Je pense que l'utilisation impérative de la souris et l'affichage à
l'écran d'un écho de la saisie du digicode
(animation de l'enfoncement et du relâchement des touches du clavier
virtuel) constituent une grande
vulnérabilité des postes clients aux indiscressions d'origines pirates
diverses, surtout si l'on prend en
compte les éléments suivants :
- Les dispositifs de pointage sont de plus en plus des souris radio
(sans fil).
- Les postes clients sont encore largement équipés d'écrans à tubes
cathodique.
- Ces deux types d'équipements sont faciles à espionner à distance via
leurs rayonnements électromagnétiques.
- En plus de l'animation des touches du clavier virtuel, le pointeur de
la souris peut aussi trahir le code
secret.
- Par simple indiscression visuelle, il me semble plus facile
d'intercepter le code secret affiché à l'écran
que la frappe d'un clavier classique, surtout vu que la saisie au
clavier virtuel est longue de part le temps
nécessaire pour viser une touche et du fait de la temporisation qui
valide l'appuis sur une touche.
Si votre nouvelle méthode de saisie se voulait être une protection
contre les 'root kits' (dirigés contre
Windows, les Unices et comparces), sachez que c'est raté !
En effet, n'importe quel programme sans privilège peut scruter en
continu la position du pointeur de la souris
à l'écran, quelquesoit la fenêtre active, et vu les spécificités de
votre clavier virtuel, décodera facilement
le digicode saisi par l'utilisateur.
Merci d'y réfliéchir à deux fois avant d' *IMPOSER* une nouvelle
technologie dans un domaine aussi sensible.
--- Fin du message que je dois condenser pour l'adresser à <ma banque> ---
Par rapport au SSTIC, j'y serais cette année encore, et comme chaque année, je serais ravi de rencontrer IRL les lurkeurs/posteurs de ce groupe qui le souhaitent, par exemple autour d'une bière. Normalement, on a tous des badges, donc je serais facile à repérer. A bon entendeur ...
Nicob
On Mon, 29 May 2006 18:05:29 +0000, Kevin Denis wrote:
Par rapport au SSTIC, j'y serais cette année encore, et comme chaque
année, je serais ravi de rencontrer IRL les lurkeurs/posteurs de ce
groupe qui le souhaitent, par exemple autour d'une bière. Normalement, on
a tous des badges, donc je serais facile à repérer. A bon entendeur ...
Par rapport au SSTIC, j'y serais cette année encore, et comme chaque année, je serais ravi de rencontrer IRL les lurkeurs/posteurs de ce groupe qui le souhaitent, par exemple autour d'une bière. Normalement, on a tous des badges, donc je serais facile à repérer. A bon entendeur ...
Nicob
Thibaut Henin
Windows, les Unices et comparces), sachez que c'est raté ! En effet, n'importe quel programme sans privilège peut scruter en continu la position du pointeur de la souris
Que pensez-vous de ces nouveaux risques ?
J'attend vos avis sur la question.
Sur le site du ******** [pas de marques :p], le clavier virtuel n'est jamais le même... Il change à chaque fois. Pour un rootkit, c'est plus difficile puisqu'il ne peut pas se contenter d'espionner la souris mais en plus doit savoir ce qu'il y a d'affiché. C'est aussi possible (puisqu'une fenêtre est capable d'être transparente).
Par contre, ça ne protège pas des antennes TV bien dirigées :( Pour relativiser, ce piratage ne peut se faire que de manière ciblée. Puisqu'il faut être là au bon moment et au bon endroit, le "pirate" doit forcément choisir sa cible et ne plus la lacher pendant un petit temps. Ca limite déjà les risques.
Je suis d'accord quand même que n'importe quel pirate ayant les connaissances/moyens/audace de faire ça aura pris la peine de faire un "sondage" pour savoir dans son entourage qui utilise le web pour aller sur sa banque et aura donc toute les chances de réussir.
