Projet Ghostbusters : comment Facebook a espionné le trafic chiffré de Snapchat

Business de la surveillance ou surveillance du business ?

Avatar de l'auteur
Martin Clavey

Publié dans

Réseaux sociauxSécurité

27/03/2024 6 minutes

Écrit par Martin Clavey

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Demande explicite de Mark Zuckerberg

Man-in-the-middle

Des responsables pas unanimes

Utilisation des données d’adolescents

Fermer

Commentaires (21)


Dans un autre document [PDF] déposé par les mêmes avocats, on peut constater que le projet ne faisait pas totalement consensus au sein même des responsables de Facebook. On peut y lire Pedro Canahuati, alors responsable de l’ingénierie de sécurité et maintenant chez 1Password, y expliquer que « Jay [Parikh, alors responsable de l’ingénierie d’infrastructure et actuellement co-CEO chez Lacework] a signalé il y a longtemps que nous ne devrions pas faire de ‘man-in-the-middle’ ».


Quand on lit le PDF, on voit qu'ils installaient un root certificate généré par Facebook sur la machine cible et redirigeaient le trafic avec Snapchat vers les serveurs d'Onavo. Ils déchiffraient et rechiffraient les échanges pour passer du certificat de Snapchat à leur propre certificat validé par leur certificat racine.

Comme dit dans l'article et le PDF, le grand public ne comprend pas de quoi il s'agit quand on lui demande d'accepter d'installer un tel spyware. Ils payaient des gens pour installer ça sur leurs mobiles.

Ce sont de vrais pourris !
Modifié le 27/03/2024 à 17h53

Historique des modifications :

Posté le 27/03/2024 à 17h24


Dans un autre document [PDF] déposé par les mêmes avocats, on peut constater que le projet ne faisait pas totalement consensus au sein même des responsables de Facebook. On peut y lire Pedro Canahuati, alors responsable de l’ingénierie de sécurité et maintenant chez 1Password, y expliquer que « Jay [Parikh, alors responsable de l’ingénierie d’infrastructure et actuellement co-CEO chez Lacework] a signalé il y a longtemps que nous ne devrions pas faire de ‘man-in-the-middle’ ».


Quand on lit le PDF, on voit qu'ils installaient un root certificate généré par Facebook sur la machine cible et redirigeaient le trafic avec Snapchat vers les serveurs d'Onavo. Ils déchiffraient et rechiffraient les échanges pour passer du certificat de Snapchat à leur propre certificat validé par leur certificat racine.

Comme dit dans l'article et le PDF, le grand public ne comprend pas de quoi il s'agit quand on lui demande d'accepter d'installer un tel spyware. Ils payaient des gens pour installer ça sur leur mobiles.

Ce sont de vrais pourris !

Tu en doutais encore ? :D
Du coup, je trouve le titre de l'article très trompeur. On a l'impression que Facebook a espionné tout le traffic de snapchat, ce qui n'est pas le cas. Ce n'est qu'une petite partie du trafic, ce qui est quand même très différent. Et cela, avec l'accord* des personnes intéressées.


une astérisque pour dire que c'est un accord technique*, mais pas un véritable accord (dans le sens consentement) dans le sens où bien peu avait réellement connaissance du sujet je pense.
Ce serait intéressant de connaitre le nombre d'utilisateurs d'Onavo sur la période en question, histoire d'avoir un ordre d'idée.
Je ne suis pas d'accord avec toi sur le titre. Le trafic (avec un seul f en français) espionné suffisait à Facebook pour comprendre comment Snapchat attirait plus d’annonceurs et pour modifier ses propres applications afin d'être au même niveau que Snapchat. Et le titre ne dit pas qu'il s'agit de tout le trafic, je l'ai compris comme espionner les échanges en lisant le chapeau de l'article (qui permet d'en dire un peu plus tout en utilisant la même expression que dans le titre).

En tout cas, le sous-titre est très bon.

fred42

Je ne suis pas d'accord avec toi sur le titre. Le trafic (avec un seul f en français) espionné suffisait à Facebook pour comprendre comment Snapchat attirait plus d’annonceurs et pour modifier ses propres applications afin d'être au même niveau que Snapchat. Et le titre ne dit pas qu'il s'agit de tout le trafic, je l'ai compris comme espionner les échanges en lisant le chapeau de l'article (qui permet d'en dire un peu plus tout en utilisant la même expression que dans le titre).

