Musings of a CSM

Ça c est de la correction

2012-01-25T14:47:00.001+02:00

Le "geek", danger public

2011-11-23T00:17:00.003+02:00

Fallait bien trouver la cause profonde...

D’après plusieurs universitaires, la place croissante de la télé et des jeux vidéo explique en grande partie cette montée des violences chez les jeunes. Dans l’affaire de la Haute-Loire, le lycéen incarcéré pour le meurtre d’Agnès est décrit comme un « geek », fan de jeux vidéo. Ces derniers avaient été officiellement incriminés lors du procès du meurtrier de Christopher, un garçon de 12 ans tué d’une trentaine de coups de couteau en 2001 près de Lille. « Déconnection entre le réel et le virtuel », avaient alors indiqué les experts.

Hack GMail : la galère

2011-10-18T22:37:00.003+02:00

Histoire effrayante.

A hacker has been occupying my email account for the past week. And he or she may still be there. A disembodied intruder, this person has been stalking my inbox, replying to messages, signing off with my nickname and refusing to let me in. They have been going through my personal history and making judgments about my character. In the weirdest twist, the hacker even started writing to me. If it wasn't so unsettling, it could be the plot of a black postmodern comedy.

J'en avais lu une similaire il y a plusieurs mois (au détour d'un tweet de Mikko Hypponen), qui avait fini de me convaincre d'utiliser l'authentification en deux étapes pour accéder à mon compte Google/GMail.
Concrètement, ce petit plus à la sécurité du compte n'est pas très contraignant : Lorsque je veux accéder à mon compte depuis un navigateur web, une page me demande de saisir un code à 6 chiffres, aléatoire, que je récupère via un "token" (dans ce cas: une application sur un smartphone).
Pour les applications ayant besoin d'accéder au compte (mails, via Thunderbird par exemple), il est possible de définir des mots de passe spécifiques aux applications ("application-specific password"), qui est une chaine de 16 caractères, entièrement en minuscules et allant de 'a' à 'z'. Il est ainsi possible d'utiliser un mot de passe pour Thunderbird et un autre pour GoogleTalk sur un poste, et un autre mot de passe pour récupérer ses e-mails sur son iPhone, ainsi, le jour où je perds mon iPhone ou que je me le fais voler et que la personne qui le récupère sait comment extraire les mots de passe stockés, il m'est possible de révoquer le mot de passe GMail attribué à ce dernier, sans avoir à modifier le mot de passe principal et à le répercuter sur tous mes périphériques.
Par contre, ce que je trouve dommage, c'est que les identifiants attribués n'apparaissent pas dans le log d'activités de GMail, afin de déterminer plus facilement quelle adresse IP est associée à quel type d'accès, afin de détecter des incohérences. Espérons que ça arrive prochainement (à condition que ça représente un intérêt pour un certain nombre de personnes j'imagine).

Ensuite, Google a prévu le cas où le périphérique servant de token pour l'authentification en deux étapes est perdu. Une grille de codes, à imprimer (et conserver précieusement) est générée pour chaque compte, à la manière de certaines banques en ligne. Ici ça consiste en 10 séries de 8 chiffres. Il est aussi possible de configurer un autre téléphone, pouvant recevoir par exemple un SMS avec le code d'authentification.

Pour ceux qui seraient arrivés sur ce blog et qui se seraient fait hacker leur compte GMail, je n'ai pas trop d'autre conseil que de suivre ce qui est dit un peu partout sur internet, à savoir utiliser un mot de passe robuste en premier lieu, activer l'authentification en 2 étapes, s'assurer d'utiliser un PC sain...Je n'expliquerai pas comment récupérer l'accès à un compte auquel vous n'avez plus accès, même si c'est le votre, mais sachez juste qu'il existerait un "formulaire de la dernière chance" à remplir en donnant un maximum de détails précis, comme la date de création du compte, les destinataires principaux des e-mails envoyés avec ce compte, etc.

Pour les autres qui ne connaissaient pas la 2-step auth de Google, j'espère que ça vous a convaincus de son utilité.

Ohnoes, c'est encore la fin du monde...

2011-09-20T10:26:00.004+02:00

...ou pas. C'est juste le security-circus qui fait "l'Attention Whore" une fois de plus.

Yet another SSL fail

2011-08-30T00:00:00.003+02:00

Il va être temps de réfléchir à une alternative à SSL. Il y a quelques mois, on apprenait que des certificats en provenance d'un partenaire de Comodo avaient été retrouvés quelque part sur internet, permettant ensuite à une entité malveillante d'effectuer des attaques man-in-the-middle sur des services tels que Gmail, MSN, Skype, etc.

L'histoire se répète, ce soir on apprend qu'un rogue certificate est utilisé en Iran pour faire du monitoring des connexions vers Gmail. Vous trouverez un screenshot montrant comment les gens s'en sont rendu compte ici (Aneffet, Chrome utilise le "Public Key Pinning" depuis quelques versions maintenant, ce qui explique pourquoi ce brave utilisateur a eu une erreur fatale, au lieu d'avoir sa page gmail classique).

News0ft avait déjà parlé de ce genre de problèmes (mais aussi tous les autres) il y a un peu plus d'un an, dans un long post plutôt bien foutu. On devait juste s'y attendre un beau jour.

A l'heure actuelle, il n'y a pas d'alternative viable. Juste des "patchs" pour ajouter des surcouches supplémentaires de sécurité (public key pinning par exemple), mais qui ne sont pas utilisables dans la vraie vie par tout le monde (dans le cas de gmail avec chrome, c'est parce que google a intégré ses propres règles en dur dans le navigateur, pour d'autres services, ça ne sera pas aussi évident :)). Puis de toutes façons, une entité effectuant un man-in-the-middle et proposant une CA non valide empêchera l'accès au service si on prend les mesures nécessaires pour la bloquer. Ensuite, d'ici à ce que la HADOPI ait le droit de faire ça pour s'assurer qu'on ne s'échange pas de MP3 de grands artistes...

Pourquoi les DRM sont l'avenir de l'humanité

2011-05-08T22:04:00.005+02:00

Vous aurez évidemment compris que ce titre est ironique, du moins je l'espère. Je vais vous raconter là une petite histoire sur les DRM; la partie amusante est qu'elle est fortement liée aux problèmes rencontrés actuellement par sony avec son PSN.
Il y a quelques mois, je me suis acheté une PSP Go, afin de succéder à ma bonne vieille PSP qui commençait à rendre l'âme (lecteur UMD défectueux, fort heureusement, vu que je l'avais "jailbreakée", il m'était possible de lancer des backups de jeux).
La PSP Go c'est une PSP normale, à la différence près qu'il est impossible de la nourrir avec des jeux achetés en magasin: il est impératif d'acheter ses jeux en ligne sur le Playstation Store. Forcément, chaque jeu contient sa dose de DRM, et il est nécessaire d'enregistrer sa console sur son compte Playstation Network, afin de lancer les jeux qu'on a téléchargé avec notre compte (et pas celui du voisin). Jusque là, tout est classique.
Le problème se pose lorsque pour une raison indéterminée la PSP Go dit que des données sont corrompues et qu'il est nécessaire d'effectuer une réparation de l'installation. Pas de problème, ça arrive de temps en temps, et ça prend juste 2 minutes à réparer. Manque de bol, l'opération a l'air d'également supprimer la clé permettant d'authentifier la console lors du lancement d'un jeu, faisant qu'il m'est alors impossible de lancer les quelques jeux que j'ai pu acheter (dans le lot, beaucoup (10) étaient offerts avec la console, mais j'en avais acheté quelques uns aussi). Problème ? ça ne devrait pas en être un en fait, il suffirait juste de se logguer sur le Playstation Network et rajouter ma console dans les équipements liés à mon compte, mais quand le PSN est hors-service à cause de l'incompétence de certaines personnes, ça devient juste infaisable.
Je me retrouve alors avec une brique.
Demain, une société peut faire faillite/disparaître, et ses clients ne pourront juste plus utiliser les équipements qu'ils ont acheté à cette société. Bienvenue dans le monde fabuleux du DRM. Un monde que les gens les plus hauts placés de notre société souhaitent nous imposer.
En attendant, il me reste toujours ma bonne vieille PSP hackée, qui me permettra elle de jouer même si Sony disparaît.
Merci pour votre attention.

Edit: J'ai tenté d'appeler le support Sony Playstation, et à la seconde tentative je suis tombé sur un message m'informant que le PSN est down (merci, je savais déjà) et qu'ils n'avaient pas de date de retour prévue. J'ai pas encore osé leur faire part de mon profond mécontentement. Peut-être un autre jour.

Sony et le PCI-DSS

2011-04-27T18:19:00.006+02:00

Effrayant.

Although we are still investigating the details of this incident, we believe that an unauthorized person has obtained the following information that you provided: name, address (city, state, zip), country, email address, birthdate, PlayStation Network/Qriocity password and login, and handle/PSN online ID. It is also possible that your profile data, including purchase history and billing address (city, state, zip), and your PlayStation Network/Qriocity password security answers may have been obtained. If you have authorized a sub-account for your dependent, the same data with respect to your dependent may have been obtained. While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained.

Et encore, ils ont pas la marque du gel douche de l'utilisateur. Pour les login/passwords, finalement on commence à être habitués (c'est déjà arrivé à une chiée de sites de réseaux sociaux). Par contre les données bancaires...sachant que les security numbers (le truc à l'arrière de la carte) sont stockés (pour éviter à Jean-Kevin de demander les données bancaires de la CB de ses parents chaque fois qu'il veut acheter du contenu pour ses jeux PS3 - les achats en "1 clic"), donc il y a là potentiellement du danger. Certaines banques demandent par exemple la date de naissance de l'utilisateur avant de valider un achat en ligne. Ici elle a juste pu fuiter.
Dans un sens, il y a quelques mois, Sony disait qu'il fallait choisir entre garder le support de Linux sur PS3, ou faire une mise à jour pour pouvoir continuer à jouer en ligne (et donc, perdre Linux). Ceux qui ont choisi la mise à jour ont donc en effet "tout" perdu: support Linux via OtherOS, et jeu en ligne :-)

IBM Black Team

2011-04-21T22:56:00.002+02:00

Un vieil article sur lequel je suis tombé un peu par hasard. L'approche différente envers les "bugs" il y a 50 ans, et celle que nous avons maintenant :

Perhaps the most significant difference, however, was that despite the tremendous complexity of building computer systems in this manner, customers insisted that these systems work correctly. Today, software vendors have conditioned us to believe that bugs are an inevitable part of software, but in the 1960's a buggy operating system was properly considered to be a defective product. Customers do not pay for defective products.

Ensuite, à l'époque les coûts n'étaient pas les mêmes, et la complexité des programmes de même :)

La sécurité du blackberry compromise ?

2011-04-05T23:05:00.002+02:00

Ou pas, hein. Pas nécessairement sur le fond de l'article, mais sur le fait qu'après l'avoir lu quelques fois, j'ai encore du mal à faire le lien entre les téléphones chinois sans IMEI, et les blackberries.

Vive BlackBerry Protect

2011-03-22T14:48:00.004+02:00

Cela dit, quelque part ça me dérange un peu qu'un logiciel dont le nom inclue le mot "protect" me demande de désactiver une des fonctions principales de protection du téléphone qu'il est sensé "protéger". D'autant plus que les autres fonctions du logiciel (géolocalisation d'un blackberry égaré/volé, verouillage à distance, ...) ne dépendant pas du non-chiffrement du terminal (comme le backup à distance) ne sont pas accessibles.

Sinon pour enchainer sur l'actualité, une vidéo :-)

Test du Fnac Book

2011-03-11T00:55:00.004+02:00

Je pensais faire un petit billet sur un des trucs majeurs de la "cyber-sécurité" de ces derniers jours, à savoir le piratage du MINEFI par des hackers inconnus. Tout a été déjà plus ou moins dit par-ci par-là, donc je ne vais pas en rajouter une couche, d'autant plus que je ne peux me baser que sur ce qui a été dit dans les médias, c'est à dire pas grand chose. Sauf peut-être un renvoi vers le post de quelqu'un d'autre, sur des événements plus ou moins similaires datant maintenant d'il y a quelques années, mais qui rappelle que ça a (encore) pas changé.

Mais cela n'est absolument pas le sujet de ce post.

En réalité, je voulais faire un petit compte rendu de mon test du Fnac Book, dont j'ai fait l'acquisition la semaine dernière.
Alors pour ceux qui ne connaissent pas le Fnac Book, c'est un des concurrents du Kindle d'Amazon (ceux qui ne connaissent pas ça, je ne peux que vous renvoyer à Google ou Wikipedia pour en apprendre un peu plus), à savoir une "liseuse" ("reader" en anglais) de documents électroniques.
Alors j'hésitais surtout entre le Fnac Book (disponibilité immédiate, choix de livres en français [même si je lis l'anglais sans aucun problème, j'apprécie de lire certains trucs en français]) et le Kindle (très grand choix de livres). Je m'en suis tiré pour 230 euros : 200 pour le FnacBook, 30 pour la pochette de rangement.

Le design de l'engin est correct, et relativement "sobre" : écran 6" et 4 petits boutons sur le côté permettant :
- la mise en route/en veille ;
- l'accès au menu principal ;
- l'accès à notre "bibliothèque" ;
- l'accès à la boutique en ligne ;
J'aurais bien aimé voir des boutons permettant de passer aux pages précédentes et suivantes, mais ils ont choisi d'intégrer ça directement à l'écran, ce qui rend le parcours d'un bouquin pas très pratique. Cela dit, les 4 boutons ne sont pas beaucoup plus réactifs que les touches virtuelles du reader, et il faut parfois s'y reprendre à plusieurs fois pour arriver à effectuer l'action souhaitée.
D'ailleurs, le problème se pose aussi pour "tourner les pages". Vu le manque de réactivité, on est tentés d'insister un peu plus sur les touches, manque de bol, c'est plusieurs pressions qui sont prises en compte, du coup on "tourne" plusieurs pages. C'est là que le second problème se présente: l'affichage est extrèmement lent. Comptez une à deux secondes pour passer d'une page à l'autre. Si vous appuyez un peu trop, vous perdez un sacré paquet de secondes à revenir à la page voulue. Mais avec le temps vient l'expérience, et ça m'arrive déjà moins souvent qu'au début.

Venons-en à l'acquisition de livres électroniques. Je ne l'ai pas vraiment testée: je me suis juste contenté du téléchargement de quelques livres du domaine public proposés sur le fnac store. Bon, il se trouve que dans le lot, le tout premier ne fonctionnait pas ("Jane Eyre", d'une des soeurs Brontë, si quelqu'un y arrive, qu'il me fasse signe, mais j'imagine que leur fichier est corrompu :) en attendant j'irai me servir sur le site du projet Gutenberg). J'ai d'abord mis ça sur le dos aux DRM (un truc Adobe qui a de toutes façons été cracké), mais en fait ces livres du domaine public n'en contiennent pas. J'espère juste que le jour où j'achète un livre contenant des DRM, il sera lisible :-).

L'épisode du livre illisible m'a fait me poser la question: "et si je veux supprimer un ebook, ça marche comment ?". Du coup je branche le reader sur un port USB :
sd 7:0:0:0: [sdb] 1720320 512-byte logical blocks: (880 MB/840 MiB)
Tiens, on m'avait parlé de 2gb sur la brochure, là j'en ai même pas la moitié. Alors j'imagine qu'en réalité, les 2gb ne sont pas accessibles comme périphérique de stockage amovible, mais c'eût été cool de la part de la FNAC de le mentionner quelque part. Du coup en cherchant mon .epub de Jane Eyre sur la partition ainsi montée en USB, je me suis retrouvé fort dépourvu, car il n'était pas trouvable : il était sur la partition interne non-montable. C'est là que l'ergonomie du truc est à revoir, parce qu'il a fallu chercher un peu dans des sombres menus pas du tout intuitifs (et pourtant j'adore me ballader dans les menus que le commun des mortels n'utilise jamais) pour trouver comment supprimer des e-books téléchargés.

J'allais oublier de le préciser, le Fnac Book est livré avec une carte SIM de chez SFR (ils ont un partenariat avec eux, d'où le petit logo SFR qui s'affiche lors de la phase de boot) permettant une connexion 3G sur le fnac store afin d'acheter des bouquins où que l'on soit en France (c'est la différence par rapport au Kindle 3G d'amazon qui lui, permet une connexion 3G à peu près partout dans le monde). La couverture 3G est ce qu'elle est, mais ça marche à peu près bien de ce point de vue là. Et de toutes façons, il reste toujours la possibilité de se connecter à une borne wi-fi (et la réactivité du clavier virtuel étant à chier, je vous laisse imaginer la joie que m'a procuré la saisie d'une passphrase WPA un peu complexe).

Je pourrais continuer en parlant de la qualité des ebooks proposés. Du moins ceux du domaine public que j'ai pu lire, ou commencer. Prenons "Sans Famille" d'Hector Malot. Certes, je ne l'avais pas lu depuis une quinzaine d'années, et je ne suis pas encore une 1337 en français comme Bernard Pivot, mais j'ai pu remarquer un certain nombre de fautes assez merdiques. "Vérandah" au lieu de "Véranda", plusieurs fois. La ville de "Sète" écrit "Cette". Et d'autres tournures un peu bidons (j'ai mis des marque pages quand j'y pensais, afin de les lister et les remonter aux gens qui ont recopié ces bouquins en y ajoutant des fautes).

Pour conclure, je ne peux pas vraiment dire si le Fnac Book est mieux qu'un autre reader, en fait j'en sais juste rien. Le seul vrai gros problème du Fnac Book, si je devais lui reprocher une seule chose, c'est la réactivité de l'écran tactile. Le temps de réponse est juste incroyablement long, et ça peut rendre la lecture pénible parfois. Surtout si le mode économie d'énergie est activé, ça rajoute bien 50% de temps de réponse en plus; alors dans mon cas, où j'ai toujours une source d'alimentation pour recharger ça ne pose pas vraiment de problème, mais j'imagine qu'en partant en vacances ça peut vite devenir chiant. Alors si quelqu'un de la FNAC passe par là, faudrait juste faire remonter ce souci à la boite qui développe le FNAC Book.

"Heyday of Piracy" Is Over

2011-03-01T08:00:00.001+02:00

Ca, c'est ce que disait un responsable de chez Nintendo il y a quelques semaines à propos de leur nouvelle console, la 3DS.
Morceau choisi :

"We can't divulge any technical details on that but needless to say this is probably one of our best pieces of equipment in that respect," said Yarnton. "There are a lot of things we've learnt over time to try and improve the security and protection - not only of our IP but of our third-party publishers' IP as well."

Quelques semaines plus tard, on apprend que la Nintendo 3DS permet le lancement d'applications "non autorisées" et de jeux Nintendo DS via une bête carte ("Linker") utilisable sur une Nintendo DS classique (pas encore de jeux 3DS), tout ça en quelques heures après sa sortie.
C'est à se demander si les gens sont vraiment capables d'apprendre de leurs erreurs. Ils auraient pu au moins se contenter de mettre un linker DS dans une 3DS et vérifier si ça ne marchait effectivement plus. Surtout pour le temps que ça prend à tester...
Une prochaine fois faudra discuter de l'échec cuisant de Sony via à vis de la sécurité de la Playstation3.

Geekism: Parrot A.R Drone

2010-12-05T16:15:00.013+02:00

La plupart des lecteurs de ce blog auront probablement vu la pub dans le métro, et ceux qui passent à la FNAC sont certainement passés devant le stand dédié à ce gadget: l'AR Drone de Parrot.