Par contre, du fait de la tracabilité des virements banquaires, ce pirate devra aussi avoir un conte dans un paradis fiscal garantissant l'anonymat sous peine d'extradition (ou simplement d'arrestation s'il reste dans le pays). Si un pirate tente le coup et que ça ce voit, les banques s'uniront pour faire taire l'affaire et anonymat ou non, on le retrouvera (on s'attaque pas aux banques comme ça).
En terme de guerre économique, une banque pourrait très bien angager du monde pour pirater les contes des banques rivales et faire baisser leur crédibilité... (je me demande pourquoi elles ne le font pas !?)
En même temps, vu la qualité des personnels engagés en Sécu info (on prend plus la forme que le fond des postulants), plus rien ne m'étonne et j'ai pris comme adage de "ne faire confiance qu'a soit-même".
Windows, les Unices et comparces), sachez que c'est raté !
En effet, n'importe quel programme sans privilège peut scruter en
continu la position du pointeur de la souris
Que pensez-vous de ces nouveaux risques ?
J'attend vos avis sur la question.
Sur le site du ******** [pas de marques :p], le clavier virtuel n'est
jamais le même... Il change à chaque fois. Pour un rootkit, c'est plus
difficile puisqu'il ne peut pas se contenter d'espionner la souris mais
en plus doit savoir ce qu'il y a d'affiché. C'est aussi possible
(puisqu'une fenêtre est capable d'être transparente).
Par contre, ça ne protège pas des antennes TV bien dirigées :( Pour
relativiser, ce piratage ne peut se faire que de manière ciblée.
Puisqu'il faut être là au bon moment et au bon endroit, le "pirate" doit
forcément choisir sa cible et ne plus la lacher pendant un petit temps.
Ca limite déjà les risques.
Je suis d'accord quand même que n'importe quel pirate ayant les
connaissances/moyens/audace de faire ça aura pris la peine de faire un
"sondage" pour savoir dans son entourage qui utilise le web pour aller
sur sa banque et aura donc toute les chances de réussir.
Par contre, du fait de la tracabilité des virements banquaires, ce
pirate devra aussi avoir un conte dans un paradis fiscal garantissant
l'anonymat sous peine d'extradition (ou simplement d'arrestation s'il
reste dans le pays). Si un pirate tente le coup et que ça ce voit, les
banques s'uniront pour faire taire l'affaire et anonymat ou non, on le
retrouvera (on s'attaque pas aux banques comme ça).
En terme de guerre économique, une banque pourrait très bien angager du
monde pour pirater les contes des banques rivales et faire baisser leur
crédibilité... (je me demande pourquoi elles ne le font pas !?)
En même temps, vu la qualité des personnels engagés en Sécu info (on
prend plus la forme que le fond des postulants), plus rien ne m'étonne
et j'ai pris comme adage de "ne faire confiance qu'a soit-même".
Windows, les Unices et comparces), sachez que c'est raté ! En effet, n'importe quel programme sans privilège peut scruter en continu la position du pointeur de la souris
Que pensez-vous de ces nouveaux risques ?
J'attend vos avis sur la question.
Sur le site du ******** [pas de marques :p], le clavier virtuel n'est jamais le même... Il change à chaque fois. Pour un rootkit, c'est plus difficile puisqu'il ne peut pas se contenter d'espionner la souris mais en plus doit savoir ce qu'il y a d'affiché. C'est aussi possible (puisqu'une fenêtre est capable d'être transparente).
Par contre, ça ne protège pas des antennes TV bien dirigées :( Pour relativiser, ce piratage ne peut se faire que de manière ciblée. Puisqu'il faut être là au bon moment et au bon endroit, le "pirate" doit forcément choisir sa cible et ne plus la lacher pendant un petit temps. Ca limite déjà les risques.
Je suis d'accord quand même que n'importe quel pirate ayant les connaissances/moyens/audace de faire ça aura pris la peine de faire un "sondage" pour savoir dans son entourage qui utilise le web pour aller sur sa banque et aura donc toute les chances de réussir.
