Article tagué Sécurité

De la relative complexité du piratage… quand l’utilisateur devient complice.

10/08/11

Posté par Kenshin dans Hack

4 commentaires

Pass

J’ai pu voir par le passé (et le présent) tellement de laxisme dans le choix d’un mot de passe que je pense qu’un rappel s’impose. En effet, utilisateurs de l’informatique que nous sommes, nous sommes tous passés par la case « Entrer un mot de passe ». Par définition, un mot de passe autorise l’accès (site web, boîte mail, peu importe) qu’à celui qui le détient. En toute logique, nous serions tentés de penser que l’utilisateur en question ne souhaite pas partager son accès avec des inconnus. C’est là que le fameux utilisateur, sans même s’en rendre compte, offre bien gentillement son accès à celui qui le voudra…

Loin des solutions « clés en main » (sans mauvais jeu de mots) utilisées par les vandales (brute force, keylogger, etc), le secret de l’obtention d’un mot de passe réside bien souvent… dans un exercice de psychologie. L’attaquant n’a parfois qu’à se mettre « dans la tête » de sa victime pour obtenir ce qu’il souhaite. Sexe, âge, profession, autant de variables qui, selon moi, permettent de profiler le type de mot de passe utilisé.

Simple exemple : l’ingénieur en informatique ne construit pas son mot de passe de la même manière qu’une jeune fille de 17 ans. Le premier, conscient de la vulnérabilité d’un mot de passe, optera pour une construction solide : Chiffres, majuscules/minuscules, caractères spéciaux. La seconde préférera mettre sa date de naissance ou le nom de son petit ami. (bien entendu, on a déjà vu des spécialistes être totalement inconscient et mettre « azerty »… je globalise)

Retour d’expérience désormais, laissez-moi vous faire un petit « Top » (tout en humour) des plus mauvais de mot de passe que j’ai pu voir. (il n’y a pas d’ordre précis)

  • La date de naissance : Souvent au format jj/mm/aa (satisfaisant ainsi les 6 caractères minimum souvent imposés), la date de naissance apparaît comme un incontournable. À l’heure des réseaux sociaux où les dates de naissances sont clairement affichées, c’est totalement inconscient. « Pourquoi irait-on visiter ma boîte mail ? » Parfois il n’a pas de raison qui tienne…
  • Le prénom : Ça peut paraître choquant, mais dans le cas où le prénom de la personne contient 6 caractères ou plus, c’est un mot de passe potentiel. Et puis, l’utilisateur n’est pas prêt de l’oublier.
  • Le nom du conjoint/conjointe/enfant/copain/copine/animal de compagnie : Celui-ci est spécial car il a tendance à me faire froncer les sourcils. Un mot de passe n’a aucune raison de d’être une preuve d’amour ! Toujours est-il que c’est le genre de mot de passe qui a la côte…
  • Combinaison prénom/année de naissance : Un poil plus sûr, mais toujours très insuffisant. Que ce soit pour un petit prénom ou un long, le genre sarah68 ou juliette91 reste d’usage.
  • Toi + Moi : Chanson merdique, mot de passe qui l’est tout autant. À l’usage chez les jeunes couples et duo de copines. « sarah&julienne » ou « sarahetjulienne » ou encore « sarah+julienne ». Je vous l’accorde, pour le duo de copines, c’est essentiellement à l’usage sur Skyblog. Je vous avais averti… tout en humour.
  • Loisir favori : Vous vous en doutez, Gilbert, 32 ans, fan du RC Lens, ça donne « rclens ». Ça fonctionne aussi avec « allezlom » et consorts. Existe en version Calcio et Liga. (évidemment, ça ne marche pas qu’avec le football. Sports, jeux vidéo, séries, groupes de musique, stars préférées…)
  • Clavier magique : Déclinaison moldue du Choixpeau magique, avec pour principaux choix : azerty et 123456.
  • Numéro de téléphone : Plus tordu celui-ci, vous l’admettrez. Mais c’est un fait.

Bien sûr, la fameuse question secrète n’est pas en reste. L’utilisateur, convaincu du bien fondé que cela pourrait lui être utile en cas d’oubli de son mot de passe, remplit volontiers le champ en toute honnêteté. Qu’il se rassure, ce sera effectivement utile à quelqu’un : l’attaquant qui n’a jamais connu le mot de passe.
Il n’est souvent pas compliqué de répondre à la question secrète. Le Web lui offrira suffisamment d’informations pour lui permettre d’en arriver à bout.
Répondez à la question secrète par une suite de caractères sans aucun sens et souvenez-vous de votre mot de passe !

Il est donc essentiel d’utiliser un mot de passe de bonne facture, surtout pour sa boîte mail. En effet, elle est l’organe central. À partir d’une boîte mail, on a potentiellement accès au reste (réseaux sociaux etc…).
Majuscules/minuscules, chiffre, caractères spéciaux. Il n’est pas compliqué d’un créer un facile à retenir et relativement robuste : Cm%nM2p4$s3 (peut signifier C’est mon mot de passe)
Autre recommandation : varier les mots de passe. Utiliser toujours le même, c’est également prendre un risque inutile.

