Si vous êtes une entreprise ou une association qui a parmi ses valeurs le respect de la vie privée et de la liberté sur Internet, j'ai une excellente nouvelle pour vous.
Le moteur de recherche européen QWANT lance en partenariat avec ma plateforme Européenne BountyFactory.io, un fond de 10 000 euros afin de vous aider à sécuriser votre site ou vos services.
L'objectif est d'aider à soutenir et faire progresser le respect de la vie privée sur Internet et d'améliorer la sécurité des entreprises, startups et associations pour qui ça compte, à travers le lancement d'un programme de bug bounty.
Article rédigé dans le cadre de la Hacker's Challenge et sponsorisé par Radware
On en parle un peu moins que les autres, et pourtant, elles existent bel et bien. Il s'agit comme vous avez pu le deviner en lisant le merveilleux titre de cet article, des attaques TLS/SSL !
Mais avant de rentrer dans le coeur du sujet, il faut bien garder à l'esprit que les protocoles TLS (Transport Layer Security) et SSL (Secure Socket Layer) sont d'abord là pour permettre un chiffrement de la connexion entre un client et un serveur. Donc par exemple (mais pas que) entre votre navigateur et le serveur qui héberge le site web que vous visitez. En chiffrant cette connexion, on s'assure ainsi qu'aucun tiers ne viendra lire ou modifier son contenu, ce qui est fort convenable surtout quand ces données sont vos mots de passe, vos numéros de carte de crédit, vos emails ou un simple cookie d'authentification.
Fonctionnant sur un principe de clé publique, SSL/TLS permet au client de s'assurer que le serveur est bien celui qu'il prêtant être et vice versa. Lorsque la connexion sécurisée est établie, le serveur envoie son certificat SSL au client qui vérifie auprès d'une Autorité de Certification (les fameux CA) que ce certificat est bien valide.
En marge de tout cela, il y a aussi le PFS (Perfect Forward Secrecy) qui garantie que les clés de sessions utilisées dans une communication chiffrée ne sont pas compromises, même si la clé privée du serveur a été éventée. Alors comment ça fonctionne ? Et bien pour chaque session initiée par le client, une clé unique et éphémère est générée. Cette clé sera utilisée uniquement dans le cadre de cette session et ne pourra donc pas, en cas d'interception, être utilisée pour les sessions suivantes.
Évidemment, SSL/TLS est un protocole qu'on connait bien, car on le retrouve sous la forme d'un petit cadenas dans nos navigateurs, mais il est aussi utilisé par d'autres services que HTTP, comme le FTP, la VoIP, le VPN, le SMTP...etc.
Toutefois, malgré ces mesures de sécurité, SSL subit aussi son lot d'attaques, aussi bien du côté serveur que du côté client. Je vais donc vous en présenter quelques-unes ainsi que les solutions pour les éviter.
Alors celle là, vous en avez peut-être entendu parler via mon site, car j'avais fait plusieurs articles à ce sujet fin 2014. POODLE (caniche en anglais) pour "Padding Oracle On Downgraded Legacy Encryption" tire avantage du fait que SSL 3.0 est encore supporté sur de nombreuses machines, pour dégrader l'ensemble des connexions chiffrées vers la version la moins sécurisée. Ainsi, il est possible de déchiffrer simplement les cookies sécurisés envoyés au travers d'une connexion SSL.
Il n'y a pas vraiment de patch contre cela, mais une solution simple : Arrêter d'utiliser SSL 3.0 et lui préférer TLS >= 1.2. Sur les clients, mettez aussi à jour les navigateurs vers la version la plus récente qui protège contre la dégradation du chiffrement des connexions. Si toutefois, pour des raisons de compatibilité vous deviez conserver un navigateur ancien, assurez-vous de désactiver les protocoles SSL 2.0 et 3.0 sur la machine.
