Archives du mot-clé sécurité informatique

Comment j’ai récupéré tous les mots de passe d’un autre avec Google Chrome

Avant tout, ce n'était pas volontaire.
  1. Se connecter à la machine d'une personne
  2. Sans créer une nouvel utilisateur, demander à synchroniser Chrome sur cette machine avec mon compte à moi.
  3. Attendre un peu, puis couper la synchronisation.
Et voilà. Sans le vouloir, j'ai récupéré tous les mots de passe de la personne (puisqu'elle les avait enregistré. Grâce à l'autocomplétion, je n'ai même pas à faire quoi que ce soit. Je me connectes directement sur son compte Free. Je ne blâme pas Google. Accès physique, session ouverte, mono-session. Mais c'est malheureusement un cas très courant et je ne vois guère que de la biométrie transparente pour éviter ça.  

flattr this!

Bloquer des ports sur la Freebox

[Un utilisateur cherche à bloquer les ports sur la Freebox v4]

Pas possible avec la Freebox. Mettre un routeur ou une machine pour faire le routage est une des seules solutions que je voies.

L'avantage, si le sujet est polémique, est que avec un bon routeur, tu peux, plutôt que verrouiller, mettre en place une QoS.

[Freebox] bloquer certains ports

J'ai enfin compris pourquoi à ma formation, des gens parlaient de mettre un routeur derrière une Freebox (après avoir activé le mode bridge). Il m'aura fallu quatre mois.

(le mode bridge sera disponible pour la v6, contrairement aux craintes antérieures)

flattr this!

Empêcher la lecture d’un répertoire avec .htaccess

Il y a peu, latapie.name (naked domain) était listable, avec notamment l'accès direct aux logs. Merci à Thomas pour me l'avoir signalé ! Très facile à régler avec une ligne dans le .htacess à la racine :
[[code]]czoyMDpcIk9wdGlvbnMgQWxsIC1JbmRleGVzXCI7e1smKiZdfQ==[[/code]]
(source : http://www.htaccessredirect.net/)

flattr this!

Analogie parlante sur la stéganographie

Si la cryptographie est l’art du secret, la stéganographie est l’art de la dissimulation : l’objet de la stéganographie n’est pas de rendre un message inintelligible à autre que qui de droit mais de le faire passer inaperçu. Si on utilise le coffre-fort pour symboliser la cryptographie, la stéganographie revient à enterrer son argent dans son jardin. Bien sûr, l’un n’empêche pas l’autre, on peut enterrer son coffre dans son jardin.

J’aime beaucoup l’analogie. Merci Aoineko ! 23 août 2002, en plus — une des premières contributions

flattr this!

Deux préceptes de sécurité informatique

Initialement publié le 08 mars 2007

Toute technique fonctionnant côté client ne pénalise que les utilisateurs honnêtes.


Un système d’authentification peut se ranger dans l’une de ces trois catégories :

  • Ce que je suis ;
  • Ce que je sais ;
  • Ce que je possède.

Une bonne sécurité nécessite au moins deux de ces trois valeurs, car chacune est vulnérable :

  • Je ne peux changer ce que je suis ;
  • On peut apprendre ce que je sais ;
  • On peut me voler ce que j’ai.

Une fois que ce que l’on est est découvert, on est coincé, car on ne peut le changer. Vu ainsi, la biométrie, ce n’est pas super. D’autant plus que c’est très facile de récupérer des informations biométriques (regardez n’importe quel policier des années 50 où l’espion invite sa victime à prendre un verre et récupère ensuite ses empreintes). Gartner semble d’accord.

Un mot de passe, ça se découvre. Il y a des tas de manière, du bon sens (1234, regarder sous le clavier, le nom du chien ou du fils) à la force brute en passant par l’ingénierie sociale (baratiner la personne pour obtenir un mot de passe).

Enfin, ce que l’on possède peut se voler. Pour citer, en clin d’œil, Lao Tseu : Qui accumule les richesses a beaucoup à perdre.


Ces deux préceptes sont des fondamentaux, mais même parmi les professionnels de la sécurité, ce n’est que rarement à l’esprit. Pourtant, comme tout fondamentaux, ce sont les pièces les plus importantes, car elles servent de grille de lecture.

Ceci est d’ailleurs vrai pour tous les domaines de la connaissance : ce ne sont pas les connaissances hyper-spécialisées qui importent le plus, mais au contraire les plus fondamentales. Une connaissance fondamentale vous permet d’aborder 60 % des problèmes, alors qu’une spécialisée ne fonctionne que pour 5 % des problèmes.

Évidemment, je ne suis pas objectif, je suis un généraliste :-)

Ajouts par les lecteurs :

  • Cela dit, le maillon faible d’un système de sécurité informatique est l’humain.
  • L’ingénierie sociale est bien plus dangereuse que les trous de sécurité.

Notez qu’il s’agit de deux manières de dire la même chose.

flattr this!

