cowboy a écrit 56 commentaires

  • # FUD

    Posté par . En réponse au journal WhatsApp, sa porte discrète du fond et les backdoors de Signal. Évalué à -1.

    Journal qui fait du mal pour rien. WhatsApp n'est effectivement pas libre, Signal utilise l'infra de Google… mais la spécification de la crypto est disponible, ainsi que l'analyse de sécurité.

    Certes il serait idéal d'avoir un logiciel libre qui implémente tout ça (d'ailleurs, rien n'empêche de le faire, mais j'attends que quelqu'un paye l'infra centralisée pour des millions d'utilisateurs).

    Il ne faut surtout pas oublier que Signal et WhatsApp proposent un moyen de communication sécurisé pour le grand public, là où le logiciel libre échoue depuis des années.

    Enfin, le logiciel libre c'est bien mais ne garantit pas du tout l'absence de backdoor… il est tout à fait possible de rajouter des backdoors que personne ne verra (il suffit de voir combien de temps Heartbleed est resté dans openssl).

    Bref, journal FUD.

  • # ClamAV : nid à vulnérabilités

    Posté par . En réponse au journal Scan de fichiers automatique. Évalué à 2.

    Tout scanner avec ClamAV n'est pas forcément une bonne idée … au contraire.
    Vu le nombre de vulnérabilités dans son code atroce, mieux vaut faire attention et éventuellement utiliser VirusTotal que d'installer ClamAV.

  • # Intéressant, mais pourquoi une archive ?

    Posté par . En réponse au journal Postes utilisateurs Xubuntu 14.04 dans un environnement Active Directory. Évalué à 4.

    Le document est très intéressant, mais je trouve dommage qu'il soit uniquement disponible en ODT dans une (grosse) archive.

    Une publication au format web serait plus accessible et mieux référencée.

  • # Précision

    Posté par . En réponse au journal Le système de d'authentification de la clef des voitures de luxe VW a été cassé.. Évalué à 8.

    Il ne s'agit pas d'attaques sur la clé, mais sur l'antidémarreur.

    Concernant Megamos, je ne sais pas s'il s'agit d'un nouveau modèle mais en tout cas l'ancien est connu pour être pourri depuis longtemps :
    http://www.nosuchcon.org/talks/D2_05_KNohl_Immobilizer_Security.pdf

    et comme le montre cette conférence, les voleurs n'utilisent pas des vulnérabilités cryptographiques mais se contentent de reprogrammer les clés autorisées en passant pas le bus CAN qui n'est pas protégé (!). C'est plus simple et plus rapide :)

  • # Firefox, stockage des mots de passe

    Posté par . En réponse au journal Sécurité des mots de passe. Évalué à 1.

    Si tu utilises le stockage des mots de passe dans firefox, fais bien attention à utiliser un "master password" bien robuste. Cela évitera à n'importe qui (cad n'importe quel code malveillant) de récupérer directement tous tes mots de passes.

    Sinon, Keepass a été mentionné, il a la particularité (dans sa version 2, sous Windows) d'avoir été certifié CSPN, ce qui donne un minimum de garanties sur sa robustesse : http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/certificat_cspn_2010_07.html

    Sinon, clairement, le plus gros risque est la réutilisation de mots de passes : si un forum pourri stocke les mots de passe en clair, la personne malveillante pourra essayer de le rejouer sur le mail, sur d'autres sites, etc.

    Le commentaire qui parle de dérivation de mots de passe en fonction du site me semble un bon compromis : peu d'attaquants (non ciblés) vont chercher à corréler les mots de passe et de toutes manières un attaquant réellement motivé trouvera une autre solution.

  • [^] # Re: Pas réellement exploitable ?...

    Posté par . En réponse à la dépêche Quelques aspects de la sécurité qui n'ont rien a voir avec le « Sandboxing ». Évalué à -7. Dernière modification le 23/01/12 à 14:24.

    Ce commentaire montre bien ton incompréhension de la sécurité, tu dis toi même que tu n'y connais pas grand chose, et cela transparaît.

    Ton commentaire sur le point numéro 3 est particulièrement révélateur : bien qu'il soit louable de chercher à détecter les failles en amont et à inciter les gens à reporter les failles, par exemple contre rémunération, ceci n'est absolument pas suffisant et il se trouvera toujours des personnes suffisamment motivées pour trouver des failles exploitables.

    Certes DEP et ASLR aident, mais clairement ces mécanismes sont contournables et régulièrement contournés.

