Bonjour, je suis tombé par hasard sur une séquence à la télé où un
hacker (présenté comme tel) faisait une démonstration d'une interception
d'un numéro de carte bleu sur une connexion SSL https, le journaliste
insistait longuement sur la présence du petit cadenas dans le coin du
navigateur. Effectivement, le gars, à 3m, a eu accès au dialogue en
clair de la connexion et n'a eu aucun mal a identifié les éléments de la
carte bleue. A l'exposé, le hacker expliquait intercepter les paquets et
décrypter le tout. Mon opinion est qu'il «grugeait» et qu'il avait mis
un cheval de troie sur la machine du client cependant je voudrais être
sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de
décrypter à la volée une connexion SSL type https?
François Boisson
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de décrypter à la volée une connexion SSL type https?
c'est pas vaiment du décryptage, c'est du "man in the middel"
-- Thomas Clavier http://www.tcweb.org Lille Sans Fil http://www.lillesansfil.org +33 (0)6 20 81 81 30 JabberID :
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Tue, Sep 13, 2005 at 08:54:42PM +0200, François Boisson wrote a message of 24 lines which said:
d'une interception d'un numéro de carte bleu sur une connexion SSL https,
Il existe des tas de solutions, petit cadenas ou pas :
1) Il doit encore exister des navigateurs avec du SSL bridé à 40 bits (lois d'exportation états-uniennes et d'utilisation françaises)
2) On peut faire du "man in the middle" c'est-à-dire se mettre au milieu de la conversation et prétendre être le serveur vis-à-vis du client et être le client vis-à-vis du serveur. Si le "man in the middle" a un certificat signé, c'est faisable (tout dépend de la vigilance de l'utilisateur).
3) On peut simplement capter le rayonnement du clavier ou de l'écran, ce qui se fait à dix ou vingt mètres de distance avec le matériel kivabien.
4) On peut aussi utiliser un cheval de Troie.
5) Enfin, il y a les failles de sécurité dans la mise en oeuvre de SSL (je n'ai pas de cas précis en tête mais tout peut arriver) ou dans le protocole (comme l'attaque qui permettait, dans les vieilles versions de SSL, de forcer le passage en chiffrement faible, même si le navigateur savait faire du fort).
Bref, le petit cadenas a surtout un rôle psychologique.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Tue, Sep 13, 2005 at 08:54:42PM +0200,
François Boisson <user.anti-spam@maison.homelinux.net> wrote
a message of 24 lines which said:
d'une interception d'un numéro de carte bleu sur une connexion SSL
https,
Il existe des tas de solutions, petit cadenas ou pas :
1) Il doit encore exister des navigateurs avec du SSL bridé à 40 bits
(lois d'exportation états-uniennes et d'utilisation françaises)
2) On peut faire du "man in the middle" c'est-à-dire se mettre au
milieu de la conversation et prétendre être le serveur vis-à-vis du
client et être le client vis-à-vis du serveur. Si le "man in the
middle" a un certificat signé, c'est faisable (tout dépend de la
vigilance de l'utilisateur).
3) On peut simplement capter le rayonnement du clavier ou de l'écran,
ce qui se fait à dix ou vingt mètres de distance avec le matériel
kivabien.
4) On peut aussi utiliser un cheval de Troie.
5) Enfin, il y a les failles de sécurité dans la mise en oeuvre de
SSL (je n'ai pas de cas précis en tête mais tout peut arriver) ou dans
le protocole (comme l'attaque qui permettait, dans les vieilles
versions de SSL, de forcer le passage en chiffrement faible, même si
le navigateur savait faire du fort).