Virtualisation matérielle : virus de processeur

Après :

  1. les virus de BIOS et
  2. les virus de MBR, voici
  3. les virus de processeur

En effet, l’avènement de la virtualisation hardware (IVT/Vanderpool et AMD-V/Pacifica) permettra à des virus de s’installer dans le processeur (ou dans une mémoire annexe, je ne sais pas trop).

Les solutions entièrement logicielles comme Virtual PC ou VMWare n’ont bien sûr pas ce problème (bien qu’il soit bien sûr possible à un virus Windows d’endommager votre Linux encapsulé dans Windows). L’idée est que la nuisance peut descendre, pas monter. Le problème, c’est que le processeurs, c’est tout en haut…

+--------------------+  +--------------------+ |                    |  |      Virus         | |                    |  | +---------------+  | |       Lin          |  | |     Lin       |  | |       Mac          |  | |     Mac       |  | |       Win          |  | |     Win       |  | |                    |  | +---------------+  | +--------------------+  +--------------------+   sans virt. hard.        avec virt. hard.

Ce que je ne sais pas, c’est s’il est possible à un virus de s’installer sur une machine déjà en production. Même dans ce dernier cas, un virus pourra s’activer au redémarrage de la machine.

C’est très difficile a détecter (il faut examiner les temps de réponse) et aucun système d’exploitation (pas même OpenBSD ou EROS) n’est à l’abri. Désormais, et pour faire provocateur, Windows peut installer un virus sur votre Linux.

La bonne nouvelle, c’est que l’on réussi à se débarasser des deux premières catégories (je ne sais pas comment) ; on peut espérer qu’il en ira de même avec la troisième.

Source : la geekette résidente de ce carnet, Laura Dove (ingénieur sécurité)

Documentation :

flattr this!

La bombe ou la grippe ?

Initialement publié le 31 janvier 2006 à 03:16:02

On va peut-être m’accuser de faire dans le catastrophisme, mais…

Selden a étudié la question de savoir si des terroristes pouvaient développer une bombe nucléaire, et sa réponse fut positive. […] Au départ ils n’auraient pas besoin de connaître quoi que ce soit sur les armes nucléaires, Selden et Dobson l’avaient prouvé. Il y a suffisamment d’informations sur Internet pour placer les terroristes sur orbite, après quoi ils devront tout de même faire leurs propres calculs de conception.

[…]

Le physicien Ted Taylor, qui clame depuis des décennies que la construction d’une bombe à fission est quasi un travail de garage, a dit en 1987 que même un équipement de potier est utile. Vous pouvez fabriquer du C4 admirablement bien sur un tour de potier. Dans quelle mesure est-ce facile pour un groupe terroriste de fabriquer une bombe ? Très facile, à souligner deux fois. Très facile… répond Taylor.

[…]

Dans son autobiographie, le prix Nobel Luis Alvarez a écrit : […] même un lycéen peut faire une bombe.

[…]

Jay Davis […], durant l’ère Clinton, essaya sans succès de convaincre les laboratoires d’armes de lancer une nouvelle version de l’expérience Énième Pays, cette fois en posant la question de savoir si un groupe terroriste pouvait construire la bombe. Bob Selden pense savoir pourquoi personne ne fut intéressé : lui et Dave Dobson avaient déjà répondu à la question voici quarante ans.

Ça fait peur ? Attendez, ce n’est pas tout.

Il est en effet plus facile de créer et de produire [un virus de grippe espagnole] à partir des informations publiées [sur un site Internet] qu’il ne le serait de créer et de produire une bombe atomique à partir d’un mode d’emploi détaillé (qui n’est pas accessible).

Pire encore, un tel virus pourrait tuer beaucoup, beaucoup plus de personnes qu’une bombe atomique. Explosant dans une ville cette dernière, pourrait tuer jusqu’à un million de personnes alors que le virus ferait des dizaines, voire des centaines de millions de victimes.

La bombe est facile à créer. La grippe espagnole, encore plus.

Que faire ? Prôner la sécurité par la connaissance : propager l’information pour que l’on puisse plus facilement se prémunir d’une éventuellement pandémie. On voit ce que l’absence de communication donne lors des catastrophes naturelles. Il n’y a pas de raison que ce soit mieux pour les catastrophes artificielles.

InternetActu étend un peu plus le débat. On entre finalement dans un questionnement que je qualifierais de philosophique (mais nullement désincarné !) sur la question de l’accès à la connaissance et des implications de la chose. Jusqu’où aller ? Aucune réponse n’est donnée, mais, sans user de formule rhétorique, l’avenir (proche) nous le dira.

Slashdot a un article similaire : Advances in Bio-weaponry. En gros, n’importe qui (everyone and his dog comme dit un commentateur) peut se créer une telle arme, il suffit de matériel de niveau lycée… (les commentaires signalent cependant à quel point il est difficile de propager la chose)

La citation à-peu-près-dans-le-sujet du jour : Si tu ne sais pas, demande. Mais si tu sais, partage.

flattr this!