Correction d'un problème de sécurité sur TuxFamily

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
4
nov.
2003
Internet
Une faille de sécurité dans la configuration d'un des serveurs de TuxFamily permettant l'accès aux mots de passes de chacun des utilisateurs de ce service a été exploitée ces derniers jours. Le problème est maintenant corrigé et tous les mots de passe seront changés ce soir.

NdM: et le cryptage des mots de passe stockés ?

Aller plus loin

  • # Re: Correction d'un problème de sécurité sur TuxFamily

    Posté par  (site Web personnel) . Évalué à 5.

    > NdM: et le cryptage des mots de passe stockés ?

    Ils sont pas cryptés pour pouvoir les envoyer par mail au boulay qui les perdent.

    (solution que je n'aime pas d'ailleurs, il vaut mieux fournir un nouveau pass)
    • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

      Posté par  (site Web personnel) . Évalué à 10.

      Pff c'est vraiment une grosse connerie. Il suffit d'envoyer par email un url avec une clé unique ou la personne peut mettre un nouveau mot de passe...

      Joueur joue encore, trouver une autre excuse.
      • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

        Posté par  (site Web personnel) . Évalué à -6.

        Ouais, malheuresement ce n'est pas la seul contrainte quand on développe quelque chose d'un rien plus compliqué qu'un portail web en PHP.
      • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

        Posté par  (site Web personnel) . Évalué à 6.

        Exactement, c'est sur quoi nous sommes en train de travailler. Ce n'est pas évident de changer tout un système d'authentification comme ça, à la volée, ce nouveau service n'est pas encore disponible mais va l'être d'ici peu.
        • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

          Posté par  . Évalué à 0.

          Euh ???

          Lancement d'une moulinette qui crypt tout les mot de passe et remplis la base de donnée.
          Modification du code, plutôt que de comparer deux chaines de caractères, comparer la cryptographie de la chaine de caractère entrée comme mot de passe avec celle contenu dans la base de donnée.
          Si c'est identique, login = ok, sinon login = dtc.

          J'vois pas trop ce qui est compliqué la dedans...

          Mais dites toujours, il se peut que je me trompe...
          • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

            Posté par  (site Web personnel) . Évalué à 6.

            Si le système d'authentification était si simple que tu le décris, oui nous n'aurions pas eu trop de difficultés à le changer, mais TuxFamily repose sur des services divers et variés et donc le changement du système d'authentification a un impact significatif sur les services.

            Nous ne voulons pas arrêter tel ou tel service pour effectuer cette migration.
          • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

            Posté par  (site Web personnel) . Évalué à 8.

            Il se peut aussi que même en sachant de quoi on parle, il soit inutile de faire des suppositions.

            Je me permet de rappeller que la plate-forme en question est un logiciel libre, et encourage ceux qui ont la critique facile de regarder les choses de prêt et de contribuer, plutôt que de nourrir un troll qui a déjà trop bavé.

            S'il est vrai qu'on a affaire à une erreur gênante, on peut aussi voir que l'équipe incriminée a bien réagit. En restant ouverte et disponible, par exemple. Et en restant polie en lisant vos commentaire, aussi. Chapeau.

            Quant à ceux que j'ai pu entendre râler pour vol de données privées, je ne peux que les inciter à relire la charte et à se demander s'il est bienvenue de stocker des données privées chez un hébergeur de projet libre.

            De mon côté, qu'on me vole les sources d'un projet que j'avais décidé libre ne me pose pas de soucis. J'ai donné mes fichiers à TF pour qu'ils les diffusent, par tous les moyens :-)

            dim

            • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

              Posté par  . Évalué à 2.

              Vous pouvez souligner, mettre en gras ou en italique la notion de projet libre, cela ne change rien au fait que lorsque l'on enregistre des données de clients/membres, on est tenu de tout mettre en oeuvre pour les garder confidentielles. Beaucoup, lors de l'affaire de TATI, avaient trouvé honteux de voir une société ne pas en faire autant. Ce n'est pas parce que TuxFamily est une association qu'il ne faut rien dire.

              L'argumentaire utilisé par les admin qui disent à 2 reprises dans leur communiqué que TuxFamily est un projet favorisant le libre et que c'est *mal* de la part du ou des pirates d'avoir fait ce qu'ils ont fait: je le trouve foireux. Il faut être bien crédule pour penser que des pirates ont un intérêt quelconque pour le logiciel libre. Ce qu'il recherche avant tout, c'est la *gloire*, être *reconnu* pour ce qu'ils ont fait.