Bref, le petit cadenas a surtout un rôle psychologique.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Tue, Sep 13, 2005 at 08:54:42PM +0200, François Boisson wrote a message of 24 lines which said:
d'une interception d'un numéro de carte bleu sur une connexion SSL https,
Il existe des tas de solutions, petit cadenas ou pas :
1) Il doit encore exister des navigateurs avec du SSL bridé à 40 bits (lois d'exportation états-uniennes et d'utilisation françaises)
2) On peut faire du "man in the middle" c'est-à-dire se mettre au milieu de la conversation et prétendre être le serveur vis-à-vis du client et être le client vis-à-vis du serveur. Si le "man in the middle" a un certificat signé, c'est faisable (tout dépend de la vigilance de l'utilisateur).
3) On peut simplement capter le rayonnement du clavier ou de l'écran, ce qui se fait à dix ou vingt mètres de distance avec le matériel kivabien.
4) On peut aussi utiliser un cheval de Troie.
5) Enfin, il y a les failles de sécurité dans la mise en oeuvre de SSL (je n'ai pas de cas précis en tête mais tout peut arriver) ou dans le protocole (comme l'attaque qui permettait, dans les vieilles versions de SSL, de forcer le passage en chiffrement faible, même si le navigateur savait faire du fort).
Bref, le petit cadenas a surtout un rôle psychologique.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal
Salut,
Thomas Clavier a écrit :
François Boisson a écrit :
sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de décrypter à la volée une connexion SSL type https?
c'est pas vaiment du décryptage, c'est du "man in the middel"
La vérification du certificat du site par le navigateur n'est pas censée empêcher ça ?
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
Thomas Clavier a écrit :
François Boisson a écrit :
sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de
décrypter à la volée une connexion SSL type https?
c'est pas vaiment du décryptage, c'est du "man in the middel"
La vérification du certificat du site par le navigateur n'est pas censée
empêcher ça ?
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de décrypter à la volée une connexion SSL type https?
c'est pas vaiment du décryptage, c'est du "man in the middel"
La vérification du certificat du site par le navigateur n'est pas censée empêcher ça ?
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson
Thomas Clavier a écrit:
François Boisson a écrit :
sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de décrypter à la volée une connexion SSL type https?
c'est pas vaiment du décryptage, c'est du "man in the middel"
Non, ça n'est pas pareil, le man in the middle se substitue à un moment au gars à l'autre bout mais n'est pas obligé de comprendre toute ce qui se passe sur la ligne. Là, le gars a montré un dump de ce qui m'a paru être les échanges en clair et a extrait de cela le numéro de CB. Ce dump peut être obtenu en écoutant le traffic (ce qui implique le décryptage) ou bien en mettant un cheval de troie sur la machine serveur (peu probable) ou client (possible, c'est du Windows). Or c'est du https dont du SSL. Pour moi, le décryptage des paquets circulant en clair à la volée me parait quasi impossible et j'en ai déduit que le gars avec mis un sniffer sur la machine même du «gogo». Je voulais en être sûr.
François Boisson
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Thomas Clavier a écrit:
François Boisson a écrit :
sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de
décrypter à la volée une connexion SSL type https?
c'est pas vaiment du décryptage, c'est du "man in the middel"
Non, ça n'est pas pareil, le man in the middle se substitue à un moment
au gars à l'autre bout mais n'est pas obligé de comprendre toute ce qui
se passe sur la ligne. Là, le gars a montré un dump de ce qui m'a paru
être les échanges en clair et a extrait de cela le numéro de CB. Ce dump
peut être obtenu en écoutant le traffic (ce qui implique le décryptage)
ou bien en mettant un cheval de troie sur la machine serveur (peu
probable) ou client (possible, c'est du Windows). Or c'est du https dont
du SSL. Pour moi, le décryptage des paquets circulant en clair à la
volée me parait quasi impossible et j'en ai déduit que le gars avec mis
un sniffer sur la machine même du «gogo». Je voulais en être sûr.