Forcément, j'adore tous ces gadgets, encore plus quand c'est du style jouet, donc je m'en suis acheté un for teh lulz (ok, je ne suis pas encore certain de le garder longtemps, je n'ai pas le temps de m'en servir le week-end, et mon appart est vraiment trop petit pour m'en servir en intérieur).
Alors la bestiole fait 300 euros à la FNAC. Ca peut en dissuader un certain nombre, mais dedans c'est du pur bijou de technologie: 2 caméras, une à l'avant pour la navigation, et éventuellement des jeux en réalité augmentée (d'où le A.R dans le nom du truc), une caméra en dessous qui sert éventuellement lors des phases d'atterrissage de précision, savoir au dessus de quoi on est, mais il semblerait aussi que le drone s'en serve également pour aider à sa stabilisation (en faisant des diffs entre deux images en gros): d'ailleurs il ne fonctionne pas très bien de nuit pour cette raison là :-)
Pour le reste des specs, je vous renvoie à la datasheet, mais il faut retenir que c'est du Linux, qu'il y a un port telnet non protégé par mot de passe qui donne accès à un shell root, et que jusqu'à une version plutôt récente du firmware, il était possible de faire crasher (au sens logiciel et matériel du terme) un AR Drone juste en se connectant dessus et en faisant un killall sur certains processus (depuis, seule 1 adresse MAC est autorisée à s'associer au périphérique, donc un coup de ifconfig/macchange devrait contourner la chose mais je n'ai pas testé)
J'ai réussi à voiler une hélice en le transportant, mais par chance, tous les composants sont achetables séparément sur le site de parrot, pour pas trop cher (enfin, compter environ 300 euros pour tous les composants :)).
Je n'ai pas encore trouvé de sac de transport. La FNAC en offrait un sur présentation du ticket de caisse, mais il s'avère qu'en fait ce sac est réservé aux adhérents FNAC One. Par curiosité, vu que je voulais absolument un sac de transport avant mon déplacement, j'ai demandé les conditions/prix pour être adhérent FNAC One, mais il faut avoir dépensé quelque chose comme 8000 euros sur les 3 dernières années à la FNAC. Vu que tout ce que je voulais, c'était un sac de transport, même à 20 ou 30 euros à la limite, j'ai demandé s'il était possible de l'acheter tout seul, mais on m'a répondu "non" et manque de chance, pas moyen de trouver un sac achetable en ligne sur le site de Parrot ou de la FNAC. Mon bricolage dans un truc genre de sport a juste réussi à voiler une hélice, donc de ce côté, mauvaise note à la fois à Parrot et à la FNAC qui ne propose rien d'abordable pour le transport: un comble pour un gadget d'extérieur.
Oui en extérieur, parce qu'en intérieur, si l'on ne dispose pas d'un espace suffisant, déjà on risque d'avoir quelques instabilités (un tapis, et hop, l'engin part sur un côté par exemple), et on risque aussi d'être frustré de ne pas pouvoir l'utiliser à pleine vitesse sur une longue distance (dans les 18km/h avec une portée d'une cinquantaine de mètres, modulo la qualité du signal wifi bien évidemment). Puis le truc fait un bruit monumental, comme vous pourrez l'entendre sur la vidéo:

(Si la vidéo ne fonctionne pas, je l'hébergerai ailleurs)

Concernant les caméras dont je parlais au début de l'article, je vais me contenter de mettre ici des captures de l'écran de mon iPhone, qui valent ce qu'elles valent...
On notera que l'objet a toute l'attention du chat qui trainait par là (c'est déconseillé de faire voler ce truc à proximité d'animaux, mais un chat se barre bien vite dès qu'il entend le bruit des moteurs)

Niveau autonomie, faut compter environ un quart d'heure d'utilisation avec la batterie standard livrée avec l'engin, et 1h30 de charge. J'ai par conséquent acheté une seconde batterie, à 30 euros. Des batteries avec un peu plus d'autonomie existent, mais je ne les ai pas testées.
En parlant de voilage d'hélice, j'en ai donc acheté 2 packs de rechange à 7 euros le pack, puis le petit kit d'outils à 13 euros, qui font partie à mon avis des trucs qu'il faut acheter en cas de casse.
Ce n'est probablement pas le gadget à offrir à Noel, mieux vaudra plutôt attendre la "v2" comme on dit, dont Wikipedia dit (sans citer de sources à priori) qu'elle disposera d'un temps de vol plus long.

Book Review: Chaines d'exploits

2010-09-07T00:12:00.003+02:00

Ne sachant pas trop quoi lire ces derniers temps, et ne voulant pas prendre un n-ième bouquin parlant de "technique" tout en restant dans de la lecture "informatique", j'ai acheté "l'art de la supercherie" de Kevin Mitnick (je n'avais lu jusque là que "l'art de l'intrusion" du même auteur), ainsi que "chaines d'exploits", d'Andrew Whitaker, Keatron Evans et Jack Voth. C'est de ce dernier dont je vais parler.

Le principe du bouquin est simple: une dizaine de chapitres racontant chacun une histoire, n'ayant aucun lien entre elles autre qu'un individu, un "pirate informatique", qui doit compromettre une personne ou une entreprise (une banque, une entreprise pharmaceutique, un candidat à une élection, ...) pour une raison X ou Y (problèmes d'argent, menaces de la part d'une mafia s'il n'obéit pas (un peu comme dans "opération espadon" quoi), vengeance, etc ..)
Alors bien-sûr, il ne faut pas s'attendre là à un "Hacking Kit" à la sauce web 2.0. Seules les grandes lignes sont données, avec des indications sur le but d'une des attaques effectuées, ses conséquences, un tout petit peu de background technique et quelques schémas: le but ici est que quelqu'un ne s'y connaissant pas nécessairement en sécurité, mais qui comprend néanmoins l'informatique puisse s'y retrouver. Et bien évidémment, comme le titre du livre le laisse suggérer, notre ami Phénix utilise plusieurs techniques différentes pour parvenir à ses fins :-)
Chaque scénario est assez réaliste. Bien évidemment, dans certains cas, il m'est arrivé de me dire que j'aurais probablement agi différemment si j'avais été le personnage du bouquin, mais ensuite chaque cas est unique.
A la fin de chaque chapitre, notre attaquant réussit, bien-sûr, et les conséquences sont exposées (le candidat à une élection se retire, une attaque terroriste réussit, une entreprise coule, etc) et quelques tips sont donnés pour se prémunir de ces attaques, ou du moins les rendre moins dévastatrices.

Ce qui m'a pas mal marqué dans ce bouquin, c'est que le social engineering est quasi nécessaire pour le bon déroulement de chaque attaque. La sécurité physique suit de très près. Finalement, l'utilisation d'exploits n'est pas si vitale que ça: juste une ou deux références à des outils comme metasploit et core inpact).
En somme, un très bon bouquin pour montrer à des gens pas forcément sensibilisés à la sécurité informatique, comment une personne mal-intentionnée agirait pour pirater son entreprise, ou faire une quelconque mauvaise action.

PlayStation 3 - le Hack

2010-09-03T00:48:00.009+02:00

Bon je vais pas donner de détails croustillants ici; mis à part donner quelques liens vers des explications bien plus poussées que celles que je pourrais donner moi-même. Juste un petit compte rendu de mon test du "hack PS3" à l'aide d'un micro-controlleur (il ne s'agit ni plus ni moins du produit du reverse engineering d'un dongle USB exploitant un heap overflow dans la gestion des devices USB de la PS3)

J'ai effectué le test de cet outil jeudi dernier; je n'ai pas eu l'occasion de re-tester depuis, donc certains détails ont probablement changé. J'ai utilisé une carte AVR-USB-162; vous pouvez en trouver chez Farnell par exemple (même s'il ne s'agit pas des prix les plus bas). Hasard ou pas, beaucoup de sites vendant des cartes d'eval avec des micro-controlleurs sont en cours de réapprovisionnement pour ces cartes là :-)

Certaines infos du README de PSGroove n'étaient à priori pas correctes, du moins pour mon type de carte. Dans mon cas de figure, avec un AT90USB162, je devais fixer la fréquence à 8000000 au lieu des 16000000 indiqués (cf. les specs)

Pour le reste, ça fonctionne plutôt bien, même s'il faut à priori respecter un certain nombre d'étapes:
- la console doit être hors tension (aucune diode allumée) pour commencer;
- rien ne doit être branché dessus en USB, pas même le microcontrolleur;
- mettre sous tension la console (la diode rouge de veille doit s'allumer)
- brancher la carte micro-controlleur sur un port USB
- démarrer la console, et appuyer sur le bouton "eject" dans la seconde qui suit (Même si les developpeurs de psgroove parlent de 200ms: "The exploit takes place while the PS3 is looking for the Jig (triggered by pressing eject within 200ms of pressing power).")
- ????
- PROFIT !

Voici un menu qui devrait apparaître après manipulation:

Ce menu permet l'installation de packages présents sur clé usb, comme par exemple le fameux "Backup Manager", qui lui, permet ensuite le lancement de dumps de jeux présents sur un disque dur USB (en fat32 pour le moment !). Alors bien sûr, si on se demande comment cela est possible ça peut se résumer en pas grand chose: ça active juste des fonctions désactivées dans le firmware grand public de la console: les features de debug. C'est grossièrement résumé, mais en gros c'est ça.
Je n'ai pas encore fait de vidéo pour montrer le fonctionnement du bouzin. De toutes façons, la LED de ma carte ne s'allume-éteint pas comme prévu à la base lorsque ça fonctionne.
Un truc à creuser maintenant: la réactivation du OtherOS sur la console, permettant l'installation d'un Linux.

Edit: Je mettrai probablement à disposition prochainement le fichier .hex utilisé (même si j'imagine que si des gens ont de quoi flasher un micro-controlleur, ils auront probablement de quoi compiler des sources)

La réaction (un peu) con qui tue du jour

2010-08-05T11:09:00.003+02:00

"This is about the Internet," Mr. Lazaridis said. "Everything on the Internet is encrypted. This is not a BlackBerry-only issue. If they can't deal with the Internet, they should shut it off."

Ca risquerait de donner des idées à certains gens hauts placés après. Sinon,à propos de cette petite histoire de Blackberries, il y a un excellent article sur le blog de Bruce Schneier.

Source: WSJ

We are anonymous...

2010-07-20T22:09:00.002+02:00

...we are Legion

Extrait:
"un appel aux dons en sa faveur a ainsi été lancé par le réseau de hackers des Anonymous".
Ouais, ou pas hein. Surtout quand on lit certains trucs sur internet...

Merci de votre attention. Prochainement sur ce blog, des posts sensiblement plus intéressants (mais pas trop non plus).

Fail by design

2010-06-15T21:39:00.003+02:00

J'ai craqué, j'ai fini par prendre un iPhone (tout en conservant mon autre téléphone). Passée la phase de découverte de l'appareil, ainsi que son jailbreak, je me suis rendu compte qu'une fonctionnalité assez utile présente sur mon blackberry, est mal implémentée sur iPhone: il s'agit du (non) chargement des images distantes dans les e-mails, avec les risques que ces images engendrent (Sid parlait de ce genre de choses dans un billet, il y a longtemps)
En effet, alors que sur blackberry, il est possible de désactiver le téléchargement automatique de ces images, et les télécharger ensuite à la demande (en un bref appui sur la touche de menu, puis un petit "load images") pour un mail donné, sur iPhone, cela n'a pas l'air possible; soit le téléchargement des images est désactivé pour tous les mails, soit il est activé, mais il n'est pas possible de télécharger les images d'un unique mail.
Une fonctionnalité que j'aimerais bien voir implémentée, même si les mails HTML c'est le mal (puis c'est pas très pgp compliant selon le client mail utilisé)

Souvenirs d'il y a 10 ans

2010-06-12T15:02:00.004+02:00

Voilà ce que j'ai pu retrouver, 10 ans après l'avoir acheté. A l'époque je découvrais Linux (RedHat 6.0 fourni dans un bouquin de chez Micro Application, avec un kernel en 2.2.5 !), et la plupart des principes exposés dans ce "dossier spécial sécurité" en feraient rire plus d'un de nos jours (portsentry, etc ...)

epic lulz du matin

2010-06-07T11:05:00.002+02:00

Sur irc, quelqu'un paste un lien "exploitant" un xss. Jusqu'ici, rien de bien anormal, surtout en certains coins sombres d'internet...
La discussion qui suit est vraiment A WIN OF EPIC PROPORTIONS

[+sorcierfxk_] c'est emouvant je trouve une xss sur une page qui
cause de rsa , "on vous cause de la sécu, mais
franchement on voit pas du tout ce que c'est"
[ murdock69] lol
[ murdock69] revenu de solidarité active...
[+sorcierfxk_] ah ué spa le meme rsa que celui que je pensais xD

Et là, j'attends que Zataz nous ponde une news du style "le site du RSA
victime d'une grosse faille critique".

SSTIC 2010

2010-06-01T22:58:00.003+02:00

Plus que quelques jours avant le SSTIC 2010 où je ne serai malheureusement pas pour diverses raisons. Mais j'ai pu constater que cette année, le projet de "compte rendu collaboratif" a été relancé (bon, je n'ai toujours pas trouvé le "compte rendu collaboratif" de l'édition 2009 :p), cette fois sous la forme d'une "wave" sur Google Wave.
Comment suivre le SSTIC sans y être, et sans non plus refresh toutes les 2 minutes sur le blog de Sid quoi :)
J'en profite d'ailleurs pour rappeler que je dispose encore d'un certain nombre d'invitations google wave (même si je me doute que les geeks que vous êtes en avez déjà un depuis plusieurs mois), suffit de me mailer.

iPhone fail

2010-05-26T18:11:00.002+02:00

According to Apple, all data on the iPhone 3GS is hardware-encrypted using 256-bit AES, which cannot be disabled by the user. Access to data on the iPhone is normally restricted to computers with which the iPhone has previously been connected and to which the requisite credentials have previously been transferred. This exchange of credentials is blocked when the iPhone is locked, so that connecting a locked iPhone to an unfamiliar computer will not allow the latter access to data on the iPhone.

Sauf que c'est vraiment "according to apple", dans la réalité c'est un poil différent:

Bernd Marienfeldt, security officer at UK internet node LINX, found that he was able to gain unfettered access to his iPhone 3GS from Ubuntu 10.04. If he connected the device whilst it was turned off and then turned it on, Ubuntu auto-mounted the file system and was able to access several folders despite never having previously been connected to the iPhone.

Lien vers l'article d'origine ici.
Je n'ai pas d'iphone sous la main pour tester, mais si quelqu'un veut bien me confirmer la chose... :-)

La crypto dans la vie de tous les jours

2010-05-10T13:07:00.002+02:00

C'est parfois effrayant:

[...] it was very interesting to examine the Outlook 2003 PST files. This file format has three levels of encryption. “None“, “Compressible Encryption” and “Best Encryption” with “Compressible Encryption” being the default.
“None” is not encrypting the data at all - just like the Netscape Mail example.
“Compressible Encryption” is simply a substitution cipher. It is exactly what the “secret decoder ring” does; it is also called a Caesar cipher. For data, a particular byte always gets substituted by a fixed other one. That is why the PST file still compresses well. It just obscures the data and would have stopped my naïve Notepad attack. But this would not stop any forensic software from undoing this substitution on the fly.
“Best Encryption” is similar but the substitution table changes depending on the data’s position. This also can be automatically undone without the password.

Swordfish

2010-04-28T23:53:00.005+02:00

A une époque, je m'étais mis en tête de rassembler toutes les quotes de films vaguement liées à la "sécurité informatique". Ce soir, je viens de tomber sur ce joyau, tiré de Swordfish ("Opération Espadon"):

- So, what we need from you is a worm.A hydra, actually.A multiheaded worm to sniff out digital footprints across an encrypted network.
- What kind of cipher?
- A Vernam encryption.
- The key code is destroyed upon implementation. And it's a true 128-bit encryption.

Et voici à quoi ressemble la réalisation de cette fameuse "hydre" (hahaha):

Un assemblage de cubes en 3D ...

Playing in a Satellite Environment 1.2

2010-04-20T16:35:00.005+02:00

En parcourant les conferences de BlackHat DC 2010, je suis tombé sur celle-ci, qui parle de quelques attaques possibles dans un environnement IP par Satellite (généralement DVB-S). Bien que ne travaillant plus dans ce domaine depuis quelques semaines, je me tiens quand même au courant de ce qui se fait.
Je savais que le spoofing TCP sur satellite était possible, dans la mesure où nous n'avons même pas besoin de prédire les numéros de séquence TCP dans le cadre de l'établissement d'une connexion (nous sommes en mesure d'intercepter le trafic à destination de l'IP que nous souhaitons usurper, à condition d'être dans la zone de couverture satellite de cette même IP, et bien évidemment, qu'elle reçoive son flux IP par satellite ;)), donc en ce sens, ce document n'apporte rien de nouveau.
Mais parfois ça ne sera pas aussi simple. Certaines porteuses ne transmettront pas un flux TCP/IP utilisable tel quel. Un exemple que j'ai pu voir à l'époque où j'ai utilisé des équipements de réception DVB/IP c'est le cas où l'opérateur utilise des mécanismes dits "d'accélération TCP". Une explication pas mauvaise sur ce qu'est l'accélération TCP est donnée dans un PDF trouvable sur le site de SkyVision, mais en deux mots, dans ces cas là, on se retrouve avec un flux TCP encapsulé dans de l'UDP, et parfois même, chiffré avant d'être encapsulé, ce qui implique quand même un peu de recherche, avant d'aboutir à quelque chose d'utilisable (comprendre: à moins de disposer de moyens conséquents pour casser le chiffrement, ça ne sera pas forcément envisageable), et donc la mise en pratique de certaines de ces techniques ne sera pas possible.
Je n'ai pas de chiffres à donner sur la proportion de porteuses utilisant ce type, mais cela ne dépend pas du satellite utilisé:
Sur le satellite W3, nous voyons un certain nombre de porteuses fournissant de l'IP (Horizon Satellite Services, et SkyDSL par exemple). Au cours de mes tests, j'ai pu constater que SkyDSL utilisait de l'accélération TCP avec du TCP encapsulé dans de l'UDP, mais pas Horizon.

Plus d'infos sur l'IP over satellite un jour prochain, peut-être ! (faudrait qu'un jour je release mon code de conditionnal access IP/DVB développé à mes heures perdues, utilisant IPsec, mais le code étant vraiment moche, j'hésite :))

La fin d'une époque

2010-04-20T15:05:00.002+02:00

J'ai découvert ce week-end que securite.org était maintenant "down" (du moins, la partie "annuaire" de liens vers des ressources intéressantes touchant à la sécurité).
L'info date déjà d'il y a presque 3 semaines, mais il m'arrive de ne pas lire twitter pendant longtemps, et je passe à côté de certaines infos, comme celle de Nico qui en faisait l'annonce le 4 Avril.
Ce site a été un des premiers sur lesquels je suis tombé lorsque j'ai commencé à un petit peu m'intéresser à la sécurité informatique (et il m'a permis de coller des visages sur des auteurs d'articles que je lisais sur le site de OUAH également ! :)), et bien que non mis à jour depuis quelques années maintenant, une grande partie des liens présents étaient encore d'actualité.
Je ne crois pas qu'il existe de site reprenant plus ou moins le flambeau; il faut dire que la manière de diffuser de l'information de nos jours a quelque peu changé, une grande partie de l'information intéressante en sécurité informatique va se chercher sur les blogs des différents acteurs du microcosme de la sécurité informatique maintenant, qui en sachant qu'ils sont lus, y publient leurs trouvailles; d'autres citant abondamment ces mêmes articles de blogs, permettant ainsi d'élargir le nombre de gens lisant ces blogs (c'est un peu le peer to peer de l'information :))

They did it for teh lulz

2010-04-19T18:17:00.002+02:00

Google Hacking, ou comment balancer sa clé privée GPG sur internet.

J'ai sûrement zappé un truc

2010-04-12T08:00:00.003+02:00

Un article du New York Times qui parle du quotidien des journalistes étrangers en Chine, et de la surveillance dont ils font l'objet.
Mais lorsque l'auteur explique comment il a compris qu'il était mis sous surveillance, un truc me chiffonne:

"For weeks, friends and colleagues complained I had not answered their e-mail messages. I swore I had not received them.
My e-mail program began crashing almost daily. But only when all my contacts disappeared for the second time did suspicion push me to act.
I dug deep inside my Yahoo settings, and I shuddered. Incoming messages had been forwarding to an unfamiliar e-mail address, one presumably typed in by intruders who had gained access to my account."

Je ne vois pas très bien, avec juste ces explications, comment un client mail (outlook/thunderbird ?) peut crasher à cause d'un forwarding e-mail mis en place chez un prestataire de services e-mail. J'ai forwardé une de mes adresses e-mail vers mon adresse GMail pendant une période (pour profiter de l'antispam relativement efficace) sans que cela fasse crasher Thunderbird. On va mettre ça sur le compte du fait que l'auteur de l'article ne soit pas spécialement un informaticien (en regardant ses derniers articles, on constate qu'il rédige plutôt des articles de faits divers en Chine) et que ses explications techniques ne sont peut-être pas très claires. Il y avait peut-être une backdoor en plus sur son PC, qui faisait crasher son programme mail, mais dans ce cas, quel intérêt de forwarder en plus les e-mails ? (une réponse peut-être que la backdoor surveille autre chose que ses mails)

Mais je ne comprends pas l'intérêt pour ces Chinois du FBI de supprimer les mails/contacts du journaliste, s'ils veulent rester undercover. Comment dire, c'est tout sauf discret :-)

Un NAS que je déconseille: Freecom Network Media Center

2010-04-11T21:35:00.005+02:00

Je me suis enfin décidé à acheter un NAS, pour diverses raisons pratiques. Dès le début je m'étais donné le ton: je ne conserverai pas ce NAS très longtemps (maximum 1 an, pour un peu évaluer mon activité dessus), donc je n'envisageais pas d'y mettre un prix trop élevé.