              Je me permet de rappeller que la plate-forme en question est un logiciel libre, et encourage ceux qui ont la critique facile de regarder les choses de prêt et de contribuer, plutôt que de nourrir un troll qui a déjà trop bavé.

              Donc, c'est toujours le système de défense que l'on retrouvera lorsque l'on critiquera un projet libre ? Si c'est le cas, on peut aussi dire dans ce cas qu'il serait bon de ne pas mettre en production un projet qui ne tient pas la route ? En disant cela, je n'attaque pas les développeurs de TuxFamily, mais il faut reconnaitre que vous n'êtes pas leur meilleur *avocat*.

              Quant à ceux que j'ai pu entendre râler pour vol de données privées, je ne peux que les inciter à relire la charte et à se demander s'il est bienvenue de stocker des données privées chez un hébergeur de projet libre.

              Mon site fait la promotion du logiciel libre, il répond à la charte et je ne vois pas en quoi je devrais distribuer les sources de mon site. Le contenu des sources de mon site est privé.

              Pour ce qui est des adresses emails, mon nom et mon prénom, ce sont des informations que je n'ai pas forcément envie de voir circuler partout.

              Ce que je voudrais savoir, c'est si les responsables de TuxFamily comptent déposer par exemple une plainte en justice pour savoir ou sont parties les données concernant leurs membres ?
              • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

                Posté par  (site Web personnel) . Évalué à 1.

                Je suis d'accord avec toi que l'argument des administrateurs de TF est un peu leger, citation :
                De tels actes sont tout simplement inexcusables et encore plus lorsqu'ils sont réalisés à l'encontre d'une entité défendant les logiciels libres.

                Si heberger des projets libres suffisait a se defendre des pirates, ca se saurait ...
                De plus, si je me souviens bien, ftp.gnu.org avait lui aussi ete piraté ...

                Idem pour mes donnees personnelles je n'ai pas non plus envie qu'elles circulent partout.

                Par contre, je ne suis plus d'accord avec toi lorsque tu parles des sources de ton site. En effet, TF est un hebergeur libre, et je pense (mais ca reste a confirmer) que meme les sources de ton site se doivent d'etre libres. D'apres ce que j'avais compris de leur charte, TOUT ce qui est hebergé par TF se doit d'etre libre. Donc j'imagine que les sources de ton site sont regies a la meme regle.
                • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

                  Posté par  (site Web personnel) . Évalué à 2.

                  Et ? je ne vois pas le rapport. Libre ne veut pas dire librement téléchargeable.

                  Ça veut dire que "si on te distribue une copie", alors tu as le droit d'avoir accès au source, de modifier, de redistribuer ....

                  Ça ne veut absolument pas dire que tu as le droit d'aller télécharger la chose si personne ne t'en attribue une licence. Un soft a beau être sous GPL tu n'as pas le droit de le prendre si personne ne te le distribue volontairement : rien ne t'autorise à le faire puisque toute les autorisations éventuelles se situent dans la licence, que personne ne t'a donné. Techniquement ce n'est pas le logiciel qui a une licence, c'est toi qui a (ou pas) une licence d'utilisation de ce logiciel. La différence est justement là, si tu "trouves" (légalement ou pas) un logiciel avec une licence libre, ça ne te donne pas le droit de le prendre tant que aucun détenteur du soft ne souhaite te le distribuer.
              • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

                Posté par  (site Web personnel) . Évalué à 6.

                Nous avons fait une faute, nous le reconnaissons. Nous donnons de plus notre avis concernant cet acte, nous ne cherchons pas d'excuse. Nous avons été transparent sur cette affaire.

                Dans ces moments là nous cherchons plus le soutien que de véritables coupables (même si nous menons nous investigations). Le message de Dimitri va dans ce sens, pas le tient.

                Que veux-tu de plus ? Que nous nous exposions sur une place publique en clamant haut et fort que nous sommes fautifs, que nous nous flagélions ?
                N'attend pas ça de nous.

                Nous sommes des bénévoles qui administrons TuxFamily sur notre temps libre avec les moyens dont nous disposons. Nos sommes clairs avec nos hébergés et nous affirmons dans notre charte que, je cite: «3: Le service fourni n'inclut aucune garantie.» Ce n'est pas un échapatoire mais une justification des moyens que l'on peut mettre en place.

                Le piratage est un acte pitoyable, qu'il attaque les logiciels libres où non libres. Nous répondons aux critiques faciles qui consistent à fustiger les personnes (développant du libre ou non) qui commettent des erreurs. Le fait de développer des logiciels libres donnent un contre-argument supplémentaire: celui de la participation. Ce n'est en aucun cas une excuse.

