cryptage en remote control

Le
*core*administrator
Bonjour,

Questions pour les experts ici présents:


Certains d'entre vous sauraient-il si le cryptage mis en oeuvre
dans des logiciels de prise de commande à distance est d'une qualité
suffisante ou bien s'il s'agit d'une véritable passoire pour une
personne déterminée a intercepter la transmission.

Il s'agit, pour exemple, de logiciel dans le style de VNC ou de
Remote Administrator.

Merci d'avance pour vos lumières.
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gustav
Le #7211
Je ne veux pa troller mais ma reponse va sembler le faire :)

Tu peux pas faire confiance en un systeme proprietaire utilisant des
technologies fermees. Le probleme n'est pas l'application uniquement mais
le systeme d'exploitation qui est derriere et son admin, evidement :)

Souvent, ces applications n'utilisent pas des algos de
chiffement/generation de random dignes car "censures" a l'export. Ou
parfois meme, pas d'encryption du tout comme PCAnyWhere a ses debuts.

Avez-vous jete un oeil sur www.securityfocus.com et/ou les newsgroups
discutant justement des vulnerabilites en general? ou VNC en particulier ;-)

Tu donnes un log fait avec tcpdump sur le firewall en face de ton appli
VNC, nous ne saurons probablement rien en faire or si maintenant le
contenu de ton buffer memoire est envoye par Email au monde entier sans
meme que tu ne le saches, ou que la clef d'encryption est le nom de
ton chien ou votre date de naissance (ou meme rien) c'est une autre
affaire ;-)

GuS

Bonjour,

Questions pour les experts ici présents:


Certains d'entre vous sauraient-il si le cryptage mis en oeuvre
dans des logiciels de prise de commande à distance est d'une qualité
suffisante ou bien s'il s'agit d'une véritable passoire pour une
personne déterminée a intercepter la transmission.

Il s'agit, pour exemple, de logiciel dans le style de VNC ou de
Remote Administrator.

Merci d'avance pour vos lumières.


Jacques Caron
Le #7209
Salut,

On Mon, 01 Mar 2004 16:50:28 GMT, Richard wrote:

Il s'agit, pour exemple, de logiciel dans le style de VNC ou de
Remote Administrator.


Il n'y a pas de chiffrement dans VNC. Il faut le mettre dans un tunnel
(IPsec) ou un port forwarding (SSH) ou une encapsulation dans SSL/TLS pour
en avoir.

Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/

methodyk
Le #7206
"Jacques Caron" news:
Salut,

On Mon, 01 Mar 2004 16:50:28 GMT, Richard wrote:

Il s'agit, pour exemple, de logiciel dans le style de VNC ou de
Remote Administrator.


Il n'y a pas de chiffrement dans VNC. Il faut le mettre dans un tunnel
(IPsec) ou un port forwarding (SSH) ou une encapsulation dans SSL/TLS pour
en avoir.

Jacques.


Exact, le protocole mis en oeuvre dans les softs de type VNC n'ont aucun
chiffrement !
Les données sont compressées à l'envoie et decompressé à la réception, mais
pas de chiffrement.

Il est possible de chiffrer le flux (explication claire donnée par Jacques
précédemment)

Des infos sur VNC over SSH :
- article généraliste :
http://www.winnetmag.com/Web/Article/ArticleID/24839/Web_24839.html
- ici du tunneling de traffic VNC avec une surcouche SSH2 depuis Win NT :
http://www.shebeen.com/vnc_ssh/

Un petit conseil : un client VNC qui intègre le tunneling SSH existe deja et
sous le nom de TightVNC -> mais bien sur il te faut un server VNC over SSH
avant ;-)
site officiel : http://www.tightvnc.com

Cordialement,
meth


pornin
Le #6666
According to Richard
Certains d'entre vous sauraient-il si le cryptage mis en oeuvre
dans des logiciels de prise de commande à distance est d'une qualité
suffisante ou bien s'il s'agit d'une véritable passoire pour une
personne déterminée a intercepter la transmission.


Transposée dans le domaine automobile, votre question devient : "est-ce
que vous savez si les voitures ont une bonne tenue de route ?"

Et la seule réponse adaptée est : "bin, ça dépend de la voiture."


Il y a des tas de logiciels et systèmes de ce type. Il faut voir en
fonction de chaque logiciel, sa documentation, et la qualité de son
implémentation.

VNC n'a pas de chiffrement en lui-même. Il a une authentification par
mot de passe mais tout ça passe en clair sur la ligne : s'il n'y a pas
une couche de chiffrement supplémentaire (genre un tunnel IPsec), ça ne
tient pas longtemps face à quelqu'un qui espionne simplement la ligne.


--Thomas Pornin

Publicité
Poster une réponse
Anonyme