4) On peut aussi utiliser un cheval de Troie.
5) Enfin, il y a les failles de sécurité dans la mise en oeuvre de
SSL (je n'ai pas de cas précis en tête mais tout peut arriver) ou dans
le protocole (comme l'attaque qui permettait, dans les vieilles
versions de SSL, de forcer le passage en chiffrement faible, même si
le navigateur savait faire du fort).
4) On peut aussi utiliser un cheval de Troie.
5) Enfin, il y a les failles de sécurité dans la mise en oeuvre de
SSL (je n'ai pas de cas précis en tête mais tout peut arriver) ou dans
le protocole (comme l'attaque qui permettait, dans les vieilles
versions de SSL, de forcer le passage en chiffrement faible, même si
le navigateur savait faire du fort).
4) On peut aussi utiliser un cheval de Troie.
5) Enfin, il y a les failles de sécurité dans la mise en oeuvre de
SSL (je n'ai pas de cas précis en tête mais tout peut arriver) ou dans
le protocole (comme l'attaque qui permettait, dans les vieilles
versions de SSL, de forcer le passage en chiffrement faible, même si
le navigateur savait faire du fort).
François Boisson a écrit :
>Bonjour, je suis tombé par hasard sur une séquence à la télé o ù un
>hacker (présenté comme tel) faisait une démonstration d'une interc eption
>d'un numéro de carte bleu sur une connexion SSL https, le journaliste
>insistait longuement sur la présence du petit cadenas dans le coin du
>navigateur. Effectivement, le gars, à 3m, a eu accès au dialogue en
>clair de la connexion et n'a eu aucun mal a identifié les éléments de la
>carte bleue. A l'exposé, le hacker expliquait intercepter les paquets et
>décrypter le tout.
Mon opinion est qu'il «grugeait» et qu'il avait mis
>un cheval de troie sur la machine du client cependant je voudrais être
>sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter e t de
>décrypter à la volée une connexion SSL type https?
>
>
J'ai aussi vu ce reportage. Ce n'est pas leur premier coup mediatique,
il ont deja fini en garde a vue (je crois que c'est toujours les memes :
voir www.linuxfr.org/2002/10/01/9828.html, l'article paru dans Le Monde
n'est plus dispo). Du coup, ils reviennent avec un nouveau nom : 'The
academy"
Pour resumé, les demos qu'ils presentent pourraient s'appeler 'le reve
du kacker du dimanche'. En effet, pour ce que j'ai pu voir dans cette
'Academy', ils presentent toujours des situations difficile a obtenir et
omettent souvent des details tres importants et les preparatifs
necessaires pour que la demo fonctionne sachant que ses details sont la
plupart du temps impossibles a mettre en place dans une situation réell e.
Dans le reportage, ils se sont probablement contentés de préparé un e
attaque Man in the middle en ne montrant que le resultat aux
journalistes. Le cadenas est peut etre apparu seulement après la salve
d'avertissement habituelle du a un mauvais certificat, le 'pirate' se
retrouvait sans difficulté sur le chemin des paquets... etc. C'est peut
etre meme un simple cheval de troie comme l'a suggeré quelqu'un dans un e
autre reponse.
Si les journalistes continuent a ne pas verifier leurs sources, surtout
dans ce domaine, ils vont avoir droit a un nouveau cas 'Dead or alive'
(147 suicides par ingestion de poches de silicone suite au retard dans
la sorti du jeu et le tout au 20heures de france 2!!!)
>
>François Boisson
>
>
>
>
François Boisson a écrit :
>Bonjour, je suis tombé par hasard sur une séquence à la télé o ù un
>hacker (présenté comme tel) faisait une démonstration d'une interc eption
>d'un numéro de carte bleu sur une connexion SSL https, le journaliste
>insistait longuement sur la présence du petit cadenas dans le coin du
>navigateur. Effectivement, le gars, à 3m, a eu accès au dialogue en
>clair de la connexion et n'a eu aucun mal a identifié les éléments de la
>carte bleue. A l'exposé, le hacker expliquait intercepter les paquets et
>décrypter le tout.
Mon opinion est qu'il «grugeait» et qu'il avait mis
>un cheval de troie sur la machine du client cependant je voudrais être
>sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter e t de
>décrypter à la volée une connexion SSL type https?
