La sécurité informatique vulgarisée ... Par un mec vulgaire

Débats, partage et délires en tout genre. C'est une tradition maintenant...

Modérateur: Modérateurs

Retourner vers Le Café



Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar sillicate » 21 Déc 2012, 12:50

Les codages simples, on en utilisait aux scouts. C'était marrant. Tu vas aussi nous expliquer les clés de cryptage 128bits et compagnies ?
regarde la localisation
Avatar de l’utilisateur
sillicate
Minet râle
Minet râle
 
Messages: 29824
Enregistré le: 07 Jan 2005, 16:54
Localisation: pizzeria

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar Betsamee » 21 Déc 2012, 12:57

sillicate, je vais tacher d'en expliquer ce que je comprend
"Mieux vaut consacrer son intelligence à des conneries, que sa connerie à des trucs intelligents"@ un mec bien!
Avatar de l’utilisateur
Betsamee
Jean jacte debout
Jean jacte debout
 
Messages: 69383
Enregistré le: 05 Jan 2003, 12:45
Localisation: Somewhere

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar killerdemars » 21 Déc 2012, 13:45

Betsamee, pas mal comme premier post, très intéressant (sans ironie). :wink:
"Bye bye les doubles comptes sont interdits". :ptdr:
Quel dommage que son copain soit arrivé à temps.
Avatar de l’utilisateur
killerdemars
Banni
Banni
 
Messages: 25879
Enregistré le: 16 Mai 2006, 09:25

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar Betsamee » 21 Déc 2012, 15:03

peezee a écrit:
FSNLT JXY ZSJ WFHQZWJ ZSJ XFQJYJ ZS UFWFXNYJ JY ZS UWTKNYJZW FSNLT JXY AWFNRJSY UFX HTTQ FSNLT JXY ZS HFHF

:arrow: Anigo est une ... (la flemme pour le reste :oops:)


EDITH : ah oualà j'ai trouvé un site qui bouge l'alphabet :

Spoiler: montrer
ANIGO EST UNE RACLURE UNE SALETE UN PARASITE ET UN PROFITEUR ANIGO EST VRAIMENT PAS COOL ANIGO EST UN CACA :mrgreen:

8)
"Mieux vaut consacrer son intelligence à des conneries, que sa connerie à des trucs intelligents"@ un mec bien!
Avatar de l’utilisateur
Betsamee
Jean jacte debout
Jean jacte debout
 
Messages: 69383
Enregistré le: 05 Jan 2003, 12:45
Localisation: Somewhere

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar Betsamee » 21 Déc 2012, 15:04

killerdemars a écrit:Betsamee, pas mal comme premier post, très intéressant (sans ironie). :wink:

Merci, content que ca ait pu interesser, j'essaierais de monter un peu le niveau au fur et a mesure, meme si je me reserve le droit de parler de securite sans forcement parler de crypographie
"Mieux vaut consacrer son intelligence à des conneries, que sa connerie à des trucs intelligents"@ un mec bien!
Avatar de l’utilisateur
Betsamee
Jean jacte debout
Jean jacte debout
 
Messages: 69383
Enregistré le: 05 Jan 2003, 12:45
Localisation: Somewhere

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar peezee » 21 Déc 2012, 15:07

Ouais d'ailleurs dès que c'est un peu plus compliqué y'a plus degun... :-^

viewtopic.php?p=2953540#p2953540


"Well done. Religion has just killed another person"@DrHouse
Avatar de l’utilisateur
peezee
Autiste Raide Dingue
Autiste Raide Dingue
 
Messages: 98036
Enregistré le: 03 Aoû 2003, 02:03
Localisation: MYOB

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar Garm » 21 Déc 2012, 15:42

Bonne idée ce topic. J'avais trouvé mes cours de cryto asymétriques vraiment intéressants/stimulants (alors qu'AES me donnait plutôt mal au crane), mais bon courage pour vulgariser :mrgreen:
*Vainqueur de la Champion's League OMlive 2014/2015* 8)
Il y a toujours un pied Ghanéen qui empêche les Allemands de trouver la solution finale. @ X. Gravelaine
Image
Avatar de l’utilisateur
Garm
Assidu
Assidu
 