Par contre, du fait de la tracabilité des virements banquaires, ce pirate devra aussi avoir un conte dans un paradis fiscal garantissant l'anonymat sous peine d'extradition (ou simplement d'arrestation s'il reste dans le pays). Si un pirate tente le coup et que ça ce voit, les banques s'uniront pour faire taire l'affaire et anonymat ou non, on le retrouvera (on s'attaque pas aux banques comme ça).
En terme de guerre économique, une banque pourrait très bien angager du monde pour pirater les contes des banques rivales et faire baisser leur crédibilité... (je me demande pourquoi elles ne le font pas !?)
En même temps, vu la qualité des personnels engagés en Sécu info (on prend plus la forme que le fond des postulants), plus rien ne m'étonne et j'ai pris comme adage de "ne faire confiance qu'a soit-même".
Eric Lalitte
"Hercule Poirot" wrote in message news:447ab881$0$20154$
Que pensez-vous de ces nouveaux risques ?
Qu'ils ne sont pas nouveaux. Que les banques sont au courant.
A quand un clavier virtuel libre, open source, personnalisable ? Maintenant: <pub> http://www.cvk.fr </pub>
Deux aspects intéressants. Ce clavier permet de faire défiler les caractères et de cliquer quand on est sur le bon. Il permet aussi de customiser son clavier pour que les lettres soient dans l'ordre que l'on veut, ainsi on ne peut pas deviner sur quelle lettre la souris a cliqué en fonction de sa position.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Hercule Poirot" <hercule.poirot@labas.nul> wrote in message
news:447ab881$0$20154$8fcfb975@news.wanadoo.fr
Que pensez-vous de ces nouveaux risques ?
Qu'ils ne sont pas nouveaux.
Que les banques sont au courant.
A quand un clavier virtuel libre, open source, personnalisable ?
Maintenant:
<pub>
http://www.cvk.fr
</pub>
Deux aspects intéressants. Ce clavier permet de faire défiler les
caractères et de cliquer quand on est sur le bon. Il permet aussi de
customiser son clavier pour que les lettres soient dans l'ordre que l'on
veut, ainsi on ne peut pas deviner sur quelle lettre la souris a cliqué
en fonction de sa position.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Hercule Poirot" wrote in message news:447ab881$0$20154$
Que pensez-vous de ces nouveaux risques ?
Qu'ils ne sont pas nouveaux. Que les banques sont au courant.
A quand un clavier virtuel libre, open source, personnalisable ? Maintenant: <pub> http://www.cvk.fr </pub>
Deux aspects intéressants. Ce clavier permet de faire défiler les caractères et de cliquer quand on est sur le bon. Il permet aussi de customiser son clavier pour que les lettres soient dans l'ordre que l'on veut, ainsi on ne peut pas deviner sur quelle lettre la souris a cliqué en fonction de sa position.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Fabien LE LEZ
On 30 May 2006 15:52:37 GMT, "Eric Lalitte" :
Il permet aussi de customiser son clavier pour que les lettres soient dans l'ordre que l'on veut, ainsi on ne peut pas deviner sur quelle lettre la souris a cliqué en fonction de sa position.
Ça me paraît bidon, tout ça. Il suffit de capturer quelques pixels autour du pointeur de la souris et la protection est détournée.
En pratique, si la machine est assez compromise pour que la saisie d'un mot de passe au clavier soit considérée comme dangereuse, on ne peut rien faire d'autre que déplacer le problème pour tenter de faire croire à Mme Michu qu'elle est en sécurité.
On 30 May 2006 15:52:37 GMT, "Eric Lalitte" <bibi@antionline.org>:
Il permet aussi de
customiser son clavier pour que les lettres soient dans l'ordre que l'on
veut, ainsi on ne peut pas deviner sur quelle lettre la souris a cliqué
en fonction de sa position.
Ça me paraît bidon, tout ça. Il suffit de capturer quelques pixels
autour du pointeur de la souris et la protection est détournée.
En pratique, si la machine est assez compromise pour que la saisie
d'un mot de passe au clavier soit considérée comme dangereuse, on ne
peut rien faire d'autre que déplacer le problème pour tenter de faire
croire à Mme Michu qu'elle est en sécurité.