Direction Grosbill, pour prendre le moins cher: un Freecom.

Les specs ont l'air raisonnables, pour un appareil de ce prix là (150 euros). Mais je pense que la majorité de mes lecteurs savent tout à fait que des specs restent des specs...

L'interface de configuration, via des CGI en Perl, est relativement lente pour une raison encore inexpliquée (ça sent le truc codé par un goret derrière).

On nous vante un système de refroidissement ultra silencieux, mais qui en réalité fait plus de bruit que mon (vieux) PC de bureau: il devrait pouvoir finir aux côtés de mon Cobalt Qube en terme de nuisance sonore (donc dans le couloir ! :))

Au niveau "media center", je n'ai pas encore eu le temps de trop expérimenter: j'ai juste pu constater que ma console de salon (PS3) parvient à jouer les fichiers, mais je n'ai pas poussé le test plus loin.

Devenons un peu vulgaires: le client bit-torrent est complètement fini à la pisse. Lorsqu'un fichier est téléchargé par le client bittorrent du NAS, il est déposé dans /public/torrents/. Jusque là tout va bien. Le problème, c'est qu'il est alors tout simplement impossible de supprimer le fichier. Aussi bien via FTP (en tant qu'utilisateur "normal", ou "admin"), que via le partage samba (de toutes façons, je n'ai même pas réussi à me connecter en tant qu'admin sur le partage samba, ça n'a pas du être activé). Ca sent bien le client bittorrent qui s'exécute avec des permissions un peu spéciales (root ?) et qui n'a pas été testé.

Un tour sur les forums de Freecom a répondu à ma question (en néerlandais, merci Google Translation), en gros c'est juste impossible de supprimer ces fichiers. On ne peut y accéder qu'en lecture seule. Le seul moyen de s'en débarasser, c'est soit de renvoyer le disque au SAV de Freecom (ben voyons), ou alors de formater (trop pratique).

En espérant que d'autres ne feront pas la même erreur que moi :-)

lecture de logs

2010-03-29T21:23:00.004+02:00

Voilà le genre de trucs que je trouve quand je me décide à faire des stats sur mes logs apache:

222.211.136.XX - - [13/Dec/2009:23:43:55 +0100] "GET /sstic.pdf HTTP/1.1" 206 13391 "http://www.google.com/search?hl=en&lr=&num=100&newwindow=1&q=gros+entreprise+++hotmail.com+OR+gmail.com+OR+yahoo.com+filetype:pdf&start=600&sa=N" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

J'imagine que ça aide à trouver des adresses mail :-) J'ai en partie caché l'IP, mais ceux qui auront fait un whois sur la range d'adresses IP verront que ça correspond à une IP située en Chine (encore eux !)

gmail security (suite)

2010-03-25T14:24:00.002+02:00

Gmail a récemment ajouté une nouvelle feature permettant de savoir s'il y a une activité suspecte sur un compte mail, en balançant une alerte si ce dernier a des accès en provenance de pays différents en un temps assez court (accès de France à 15h, et accès d'Australie une demi heure plus tard).
Certains articles tentent de faire un parallèle entre cette (nouvelle) mesure de sécurité, et les attaques ciblées dont google a fait l'objet l'an dernier, en provenance (à priori) de Chine, ayant permis aux autorités chinoises d'accéder aux comptes mail d'opposants au régime local:

"L'affaire du piratage des comptes Gmail d'opposants chinois dénoncé par Google il y a quelques semaines a-t-elle poussé la firme américaine à renforcer la sécurité de son service de messagerie ?"

Cela dit, un truc me chiffonne un peu dans tout ça:

"une connexion effectuée dans un pays et une autre quelques heures après depuis un autre pays déclenchera une alerte"

Le gouvernement chinois en Chine accède au compte mail d'un opposant Chinois en Chine. Aucune alerte ne sera donc générée dans la mesure où il ne s'agira pas d'un pays différent. Sauf si un proxy à l'étranger est utilisé, mais dans ce cas là, pour plus de furtivité, un proxy situé en Chine leur suffira.
Mais dans mes souvenirs, les vilains haxorz qui ont rooté google/gmail n'accédaient pas aux comptes directement via un browser: ils avaient plutôt un accès aux répertoires sur le disque dans lesquels les mails sont stockés.

loppsi

2010-02-16T19:09:00.002+02:00

Votée par les députés, ouh yeah. Reste encore la validation par les sénateurs (qui aura lieu, c'est plus que certain). Let the lul'z begin.

Dans ce cadre défini, les policiers, commis sur commission rogatoire, peuvent « mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères »
L'installation de ce dispositif technique pourra se faire aussi bien physiquement (grâce à l'introduction de la police dans un véhicule ou dans un lieu privé) que via la transmission par un réseau de communications électroniques (comme par exemple grâce à un courriel piégé avec un spyware).

Cela dit, rien que sur ce point là (l'envoi d'un mail piégé avec un trojan dedans), on se doute fortement que ça sera un bon vieux trick de social engineering invitant la "victime" à cliquer sur une pièce jointe piégée attachée au mail, mais...disons que ça a de fortes chances d'atteindre un taux d'échec assez élevé ce truc là (puis pour peu que le serveur de mails soit doté d'un antispam/antivirus un tant soit peu efficace)

hacking PSP et chinois du FBI

2010-02-16T13:07:00.006+02:00

Ces hackers chinois [1] du vatican sont décidément partout. Après Google, et nos administrations, vla-t'y pas qu'ils se mettent à essayer de h4xer les gens qui essaient de "hacker" leur console PSP, comme ce week-end, ainsi que vous pourrez le lire sur le site PSPGEN.

[...] Ce nouvel essai, le 6.20MAD-003, se présente sous une nouvelle forme avec un exécutable Windows (start.exe) et un fichier pour la PSP. [...]
Comme vous le savez sans doute, lancer un programme sur son PC sans avoir la certitude de la qualité morale de son créateur est toujours une expérience à éviter. Ici, il faut reconnaître que cet exécutable est loin d'être clean et si vous le lancez sur votre PC plusieurs choses louches semblent se passer. Il semblerait que ce soit un virus ou quelque chose d'approchant. [...]
Ensuite, ce truc essaye de modifier des Dll de Windows (le logiciel de surveillance a réagi lors du lancement de celui-ci sur notre PC de test) : SXS.DLL, xpsp2res.dll CLBCATQ.dll et shell32.dll. A priori, cela ne peut affecter que les utilisateurs de XP car au dessus les dll sont normalement protégés par Windows.

Dans l'archive en question, un lien est donné vers un site "étrange", qui affiche les IP et infos navigateur des potentielles "victimes". Je n'ai pas jeté de coup d'oeil au fichier exe incriminé, et ne sait encore moins ce qu'il fait précisément, mais ça ne m'étonnerait pas que ça soit une bonne vieille backdoor, et que les IP de ce site soient majoritairement des gens ayant cliqué sur cet executable, et donc potentiellement infectés.

[1] source pour cet article: http://www.pspgen.com/custom-firmware-6-20-auteur-disparu-actualite-192448.html

le hacker qui participait au tour de france

2010-02-16T12:56:00.000+02:00

No comment :-)

Dante's Inferno PS3

2010-02-11T18:33:00.003+02:00

Parlons un peu d'autre chose que de "sécurité informatique". J'ai récemment testé (et terminé) Dante's Inferno (version Playstation 3), jeu attendu par pas mal de monde en ce début d'année 2010 (ouais, je plaide coupable), sensé être une adaptation de la première partie de la Divine Comédie ("Inferno Canto", le chant de l'Enfer) de Dante Alighieri.

Sans me mettre à comparer cercle par cercle, cette adaptation sous forme de jeu vidéo, à son support d'origine, afin de noter les différences avec le poème italien, je reconnais que j'ai été très fortement impressionné par l'ambiance malsaine qui transpirait tout le long du jeu, entre les flammes (là, parler des flammes de l'enfer correspond tout à fait), les cris et lamentations des âmes perdues, et les différents jeux de couleurs qui évoluent tout au long de notre descente dans les cercles les plus enfouis de l'enfer.

En terme de jouabilité, si on sait jouer à God of War, ici on ne sera pas perdu, il s'agit plus ou moins des mêmes touches. Il y a juste quelques différences au niveau de l'attribution des points de compétence, dans la mesure où l'on peut les répartir entre des compétences "impies", et des compétences "sacrées". Mais le reste est là, même les séquences "programmées" de combat où il s'agit d'appuyer sur la bonne touche au bon moment.

Je ne vais pas sortir de spoiler sur la fin du jeu bien évidemment, mais il m'a duré à peine plus de 6 heures..pour un jeu à presque 70 euros, j'en attendais un peu plus de ce côté là; même si des "bonus" se débloquent lorsque l'on termine le jeu (l'arène des portes de l'enfer en l'occurrence, qui consiste en une série de vagues de monstres à tuer dans le temps imparti, avec un bonus de temps supplémentaire à chaque fois: je sais pas combien il y a de vagues en tout, perso j'en ai eu marre au bout de 25)

Dans la série des petits défauts que je reprocherais au jeu, il y a les séquences "puzzle" qui sont bien bien chiantes parfois; où il faut pousser/tirer une poignée le long d'un mur pour faire monter une plateforme sur laquelle progressent des flammes: mener la poignée jusqu'au bout retarde l'arrivée des flammes. Le problème bien sûr c'est qu'on est ralenti par des monstres, et qu'on peut y passer 5 minutes complètes à recommencer la séquence avant d'y parvenir in extrémis (de manière générale, j'arrivais à passer ce genre d'obstacles au dernier moment).
D'ailleurs, pour ceux qui aiment bien ce genre de petits défis, le 8e cercle de l'enfer leur plaira sûrement, il consiste en l'accomplissement de 10 défis du style "tuer tous les ennemis" avec des contraintes différentes: au début il suffit de tous les tuer, puis ensuite le faire sans utiliser de magie, puis s'assurer de la survie de personnages humains, puis enchainer un certain nombre de coups sans s'arrêter une seule seconde, ...

Voilà pour ce jeu qui m'aura occupé quelques heures réparties sur 3 jours. Ce que j'en retiens, outre l'aspect "jeu", c'est que cette vision de l'enfer est probablement la plus convaincante que j'ai eu l'occasion de voir dans divers jeux vidéo.

Pensées du jour

2010-01-29T15:25:00.010+02:00

Bon sinon, dans le genre "articles qui essaient de parler de sécurité et qui m'énervent un petit peu", il y a ceux qui disent que la majorité des solutions de chiffrement de conversations téléphoniques ne sont pas efficaces, en rapportant le résultat d'un test qui dit que si l'on installe une sorte de trojan sur le téléphone, on peut écouter ce qui se dit.
C'est pareil à peu près partout, et ce n'est pas nouveau: skype qui est réputé pour tout chiffrer de manière paranoïaque a vu apparaître un trojan effectuant la même chose pour permettre l'interception de ses communications.
Je finis ma pensée du jour avec cet extrait de l'article wikipedia d'un groupe de musique que j'aime bien:

"The first 5000 copies of the debut album included a blank CD along with permission for purchases to legally copy the music onto the blank. This was done as a protest against what the band felt was a "criminalization" of fans."

Les mentalités n'ont plus qu'à changer.

moar gmail security

2010-01-15T14:50:00.004+02:00

Voilà une excellente nouvelle, gmail qui utilise du https par défaut pour l'ensemble de la session (et pas seulement pour l'authentification). Pour rappel, c'était en phase de test ces quelques derniers mois (afin d'évaluer la charge que cela pourrait engendrer).

Factorisation d'une clé RSA de 768 bits

2010-01-08T11:40:00.003+02:00

Voilà ça a été fait, même si ça leur a pris pas mal de temps (en travail préparatoire, lire l'article pour des détails plus précis, je serais capable d'en altérer le sens)

The following effort was involved. We spent half a year on 80 processors on polynomial selection. This was about 3% of the main task, the sieving, which was done on many hundreds of machines and took almost two years.

Quand ils parlent de "many hundreds of machines", c'est un immense cluster réparti sur plusieurs pays. Mais là encore, la lecture du pdf est probablement plus intéressante. A noter également cette petite info:

On a single core 2.2 GHz AMD Opteron processor with 2 GB RAM per core, sieving would have taken about fifteen hundred years.

Ainsi que:

Preparing the sieving data for the matrix step took a couple of weeks on a fewprocessors, the final step after the matrix step took less than half a day of computing, but took about four days of intensive labor because a few bugs had to be fixed.

Je ne vais pas parler des détails mathématiques concernant cette belle performance, je ne suis pas très orienté maths :) Par contre, on peut toujours s'intéresser à l'impact que cela peut avoir sur la sécurité-informatique-de-l'internet-mondial (ah non, c'est vrai que l'idée de nationaliser "l'Internet" a été émise [1]).

Premier exemple qui me vient à l'esprit, le fait que nos cartes bancaires utilisent une taille de clé RSA de 768 bits (elles étaient à 320 bits avant l'affaire Humpich). Même si factoriser un nombre de cette taille a pris un peu de temps avec quelques milliers de machines, on pourrait se demander si ça ne sera pas faisable avec un botnet un de ces jours, par des gens pas spécialement bien intentionnés (bon en meme temps, y'a d'autres moyens d'abuser des cartes bancaires, comme les cloneurs de cartes qu'on trouve parfois sur des ATM).

Ensuite, bien sûr, l'utilisation de RSA en cryptographie dans la vie de presque-tous-les-jours (comme PGP [hein ? vous ne chiffrez pas vos mails ?!]). Un document trouvé sur le site de l'ANSSI nous conseille ces tailles de clé:

RègleFact-1. La taille minimale du module est de 1536 bits, pour une utilisation
ne devant pas dépasser l’année 2010.
RègleFact-2. La taille minimale du module est de 2048 bits, pour une utilisation
ne devant pas dépasser l’année 2020.
RègleFact-3. Pour une utilisation au-delà de 2020, la taille minimale du module
est de 4096 bits.
RègleFact-4. Les exposants secrets doivent être de même taille que le module.
RègleFact-5. Pour les applications de chiffrement, les exposants publics doivent
être strictement supérieurs à 216=65536.
RecomFact-1. Il est recommandé d’employer des modules d’au moins 2048 bits,
même pour une utilisation ne devant pas dépasser 2010.
RecomFact-2. Il est recommandé, pour toute application, d’employer des exposants publics strictement supérieurs à 216=65536.
RecomFact-3. Il est recommandé que les deux nombres premiers p et q constitutifs du module soient de même taille et générés aléatoirement.

En gros, 1536 bits est le minimum à utiliser actuellement, mais 2048 bits sont recommandés. Ensuite, l'utilisation de la crypto ne doit pas être vue comme un moyen ultime d'empêcher quelqu'un de consulter des documents qu'il ne devrait pas consulter de manière perpétuelle, mais plutôt de le ralentir dans cette démarche. Tout dépend donc de la période pendant laquelle on souhaite rendre le document inaccessible.

On note au dessous une explication quant à la raison du non-choix d'une taille de clé RSA de 1024 bits, qui, bien que non encore factorisé, reste sujet à controverse et est donc un mauvais choix si l'on souhaite maintenir un niveau de sécurité conséquent. D'ailleurs, il va être temps que je passe ma clé PGP perso à une taille de clé supérieure, au détriment des performances de mon téléphone (openpgp sur mon téléphone prend de longues secondes pour déchiffrer un mail chiffré avec une clé de 1024 bits: j'imagine à peine le résultat avec 2048. Le pire restant 4096, car là, l'OS du téléphone tue le thread de déchiffrement)

Une alternative intéressante: les courbes elliptiques, qui demandent une taille de clé moindre, pour une sécurité équivalente.

Il ne me reste plus qu'à vous souhaiter, en retard, une bonne année.

[1] Idée évoquée par un député Français, pour faire comme en Chine afin de se protéger d'une hypothétique menace étrangère qui n'existe probablement pas. Quand on commence à prendre en exemple la Chine, je pense que là y'a du danger et personne ne peut nous sauver)

Invitations GoogleWave

2009-12-08T15:10:00.002+02:00

Je dispose d'un certain nombre d'invitations GoogleWave; si certains lecteurs de ce blog en veulent, n'hésitez pas à me contacter à l'adresse qui apparait sur mon profil blogger (ou à me contacter directement sur gtalk ou twitter ou tout autre moyen que vous connaissez pour me contacter :))

Kraftwerk - Radioactivity

2009-12-07T17:23:00.002+02:00

Ils ne sont plus très jeunes ces messieurs de Kraftwerk (plus de 60 ans en moyenne, encore qu'un d'entre eux est parti récemment et a été remplacé par un jeune qui a la trentaine), mais leur musique reste nikel:

Old school exploit

2009-12-01T14:38:00.006+02:00

Je parle là de l'exploit permettant d'exploiter une non-vérification de valeur de retour dans le RTLD de FreeBSD (dans ses versions récentes), et qui mène à une élévation de privilèges lorsqu'il fonctionne.
Je ne pensais pas revoir de failles de ce style de mon vivant. Certaines, par le passé, ont été assez violentes, mais dans mes souvenirs, assez rares. Eh oui, on peut le dire, cette faille fait très "90's".
Sur son (super) blog, xorl explique assez clairement le pourquoi du comment de la faille. Et pour ceux qui ne comprennent pas le post de xorl, un patch temporaire (à utiliser à ses risques et périls) est disponible. Il s'agit d'un patch assez violent qui se contente d'essayer de désactiver les variables d'environnement qui doivent l'être (lorsqu'un binaire suid-root est exécuté), et qui s'il n'y arrive pas, bloque l'exécution du binaire. Un patch plus abouti fera un peu d'assainissement de l'environnement je pense (en désactivant pour de bon les variables d'environnement comme LD_PRELOAD)
En tout cas, sur mon FreeBSD 7.2, l'exploit fonctionne très bien :-) (il ne fonctionne donc pas que sur FreeBSD 8.0)

freebsd% sh sploit.sh
env env.c program.c program.o sploit.sh w00t.so.1.0 FreeBSD local r00t zeroday
by Kingcope
November 2009
env.c: In function 'main':
env.c:5: warning: incompatible implicit declaration of built-in function 'malloc'
env.c:9: warning: incompatible implicit declaration of built-in function 'strcpy'
env.c:11: warning: incompatible implicit declaration of built-in function 'execl'
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
/libexec/ld-elf.so.1: environment corrupt; missing value for
ALEX-ALEX
# id; uname -sr
uid=1001(meik) gid=1001(meik) euid=0(root) groups=1001(meik),0(wheel)
FreeBSD 7.2-RELEASE

Edit: Il y a également un exploit de stealth (Sebastian Krahmer), blindé d'explications, et qui à priori date d'il y a un petit moment.

Obvious fail is obvious

2009-11-26T14:28:00.001+02:00

Que ne ferait-on point afin de glaner des identifiants Free ...

Fedora 12 et séparation des privilèges

2009-11-23T21:40:00.002+02:00

Un bien bel exemple, assez représentatif du concept de "en voulant simplifier la vie à l'utilisateur, on réduit le niveau global de sécurité d'un système".

En gros, sans entrer trop dans les détails (les posts sur la mailing list, et la "wave" sur Google Wave, liés à ce problème, seront plus précis et plus instructifs), tout utilisateur sur le système peut installer n'importe quel package signé sans avoir à donner de mot de passe root (bon, après tout, sur une distribution Ubuntu, on utilise sudo et on donne le mot de passe de l'utilisateur connecté pour installer des packages). Certains peuvent se demander où est le problème. Il est là:

The default configuration of PackageKitinFedora 12 permits non-root users to install signed rpm packages from configured yum repositories. This creates a number of potential security problems including the possibility to:

1) Execute a remote-root exploit by exploiting a networked client such as firefox, Adobe flash, pidgin, xchat, etc. to obtain a remote user shell, and then installing a signed package from a configured repository which contains a local-user to root privilegeescalation vulnerability to gain root.

2) Similar to #1 above, but downloading a signed rpm from a previous OS release that has a known user-to-root shell vulnerability, and doing a local install.

3) Similar to #1 above, only doing a denial of service attack by installing a massive number of applications (in one massive transaction, or many smaller ones), and possibly tying up a large amount of network bandwidth, spiking the system CPU load, causing an out of memory condition, etc.

