Carnet de notes

Catégorie : Sécurité informatique

  • More Than 55,000 Twit­ter Account User­names & Pass­words Are Hacked And Leaked

    Quand on trouve un article annonçant 55 000 mots de passe de comptes révé­lés au grand jour, je ne me plains pas de la sécu­rité des mots de passe ou de celle du service. Dans la liste on trouve des mots de passe complexes, et rien ne permet d’af­fir­mer qu’il y a eu une négli­gence coupable de la part de twit­ter.

    More Than 55,000 Twit­ter Account User­names & Pass­words Are Hacked And Leaked

    C’est bien joli d’in­ci­ter les gens à utili­ser un mot de passe diffé­rent par service, à ne pas les sauve­gar­der, d’en utili­ser des complexes et en plus de les chan­ger souvent, mais c’est propre­ment irréa­liste

    La solu­tion on la trouve dans WebID, dans Brow­serID, ou même pourquoi pas dans OpenID, malgré tout les défauts liés à ce dernier. Et si on s’y mettait ?

    Ce n’est pas si complexe que ça. Il suffi­rait d’un mouve­ment de la part de la commu­nauté pour avoir des outils simples, ergo­no­miques et utili­sables. La base tech­nique est là.

  • Properly Salting Pass­words, The Case Against Pepper

    Bon, tout le monde devrait le savoir, même si mon expé­rience récente me montre qu’un rappel n’est pas inutile :

    • On ne stocke pas les mots de passe en clair, on les crypte
    • On n’uti­lise pas un chif­fre­ment réver­sible mais une fonc­tion de hachage
    • Un simple hachage ne suffit pas, il faut y ajou­ter un salage
    • Le salage doit être diffé­rent pour chaque mot de passe
    • L’al­go­rithme utilisé doit être lent, comme blow­fish par exemple

    Croyez moi, j’ai encore décou­vert il y a peu que non seule­ment ce n’était pas évident pour tout le monde mais que certains refusent de consi­dé­rer un simple stockage sous forme md5 sans salage comme une erreur et un problème poten­tiel de sécu­rité.

    Mais plus que tout ça, pour moi la règle de base c’est « ne jouez pas avec la sécu­rité ». Si vous n’êtes pas un expert dans la ques­tion : ne créez rien et n’im­plé­men­tez rien vous-même, utili­sez des biblio­thèques de codes toutes faites.

    Et par pitié, ne tentez pas d’amé­lio­rer les choses

    En jouant sur l’in­tui­tion, vous avez toutes les chances d’ar­ri­ver à un résul­tat opposé à celui que vous espé­rez.

    Dans le texte du jour à lire, Properly Salting Pass­words, The Case Against Pepper, nous avons un superbe exemple que je tente d’ex­pliquer en vain à chaque fois qu’on lève le sujet :

    Pour « amélio­rer » la sécu­rité, en plus du salage géré par l’al­go­rithme, propre à chaque mot de passe, certains cherchent à ajou­ter un second salage, global à l’ap­pli­ca­tion. L’idée est que le salage présent à côté du mot de passe dans la base de données ne suffit pas, il faudrait en plus connaitre le salage global utilisé par l’ap­pli­ca­tif, et donc profi­ter d’une faille de sécu­rité plus impor­tante afin d’ex­ploi­ter quoi que ce soit.

    L’idée semble bonne, intui­ti­ve­ment. Malheu­reu­se­ment vous n’êtes proba­ble­ment pas un expert sur l’al­go­rithme blow­fish. Vous ne *savez* pas si ajou­ter le même salage en début ou en fin du mot de passe avant de l’en­voyer à blow­fish ne risque pas de réduire la sécu­rité du résul­tat. Oh, vous avez proba­ble­ment l’in­tui­tion que ce n’est pas le cas, voire vous en êtes certains, mais aucune docu­men­ta­tion de sécu­rité recon­nue comme étant d’au­to­rité ne le précise expli­ci­te­ment.

