yep
est avec nous depuis le 4 octobre 2014 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
17 commentaires
Quand un trou noir se « cache » dans un amas d’étoiles d’une autre galaxie
Le 22/11/2021Le 22/11/2021 à 07h 50
Bonjour,
Je pense qu’il serait intéressant d’indiquer que l’image du titre est une vue d’artiste et non pas la photo du fameux trou noir.
En tout cas, merci pour l’article !
Phrases de passe : l’ANSSI passe en mode 2.0
Le 15/10/2021Le 15/10/2021 à 08h 32
Au boulot ils ont activé Windows Hello, mais on n’arrive pas a enlever le code PIN. C’est le seul moyen qu’il n’est pas possible de supprimer, c’est une aberration complète.
En plus, de base, le code PIN demandé est de seulement 6 chiffres.
Résultat, si on veut se connecter au PC d’un collègue, il suffit de regarder son clavier lorsqu’il déverrouille son ordi et le tour est joué.
Comme la création du code PIN est obligatoire, même l’admin qui vient se connecter sur la machine pour résoudre un problème doit créer un PIN pour son compte, compte qui aura les droits admin.
On a fait le test, le PIN est bien unique (=valable uniquement sur la machine et ne peut pas être réutiliser ailleurs sauf si l’admin utilise le même PIN sur différentes machines), mais du coup il est super simple de se connecter avec un compte admin et ensuite de faire ce que l’on veut sur la machine.
Perso, j’ai vu qu’il y avait un bouton pour demander à mettre autre chose que des chiffres, j’ai donc créé un PIN impossible à mémoriser (35 caractères générés par keepass) et je n’utilise pas le PIN pour me connecter.
Si quelqu’un sait comment bannir le code PIN de Windows Hello, je suis preneur!
NVMe/TCP : partagez vos SSD depuis Ubuntu Server, notre script pour vous y aider
Le 21/09/2021Le 22/09/2021 à 06h 16
Est-ce qu’il existe des mécanismes de sécurité (mot de passe, chiffrement de la communication par TLS avec authentification mutuelle…) sur ce protocole ?
Ou doit-on encapsuler le flux dans un tunnel TLS, SSH… ?
Merci!
Concours GeForce RTX 3060 Ti : et le gagnant est…
Le 27/09/2021Le 15/09/2021 à 14h 38
Chiffrement et sécurité dans tous leurs états, du WEP à la distribution quantique de clés
Le 03/04/2020Le 03/04/2020 à 18h 22
Bonjour,
Je pense qu’il y a une petite inversion:
Utiliser des clés symétriques de 4 096 bits et asymétriques de 256 bits est chose aisée aujourd’hui
Les clés 4096 bits sont généralement des clés asymétriques (RSA) et 256 bits symétriques (AES)
Dans les algorithmes asymétriques, on peut parler des courbes elliptiques (EC) qui sont plus robustes que RSA pour les ordinateurs normaux et donc permettent l’utilisation de clés bien plus petites (256-521 bits en EC contre 2048-15360 pour RSA), mais est plus sensible que RSA aux attaques par ordinateurs quantiques.
https://www.ssl2buy.com/wiki/rsa-vs-ecc-which-is-better-algorithm-for-security
https://en.wikipedia.org/wiki/Elliptic-curve_cryptography#Quantum_computing_atta…
Aujourd’hui, beaucoup de certificats sont en courbes elliptiques (comme celui de NextINpact) ce qui posera sûrement des problèmes quand les ordinateurs quantiques seront plus puissants.
Certificats SSL gratuits : Let’s Encrypt avance bien, une bêta publique le mois prochain
Le 22/10/2015Le 23/10/2015 à 06h 48
Moi ce qui me chagrine avec les certificats reconnus et gratuits c’est que souvent l’authenticité du demandeur n’est pas vérifiée. Du coup, il est possible de faire un certificat pour un site de fishing.
Parmi les personnes navigant sur internet, combien vérifient que le certificat a été émis par la bonne autorité et au bon site? La plupart des personnes font confiance au petit cadenas du navigateur…
Quand vous êtes connecté sur google, vous regardez que le certificat est bien émis par GeoTrust et non pas par StartSSL ou une autre autorité?