Au final, après un long troll (dont j'ai pris connaissance en lisant dailydave), une décision importante a été prise et annoncée par le type qui maintient le package responsable de ce léger défaut:

"After more discussion and thought, though, the package maintainers have posted to the fedora-devel-list mailing list agreeing to provide an update to Fedora 12's PackageKit. The update will require local console users to enter the root password to install new software packages."

A part ça, sans transition, Google Wave c'est rigolo 5 minutes, mais je pense qu'une majorité de gens ne savent pas encore trop à quoi ça peut leur servir. J'aurai peut-être quelques invitations à refiler d'ici quelque temps. Pour le moment, à part ce qui peut s'apparenter à un échange de "mails" (qui s'appellent des "waves" là dedans), et un test de twitter-via-gwave, je n'ai pas fait grand chose. Par contre, il faudra envisager les plugins permettant de chiffrer/déchiffrer ce qu'on envoie sur wave :-)

le worm de l'iphone

2009-11-10T15:32:00.002+02:00

Fatalement, fallait bien que ça arrive, un (nouveau) worm sur un téléphone mobile; et pas n'importe lequel: l'iPhone d'Apple. Alors que Mme Michu se rassure, seuls les iPhones dits "jailbreakés" sont concernés (il s'agit des iPhones dont l'utilisateur a fait tomber la protection contre l'exécution des exécutables par signature numérique, en gros [j'ai grossièrement résumé]).
Le code était public jusqu'à récemment, mais il semblerait que ça ne soit plus le cas; Mais par chance, il est encore disponible à de nombreux endroits.
Alors dans les médias, on nous présente toujours les développeurs de virus et autres worms comme étant des petits génies de la programmation; ce n'est clairement pas ce que je pense en lisant le code source de ce worm.

syslog(LOG_DEBUG, "Lannnnn");
scanner(lanRanges);
syslog(LOG_DEBUG, "VODAPHONE");
scanner(vodRanges1);
scanner(vodRanges2);
scanner(vodRanges3);
syslog(LOG_DEBUG, "OPTUSSSS");
scanner(optRanges1);
scanner(optRanges2);
scanner(optRanges3);
scanner(optRanges4);
scanner(optRanges5);
scanner(optRanges6);
syslog(LOG_DEBUG, "Telstra");
scanner(telRanges);

Vous en conviendrez aisément, ce code fait mal aux yeux. Et ensuite, sa série de variables "optRangesX", "vodRangesX", il les a définies plus haut:

char *locRanges = getAddrRange();
char *lanRanges = "192.168.0.0-192.168.255.255"; // #172.16.0.0-172.31.255.255 Ehh who uses it
char *vodRanges1 = "202.81.64.0-202.81.79.255";
char *vodRanges2 = "23.98.128.0-123.98.143.255";
char *vodRanges3 = "120.16.0.0-120.23.255.255";
char *optRanges1 = "114.72.0.0-114.75.255.255";
char *optRanges2 = "203.2.75.0-203.2.75.255";
char *optRanges3 = "210.49.0.0-210.49.255.255";
char *optRanges4 = "203.17.140.0-203.17.140.255";
char *optRanges5 = "203.17.138.0-203.17.138.255";
char *optRanges6 = "211.28.0.0-211.31.255.255";
char *telRanges = "58.160.0.0-58.175.255.25";
//char *attRanges = "32.0.0.0-32.255.255.255"; // TOO BIG

Alors vous aurez noté des trucs sympa, comme le 192.168.255.255, qui est utilisé comme borne haute dans la rangée d'adresses IP à scanner sur un LAN, ce qui n'est pas une obligation - en 192.168, c'est du /24 par défaut - ce qui fait que son programme a une chance non négligeable de tenter un nombre incroyable de connexions vers des IP ne faisant pas partie du même réseau que l'iPhone. Je ne sais pas ce que ça donne en terme de consommation CPU, mais ça doit pas être très optimal tout ça. On passera sur les adresses de broadcast aussi. Sa remarque sur le fait que personne n'utilise les IP privées en 172.16.x.y aussi. Puis il oublie les IP en 10.x.y.z (on passera sur les autres, qui sont encore plus rarement utilisées comme les 4-5.x.y.z, utilisées par exemple par hamachi :-)
Il aurait pu utiliser un ioctl() pour récupérer ces paramètres, afin de rendre son code fonctionnel dans les configurations réseau "moins répandues", et surtout optimiser la métode de propagation.
Revenons-en à nos moutons: la série d'appels à la fonction "scanner", qui aurait quand même pu être méchament simplifiée, par exemple en définissant une structure (en C) avec un entier comme "index", et une chaine de caractères qui contienne sa rangée d'adresses IP; ensuite, il n'avait plus qu'à itérer en incrémentant son index, et il se retrouvait avec un code sensiblement plus extensible (supposons qu'il veuille rajouter une rangée d'adresses IP pour un opérateur: il se retrouve à devoir ajouter un nouveau "optRangesX" correspondant à cet opérateur, ainsi qu'un ou plusieurs appels à "scanner()" en fonction du nombre de rangées d'adresses IP de l'opérateur; pour un code de quelques lignes comme celui -ci ça passe encore: pour un projet de grande envergure, je ne ferais pas appel à ce type).
J'ai aussi une petite pensée pour ses fonctions "runCommand" et "prunCommand", qui sont quasiment identiques, la différence étant que la première renvoie 0 si l'iPhone est vulnérable (comprendre: si l'utilisateur de l'iPhone n'a pas changé le mot de passe root).
En fait ça me fait plus penser à du code qu'un développeur PHP de 15 ans aurait pu pondre, et ça, même le commentaire en header du fichier ne me fera pas penser le contraire:

// This code is CLOSED source.
// And very hacky, i just needed it to work.

Je ne vais pas m'étendre plus sur le code source de ce truc. Sur Zataz, la question est posée sur "comment il sélectionne ses victimes", il y a plusieurs réponses, dont deux données au dessus:
- les ranges d'IP de quelques opérateurs;
- les IP du réseau local de l'iPhone, si une connexion wifi est active;
- des IP générées aléatoirement.
Dans tous les cas, le ver essaie de se connecter via ssh à chacune de ces adresses IP en essayant le mot de passe par défaut d'un iPhone, et en tentant l'exécution d'une commande ("echo 99"). Si cette commande reussit, la fonction "infectHost" est appelée, le fond d'écran de l'utilisateur est supprimé, et remplacé par un autre, puis le worm s'installe dans les scripts de démarrage, afin d'être lancé à chaque reboot de l'iPhone.
En plus d'avoir jailbreaké son iPhone et laissé le mot de passe root par défaut (même si 90% des stats sont inventées, je pense que 99% des utilisateurs d'iPhone jailbreakés [qui doivent être une minorité] ont laissé le pass root sans le changer), il faut que le port ssh de l'iPhone soit accessible depuis le reste d'internet; je ne sais pas ce que ça donne en france par contre à ce niveau là.
Il est maintenant temps de retourner à l'écoute en boucle du clip du moment.

Le bon vieux temps

2009-11-06T17:35:00.002+02:00

Ce "DailyWTF" m'a bien fait rire. Surtout ce passage:

After 15 minutes of “Hmmm” and “That’s strange” from the other end of the phone, the support tech finally said “I think this is going to take a while – could you disconnect and well, just not do that thing you’re doing anymore? We’ll continue to investigate though – thanks for the tip!”

Idées de gens

2009-11-04T11:16:00.003+02:00

Un truc dont les médias vont probablement nous parler dans les jours à venir, c'est l'utilisation du "cloud computing" pour profiter d'une puissance de calcul très importante afin de casser des mots de passe. Un post récent sur slashdot nous envoie même sur un article racontant l'application de ce principe au cassage du mot de passe protégeant une archive au format PGPZIP.
L'article est très bien fait, et je ne pense pas m'attarder dessus, ou peut-être plus tard, style un jour de pluie.
C'est plutot ce que je peux lire dans les commentaires sur slashdot qui sont assez intéressants. Certains donnent un point de vue, discutable ou non. D'autres vont clairement plus loin dans le délire "comment chiffrer ses données confidentielles sans danger en cas de fuite de la clé ?", comme celui ci:

The best solution (if you are dealing with a desktop system) is to have the pass-phrase and keys but also have a small GPS module. If the usb key is not close to where it should be (with a fairly big margin for the fact that cheap GPS modules arent exactly accurate) it would erase the pass-phrase
If they try to force you to hand over your password (e.g. UK RIP act), you just hand it over (to the guys who seized your computer and are now trying to use it somewhere else other than the required GPS location) and boom, the data is gone forever.
If you need to move house, just log in from the old house and reset the GPS then when you get to the new house, log in and put in the new coordinates.

C'est assez extrème, mais ça pourrait être une idée intéressante. Finalement c'est aussi de l'authentification forte.

Puisqu'on en est à la crypto, pensons à la loi Création et Internet (alias 'HADOPI') qui va très certainement signifier la généralisation de l'usage d'outils de crypto en France. Et même si ce n'est pas leur généralisation, ils seront quand même nettement plus utilisés qu'actuellement.

Toujours en crypto, Ubuntu 9.10 propose maintenant de chiffrer le répertoire perso des utilisateurs à l'aide d'eCryptFS, et ça c'est très bien.

review "Hacking: The Next Generation"

2009-10-30T12:09:00.003+02:00

Chapter 1 Intelligence Gathering: Peering Through the Windows to Your Organization
1. Physical Security Engineering
2. Google Earth
3. Social Engineering Call Centers
4. Search Engine Hacking
5. Leveraging Social Networks
6. Tracking Employees
7. What Information Is Important?
8. Summary
Chapter 2 Inside-Out Attacks: The Attacker Is the Insider
1. Man on the Inside
2. Cross-Site Scripting (XSS)
3. Cross-Site Request Forgery (CSRF)
4. Content Ownership
5. Advanced Content Ownership Using GIFARs
6. Stealing Files from the Filesystem
7. Summary
Chapter 3 The Way It Works: There Is No Patch
1. Exploiting Telnet and FTP
2. Abusing SMTP
3. Abusing ARP
4. Summary
Chapter 4 Blended Threats: When Applications Exploit Each Other
1. Application Protocol Handlers
2. Blended Attacks
3. Finding Blended Threats
4. Summary
Chapter 5 Cloud Insecurity: Sharing the Cloud with Your Enemy
1. What Changes in the Cloud
2. Attacks Against the Cloud
3. Summary
Chapter 6 Abusing Mobile Devices: Targeting Your Mobile Workforce
1. Targeting Your Mobile Workforce
2. Summary
Chapter 7 Infiltrating the Phishing Underground: Learning from Online Criminals?
1. The Fresh Phish Is in the Tank
2. Examining the Phishers
3. The Loot
4. Infiltrating the Underground
5. Summary
Chapter 8 Influencing Your Victims: Do What We Tell You, Please
1. The Calendar Is a Gold Mine
2. Social Identities
3. Hacking the Psyche
4. Summary
Chapter 9 Hacking Executives: Can Your CEO Spot a Targeted Attack?
1. Fully Targeted Attacks Versus Opportunistic Attacks
2. Motives
3. Information Gathering
4. Attack Scenarios
5. Summary
Chapter 10 Case Studies: Different Perspectives
1. The Disgruntled Employee
2. The Silver Bullet
3. Summary

J'ai lu une partie de ce bouquin (pas tout ne m'intéressait dans son contenu). Ce n'est pas du très haut niveau, mais ce qui est décrit dans ce livre s'applique finalement aussi bien pour des entreprises, que pour des particuliers (après tout, le social engineering a toujours très bien fonctionné).
Quand je dis que ce n'est pas du très haut niveau, j'entends par là au niveau technique. De toutes façons, dans une majorité de cas, pour réussir un pentest, il n'y a pas besoin de savoir faire du ret-into-libc (oui bon ok il y a largement mieux que ça, elle est vieille la blague (sortie des tréfonds d'IRC il y a longtemps), moi aussi) tous les matins au petit déjeuner.
Quelques études de cas sont données à la fin, pour la mise en application de la plupart des "techniques" décrites dans le bouquin, afin d'expliquer en gros comment le gros vilain hacker fait pour nuire. Ce n'est pas encore comparable à la série de bouquins "stealing the network", mais ça reste très intéressant.
Ce livre n'est pas un "must", mais chacun y trouvera son intérêt.

L'attaque de la femme de ménage maléfique

2009-10-16T10:30:00.004+02:00

"Evil Maid", c'est le nom d'une petite backdoor de l'équipe d'Invisible Things Labs, qui permet de récupérer le mot de passe d'un système dont le disque dur a été entièrement chiffré à l'aide de TrueCrypt.
Je ne vais pas revenir sur la manière de l'employer, Joanna l'explique sur son blog. Pour le fonctionnement, je vous renvoie au code source qui est simplissime.
Alors vous aussi, comme moi, vous vous dites qu'il suffit de protéger par un mot de passe l'accès au BIOS et au menu de boot afin d'empêcher une personne non autorisée à booter depuis l'USB, mais en réalité, rien n'empêche la personne souhaitant infecter le système de retirer le disque dur, le brancher sur un autre ordinateur et l'infecter depuis ce dernier. Mais cela fait pas mal de contraintes.

Q: I've disabled boot from USB in BIOS and my BIOS is password protected, am I protected against EM?
No. Taking out your HDD, hooking it up to a USB enclosure case and later installing it back to your laptop increases the attack time by some 5-15 minutes at most. A maid has to carry her own laptop to do this though.

Mais le tout étant stocké (pour le moment) sur le disque, il me semble suffisament facile de détecter cette backdoor et ses cochonneries laissées sur le disque. Plus tard, cela pourra être envoyé via le réseau (mais ça pourra être détecté par un gros parano [mais pas suffisament parano pour se faire infecter])

Pour sa version actuelle (qui n'est qu'un proof of concept), un moyen de feinter cette backdoor si on soupçonne sa présence, c'est de donner une mauvaise passphrase juste avant de partir en laissant son PC sans surveillance, dans la mesure où elle ne sauvegarde que la dernière passphrase saisie, partant du principe qu'elle est correcte:

The current implementation of Evil Maid always stores the last passphrase entered, assuming this is the correct one, in case the user entered the passphrase incorrectly at earlier attempts.

Mais bon, c'est juste la méthode du pauvre pour le moment, (jusqu'à ce qu'un workaround soit trouvé) et ça n'empêche personne de venir infecter la machine. Il faut soit ne pas laisser son PC sans surveillance, soit l'enfermer dans un coffre fort ou une malette protégée, l'un ou l'autre devant être inviolable.
Voilà j'ai du éclater mon quota de conneries pour la semaine dans ce post. Fort heureusement c'est le week-end dans quelques heures. Je vais retourner à mon écoute du tout dernier album de Rammstein qui vient de sortir. J'aurais peut-être mieux fait d'écrire une review de cet album, au lieu de disserter sur "Evil Maid" :-)

outsourcing lulz

2009-10-13T18:14:00.002+02:00

Parfois je me demande pourquoi je ne fais pas de projets proposés par des sites d'outsourcing (style rentacoder, getacoder, etc..). Surtout quand je vois un budget proposé de 300 à 1000 $ pour faire un programme qui récupère des adresses mail sur divers sites (on se doute bien sûr quelle est la finalité de ce truc: j'ai vu récemment le "projet" qui suit, consistant à réaliser un mass-mailer)
La réponse est bien entendu évidente; je ne veux pas contribuer d'une manière ou d'une autre à ce fléau qu'est le spam.

Ca fait un contraste avec les projets dont le budget est ridicule. C'est impressionnant de réaliser qu'il y a des projets à 25$ sur lesquels un grand nombre d'indiens viennent "bidder", alors que je ne le ferais même pas pour 100$...

Un lien intéressant à ce sujet, qui résume pas mal ma pensée vis à vis de ces sites.

Musée des Arts&Métiers

2009-10-12T10:30:00.006+02:00

Ce week-end j'ai visité le Musée des Arts et Métiers (station Arts et Métiers). Au cours de la visite, je suis tombé nez à nez avec un Cray 2:

J'avais déjà vu un spécimen similaire quelques mois auparavant au Musée de l'Informatique, en haut de l'arche de la défense.

Ce qui est épatant, c'est sa puissance pour l'époque: 243MHz en 1985. Le grand public n'aura accès à une telle fréquence qu'une douzaine d'années plus tard avec le Pentium II. Bien sûr, tout n'est pas comparable quant à l'architecture d'un Cray et d'un ordinateur de bureau.
Autre star, un des "Avions" de Clément Ader, pionier de l'aviation:

Bien évidemment, je suis passé devant le "Fardier" de Cugnot, premier véhicule automobile de l'histoire (la qualité d'image est à chier...)

Le "clou" de la visite était bien évidemment le Pendule de Foucault, qui était bien sûr l'objet de ma visite (étant en pleine lecture du Pendule de Foucault, d'Umberto Eco) qui se trouve juste au niveau de la fin du parcours.
En somme, un excellent musée, à visiter lorsque cela n'a pas déjà été fait.

Sinon, hier, je me suis rendu par curiosité à la Journée de la Sécurité Intérieure, j'ai pu apercevoir le Kärcher de la Police!

Viva HADOPI

2009-10-09T14:48:00.002+02:00

Non, je ne suis clairement pas un fan d'HADOPI. Loin de là en fait. Je ne vais pas troller sur cette "haute autorité". En réalité je me posais juste la question suivante:
- hadopi: quid des web-radios légales ?
Par web-radio légale, j'entends "webradio qui a payé sa taxe à la sacem pour avoir le droit de streamer de la musique" (via shoutcast par exemple). Je sais, c'est un très gros racourci, mais en ce moment j'en prends beaucoup. Un exemple de webradio légale à mes yeux: Frequence3 (Qui au passage propose un stream spécial années 90, que j'écoute volontiers pour me replonger dans mes jeunes années :p)

Pour ne pas toujours écouter la même chose au niveau musical, j'écoute parfois des webradios, comme "GothMetal dot net" (chacun ses gouts, comme on disait dans le bon vieux temps). Lorsqu'un morceau me plait, je fonce [l'acheter/le télécharger] (rayez la mention inutile). Malheureusement, il arrive que certains morceaux, ou groupes, ne soient tout simplement pas trouvables. Comment faire pour faire écouter à mes oreilles, une nouvelle fois, cette douce mélodie qui les a bercées le temps d'une chanson ? (rigolez pas, je n'écoute pas que des trucs enregistrés dans une cave ou un garage hein :))
* Vous me direz, une possibilité est de contacter l'artiste et lui demander un album dédicacé (surtout si le chanteur est en fait une chanteuse, bien sûr, histoire d'avoir une photo à accrocher dans le salon). Mais ça n'est pas toujours possible, même si ça reste à mon sens un très bon moyen.
* L'autre possibilité est d'enregistrer le flux de la webradio. Alors on m'a parlé (vive IRC pour ça) de StreamRipper tout à l'heure. Cet outil est vraiment démentiel, il est ultra simpliste d'utilisation, et remplit parfaitement son rôle.

Cela nous mène donc à ma question: est-ce qu'enregistrer des mp3 de cette manière est illégal ? Il y a quelques années, l'équivalent de cette méthode revenait à enregistrer sur cassette ce qui passait à la radio.
Le flux streamé est légal (autant que peuvent l'être NRJ, Fun Radio ou les autres), est-ce-que les mp3 produits par streamripper le seront eux aussi ? S'ils ne le sont pas, comment la HADOPI compte-t'elle s'y prendre pour remettre ces violeurs du droit d'auteur dans le droit chemin ?

phishing / botnet ... allez savoir

2009-10-08T19:38:00.004+02:00

L'actualité sécurité de ces derniers temps a été assez peu fournie, mis à part la faille dans SMBv2 dont il a été largement question sur des tonnes et des tonnes de blogs, et un début de troll/réflection sur la définition d'exploit public, et l'impact que tout cela a sur des sites comme OSVDB et la gestion du risque[1] (et ça a encore continué cette nuit sur la mailing list Daily Dave, et je n'ai pas encore lu tout ça). Comme je le disais, des tas de sites et de gens plus concernés que je ne le suis en ont déjà parlé, m'y mettre à mon tour n'apprendrait rien du tout au lecteur que vous-êtes, et ne ferait qu'augmenter la probabilité (déjà suffisament haute) que je dise une connerie :-)

Alors je pensais me rabattre sur un truc plus récent, à savoir la mise à disposition (qui a parlé de "fuite" ? :)) d'énormes quantités d'identifiants, avec leurs mots de passe, tout d'abord de Microsoft Live (live, hotmail, msn, je ne sais même plus comment ça doit s'appeller ce truc là), puis ensuite google, yahoo, ...
News0ft nous a proposé sa vision des conséquences que l'on peut tirer vis à vis de ce que l'on peut constater à la vue de tous ces mots de passe. Des sites d'information généralistes ont juste proposé une analyse des mots de passe. Ce que l'on peut retenir de cet incident, c'est que tant que les gens utiliseront des mots de passe aussi triviaux que "12345" ou "love", la situation en terme de sécurité n'évoluera pas, du moins, pas dans le bon sens. Finalement, "Hackers" (le film de 95 avec Angelina Jolie) c'est pas si débile que ça :) (je pense aux scènes où le guru hacker dit que tout ce qu'il y a à savoir, c'est que les mots de passe les plus utilisés sont "love", "sex", "secret" et "god")

Officiellement, tous ces credentials ont été obtenus via une "massive campagne de phishing" (vous savez, le truc où on vous envoie un mail disant que pour une raison de sécurité vous devez confirmer votre mot de passe, ou votre numéro de carte de crédit et qui en fait est hébergé sur un site dans un pays assez lointain). J'ai lu quelque part qu'un chercheur en sécurité doute fortement de cette hypothèse et pense qu'il s'agit plutôt d'un botnet qui aurait récolté tous ces identifiants. Voici ses arguments:

Landesman based her speculation on an accidental find in August of a cache of usernames and passwords, including those from Windows Live ID, the umbrella log-on service that Microsoft offers users to access Hotmail, Messenger and a slew of other online services.