    Vous en êtes à l’in­tui­tion et vous avez une chance sur deux de vous plan­ter. Au final, est-ce vrai­ment un bon pari ? Ça pour­rait l’être si l’état de l’art du stockage des mots de passe était fran­che­ment insuf­fi­sant et s’il n’y avait aucune méthode stan­dard pour l’amé­lio­rer. Ici il est probable que vous ne soyez pas encore à l’état de l’art (n’uti­li­se­riez-vous pas sha1 ou md5 ?) et cet état de l’art est proba­ble­ment suffi­sant si vous utili­sez suffi­sam­ment d’ité­ra­tions.

    Mais plus que cette ques­tion du double salage, qui est une mauvaise idée pour ce que vous et moi en savons, c’est toute l’im­plé­men­ta­tion que vous ne devriez pas toucher. Utili­sez une biblio­thèque de code éprou­vée, ou mieux : une fonc­tion prévue pour. En PHP nous avons « crypt », qui avec avec l’al­go­rithme blow­fish et suffi­sam­ment d’ité­ra­tions, rendra votre stockage des mots de passe bien plus solide que tout le reste de votre appli­ca­tion.

  • Le logi­ciel de télé­pho­nie mobile qui défie le contrôle des États

    On avance lente­ment, lente­ment. Côté infor­ma­tique cela fait des années que tout devrait être chif­fré et décen­tra­lisé. On sait faire, il ne reste qu’à passer quelques limi­ta­tions admi­nis­tra­tives désuètes et mettre un peu de promo­tion.

    Serval est inté­res­sant mais fina­le­ment il y aurait plus effi­cace à mettre en œuvre à court terme : un chif­frage de bout en bout de la commu­ni­ca­tion.

    Mail, messa­ge­rie, télé­pho­ne… plus rien ne devrait être sans chif­frage. Les risques de dérive on les connait et on les a subit maintes et maintes fois. Les « terro­ristes » eux, savent déjà faire, ce n’est pas le problème.

    Le logi­ciel de télé­pho­nie mobile qui défie le contrôle des États

  • Pas de vote élec­tro­nique à ma prési­den­tielle (ni ailleurs)

    N’ou­bliez pas le danger pour la démo­cra­tie que son les ordi­na­teurs de vote. Si les villes françaises semblent s’être calmées, ce n’est que partie remise. Tôt ou tard des poli­tiques voudront montrer combien ils sont modernes et à la page, et les machines à voter diverses refleu­ri­ront.

    La première action c’est de rendre ces machines inutiles et de renfor­cer l’as­pect citoyen des élec­tions : parti­ci­pez au dépouille­ment ! Ça prend une à deux heures mais c’est un exer­cice que tout le monde devrait vivre pour mieux comprendre le prin­cipe de trans­pa­rence de l’élec­tion. Si le dépouille­ment rede­vient un moment fort ou qu’au moins on arrête de manquer cruel­le­ment de personnes, c’est une des justi­fi­ca­tions du vote élec­tro­nique qui dispa­raît.

    La deuxième action, si votre bureau de vote est enta­ché par cette igno­mi­nie, c’est de faire noter au procès verbal sur place tout ce qui est anor­mal : scellé manquant, machine qui fait des bip sans raison, asses­seur qui accom­pagne un élec­teur dans l’iso­loir au moment du vote pour l’ai­der à voter (y compris pour des « bonnes » raison comme la présence d’un non voyant ou d’une personne âgée), inter­ven­tions tech­niques sur la machine ou rempla­ce­ment de l’équi­pe­ment en cours de vote (quelle qu’en soit la raison), heure ou date non inco­hé­rence, machine ouverte, qui ferme mal ou qui n’est pas verrouillée, impos­si­bi­lité de voter blanc/nul, refus de vous lais­ser assis­ter au dépouille­ment (véri­fi­ca­tion des tickets de sortie), affi­chage inco­hé­rent sur la machine, nombre votes et d’émar­ge­ments diffé­rents lors du dépouille­ment, etc.

