Mon Dieu... Je regardais le code source de la page de login d'un site (dont l'absence de design en disait long) et je suis tombé sur une perle...

Déjà, je trouvais bizarre qu'il y ait une réimplémentation de MD5 en JS (seul code présent, d'ailleurs). Enfin soit, pourquoi pas, ça peut se justifier !

Je présentais un truc horrible et, malheureusement, mes craintes se sont trouvées fondées lorsque je suis tombé sur cette ligne (un peu modifiée pour des raisons de confidentialité et pour mieux y voir) :

<input name="login" type="submit" value="ENTRER" onClick="password.value = md5(md5(password.value) + 35755);">

Oui, regardez bien le code JS implémenté dans l'événement onClick : password.value = md5(md5(password.value) + 35755);

Visiblement, quelqu'un s'est renseigné sur comment sécuriser ses mots de passe, mais sans rien y comprendre au final oO

Ici, il fait un double hash MD5 du mot de passe (avec un sel)... c'est bien... mais du côté client !

Au final, ce hash sera envoyé au serveur et comparé tel quel avec celui stocké en BDD. Il est où l'intérêt ? Autant envoyer le mot de passe directement et le stocker en clair dans la BDD !

Évidemment, la connexion n'est pas sécurisée...

Analyse de l'algorithme d'authentification MS-CHAPv2 pour les tunnels PPTP (VPN).

Il y a aussi cette page sur le sujet : https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/

Ah, je ne savais pas que le code d'OpenSSL était si terrible que cela oO

Récemment, CAcert (une autorité de certification qui distribue des certificats SSL/TLS gratuits) a été retirée de nombreuses distributions Linux (dont Debian).

Pourquoi ? Un sombre complot des autorités payantes ?

Non, car cette organisation n'est pas sûre : ils échouent à tous les audits de sécurité imposés (y compris ceux de Mozilla).

Bref, ils ne font pas les choses sérieusement et ne peuvent pas être considérés comme fiables.

Ah oui tiens, l'option est apparue dans mon smartphone aussi. On verra si elle fait son office... et ne bloquera pas les applications jugées "indésirables" par Google, mais qui ne le sont pas !

Contrairement à ce que j'avais dit maladroitement, la faille Heartbleed est non seulement exploitée, mais permet de récupérer la clé privée du serveur ! Avec la clé privée en main, vous pouvez décoder TOUTES les trames émises précédemment, ainsi que celles actuelles et futures (sauf si la clé est changée entre temps).

Donc la faille a des conséquences désastreuses pour la sécurité : mettre à jour la bibliothèque OpenSSL ne suffit pas, il faut également révoquer ses anciennes clés et en générer de nouvelles !

Voici quelques liens pour étayer mes propos :

• https://www.cloudflarechallenge.com/heartbleed ;
• http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge ;
• https://news.ycombinator.com/item?id=7576389

Merci à Pierre, un lecteur assidu, de m'avoir signalé ce fait et pour les liens ;)

Très intéressantes ces recommandations de sécurité pour les programmes Android.

Via : http://sebsauvage.net/links/?37ZmLQ

Du gros n'importe quoi -_-

Certes, de voir apparaître des "torchons" dans cet article ne m'étonnent pas, mais de voir Zataz se tromper ainsi !

Et pour mettre un court à certaines peurs, je cite : "Certes, le bug est critique, mais récupérer des informations à partir de celui-ci n'est pas trivial : elles doivent être en mémoire. Si je ne me suis pas connecté à un site depuis un moment, il est assez peu probable qu'un attaquant potentiel ait pu récupérer quoi que ce soit."

Pour tester si un site particulier est vulnérable à la faille HeartBleed (faille dans certaines versions d'OpenSSL).

Bien, je constate que ma banque ni mon école ne sont impactés, c'est déjà ça.

Lis bien l'article Timo : c'est en fait un consultant qui travaille, entre autres, pour Mozilla et non la fondation elle-même ! Encore un titre trompeur pour attirer les chalants. C'est regrettable.

Ouh, violent comme faille ! Et ça touche tous les systèmes Windows depuis XP (y compris les versions serveurs) !

Ah ouf, j'ai eu le patch de sécurité !

A lire avec celui-ci : http://yorickpeterse.com/articles/use-bcrypt-fool/

Il semblerait que la seule façon sécurisée et pérenne de stocker des mots de passe en base de données soit d'utiliser la fonction bcrypt (très lente - c'est le but - et utilise l'algorithme de chiffrement éprouvé Blowfish).

Oubliez ce que vous avez appris avec les sels, les fonctions de hashage et les itérations : elles ne font plus suffisamment le poids à l'heure actuelle face à la puissance des machines et des GPU (sans compter les fermes de calcul spécialement dédiées à cet effet).

Lisez les articles, ils sont bien faits ;)

Une fois de plus, on ne s'improvise pas expert en sécurité...

Bon à savoir : il est possible de créer une entrée spéciale dans un DNS pour indiquer où se trouve votre clé publique PGP/GPG !

Cela permet ensuite au programme de vos contacts de retrouver automatiquement votre clé sans qu'elle soit présente sur un serveur de clé !

Je ne sais pas si la découverte automatique des clés se fait dans tous les programmes par contre...

TL;DR

L'importance de mettre une date d'expiration sur les clés PGP/GPG.

Ah ! C'est de nouveau open-bar chez les fabricants de matériel réseau ><

En plus, j'ai un des appareils listés, oups ! Va falloir que je teste...

Bof, aucun intérêt (vu le prix : 50 € le lot de 10 DVD)...

Comme ils disent, autant prendre un container TrueCrypt et le graver, au moins on est sûrs du résultat et ça ne coûte pas plus cher (en plus d'être multiplateforme) !

Tu m'étonnes ! Vu ce qu'il est censé pouvoir faire... Pour l'instant, ça ressemble plus à un FUD qu'autre chose.

Un chat sécurisé créé par un jeune informaticien suisse. Selon les affirmations du site, la durée de rétention des données dans la BDD est d'une seconde et demie (?!). A voir.

(On dit "chiffrement", pas "cryptage", rahhhh)

Intéressant : une des rares interviews existantes d'Ennead (un des développeurs de TrueCrypt).

Ce qu'il faut savoir, c'est que les créateurs de TrueCrypt savent se faire très discrets. Une telle interview est inespérée !

Un employé de la NSA abuse de ses privilèges pour espionner en toute illégalité 9 femmes pendant 6 ans.

Comme dit le premier commentaire : « Mais non, il n'y a aucune raison qu'on s'intéresse à moi, je ne suis pas un terroriste, je n'ai rien à cacher »

Oui, mais voilà : ce sont des êtres humains aux commandes. Donc faillibles, prompts à faire des conneries et à abuser de leur pouvoir pour des intérêts personnels.