Messages: 3773
Enregistré le: 24 Avr 2010, 20:15
Localisation: Helsinki

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar gaby » 21 Déc 2012, 16:39

Voici nos cours d'audit informatique de l'an dernier.

http://libpfb.so/uploads/media/Cours_Securite_MCCA_2012_2013.pdf

Vous y trouverez ce dont parlait Bets la page précédente (cryptographie...)
Avatar de l’utilisateur
gaby
Floodeur pro
Floodeur pro
 
Messages: 36007
Enregistré le: 12 Mai 2018, 20:31

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar niqos » 21 Déc 2012, 17:08

gaby, merci bien !
"La mort est une journée qui mérite d'être vécue"
Avatar de l’utilisateur
niqos
Floodeur pro
Floodeur pro
 
Messages: 20416
Enregistré le: 09 Fév 2006, 15:53
Localisation: Montpellier

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar Odd » 21 Déc 2012, 20:13

Intéressant comme topic.
Avatar de l’utilisateur
Odd
Floodeur pro
Floodeur pro
 
Messages: 35591
Enregistré le: 31 Mai 2006, 07:20
Localisation: DTC lulu

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar jod.ko » 21 Déc 2012, 21:36

True !


Jodko.
Il faut que cette jeunesse soit une jeunesse de révolution et non une jeunesse de révoltés.
Avatar de l’utilisateur
jod.ko
Pocket vil'
Pocket vil'
 
Messages: 21070
Enregistré le: 05 Jan 2005, 12:02

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar Betsamee » 22 Déc 2012, 16:37

Garm a écrit:Bonne idée ce topic. J'avais trouvé mes cours de cryto asymétriques vraiment intéressants/stimulants (alors qu'AES me donnait plutôt mal au crane), mais bon courage pour vulgariser :mrgreen:

Je te rassure tout de suite, je compte pas vulgariser AES, j'en suis pas capable
"Mieux vaut consacrer son intelligence à des conneries, que sa connerie à des trucs intelligents"@ un mec bien!
Avatar de l’utilisateur
Betsamee
Jean jacte debout
Jean jacte debout
 
Messages: 69383
Enregistré le: 05 Jan 2003, 12:45
Localisation: Somewhere

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar Betsamee » 28 Jan 2013, 12:55

Je reviendrais a la crypto un peu plus tard (je sors d'un séminaire de cryptographie passionnant ...) et vu que le sujet du topic est la sécurité informatique, je voulais vous présenter des attaques connues sur les mots de passes cette fois;

1) Attaques physiques

TODO

2) Attaques de timing

Essayez d'imaginer comment, si vous étiez un informaticien efficient, vous implementeriez (mettrez en oeuvre) un algorithme (logique du programme informatique) pour verifier un mot de passe entré par un utilisateur, de maniere efficace ?

La logique voudrait d'opérer de la sorte (pour économiser du temps de calcul inutile);


POUR CHAQUE CARACTERE DU MOT DE PASSE TAPE PAR L'UTILISATEUR
------SI LE CARACTERE #n EST EGAL A SON CORRESPONDANT #n DANS LE MOT DE PASSE A TROUVER
-------------ON CONTINUE LA COMPARAISON AVEC LE CARACTERE SUIVANT #n+1
------SINON
-------------C'EST LE MAUVAIS MOT DE PASSE FIN DE L'ALGORITHME


Disons que le mot de passe a trouver est "JOSEANIGOESTUNSACAMERDE" ?

Disons que l'utilisateur a essayé le mot de passe "DERUDA", a votre avis y a t'il besoin de comparer tous les caracteres pour arriver a la conclusion que ce n'est pas le bon mot de passe ?
Non , il suffit de remarquer que le premier "D" est different du premier "J" pour directement invalider le mot de passe "DERUDA" (temps de traitement tres court on tombe tout de suite dans le SINON).

Si par contre l'utilisateur avait essayé le mot de passe "JIMMYTRACTOR" le mot de passe n'aurait pu etre invalidé qu'a la comparaison du deuxieme caractere "I" vs "O".(temps de traitement court mais un peu moins, on ne tombe dans le SINON qu'a la deuxieme tentative).

