Soirée crypto

En faisant mon tour du soir de mes feed RSS, je suis tombé sur ces deux articles de Bruce Schneier (le seul, l'unique). Le premier parle de l'algorithme MD6 qui a été retiré du concours SHA-3 du NIST, par son concepteur (Ron Rivest) pour des raisons de fiabilité dans les conditions requises (à savoir, avec le nombre de "tours" demandé, l'algorithme n'est plus aussi fiable qu'avec le nombre de tours conseillés par le concepteur). Une anecdote raconte également que dans la majorité des cas, quand un algorithme se retire de la compétition, c'est fait de manière silencieuse après découverte de faiblesses; dans ce cas là, Ron Rivest l'a fait "avec classe".

Le second post quant à lui balance le lien vers un PDF qui avait échappé à tout le monde (sauf Bruce !) exposant une "nouvelle" attaque sur AES (192 et 256 seulement, la variante 128 bits est épargnée) ayant une complexité de 2^119 (donc meilleure que le brute force). Reste que même avec cette complexité, on en est pas encore à pouvoir trouver une clé AES en 5 secondes avec un pc de bureau, vu les contraintes mémoire (2^77, on en rêve :))

Echochrome

Je me suis remis à jouer à Echochrome, ça permet d'oublier la longueur du trajet en métro le matin (ou le soir aussi). Dans le genre "cassse-tête" il est très bon; il est basé sur ce qu'on pourrait appeler la "réalité subjective". En deux mots, on a un bonhomme (le même genre que les mannequins en bois pour la pub Ocedar il y a quelques années, pour ceux qui s'en rappellent) qui marche sur des sortes de briques, et il doit "toucher" des ombres de lui même situées un peu partout sur le plan de jeu. Sauf que c'est blindé d'obstacles (trous, absence de briques, trampoline, ..). L'idée est ensuite que si on "cache" cet obstacle, en changeant l'angle de vue (en gros, en bougeant la camera, quoi), alors l'obstacle n'existe plus et notre bonhomme Ocedar pourra avancer.

Puis ici, une video qui illustre le principe...

Un (petit) pas en avant

Google ne devrait pas tarder à généraliser l'utilisation du SSL pour une grande partie de ses services, dont le mail (gmail, qui propose une option permettant d'activer le ssl en permanence, au lieu de n'avoir qu'une authentification chiffrée[1]) et sa "suite bureautique" (ça fait tache d'ouvrir un document dans google docs, et de se faire sniffer la connexion parce qu'on est sur un réseau wifi public [ensuite, si on a des documents vraiment confidentiels, on utilise pas google, mais ça c'est un autre débat])
Ce qui les a poussés à avancer de la sorte, c'est une lettre (ouverte ?) adressée au CEO de Google, rédigée par des stars dans le domaine de la sécurité et de la cryptographie, avec entre autres Bruce Schneier, Steven Bellovin, Jeff Moss, Ron Rivest et plein d'autres.
Dans un premier temps, la feature sera testée sur un certain nombre d'utilisateurs afin d'évaluer la charge CPU (car mine de rien, la crypto, ça pompe des ressources), avant d'être ensuite généralisée pour de bon.
Alors ensuite je ne sais pas comment ils envisagent de faire pour se conformer aux lois de certains pays, vis à vis de la crypto. Je n'ai pas pu trouver d'info à ce sujet.

[1] à la différence de services comme msn/hotmail. et c'est tâche pour ces derniers dans la mesure où si quelqu'un sniffe le trafic, même si il n'arrive pas à obtenir les identifiants parce que chiffrés dans un échange SSL, le reste circulera en clair et il sera plus ou moins facile de lire une partie des mails de l'utilisateur (au moins ceux qu'il ouvre)

l33tness

Here

Mozinor

Faisons un peu de hors sujet avec une vidéo de Mozinor bien bien amusante, basée sur une pub récente de La Poste (j'ignorais qu'il s'agissait d'une vraie pub à l'origine avant que l'on me le dise ce soir, vu que je n'ai pas de télé)

Documents Corrompus

Surfons sur la vague, continuons dans la lignée des posts inutiles et parlons de cette grande trouvaille (LoLoLoL) qu'est le site "corrupted-files". Ce site vend des documents Microsoft Office corrompus, c'est à dire que lorsque l'on en ouvre un, cela génère une erreur disant que le document est corrompu et ne peut pas être ouvert. Cool. Intérêt ? Envoyer un document qui semble correct à un prof/patron (typiquement le rapport du commercial hein) alors qu'on a rien foutu et qu'on veut gagner du temps ("oh comme c'est dommage, le document ne s'ouvre pas sur ton pc...")

En ouvrant un .docx avec un éditeur hexa, et en supprimant quelques octets, j'ai réussi à obtenir un message me disant que le document était corrompu:

Suivi, lorsque je clique sur OK, d'un message me disant que des données sont manquantes (j'ai peut-être été trop brutal lors de mon hexedit):


Et j'ai même réussi à obtenir un crash de Microsoft Word comme ça. Par contre je n'ai pas pensé à faire de screenshot, et vu que je n'arrive plus à le reproduire, c'est bien balot.
Je sens que je vais m'y mettre moi aussi à vendre des documents office corrompus pour 1 euro.
Plus sérieusement, je n'ai pas encore regardé comment OpenOffice ou AntiWord gèrent mon document corrompu (s'ils l'ouvrent quand même en essayant de se passer des infos manquantes en fonction de leur nature, ou s'ils échouent lamentablement comme Microsoft Word).
Puis faudrait aussi savoir quel est le contenu de ces fichiers Microsoft Office vendus sur ce site, car quand j'ouvre un .doc dans un hexedit, je vois quand même le texte apparaitre dedans. Et si l'étudiant paresseux envoie un tel document à son prof, et que ce dernier, en étudiant le contenu du fichier, découvre le "Lorem Ipsum blablabla", il risque de faire la tronche.

Challenge SSTIC

Il semblerait même que les diverses solutions du challenge SSTIC aient été mises en ligne (bon ça fait peut-être même quelques jours, mais je n'ai pas pensé à regarder ça ce week-end à vrai dire).
Ca me fera un peu de lecture pour les soirées à venir.