Apparu fin 2011, BEAST pour "Browser Exploit Against SSL/TLS" touche SSL 3.0 et TLS 1.0. Quelqu'un de mal intentionné peut déchiffrer les données échangées entre les 2 parties, grâce à une vulnérabilité dans l'implémentation du mode CBC (Cipher Block Chaining) de TLS 1.0. L'attaque se fait côté client grâce à une technique de Man in the Middle qui consiste à injecter des paquets spécialement forgés pour l'occasion dans le flux TLS.
Cela permet à l'attaquant de déchiffrer l'ensemble du contenu sécurisé en comparant simplement ce qu'il a injecté (en clair) avec ce même contenu, même cette fois chiffré. (Principe XOR)
Oui, toutes ces attaques ont des acronymes rigolos. D'ailleurs CRIME ça veut dire "Compression Ratio Info-leak Made Easy" et ça profite d'une vulnérabilité au niveau de la compression TLS découverte en 2012. Le principe même de compression consiste (grosso modo) à retravailler le contenu pour ne pas avoir de redondance pour gagner de la place.
Ainsi, L'attaquant en position Man In The Middle, injecte des caractères aléatoires dans un cookie forgé et observe les différences de taille de compression avec le cookie légitime (et chiffré) dans les réponses qu'il intercepte. Si les caractères qu'il soumet sont présents dans le cookie qu'il veut intercepter, la réponse qu'il obtient est plus légère (car compressée). Au contraire, si le caractère n'est pas présent, la réponse est plus lourde. Cela lui permet de bruteforcer la clé contenue dans un cookie en testant un à un ses caractères.
Pour éviter le souci, il faut utiliser un navigateur récent.
BREACH pour "Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext" (ouf) est une technique découverte en 2013 semblable à CRIME à l'exception prêt que BREACH cible la compression HTTP là ou CRIME cible la compression TLS. Après sur les détails, ça se passe à peu près pareil.
Pour contourner le problème, il faut entre autres, désactiver la compression HTTP, rendre la taille des réponses HTTP aléatoires en ajoutant un nombre aléatoire de bytes dans chacune d'entre elles, limiter le nombre de requêtes (pour bloquer le bruteforce)...etc.
HEIST
HEIST (HTTP Encrypted Information can be Stolen through TCP-windows) est l'évolution naturelle de BREACH et CRIME et permet grâce à un JavaScript malicieux de dérober des données sensibles, toujours grâce au système de compression présent dans TLS.
BREACH + CRIME + HEIST, ça commençait à faire beaucoup, c'est pourquoi il a été décidé en 2014 d'abandonner tout simplement le support de la compression dans TLS1.3.
Sans doute la plus connue, car elle a été très largement médiatisée. Il s'agit simplement d'une vulnérabilité découverte dans l'extension heartbeat d'OpenSSL qui permet est utilisée pour garder active une connexion en envoyant des petits "battements de coeur" (heartbeat) entre le client et le serveur. Ce battement de coeur envoyé par le client dans ses requêtes contient une certaine quantité d'informations (données + tailles des données) et le serveur doit répondre avec le même "heartbeat" (données + tailles).
Seulement voilà, à cause de cette faille, il est possible de forger une requête donnée + taille des données un peu spéciales, car plus grande à laquelle le serveur va répondre en utilisant des données aléatoires contenues dans sa mémoire. Ainsi l'attaquant aura accès à une jolie fuite d'informations non chiffrée. Je vous laisse imaginer ce qu'elle peut contenir comme données personnelles, documents en transit et informations importantes.
Pour prévenir de la faille Heartbleed, il faut mettre à jour vers la dernière version d'OpenSSL. Toutefois si cela n'est pas possible, vous pouvez recompiler OpenSSL avec le flag "-DOPENSSL_NO_HEARTBEATS".
Découverte en 2015, mais présente depuis le milieu des années 90, FREAK ("Factoring RSA Export Keys") profite comme POODLE ouf DROWN, une fois encore, du support dans ancien protocole SSL dans les versions récentes de TLS.
SWEET32 comme BEAST profite d'une faiblesse dans le mode CBC où sont encore utilisé de vieux ciphers comme TripleDES et Blowfish, vulnérable à des attaques par collision. En collectant et analysant au maximum 32 GB de data chiffrée, un attaquant peut trouver la clé privée et déchiffrer le contenu.