François Boisson
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de décrypter à la volée une connexion SSL type https?
c'est pas vaiment du décryptage, c'est du "man in the middel"
Non, ça n'est pas pareil, le man in the middle se substitue à un moment au gars à l'autre bout mais n'est pas obligé de comprendre toute ce qui se passe sur la ligne. Là, le gars a montré un dump de ce qui m'a paru être les échanges en clair et a extrait de cela le numéro de CB. Ce dump peut être obtenu en écoutant le traffic (ce qui implique le décryptage) ou bien en mettant un cheval de troie sur la machine serveur (peu probable) ou client (possible, c'est du Windows). Or c'est du https dont du SSL. Pour moi, le décryptage des paquets circulant en clair à la volée me parait quasi impossible et j'en ai déduit que le gars avec mis un sniffer sur la machine même du «gogo». Je voulais en être sûr.
François Boisson
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Thomas Clavier
a écrit :
c'est pas vaiment du décryptage, c'est du "man in the middel"
La vérification du certificat du site par le navigateur n'est pas censée empêcher ça ?
si mais la majorité des utilisateurs clic OK sans réfléchir.
-- Thomas Clavier http://www.tcweb.org Lille Sans Fil http://www.lillesansfil.org +33 (0)6 20 81 81 30 JabberID :
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal@plouf a écrit :
c'est pas vaiment du décryptage, c'est du "man in the middel"
La vérification du certificat du site par le navigateur n'est pas censée
empêcher ça ?
si mais la majorité des utilisateurs clic OK sans réfléchir.
--
Thomas Clavier http://www.tcweb.org
Lille Sans Fil http://www.lillesansfil.org
+33 (0)6 20 81 81 30 JabberID : tom@jabber.tcweb.org
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
c'est pas vaiment du décryptage, c'est du "man in the middel"
La vérification du certificat du site par le navigateur n'est pas censée empêcher ça ?
si mais la majorité des utilisateurs clic OK sans réfléchir.
-- Thomas Clavier http://www.tcweb.org Lille Sans Fil http://www.lillesansfil.org +33 (0)6 20 81 81 30 JabberID :
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Thomas Clavier
François Boisson a écrit :
Non, ça n'est pas pareil, le man in the middle se substitue à un moment au gars à l'autre bout mais n'est pas obligé de comprendre toute ce qui se passe sur la ligne.
l'attaque complette implique de se faire passer pour le serveur, donc d'avoir un dump complet de tous les échanges en claire.
-- Thomas Clavier http://www.tcweb.org Lille Sans Fil http://www.lillesansfil.org +33 (0)6 20 81 81 30 JabberID :
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson a écrit :
Non, ça n'est pas pareil, le man in the middle se substitue à un moment
au gars à l'autre bout mais n'est pas obligé de comprendre toute ce qui
se passe sur la ligne.
l'attaque complette implique de se faire passer pour le serveur, donc
d'avoir un dump complet de tous les échanges en claire.
--
Thomas Clavier http://www.tcweb.org
Lille Sans Fil http://www.lillesansfil.org
+33 (0)6 20 81 81 30 JabberID : tom@jabber.tcweb.org
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Non, ça n'est pas pareil, le man in the middle se substitue à un moment au gars à l'autre bout mais n'est pas obligé de comprendre toute ce qui se passe sur la ligne.
l'attaque complette implique de se faire passer pour le serveur, donc d'avoir un dump complet de tous les échanges en claire.
-- Thomas Clavier http://www.tcweb.org Lille Sans Fil http://www.lillesansfil.org +33 (0)6 20 81 81 30 JabberID :
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Yermat
François Boisson wrote:
Bonjour, je suis tombé par hasard sur une séquence à la télé où un hacker (présenté comme tel) faisait une démonstration d'une interception d'un numéro de carte bleu sur une connexion SSL https, le journaliste insistait longuement sur la présence du petit cadenas dans le coin du navigateur. Effectivement, le gars, à 3m, a eu accès au dialogue en clair de la connexion et n'a eu aucun mal a identifié les éléments de la carte bleue. A l'exposé, le hacker expliquait intercepter les paquets et décrypter le tout. Mon opinion est qu'il «grugeait» et qu'il avait mis un cheval de troie sur la machine du client cependant je voudrais être sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de décrypter à la volée une connexion SSL type https?