A côté de ça, je trouve que c’est super de pouvoir posséder un certificat pour son petit serveur ou son site web…
La sécurité c’est jamais simple…
Les détails d’une importante faille USB sont désormais publics
Le 04/10/2014Le 08/10/2014 à 04h 12
Le 08/10/2014 à 04h 11
Le 08/10/2014 à 04h 09
Le 06/10/2014 à 21h 57
Le 05/10/2014 à 21h 58
Le 05/10/2014 à 21h 42
Le 04/10/2014 à 22h 17
Le 04/10/2014 à 15h 36
Le 04/10/2014 à 14h 35
Le 04/10/2014 à 12h 42
Le 04/10/2014 à 12h 27
De ce que j’en ai compris, le problème principal vient du fait que l’on puisse mettre à jour le firmware (FW) d’un périphérique USB sans que celui-ci ne vérifie l’auteur du FW.
Pour mettre à jour un FW, il faut généralement passer par un bootloader qui est inclus dans le périphérique qui permet de charger ce FW. C’est au bootloader du vérifier la signature du FW et de décider ou non de le sauvegarder. Une fois sauvegardé, ce FW va être exécuté sur le périphérique USB.
A partir de là, il est possible de faire “ce qu’on veut” avec le périphérique USB. On peut faire en sorte qu’il s’énumère comme un clavier, une clé USB, une carte réseau, une webcam ou ne ne sais quoi.
L’exploitation est, à mon avis, plus compliquée puisque un périphérique USB n’exécute pas de code sur la machine à laquelle il est branché.
On peut donc imaginer plusieurs vecteurs d’attaque:
1. émuler une clé USB pour que le système boot dessus et ainsi installer un virus ==> pas besoin de bidouiller le FW du périphérique, on peut le faire avec une simple clé USB. L’avantage de le faire en trafiquant le FW c’est d’être “clean” au branchement et lorsque le PC redémarre, monter la partition avec le virus . La parade est super simple: désactiver le boot sur USB, ce qui, au passage est fortement recommandé.
2. émuler un périphérique USB dont on connait les failles de sécurité du driver installé sur la machine. On pourra essayer de faire des débordement de mémoire et exécuter du code aléatoire sur la machine. Une mise à jour du driver pourra corriger le problème s’il est connu. Cette attaque est donc liée à un système d’exploitation, Windows, Linux et MacOS n’ayant pas les mêmes driver…
3. émuler des périphériques et essayer de glaner des informations.
Cela peut se faire en se déclarant comme une carte réseau et essayer de re-router le trafic réseau vers nous. Je ne m’y connais pas trop en réseau, donc je ne sais pas ce qu’il est possible de faire, mais je pense que si le trafic est redirigé vers cette carte factice, il y a de forte chance que le réseau ne marche plus (à moins de pouvoir forcer les paquets à passer par la carte réseau factice puis de les renvoyer vers la carte réseau légitime… j’ai du mal à voir comment faire… mais pourquoi pas…)
On peut aussi se faire passer pour un clavier et entrer des commandes, comme par exemple lancer une console DOS, aller télécharger un virus sur internet toujours en commande dos puis l’exécuter. Cette attaque est plutôt visible car la fenêtre dos est visible et si jamais le périphérique USB infecté effectue cette manipulation alors que vous être en train de rédiger votre rapport sur votre éditeur de texte favoris, alors tout tombe à l’eau.
Cette attaque par clavier factice tombe aussi à l’eau si vous branchez le périphérique USB alors que la session est verrouillée… puisqu’il faut entrer le mot de passe de la session pour pouvoir faire quelque chose.
En plus l’execution d’un virus sera surement détecté par votre anti-virus.
On peut aussi se déclarer en périphérique composite (plusieurs “périphériques” dans 1), comme un clavier + une carte réseau + une clé USB + … Pareil, l’attaque est assez compliqué car il faudra faire en sorte que tout soit bien synchro pour attaquer le PC et espérer faire quelque chose.
Il faut aussi prendre conscience que généralement les mémoires embarquées dans les périphériques sont réduites au minimum. Donc une souris avec ses quelques ko de flash aura du mal à sauvegarder 3 jours de trafic réseau. C’est pour cela que les clés USB (stockage de masse) sont les plus sujet aux attaques car il est possible de sauvegarder beaucoup plus de données.
Une parade à tout cela serait que le système affiche lors du branchement d’un périphérique USB ce à quoi il sert et demande à l’utilisateur de valider. Ainsi, si vous branchez une clé USB (stockage de masse) et que celle-ci se déclare comme un stockage de masse et un clavier ==> vous refusez. Idem si la clé USB se déclare comme une carte réseau…
Reste le problème du démarrage… il faudra bien autoriser au moins un clavier et une souris pour permettre à l’utiliser de valider les autres périphériques…
L’autre parade est de bien regarder ce que votre système vous dit lorsque vous branchez votre périphérique…