Il permet aussi de customiser son clavier pour que les lettres soient dans l'ordre que l'on veut, ainsi on ne peut pas deviner sur quelle lettre la souris a cliqué en fonction de sa position.
Ça me paraît bidon, tout ça. Il suffit de capturer quelques pixels autour du pointeur de la souris et la protection est détournée.
En pratique, si la machine est assez compromise pour que la saisie d'un mot de passe au clavier soit considérée comme dangereuse, on ne peut rien faire d'autre que déplacer le problème pour tenter de faire croire à Mme Michu qu'elle est en sécurité.
Eric Lalitte
"Fabien LE LEZ" wrote in message news:
Ça me paraît bidon, tout ça.
C'est juste que tu as mal regardé l'outil ;-)
Il suffit de capturer quelques pixels autour du pointeur de la souris et la protection est détournée.
Tu peux customiser le clavier, et notamment les touches de celui-ci donc tu peux aussi en modifier l'apparence pour qu'elles deviennent illisibles pour quelqu'un d'extérieur.
En pratique, si la machine est assez compromise pour que la saisie d'un mot de passe au clavier soit considérée comme dangereuse, on ne peut rien faire d'autre que déplacer le problème pour tenter de faire croire à Mme Michu qu'elle est en sécurité.
Entre un keylogger qui circule partout sur le net et est à disposition de tout script kiddy et les outils adaptés à une situation particulière il y a un monde... De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ?
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Fabien LE LEZ" <gramster@gramster.com> wrote in message
news:vpto72hq20m3v2h04t7mlgv5aj1dutvet9@4ax.com
Ça me paraît bidon, tout ça.
C'est juste que tu as mal regardé l'outil ;-)
Il suffit de capturer quelques pixels
autour du pointeur de la souris et la protection est détournée.
Tu peux customiser le clavier, et notamment les touches de celui-ci donc
tu peux aussi en modifier l'apparence pour qu'elles deviennent
illisibles pour quelqu'un d'extérieur.
En pratique, si la machine est assez compromise pour que la saisie
d'un mot de passe au clavier soit considérée comme dangereuse, on ne
peut rien faire d'autre que déplacer le problème pour tenter de faire
croire à Mme Michu qu'elle est en sécurité.
Entre un keylogger qui circule partout sur le net et est à disposition
de tout script kiddy et les outils adaptés à une situation particulière
il y a un monde...
De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ?
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Il suffit de capturer quelques pixels autour du pointeur de la souris et la protection est détournée.
Tu peux customiser le clavier, et notamment les touches de celui-ci donc tu peux aussi en modifier l'apparence pour qu'elles deviennent illisibles pour quelqu'un d'extérieur.
En pratique, si la machine est assez compromise pour que la saisie d'un mot de passe au clavier soit considérée comme dangereuse, on ne peut rien faire d'autre que déplacer le problème pour tenter de faire croire à Mme Michu qu'elle est en sécurité.
Entre un keylogger qui circule partout sur le net et est à disposition de tout script kiddy et les outils adaptés à une situation particulière il y a un monde... De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ?
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Thibaut Henin
Entre un keylogger qui circule partout sur le net et est à disposition de tout script kiddy et les outils adaptés à une situation particulière il y a un monde... De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ?
Pour votre raiseau personnel, ou celui de votre entreprise, peut-être, mais pour MON compte en banque, si. A moins que les banques ne s'engagent à rembourser les clients victimes d'attaques sur le web (ce qu'elle ne feront pas, et si elle le faisaient, je suppose qu'il y aurait tellement de conditions que ça n'arriverait jamais), je n'accepterai pas qu'une banque me propose un truc à 80 % sous prétexte que "la sécurité info blablabla".
Je suis informatitien, je connais les risques, je peux les identifier, et parfois les corriger. Mais si une banque refuse de corriger une faille que je lui signale sous prétexte : "vous comprennez, la sécu à 100%, c'est impossible, et puis c'est contraingnant", je trouve ça déplorable.