                En espérant que le message soit clair.
                • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

                  Posté par  . Évalué à -1.

                  Que veux-tu de plus ? Que nous nous exposions sur une place publique en clamant haut et fort que nous sommes fautifs, que nous nous flagélions ?
                  N'attend pas ça de nous.


                  Non, ce que j'attends de vous, c'est que vous vous conduisiez en gens responsables et que vous cherchiez à savoir ou sont aller mes données personnelles. Pour cela, vous avez possibilité d'utiliser la justice. Mais semble-t-il c'est loin d'être une priorité pour vous ce que je trouve plus que regrétable.

                  Deuxièmement, je ne jette pas sur vous l'erreur humaine qui à fait qu'un fichier était mal protégé. Tout être humain peut commettre une faute. Ce qui est grave par contre, c'est qu'en connaissance de cause, vous avez laissez les mots de passe de vos membres en clair dans votre base de données tout ça pour ne pas "arrêter des services". Il me semble en plus, si j'ai bien compris, que vous n'avez toujours pas crypté l'ensemble des mots de passe que vous stockez. Même si les mots de passe ont été changés sur les comptes des membres, c'est "reculer pour mieux sauter".
                  • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

                    Posté par  . Évalué à 2.

                    Il me semble en plus, si j'ai bien compris, que vous n'avez toujours pas crypté l'ensemble des mots de passe que vous stockez. Même si les mots de passe ont été changés sur les comptes des membres, c'est "reculer pour mieux sauter".

                    Je réponds à moi même. Je viens de tester l'envoi du mot de passe du panel et maintenant ce semble eêtre un mot de passe différent à chaque demande ce qui est une bonne chose et voudrait dire que celui-ci n'est plus stocké en clair dans la base de données.

                    Merci pour avoir fait cette correction.
                  • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

                    Posté par  (site Web personnel) . Évalué à 5.

                    Ha la la, que sais-tu de ce que nous entreprenons ? Crois-tu être le premier à avoir eu l'idée d'un recours en justice ?

                    D'après ce que tu dis, sans pour autant l'argumenter, nous ne sommes pas des gens responsables. Qui te donne le droit de nous juger ainsi.

                    Il semblerait que tu ne lises pas entièrement les comentaires que nous avons posté. Dès que nous avons su qu'il y avait un problème (la confirmation dudit problème) nous avons fait en sorte que le système ne soit plus vulnérable par directement deux actions:
                  • Nous avons audité notre plateforme pour connaitre le point d'entrée et nous avons corrigé les droits concernant la faille;

                  • Nous avons changer tout notre système d'authentification pour ne plus avoir un seul mot de passe en clair dans notre base de données. Ceci a été effectué en quelques heures, la nuit.

                  • Après ça nous avons réfléchi à une mesure plus drastique concernant le niveau de sécurité de notre plateforme. Ce que nous constatons c'est que notre «crédulité» (c'est le qualificatif que tu emploies) a été bafouée.

                    TuxFamily est une hébergeur de projet à caractère libre. Nous avons délibéremment offert un maximum de services afin de permettre au monde du libre de disposer de tous les éléments lui permettant de communiquer. Ce qui veut donc dire que nos services sont un minimum bridés. Ceci est fait en toute connaissances de cause et c'est un accord de confiance tacite que nous prenons avec nous hébergés. Nous reprocher d'être crédule et d'être des personnes non responsables de leurs actes dénote la méconnaissance de notre esprit et de notre dévotion.
  • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

    Posté par  . Évalué à 1.

    Pour cela, vous avez possibilité d'utiliser la justice. Mais semble-t-il c'est loin d'être une priorité pour vous ce que je trouve plus que regrétable.

    J'adore ce genre de troll. Celui bien baveux du mec qui ne sait pas, mais qui suppose. Et sa supposition fait force de loi.

    Tu as demandé à un admin de Tuxfamily s'ils comptaient déposer une plainte ? Non ? Et malgré tout tu pars du principe que ce n'est pas dans leurs priorités ? Moi j'ai posé la question et j'ai eu une réponse.

    Les personnes les plus critiques et les plus acerbes sont souvent celles qui n'ont pas besoin d'attendre d'avoir les infos pour établir d'eux mêmes les faits sur lesquels batir leurs critiques.
    • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

      Posté par  . Évalué à 0.