    Pour les asses­seurs on peut ajou­ter d’autres anoma­lies poten­tielles : vote déjà ouvert à l’ou­ver­ture du bureau de vote, numéro de série ou de version inco­hé­rent avec les numé­ros atten­dus ou certi­fiés (ou impos­si­bi­lité de le véri­fier), urne non vide au démar­rage (ou impos­si­bi­lité de le véri­fier), codes confi­den­tiels non secrets, décompte ou procé­dures non fonc­tion­nels, ou globa­le­ment inca­pa­cité à réali­ser les opéra­tions prévues au code élec­to­ral pour garan­tir le bon dérou­le­ment de l’élec­tion.

    Il manque cepen­dant cruel­le­ment un docu­ment fait par quelqu’un qui connaît bien les textes et qui liste les points perti­nents à surveiller et à faire noter au procès verbal, avec quelles réfé­rences et quel forma­lisme. Les docu­ments qui trainent sur Inter­net sont soit trop vieux soit rédi­gés par des non-juristes (et ça se voit).

    Qui s’en charge ? ordi­na­teurs de vote semble mort et diffi­cile à utili­ser.

  • Nortel Networks hackers had « access to every­thing » for years

    Je ne sais que dire, si ce n’est que tout ça n’est pas vrai­ment éton­nant, ni même nouveau. Nous savons que des failles existent. Nous savons que certaines sont utili­sées et exploi­tées par des orga­ni­sa­tions.

    Nortel Networks hackers had « access to every­thing » for years

    Nortel, Veri­sign, des CA de certi­fi­cats SSL, ne croyez pas à la sécu­rité contre de grandes orga­ni­sa­tions ou gouver­ne­ments. C’est aussi pour ça que quelle que soit la tech­ni­cité du pres­ta­taire de solu­tion de sécu­rité, si les échanges reposent sur des certi­fi­cats, des clefs ou des proto­coles déte­nus par des tiers, vous ne faites que rajou­ter un risque.

    Nortel did nothing to keep out the hackers except to change seven compro­mi­sed pass­words that belon­ged to the CEO and other execu­tives. The company « made no effort to deter­mine if its products were also compro­mi­sed by hackers, » the WSJ said. Nortel, which sold off parts of its busi­ness as part of a 2009 bankruptcy filing, spent about six months inves­ti­ga­ting the breach and didn’t disclose it to pros­pec­tive buyers.

     

  • FileVault 2 easily decryp­ted, warns Pass­ware

    Vous utili­siez FileVault, TrueC­rypt, le Keychain de Mac OS X ou d’autres systèmes de chif­fre­ment du disque ? Il semble qu’au­cun ne soit parfait.

    Si l’im­per­fec­tion n’est pas en soi une décou­verte, qu’un logi­ciel public puisse récu­pé­rer les clefs de déco­dage en moins d’une heure est plus problé­ma­tique.

    Donc voilà : Chif­frez, parce que ça vous protè­gera tout de même contre la plupart des problèmes et que cela ne coûte rien ou presque sur un proces­seur moderne. Par contre n’ou­bliez pas que quelqu’un prêt à inves­tir 1000 $ dans une licence logi­cielle pourra accé­der à vos données.

    FileVault 2 easily decryp­ted, warns Pass­ware

    Contre l’es­pion­nage écono­mique, il n’y a qu’une seule protec­tion : garder le disque dans le coffre fort. Et ne croyez pas que l’es­pion­nage écono­mique est réservé à Airbus ou aux films améri­cains. J’ai entendu plusieurs histoires pour des tailles d’en­tre­prises tout à fait modestes.

  • Créer une copie virtuelle de Windows pour proté­ger votre ordi­na­teur

    Créer une copie virtuelle de Windows pour proté­ger votre ordi­na­teur, c’est telle­ment génial que personne n’y avait pensé. La seule alter­na­tive, pour les geeks, c’était d’uti­li­ser des machines virtuelles : pénible et coûteux en perfor­mance.

    Time Freeze propose ni plus ni moins que la possi­bi­lité de jouer avec n’im­porte quel programme trouvé sur Inter­net et choi­sir après coup si vous gardez ou si vous jetez les chan­ge­ments qu’il a fait sur votre système.

