuse même de se laisser désactiver par un admin classique. Korben a testé la manip sur une VM et publié des scripts (audit en lecture seule, puis blocage) sur GitHub, avec une commande pour tout annuler si besoin. Attention toutefois : ça réduit ce que Microsoft pourra corréler à l'avenir, mais ça n'efface pas le GDID déjà enregistré sur leurs serveurs depuis votre première connexion. Pour une activité vraiment sensible, la seule vraie parade reste de ne pas utiliser Windows du tout : un Linux live offre un contrôle total sur ce qui sort de la machine. Avant de toucher au registre, testez d'abord sur une VM avec un snapshot. On parle de services système.
👉Microsoft peut faire tomber toutes tes protections. Ton VPN, ton IP masquée, tes comptes cloisonnés, rien de tout ça ne suffit face à un identifiant que Windows attribue à ta machine et que tu ne peux pas désactiver. Et un cybercriminel vient d'en faire les frais 🔽 Peter Stokes, 19 ans, double nationalité américano-estonienne, vient d'être extradé de Finlande vers les États-Unis. Il est accusé d'association de malfaiteurs et de piratage lié à une demande de rançon de 8 millions de dollars contre un bijoutier de luxe en mai 2025, dans le cadre de l'affaire Scattered Spider. La façon dont les autorités avec l'aide de Microsoft, ont réussis à l'identifier est finalement assez simple : le fournisseur d'OS a une visibilité que ni le VPN ni les réglages de confidentialité ne peuvent contrer. ▶️ Le concept clé : le GDID Le Global Device Identifier est un identifiant unique attribué à chaque installation de Windows. Il sert normalement au diagnostic, au crash reporting, à l'analyse d'usage des fonctionnalités, et à la détection d'abus (comptes multiples pour contourner des essais gratuits, par exemple). Les équipes de sécurité l'utilisent aussi de façon défensive : une connexion depuis un appareil inconnu sur un compte connu, ou l'inverse, est un signal classique de compromission. Ce GDID ne change pas, sauf réinstallation complète de l'OS. Tu peux changer de VPN, de compte, de pseudonyme. La machine, elle, reste identifiable. ▶️Comment Microsoft a fait le lien Stokes a créé un compte ngrok (utilisé pour exposer des services locaux à Internet, technique courante dans ce type d'intrusion) en passant par un VPN pour masquer son adresse IP. Le VPN a bien masqué l'IP. Mais Microsoft, sur réquisition judiciaire, a pu établir que le même GDID avait accédé à la page d'inscription ngrok exactement au moment de la création du compte. L'identifiant machine a fait le lien que l'IP ne pouvait pas faire. À partir de là, les enquêteurs ont recoupé l'historique d'adresses IP associées à ce GDID avec les horodatages de connexion sur Snapchat, Apple et Facebook, retrouvant des correspondances à Tallinn, New York et en Thaïlande. Pourquoi c'est Microsoft qui tient la clé, pas toi Le VPN protège la couche réseau. Il ne protège pas la couche appareil. Et cette couche appareil, c'est Microsoft qui la contrôle, pas toi. Tant que ta machine physique reste la même sous Windows, elle porte un identifiant persistant que toi-même tu ne peux ni voir ni désactiver par un simple réglage. ▶️Une précision que je tiens à faire Plusieurs posts viraux affirment que Microsoft aurait eu accès à "l'historique complet de navigation" ou à "l'activité de jeux vidéo" de Stokes. Ce n'est pas ce que disent les documents judiciaires rendus publics. Ce qui est documenté, c'est la corrélation GDID/horodatage sur l'inscription ngrok, puis le recoupement avec les journaux de connexion d'autres plateformes. Je préfère rester sur ce qui est vérifiable : le pouvoir réel de Microsoft ici est déjà suffisamment important sans en rajouter. Une raison de plus de se passer de Microsoft... Source images : @thecomfeed
