Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Samy Kamkar

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
29.09.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Samy Kamkar - Un personnage controversé

Samy Kamkar

Samy KamkarSamy Kamkar - Un personnage controverséSamy Kamkar

Samy KamkarSamy Kamkar est un chercheur en sécurité et protection de la vie privée.

Samy Kamkar est connu pour avoir écrit, en 2005, le vers (worm) Samy worm. Ce vers est le virus le plus rapide de l'histoire des vers. Il s'agit d'une attaque XSS (cross-site scripting). Samy Kamkar est localisé, arrêté et condamné à trois ans d'interdiction d'utiliser un ordinateur. Dès l'échéance de sa condamnation, en 2008, Samy Kamkar publie un utilitaire permettant de voler les données des cartes bancaires à RFID (radio fréquence) ainsi que celles des cartes de contrôle d'accès à RFID (sans utiliser d'ordinateur).

En 2010, Samy Kamkar découvre une faille affectant le module de cryptanalyse de toutes les versions de PHP - dans la fonction pseudorandom number generator (pratiquement tous les grands sites du monde utilisent PHP côté serveur). Cette faille permet à un attaquant de prendre l'ID de session d'un utilisateur et de se substituer à lui durant la session. Il publie un correctif qui sera incorporé dans PHP 5.3.2 du 04.03.2010. Dès le 29.03.2010, Samy Kamkar publie du code démontrant l'attaque contre les plus grandes banques, réseaux sociaux et forums (full disclosure), or, dans la pratique, il faut plusieurs mois à plusieurs années pour qu'un serveur passe d'une version de php à une autre.

Le 02.08.2010 Samy Kamkar démontre, avec une attaque XSS et la base de données de Google Street View, la possibilité de géolocaliser quelqu'un à quelque mètres près (7).

Le 29.09.2010 Samy Kamkar publie Evercookie, en Open Source.

En 2011 Samy Kamkar entre au Conseil d'Administration de la Brave New Software, une organisation qui va développer un proxy (création de uProxy, avec l'Université de Washington et Google Ideas) permettant aux internautes des pays sous régimes répressifs avec un Internet sous censure, d'accéder librement au Web sans être surveillés, et un réseau (Lantern) permettant de contourner les censures numériques.

Le 21.04.2011, Samy Kamkar découvre que tous les terminaux mobiles (iPhone, Android et Windows Phone) envoient en continue les coordonnées GPS, corrélées à l'adresse MAC du terminal, à, respectivement, Apple, Google et Microsoft. Cette découverte fait les pages de garde, dont du Wall Street Journal (1) (2) (3) (4)(5). L'iPhone continue d'envoyer les données de géolocalisation même si le service de localisation est désactivé ! Les terminaux mobiles sous Windows Phone continuent d'envoyer les données de géolocalisation même si l'utilisateur l'a interdit. Il découvre que certaines de ces données sont exposées par Google et développe une application, Androidmap (bloquée par Google depuis (6)), pour voir ces données de géolocalisation dans les bases de données de Google, corrélées à l'adresse MAC de la carte WiFi. Les voitures espionnes de Wardriving, dans le scandale Google Street View, sont également impliquées dans la capture des coordonnées de géolocalisation de ces adresses MAC, au moment où le terminal mobile est dans son rayon d'action.

Le 02.12.2013, Samy Kamkar produit SkyJack, un drone qui permet de prendre le contrôle des drones radiocommandés Quadcopter du constructeur français Parrot. Il publie le logiciel en Open Source et donne toutes les informations pour construire le matériel. Les drones de Parrot, destinés aussi au grand public, sont pilotés par un terminal mobile (smartphone, tablettes, etc. ...) sous Android ou iOS, sans authentification ni chiffrement pour sécuriser la connexion avec le pilote légitime. SkyJack est publié le lendemain de la publication, par Amazon, de sa réflexion sur la création d'Amazon Prime Air, une possible livraison des petits colis d'Amazon par des drones, dès 2015.

Le site de Samy Kamkar.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre mesures" Contre mesures "

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

Crédit photo : websegura.net

 Requêtes similairesRequêtes similaires" Requêtes similaires "