    Comme outil de sécu­rité pour conti­nuer à exécu­ter tous les power­point et programmes marrants qu’on vous envoie, ça devrait être carré­ment vendu avec l’OS.

    Je suis certain qu’à coup de snap­shot btrfs on pour­rait faire la même chose avec un GNU/Linux mais j’at­tends celui qui propo­sera une jolie inter­face autour de ça.

  • Vote par inter­net : failles tech­niques et recul démo­cra­tique

    Dans le vote par Inter­net, failles tech­niques et recul démo­cra­tique sont inhé­rents au système. Quand on vous lancera le terme de sécu­rité au visage, ce n’est qu’un leurre. Le texte de Chan­tal Engue­hard fait six longues pages, mais je vous invite à au moins lire la page 5. On y parle de retours d’ex­pé­rience concrets, pour ceux qui ne veulent pas croire aux simples démons­tra­tions argu­men­ta­tives.

    Malheu­reu­se­ment, des expé­riences passées, même si ce n’est pas dit ici, on retien­dra qu’au­cun des autres argu­ments n’est réel : pas plus écolo­gique, pas moins cher et pas plus simple que le papier.

    Pour ceux qui ne connaissent pas encore le sujet, le site ordi­na­teurs de vote, collecte beau­coup de liens et d’in­for­ma­tions. Si après lecture vous n’êtes toujours pas scan­da­li­sés qu’on puisse envi­sa­ger d’uti­li­ser des systèmes auto­ma­ti­sés pour un vote démo­cra­tique, reve­nez ici en repar­ler.

  • Voda­fone femto­cell hack lets intru­ders listen to calls

    Conti­nuons avec la sécu­rité des réseaux de télé­pho­nie mobile : Voda­fone femto­cell hack lets intru­ders listen to calls.

    Les femto­cell sont de véri­tables trous dans la sécu­rité des réseaux mobiles. Côté sécu­rité il y a d’un côté le réseau interne et de l’autre le réseau externe. L’in­no­va­tion de ces femto­cell c’est mettre un élément de réseau interne chez les parti­cu­liers.

    Voda­fone a four­nit des boitiers troués. D’autres l’ont fait avant. D’autres le feront encore. Il sera possible d’en­trer dans ces boitiers. Il sera possible d’en faire des systèmes d’écoute ou d’in­ter­cep­tion. Nous allons entrer dans un joyeux monde où nous ne pour­rons plus faire confiance à nos réseaux mais où aucun télé­phone ne propose de chif­frer les commu­ni­ca­tions de pair à pair.

  • Les réseaux GSM sont des passoires, affirme un cher­cheur en sécu­rité

    C’est connu depuis long­temps et même plus un secret de poli­chi­nelle. Les télé­phones portables sont un vrai problème de sécu­rité. Les réseaux GSM sont des passoires, affirme un cher­cheur en sécu­rité.

    Il faut dire qu’on parlait déjà de problèmes de sécu­rité à ce niveau il y a 10 ans. Il est simple, pour un élec­tro­ni­cien du dimanche, d’es­pion­ner ou d’in­ter­ve­nir sur le réseau. Pensez de plus que sur les mobiles certains SMS spéci­fiques permettent de recon­fi­gu­rer ou mani­pu­ler la confi­gu­ra­tion du télé­phone, et vous pouvez déjà faire pas mal de choses.

    Ajou­tez la police UK qui monte de fausses bornes GSM pendant les mani­fes­ta­tions, ou les fabri­cants de télé­phone qui deman­daient il y a quelques années dans les réunions un mini­mum stra­té­giques « télé­phones sur la table, batte­rie reti­rée » par peur d’un télé­phone qui écoute silen­cieu­se­ment à l’insu de son proprié­taire, et désor­mais vous n’avez plus aucune excuse pour croire à la sécu­rité de votre télé­phone mobile.

    Rien de neuf, malheu­reu­se­ment.