Entre un keylogger qui circule partout sur le net et est à disposition
de tout script kiddy et les outils adaptés à une situation particulière
il y a un monde...
De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ?
Pour votre raiseau personnel, ou celui de votre entreprise, peut-être,
mais pour MON compte en banque, si. A moins que les banques ne
s'engagent à rembourser les clients victimes d'attaques sur le web (ce
qu'elle ne feront pas, et si elle le faisaient, je suppose qu'il y
aurait tellement de conditions que ça n'arriverait jamais), je
n'accepterai pas qu'une banque me propose un truc à 80 % sous prétexte
que "la sécurité info blablabla".
Je suis informatitien, je connais les risques, je peux les identifier,
et parfois les corriger. Mais si une banque refuse de corriger une
faille que je lui signale sous prétexte : "vous comprennez, la sécu à
100%, c'est impossible, et puis c'est contraingnant", je trouve ça
déplorable.
Entre un keylogger qui circule partout sur le net et est à disposition de tout script kiddy et les outils adaptés à une situation particulière il y a un monde... De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ?
Pour votre raiseau personnel, ou celui de votre entreprise, peut-être, mais pour MON compte en banque, si. A moins que les banques ne s'engagent à rembourser les clients victimes d'attaques sur le web (ce qu'elle ne feront pas, et si elle le faisaient, je suppose qu'il y aurait tellement de conditions que ça n'arriverait jamais), je n'accepterai pas qu'une banque me propose un truc à 80 % sous prétexte que "la sécurité info blablabla".
Je suis informatitien, je connais les risques, je peux les identifier, et parfois les corriger. Mais si une banque refuse de corriger une faille que je lui signale sous prétexte : "vous comprennez, la sécu à 100%, c'est impossible, et puis c'est contraingnant", je trouve ça déplorable.
Eric Lalitte
"Thibaut Henin" wrote in message news:e5mjol$fsh$
De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ? Je suis informatitien, je connais les risques, je peux les identifier,
et parfois les corriger. Mais si une banque refuse de corriger une faille que je lui signale sous prétexte : "vous comprennez, la sécu à 100%, c'est impossible, et puis c'est contraingnant", je trouve ça déplorable.
C'était une boutade... Quant à la faille que vous lui indiquez, elle est structurelle. Grossièrement, le principe pour la banque est de sécuriser les accès à un niveau acceptable par rapport à la valeur des données à protéger. S'ils ont choisi ce système c'est qu'ils estiment que le niveau de sécurité ainsi atteint correspond aux enjeux.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Thibaut Henin" <Thibaut.Henin@irisa.fr> wrote in message
news:e5mjol$fsh$2@amma.irisa.fr
De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ?
Je suis informatitien, je connais les risques, je peux les identifier,
et parfois les corriger. Mais si une banque refuse de corriger une
faille que je lui signale sous prétexte : "vous comprennez, la sécu à
100%, c'est impossible, et puis c'est contraingnant", je trouve ça
déplorable.
C'était une boutade...
Quant à la faille que vous lui indiquez, elle est structurelle.
Grossièrement, le principe pour la banque est de sécuriser les accès à
un niveau acceptable par rapport à la valeur des données à protéger.
S'ils ont choisi ce système c'est qu'ils estiment que le niveau de
sécurité ainsi atteint correspond aux enjeux.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
De toute façon, on ne cherche pas la sécurité 100%, n'est-ce pas ? Je suis informatitien, je connais les risques, je peux les identifier,
et parfois les corriger. Mais si une banque refuse de corriger une faille que je lui signale sous prétexte : "vous comprennez, la sécu à 100%, c'est impossible, et puis c'est contraingnant", je trouve ça déplorable.
C'était une boutade... Quant à la faille que vous lui indiquez, elle est structurelle. Grossièrement, le principe pour la banque est de sécuriser les accès à un niveau acceptable par rapport à la valeur des données à protéger. S'ils ont choisi ce système c'est qu'ils estiment que le niveau de sécurité ainsi atteint correspond aux enjeux.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Hercule Poirot
Bonjour,
Ça me paraît bidon, tout ça. Il suffit de capturer quelques pixels autour du pointeur de la souris et la protection est détournée.