Les attaques de Déni de service
Il en existe aussi de plusieurs types et permet de saturer le serveur assez rapidement. Je pense d'abord au flood HTTPS... Même principe qu'avec le HTTP sauf que là c'est du contenu chiffré qui sert à saturer le serveur. Aussi, à l'aide de requêtes SYN non chiffrées envoyées en masse, il est possible d'engorger le process de SYN-ACK Handshake (établissement d'une connexion entre le client et le serveur). Rebelote au niveau des renégociations SSL (servant à obtenir de nouvelles clés de chiffrement) qu'il est possible de multiplier à l'infini pour saturer le serveur.
Cette attaque est sans doute l'une des plus récentes et touche tous les services qui reposent sur SSL/TLS, que ce soit HTTPS ou d'autres.
Pour être réalisable, cette attaque profite d'une mauvaise configuration des serveurs supportant encore SSLv2 (qui est totalement troué). Un attaquant peut alors déchiffrer des connexions TLS récentes entre des clients et des serveurs totalement à jour en envoyant des requêtes SSLv2 forgées avec la même clé privée que celle échangée entre des serveurs légitimes.
Pour contrer cette attaque, il faut stopper toute utilisation de SSLv2 et vous assurer que vos logiciels sont à jour... Apache, Postfix, Nginx, Debian, Red Hat, Microsoft IIS, ou les libs comme OpenSSL ou la Network Security Services (NSS). Évitez aussi tout échange de clé privée entre vos serveurs.
Tout ce que je vous ai décrit dans cet article n'est qu'une petite partie de ce qui existe et de ce qui existera. Je n'ai pas parlé d'autres aspects qui concerne plus le chiffrement comme RC4 NOMORE, de la génération de nombres aléatoires ou des courbes elliptiques Barreto-Naehrig.
L'adoption massive du SSL (grâce notamment à l'arrivée du HTTP2) est un progrès formidable pour la sécurisation de nos communications, mais ce genre de vulnérabilité est aussi une arme formidable dans les mains des cybercriminels et un bon moyen de masquer (ou en tout cas, complexifier) certaines attaques afin de les rendre indétectables aux yeux de certaines sondes ou d'outils d'analyse posés sur le réseau ou sur les applicatifs.
Heureusement, il existe des outils pro comme ceux de Radware qui permettent de faire de la détection avancée d'attaques sur SSL/TLS de manière transparente, et de les empêcher ou de les atténuer (dans le cas d'un DoS) sans pour autant impacter la rapidité des échanges.
J'espère que cet article vous aura intéressé. Aussi, si vous remarquez quelques petites imprécisions, n'hésitez pas à me contacter pour que j'améliore tout cela grâce à vous. D'avance merci.
Next time, toujours dans le cadre de l'évènement Hacker's Challenge, je vous causerai Attaques DDoS. Et si tout ça vous donne envie de découvrir toutes ses techniques de hack en live et de les voir exploitées, pour pouvez vous inscrire ici
Cet article merveilleux et sans aucun égal intitulé : Les attaques SSL/TLS ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
Si vous cherchez un bon petit gestionnaire de mots de passe, qui ne soit pas 1password, Keepass, Dashlane ou Lastpass, je vous invite à jeter un oeil à ButterCup.
Encore en beta, ce gestionnaire de mot de passe a la particularité d'être sous licence libre et d'être dispo pour Windows, Mac et Linux. Basé sur NodeJS, Buttercup chiffre son contenu en AES-256 grâce au mot de passe maitre que vous lui donnez, une fois seulement après que ce mot de passe ait été salé et hashé avec la fonction de dérivation de clé PBKDF2.
Vos mots de passe sont ainsi conservés dans des archives chiffrées localement, mais aussi à distance lorsqu'elles sont sauvegardées sur Dropbox, ownCloud ou Nextcloud (ou autres fournisseurs de stockage supportant WebDAV).