Sauf si tu dialogues avec lui et qu'il ne fait que retransmettre au serveur initial...
Cherche "man in the middle ssh" avec google et tu verras que c'est facile...
Tu ne peux voir la faille que si tu as déjà eu auparavant la clef du serveur...
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson wrote:
Bonjour, je suis tombé par hasard sur une séquence à la télé où un
hacker (présenté comme tel) faisait une démonstration d'une interception
d'un numéro de carte bleu sur une connexion SSL https, le journaliste
insistait longuement sur la présence du petit cadenas dans le coin du
navigateur. Effectivement, le gars, à 3m, a eu accès au dialogue en
clair de la connexion et n'a eu aucun mal a identifié les éléments de la
carte bleue. A l'exposé, le hacker expliquait intercepter les paquets et
décrypter le tout. Mon opinion est qu'il «grugeait» et qu'il avait mis
un cheval de troie sur la machine du client cependant je voudrais être
sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de
décrypter à la volée une connexion SSL type https?
Sauf si tu dialogues avec lui et qu'il ne fait que retransmettre au
serveur initial...
Cherche "man in the middle ssh" avec google et tu verras que c'est facile...
Bonjour, je suis tombé par hasard sur une séquence à la télé où un hacker (présenté comme tel) faisait une démonstration d'une interception d'un numéro de carte bleu sur une connexion SSL https, le journaliste insistait longuement sur la présence du petit cadenas dans le coin du navigateur. Effectivement, le gars, à 3m, a eu accès au dialogue en clair de la connexion et n'a eu aucun mal a identifié les éléments de la carte bleue. A l'exposé, le hacker expliquait intercepter les paquets et décrypter le tout. Mon opinion est qu'il «grugeait» et qu'il avait mis un cheval de troie sur la machine du client cependant je voudrais être sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de décrypter à la volée une connexion SSL type https?
Sauf si tu dialogues avec lui et qu'il ne fait que retransmettre au serveur initial...
Cherche "man in the middle ssh" avec google et tu verras que c'est facile...
On Wed, Sep 14, 2005 at 08:04:46AM +0200, François Boisson wrote a message of 32 lines which said:
j'en ai déduit que le gars avec mis un sniffer sur la machine même du «gogo». Je voulais en être sûr.
Il y a des tas d'autres possibilités. Voir une liste partielle dans mon précédent message.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Tue, Sep 13, 2005 at 10:55:41PM +0200, wrote a message of 22 lines which said:
La vérification du certificat du site par le navigateur n'est pas censée empêcher ça ?
En théorie si, mais que font la quasi-totalité des utilisateurs (à commencer par moi) lorsqu'un message d'avertissement apparait leur demandant s'ils veulent vraiment continuer, malgré le problème avec le certificat ? S'ils répondent Non, ils se coupent eux-même du service qu'ils ont demandé. Alors, ils répondent Oui.
Demander aux utilisateurs une analyse de la sécurité d'un système est absurde. C'est une des raisons pour lesquells je dis que SSL est a une fonction largement psychologique. Quand je lis qu'un service est "sécurisé", je détecte l'huile de serpent tout de suite :-)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Tue, Sep 13, 2005 at 10:55:41PM +0200,
Pascal@plouf <pascal.mail@plouf.fr.eu.org> wrote
a message of 22 lines which said:
La vérification du certificat du site par le navigateur n'est pas
censée empêcher ça ?
En théorie si, mais que font la quasi-totalité des utilisateurs (à
commencer par moi) lorsqu'un message d'avertissement apparait leur
demandant s'ils veulent vraiment continuer, malgré le problème avec le
certificat ? S'ils répondent Non, ils se coupent eux-même du service
qu'ils ont demandé. Alors, ils répondent Oui.