>
>
J'ai aussi vu ce reportage. Ce n'est pas leur premier coup mediatique,
il ont deja fini en garde a vue (je crois que c'est toujours les memes :
voir www.linuxfr.org/2002/10/01/9828.html, l'article paru dans Le Monde
n'est plus dispo). Du coup, ils reviennent avec un nouveau nom : 'The
academy"
Pour resumé, les demos qu'ils presentent pourraient s'appeler 'le reve
du kacker du dimanche'. En effet, pour ce que j'ai pu voir dans cette
'Academy', ils presentent toujours des situations difficile a obtenir et
omettent souvent des details tres importants et les preparatifs
necessaires pour que la demo fonctionne sachant que ses details sont la
plupart du temps impossibles a mettre en place dans une situation réell e.
Dans le reportage, ils se sont probablement contentés de préparé un e
attaque Man in the middle en ne montrant que le resultat aux
journalistes. Le cadenas est peut etre apparu seulement après la salve
d'avertissement habituelle du a un mauvais certificat, le 'pirate' se
retrouvait sans difficulté sur le chemin des paquets... etc. C'est peut
etre meme un simple cheval de troie comme l'a suggeré quelqu'un dans un e
autre reponse.
Si les journalistes continuent a ne pas verifier leurs sources, surtout
dans ce domaine, ils vont avoir droit a un nouveau cas 'Dead or alive'
(147 suicides par ingestion de poches de silicone suite au retard dans
la sorti du jeu et le tout au 20heures de france 2!!!)
>
>François Boisson
>
>
>
>
François Boisson a écrit :
>Bonjour, je suis tombé par hasard sur une séquence à la télé o ù un
>hacker (présenté comme tel) faisait une démonstration d'une interc eption
>d'un numéro de carte bleu sur une connexion SSL https, le journaliste
>insistait longuement sur la présence du petit cadenas dans le coin du
>navigateur. Effectivement, le gars, à 3m, a eu accès au dialogue en
>clair de la connexion et n'a eu aucun mal a identifié les éléments de la
>carte bleue. A l'exposé, le hacker expliquait intercepter les paquets et
>décrypter le tout.
Mon opinion est qu'il «grugeait» et qu'il avait mis
>un cheval de troie sur la machine du client cependant je voudrais être
>sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter e t de
>décrypter à la volée une connexion SSL type https?
>
>
J'ai aussi vu ce reportage. Ce n'est pas leur premier coup mediatique,
il ont deja fini en garde a vue (je crois que c'est toujours les memes :
voir www.linuxfr.org/2002/10/01/9828.html, l'article paru dans Le Monde
n'est plus dispo). Du coup, ils reviennent avec un nouveau nom : 'The
academy"
Pour resumé, les demos qu'ils presentent pourraient s'appeler 'le reve
du kacker du dimanche'. En effet, pour ce que j'ai pu voir dans cette
'Academy', ils presentent toujours des situations difficile a obtenir et
omettent souvent des details tres importants et les preparatifs
necessaires pour que la demo fonctionne sachant que ses details sont la
plupart du temps impossibles a mettre en place dans une situation réell e.
Dans le reportage, ils se sont probablement contentés de préparé un e
attaque Man in the middle en ne montrant que le resultat aux
journalistes. Le cadenas est peut etre apparu seulement après la salve
d'avertissement habituelle du a un mauvais certificat, le 'pirate' se
retrouvait sans difficulté sur le chemin des paquets... etc. C'est peut
etre meme un simple cheval de troie comme l'a suggeré quelqu'un dans un e
autre reponse.
Si les journalistes continuent a ne pas verifier leurs sources, surtout
dans ce domaine, ils vont avoir droit a un nouveau cas 'Dead or alive'
(147 suicides par ingestion de poches de silicone suite au retard dans
la sorti du jeu et le tout au 20heures de france 2!!!)
>
>François Boisson
>
>
>
>
Le mercredi 14 septembre 2005 à 12:22 +0200, Marc PERRUDIN a écrit :
> François Boisson a écrit :
>
> >Bonjour, je suis tombé par hasard sur une séquence à la télé où un
> >hacker (présenté comme tel) faisait une démonstration d'une
> >interception d'un numéro de carte bleu sur une connexion SSL https,
> >le journaliste insistait longuement sur la présence du petit
> >cadenas dans le coin du navigateur. Effectivement, le gars, à 3m, a
> >eu accès au dialogue en clair de la connexion et n'a eu aucun mal a
> >identifié les éléments de la carte bleue. A l'exposé, le hacker
> >expliquait intercepter les paquets et décrypter le tout.