      Les personnes les plus critiques et les plus acerbes sont souvent celles qui n'ont pas besoin d'attendre d'avoir les infos pour établir d'eux mêmes les faits sur lesquels batir leurs critiques.

      Les administrateurs de TuxFamily ont les moyens de communiquer ce genre d'info:
      - les mails puisqu'ils l'ont fait pour l'annonce du problème,
      - le serveur NNTP http://tuxfamily.org/news/(...)

      Je pense d'ailleurs que ce qui se dit ici devrait certainement plus ce faire sur le serveur NNTP de TuxFamily car potentiellement, c'est le lieu d'échange et de discussion des membres de TuxFamily.

      Alors on peut toujours parler des mails que vous avez échangé avec les administrateurs de Tux mais les membres de TuxFamily ne sont pas destinataires de vos échanges.
      • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

        Posté par  . Évalué à 3.

        Je ne considère pas que les administrateurs de TuxFamily aient un devoir de communication sur les mesures qu'ils ont l'intention de prendre contre les malfaisants en question.

        Ils ont communiqué sur le problème rencontré afin de prévenir leurs utilisateurs, par soucis de transparence. C'est une bonne chose, et je pense que de toute façon, il était de leur devoir de le faire.

        Maintenant, sur les poursuites légales, je ne crois pas qu'il s'agisse d'un point crucial pour les utilisateurs du service. Ceux qui se sentent concernés peuvent poser la question. Ceux qui s'en foutent peuvent ne pas la poser.

        Dans ton cas, tu ne t'en fous pas, mais tu ne prends pas la peine de poser la question... et tu fabriques ta propre réponse. Très fort.

        Si tu veux savoir comment ça se passe, renseigne toi. Et ne râle pas parce que l'information ne vient pas toute seule vers toi. Tu as posé la question sur le serveur nntp de tuxfamily ? non ? et il n'y ont pas répondu ? NORMAL !
        • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

          Posté par  . Évalué à 0.

          Je ne considère pas que les administrateurs de TuxFamily aient un devoir de communication sur les mesures qu'ils ont l'intention de prendre contre les malfaisants en question.

          http://www.cnil.fr/droits/droit2.htm(...)

          "Si vous créez un fichier nominatif, vous en êtes responsable. Vous détenez une parcelle de la vie privée d'autrui. Ayez conscience des droits des personnes que vous fichez et respectez les obligations que la loi vous impose."

          http://www.cnil.fr/droits/droit205.htm(...)

          "Toute personne en charge d'un traitement automatisé nominatif doit prendre toutes les précautions utiles afin de préserver l'intégrité des données et d'empêcher toute communication à des tiers non
          autorisés ( art. 29 )"

          C'est vrai, il ne semble pas avoir l'obligation de communiquer sur les mesures qu'ils ont l'intention de prendre mais ils avaient d'autres devoirs qu'ils n'ont pas respecter donc les conditions ne sont pas les mêmes. J'ai posé une question et j'ai eu un semblant de réponse qui n'a pour le moment rien d'officiel du tout puisque posté sur LinuxFr.

          Tu as posé la question sur le serveur nntp de tuxfamily ? non ? et il n'y ont pas répondu ? NORMAL !

          J'ai posé une autre question sur le serveur nntp. Je n'ai pas eu de réponse. C'est normal ?

          http://tuxfamily.org/news/article.php3?id=587&group=tf.heberges(...)

          Je pose des questions que d'autres peuvent aussi se poser. Lorsque je pose une question publiquement (qu'elle soit dérangeante ou pas), j'aime avoir une réponse publiquement. Sachant qu'il est de bon ton visiblement de parler des récents problèmes de Tux sur LinuxFr plutot que sur le serveur NNTP de Tux, je ne vois pas pourquoi je ne pourrais poser les questions que je peux avoir ici.

          Ne cherchez pas à défendre (s'il en est vraiment besoin) les admin de Tux car je pense qu'ils peuvent le faire par eu même. Comme je l'ai dit dans un précédent post, je ne leur jette pas la pierre, mais je n'aime pas que l'on me cherche simplement car certains (dont vous visiblement) ne veulent pas que l'on attaque ce qui pourrait représenter le libre.

          Comme je viens de le dire, les Admin de Tux avaient certains devoirs qu'ils n'ont pas vraiment respecter. Bon le mal est fait mais lorsque je pose une question, je n'aime que l'on me plonk alors que les questions sont selon moi, et certainement d'autres, justifiées.
          • [^] # Commentaire supprimé

            Posté par  . Évalué à -1.

            Ce commentaire a été supprimé par l’équipe de modération.

            • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

              Posté par  . Évalué à 2.

              euh si tu fermais ton comptes sur TuxFamily pour aller voir ailleurs ce serait tres bien pour tout le monde

              T'inquiète pas, c'est en cours.

              de plus tu allegerais un peu plus ton prortefeuille!

              Tu m'expliqueras ?

              Autre solution tu subventionne TuxFamily de tel sorte qu'ils puissent payer a plein temps un inge syst securite...

              Commence par relire mes posts et tu verras que je critique pas l'erreur de sécurité sur le fichier de configuration. Il n'y a pas besoin d'être ingénieur système pour savoir qu'un mot de passe ne doit pas être stocké en clair dans une base de données.

              Au passage, je viens de lire ton journal LinuxFr (message aux modérateurs) et j'ai l'impression que c'est l'hopital qui se fout de la charité. Enfin... c'est gentil de participer.
          • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

            Posté par  . Évalué à 1.

            J'ai posé une autre question sur le serveur nntp. Je n'ai pas eu de réponse. C'est normal ?

            http://tuxfamily.org/news/article.php3?id=587&group=tf.heberges(...)


            User-Agent: Microsoft Outlook Express 6.00.2800.1158

            Mwahahaha

            http://frenchmozilla.org/(...)
  • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

    Posté par  . Évalué à 1.

    J'ai pas trouvé les sources de votre portail... J'n'ai pas non plus passé 4 heures à cherché il est vrai...
  • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

    Posté par  (site Web personnel) . Évalué à 7.

    Maintenant c'est un peu tard mais je trouve un peu anormal de trouve cette erreur classique chez des développeurs qui prennent la responsabilité d'héberger des gens.

    Des erreurs de configuration ça peut arriver même si c'est toujours malheureux. Par contre des mots de passe hébergés mis en clair ou sous forme décodable ce qui me fait peur c'est que j'hésite entre l'inexpérience et l'irresponsabilité (suivant que vous connaissiez les conséquences ou pas).
    Et pour un hébergeur, même bénévole et gratuit, ces deux qualificatifs me font très peur.
    • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

      Posté par  (site Web personnel) . Évalué à 6.

      Il est évident que c'est un problème, mais que nous avons du maintenir pour diverses raisons techniques à l'époque. C'est loin d'être un problème d'inexpérience ou d'irresponsabilité.

      Maintenant, la plateforme est libre est si vous souhaitez modifier cela et augmentez sa sécurité, il n'y a qu'un pas à faire.
    • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

      Posté par  . Évalué à 5.

      Je comprends pas qu'on puisse à ce point jeter la pierre à ceux - parceque ce sont eux, pas vous, détracteurs - qui font avancer le chmilblick vers l'avant.

      Je pense qu'on est surtout face à un problème médiatique ! L'image du hacker est salie au travers de pirates / script-kiddies à deux balles, les 3/4 des sites véhiculent une notion de 'piratage facile' où les gamins - puisque c'est d'eux dont on parle - trouvent des softs qui les rendent tout puissants sans mesurer les conséquences de leurs agissements.

      Celui qui critique TF, armé de sa BSD chroot-blindée, n'est pas non plus à l'abri que je sache, parceque l'erreur est humaine et le code qui compose les applis héritent inévitablement de ces 'tolérances'

      La difference est que si l'on est capable de refouler 90% des attaks, arrive toujours l'exception, celle qui rentre dans les 10% restants et là on morfle, le propos c'est tout de même de comprendre qu'on pourrait tous y être sujet et faire ainsi preuve d'un peu plus d'humilité...
      Ne gagnerais-t-on pas à véhiculer une autre image des hackers que celle de pirates-fouteurs-de-m. ?
      A travers ce nom de 'hacker', et la trop grande facilité à trouver des logiciels prêts à l'emploi, un mouvement a pris de l'ampleur, avec lequel il faut désormais compter.

      C'est de toute façon toujours plus facile de critiquer durement ce qui est ou n'est pas chez les autre; je ne cautionne pas.

      BufferBob - Appelle à bouger plutôt qu'à crier
      • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

        Posté par  (site Web personnel) . Évalué à 2.

        > Celui qui critique TF, armé de sa BSD chroot-blindée, n'est pas non plus à l'abri
        > que je sache, parceque l'erreur est humaine et le code qui compose les applis
        > héritent inévitablement de ces 'tolérances'

        Bien sûr que personne n'est à l'abris d'une erreur. D'ailleurs visiblement personne ici n'a critiqué l'erreur de conf qui est à l'origine du problème.