Demander aux utilisateurs une analyse de la sécurité d'un système est
absurde. C'est une des raisons pour lesquells je dis que SSL est a une
fonction largement psychologique. Quand je lis qu'un service est
"sécurisé", je détecte l'huile de serpent tout de suite :-)
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Tue, Sep 13, 2005 at 10:55:41PM +0200, wrote a message of 22 lines which said:
La vérification du certificat du site par le navigateur n'est pas censée empêcher ça ?
En théorie si, mais que font la quasi-totalité des utilisateurs (à commencer par moi) lorsqu'un message d'avertissement apparait leur demandant s'ils veulent vraiment continuer, malgré le problème avec le certificat ? S'ils répondent Non, ils se coupent eux-même du service qu'ils ont demandé. Alors, ils répondent Oui.
Demander aux utilisateurs une analyse de la sécurité d'un système est absurde. C'est une des raisons pour lesquells je dis que SSL est a une fonction largement psychologique. Quand je lis qu'un service est "sécurisé", je détecte l'huile de serpent tout de suite :-)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Marc PERRUDIN
François Boisson a écrit :
Bonjour, je suis tombé par hasard sur une séquence à la télé où un hacker (présenté comme tel) faisait une démonstration d'une interception d'un numéro de carte bleu sur une connexion SSL https, le journaliste insistait longuement sur la présence du petit cadenas dans le coin du navigateur. Effectivement, le gars, à 3m, a eu accès au dialogue en clair de la connexion et n'a eu aucun mal a identifié les éléments de la carte bleue. A l'exposé, le hacker expliquait intercepter les paquets et décrypter le tout. Mon opinion est qu'il «grugeait» et qu'il avait mis un cheval de troie sur la machine du client cependant je voudrais être sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de décrypter à la volée une connexion SSL type https?
J'ai aussi vu ce reportage. Ce n'est pas leur premier coup mediatique, il ont deja fini en garde a vue (je crois que c'est toujours les memes : voir www.linuxfr.org/2002/10/01/9828.html, l'article paru dans Le Monde n'est plus dispo). Du coup, ils reviennent avec un nouveau nom : 'The academy"
Pour resumé, les demos qu'ils presentent pourraient s'appeler 'le reve du kacker du dimanche'. En effet, pour ce que j'ai pu voir dans cette 'Academy', ils presentent toujours des situations difficile a obtenir et omettent souvent des details tres importants et les preparatifs necessaires pour que la demo fonctionne sachant que ses details sont la plupart du temps impossibles a mettre en place dans une situation réelle.
Dans le reportage, ils se sont probablement contentés de préparé une attaque Man in the middle en ne montrant que le resultat aux journalistes. Le cadenas est peut etre apparu seulement après la salve d'avertissement habituelle du a un mauvais certificat, le 'pirate' se retrouvait sans difficulté sur le chemin des paquets... etc. C'est peut etre meme un simple cheval de troie comme l'a suggeré quelqu'un dans une autre reponse.
Si les journalistes continuent a ne pas verifier leurs sources, surtout dans ce domaine, ils vont avoir droit a un nouveau cas 'Dead or alive' (147 suicides par ingestion de poches de silicone suite au retard dans la sorti du jeu et le tout au 20heures de france 2!!!)
François Boisson
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson a écrit :
Bonjour, je suis tombé par hasard sur une séquence à la télé où un
hacker (présenté comme tel) faisait une démonstration d'une interception
d'un numéro de carte bleu sur une connexion SSL https, le journaliste
insistait longuement sur la présence du petit cadenas dans le coin du
navigateur. Effectivement, le gars, à 3m, a eu accès au dialogue en
clair de la connexion et n'a eu aucun mal a identifié les éléments de la
carte bleue. A l'exposé, le hacker expliquait intercepter les paquets et
décrypter le tout. Mon opinion est qu'il «grugeait» et qu'il avait mis
un cheval de troie sur la machine du client cependant je voudrais être
sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de
décrypter à la volée une connexion SSL type https?