J'ai aussi vu le reportage, et j'ai fait un arrêt sur écran tellement
j'étais surpris... la ptite fenêtre avec des trucs incompréhensibles
en noir et blanc (ça fait tellement bien, le fond noir, point de vue
communication, tout à fait dans le trip hacker...) ressemblait à un
bête tcpdump en clair...
je pense qu'il est beaucoup plus facile de faire croire à un
journaliste qu'on a piraté un code de CB que de le faire réellement...
pour un journaliste, c'est aussi beaucoup plus facile de montrer un
hacker "craquer" votre gentil code de cb que de se renseigner
réellement... pour un téléspectateur, c'est beaucoup plus tentant de
croire le "bad boy" un peu mystérieux que l'attaché sécurité d'une
banque en costard... pour une télé, c'est plus rentable de fournir du
frisson et de l'interrogation qu'un plat RAS ou qu'une analyse
complète...
De l'info à la réalité, il y a tellement de "tentations
déviantes..."... et même si ils ne savent pas craquer un SSL, yen a
qui savent communiquer :-)
Ou bien, les mecs ont trouvé comment factoriser rapidement :-) et là,
chapeau, n'est-ce pas, msieu le prof de Math !?!
Le mercredi 14 septembre 2005 à 12:22 +0200, Marc PERRUDIN a écrit :
> François Boisson a écrit :
>
> >Bonjour, je suis tombé par hasard sur une séquence à la télé où un
> >hacker (présenté comme tel) faisait une démonstration d'une
> >interception d'un numéro de carte bleu sur une connexion SSL https,
> >le journaliste insistait longuement sur la présence du petit
> >cadenas dans le coin du navigateur. Effectivement, le gars, à 3m, a
> >eu accès au dialogue en clair de la connexion et n'a eu aucun mal a
> >identifié les éléments de la carte bleue. A l'exposé, le hacker
> >expliquait intercepter les paquets et décrypter le tout.
J'ai aussi vu le reportage, et j'ai fait un arrêt sur écran tellement
j'étais surpris... la ptite fenêtre avec des trucs incompréhensibles
en noir et blanc (ça fait tellement bien, le fond noir, point de vue
communication, tout à fait dans le trip hacker...) ressemblait à un
bête tcpdump en clair...
je pense qu'il est beaucoup plus facile de faire croire à un
journaliste qu'on a piraté un code de CB que de le faire réellement...
pour un journaliste, c'est aussi beaucoup plus facile de montrer un
hacker "craquer" votre gentil code de cb que de se renseigner
réellement... pour un téléspectateur, c'est beaucoup plus tentant de
croire le "bad boy" un peu mystérieux que l'attaché sécurité d'une
banque en costard... pour une télé, c'est plus rentable de fournir du
frisson et de l'interrogation qu'un plat RAS ou qu'une analyse
complète...
De l'info à la réalité, il y a tellement de "tentations
déviantes..."... et même si ils ne savent pas craquer un SSL, yen a
qui savent communiquer :-)
Ou bien, les mecs ont trouvé comment factoriser rapidement :-) et là,
chapeau, n'est-ce pas, msieu le prof de Math !?!
Le mercredi 14 septembre 2005 à 12:22 +0200, Marc PERRUDIN a écrit :
> François Boisson a écrit :
>
> >Bonjour, je suis tombé par hasard sur une séquence à la télé où un
> >hacker (présenté comme tel) faisait une démonstration d'une
> >interception d'un numéro de carte bleu sur une connexion SSL https,
> >le journaliste insistait longuement sur la présence du petit
> >cadenas dans le coin du navigateur. Effectivement, le gars, à 3m, a
> >eu accès au dialogue en clair de la connexion et n'a eu aucun mal a
> >identifié les éléments de la carte bleue. A l'exposé, le hacker
> >expliquait intercepter les paquets et décrypter le tout.
J'ai aussi vu le reportage, et j'ai fait un arrêt sur écran tellement
j'étais surpris... la ptite fenêtre avec des trucs incompréhensibles
en noir et blanc (ça fait tellement bien, le fond noir, point de vue
communication, tout à fait dans le trip hacker...) ressemblait à un
bête tcpdump en clair...
je pense qu'il est beaucoup plus facile de faire croire à un
journaliste qu'on a piraté un code de CB que de le faire réellement...
pour un journaliste, c'est aussi beaucoup plus facile de montrer un
hacker "craquer" votre gentil code de cb que de se renseigner
réellement... pour un téléspectateur, c'est beaucoup plus tentant de
croire le "bad boy" un peu mystérieux que l'attaché sécurité d'une
banque en costard... pour une télé, c'est plus rentable de fournir du
frisson et de l'interrogation qu'un plat RAS ou qu'une analyse
complète...
De l'info à la réalité, il y a tellement de "tentations
déviantes..."... et même si ils ne savent pas craquer un SSL, yen a
qui savent communiquer :-)
Ou bien, les mecs ont trouvé comment factoriser rapidement :-) et là,
chapeau, n'est-ce pas, msieu le prof de Math !?!