En tout cas, le sous-titre est très bon.
Je me fais avoir à chaque fois sur le nombre de F. Je crois que la prochaine j'en mettrai 3 pour être sûr de me planter !

Pour le titre, je suis peut être trop tatillon, mais la langue française est pleine de nuance, et les affirmations suivantes, bien que globalement identique, sont très différentes :
- comment Facebook a espionné le trafic chiffré de Snapchat
- comment Facebook a espionné (une partie) du trafic chiffré de Snapchat

Dans le premier cas, je comprends tout le trafic (avec un seul F !!! ;) ). Dans le second, qu'il s'agit plutôt d'un espionnage ciblé.

L'ambiguïté est vite levé en lisant l'article, mais il faut quand même attendre la section suivant l'introduction (Demande explicite de Mark Zuckerberg) pour comprendre que la surveillance ciblait des utilisateurs particuliers (en l'occurrence, ceux du VPN d'Onavo).

[edit]

Par contre, on est d'accord, pas d'ambiguïté sur le sous-titre. :dix:
Modifié le 28/03/2024 à 08h07

Historique des modifications :

Posté le 28/03/2024 à 08h06


Je me fais avoir à chaque fois sur le nombre de F. Je crois que la prochaine j'en mettrai 3 pour être sûr de me planter !

Pour le titre, je suis peut être trop tatillon, mais la langue française est pleine de nuance, et les affirmations suivantes, bien que globalement identique, sont très différentes :
- comment Facebook a espionné le trafic chiffré de Snapchat
- comment Facebook a espionné (une partie) du trafic chiffré de Snapchat

Dans le premier cas, je comprends tout le trafic (avec un seul F !!! ;) ). Dans le second, qu'il s'agit plutôt d'un espionnage ciblé.

L'ambiguïté est vite levé en lisant l'article, mais il faut quand même attendre la section suivant l'introduction (Demande explicite de Mark Zuckerberg) pour comprendre que la surveillance ciblait des utilisateurs particuliers (en l'occurrence, ceux du VPN d'Onavo).

fdorin

Je me fais avoir à chaque fois sur le nombre de F. Je crois que la prochaine j'en mettrai 3 pour être sûr de me planter !

Pour le titre, je suis peut être trop tatillon, mais la langue française est pleine de nuance, et les affirmations suivantes, bien que globalement identique, sont très différentes :
- comment Facebook a espionné le trafic chiffré de Snapchat
- comment Facebook a espionné (une partie) du trafic chiffré de Snapchat

Dans le premier cas, je comprends tout le trafic (avec un seul F !!! ;) ). Dans le second, qu'il s'agit plutôt d'un espionnage ciblé.

L'ambiguïté est vite levé en lisant l'article, mais il faut quand même attendre la section suivant l'introduction (Demande explicite de Mark Zuckerberg) pour comprendre que la surveillance ciblait des utilisateurs particuliers (en l'occurrence, ceux du VPN d'Onavo).

[edit]

Par contre, on est d'accord, pas d'ambiguïté sur le sous-titre. :dix:
Le titre des articles est souvent trop court pour exprimer une nuance, un fois qu'on l'a compris, on est plus compréhensif.

Par contre, ces utilisateurs n'étaient pas ciblés en tant que tels. Ils servaient juste à étudier les échanges de l'appli Snapchat avec les serveurs afin de comprendre pourquoi ils avaient une supériorité au niveau de la publicité.

fred42

Le titre des articles est souvent trop court pour exprimer une nuance, un fois qu'on l'a compris, on est plus compréhensif.

Par contre, ces utilisateurs n'étaient pas ciblés en tant que tels. Ils servaient juste à étudier les échanges de l'appli Snapchat avec les serveurs afin de comprendre pourquoi ils avaient une supériorité au niveau de la publicité.
Le titre des articles est souvent trop court pour exprimer une nuance, un fois qu'on l'a compris, on est plus compréhensif.