        Là on parle d'un comportement à (gros) risques connu et assumé. Il est normal que sur un comportement de ce style des questions soient posées.

        > C'est de toute façon toujours plus facile de critiquer durement ce qui est ou
        > n'est pas chez les autre; je ne cautionne pas.

        Quand quelque chose parait anormal il est bon de le dire. Jouer l'aveugle ne fait avancer personne. Puis avec ta réflexion on ne devrait jamais rien dire ?

        Les remarques ont été faites, elles ont obtenu réponse, tout s'est passé relativement correctement je trouve.

        (et je ne vois pas le rapport avec le shmilblick pour ce qui est de l'image du hacker)
  • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

    Posté par  (site Web personnel) . Évalué à -1.

    NdM: et le cryptage des mots de passe stockés ?
    Et la clé de chiffrement, on la stocke où ? On peut aussi chiffrer avec un mot de passe (par exemple, jetez un coup d'oeil à PKCS#5 http://www.rsasecurity.com/rsalabs/pkcs/pkcs-5/index.html(...)) mais c'est peut-être un marteau pour tuer une mouche.
    Et ne nous refusons rien, on peut aussi tenter le SSL bi-authentifié mais ça implique que TuxFamily doit délivrer (c'est à dire signer) des certificats numériques. Ce n'est pas trop compliqué techniquement avec OpenSSL (enfin tant que le niveau de sécurité désiré n'est pas énorme) mais ça nécessite de mettre en place une infrastructure, des procédures, un serveur...
    Et j'allais oublier s/cryptage/chiffrement !
  • [^] # Re: Correction d'un problème de sécurité sur TuxFamily

    Posté par  (site Web personnel) . Évalué à 3.

    C'était ce que était proposé aux hébergés jusqu'à hier soir comme l'a expliqué Julien. Ce n'est dornévant plus le cas.
  • # Re: Correction d'un problème de sécurité sur TuxFamily

    Posté par  . Évalué à 5.

    c'était quoi qu'on ne fasse pas la même erreur ?
  • # sha2

    Posté par  . Évalué à 8.

    pour les newbies qui se demandent comment "stocker" un mot de passe sans qu'on puisse facilement le décrypter il suffit de stocker un digest (hash de type sha2 512 bits par exemple) de ce mot de passe

    si le mot de passe est compliqué et suffisament long (genre passphrase) il sera quasi impossible à retrouver à partir de son digest (il faudrait tester toutes les combinaisons possibles)

    c'est ce que fait Linux dans /etc/shadow par défaut
    • [^] # Re: sha2

      Posté par  . Évalué à 8.

      C'est ce qui était fait dans la base de donnée mais le problème était du au fait que les mots de passe étaient aussi stockés en clair à côté de ceux chiffrés pour des raisons historiques selon ce que j'ai compris...

      Toute cette histoire est due à quelques erreurs cumulées ensembles. L'erreur est humaine... La bêtise aussi car c'est vraiment stupide de pirater un service du genre compte tenu de la qualité qu'il a!
    • [^] # Re: sha2

      Posté par  (site Web personnel) . Évalué à -1.

      J'aime bien l'explication qui n'explique rien. C'est quoi un hash ? Comment on fait pour vérifier que c'est le bon mot de passe ?

      http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci213435(...)
      • [^] # Re: sha2

        Posté par  . Évalué à 4.

        Un hash c'est quelque chose calculé à partir d'une formule mathématique et c'est dans un sens seulement. Une fois encodé tu ne peux pas décoder. Pour la question de vérifier si c'est le bon mot de passe, quand l'utilisateur l'entre tu n'as qua lui appliquer la formule aussi et comparer avec ce qui était déjà hashé dans la base de donnée. Comme ca les mots de passe ne sont pas en clair dans la base de donnée et ca aide pour la sécurité!
        • [^] # Re: sha2

          Posté par  (site Web personnel) . Évalué à 2.

          Mince, le hash je croyais que c'etait un truc qui fait rire et qui rend bête, après on fait des bétises dans la config de son serveur ?

          j'ai honte... ->[ ]
    • [^] # Re: sha2

      Posté par  (site Web personnel) . Évalué à 6.