Certes mais pour le journaliste, c'est quand même mentir (grave faute
professionnel tout de même), j'ai du mal à croire qu'il [le journaliste]
l'ait fait volontairement dans ce cas.
Certes mais pour le journaliste, c'est quand même mentir (grave faute
professionnel tout de même), j'ai du mal à croire qu'il [le journaliste]
l'ait fait volontairement dans ce cas.
Certes mais pour le journaliste, c'est quand même mentir (grave faute
professionnel tout de même), j'ai du mal à croire qu'il [le journaliste]
l'ait fait volontairement dans ce cas.
et il n'y aurait plus d'infos du tout sur TF1
(entre autres)...
et il n'y aurait plus d'infos du tout sur TF1
(entre autres)...
et il n'y aurait plus d'infos du tout sur TF1
(entre autres)...
Par ailleurs, le codage RSA est très lent donc la plupart du temps,
un codage réel constitue en un codage RSA d'un clé très longue suivi
du codage du texte de manière plus classique par cette clef très
longue.
Ceci peut être une faiblesse,
Par ailleurs, le codage RSA est très lent donc la plupart du temps,
un codage réel constitue en un codage RSA d'un clé très longue suivi
du codage du texte de manière plus classique par cette clef très
longue.
Ceci peut être une faiblesse,
Par ailleurs, le codage RSA est très lent donc la plupart du temps,
un codage réel constitue en un codage RSA d'un clé très longue suivi
du codage du texte de manière plus classique par cette clef très
longue.
Ceci peut être une faiblesse,
On Wed, Sep 14, 2005 at 06:41:29PM +0200,
François Boisson wrote
a message of 72 lines which said:
> Par ailleurs, le codage RSA est très lent donc la plupart du temps,
> un codage réel constitue en un codage RSA d'un clé très longue suivi
> du codage du texte de manière plus classique par cette clef très
> longue.
Oui.
> Ceci peut être une faiblesse,
Non, la grande majorité des cryptographes (je n'en suis pas un)
considère que c'est la partie RSA qui est le maillon faible.
Sinon, il ne faut pas négliger les bêtes bogues. Un système sécurisé,
c'est :
- un algorithme que les matheux n'ont pas encore réussi à casser (il y
en a peu mais ils sont en général très solides),
- un protocole que les experts en sécurité n'ont pas encore réussi à
casser (c'est déjà plus dur, les systèmes cryptographiques sont
souvent cassés via une erreur dans le protocole, c'était arrivé à SSL
v1),
- une implémentation sans bogues (et là, on est en pleine
science-fiction).
On Wed, Sep 14, 2005 at 06:41:29PM +0200,
François Boisson <user.anti-spam@maison.homelinux.net> wrote
a message of 72 lines which said:
> Par ailleurs, le codage RSA est très lent donc la plupart du temps,
> un codage réel constitue en un codage RSA d'un clé très longue suivi
> du codage du texte de manière plus classique par cette clef très
> longue.
Oui.
> Ceci peut être une faiblesse,
Non, la grande majorité des cryptographes (je n'en suis pas un)
considère que c'est la partie RSA qui est le maillon faible.
Sinon, il ne faut pas négliger les bêtes bogues. Un système sécurisé,
c'est :
- un algorithme que les matheux n'ont pas encore réussi à casser (il y
en a peu mais ils sont en général très solides),
- un protocole que les experts en sécurité n'ont pas encore réussi à
casser (c'est déjà plus dur, les systèmes cryptographiques sont
souvent cassés via une erreur dans le protocole, c'était arrivé à SSL
v1),
- une implémentation sans bogues (et là, on est en pleine
science-fiction).
On Wed, Sep 14, 2005 at 06:41:29PM +0200,
François Boisson wrote
a message of 72 lines which said:
> Par ailleurs, le codage RSA est très lent donc la plupart du temps,
> un codage réel constitue en un codage RSA d'un clé très longue suivi
> du codage du texte de manière plus classique par cette clef très
> longue.
Oui.
> Ceci peut être une faiblesse,
Non, la grande majorité des cryptographes (je n'en suis pas un)
considère que c'est la partie RSA qui est le maillon faible.
Sinon, il ne faut pas négliger les bêtes bogues. Un système sécurisé,
c'est :
- un algorithme que les matheux n'ont pas encore réussi à casser (il y
en a peu mais ils sont en général très solides),
- un protocole que les experts en sécurité n'ont pas encore réussi à
casser (c'est déjà plus dur, les systèmes cryptographiques sont
souvent cassés via une erreur dans le protocole, c'était arrivé à SSL
v1),
- une implémentation sans bogues (et là, on est en pleine
science-fiction).