👉 Protégez-vous de la surveillance mobile 📱 Android propose depuis la version 16 une option qui peut vous alerter si votre téléphone se connecte à un réseau mobile suspect ou non sécurisé, y compris dans certains scénarios compatibles avec une fausse antenne-relais : IMSI catcher, Stingray, SMS blaster, etc. 📲 Comment vérifier Allez dans Paramètres > Réseau et Internet > Sécurité du réseau mobile. Si votre téléphone est compatible, vous devriez y trouver deux réglages importants : • Notifications relatives aux réseaux • Réglage 2G / Autoriser la 2G La bonne pratique : activez les notifications réseau, et désactivez la 2G. Attention : cette page n’apparaît que si votre téléphone, son modem et l’intégration du constructeur le permettent. J’y reviens plus bas. ⚡ Ce qui protège vraiment bien : désactiver la 2G La 2G n’a jamais été conçue avec une authentification mutuelle robuste entre le téléphone et le réseau. En clair : le téléphone doit prouver son identité au réseau, mais le réseau ne prouve pas suffisamment la sienne au téléphone. C’est précisément ce qui rend possibles beaucoup d’attaques par fausse antenne bon marché, notamment les “SMS blasters”, qui forcent un retour vers la 2G pour injecter des SMS de phishing en contournant les filtres antispam des opérateurs. Désactiver la 2G ferme cette porte. C’est la seule brique qui ressemble vraiment à un blocage, plutôt qu’à une simple alerte. 🔔 Ce qui est plus nuancé : les notifications réseau Ici, Android ne bloque pas tout. Il alerte. Deux signaux sont notamment surveillés : • une connexion mobile non chiffrée ; • un accès par le réseau à des identifiants uniques du téléphone ou de la carte SIM, comme l’IMSI ou l’IMEI. Ce deuxième signal peut aider à repérer certains comportements suspects, y compris sur des réseaux plus modernes que la 2G. Des attaques LTE/4G peuvent chercher à forcer ou exploiter des procédures de signalisation pour récupérer l’identité permanente d’un abonné, ou relier cette identité à des identifiants temporaires. Mais attention : un échange isolé d’identifiants peut aussi être normal, par exemple après une reconnexion, un changement de réseau ou une sortie du mode avion. Donc une notification ne prouve jamais à elle seule qu’il y a surveillance. C’est un indice à interpréter, pas une preuve. 📡 Et la 5G ? La 5G introduit le SUCI, qui vise à masquer l’IMSI avant transmission radio. Sur le papier, c’est un progrès majeur par rapport aux générations précédentes. Mais la protection réelle dépend de l’architecture utilisée par l’opérateur. En 5G NSA, très répandue, le réseau s’appuie encore en partie sur l’infrastructure 4G/LTE. En 5G SA, la protection de l’identité permanente est meilleure, mais cela ne rend pas toute forme de traçage ou de corrélation impossible. Autrement dit : l’icône “5G” sur votre téléphone ne suffit pas à garantir que vous êtes protégé contre tous les scénarios de fausse antenne ou de surveillance radio. ⚙️ Le vrai frein : la disponibilité matérielle Ce paramètre n’apparaît que si votre appareil supporte les bonnes API radio côté Android, avec un modem compatible et une intégration constructeur adaptée. Il ne suffit donc pas d’avoir Android 16 ou plus. Il faut aussi le bon matériel. Résultat : une grande partie du parc Android actuel ne verra probablement pas encore cette page, ou pas toutes les options. ✅ En résumé Désactivez la 2G si l’option existe. C’est une vraie mesure de protection contre une famille d’attaques encore très utilisée. Activez aussi les notifications réseau. C’est utile, mais ce n’est pas un bouclier magique : cela vous donne un signal, pas une certitude. Et si vous ne voyez pas ces réglages, ce n’est pas forcément une erreur : votre téléphone ou son modem ne les supporte peut-être pas encore.
Protégeons la planète, réduisons notre consommation d'électricité. image
▶️ Recherche d'inspiration Quel sujet souhaiteriez-vous que je traite sur la chaîne pour la prochaine vidéo ?