Et ainsi de suite, si l'utilisateur avait entre "JOBELLO" , l'erreur n'aurait ete détectée qu'a la comparaison du troisieme caractere "B" vs "S".

Que ressort t'il de cela ? Plus le mot de passe est "ressemblant" , plus le temps de traitement est "long".

Donc en mesurant le temps de reponse pris pour chaque reponse , et en conservant le caractere de celui qui a pris le plus longtemps, on peut facilement trouver le mot de passe en un nombre de tentatives BIEN INFERIEUR a celui nécessaire si on voulait essayer tous les mots de passes possibles (force brute) jusqu'a tomber sur le bon.

Le principe dans bon nombre d'attaques est de limiter le champs de reponses a un nombre réalisable de maniere automatique, et la c'est exactement ce que l'on fait.

Avec cette methode pour trouver par exemple le mot de passe "4257" (juste numérique pour simplifier) prendrait un MAXIMUM de 10 + 10 + 10 +10 = 40 tentatives, alors que la force brute prendrait dans le pire des cas 10000 tentatives (en moyenne 5000).

Comment rémédier a cela?

On peut volontairement rendre l'algorithme moins efficace (on verra paradoxalement les algos efficaces sont souvent exploitables) en vérifiant a chaque fois TOUT les caracteres, meme si la comparaison échoue des le premier, de ce fait le temps de traitement sera toujours le meme, que le password soit tres loin ou tres proche du password a trouver.

3) Attaques de dictionnaires

TODO
"Mieux vaut consacrer son intelligence à des conneries, que sa connerie à des trucs intelligents"@ un mec bien!
Avatar de l’utilisateur
Betsamee
Jean jacte debout
Jean jacte debout
 
Messages: 69383
Enregistré le: 05 Jan 2003, 12:45
Localisation: Somewhere

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar peezee » 28 Jan 2013, 13:02

Le temps de réponse un chouïa variable (ping) entre un pc et un serveur distant doit brouiller un peu cette approche par timing, nan...? :-k (surtout vu que cette variation du "ping" est non négligeable vs le temps d'éxec de l'algo de vérif du passwd, voire lui est mm nettement supérieure, en gros tu as un rapport signal/bruit temporel inférieur à 1 quoi ^^)


"Well done. Religion has just killed another person"@DrHouse
Avatar de l’utilisateur
peezee
Autiste Raide Dingue
Autiste Raide Dingue
 
Messages: 98036
Enregistré le: 03 Aoû 2003, 02:03
Localisation: MYOB

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar sonny » 28 Jan 2013, 13:05

Betsamee, C'est possible pour un serveur (ou un PC) de différer aléatoirement la réponse au mot de passes ? (via un algorithme par exemple).
-Vainqueur Coupe Confédération 2009 / Coupe UEFA 2008, 2015 / CdF 2012 / L1 2014
-Finaliste Mondial 2010 / Euro 2008, 2016 / CdL 2010, 2011, 2015 / CdF 2009, 2013 / L2 2012 / TdC 2012
Avatar de l’utilisateur
sonny
Keep on Roolin' baby
Keep on Roolin' baby
 
Messages: 70727
Enregistré le: 19 Déc 2002, 20:50

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar gaby » 28 Jan 2013, 13:19

Betsamee, j'y connais absolument rien et j'ai trouvé ton post très intéressant mais 2 choses m'interpellent.

La première est sur le temps de réponse, qui doit se limiter à un interval temps faible donc difficile à analyser 2 situations differentes à mon sens et la seconde c'est que pour mettre en œuvre cette pratique de décryptage, cela suppose un débit de connections constant, non ?
Modifié en dernier par Anonymous le 28 Jan 2013, 13:24, modifié 1 fois.
Avatar de l’utilisateur
gaby
Floodeur pro
Floodeur pro
 
Messages: 36007
Enregistré le: 12 Mai 2018, 20:31

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar peezee » 28 Jan 2013, 13:21

sonny, cette "faille" est très simple à contourner, soit en forçant un temps de réponse aléatoire comme tu dis soit mm en forçant un temps de réponse fixe. En plus d'un point de vue exécution sur le serveur ça ne prendrait quasi aucune ressource supplémentaire niveau CPU vu qu'il suffit de mettre un "wait" (qui est géré par un timer côté serveur, et pas par des boucles cpu ^^) pour faire durer la validation du mdp jusqu'au temps fixe, fin bref rien de bien sérieux.