      Je rajouterai deux petites précisions :
      1 - Il est conseillé de faire du SSL pour l'authentification car il faut envoyer le mot de passe "en clair" au serveur pour qu'il lui applique la fonction de hachage et le compare au haché dans la base de données.
      2 - Si quelqu'un de "malveillant" a accès à la liste des hachés, il va pouvoir lancer une attaque par dictionnaire pour tester tous les hachés. Plus il y en a dans la base, plus il risque d'en trouver un car il suffit de hacher un mot du dictionnaire pour pouvoir le comparer à tous les hachés disponibles. Une solution consiste à hacher non pas le mot de passe seul mais la concaténation du mot de passe et d'une petite valeur aléatoire, appelée "salt", stockée elle aussi dans la base de données. Dans ce cas, même s'il y a deux fois le même mot de passe dans la base, ils auront des "salt" différents donc des hachés différents. Même si le pirate obtient la base de données (donc le haché et le "salt"), quand il hache un mot du dictionnaire, il ne peut tester qu'un seul mot de passe alors qu'avant quand il hachait un mot du dictionnaire, il pouvait tester tous les mots de passe de la base.
      • [^] # Re: sha2

        Posté par  . Évalué à 0.

        Question bête (enfin question de novice sur le sujet) :

        Pourquoi n'envoie-t-on pas directement le hash du mot de passe ?
        • [^] # Re: sha2

          Posté par  (site Web personnel) . Évalué à 1.

          Si c'est le client qui calcule le hash du mot de passe et pas le serveur, nimporte qui se présentant avec le hash de ton mot de passe (et à fortiori, un pirate ayant eu accès à la base de donnée contenant la liste des hashs) peut se faire passer pour toi auprès du serveur, même s'il ne connait pas le mot de passe.
        • [^] # Re: sha2

          Posté par  . Évalué à 1.

          parceque alors on se retrouve dans la situation antérieure (quand il n'y avait pas de cryptage) avec comme mot de passe "en clair" le hash en question (mot de passe "en clair" qui n'est pas facile à mémoriser par un attaquant, c'est son seul "avantage")

          quelqu'un qui accède à la base de données des hash a donc accès à tous les comptes, et c'est précisément ce qu'on voulait éviter !
      • [^] # Re: sha2

        Posté par  . Évalué à 0.

        on peut aussi utiliser la methode du "challenge" :

        1) on envoi une phrase aléatoire
        2) la phrase est crypter avec le MD5 (ou SHA2) mot de passe du client (par javascript)
        3) le client compare la phrase crypter avec le cryptage qu'il a lui même effectuer

        Comme ça, le mot de passe est stocker en crypter et il est impossible de voler quelque chose par sniffing car ce n'est jamais la même chose qui est transferer
        • [^] # Re: sha2

          Posté par  . Évalué à 1.

          Je m'auto repond, tout le monde aura compris que dans la phase 3, c'est le serveur qui compare.

          Correctif :

          on peut aussi utiliser la methode du "challenge" :

          1) on envoi une phrase aléatoire
          2) la phrase est crypter avec le MD5 (ou SHA2) du mot de passe du client (par javascript)
          3) le serveur compare la phrase crypter avec le cryptage qu'il a lui même effectuer

          Comme ça, le mot de passe est stocker en crypter et il est impossible de voler quelque chose par sniffing car ce n'est jamais la même chose qui est transferer

          Allez, on me moisse le message ci dessus
          • [^] # Re: sha2

            Posté par  (site Web personnel) . Évalué à 1.

            euh ....

            J'ai un mot de passe "XXX", la phrase aléatoire que le serveur tire est "YYY"

            1- serveur m'envoie "YYY"
            2- je fais methode_cryptage(XXX,YYY)
            3- j'envoie le résultat au serveur
            4- le serveur fait le même cryptage ...BIP

            Pour faire le même cryptage le serveur doit connaitre YYY (ça il le connait car il l'a généré lui même), sauf qu'il doit connaitre aussi XXX. Et là ça rentre en conflit avec ton assertion "le mot de passe est stocker en crypter".


            Ceci dit on peut ruser, au lieu de crypter la phrase aléatoire avec le mot de passe on peut crypter la phrase avecun hash du mot de passe. Sauf que au final on tourne en rond : ce qui sera nécessaire des deux cotés pour s'authentifier ne sera plus "XXX" mais le hash de XXX et ce hash sera stoqué en clair ...

            Bref, marche pas. Ce que tu résoud là n'est pas le stockage mais celui de la transmission (et coté HTTP le SSL est la solution la plus simple).

            Ou alors j'ai loupé un truc.
            • [^] # Re: sha2

              Posté par  . Évalué à 1.