J'ai aussi vu ce reportage. Ce n'est pas leur premier coup mediatique,
il ont deja fini en garde a vue (je crois que c'est toujours les memes :
voir www.linuxfr.org/2002/10/01/9828.html, l'article paru dans Le Monde
n'est plus dispo). Du coup, ils reviennent avec un nouveau nom : 'The
academy"
Pour resumé, les demos qu'ils presentent pourraient s'appeler 'le reve
du kacker du dimanche'. En effet, pour ce que j'ai pu voir dans cette
'Academy', ils presentent toujours des situations difficile a obtenir et
omettent souvent des details tres importants et les preparatifs
necessaires pour que la demo fonctionne sachant que ses details sont la
plupart du temps impossibles a mettre en place dans une situation réelle.
Dans le reportage, ils se sont probablement contentés de préparé une
attaque Man in the middle en ne montrant que le resultat aux
journalistes. Le cadenas est peut etre apparu seulement après la salve
d'avertissement habituelle du a un mauvais certificat, le 'pirate' se
retrouvait sans difficulté sur le chemin des paquets... etc. C'est peut
etre meme un simple cheval de troie comme l'a suggeré quelqu'un dans une
autre reponse.
Si les journalistes continuent a ne pas verifier leurs sources, surtout
dans ce domaine, ils vont avoir droit a un nouveau cas 'Dead or alive'
(147 suicides par ingestion de poches de silicone suite au retard dans
la sorti du jeu et le tout au 20heures de france 2!!!)
François Boisson
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Bonjour, je suis tombé par hasard sur une séquence à la télé où un hacker (présenté comme tel) faisait une démonstration d'une interception d'un numéro de carte bleu sur une connexion SSL https, le journaliste insistait longuement sur la présence du petit cadenas dans le coin du navigateur. Effectivement, le gars, à 3m, a eu accès au dialogue en clair de la connexion et n'a eu aucun mal a identifié les éléments de la carte bleue. A l'exposé, le hacker expliquait intercepter les paquets et décrypter le tout. Mon opinion est qu'il «grugeait» et qu'il avait mis un cheval de troie sur la machine du client cependant je voudrais être sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de décrypter à la volée une connexion SSL type https?
J'ai aussi vu ce reportage. Ce n'est pas leur premier coup mediatique, il ont deja fini en garde a vue (je crois que c'est toujours les memes : voir www.linuxfr.org/2002/10/01/9828.html, l'article paru dans Le Monde n'est plus dispo). Du coup, ils reviennent avec un nouveau nom : 'The academy"
Pour resumé, les demos qu'ils presentent pourraient s'appeler 'le reve du kacker du dimanche'. En effet, pour ce que j'ai pu voir dans cette 'Academy', ils presentent toujours des situations difficile a obtenir et omettent souvent des details tres importants et les preparatifs necessaires pour que la demo fonctionne sachant que ses details sont la plupart du temps impossibles a mettre en place dans une situation réelle.
Dans le reportage, ils se sont probablement contentés de préparé une attaque Man in the middle en ne montrant que le resultat aux journalistes. Le cadenas est peut etre apparu seulement après la salve d'avertissement habituelle du a un mauvais certificat, le 'pirate' se retrouvait sans difficulté sur le chemin des paquets... etc. C'est peut etre meme un simple cheval de troie comme l'a suggeré quelqu'un dans une autre reponse.
Si les journalistes continuent a ne pas verifier leurs sources, surtout dans ce domaine, ils vont avoir droit a un nouveau cas 'Dead or alive' (147 suicides par ingestion de poches de silicone suite au retard dans la sorti du jeu et le tout au 20heures de france 2!!!)
François Boisson
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
