La sécurité informatique vulgarisée ... Par un mec vulgaire

peezee, C'est bien ce qu'il me semblait.

Betsamee, Je parlais en effet sur d'aléatoire informatique. Et que tout aléatoire qu'il est il sera généré par la machine et donc modifiable/contournable par un tiers.

et je rentrerais pas ici dans les problematiques de Power Analysis, ou les gars sont capables de reverse-engineerer un circuit rien qu'en mesurant la consommation de power).

J'ai fait pas mal d'électronique dans ma life (euphémisme ^^), je veux bien croire qu'il soit possible de reverse engineerer un sous-ensemble pas trop complexe - et encore en connaissant déjà sa structure de base - rien qu'en analysant sa réponse en consommation vs input signal, mais au-delà de ça je serais curieux de voir ce qui peut vraiment être fait dans ce domaine. A mon avis cela n'est possible que par "niche" et pas en général, sinon ça revient à peu près à dire que tu peux donner les noms, prénoms et adresses des gens qui ont été invités à une soirée rien qu'en comptant le nombre de bouteilles vidées pendant la soirée...

peezee, pas reverse analyser tout le circuit evidemment, mais j'ai fait repeter deux fois le mec tant ca me semble impensable mais il m'a dit que des types avaient ete capables d'extraire une cle RSA par analyse du power consumption (si ca te botte je te conseille de wikipedier SPA (simple power analysis) et DPA (differential power analysis).

Et je te raconte pas les autres exploits de fou niveau hardware qu'ils ont presente (fault attacks par exemple)

Le coup du timing, ça marche pour un cryptage réalisé lettre à lettre (j'ai tout oublié du peu que j'ai su en crypto, mais il me semblait qu'on avait abandonné ce genre de trucs depuis longtemps). Si c'est le mot de passe en entier qui est modifié par le cryptage, le temps de réponse négative ne dira rien sur le nombre de lettres correctes, et encore moins sur leur place. Il suffit de prendre un codage tel que la proximité des mots codés soit à peu près indépendante de celle des mots entrés.

Bets', Oki là c'est déjà plus crédible, mm si j'imagine que ça doit être putain de sophistiqué comme analyse...!!

Le coup du timing, ça marche pour un cryptage réalisé lettre à lettre (j'ai tout oublié du peu que j'ai su en crypto, mais il me semblait qu'on avait abandonné ce genre de trucs depuis longtemps). Si c'est le mot de passe en entier qui est modifié par le cryptage, le temps de réponse négative ne dira rien sur le nombre de lettres correctes, et encore moins sur leur place. Il suffit de prendre un codage tel que la proximité des mots codés soit à peu près indépendante de celle des mots entrés.

Evidemment, mais le je ne parle pas de crypto (comme ennonce au debut du post) mais de mot de passe simple.

Les mots de passe devraient être cryptés.

Les mots de passe devraient être cryptés.

Effectivement, si l'on verifie un hash du mot de passe et non le mot de passe lui meme (comme ca doit se faire logiquement) cette faiblesse n'est plus presente.

Et cryptage != hashage

On en revient toujours au même point : il faut légaliser le hash.

tout a fait

Bon ça freeze par ici...

Etant branché méca quantique en ce moment (vais p-ê ouvrir un topac sur le sujet, mm si je préfèrerais qu'un autre s'y colle pour changer un peu ^^), je vois qu'il y a une branche qui s'occupe de cryptographie quantique. Tu pourrais nous en toucher qq mots steup ?

connais pas

vais me renseigner, je suis en train d'en chier grave avec les maths de crypto ...

Les courbes elliptiques, c'est pas pour les paydays.

En maths j'en suis clairement un, il va falloir que je considere pas mal de trucs comme des "boites noires".

Ca fait deux semaines que j'ai replongé dans l'algebre lineaire , le calcul modulaire et toutes ces merdes, j'en vomit de degout, je suis en train de faire face aux limites d'abstraction que mon cerveau peut ingurgiter.

Reprendre les etudes a mon age, c'est un challenge ...

il va falloir que je considere pas mal de trucs comme des "boites noires".

C'est le point, àmha. Comprendre ce que tu dois comprendre pour ce que tu dois faire et bien cerner des boites noires, les trucs complexes dans lesquels il n'est pas indispensable d'entrer, mais dont tu dois avoir compris le fonctionnement en entrée-sortie. Ce n'est pas évident.

pas evident du tout a faire ...

Oyé, oyé !

Je passe actuellement des entretiens en Belgique et notamment dans une entreprise qui propose des certificats SSL, pour la sécurité sur le WEB. Genre symantec-verisign.

Visiblement, j'ai tapé dans l’œil après un premier entretien.

Pour un 2ème tour, ils me demandent de présenter l'entreprise et de faire ... bah ... une présentation. Donc : auriez-vous des conseils, des choses à dire sur ce marché ? Qui sont les meilleurs, les moins bons pourquoi ?
En gros, voilà, suis preneur de toutes informations SANS trop rentrer dans la technique (que je ne connais pas).

Cimer

Dis leur que ce serait plus simple si tout le monde avait des macs