              Ce que j'ai dis :
              mon mot de passe est XXX

              1) je reçoit YYY de la part du serveur
              2) j'envoi cryptage( MD5(XXX), YYY)
              3) le serveur fais cryptage ( HASH_STOCKER, YYY) et compare

              le mot de passe est crypter sur le serveur et rien ne passe en clair.

              Effectivement, si quelqu'un peut recuperer ce qui est envoyer (YYY) et voir ce qui repart et faire l'algo inverse.

              A ce moment la, on envoi MD5( cryptage( MD5(XXX), YYY) ) ce qui fait que le retour en arriere est impossible, meme si on a l'algo de cryptage et la phrase aleatoire, on peut rien faire sans le mot de passe (du moins, je pense)

              Donc nouveau scenario :

              1) je reçoit YYY de la part du serveur
              2) j'envoi MD5( cryptage( MD5(XXX), YYY) )
              3) le serveur fais MD5 (cryptage( HASH_STOCKER, YYY) ) et compare

              En javascript, c pas forcement facile a faire mais des fonction pour hasher en md5 existe et des fonction de cryptage avec cle aussi donc...
              Dernier point, il faut faire en sorte que le message ait la même longueur que le MD5(XXX), c'est tres facile : MD5(heure_actuel_en_seconde)
              • [^] # Re: sha2

                Posté par  (site Web personnel) . Évalué à 1.

                C'est ce que je dis. Dans ce cas le mot de passe réel (ie la seule chose qui m'est nécessaire pour m'authentifier) c'est MD5(XXX). XXX n'est qu'un codage mnémotechnique qui permet d'obtenir ce mot de passe.

                Et ce mot de passe est bien stocké en clair dans ta base (vu que tu t'en sers pour valider l'authentification. Coté stockages tu as effectivement l'équivalent d'un stockage de mot de passe en clair.

                Pour t'en convaincre voilà la procédure :
                - je vole tes hashs
                - je commence une procédure de challenge
                - je recois YYY
                - je fais MD5 (cryptage( HASH , YYY) )
                - je suis vérifié par le serveur.

                Tu n'as fait que améliorer la transmission (celui qui écoute ne pourra jamais forcer l'authentification), mais ton stockage est toujours "faible", contrairement à l'option suivante utilisée dans les systèmes habituellement :

                - Je te demande ton pass (XXX)
                - tu me l'envoies en clair
                - je fais un hash de ce pass
                - je compare le hash à ma base

                Le point faible est la deuxième étape (transmission en claire), mais on peut le corriger via https.
                • [^] # Re: sha2

                  Posté par  . Évalué à 1.

                  Oui, mais comment tu voles le hash en 1) ?

                  Car le hash ne passe jamais sur le reseau, c'est l'avantage de ce type d'autentification, tu montres que tu connais le mot de passe, sans jamais le montrer.
                  • [^] # Re: sha2

                    Posté par  (site Web personnel) . Évalué à 1.

                    > Oui, mais comment tu voles le hash en 1) ?

                    Tu utilise une des multiples failles de sécurités présente sur le serveur pour t'introduire dessus (c'est difficile, mais cite moi un système impiratable -- troll : à part OpenBSD ...).

                    Ensuite, tu as toute la base, en clair, à porté de la main.

                    Si on suppose que ce n'est pas possible, alors par exemple, quelle est l'utilité de hasher les mots de passes dans /etc/shadow ?
                  • [^] # Re: sha2

                    Posté par  (site Web personnel) . Évalué à 2.

                    demandes à TxFamily, c'est bien ce qu'il s'est passé non ? c'est bien que la chose est un problème.
                    L'utilité de crypter les mots de passe c'est de ne pas en rajouter de problèmes si jamais une faille existe (et il en existera une tôt ou tard).
  • # Re: Correction d'un problème de sécurité sur TuxFamily

    Posté par  (site Web personnel) . Évalué à 3.

    Je viens de rentrer et là j'essaye mon nouveau mot de passe TF (celui qui a été envoyé).

    Bizarrement ça ne fonctionne pas ...

    Je demande mon mot de passe au panel il m'envoie un simple mot de passe : x

    Je rentre dans le panel, je change le mot de passe. Je reçois un mail comme quoi le pass a changé.
    Et là je redemande au panel mon mot de pass. Je retrouve bien le pass que je viens de mettre.
    La question est : qui a changé mon mot de passe entre 20H25 (heure du communiqué) et 2H04 (heure ou j'ai essayé le mot de pass contenu dans le communiqué).

    De plus, il est impossible de contacter le panel depuis 2H25 ...
    Le problème est-il vraiment réglé ?
  • Suivre le flux des commentaires

    Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.