    Chrome a clairement pris l'approche la plus proactive en matière de sécurité : faire en sorte que toute exploitation ne porte pas à de grave conséquences sur le système. Tu dis qu'il est aussi grave qu'un exploit permette d'accéder aux données de la session de navigation en cours. Certes ce n'est pas génial, mais la sandbox permet d'éviter (normalement) toute persistance de l'attaque, évite que le système entier soit compromis (et puisse donc servir de relai pour du spam ou d'autres attaques).

    Alors oui effectivement Google utilise cette étude pour communiquer, mais il est indéniable que Chrome est beaucoup plus sécurisé que Firefox. Pas uniquement au niveau de la sandbox, mais également au niveau de TLS, des certificats etc.

    Comment ne pas interpréter ton post comme une réaction puérile de la part de Mozilla qui se voit dépassé et qui, au lieu de réagir et de renforcer la sécurité, critique la communication ?

  • [^] # Re: rsibreak pour les pauses

    Posté par . En réponse au journal Ergonomie et aménagement du poste de travail : retours et appels à expériences. Évalué à 3.

    j'utilise personnellement Workrave (http://www.workrave.org) qui marche sous linux/windows, dispose d'un mode réseau.

    Il m'a beaucoup aidé à combattre mes douleurs.

  • # Lecture trop rapide, conclusions fausses

    Posté par . En réponse au journal 82 millions d'euros pour 200 caméras.... Évalué à 2.

    Bonjour,
    sans rentrer sur le fond du déploiement de la vidéosurveillance, j'invite l'auteur du journal à lire l'article qu'il cite avec un peu plus d'attention.

    Première partie :
    Plus de 200 nouvelles caméras de surveillance ont été mises en service, mercredi 21 décembre, à Paris. Le premier ministre, François Fillon, était présent.

    Deuxième paragraphe :
    À Paris, afin de "combler (le) retard en la matière sur les grandes capitales européennes", plus d'un millier de caméras modernes vont être installées d'ici à mi-2012, a souligné François Fillon depuis un commissariat du 20e arrondissement.

    Troisième :
    Adopté fin 2009 par le Conseil de Paris, ce plan est financé à hauteur de 82 millions d'euros par l'État et de cinq millions par la mairie, en raison du statut particulier de la capitale.

    Donc il s'agit bien de plus de 1000 caméras et pas de 200 et de 87 millions d'euros, pas 82.

  • # Oui, ou presque

    Posté par . En réponse au journal MD5 et garantie de non-modification. Évalué à 3.

    Comme certains l'on déjà dit, le principe de ce que tu demandes est la résistance aux collisions : ayant un message M donc le hashé (empreinte en français) est E, il est impossible de générer M' (différent de M donc) tel que H(M)==E==H(M').

    Cependant MD5 est justement vulnérable aux attaques en collision, il est recommandé d'utilisé un algorithme de la famille SHA-2.

    Un document de l'ANSSI qui résume les règles concernant ce genre de problèmes : http://www.ssi.gouv.fr/IMG/pdf/RGS_B_1.pdf

  • [^] # Re: Plutôt contre la décision

    Posté par . En réponse au journal Fedora rejete un package d'un outil de pentesting. Évalué à 5.

    Ça tombe bien pour tester son antivirus, il y a le fichier EICAR.com qui est justement prévu pour ça...
  • [^] # Re: Contexte et utilisation de MD5

    Posté par . En réponse au journal Fichiers de signature des distributions. Évalué à 3.

    MD5 n'est PAS (en pratique) vulnérables aux attaques en seconde préimage, mais vulnérable aux _collisions_.
    Ce qui est clairement différent : les collisions permettent à une personne de générer 2 fichiers ayant le même MD5, par contre générer un autre fichier ayant le même MD5 qu'un fichier existant, on ne sait pas faire.

    Petite information supplémentaire, SHA-1 est considéré comme devant être abandonné. L'ANSSI recommande (et impose, dans certains cas), l'utilisation de fonctions de hachage ayant une sortie de 256 bits : http://www.ssi.gouv.fr/IMG/pdf/RGS_B_1.pdf
  • # Précisions

    Posté par . En réponse au journal Un autre type de faille locale. Évalué à 4.

    Les failles de type NULL pointer dereference sont connues depuis bien avant 2006.
    Brad Spengler n'a par ailleurs pas découvert ni exploité les failles lui-même, il a principalement repris des exploits développés par d'autres gens pour rajouter ses charges utiles.

    Concernant les trésors d'inventivité pour exploiter un null deref : mapper du code, trigger le bug, fini (en gros).
  • # Ce n'est pas la FSF qui assigne free en justice

    Posté par . En réponse au journal Free assigné en justice par la FSF pour violation de licence GNU/GPL dans sa Freebox. Évalué à 10.