, ,

Vol de session : a child’s play.

13/07/10

Posté par Kenshin dans Geek-Time

Aucun commentaire

Cookie

frTout d’abord, bravo à ceux qui ont vu en ce titre un clin d’oeil au titre original de « Jeu d’enfant », c’est-à-dire le premier Chucky. Smile

Toute communication claire entre A et C passant B est non sûr. De ce fait, tout peut être vu, lu, enregistré et au pire : utilisé.

De nos jours, tous les sites (ou presque) disposent de « session », administrateur ou non. Votre webmail, votre compte Meetic (mauvais exemple ? Je sais), Facebook, Twitter etc. peuvent être à la portée de n’importe qui, sans même avoir besoin de connaître votre mot de passe.

Je vais aborder (rapidement) l’utilisation frauduleuse qui peut être faite des cookies. Pour aller voir plus loin, je vous conseille l’excellent article de Denis Bodor dans le GNU/Linux Magazine Hors-série N°42.

1. La cible : Kenshin, utilisateur du forum Fedora-fr. (et Roi des trolls)

Kenshin trolle trop, c’est insupportable. Vous avez décidé d’usurper son identité afin de le faire bannir définitivement. Mais c’est un utilisateur prudent, il utilise des mots de passe complexes. (jusqu’à 27 caractères en hexadécimal + caractères spéciaux, bonne chance ! Grin)
Vous allez donc récupérer le cookie qui conserve sa session ouverte sur le forum.

Fedora-fr

2. Capture des paquets.

L’attaquant doit capturer tout ou partie du trafic entre le serveur HTTP et le client. Dans le cas présent, imaginons que vous êtes connecté à mon réseau local. L’ARP Spoofing redirigerait le trafic vers votre machine, ainsi vous pourrez récupérer ce que vous souhaitez.
Le cookie est initialement envoyé par le serveur (ici, celui de fedora-fr.org), mais le client le présente à chaque requête. Une chance, je me rends très souvent sur le forum.

Arpspoof/Ettercap-ng, peu importe, votre ARP Spoofing fonctionne. Là (j’ai pris WireShark, mais ngrep peut faire l’affaire), vous avez patiemment analysé le trafic, et vous avez découvert ceci :

Fedora-fr wireshark

Ça y est. Le cookie fedorafr_punbb est le bon. Vous allez pouvoir usurper mon identité. (Super, non ? Big Smile

3. Utilisation frauduleuse du cookie.

Pour Firefox, il existe l’excellente extension Add ‘n’ edit cookie. L’utilisation est très simple. On ouvre l’extension, on ajoute le cookie (en remplissant correctement les champs) et on enregiste.

Fedora-fr cookie

Maintenant, vous pouvez me faire bannir du forum. Merci Smile

4. Autre exemple ?

Si j’ai utilisé Meetic en exemple plus haut, c’est pour une bonne raison. (non, je n’ai pas de compte Meetic) Je peux vous dire que c’est très peu sécurisé.

  1. Lors d’une connexion à la session, le nom d’utilisateur/mot de passe sont en clair dans l’URL. Votre attaquant n’aura pas besoin de cookie…
  2. Si Meetic vous envoie un email, vous serez connecté juste en cliquant sur un lien. Là encore, le cookie est inutile…

      3. Autant dire que si quelqu’un à accès à votre adresse mail, il aura de ce fait accès à votre compte. Ça risque d’être tendu avec vos prétendantes…Grin

      enFirst, congratulations to people seeing my wink to Child’s play, the first Chucky movie.

      Any communication between A and C passing by B is unsecure. Then, everything can be seen, read, saved, and the worst : used.

      Today, all websites (or almost) are using cookies. They provide « sessions », admin or not. Your webmail, your Meetic account (not a good example ? I know), Facebook, Twitter etc. can be used by anyone, without your password.

      I’m gonna talk (quickly) about the misuse which can be done with cookies.

      1. Target : Kenshin, Fedora-fr forum user. (King of trolls)

      Kenshin is trolling too much, it’s intolerable. You want to usurp his identity to get him out. But he’s a prudent user, using complex passwords. (27 hex characters + special characters, good luck !)
      So you’re gonna stole the cookie keeping his session opened.

      2. Packets capture.

      Attacker must capture all or part of trafic between HTTP server and client. In our case, let’s imagine you’re connected to my local area network. ARP Spoofing would redirect trafic to your computer, then you could read all you need.
      The cookie is initially sent by the server (here : fedora-fr.org), but the client presents it to each query. Luckily, I go very often on the forum.