"Well done. Religion has just killed another person"@DrHouse
Avatar de l’utilisateur
peezee
Autiste Raide Dingue
Autiste Raide Dingue
 
Messages: 98036
Enregistré le: 03 Aoû 2003, 02:03
Localisation: MYOB

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar Betsamee » 28 Jan 2013, 13:25

peezee a écrit:Le temps de réponse un chouïa variable (ping) entre un pc et un serveur distant doit brouiller un peu cette approche par timing, nan...? :-k (surtout vu que cette variation du "ping" est non négligeable vs le temps d'éxec de l'algo de vérif du passwd, voire lui est mm nettement supérieure, en gros tu as un rapport signal/bruit temporel inférieur à 1 quoi ^^)

Ce que tu dis est vrai dans certains cas, ou la reponse met du temps a parvenir du serveur vers le client.

Met il reste de nombreux cas ou l'exploit reste possible;
- L'exploit est effectue en local sur le serveur (ca arrive souvent, par exemple si tu essaie de cracker un logiciel tournant sur ton pc).
- L'acces est dans le reseau local ou la latence reseau est quasi constante et le bruit s'annule.
- Le serveur te donne en cadeau "cette page a ete generee en X msecs" en bas de la page, ce qui n;est pas rare et correspond exactement au temps de traitement sur le serveur sans aucun bruit cause par le reseau.

sonny a écrit:Betsamee, C'est possible pour un serveur (ou un PC) de différer aléatoirement la réponse au mot de passes ? (via un algorithme par exemple).

C'est completement possible, c'est une solution parfois utilisée, mais avec précaution, l'aleatoire généré par un ordinateur est pseudo-aléatoire et est un faux ami.
"Mieux vaut consacrer son intelligence à des conneries, que sa connerie à des trucs intelligents"@ un mec bien!
Avatar de l’utilisateur
Betsamee
Jean jacte debout
Jean jacte debout
 
Messages: 69383
Enregistré le: 05 Jan 2003, 12:45
Localisation: Somewhere

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar Betsamee » 28 Jan 2013, 13:31

Mais ce qui est interessant c'est que cette methode peut etre extrapolée de maniere plus generale, si tu connais par exemple l'algorithme qui est utilisé dans un certain programme, et qu'a coup de tentatives et de mesures, tu arrive a isoler a quel moment tu te fais ejecter, tu peux deduire pas mal de choses sur le input que tu as rentre (pareil en electronique d'ailleurs, et je rentrerais pas ici dans les problematiques de Power Analysis, ou les gars sont capables de reverse-engineerer un circuit rien qu'en mesurant la consommation de power).
"Mieux vaut consacrer son intelligence à des conneries, que sa connerie à des trucs intelligents"@ un mec bien!
Avatar de l’utilisateur
Betsamee
Jean jacte debout
Jean jacte debout
 
Messages: 69383
Enregistré le: 05 Jan 2003, 12:45
Localisation: Somewhere

Re: La sécurité informatique vulgarisée ... Par un mec vulga

Messagepar Betsamee » 28 Jan 2013, 13:37

gaby a écrit:Betsamee, j'y connais absolument rien et j'ai trouvé ton post très intéressant mais 2 choses m'interpellent.

La première est sur le temps de réponse, qui doit se limiter à un interval temps faible donc difficile à analyser 2 situations differentes à mon sens et la seconde c'est que pour mettre en œuvre cette pratique de décryptage, cela suppose un débit de connections constant, non ?

J'ai en partie repondu plus haut , mais il faut bien savoir qu'en informatique tous les intervalles de temps, meme les plus faibles sont mesurables et quantifiables.
"Mieux vaut consacrer son intelligence à des conneries, que sa connerie à des trucs intelligents"@ un mec bien!
Avatar de l’utilisateur
Betsamee
Jean jacte debout
Jean jacte debout
 
Messages: 69383
Enregistré le: 05 Jan 2003, 12:45
Localisation: Somewhere

PrécédenteSuivante

Retourner vers Le Café

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 58 invités

cron