That cache contained about 5,000 Windows Live ID username/password combinations, said Landesman, who found the trove while researching a new piece of malware. "From the organization [of that cache] and what the data looked like in raw form, I think it's more likely that this latest was the result of keylogging or data theft, not phishing," Landesman said.

En gros, une référence à une anecdote remontant au mois d'aout, où une liste de 5000 comptes windows live ont été découverts sur un site de haxorz, avec leurs mots de passe, le tout organisé sous une forme assez brute. Ouais ok cool, mais ça ne prouve rien ça.
Sur un autre site que je ne retrouve malheureusement plus, il était fait référence à cette même ancienne liste, contenant également une URL et quelques autres identifiants, style FTP, qui auraient pu faire penser à des données capturées par un keylogger.
L'idée n'est pas totalement absurde cependant. Le second argument l'est par contre:

"Phishing is not generally a wildly successful scam, it doesn't have a big return. People are more savvy about phishing than we give them credit for."

Je préfèrerais des chiffres pour appuyer cette idée. Moi je n'en ai pas non plus pour la réfuter. Je pars juste du principe que si ça se fait encore beaucoup (le phishing), c'est que le taux de "retour" (données récoltées) reste suffisament attractif.
Après tout, ce n'est peut-être qu'un peu de pub pour ScanSafe, pour qui travaille Mary Landesman, qui vend des produits anti malware. (fin du troll)

Alors je n'ai pas trop analysé cette liste (trouvable en deux minutes sur google, en utilisant quelques mots clés présents sur un des nombreux articles analysant cet incident), mais de ce que j'ai pu voir, il y a au moins un identifiant qui apparait plusieurs fois, avec un oubli de lettre à chaque fois:

blanco_395@hotmail.com:blaco
blanco_395@hotmail.com:blasco
blanco_395@hotmail.co:blasco

Je n'ai jamais analysé de très près le fonctionnement interne d'un botnet, tel que sa manière de récolter un mot de passe d'accès à un webmail, mais si j'avais à développer ça, je pense que j'irais taper dans les fichiers profil du navigateur (les fichiers signonsX.txt et keysX.db de firefox). Sans vouloir faire de psychologie à deux balles de l'utilisateur lambda d'internet, je pense que le type qui utilise "12345" comme mot de passe l'a aussi enregistré dans son navigateur (en plus d'utiliser ce même mot de passe partout).
Sans vouloir glorifier les développeurs de botnet (sans qui, pas mal d'entre nous n'auraient pas un boulot aussi fascinant que celui que nous avons, ah ah), j'ose espérer qu'ils ont recours à des méthodes "efficaces" pour récolter des mots de passe, et non pas des techniques hasardeuses qui consistent à lire le mot de passe saisi à chaque fois que l'utilisateur se loggue, en prenant le risque d'enregistrer des mots de passe erronés.
Alors tout cela me rappelle une anecdote il y a quelques années, à l'époque où j'ai découvert le côté obscur de The Internets (ça nous ramène vers le milieu de l'an 2000 quoi). Un "kit" de phishing caramail circulait. Oui, Caramail (rigolez pas :)). Le mot phishing n'existait pas à l'époque. Ce n'était pas un kit à proprement parler, mais un script CGI hébergé quelque part, avec un formulaire pour le gros haxor lui demandant deux adresses: la sienne et celle de la victime. En validant le formulaire, un mail était envoyé à la victime, se faisant passer pour un service de caramail incitant, pour une sombre raison, la victime à saisir ses identifiants dans un mail en html (eh ouais). Impossible de saisir un mot de passe erroné, le script vérifiait (en tentant de se connecter j'imagine) si les identifiants étaient bons ou pas, et la victime se mangeait un message d'erreur si elle osait mal remplir son formulaire. Le truc fonctionnait en tout cas. Ensuite, n'ayant pas analysé de kit de phishing récemment, je ne sais pas du tout s'ils font encore cela (je vous entends d'ici me dire d'aller en télécharger et en analyser un, au lieu d'écrire des suppositions bidon issues d'expériences douteuses avec caramail il y a 10 ans, mais en fait je n'en ferai rien).

Au final on en sait rien, si c'est issu de phishing ou d'un botnet. Moi je pencherais plutôt pour du phishing, mais je pense surtout que les gens trollent sur le mauvais truc, au lieu de troller sur la qualité des mots de passe utilisés, qui, botnet ou phishing, est un problème bien pire (tant qu'on obligera pas les gens à utiliser des mots de passe plus complexes, ou des méthodes d'authentification forte (non, je ne vais pas troller là dessus, pas ce soir)) l'utilisateur lambda représentera le plus gros danger (pour lui même, ou son entreprise)).

Fin du troll pour aujourd'hui. Je sais que j'ai pris pas mal de racourcis que je n'aurais probablement pas du prendre lors de la rédaction de ce truc, mais je pense que chacun s'y retrouvera.

Sans transition, je me suis remis à la musique (j'ai pris un clavier-maitre MIDI), c'est impressionnant comme LMMS peut-être performant pour ce que je lui demande de faire (restituer ce que je joue, le modifier et l'enregistrer). En tout cas, pour un logiciel libre. Je ne balancerai probablement pas ce que je joue sur ce blog, mais si des gens sont intéressés, il suffira de me demander par mail.

[1] La derniere fois que j'ai sorti "gestion du risque" lors d'un troll avec des collègues, on m'a dit que je m'engageais dans la mauvaise direction.

Quand même les auteurs ne se respectent pas entre eux

2009-09-25T14:39:00.004+02:00

Yesterday it was revealed that, despite her calls for tougher anti-piracy legislation, Lily Allen herself created illicit mixtapes full of copyrighted music and made them available to the public. Today, after having rationalized why it is okay for her to pirate music, she killed her pro-copyright blog because “the abuse was getting too much.”

FAIL.

Se justifier en disant qu'elle a fait ça avant que ses revenus ne dépendent de l'industrie musicale est un peu débile de sa part, dans la mesure où plus récemment que ça, ce mois-ci en fait, elle était encore à pomper du contenu ne lui appartenant pas.

Comme dit dans l'article, il y a 5 ans, elle n'était guère différente des gens qui téléchargent "illégalement" de la musique de nos jours.

La menace vient d'en haut

2009-09-24T17:08:00.007+02:00

J'imagine que les gens qui lisent ce blog savent que Zataz est en grand danger. (c'est une manière de reprendre sa phrase disant qu'il en a "plein le cul"). On peut ne carrément pas aimer zataz, il n'empêche que son histoire est quand même pas super amusante pour lui.

On pourrait se demander comment se serait déroulé un procès opposant la société accusatrice, à un client mécontent de voir ses données personnelles accessibles sur Internet. Dans mes souvenirs, la société peut effectivement être poursuivie pour non sécurisation de données personnelles (la CNIL est là pour ça après tout). Puis il y a quelques années, Kitetoa -vs- TATI avait donné un grand coup de pied là dedans.

Revenons à Zataz. Un des bugs de cette affaire, c'est qu'on reproche à Damien Bancal d'avoir hacké le système, et d'avoir utilisé un moteur de recherche particulier pour ça. Heu, soit. Mais quel moteur ? Parce que Google peut très bien servir à trouver des données sensibles sur internet. Le site de Johnny Long en est la preuve. Des moteurs de recherche FTP existent aussi.
Si maintenant il suffit d'utiliser Google pour être poursuivi et accusé de "hacking", on risque de ne plus trop avancer dans notre chère société. Bon, ensuite les exemples donnés sur le site de Johnny nécessitent de faire des recherches avec des mots clés bien précis. Mais il peut très bien arriver que des données se retrouvent sur internet alors qu'elles ne le devraient pas et/ou qu'elles soient indexées par un moteur de recherche alors qu'elles ne le devraient pas (ensuite, ceux pour qui sécuriser ces données consiste à avoir un robots.txt empechant les moteurs de les référencer, je crois que même Darwin ne les avait pas prévus dans sa théorie de l'évolution)
Un autre truc intéressant dans cette affaire (et je crois que c'est surtout ça l'élément central), c'est la mauvaise foi de la société. Dans une des ordonances de référé (disponible sur internet), on peut lire le passage suivant:

Elle conteste le fait que la simple utilisation d’un compte d’utilisateur "anonymous" a pu être utilisé pour accéder au serveur, puisque celui-ci a su écarter un grand nombre de tentative d’accès par ce moyen, et soutient que l’analyse des fichiers "logs" révèle que d’autres manipulations que la simple utilisation du moteur cité ont été nécessaires ; elle ne veut pour preuve le fait qu’une tentative de cet ordre ayant échoué le 28 septembre 2008, c’est par l’utilisation du mot de passe correspondant à l’adresse électronique du navigateur que le premier accès frauduleux a été possible le 29 septembre.

Heu ok. Alors on me reprochera peut-être mon parcours littéraire, et le fait que j'aime parfois un peu jouer sur les mots, mais je vais quand même me lancer, on sait jamais, des gens pourraient être d'accord avec mon interprétation (et on ira monter une secte):
- il y avait bien un accès "anonymous", puisque celui ci a déjà, par le passé, déjoué des tentatives d'accès.
Ouais, cool. Le truc c'est que je ne vois absolument pas comment il a pu déjouer des tentatives d'accès. On sait qu'on parle de ftp, vu que c'est ce serveur ftp contenant des données sensibles qui est au centre de ce bordel (cf. ordonance citée ci dessus). Lisons donc la RFC dédiée au "FTP Anonyme" (anonymous ftp, en anglais):

   Traditionally, this special anonymous user account accepts any string
   as a password, although it is common to use either the password
"guest" or one's electronic mail (e-mail) address.  Some archive
   sites now explicitly ask for the user's e-mail address and will not
   allow login with the "guest" password.  Providing an e-mail address
is a courtesy that allows archive site operators to get some idea of
who is using their services.

Bon, donc en gros, n'importe quelle chaine de caractères (string) peut faire office de mot de passe pur faire du ftp anonyme, mais certains serveurs peuvent refuser la connexion anonyme si le mot de passe est "guest". Bon, pour ce détail de "guest" je ne connaissais pas, je l'avoue. Quand je fais du ftp anonyme, je mets un mot de passe bidon en général, "a" dans cet exemple:

Connected to ftp.ig-iit.com.
220 (vsFTPd 2.1.0)
Name (ftp.epitech.net:meik): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.

Ok on voit pas que je tape le mot de passe "a", mais vous n'avez qu'à me croire, ou faire le test vous mêmes :p

Un autre point à soulever, c'est que le moteur de recherche qui a indexé le contenu du serveur ftp a du laisser des traces quelque part dans les logs de connexion. Et au passage, on apprend que ne pas utiliser google est un comportement déviant:

S’appuyant ensuite sur un rapport complémentaire en date du 13 janvier 2009 de l’expert, elle fait valoir que le moteur de recherche évoqué n’est pas un moteur "grand public", et relève que Damien B. prétend n’avoir utilisé le navigateur internet qu’après utilisation de ce moteur professionnel, caractérisant la réalisation préalable d’actes préparatoires à la recherche délibérée de failles de sécurité, et à son sens le caractère frauduleux de l’accès.

Eh ouais. Si vous n'utilisez pas Google ou Yahoo, vous êtes forcément un gros hacker. Pensez-donc, si archie était toujours utilisé (qui l'utilise encore, sérieusement ?), on vous enverrait bouffer des oranges à Fleury-Merogis.

Elle réfute au total la prétention suivant laquelle le serveur aurait été d’accès totalement libre, et les données rendues disponibles grâce à un simple clic de souris, et soutient que la remise en ligne de l’article ne saurait être autorisée.

C'est assez ambigu tout ça. Mais en fait ça nous mène au vrai problème: la mauvaise foi des plaignants. Ils soutiennent qu'un accès FTP anonyme ne peut pas permettre un accès à leur serveur, tel que reproché. Il se trouve que des documentations sur des standards de l'informatique depuis 40 ans expliquent en toutes lettres que non, un accès FTP anonyme permet bien ce type d'accès. Mais allez expliquer ça à un juge...après tout, "anonymous" a bien besoin d'un mot de passe, même si celui ci peut être n'importe quel mot. Donc de ce point de vue là, pour un juge, c'est peut-être un peu flou.
Reste le problème du moteur de recherche "pas grand public". On considère quand, qu'un moteur de recherche n'est pas grand public ? Et quel aurait été l'argument si le fichier avait été référencé par Google, et trouvé via une des "recettes" de Johnny Long ? Parce que Google est clairement LE moteur de recherche grand public.

Finalement, quand je vois que la mauvaise foi l'emporte sur la réalité, je me demande comment faire confiance à la justice.
Heureusement, voici cette video:

FRHackED

2009-09-21T16:05:00.002+02:00

frhack.org...

Screenshot réalisé le 9/9/9 ! Le chiffre de la bête de l'apocalypse à l'envers !

Un site presque à jour

2009-09-04T13:30:00.007+02:00

Ma curiosité m'a poussé sur le site du "ministère de la culture et de la communication", et j'ai pu remarquer quelques trucs amusants (non, rassurez vous, rien d'illégal ici, juste un site extrèmement mal fait et pas totalement à jour). Je précise que tout cela est constaté avec Firefox. ET Google Chrome (dev-build) Je n'ai pas vérifié avec Internet Explorer, je ne l'ai pas sous la main, je suis sous Linux. Alors on me dira peut-être que c'est à cause des logiciels libres, ou parce que je n'ai pas le parefeu offert par OpenOffice.

- Je me rends sur http://www.culture.gouv.fr et je souhaite voir les dossiers de presse (on sait jamais, ils sont remplis de LULZ). Je clique donc sur "Espace presse" dans le menu de gauche qui me mène à la bonne page. Jusque là, tout va bien. Je souhaite ensuite voir les dossiers thématiques: je clique donc sur "Dossiers thématiques". Là encore, la bonne page s'ouvre. Alors je vous entends d'ici, et vous vous demandez là où je veux en venir. Supposons que je veuille retourner sur "espace presse", je re-clique donc dessus. Et là, c'est le drame: on reste sur "dossiers thématiques".

Premier FAIL.

- Maintenant, je clique sur "Développement culturel", et là le site part totalement en couille:

Second FAIL.

- Je me rends donc sur la page "contact" du bas de page, parce que je me sens obligé de faire remonter cette information capitale, y compris à monsieur le ministre, Frédéric Mitterand. Et là, erreur fatale encore une fois:

Si vous regardez le titre de la fenêtre Firefox (le truc entre les balises TITLE si vous préférez), vous constaterez qu'il y a marqué: "Ecrire à Madame Albanel, Ministre de la Culture et de la Communication - 2008"; poste que cette Madame Albanel n'occupe plus depuis la fin juin 2009, pour être remplacée par Monsieur Frederic Mitterand.

Troisième FAIL.
C'est tout pour aujourd'hui.

Mais arrêtez avec ça

2009-08-29T10:21:00.004+02:00

Voilà, je l'attendais avec impatience:

Zataz qui raconte - encore - des âneries (bon, en même temps ça fait 15 ans qu'il le fait, donc ça ne devrait plus choquer grand monde). Il pousse le vice jusqu'à la mise à disposition d'un lien vers le document qu'il cite, alors qu'il n'a pas du bien le comprendre...ou même le lire en fait (en faisant comme beaucoup de gens: s'arrêter sur le gros titre et éventuellement un résumé de 3 lignes, pas forcément compréhensible pour quelqu'un qui n'a aucune notion technique - comme zataz - et faire du sensationnel).
Alors bien sûr, WPA ne devrait plus être utilisé par les gens qui ont du WPA2 à disposition (pourquoi prendre un niveau de protection plus faible, quand on peut utiliser un truc solide ?), mais cette attaque n'a pas non plus, pour le moment, la même incidence, et la même facilité d'utilisation, qu'une attaque via airmon/aircrack utilisable par à peu près n'importe qui.
Quand je parle de l'incidence, je veux dire par là qu'on ne peut pas récupérer la clé permettant de "se connecter" au point d'accès. On peut *juste* déchiffrer certains paquets (typiquement des paquets ARP, dont on connait une grande partie du contenu à l'avance). Dans la mesure où l'on effectue une attaque de type"man in the middle", il faut un petit peu plus de matériel "radio" que la moyenne (là ce n'est plus une attaque passive comme une capture airmon+cassage hors ligne avec aircrack, là il faut clairement patater plus fort que l'accesspoint). Non, vraiment, d'un point de vue théorique ça met bien à mal la sécurité offerte par WPA/TKIP (dans la mesure ou WPA/AES n'est pas affecté), mais dans la pratique, on peut encore l'utiliser un petit moment, sa plus grosse faiblesse dans la vie de tous les jours étant l'utilisation d'une passphrase simple ("qui figure dans toute bonne wordlist"), et ça, malheureusement ça arrivera même à ceux qui utiliseront WPA42 dans quelques années (je me rappelle encore l'accesspoint d'un(e) voisin(e) quand j'ai emmenagé [pas encore d'acces internet personnel], avec une clé WEP, assez triviale à deviner qui aurait pu m'éviter de lancer airmon)
Pour finir, as usual, ceux qui voudraient des infos bien plus complètes et pertinentes, ainsi qu'une très bonne analyse, devraient se ruer sur cet article du blog de sid.

eeebuntu sur un asus eeepc 900A

2009-08-21T15:42:00.003+02:00

Finalement je ne serai resté qu'à peine plus de 24 heures sous Ubuntu 9.04 sur mon (vieil) eeepc, Cedric Pernet m'ayant rappelé en commentaire l'existence de Eeebuntu, qui est une distribution un petit peu plus adaptée aux netbooks.
Je me suis donc rué sur le site du truc et l'ai installé, en suivant strictement la même procédure que pour mon ubuntu de la veille, et tout s'est parfaitement bien passé. J'ai juste eu un tout léger problème: le wifi se désactivait (dans le bios) automatiquement après chaque redémarrage; obligation d'aller dans le bios, mettre le truc wlan en "enabled" à chaque démarrage. Ennuyeux non ?
J'ai fini par trouver la solution semble-t'il. Merci Google.

