Je partage ici pour tous nos amis français qui doivent installer un détecteur de fumée dans leur logement.

Un bon petit dossier de Clubic pour faire le point.

TL;DR : Un billet très intéressant d'Eric Lippert (développeur principal de l'équipe en charge du compilateur C#) concernant la cryptographie et le secret des clés. Car ce qui importe dans un algo de chiffrement pour qu'il soit sécurisé, c'est de gérer correctement les clés et les garder secrètes. Tout le reste doit être connu et ouvert, comme on le dit sans cesse !

Je suis pas mal les projets que présentent les utilisateurs sur Openclassrooms. Parfois il y a des perles et d'autres... on ne sait pas trop quoi en penser, comme ici.

Cet utilisateur propose sa solution de sécurité (antivirus) : Tiranium Internet Security. Déjà au premier abord, on ne peut qu'être méfiant, car les faux antivirus sont légion. Et un projet pareil, pour être efficace et fonctionnel, doit avoir des spécialistes et une équipe qui suit 24/7 les menaces sur le web. Bref, loin de portée d'un utilisateur lambda ou d'une petite équipe de potes...

Évidemment, il promet monts et merveilles, des algorithmes infaillibles, et tout le bullshit habituel qu'on peut entendre (baratin marketing). Bon, pourquoi pas après tout ?

Petite précision, je n'ai pas encore pu tester (en VM, bien entendu).

Sauf qu'il n'existe pas, à ma connaissance, de tests reconnus qui démontrent le sérieux de cet antivirus. Les rares qui sont disponibles puent à dix kilomètres (une obscure chaîne YouTube dont les seules vidéos sont pour démontrer la prétendue efficacité de ce logiciel, par exemple). Sans compter qu'une adresse officielle en GMail, c'est moyen niveau crédibilité...

Ensuite, certains utilisateurs semblent avoir rencontrés des problèmes sérieux (ralentissements, impossibilité de désinstaller, inefficacité de la solution, etc). Ce message est le plus flagrant : http://fr.openclassrooms.com/forum/sujet/logiciel-tiranium-internet-security?page=2#message-86811517

Il fait état d'un tel ralentissement que le test EICAR n'est détecté qu'au dixième lancement (!), un trojan n'a été détecté que 15 minutes plus tard (!), rien n'est réglable, les performances de la machine sont fortement impactées et il y a un fort trafic réseau (envoi de fichiers) ! Oui, parce que tout ou presque se fait en ligne en fait (cloud computing). Le vol de données est par conséquent possible et imaginable...

Il faudrait attendre des expertises plus poussées et de vrais tests sérieux (Malekal ?) pour pouvoir trancher s'il s'agit d'un projet sérieux et honnête, mais pas encore mature, ou d'une arnaque de plus. Qu'en pensez-vous ?

On ne le dira jamais assez...

À tester...

Un team (suisse) a mis en place un site pour se fédérer autour de Truecrypt et proposer de continuer le projet au cas où il serait mort...

Prudence toutefois : rien ne dit pour l'instant que ceux derrière le site sont fiables !

Dans leurs arguments, le seul point qui me fait tiquer, c'est la mention comme quoi les membres de la team ne seront pas anonymes : c'est honorable, mais dangereux. Le point fort de Truecrypt, c'était justement l'anonymat du développeur qui ne pouvait ainsi pas subir de pressions (jusqu'à maintenant ?).

Si les membres sont connus, rien ne dit qu'ils ne vont pas être manipulés et "contraints" de fragiliser l'implémentation de TC ou y intégrer une backdoor.

À suivre...

Au passage, cette histoire avec TC pue à des kilomètres. Plusieurs théories s'affrontent mais une chose demeure : personne ne croit à la version "officielle". En attendant, je conseille de garder la dernière version fiable (7.1a) qui est encore sûre jusqu'à preuves du contraire !

Computrace, un mouchard présent sur quantité d'ordinateurs (portables ?), non détectés par les antivirus, non supprimable car situé dans une partie non modifiable du BIOS et auto installable sur l'OS ! Cerise sur le gâteau : il fait du trafic réseau et ralenti la machine... En plus, le trafic n'est même pas chiffré, ainsi n'importe qui peut se faire passer pour les serveurs légitimes !

Existe aussi en version mobile. Encore une backdoor installée sous couvert de "sécurité"...

Mon Dieu... Je regardais le code source de la page de login d'un site (dont l'absence de design en disait long) et je suis tombé sur une perle...

Déjà, je trouvais bizarre qu'il y ait une réimplémentation de MD5 en JS (seul code présent, d'ailleurs). Enfin soit, pourquoi pas, ça peut se justifier !

Je présentais un truc horrible et, malheureusement, mes craintes se sont trouvées fondées lorsque je suis tombé sur cette ligne (un peu modifiée pour des raisons de confidentialité et pour mieux y voir) :

<input name="login" type="submit" value="ENTRER" onClick="password.value = md5(md5(password.value) + 35755);">

Oui, regardez bien le code JS implémenté dans l'événement onClick : password.value = md5(md5(password.value) + 35755);

Visiblement, quelqu'un s'est renseigné sur comment sécuriser ses mots de passe, mais sans rien y comprendre au final oO

Ici, il fait un double hash MD5 du mot de passe (avec un sel)... c'est bien... mais du côté client !

Au final, ce hash sera envoyé au serveur et comparé tel quel avec celui stocké en BDD. Il est où l'intérêt ? Autant envoyer le mot de passe directement et le stocker en clair dans la BDD !

Évidemment, la connexion n'est pas sécurisée...

Ah, je ne savais pas que le code d'OpenSSL était si terrible que cela oO