      Arpspoof / Ettercap-ng, whatever, your ARP Spoofing works. There (I took WireShark but ngrep is good too), you patiently analyzed the traffic and you’ve discovered this. (see the image above)

      It’s okay. The fedorafr_punbb is the good. You will be able to steal my identity. (Awesome, isn’t it ? Big Smile

      3. Misuse of a cookie.

      For Firefox, you can install the Add ‘n’ edit cookie plugin, easy to use. Just open it, add the cookie, and save it. (see the image above)

      Now you can have me banned from the forum. Thanks Smile

      4. Another example ?

      If I’ve used Meetic as a exemple above, it’s for a good reason. Indeed (no I haven’t a Meetic account) it’s very unsecure.

      1. When you establish a connection to your account, your login/password appears in clear in the URL. Your attacker won’t need a cookie…
      2. If someone click on a link send by Meetic (in your mailbox) he’ll be automatically connected. Again, cookie is useless….

        3. So, if someone has an access to your mailbox, he will be able to have an access to your Meetic account. It could be bad for the girl(s) you are looking for…

,

Wi-Fi & Sécurité : Le cas allemand, la question française.

15/05/10

Posté par Kenshin dans Geek-Time

Aucun commentaire

Wifi AllemagnefrClubic a publié aujourd’hui un article intéressant concernant la responsabilité des internautes quant à leur connexion sans fil. En effet, tout citoyen allemand a désormais le devoir de sécuriser convenablement sa connexion sans fil. (c’est-à-dire : une clé WPA de très bonne facture)

 

Hadopi, gouvernement : tous indifférents.

Cette mesure devrait s’appliquer également en France puisque Hadopi prévoit de punir toute personne s’ayant fait détourner sa connexion sans fil dans le but de télécharger des oeuvres protégées par droit d’auteur. La grande question qui se pose désormais est : « Comment sensibiliser les gens et leur permettre de mettre en place une sécurité efficace ? »

Cela n’aura échappé à personne, le gouvernement français nous inonde de spots publicitaires nous incitant à nous nourrir seinement, à bouger, à surveiller les mômes sur le Web, à payer ses impôts le plus vite possible etc. Mais nous incite t-il à nous protéger contre les adeptes du Wardriving ? Non, bien sûr.

Alors allez expliquer à Madame Michu qu’elle est redevable d’une amende de X € pour ne pas avoir sécurisé sa connexion sans fil…

 

Risques tiers au goût amer.

Autre problème, plus important encore : celui du vol de données. (mots de passe de comptes emails, données bancaires, et autres) Les lecteurs de longue date se rappelleront sans doute de mon billet détaillé concernant l’ARP Spoofing et les risques majeurs qu’il représente. (proportionnel à la simplicité de la pratique)
Bien entendu, se faire arrêter parce qu’un petit malin squattait la bande passante pour remplir son disque externe 1 To de films porno et des discographies de Green Day, Simple Plan, et Justin Bieber Sum 41 ne doit pas être facile à vivre, mais si en plus de ça le petit malin lisait régulièrement votre correspondance électronique avec votre maîtresse collègue de travail et consultait votre relevé de compte, c’est d’autant plus désagréable. Bien entendu, le gouvernement n’informe toujours pas sur ces risques. (vous allez me dire : « Question NTIC, ils sont à la ramasse ! » et je suis d’accord ^^)

 

Fournisseurs d’accès pas très futés.

Les fournisseurs d’accès à Internet ne sont pas pour autant tout blanc dans cette affaire. Orange est en alerte orange (sanguine), Club-internet (maintenant Neuf-SFR) offrait gracieusement les clés WEP (ce n’est déjà pas compliqué à casser alors…) aux aficionados d’aircrack-ng, et Bouygues Télécom aujourd’hui encore part du même principe.

Vous aurez compris, on peut difficilement compter sur les FAI pour sécuriser les Boxs à la source et offrir de la sérennité à la famille Michu. (même si ça évolue dans le bon sens…à faible allure)

 

Les Wi-Fi ouverts, de vrais gruyères ?

De nos jours, les McDo, B&B Hotel, Flunch (et bien d’autres) surfent sur la vague du Wi-Fi ouvert, gratuit, et illimité pour attirer le chaland. Qu’en est-il question sécurité ? Peut-on télécharger librement ? Les attaques du type Man in the Middle sont-elles réalisables ? Finalement : « Quel(s) risque(s) pour les utilisateurs ? »
N’ayant pas personnellement testé ces accès, je ne pourrais vous répondre. (Je tenterai prochainement de les mettre à l’épreuve et détaillerai le résultat)

 

Sereins pour demain ?

Les techniques évoluent, les risques aussi. Il n’est pas impossible de mettre à mal une clé WPA si celle-ci est mauvaise (date de naissance, nom du chien, du morpion, mot banal etc.) et la survie de la clé WEP est particulièrement embarrassante, car elle se casse de plus en plus vite. (quelques minutes en général)
Il ne serait pas étonnant d’apprendre un jour que le WPA de bonne facture puisse être cassé assez aisément.

En attendant, surfez couvert !

, ,