Ubuntu sur eeepc 900a

2009-08-19T14:50:00.004+02:00

Hier soir je me suis lancé dans une entreprise vraiment périlleuse: changer l'OS de mon eeepc (900A). Par défaut, il est livré avec Xandros. Je l'ai acheté il y a déjà quelques mois (en octobre dernier), mais jusque là, la distrib installée par défaut me suffisait LARGEMENT. A vrai dire, voici l'usage que je faisais principalement de ce mini pc:

- lecture/écriture de mails lors de déplacements
- browsing web rapide lors de déplacements
- instant messenging occasionnel
- saisie de données lors de déplacements risqués en salle serveur

Autant dire, une utilisation vraiment "d'appoint" (en même temps, je pense qu'il ne faut pas en attendre plus de ces pc là). De toutes façons, coder là dessus est vraiment mission impossible, à moins d'aimer remapper le clavier (bon, une habitude prise dans une certaine école fait que je code avec un mapping qwerty, donc un problème de symboles '>' et '<' très difficilement accessibles en azerty ne se pose pas, mais la taille des touches *est* un problème :))
Alors plusieurs fois je me suis demandé si changer l'OS était vraiment utile finalement. Le truc, c'est que j'ai réussi à dérégler un peu les packages installés à force d'y aller à coup d'apt-get update/upgrade, et surtout en voulant supprimer certaines applications. Par exemple, "mr patate" est installé par défaut. Moi je n'ai que faire de "mr patate". Et c'est le cas de plein d'autres applications. Sauf que certaines sont, pour une raison que je n'arrive toujours pas à expliquer, des dépendances importantes du système de base. Et qu'il est donc impossible de les supprimer. Tout ça m'a donc bien bien saoulé, et ça m'a incité à installer un Ubuntu 9.04 hier soir.
J'y suis allé entièrement au feeling, mais pour ceux qui n'ont aucune idée de comment rendre une clé usb bootable pour y mettre un os live (live-usb quoi), une petite recherche sur google mène à de la documentation utile.
Et après de longues minutes d'installation, le système reboot et est utilisable (il met environ 25 secondes à démarrer avant d'afficher le prompt de login), tout le matériel est détecté (j'ai du quand même faire un petit tour dans le bios pour ré-activer la webcam, dont je me sers pas), le wifi qui fonctionne du premier coup, le son idem. Même le dernier exploit de spender:

meik@meik-eeepc:~/wunderbar_emporium$ ./wunderbar_emporium.sh
[+] Personality set to: PER_SVR4
I: caps.c: Limited capabilities successfully to CAP_SYS_NICE.
I: caps.c: Dropping root privileges.
I: caps.c: Limited capabilities successfully to CAP_SYS_NICE.
[+] MAPPED ZERO PAGE!
[+] Resolved selinux_enforcing to 0xc086b3bc
[+] Resolved selinux_enabled to 0xc086b3b8
[+] Resolved apparmor_enabled to 0xc06a5d84
[+] Resolved apparmor_complain to 0xc086cfb8
[+] Resolved apparmor_audit to 0xc086cfc0
[+] Resolved apparmor_logsyscall to 0xc086cfc4
[+] Resolved security_ops to 0xc0869b60
[+] Resolved default_security_ops to 0xc06a4b40
[+] Resolved sel_read_enforce to 0xc02933d0
[+] Resolved audit_enabled to 0xc0828564
[+] got ring0!
[+] detected 2.6 style 8k stacks
[+] Disabled security of : LSM
[+] Got root!
# id
uid=0(root) gid=0(root) groupes=4(adm),20(dialout),24(cdrom),46(plugdev),106(lpadmin),121(admin),122(sambashare),1000(meik)
# 

Il ne reste plus qu'à faire un petit peu de configuration/tuning, et le système sera pleinement opérationnel (après avoir fait les mises à jour, bien évidemment :))

cryptophail

2009-08-11T14:02:00.007+02:00

Korben (le fameux) a balancé dans la matinée un lien vers une sorte de lib permettant de réaliser des formulaires web dont le contenu est chiffré (par le browser, en javascript) avant d'être envoyé sur le réseau, puis déchiffré côté serveur et ensuite utilisé.
En lisant la FAQ, un truc m'a quelque peu ennuyé:

* How secure is jCryption ?
Well that’s not easy to say, the RSA public key encryption algorithm is one of the strongest and most secure in the world. It has survived over 20 years although it has some disadvantages/weaknesses. For example if you use a keylength +512bit. Like I mentioned before, everytime you submit a form the keypair will be newly generated, because of this fact jCryption, with it’s functions, is immune to some attacks. But I think in most cases it should be enough using a 512bit key because it’s not that easy to factorize a 512bit prime. But you can adjust the security level of jCryption very easy in PHP (see documentation page). But remeber the higher the security, the longer it takes to generate the keypair. Although jCryption offers some nice ways to bypass the waiting time of the key generation (see the full featured example).

* Why should I use jCryption instead of SSL ?
In my opinion jCryption is much easier to install and configure. Although I don’t think that jCryption is a replacement for SSL. It could be a nice addtion for your contact form or login page to simply make it more secure. If you need highest security you have to use SSL, because jCryption offers no way of authentication.

Et c'est là que vous réalisez à quel point des années de sécurité informatique tombent aux oubliettes. Parce que bon, les attaques Man in the Middle ça n'existe pas, c'est bien connu; donc on peut utiliser une clé de 512 bits (trop la classe, quand on lit que RSA 1024 bits ne doit plus être utilisé d'ici quelques années, même si ce n'est pas pour tout de suite) sans avoir peur que, au hasard, quelqu'un détourne le flux, et se fasse passer pour le véritable correspondant sans le prouver (car vous l'avez bien lu, "jCryption offers no way of authentication"), et puisse déchiffrer les données chiffrées et/ou les modifier (et ça, que ça soit 512 bits ou 4096).
Bon, au moins ils disent que ça ne remplace pas SSL. C'est déjà ça.

Inside the World’s Most Hostile Network

2009-08-10T10:40:00.003+02:00

Un reportage intéressant de Wired sur les admins réseau au DEFCON (qui a eu lieu il y a quelques jours).
Petite déception sur un point:

The staff offered mirrored ports to anyone who wanted to access and analyze a copy of all traffic traveling on the network set up for conference attendees. This is where the Wall of Sheep organizers examined the traffic to search for log-ins and passwords traveling unencrypted on the wireless network.

J'avoue que je m'attendais plus à ce que les fameux mots de passe soient interceptés par des méthodes plus bourrines, comme un bon vieux man in the middle/arp spoofing. A la place, c'est juste des accès sur un bête tap/port "mirroir".

zataz

2009-07-30T04:00:00.002+02:00

S'il ne devait rester qu'un seul journaliste spécialiste de tout ce qui a trait au "hacking" et à "l'underground" ("l'andergrand" comme il le dit si bien, à la télé), moi je voudrais que ça soit zataz.

Pour Dan Kaminsky (auteur des antivirus du même nom, NDR) s'en prend pour son grade. Accès aux courriels [adresses des correspondants, ...], 0dayz [<> LS -AL 0DAYZ/]; login et mot de passe base SQL, ...

Je ne me souvenais pas que Dan Kaminsky était l'auteur d'un antivirus. Par contre, Eugene Kaspersky, oui. Bon puis c'est blindé de fautes. Sacré Zataz. Espérons pour lui qu'il ne fasse pas partie des prochains à voir leur correspondance privée étalée dans le prochain numéro de ZF0.
Edit: bon par contre, ça a été corrigé, quel dommage :(

bigbrother phail

2009-07-19T21:43:00.002+02:00

Un opérateur de téléphonie mobile des Emirats Arabes Unis a mis à disposition de ses abonnés un programme, en le présentant comme une mise à jour logicielle pour leurs blackberries. Jusque là, rien de bien anormal, du moins en apparence. Possédant un tel téléphone, mon opérateur de téléphonie met à disposition, dans la section support de son site, des mises à jour pour l'OS du téléphone par exemple (et même pour l'application permettant la synchronisation du téléphone sur le PC!)

Là où ils ont décidé d'adopter la stratégie de l'échec, c'est quant à leurs fichiers distribués. Je n'ai pas encore eu l'occasion de développer sur BlackBerry (mais j'envisage bien de m'y mettre un jour), donc je ne suis pas un gros spécialiste, mais pour faire simple, les applications sont distribuées sous forme d'un fichier .cod, qui est un truc chiffré/signé par RIM pour pouvoir s'exécuter sur tous les téléphones, et ainsi être distribué. Puis il y a les .jar que tout le monde connait en Java, facile à analyser et étudier. Le premier big phail (enfin, en réalité c'est le second) a été de distribuer les deux fichiers (seul le .cod suffisait). Ce qui a fait que des gens un peu curieux, après analyse, aient réalisé de quoi il s'agissait: une belle backdoor pouvant récupérer leurs e-mails.

Maintenant, qu'est-ce qui a pu en motiver certains à analyser ce fichier ? Ok, la curiosité. Mais pas seulement. Des gens se sont plaint que la batterie de leur téléphone s'usait super rapidement (j'ai lu quelque part que des batteries se déchargeaient en 30-60 minutes!), ça a donc du en motiver certains à regarder ce que faisait cette mise à jour, et comprendre, outre le fait que ça soit une backdoor, pourquoi elle bouffait la batterie à cette vitesse: quand la backdoor essayait de "téléphoner maison", et qu'elle échouait (en raison d'un serveur saturé par ce grand nombre de connexions), elle ré-essayait en boucle en permanence.

Voici en vrac quelques liens qui parlent de ce léger incident (puis encore ici et surtout une analyse là), qui, cela ne m'étonnerait pas, pourrait tout à fait se produire dans notre beau pays dans pas si longtemps que ça (bon, ensuite, tant que les commerciaux utiliseront les mots "crypté" ou "aes 256 bits" pour vanter les mérites des BlackBerries, les gens penseront que cela n'est pas possible que leurs mails soient interceptés).

Notons également que lors de l'achat d'un téléphone (typiquement dans une boutique orange/sfr/bouygues hein), un certain nombre d'applications sont pré-installées, alors pourquoi pas une telle backdoor un jour ?

En attendant, chiffrons nos mails (jusqu'à ce qu'on en vienne à la backdoor qui récupère les clés pgp et qui fasse keylogger). Par contre, je n'ai toujours pas trouvé d'application libre et gratuite me permettant d'utiliser GPG sur mon blackberry. Juste une application payante et closed source (mais le développeur est sympathique et réactif, d'après mes quelques échanges de mails avec lui).

phail / SElinux / etc

2009-07-19T17:28:00.005+02:00

Le nouveau sujet à trolls du moment, courtesy of Spender. La lecture des commentaires dans le code de l'exploit est amusante, avec des trolls sur la gestion de la sécurité en général par les mecs qui maintiennent les sources de Linux (le noyau quoi). On peut trouver quelques pensées à ce sujet sur quelques bons blogs francophones.

Bon alors ensuite, cet exploit de spender est sympa dans la mesure où il exploite une vulnérabilité qui n'est pas exploitable juste en lisant le code. En réalité c'est gcc qui, via ses optimisations, supprime un test (un if (!tun)). J'avais balancé un lien vers un article parlant de ce genre de risques il y a un peu plus d'un an déjà (m ai 2008). Je ne pensais pas en voir une application réelle aussi magistrale :-)

Pour mémoire:

On April 4, CERT put out a scary advisory about the GNU Compiler Collection (GCC). This advisory raises some interesting issues on when such advisories are appropriate, what programmers must do to write secure code, and whether compilers should perform optimizations which could open up security holes in poorly-written code.

Pour notre plus grand plaisir.

Samael - Above

2009-07-15T23:07:00.003+02:00

Parlons (encore une fois) d'autre chose que d'informatique. J'ai écouté dernièrement le dernier album de Samael (ceux ne me connaissant pas sauront dorénavant que j'écoute majoritairement ce genre de musique).

Alors pour situer, Samael c'est quoi ? c'est avant tout un vieux groupe de "metal", qui a commencé par un son se rapprochant pas mal du Black Metal, pour arriver à de la musique sonnant plus comme du "Black Metal Industriel" (non, pas dans les usines) lors de leur apogée (enfin, leurs deux meilleurs albums, à mon sens) à l'époque de Passage (~1996) et Eternal (~1999). Fort peu étonnant avec leur clavier/batteur qui fait à peu près tout sur synthé (bon, à un de leur concert où j'ai été en 2003, il utilisait une batterie, entre deux samples de synthé, mais sinon ça reste de la boite à rythme)

A l'écoute de cet album sorti il y a quelques mois, je n'ai absolument pas reconnu le style auquel j'ai été habitué ces dernières années. Même l'album Solar Soul d'il y a deux ans est à des années lumières de ce qu'ils ont produit dernièrement. Mais ce n'est pas non plus un mal en fait.

Les puristes diront que cela n'est pas du Black Metal, car non enregistré dans une cave en Norvège, ou dans un garage avec un magnéto playschool, mais au final ça reste assez difficile de comparer à un autre groupe. C'est du Samael, mais dans un style différent. La voix de Vorph est déjà plus criarde et proche de ce qui se fait habituellement en Black Metal (sans atteindre le niveau de criardise de Dani de Cradle of Filth, ou de Varg Vikerness (écoutez "War", de Burzum, pour vous faire une idée)). Dommage, sa voix était plus profonde et plus puissante (je pense à des morceaux comme Jupiterian Vibe ou Together). De plus, les tonalités Electro se font un peu moins présentes. Je les discernerai peut-être après d'autres écoutes.

Mais ça reste un excellent album pour agrémenter mes trajets en métro.

D'ailleurs, au cours de mes trajets en métro il m'arrive de jouer à quelques trucs sur PSP (certains lisent ou envoient des textos, d'autres jouent). Récemment j'ai joué à Rock Band Unplugged (un Guitar Hero like), ce qui m'a permis, après quelques heures d'utilisation, de découvrir quelques morceaux sympa, dont "Less Talk More Rock" de Freezepop (que je ne connaissais pas auparavant). Voici une video sur Youtube illustrant comment se présente ce jeu, avec le morceau sus-cité.

Allez, la prochaine fois je parle de WoW, de mes plantes carnivores, et de cryptographie à base de courbes elliptiques avec une taille de clés de 112 bits qui se pète avec un cluster de PS3 en quelques semaines...ça a un air de déjà vu vous dites ? c'est normal, c'est ce même cluster qui a permis de trouver une collision MD5 pour faire peur aux gens fin 2008 au 25C3 avec les certificats SSL de rapidssl. Comme quoi, l'équipe à Lenstra s'amuse bien :-)

Enjoy.

Le buzz OpenSSH du moment

2009-07-08T23:45:00.008+02:00

Bon c'était le buzz de ces deux derniers jours, "y-a-t'il un 0day dans OpenSSH massivement utilisé ?". Alors on a des forums géniaux (merci à la personne qui a balancé le lien sur twitter et qui se reconnaitra, j'ai bien ri :)).
Au final, ce soir on a pu lire ce qu'un dev OpenSSH a lancé, à savoir:

I don't have any non-public information. I have exchanged some emails with
one of the victims of the alleged sshd 0day, but he was not able to provide any
evidence that the attack was sshd-related. In particular, I spent some time
analysing a packet trace that he provided, but it seems to consist of simple
brute-force attacks.à croire que c'est un bête bruteforce. Pas trop de quoi s'affoler si on a pas de mot de passe débile (bon, d'accord...quand je vois mes logs ssh avec la quantité de tentatives de bruteforce, je me dis qu'il y a un paquet de machines qui se sont faites pwner par des wormn'exclut pas, bien sûr, la possibilité qu'il y ait une faille réellement exploitée, mais cela semble peu probable.

Ah, booon...me voilà rassuré

2009-07-08T10:18:00.003+02:00

Le Livre blanc sur la défense et la sécurité nationale a retenu le risque d'une attaque informatique contre les infrastructures nationales comme l'une des menaces majeures des 15 prochaines années. Il identifie un certain nombre de mesures à prendre afin de contrer ce risque.

La création d'une agence de la sécurité des systèmes d'information permet à la France de se doter d'une capacité de défense de ses systèmes d'information. Elle sera l'instrument de la mise en œuvre d'une véritable politique de défense contre les attaques informatiques.

Espérons que les prochaines attaques ne soient pas extrèmement sophistiquées, et ne franchissent pas toutes les défenses (dit comme ça, on dirait qu'on parle d'un footballeur ou d'un rugbyman qui a réussi à passer la défense adverse quand même). Allez, ne soyons pas mauvaises langues, et attendons de voir.

Soirée crypto

2009-07-01T23:16:00.003+02:00

En faisant mon tour du soir de mes feed RSS, je suis tombé sur ces deux articles de Bruce Schneier (le seul, l'unique). Le premier parle de l'algorithme MD6 qui a été retiré du concours SHA-3 du NIST, par son concepteur (Ron Rivest) pour des raisons de fiabilité dans les conditions requises (à savoir, avec le nombre de "tours" demandé, l'algorithme n'est plus aussi fiable qu'avec le nombre de tours conseillés par le concepteur). Une anecdote raconte également que dans la majorité des cas, quand un algorithme se retire de la compétition, c'est fait de manière silencieuse après découverte de faiblesses; dans ce cas là, Ron Rivest l'a fait "avec classe".

Le second post quant à lui balance le lien vers un PDF qui avait échappé à tout le monde (sauf Bruce !) exposant une "nouvelle" attaque sur AES (192 et 256 seulement, la variante 128 bits est épargnée) ayant une complexité de 2^119 (donc meilleure que le brute force). Reste que même avec cette complexité, on en est pas encore à pouvoir trouver une clé AES en 5 secondes avec un pc de bureau, vu les contraintes mémoire (2^77, on en rêve :))

Echochrome

2009-07-01T07:50:00.003+02:00

Je me suis remis à jouer à Echochrome, ça permet d'oublier la longueur du trajet en métro le matin (ou le soir aussi). Dans le genre "cassse-tête" il est très bon; il est basé sur ce qu'on pourrait appeler la "réalité subjective". En deux mots, on a un bonhomme (le même genre que les mannequins en bois pour la pub Ocedar il y a quelques années, pour ceux qui s'en rappellent) qui marche sur des sortes de briques, et il doit "toucher" des ombres de lui même situées un peu partout sur le plan de jeu. Sauf que c'est blindé d'obstacles (trous, absence de briques, trampoline, ..). L'idée est ensuite que si on "cache" cet obstacle, en changeant l'angle de vue (en gros, en bougeant la camera, quoi), alors l'obstacle n'existe plus et notre bonhomme Ocedar pourra avancer.

Puis ici, une video qui illustre le principe...

Un (petit) pas en avant

2009-06-17T19:29:00.003+02:00

Google ne devrait pas tarder à généraliser l'utilisation du SSL pour une grande partie de ses services, dont le mail (gmail, qui propose une option permettant d'activer le ssl en permanence, au lieu de n'avoir qu'une authentification chiffrée[1]) et sa "suite bureautique" (ça fait tache d'ouvrir un document dans google docs, et de se faire sniffer la connexion parce qu'on est sur un réseau wifi public [ensuite, si on a des documents vraiment confidentiels, on utilise pas google, mais ça c'est un autre débat])
Ce qui les a poussés à avancer de la sorte, c'est une lettre (ouverte ?) adressée au CEO de Google, rédigée par des stars dans le domaine de la sécurité et de la cryptographie, avec entre autres Bruce Schneier, Steven Bellovin, Jeff Moss, Ron Rivest et plein d'autres.
Dans un premier temps, la feature sera testée sur un certain nombre d'utilisateurs afin d'évaluer la charge CPU (car mine de rien, la crypto, ça pompe des ressources), avant d'être ensuite généralisée pour de bon.
Alors ensuite je ne sais pas comment ils envisagent de faire pour se conformer aux lois de certains pays, vis à vis de la crypto. Je n'ai pas pu trouver d'info à ce sujet.

[1] à la différence de services comme msn/hotmail. et c'est tâche pour ces derniers dans la mesure où si quelqu'un sniffe le trafic, même si il n'arrive pas à obtenir les identifiants parce que chiffrés dans un échange SSL, le reste circulera en clair et il sera plus ou moins facile de lire une partie des mails de l'utilisateur (au moins ceux qu'il ouvre)

l33tness

2009-06-15T14:30:00.000+02:00

Here

Mozinor

2009-06-11T01:26:00.003+02:00

Faisons un peu de hors sujet avec une vidéo de Mozinor bien bien amusante, basée sur une pub récente de La Poste (j'ignorais qu'il s'agissait d'une vraie pub à l'origine avant que l'on me le dise ce soir, vu que je n'ai pas de télé)

Documents Corrompus

2009-06-10T08:00:00.000+02:00

Surfons sur la vague, continuons dans la lignée des posts inutiles et parlons de cette grande trouvaille (LoLoLoL) qu'est le site "corrupted-files". Ce site vend des documents Microsoft Office corrompus, c'est à dire que lorsque l'on en ouvre un, cela génère une erreur disant que le document est corrompu et ne peut pas être ouvert. Cool. Intérêt ? Envoyer un document qui semble correct à un prof/patron (typiquement le rapport du commercial hein) alors qu'on a rien foutu et qu'on veut gagner du temps ("oh comme c'est dommage, le document ne s'ouvre pas sur ton pc...")

En ouvrant un .docx avec un éditeur hexa, et en supprimant quelques octets, j'ai réussi à obtenir un message me disant que le document était corrompu:

Suivi, lorsque je clique sur OK, d'un message me disant que des données sont manquantes (j'ai peut-être été trop brutal lors de mon hexedit):

Et j'ai même réussi à obtenir un crash de Microsoft Word comme ça. Par contre je n'ai pas pensé à faire de screenshot, et vu que je n'arrive plus à le reproduire, c'est bien balot.
Je sens que je vais m'y mettre moi aussi à vendre des documents office corrompus pour 1 euro.
Plus sérieusement, je n'ai pas encore regardé comment OpenOffice ou AntiWord gèrent mon document corrompu (s'ils l'ouvrent quand même en essayant de se passer des infos manquantes en fonction de leur nature, ou s'ils échouent lamentablement comme Microsoft Word).
Puis faudrait aussi savoir quel est le contenu de ces fichiers Microsoft Office vendus sur ce site, car quand j'ouvre un .doc dans un hexedit, je vois quand même le texte apparaitre dedans. Et si l'étudiant paresseux envoie un tel document à son prof, et que ce dernier, en étudiant le contenu du fichier, découvre le "Lorem Ipsum blablabla", il risque de faire la tronche.