De plus, si vous êtes plusieurs à utiliser la même base de mots de passe via Buttercup, celui-ci intègre un outil de résolution de conflits (merge) ainsi qu'une fonctionnalité d'importation d'une base de mot de passe existante sous 1Password, Lastpass ou Keepass.
Enfin, et je terminerai là dessus, Buttercup propose un module pour Firefox qui permet de remplir automatiquement les champs sur les formulaires de login de vos sites web préférés. Top !!
Il ne lui manque qu'une version Android / iOS pour être complet.
Le youtubeur Modern Classic s'est procuré un ordinateur IBM Thinkpad 600x âgé d'un 20aine d'année pour la modique somme de 20$. Son défi : Le remettre au goût du jour pour en faire une machine utilisable aujourd'hui.
L'ordinateur est équipé de Windows 98, d'un processeur Intel Pentium III 450, et de 576 MB de RAM. Il a commencé par changer la batterie et le disque dur pour y refaire tourner des jeux vidéos anciens puis il y a installé Linux afin de disposer d'un système d'exploitation moderne.
J'ai trouvé cela intéressant, car ça montre bien une fois encore qu'on peut à moindres frais se faire une petite machine de voyage ou de rétro gaming sans avoir besoin d'y mettre beaucoup d'argent. Peut-être même qu'il suffit simplement de fouiller un peu votre cave. Et le ThinkPad est un bon choix, car il est très répandu, donc les pièces détachées sont faciles à obtenir.
Article et vidéo sponsorisés par Rue Du Commerce, Microsoft et MSI
Une fois n’est pas coutume, je vais commencer cet article par une petite question: Selon vous quel est le système d’exploitation (hors consoles) le mieux adapté aux jeux vidéos ?
Oui, je sais c’est une question débile, car sans avoir beaucoup d’expérience en informatique ou en gaming, on se doute bien qu’il s’agit de Windows. Depuis toujours, Microsoft est l'OS de référence en matière de jeux vidéo et nombreux sont les linuxiens et les Applemaniacs à conserver un bon gros PC à la maison pour fragger quand vient le week-end.
Histoire de m’aider à replonger dans le bain, Microsoft m’a donc envoyé en test un ordinateur portable MSI GL72, une manette Xbox pour PC et le jeu Gears of War 4 qui est sorti en fin d’année dernière. Ca faisait longtemps que je n’avais pas eu un PC de hardcore gamer entre les mains, et encore moins sous la forme d'une machine portable.
Je vais donc commencer cet article par une petite présentation rapide du MSI GL72. Bon, déjà première impression, il est ÉNORME ! Moi qui ai l’habitude des MacBook air, chromebook et ce genre de conneries, me retrouver avec un PC de 17 pouces qui pèse un peu moins de 3 kg, ça me fait tout bizarre.
Mais bon, on n’a rien sans rien et quand on aime jouer sur de bonnes machines, on sait passer outre ce genre de « détails ».
Comme vous pouvez le voir dans la vidéo, l’ordinateur est équipé d’un processeur Intel i7 Kaby Lake, de 8 Gb de RAM DDR4, d’un disque dur de 1 TB à 7200 RPM (Pas de SSD) et d’une carte graphique milieu de game GTX 1050. Sans mauvais jeu de mots, ça faisait longtemps que je n’avais pas eu entre les mains un gros engin comme ça. Bon par contre, il est tout de noir vêtu et si vous avez les doigts un peu gras, bonjour les traces de doigts.
L’écran full HD de 17,3p est très lumineux et traité contre les reflets ce qui est assez cool quand l’été arrive et le son envoie du pâté à 360°. Truc amusant, il y a un bouton physique qui permet d’enclencher les ventilos à fond à la caisse, ce qui provoque pas mal de boucan. Mais comme la plupart des gamers ont un casque audio sur les oreilles, ce n'est pas gênant ça permet de refroidir au max l'ordinateur.