    Si on lit l'article avec un minumum d'attention, on comprend que ce n'est pas la FSF qui assigne Free en justice mais les développeurs de Busybox et Harald Welte, représentés par Olivier Hugot. Je pense qu'il s'agit d'un nouveau procès dans la longue série intentés par les dev de Busybox, assistés par le SFLC. Série apparement bien effective vu qu'elle a permis de mettre en conformité de nombreuses sociétés en plus d'un versement financé d'un montent en général inconnu.

    Bref, enfin une vérification de la légalité de la GPL en France ?
  • # détail

    Posté par . En réponse au journal Chiffrage : Méthode et Utilité. Évalué à 6.

    chiffrage => chiffrement.
  • # précision

    Posté par . En réponse au journal Nombre de 307 chiffres factorisé. Évalué à 10.

    Ce n'est pas une factorisation standard au sens "factorisation du produit de deux nombres premiers aléatoires de taille équivalente" mais bien la factorisation d'un nombre particulier ce qui permet d'utiliser un polynome spécial (d'où le S et non un G comme général) qui permet d'accélerer grandement le crible (sieving en anglais).
    Je vous invite à voir http://en.wikipedia.org/wiki/SNFS et http://fr.wikipedia.org/wiki/Algorithme_de_factorisation_par_crible_sur_les_corps_de_nombres_sp%C3%A9cialis%C3%A9 (beaucoup moins complet) et leurs pendants sur le GNFS.
  • [^] # Re: Si le BIOS peut le faire en théorie ...

    Posté par . En réponse au journal XEN, Laptop HP, Bios propriétaire et Intel VT. Évalué à 4.

    je déconseille ce genre de manipulation.
    J'ai un portable lenovo X60s, que ma société a acheté justement pour le support de VT. Malheureusement celui-ci est désactivé dans le BIOS.

    Je ne sais pas comment cela se passe sur les HP mais les BIOS IBM sont des bios phoenix légèrement modifiés pour rajouter le support du lecteur d'empreintes, du TCPA etc... (avec des trucs pas forcément joli joli, plus de détails pour ceux qui veulent).

    Bon bref, après quelques opérations, j'ai trouvé le code qui initialise VT, j'ai reconstruit le bios avec les tools phoenix, j'ai flashé...
    j'avais maintenant une belle brique.

    Après retour de l'atelier IBM il remarche mais je ne vais pas retenter ca.


    2-3 urls utiles pour ceux qui veulent essayer.
    http://www.paul.sladen.org/thinkpad-r31/wifi-card-pci-ids.html
    http://www.richud.com/HP-Pavilion-104-Bios-Fix/
    http://forum.thinkpads.com/viewtopic.php?t=19561&postdays=0&postorder=asc&start=30&sid=22bd891f31afea3adb390f00d9e1c687

    pour le phoenix bios editor : rechercher le nom du soft sur yahoo, on tombe sur la page pour avoir la version d'éval. google ne la trouve pas.
  • # Bof

    Posté par . En réponse au journal Tactiques de lutte anti-SPAM: greylist ?. Évalué à 2.

    C'est peut-être efficace mais c'est bien contraignant, ca rajoute un sacré délai dans la délivrance du mail et ça crée parfois des problèmes avec les serveurs SMTP maison, où le domaine ne correspond pas au nom d'hôte de la machine etc...
    Bref, je ne suis pas convaincu du tout.
  • # Informations qui devraient être ds la dépêche.

    Posté par . En réponse à la dépêche La véritable histoire du petit chaperon rouge. Évalué à 7.

    Réalisateurs Todd Edwards, Tony Leech, Cory Edwards
    Film américain (Hoodwinked)
    http://french.imdb.com/title/tt0443536/
  • [^] # Re: Comparatif

    Posté par . En réponse au journal Real Player plus fort que Xvid/DivX ?. Évalué à 2.

    Y'a même le premier round du "code shoot-out 2005" qui est sorti aujourd'hui, pas de RV10 encore, ca sera pour dans quelques jours.

    http://www.doom9.org/index.html?/codecs-quali-105-1.htm
  • [^] # Re: autre

    Posté par . En réponse au sondage La musique que j'écoute provient principalement. Évalué à 1.

    je plussoie :)
  • # Naiveté

    Posté par . En réponse au journal [UE] Petite expérience. Évalué à 10.

    En même temps, il était quand même hautement improbable que le destinataire soit susceptible de pouvoir l'ouvrir. OOo 2 vient à peine de sortir, les administrateurs systèmes ne vont sûrement pas s'amuser à le déployer instantanément parce que c'est à la mode.
    Il faudrait déjà voir s'il a OOo 1, ce qui n'est pas gagné :)
  • # France Inter

    Posté par . En réponse au journal Concert en libre diffusion sur clefs USB. Évalué à 1.