Je suis d'accord, mais là, :
- la nuance est facilement exprimable
- et elle me semble importante (au final, cela ne concerne que très peu d'utilisateurs)

fred42

Je ne suis pas d'accord avec toi sur le titre. Le trafic (avec un seul f en français) espionné suffisait à Facebook pour comprendre comment Snapchat attirait plus d’annonceurs et pour modifier ses propres applications afin d'être au même niveau que Snapchat. Et le titre ne dit pas qu'il s'agit de tout le trafic, je l'ai compris comme espionner les échanges en lisant le chapeau de l'article (qui permet d'en dire un peu plus tout en utilisant la même expression que dans le titre).

En tout cas, le sous-titre est très bon.
Excellent le sous-titre en effet !! :yes::incline:
C'est pas de l'espionnage industriel, ça ? 🤔
" « je n’arrive pas à trouver un bon argument pour expliquer pourquoi c’est acceptable. Aucune personne chargée de la sécurité n’est à l’aise avec cela"

Le fond de l'article est intéressant et assez hallucinant, mais la traduction mot à mot des citations fait bien mal à la tête... Laissez les en anglais sinon, on comprendra.
on comprendra.


Ou pas ! Tout le monde est très loin d'être à l'aise avec l'anglais :francais::cap:

darkweizer

on comprendra.


Ou pas ! Tout le monde est très loin d'être à l'aise avec l'anglais :francais::cap:
Parfois même en français. :transpi:
Juste mon avis personnel, je n'ai pas de mot pour qualifier ce genre de comportement.
Rien que sur le principe, ce comportement devrais être très sévèrement punit.

On note quand même la volonté manifeste de la part de Facebook d'espionner Snapchat.
Ce serait intéressant d'avoir l'avis de Snapchat justement qui a mes yeux est la principale victime.
shocked-pikachu.png
Article très intéressant qui montre également que les VPN sont à double tranchant et plus particulièrement les gratuits
C'était techniquement un VPN, mais c'était présenté comme une étude payée par Onavo. Ils ne disaient probablement pas comment était réalisée l'étude, sur quoi elle portait et avec quels moyens.

Donc, ce VPN était non seulement pas payant, mais en plus ses utilisateurs étaient payés.

fred42

C'était techniquement un VPN, mais c'était présenté comme une étude payée par Onavo. Ils ne disaient probablement pas comment était réalisée l'étude, sur quoi elle portait et avec quels moyens.

Donc, ce VPN était non seulement pas payant, mais en plus ses utilisateurs étaient payés.
C'est vrai mais cela ne change rien à ce que j'ai écrit. Peut importe comment est vendu le VPN, cela te faire courrir les risques expliqués en détail dans l'article.

wanou

C'est vrai mais cela ne change rien à ce que j'ai écrit. Peut importe comment est vendu le VPN, cela te faire courrir les risques expliqués en détail dans l'article.
Il faut qu'un certificat racine contrôlé par celui qui exploite le VPN soit installé sur le mobile de la personne pour que le MIM soit possible.

Il faut donc convaincre l'utilisateur d'installer ce certificat racine.

fred42

Il faut qu'un certificat racine contrôlé par celui qui exploite le VPN soit installé sur le mobile de la personne pour que le MIM soit possible.

Il faut donc convaincre l'utilisateur d'installer ce certificat racine.
L'application VPN peut s'en charger de la même manière que pour Onavo.

wanou

L'application VPN peut s'en charger de la même manière que pour Onavo.
C'est l'utilisateur du mobile qui doit installer le root certificate :
Facebook’s IAAP Program used nation-state-level hacking technology developed by the company’s Onavo team, in which Facebook paid contractors (including teens) to designate Facebook a trusted “root” Certificate Authority on their mobile devices, then generated fake digital certificates to redirect secure Snapchat analytics traffic (and later, analytics from YouTube and Amazon) from Snapchat’s servers to Onavo’s


Sinon, ça serait un trou de sécurité énorme si une appli pouvait le faire toute seule pour toutes les applis du mobile.

Une appli peut le faire (au moins sur Android) mais uniquement pour elle-même. Ça, on peut en comprendre l'utilité.

Mais heureusement qu'une appli de type VPN ne peut pas installer un root certificate pour qu'il soit valide pour Snapchat ou youtube.