MSI a plutôt bien conçu sa machine, avec une applications de gestion qui va vous permettre de configurer plusieurs modes de fonctionnement (Sport, éco, Confort ou personnalisé) ainsi que la vitesse du ventilateur, le son en fonction de votre jeu et l'écran que vous soyez en mode gaming, bureautique, soirée cinéma ou limitation de la lumière bleue.
Ce qui est intéressant aussi avec Windows 10, c’est qu’en plus d’être l’OS naturel des gamers, Microsoft ne se repose pas sur ses lauriers et propose des choses vraiment cools.
Tout d’abord l’application compagnon Xbox qui vous permet d'accéder depuis votre PC à toute votre liste de contacts Xbox, de rejoindre des clubs par centre d'intérêt, de consulter de l'actu sur les jeux et de consulter votre avancement et vos trophées dans vos différents jeux.
Depuis la dernière mise à jour baptisée Creators Update, Windows 10 intègre aussi un "mode jeu". Ce mode d'optimisation se déclenche automatiquement lorsque vous jouez et permet de concentrer toutes les ressources de votre machine sur le jeu. Cela permet d'avoir des perfs au taquet pendant vos parties, et de ne plus pester contre des logiciels en tâche de fond un peu trop gourmand.
L’approche de Microsoft comme éditeur de jeu a elle aussi pas mal évolué. Dorénavant, les jeux produits par Microsoft sortiront en même temps sur Xbox et Windows, ce qui évitera toute sorte de frustration dans la communauté des gamers.
Microsoft n’oublie pas non plus les streameurs puisque Windows 10 intègre maintenant une barre de jeu que vous pouvez appeler dans certains jeux (au hasard, Gears of war 4) qui vous permet de faire des captures écran, enregistrement vidéo, voire de streamer directement vers Beam.pro, un équivalent de Twitch made in Microsoft. Pour afficher cette barre lorsque vous êtes dans un jeu, appuyez simplement sur la combinaison de touches Windows + G.
Maintenant je sais qu’il y a encore quelques personnes qui pensent encore que pour jouer, Windows 7 est meilleur que Windows 10. Ca m’amuse toujours, car je ne comprends pas comment un OS qui a un peu moins de 10 ans peut « mieux » fonctionner avec les jeux récents. Les drivers ne sont plus optimisés pour le matos, la nouvelle version de DirectX n’est pas présente, les jeux récents pas optimisés, il n'y a pas de mode gaming et niveau sécurité, c’est quand même prendre un gros risque.
Pour jouer à Gears of War (125 Go à télécharger quand même), j'ai installé la manette Xbox qui a une bonne prise en main et même une prise casque pour brancher un casque audio directement dessus, afin de ne plus être collé au PC. Malin !
GoW4 est un FPS qui se déroule 25 ans après le précédent opus dans un monde où les ressources fossiles ont toutes été consommées. Le personnage que vous incarnez doit alors prendre les armes pour sauver ses proches et combattre toutes sortes de monstres mutants bien repoussants et très agressifs. La bonne nouvelle c'est que la barre de jeu fonctionne dans Gears of War 4.
J'ai aussi joué à 2dark, un Survival Horror indé développé par Frederik Raynal et sa team (Alone in the Dark, Little Big Adventure..etc.) où le héros, un ancien flic abimé par les épreuves de la vie, doit sauver des enfants kidnappés par des psychopathes. Tout un programme !
Pour conclure, je dois dire que je suis impressionné par les perfs de l'ordinateur qui même s'il pèse son petit poids, en fait une excellente machine à trimballer quand on veut jouer partout. C'est du bon matos ! J'ai aussi redécouvert Windows 10 sous un autre angle en constatant que Microsoft n'oubliait pas les gamers (et streamers) dans les mises à jour de son OS et ça c'est plutôt cool. Maintenant, j'attends avec impatience que le Windows Store s'étoffe un peu plus avec les prochaines sorties de jeu qui arriveront surement en même temps que la Xbox Scorpio.
Sachez que vous pouvez remporter le combo PC + Jeu + Manette en jouant au Kontest ici.
Cet article merveilleux et sans aucun égal intitulé : Test de Windows 10 en mode gamer ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