    La nouvelle est passée il y a quelques jours sur France Inter (vendredi vers 17h) dans une émission dont je ne me rapelle pas le nom. Il y a été expliqué le principe des licences Creative Commons de façon claire pour le néophyte (je pense) et également annoncé cette possibilité de récuperer le concert sur clef USB à la fin de celui-ci.
    Bref, une bonne nouvelle :)
  • [^] # Re: Commentaires après lecture rapide

    Posté par . En réponse au journal Sortie de Misc n°20 (Juillet Août). Évalué à 5.

    Bon je me suis exprimé un peu vite, il y a également la génération de junk code et les anti debug :)
    Et par techniques actuelles je voulais parler de metamorphisme qui n'est pas du polymorphisme à proprement parler.

    Mea Culpa.
  • # Commentaires après lecture rapide

    Posté par . En réponse au journal Sortie de Misc n°20 (Juillet Août). Évalué à 6.

    - Timing attack et hyperthreading : non lu, j'avais déjà lu le papier d'origine. la technique est théoriquement intéressante mais en pratique peu utile à priori.

    - Les anecdotes du challenge Securitech 2005 : intéressant lorsqu'on a participé au dit challenge :) Malheureusement, pas de corrections des niveaux complexes : Forensics et reverse.

    - Vulnérabilité ISAKMP Xauth: description et implémentation : pas lu

    - Cryptographie malicieuse ou virologie cryptologique ? : article présentant les différentes façon d'utiliser la crypto ds les virus avec divers objectifs, résultats expérimentaux expliqués. Assez intéressant, il permet de se donner une idée d'une possible évolution des virus. Les résultats expérimentaux ne sont pas très utiles mais bon :)

    - Le polymorphisme cryptographique: Quand les opcodes se mettent a la chirurgie esthétique : En gros raconte comment faire du code crypté avec un xor, polymorphe du fait que le loader est différent à chaque fois, ainsi que la clef. Assez technique, beaucoup d'assembleur mais il permet d'avoir un aperçu des techniques de polymorphismes (les plus anciennes, les techniques actuelles sont beaucoup plus complexes).

    - Techniques d'obfuscation de code: chiffrer du clair avec du clair : pas lu en détail détail mais très intéressant à priori avec de nombreuses façon d'obfusquer du code, de façon à le rendre illisible. Très technique mais abordable, bien expliqué, à conserver :)

    - Le virus bradley ou l'art du blindage total : très intéressant : montre comment un virus visant une cible désignée peut utiliser la cryptographie pour se protéger d'une analyse rapide (voire complètement empêcher l'analyse), lui laissant le temps de faire ce pour quoi il a été conçu. Pas trop compliqué, très intéressant, une nouvelle fois un aperçu du futur des virus ?


    - Le virus Ymun: la cryptanalyse sans peine : Ou comment contourner les systèmes de cryptographie tels de que GnuPG en utilisant des virus combinés. Encore une fois intéressant, il montre que la réponse à des problèmes insolubles passe parfois par des moyens détournés qui peuvent être beaucoup plus efficaces que les attaques frontales .


    - Introduction aux backdoors cryptographiques : pas encore lu

    - création d'un binaire multiplateforme: bof, sans grand interet. Explique comment faire un ELF qui peut être exécuté en tant que .COM

    - Hacking mobile via Bluetooth : pour faire peur aux possesseurs de téléphones bluetooth ;) Non plus sérieusement, il montre qu'un protocole pas forcément peu sûr à la base peu être complètement cassé dans certaines implémentations foireuse. Pas trop complexe mais interessant (j'imagine que certains vont bientot faire joujou ;)

    - Quelques éléments de sécurité des réseaux privés virtuels MPLS/VPN : pas encore lu


    - Sécurité avancé du serveur web Apache: mod_security et mod_dosevative : comment améliorer la sécurité de son apache. Introduction à ces 2 modules. Bon article.

    - Pour quelques bits d'information : introduction à la théorie de l'information (surtout historique apparement) : survolé.

    De façon générale, un MISC fidèle à lui même, des articles de qualité, un dossier complet et un article moyen (on ne peut être parfait). Un regret peut-être : pas d'article juridique ou organisationnel, qui permet de voir une autre facette de la sécurité informatique, pas forcément moins importante que la techinque.
  • [^] # Re: Une habitude

    Posté par . En réponse au journal Revue du MISC mai-juin 2005. Évalué à 5.

    que lui avait tu fais pour qu'il soit offusqué ? ;)