Challenge SSTIC

2009-06-08T13:23:00.001+02:00

Il semblerait même que les diverses solutions du challenge SSTIC aient été mises en ligne (bon ça fait peut-être même quelques jours, mais je n'ai pas pensé à regarder ça ce week-end à vrai dire).
Ca me fera un peu de lecture pour les soirées à venir.

IRCFAIL

2009-06-08T10:46:00.002+02:00

[mickou] hier je suis allé voir le film milenieum au ciné il est genial conseil allé le voir car la meuf qui joue le role de hackers pour un journaliste et tros baleze meme si sa reste qun film

Je pense que je vais grepper mes logs (quelle idée aussi d'idler sur ce chan irc) et faire un fichier de quotes de ce type.

Image du Challenge Securitech

2009-06-08T09:57:00.002+02:00

Conformément à ce qui a été dit lors d'une rump session du SSTIC par Benjamin Caillat, une image vmware permettant de re-jouer une bonne partie des épreuves des différents challenges securitech a été mise à disposition via bit torrent (comme quoi, bittorrent ne permet pas QUE le partage des mp3 de johnny ou la filmographie complète de besson). Tout est décrit sur le site. Du coup j'en profite pour rendre ma bande passante chez OVH utile et je seed à une bonne vitesse pour permettre aux prochains téléchargeurs de la récupérer rapidement.

CR SSTIC 09

2009-06-07T20:25:00.009+02:00

Contrairement à l'an dernier, je n'ai pas fait de compte rendu de chaque journée le soir même. Cette année j'ai à peine commencé à rédiger un compte rendu, je le mettrai en ligne au fur et à mesure (je pense que ça me fera une bonne activité pour mes trajets dans le métro dans les deux jours à venir).

Mais pour faire court, quelques impressions en vrac:

- La keynote de Pascal Andrei, qui travaille à la sécurité et la sûreté des avions Airbus, et nous a expliqué en quoi ces deux domaines sont différents, en citant des exemples de chacun (instruments de vol et leur fiabilité en cas de problème, cas des gilets de sauvetage avant décollage, le cas de l'isolation des réseaux passagers des réseaux de pilotage (point dont il avait été question à propos du prochain avion de chez Boeing, avec une notice de la FAA))

- La backdoor ACPI qui se déclenche après une succession de branchements/débranchements d'un laptop d'une source d'alimentation électrique m'a bien plue. L'objectif était de démontrer que certains composants d'un ordinateur ne faisant pas partie des architectures de confiance à la TxT d'Intel (comme un BIOS) peuvent quand même piloter (enfin, "influencer") la protection offerte par ces mêmes architectures de sécurité, le tout en modifiant les tables ACPI. Edifiant. On dira même "du grand Loic Duflot".

- La conf sur l'ISO 27001, ça m'a sensiblement éclairé sur certains points. Ca ne va pas révolutionner la sécurité informatique (sinon ça se saurait), et son utilité reste quand même discutable (bien que le speaker nous a dit que la majorité des boites qui se font certifier le font par réel souci de bien gérer les événements de sécurité et les moyens de réponse, et le reste le fait juste pour avoir le label rouge)

- Une présentation de fuzzgrind, outil de fuzzing basé sur la recherche (et la résolution) de contraintes dans un programme (trouver ce qui fait qu'un if() retourne vrai/faux, ou dans quels cas un while() sort par exemple) à l'aide de valgrind (enfin, un module de valgrind, au même titre que le célèbre memcheck, sauf que ce module permet de représenter des conditions sous une forme symbolique) et STP (un solveur de contraintes) et générer des saisies qui peuvent faire que ces contraintes sont résolues. On a eu un exemple sur un crackme, résolu en très peu de temps avec fuzzgrind (bon, en même temps la solution du crackme consistait à sortir une serie de chiffres dont la valeur etait égale à 15). Mais la démo était vraiment convaincante. On a aussi eu un début de démo (mais qui n'a pas pu aboutir faute de temps) d'un fuzzing de "readelf". Le speaker aurait trouvé un problème là dedans avec son fuzzer. Dès que j'aurai plus de temps, je m'y intéresserai.

- Mon trollomètre a pas mal bougé pendant la conf de Nicolas Ruff ("Pourquoi la sécurité est un echec ...") mais je m'y attendais. Beaucoup de choses ont été dites, et il fallait qu'elles le soient. Ce talk mériterait un post entier (ou une série de posts entiers) pour en parler. Le top, c'est que tout ça sentait le vécu, et les exemples étaient vraiment géniaux, au point que j'aurais bien aimé en avoir d'autres.
- J'ai été un peu largué pendant la conf sur "le traçage de traitres en multimédia". En gros c'est la présentation d'une variante du watermarking avec une dose de théorie des jeux afin de dire qui est à l'origine d'une fuite du prochain film de luc besson en intégrant des bits par ci par là dans la vidéo, de la manière la moins visible possible, tout en étant un max résistant aux dégradations dues au ré-encodage dans un format différent et de moins bonne qualité. Il y avait des maths d'un niveau tout autre que le mien (n'oubliez pas que j'ai passé un bac Littéraire et que je n'ai quasiment pas fait de maths après le bac (epitech, tout ça))

- Un talk sur les XSS, là aussi, même si c'était assez généraliste, on a eu quelques ouvertures intéressantes (botnet basé sur du xss) et des démos amusantes (la démo du xss sur le site du sstic était pas mal, et le xss sur myspace (qui demande de ne pas utiliser la balise script) aussi). Je ne suis pas pentester, mais c'est un talk comme celui ci que j'attendais pour changer d'avis sur ce type de failles.

- Maitre Raynal nous a montré quelques contournements de la sécurité d'acrobat reader avec des PDF spécialement craftés, avec par exemple un PDF qui exécute un binaire embarqué dans le fichier PDF une fois ouvert. Pas mal. Je m'intéressais à ce type d'attaques depuis un moment (pas forcément PDF, mais aussi les documents office par exemple), je pense que les actes vont bien m'occuper (le truc bien, c'est que les siens sont déjà en ligne pour ceux qui n'ont pas eu l'honneur d'y assister)

- Le talk sur la récupération des frappes claviers (filaires et sans-fils !!) était vraiment génial. Même si le concept est bien vieux (sur cryptome.org on trouve des documents déclassifiés de la NSA (grace au FOIA aux états unis) parlant de ce type d'écoutes et qui datent des années 50 ou 60), c'était captivant. Le speaker a bien réussi à intéresser tout le monde.

Concernant les rump sessions, là aussi je développerai dans les jours à venir, mais j'ai également fait une vidéo d'environ 25 minutes, correspondant aux 25 premières minutes de rumps. La qualité est moyenne, mais on arrive à entendre ce qui est dit, et on distingue quelques trucs au projecteur. La mauvaise nouvelle, c'est que j'ai pas trouvé de truc de compression pour conserver la meme qualité (enfin, si on peut dire ...) d'image et de son. Donc je vous uploaderai le fichier quelque part, qui fait dans les 1,5gb. Si quelqu'un parvient à en faire un fichier plus petit et utile (moi j'ai juste obtenu des fichiers inaudibles comme ça), je suis preneur.

J'ai aussi commencé à uploader une partie de mes photos. Du moins celles qui ne sont pas trop ratées (j'ai voulu éviter d'utiliser le flash, afin de ne pas perturber les speakers, du coup dans un amphi sombre, c'est pas super le résultat). Là aussi je mettrai le lien une fois l'upload terminé (ceux qui me suivent sur twitter ont peut être déjà vu celles que j'ai déjà pu uploader)

Je développerai tout ça au fur et à mesure en ajoutant mes commentaires sur les autres talks de ces trois jours un peu plus tard. De même, j'uploaderai mes photos et vidéos très prochainement et j'agrémenterai cet article de liens, so stay tuned. En attendant, vous pouvez vous rabattre sur le compte rendu fait en quasi direct par Sid. Il faudra aussi que je pense à remplir le sondage.

Préparatifs SSTIC

2009-05-28T20:00:00.002+02:00

Voilà je suis fin prêt pour le SSTIC. Oui, vu la date c'est pas trop tôt. Enfin l'an dernier j'avais réservé mon hotel deux jours avant le début, et acheté mon billet aller 10 minutes avant le départ du train (je fais toujours ça, je paie plein pot :)).
M'étant acheté un appareil photo à l'occasion de vacances l'an dernier je pourrai enfin immortaliser certains moments avec autre chose que l'appareil photo 1,3mpx de mon téléphone portable, et peut-être même filmer les rump sessions! (l'an dernier, la qualité de la vidéo était vraiment trop mauvaise pour que j'ose la mettre à disposition)
Sinon, le texte de la LOPPSI est enfin disponible. Je l'ai lu sur http://www.loppsi.fr/. Le passage le plus amusant (lulz) se trouve au chapitre V, article 23 (ça fait un peu biblique dit comme ça, genre le Lévitique, Chapitre 19)
Pour finir, le dernier album de Marilyn Manson est sorti. C'est clairement mieux que l'inqualifiable merde qu'il avait osé nous sortir la dernière fois (eh oui, je n'écoute pas que du black metal !)

Ils ont l'air d'être bien partis là

2009-05-24T20:50:00.005+02:00

Je m'étais déjà exprimé à ce sujet il y a plusieurs mois (peut-être pas de la plus intelligente des manières, as usual). A l'époque cela concernant nos amis britanniques. Avec la LOPPSI, ça va être chez nous très bientôt (la LOPSI2, vu que la loi existante, la LOPSI, semble complètement inefficace, enfin, non-performante, d'où le 2e 'p')

Bien et donc, un journal semble donner quelques informations. Morceaux choisis, avec mes commentaires cyniques au possible:

Concrètement, la police judiciaire pénétrera chez le suspect aidée d'un serrurier, de jour comme de nuit. Elle posera sur sa machine une clé de connexion, sorte de clé USB qui s'enfiche à l'arrière ou, mieux, à l'intérieur, sur l'un des ports disponibles. Et le mouchard renverra les données vers les ordinateurs des autorités. Rien n'empêchera désormais la police d'installer à distance des logiciels pirates, sortes de chevaux de Troie, qui la renseigneront en temps réel sur tout ce qui entre et sort d'un PC ou d'un Mac.

- Déjà, pénétrer chez le suspect, ça peut être un peu sport comme on dit. Entre ceux qui vivent dans des cités surveillées en permanence par des guetteurs qui alertent les gens un peu louches dès que quelque chose ressemblant à la police arrive, puis les gars paranos qui ont des alarmes chez eux (par exemple, certaines assurances refusent d'assurer la maison de certains proprios s'ils font pas installer des alarmes chez eux) et d'autres qui utilisent des softs de surveillance via webcam, cette tache peut s'avérer ardue, et ça, serrurier ou pas.

- Ensuite, pour poser une "clé de connexion" (bon, on se doute que c'est une sorte de dongle wifi usb, peut etre 3G/similaire, et encore, sur lequel il y a éventuellement une sorte de disque flash dans lequel il y aura un fichier style backdoor.exe qui se lancera, se cachera peut etre dans la liste des processus (voire même tournera dans un hyperviseur) et fera plein de choses dans le dos du suspect), c'est pas mal. Mais c'est pas un peu voyant par contre ? Surtout que ça dépendra des ports disponibles. Il se passe quoi s'il n'y a plus de ports usb libres ? Et s'il y en a, et qu'ils sont juste en façade ? dans ce cas on débranche tous les trucs du suspect pour avoir une prise libre à l'arrière de la machine et on branche son clavier usb en façade ? et c'est pas voyant ? Alors il y a toujours des possibilités sur des ports PCI/PCI-E, mais là encore, s'il n'y a plus de ports de libre en interne ? (carte son/télé/autre). Puis en plus de la visibilité physique, il y a la visibilité logicielle (je ne sais pas sous Windows s'il est évident de cacher un matériel dans le gestionnaire de périphériques, mais sous Linux, cacher ça d'un lspci ou de dmesg, ça me semble déjà plus sportif (même si ça n'est pas infaisable)).

Sachant que si en plus on complexifie la chose, et que le suspect a laissé son PC allumé, si on opte pour la solution "port pci", je ne suis pas certain que ça soit plug n' play à ce point. Il faut dans ce cas redémarrer l'équipement pour procéder à l'installation du driver sous Windows (je ne suis pas expert windows, donc je dis peut etre des conneries énormes, si c'est le cas, n'hésitez vraiment pas à me le dire). Puis là c'est le drame si l'utilisateur a mis en plus un mot de passe. Ou pire, si son disque est chiffré. On peut aussi trouver cette activité sexy même si c'est juste un dongle sur un port USB et que l'utilisateur est parti en fermant sa session.

On achève l'ensemble de l'idée si le suspect utilise un ordinateur portable. Niveau visibilité des ports USB, on fait pas mieux. En terme d'emplacements internes, c'est pas évident (perso, j'ai encore pas vu un pc portable avec un emplacement pci/mini pci libre), et en plus, leur gus il le laissera peut etre même pas chez lui, ce qui fait que ses messieurs de la police se seront dérangés pour rien.

- Reste ensuite la partie "envoi des données vers les ordinateurs des autorités". Bon ok, la configuration réseau de 99% des particuliers ayant une connexion ADSL chez eux c'est un bête truc avec une MachinBOX reliée au réseau, avec un ou plusieurs ordinateurs en NAT derrière. Mais dans certains cas, des fous furieux configurent le firewall de leur machinbox en mode strict, qui ne permet quasiment aucune communication extérieure sauf vers des IP précises et identifiées (genre l'IP d'un serveur quelque part vers lequel on envoie tout via un tunnel SSH). Puis celui qui voit les diodes de son modem clignoter alors qu'il ne fait rien va peut etre se poser des questions, et lancer un wireshark. Ou un tcpview (sysinternals) et voir des communications étranges.

En guise de conclusion, je deviendrais presque parano à me demander si notre gouvernement ne fait pas exprès de nous balancer coup sur coup deux lois visant à TENTER de contrôler ce qui se passe sur internet, impossible à appliquer (HADOPI et LOPSI2) tant les écueils sont nombreux (et leur incompétence, flagrante), afin d'imposer à l'avenir aux fabriquants l'intégration d'une backdoor MoI approved en expliquant que c'est le seul moyen d'arriver à faire appliquer ces lois et que c'est pour la sûreté nationale.

Si vous avez des trucs à ajouter: unleash the fury

Rapport d'étude, partie 1 (dessins et crypto)

2009-05-18T21:02:00.006+02:00

Lors de mes aventures sur IRC, je suis tombé sur un lien qui, ma foi, semble poser quelques éléments de réponse quant à ce qui composera le futur « logiciel de sécurisation » dont l'installation sera très prochainement, vivement recommandée afin d'éviter de s'attirer les foudres de la toute-puissante HADOPI (et deviendra certainement obligatoire par la suite une fois que l'on nous aura inventé un nouveau délit, suivi d'une nouvelle loi et d'une nouvelle Haute Autorité (qui donc se placera plus Haut, en terme de puissance, qu'une autre Autorité existante))

Bref, ce lien, quel est-il ? Il s'agit d'un RAPPORT D'ETUDE des solutions de filtrage des échanges de musique sur Internet dans le domaine du peer to peer. Rien que ça.Il est disponible à cette adresse:

http://www.culture.gouv.fr/culture/actualites/rapports/filtrage/charte.pdf

S'il n'est plus disponible, mailez moi (n'oubliez pas PGP), je vous en enverrai une copie (pourquoi PGP/GPG ? Pour pas qu'en surveillant le trafic mail on puisse voir que je fais du recel de contrefaçon d'un document du ministère de la culture, tiens!)

Alors je me suis dit « Enfin! De la lecture intéressante et qui va me donner quelques éléments de réponse quant à ce qu'a prévu le ministère de la culture pour re-dynamiser le secteur de la culture en France, et permettre à nos artistes de pouvoir, enfin, manger à leur faim! »

Alors on nous balance des graphiques sur le trafic peer2peer pour nous montrer que c'est une proportion énorme du trafic Internet. Soit. Mais avant que bittorrent ou autres emule ne fassent leur apparition, des protocoles comme FTP devaient représenter une part non négligeable de la bande passante globale, et ça n'en faisait pas pour autant un fléau; et pourtant, ça servait aussi au partage de données copyright-ées de manière illégale, mais pas seulement (la vieille époque des /pub en +rw accessibles en anonymous (ce même anonymous qui menace nos élus)...souvenirs). Mais j'imagine bien une réunion dans un bureau, style salle de réunion immense, réunissant tout ce beau peuple qui nous a pondu HADOPI (enfin, la loi création et internet), avec un powerpoint bourré de camemberts comme ceux du rapport (dont le temps de calcul dans excel est très certainement supérieur au temps passé pour faire l'étude dont il est question dans ce rapport)

Puis, la partie qui m'a fait le plus frémir (de rage), c'est à la page 11, la partie qui nous parle de crypto. Alors déjà, je vois venir les plus puristes d'entre vous, et rassurez vous, c'est la même chose qui m'a fait tiquer: l'usage de mots tels que « encryptage », « cryptage ». Quelqu'un qui se veut un minimum sérieux ne devrait pas utiliser ces termes. Je pense. Bon puis on nous dit que SSL, SSH et Freenet sont utilisés par ces outils illégaux pour masquer leur trafic. Vlà-t'y pas qu'on va nous rendre SSH illégal (je me rappelle l'époque où, plus jeune, j'avais acheté un magazine sur GNU/Linux, dont le CD-ROM contenait SSF, la version french-crypto-law-compliant de SSH) à ce rythme là. On voit qu'un outil de « peer to peer » comme soft-ether utilise à la fois SSH et SSL pour ça. J'avoue ne pas avoir trouvé quoi que ce soit à propos d'un outil de peer to peer nommé SoftEther. Si quelqu'un a des infos à ce sujet, ça m'intéresse (j'ai surtout trouvé des infos à propos d'un malware nommé comme ça en fait). Puis surtout, on nous dit que les logiciels peer2peer opensource, on peut plonger dans leur code (puisque disponible) pour comprendre comment fonctionne le protocole afin de mieux le filtrer, même si chiffré (crypté, dans leur dialecte). On sait déjà pas vraiment (enfin, uniquement dans certaines conditions qui relèvent du rêve) détecter du trafic HTTP dans un tunnel SSH (voir http://coderrr.wordpress.com/2008/06/28/detecting-ssh-tunnels/ ) et là on nous sort qu'une boite sait détecter du trafic p2p circulant dans un tunnel chiffré. Pas mal. Bon, il s'agit de protocoles absolument pas connus (perso je connais pas filetopia et le reste).

Bref, à ce stade là du document, je reste sur le cul, et je me dis que la partie suivante sur Ipv6 va me faire rire encore un peu avant d'aller manger. En fait, ça me fait juste sourire:

L’évolution du protocole Internet vers IP V6 va apporter, outre l’extension des plages d’adressage IP disponibles, des évolutions sur les fonctions d'authentification et de sécurité de TCP/IP, avec notamment la généralisation du protocole IPSec et des fonctions de chiffrement DES.

Les fonctions de chiffrement DES. On sent là encore l'étude très poussée. Genre on va généraliser l'adoption d'un algorithme de chiffrement obsolète depuis pas mal de temps déjà (ça va faire 10 ans quand même qu'AES remplace DES). Avec un peu de chance, ça fera passer Ipv6 pour une suite de protocoles permettant ou facilitant la mise à disposition de contrefaçon.

La suite, très bientôt (et désolé pour le formatage à chier). Je rajouterai des liens vers des sources très prochainement aussi.

Face Search

2009-05-18T10:40:00.004+02:00

Une feature de Google que je viens de découvrir, c'est lorsque l'on recherche des images (images.google.com), la possibilité d'affiner la recherche, et ainsi afficher un type de contenu (visages, dessins, etc).

Avec un peu de chance, dans quelque temps quand on tapera le nom d'une personne, on obtiendra toutes les photos où elle apparait, avec un petit cadre autour du visage sur les photos de groupe.

IRC

2009-05-08T20:11:00.002+02:00

20:10 [mickou] mdrrr comme ses simple de crack une clé wep ou wap avec backtrack3

Va falloir se préparer cette fois

2009-05-08T19:15:00.002+02:00

Mais se préparer à quoi ? Ben à ce que des certificats SSL puissent être forgés grace à des collisions possibles de par l'algorithme de signature qu'ils utilisent. Ca a été le grand non-événement de cette fin d'année 2008 (le "bigwane" comme ils disent tous, en moyenne tous les six mois), principalement en raison de l'algorithme de hashage visé par cette attaque, qui n'était déjà plus très utilisé (md5, remplacé par du sha-1 depuis quelque temps déjà à ce moment là).

Mais des collisions dans sha-1 sont maintenant trouvables un peu plus rapidement qu'il y a encore peu de temps (bon ok, Moore est toujours là, même si ça ne devrait plus être pour très longtemps). Certes, y'a des mecs qui font ça tout le temps, trouver des collisions en 2^X étapes et tenter de réduire au minimum X.

Mais il semblerait qu'à leur stade, ça soit déjà plus abordable en terme de cout matériel ("Practical collisions are within resources of a well funded organisation.") -> on repensera au cluster de PS3 utilisé par Alex Sotirov et ses amis pour leur attaque (ok, 200 PS3 c'est pas donné, mais qui dit abordable ne veut pas non plus dire que c'est à la portée d'un particulier, mais plutôt d'une école ou d'une entreprise avec un peu de moyens).

Bien sûr, il n'y a pas que les certificats SSL qui seront concernés, lorsqu'il sera possible de générer des collisions quasiment à la demande (ce qui n'est pas encore le cas, mais on y viendra très prochainement), mais également tout ce qui concerne le hashage de fichiers (dans le domaine des forensics, la question de l'obsolescence de md5 avait déjà été discutée)

Reste à savoir maintenant si le "signal d'alarme" sera tiré à temps, et si la transition de sha-1 vers son successeur sera faite avant que de gros problèmes ne se posent.

xterm considered illegal

2009-04-21T17:04:00.003+02:00

Eh bien maintenant il suffit d'utiliser son Linux/FreeBSD/autre en mode ligne de commande pour passer pour un "master of the trade" auprès des utilisateurs lambda (bon ok, ça a toujours été ça, cf. TDC'z Hidehout) et donc pour un gros hacker capable de modifier le champ "MAIL FROM" d'un e-mail.

Review: The Art of Intrusion (Kevin Mitnick)

2009-04-21T11:48:00.009+02:00

Voilà un excellent livre pour tous les fans du « Hacking Old School », une petite dizaine d'histoires rassemblées suite à un appel à contribution sur Internet, qui permettent au lecteur d'apprécier l'art du contournement et de l'intrusion (d'où le titre du bouquin) dans presque tous ses états.
Il n'est très peu question de mecs boutonneux planqués derrière un écran en bouffant des pizzas et risquant de déclencher une guerre nucléaire après avoir atterri par erreur sur des machines du pentagone. Juste des gens que l'on peut croiser tous les jours partout, qui savent utiliser la technologie et qui expliquent ce qu'ils ont fait, comment ils s'y sont pris, le cas échéant, pourquoi ça a merdé en chemin, et la morale de l'histoire, lorsqu'il y en a une et ce qui aurait du être fait (ahah, enfin...vous m'aurez compris) afin d'éviter des problèmes est également abordé.
Ce livre ne se veut absolument pas technique et beaucoup de choses sont vulgarisées; mais ayant lu l'édition française, certaines phrases perdent un peu de leur sens j'ai l'impression (je n'ai pas lu l'édition en anglais, si ça se trouve, c'est la vulgarisation qui fait perdre tout son sens aux explications)
Chaque histoire peut être lue indépendamment des autres. En ce qui me concerne, je trouve la première histoire absolument géniale, une bande de potes qui se retrouve à Las Vegas pour des raisons professionnelles et qui se retrouve à faire du reverse engineering sur une machine de casino for fun and profit comme on dit.

Un bon bouquin qui se lit facilement, surtout au cours d'un long trajet chiant en train par exemple et qui permet de se rappeller que le "Hacking" (chut, pas de troll, le "hacker" c'est celui qui passe plus de temps à troller sur la pseudo difference "hacker" / "pirate", qu'à effectivement hacker quelque chose) ça ne consiste pas qu'en des exploitations de failles include dans des applications web mal branlées.

Fail

2009-04-08T13:15:00.005+02:00

Ce matin en me levant, je vois un lien dans mes feed rss parlant d'aircrack pour la PSP de Sony. Il y a longtemps j'avais envisagé un truc similaire, mais c'était sans compter sur l'impossibilité de passer le module wifi de la PSP en mode monitor. Enfin en tout cas, j'ai jamais trouvé comment. Il y a même des rumeurs qui disent que c'est tout simplement pas possible.
Au final, ce AirCrack-PSP c'est juste l'outil de cassage, sans airodump, ce qui n'est pas spécialement performant sur cette console (CPU à 333MHz, en tout cas sur mon modèle, avec firmware custom permettant de débrider le CPU)
Dommage...On ne pourra pas hacker le wifi du voisin avec une PSP pour le soumettre au courroux de l'HADOPI.

Fun

2009-04-01T16:56:00.001+02:00

enjoy

Stats Analytics

2009-03-16T15:48:00.002+02:00

Cela fait déjà quelques mois maintenant que j'utilise Google Analytics pour étudier le traffic sur ce blog, enfin, de temps en temps du moins; et j'ai décidé de jeter un oeil aux stats sur l'année qui s'est écoulée, surtout en ce qui concerne les mots clés qui mènent ici (j'avoue que je fais très peu attention au reste, comme la configuration type ou le réseau visiteur le plus utilisé). Voici une petite liste de quelques mots clés qui sortaient un peu du lot en général, la plupart étant liés au SSTIC 2008 (notez que la rump session de Nikoteen a l'air d'avoir bien plu)
- sstic 2008 scorpions
- blog sstic 2008 nikoteen
- nikoteen scorpions pieds
Ces trois là sont bien sûr liés au sieur nikoteen et sa rump session sur le "hacking de cerveau". Ce qui est amusant, c'est que d'avoir raconté cette rump sur mon blog m'a ramené des visiteurs n'ayant à priori rien à voir, comme le montre cette série de mots clés:
-solution pour les pieds qui puent
Eh oui. Comme quoi les recherches peuvent nous mener aux endroits les plus improbables, comme un blog qui essaie vaguement de causer "sécurité informatique".
Un autre truc qui a l'air d'avoir bien plu durant ce SSTIC, c'est le "thermobug" de David Naccache, qui est revenu plusieurs fois dans mes stats analytics, avec ces mots clés:
- david naccache thermobug
- naccache thermobug
On voit une sensible différence entre des gens qui ont certainement utilisé des moteurs de recherche il y a déjà plusieurs années (Altavista, etc) en formulant des requêtes sous formes de mots clés individuels, parfois précédés d'un '+', comme à l'époque glorieuse d'Altavista justement (nikoteen scorpions pieds), il y a dix ans, et les recherches que les gens font de nos jours, une phrase quasi complète (solution pour les pieds qui puent). D'où l'intérêt de Google pour la recherche dans le domaine du langage naturel afin de toujours mieux comprendre ce que souhaite/cherche l'utilisateur (piège: "pomme" et "terre" dans le même terme de recherche ne veut pas forcément dire que l'utilisateur cherche des informations sur les "pommes de terre")

J'y serai !

2009-03-16T12:17:00.000+02:00

Enfin, la barrière des inscriptions a été franchie du moins.

Des "atteintes à la sûreté de l'état"

2009-03-05T12:06:00.002+02:00

Article du Figaro, parlant un peu des missions de la DCRI (ex RG / DST) et du fait que les actes référencés d'atteinte à la sûreté de l'état ont augmenté au cours de l'année passée.
J'ai bien aimé le passage suivant, preuve que la sécurisation des données sensibles stockées sur des équipements nomades n'est pas encore rentrée dans les moeurs:

«Nous constatons aussi beaucoup de disparitions d'ordinateurs contenant des fichiers sensibles», déplore un agent de renseignement de haut rang. «Il suffit qu'un fonctionnaire habilité se fasse voler son PC portable ou même son téléphone mobile contenant les numéros du service auquel il est rattaché pour que les faits soient aussitôt qualifiés d'atteinte au secret»

D'ici à ce que les disques/clés usb/téléphones de tous ces gens soient chiffrés... (bon, en plus, si le bureau du monsieur qui perd ses données est habilité à contenir des équipements stockant des données classifiées, je doute que sa maison ou son appartement le soient, donc il y a déjà un souci à ce niveau là). Enfin on commence comme ça, puis on finit par ramener au boulot sa clé USB qu'on a insérée dans le PC familial (qui, contrairement à celui du boulot, n'a pas d'antivirus et sert au téléchargement de fichiers douteux sur emule) qui aura fait le plein de virus (qui a parlé de conficker ?).

SSD de l'EFF

2009-03-05T11:04:00.002+02:00

Je me demandais qui allait se jeter à l'eau, à défaut de le faire moi même (j'avais commencé, mais ça n'a jamais dépassé deux pages pour le moment), mais l'EFF m'a devancé: SSD (bon ça s'applique aux américains, mais un projet similaire en France ne serait pas de trop vu ce que l'on nous concocte régulièrement en nous disant que c'est pour nous protéger du terrorisme, de pédophilie et bientôt des vilains téléchargeurs de mp3 responsables de la crise économique et de la faim dans le monde)

En gros, c'est une initiative (?) de l'Electronic Frontier Foundation visant à informer les citoyens américains sur la manière dont ils sont surveillés (lois et technologies) tout en leur fournissant les moyens de s'en protéger et de défendre leur vie privée. Je n'ai pas encore tout lu par manque de temps (comme toujours, une journée ne dure que 24 heures auxquelles je soustrais un peu de temps pour dormir)

Finalement...

2009-03-04T18:36:00.001+02:00

... c'est comme du Bit Torrent qui passerait via TOR. Je n'ai pas encore testé, mais ça peut être intéressant.

l'UMP et le piratage (ah ah)

2009-03-04T11:01:00.003+02:00

Là encore, la lecture des commentaires est assez amusante (non, je n'ai volontairement pas posté un lien vers un article de libé ou du monde parlant de la même chose, car là bas, les commentaires sont vraiment pourris). Puis j'ai plusieurs jours de /. en retard.

Transfert de fichiers

2009-03-03T17:42:00.003+02:00

En me rappellant le "peer to peer" de ma jeunesse, enfin quand j'étais au collège puis au lycée, je me suis demandé comment ce que "hadopi" aurait eu pour conséquences à cette époque là. On comptait sur *le* mec du collège/lycée qui avait un graveur de CD (à l'époque où ça coutait 3000 francs pour avoir les premiers prix qui gravaient à 2x/4x et pour lesquels il fallait absolument pas trop solliciter la machine pendant le processus de gravure qui durait entre une demi heure et une heure) ainsi qu'une connexion internet (pour moi qui viens d'une ville moyenne, celui qui vivait à Aix-en-Provence et qui avait la chance d'avoir une connexion cablée était considéré comme un demi-dieu) pour nous filer un cd rempli de jeux et de goodies (histoire de pas gacher les quelques Mo dont on disposait sur un CD sur lequel on nous avait gravé un jeu "rippé" (dont on a extrait les composantes inutiles au gameplay, typiquement les videos, la musique et la documentation).
A une autre époque, tout ça se faisait via échange de disquettes. D'ailleurs, c'est amusant de faire un parallèle entre l'échange de fichiers entre les gens, et les vecteurs de propagation des virus, même si conficker remet l'infection via media amovible au gout du jour (clés usb surtout).
Je me demande déjà quels seront les prochains vecteurs de propagation de virus.

Je pense que là, il est temps de s'arrêter

2009-02-25T19:43:00.003+02:00

Un post de Bruno Kerouanton sur son blog qui reprend la dernière grande nouveauté de nos très chers élus. La fin, sur l'interopérabilité, ne fait que nous rappeller que nos élus sont un tout petit peu à côté de la plaque. La première partie, et les interrogations relatives au fonctionnement d'un tel outil (genre s'il pourra différencier une iso debian d'autre chose, etc) me fait sombrement marrer, en fait j'ai un peu l'impression que nos élus croient que tout ce qu'ils ont pu voir au ciné dans des films avec des ordinateurs est possible. Alors que d'un point de vue faisabilité, c'est pas si évident que ça (d'où la question sur la possibilité de détecter les malwares si ce soft est si bien que ça).
Remarquez que pour eux, quand un mec pirate un serveur du pentagone ça se passe toujours avec des fenêtres en 3D qui vibrent dans tous les sens au milieu de bipbipip incessants, le tout sur fond de musique électronique illégalement téléchargée sur Internet.
Changeons vite de pays.

Faites ce que je dis, pas ce que je fais

2009-02-20T15:27:00.001+02:00

Là.

Exemple d'usage abusif du mot "hacker"

2009-02-17T10:53:00.000+02:00

Dans cet article...

ph41l

2009-02-12T15:37:00.000+02:00

Epic fail.

lulz @blackberries

2009-02-11T22:27:00.004+02:00

Dans le genre loliez@tech, y'a aussi ce genre de perles:

"les e-mails du président seront conçus pour être impossible à forwarder (faire suivre)."

Impressionnant. Sauf que je vois pas comment. Enfin, un truc doit m'échapper. Soit les destinataires des e-mails devront utiliser un client mail différent qui gère un attribut spécial dans les headers du mail reçu faisant qu'il n'est pas forwardable directement, soit il y a dans la RFC des mails (alors, allez savoir laquelle hein) un truc standard permettant cela, mais que je ne connais pas. Dans les deux cas, j'avoue que j'ai du mal à percevoir une quelconque difficulté à copier l'intégralité du mail pour le retransmettre. Et même si on suppose qu'un truc technique m'échappe à ce sujet (ce qui n'est pas improbable, on en apprend tous les jours) et que ça soit possible, qu'est ce qui empêche un mec ayant reçu ce mail de le recopier (pas via un copy/paste, mais le reécrire) et de le balancer à tous ses contacts et leur demander de le renvoyer à leur tour à chacun de leurs contacts ? ah non, en général ils envoient à des journalistes les gens, dans des cas comme ça. Non vraiment, si quelqu'un a une idée, qu'il n'hésite pas à me contacter.

D'ailleurs tout ça me fait penser au client pgp que j'ai testé sur mon blackberry. En gros, il y a deux types de solutions PGP pour BlackBerry. La première vient directement de PGP corp. et s'intègre sur le BES (et a probablement des backdoors, mais ça, on n'en parle pas). Le BES pour ceux qui connaissent pas, c'est le serveur qui coute plus ou moins cher, acheté par une entreprise, et qui se synchronise avec son serveur de mails pour balancer ses mails sur les téléphones des employés équipés de BlackBerries (c'est grossièrement résumé, mais Google est là pour ceux qui veulent des détails croustillants). Le service PGP hébergé dessus possède toutes les clés de chiffrement/déchiffrement, donc l'opération correspondante est effectuée sur le serveur d'entreprise, et non pas sur le téléphone (la liaison entre le téléphone et le BES est sensée être sécurisée par de l'AES-256). En gros les mails arrivent en clair sur le téléphone (mais transitent sur une liaison sécurisée).

Le second type de solution, que j'ai testée cette fois ci (il en existe une seule solution logicielle, contrairement à la précédente pour laquelle il en existe au moins deux) s'installe sur le téléphone et se greffe au client mail blackberry. Et là, bon à priori d'après le contrat de licence (EULA / CLUF, enfin le truc que personne ne lit) je n'ai pas le droit de balancer de benchmarks à moins d'en avoir la permission écrite, mais en gros, déchiffrer un mail chiffré avec une clé publique de 4096 bits (oui bon ok, à quoi ça sert alors qu'on a pas officiellement encore cracké de RSA 1024, juste du 1023 dont la partie privée était facilement factorisable, mais passons) donc j'en étais où ? ah oui, pour déchiffrer un mail chiffré ainsi, il a fallu pas moins de 6 minutes à mon téléphone pour finir. Alors pas moyen de savoir si c'est le CPU qui tourne là dedans qui est vraiment à chier, ou si c'est mon appli pgp qui est mal codée, mais pour un soft à 50 $ canadiens, ça fait quand même mal. Autant dire que c'est pas vraiment utilisable. Mais je comprends mieux pourquoi la solution de PGP est de tout faire sur le serveur d'entreprise, qui est beaucoup plus performant qu'un téléphone pour faire ça (je sais pas vous, mais quand je reçois un mail chiffré avec ma clé à 4096 bits, sur mon pc c'est quasi instantané, en temps humain)

Bon ensuite de toutes façons, sur la seule boite mail que j'ai configurée pour le moment dessus, il n'y a que ma boite générale personnelle sur laquelle je reçois les mailing-lists auxquelles je me suis inscrit, et dont les gens ne chiffrent pas les mails, les newsletters diverses et variées, qui ne sont pas non plus chiffrées, etc.

Le meurtrier qui utilisait Google

2009-02-11T16:03:00.003+02:00

Je viens de tomber sur cet article, qui parle de l'utilisation de l'historique des recherches Google comme preuves dans une affaire criminelle. Ce qui est amusant dans cette histoire, c'est que c'est l'historique de ce monsieur qui à priori l'a trahi:

A physical search of Justin's computer revealed that a few months before the murder, he had searched for terms including "trauma, cases, gunshot, right chest" and "Florida & divorce."

So far these cases appear to have involved police physically seizing a suspect's computer and poring over its Web browser history. The other way for prosecutors or defense attorneys to find search terms is to send subpoenas to Google, Microsoft, Yahoo, or AOL (something that the major search companies say they can provide if legally obligated).

A croire que l'effacement des données n'est pas encore donné à tout le monde. Enfin dans ce cas là tant mieux, ça aura permis de trouver le responsable. S'il avait été un minimum malin il aurait fait sa recherche avec une ip différente de la sienne (tor / wardriving / lol) sans utiliser son compte google et aurait effacé son historique local (parce que bon, l'historique google, j'y crois pas trop à la possibilité de l'effacer aussi simplement), avec peut etre un petit bzero de l'espace disque libre.

L'informatique technico légale, y'a de l'avenir là dedans.

Musings of a CSM

Ça c est de la correction

Le "geek", danger public

Hack GMail : la galère

Ohnoes, c'est encore la fin du monde...

Yet another SSL fail

Pourquoi les DRM sont l'avenir de l'humanité

Sony et le PCI-DSS

IBM Black Team

La sécurité du blackberry compromise ?

Vive BlackBerry Protect

Test du Fnac Book

"Heyday of Piracy" Is Over

Geekism: Parrot A.R Drone

Book Review: Chaines d'exploits

PlayStation 3 - le Hack

La réaction (un peu) con qui tue du jour

We are anonymous...

Fail by design

Souvenirs d'il y a 10 ans

epic lulz du matin

SSTIC 2010

iPhone fail

La crypto dans la vie de tous les jours

Swordfish

Playing in a Satellite Environment 1.2

La fin d'une époque

They did it for teh lulz

J'ai sûrement zappé un truc

Un NAS que je déconseille: Freecom Network Media Center

lecture de logs

gmail security (suite)

loppsi

hacking PSP et chinois du FBI

le hacker qui participait au tour de france

Dante's Inferno PS3

Pensées du jour

moar gmail security

Factorisation d'une clé RSA de 768 bits

Invitations GoogleWave

Kraftwerk - Radioactivity

Old school exploit

Obvious fail is obvious

Fedora 12 et séparation des privilèges

le worm de l'iphone

Le bon vieux temps

Idées de gens

review "Hacking: The Next Generation"

Chapter 1 Intelligence Gathering: Peering Through the Windows to Your Organization

Physical Security Engineering

Google Earth

Social Engineering Call Centers

Search Engine Hacking

Leveraging Social Networks

Tracking Employees

What Information Is Important?

Summary

Chapter 2 Inside-Out Attacks: The Attacker Is the Insider

Man on the Inside

Cross-Site Scripting (XSS)

Cross-Site Request Forgery (CSRF)

Content Ownership

Advanced Content Ownership Using GIFARs

Stealing Files from the Filesystem

Summary

Chapter 3 The Way It Works: There Is No Patch

Exploiting Telnet and FTP

Abusing SMTP

Abusing ARP

Summary

Chapter 4 Blended Threats: When Applications Exploit Each Other

Application Protocol Handlers

Blended Attacks

Finding Blended Threats

Summary

Chapter 5 Cloud Insecurity: Sharing the Cloud with Your Enemy

What Changes in the Cloud

Attacks Against the Cloud

Summary

Chapter 6 Abusing Mobile Devices: Targeting Your Mobile Workforce