En pratique, si la machine est assez compromise pour que la saisie d'un mot de passe au clavier soit considérée comme dangereuse, on ne peut rien faire d'autre que déplacer le problème pour tenter de faire croire à Mme Michu qu'elle est en sécurité.
Je me trompe, ou les couples systèmes d'exploitation / navigateurs WEB disposent bien d'un mécanisme performant contre l'interception de mots de passe, basé sur l'interdiction de poser des HOOKs d'interception des messages WM_KEY* (sous Windows) ?
Ce genre de mécanisme repoussent alors les attaques au niveau "root kit" : substitution dans la table d'appels systèmes ( Interface Noyeau - Utilisateur ), détournement d'autres APIs, injection de DLLs, modification du noyeau par un driver frelaté, ...
Ces attaque là sont plus techniques, plus sournoises (difficiles à détecter), mais le progrès va pouvoir lutter contre, renforçant les solutions de confidentialité qui ont un support spécifique de l'O.S. .
Au contraire, la "capture vidéo" dans la région du pointeur de la souris ressemble plus au libre échange des biens et des services dans un espace de non droit, que le progrès n'entravera pas puisque cette méthode n'est pas "techniquement interdite" !
Que pensez-vous de tout ça ?
Cordialement, H.P.
Bonjour,
Ça me paraît bidon, tout ça. Il suffit de capturer quelques pixels
autour du pointeur de la souris et la protection est détournée.
En pratique, si la machine est assez compromise pour que la saisie
d'un mot de passe au clavier soit considérée comme dangereuse, on ne
peut rien faire d'autre que déplacer le problème pour tenter de faire
croire à Mme Michu qu'elle est en sécurité.
Je me trompe, ou les couples systèmes d'exploitation / navigateurs WEB
disposent bien d'un mécanisme performant contre l'interception de mots
de passe, basé sur l'interdiction de poser des HOOKs d'interception des
messages WM_KEY* (sous Windows) ?
Ce genre de mécanisme repoussent alors les attaques au niveau "root kit"
: substitution dans la table d'appels systèmes ( Interface Noyeau -
Utilisateur ), détournement d'autres APIs, injection de DLLs,
modification du noyeau par un driver frelaté, ...
Ces attaque là sont plus techniques, plus sournoises (difficiles à
détecter), mais le progrès va pouvoir lutter contre, renforçant les
solutions de confidentialité qui ont un support spécifique de l'O.S. .
Au contraire, la "capture vidéo" dans la région du pointeur de la souris
ressemble plus au libre échange des biens et des services dans un espace
de non droit, que le progrès n'entravera pas puisque cette méthode n'est
pas "techniquement interdite" !
Ça me paraît bidon, tout ça. Il suffit de capturer quelques pixels autour du pointeur de la souris et la protection est détournée.
En pratique, si la machine est assez compromise pour que la saisie d'un mot de passe au clavier soit considérée comme dangereuse, on ne peut rien faire d'autre que déplacer le problème pour tenter de faire croire à Mme Michu qu'elle est en sécurité.
Je me trompe, ou les couples systèmes d'exploitation / navigateurs WEB disposent bien d'un mécanisme performant contre l'interception de mots de passe, basé sur l'interdiction de poser des HOOKs d'interception des messages WM_KEY* (sous Windows) ?
Ce genre de mécanisme repoussent alors les attaques au niveau "root kit" : substitution dans la table d'appels systèmes ( Interface Noyeau - Utilisateur ), détournement d'autres APIs, injection de DLLs, modification du noyeau par un driver frelaté, ...
Ces attaque là sont plus techniques, plus sournoises (difficiles à détecter), mais le progrès va pouvoir lutter contre, renforçant les solutions de confidentialité qui ont un support spécifique de l'O.S. .
Au contraire, la "capture vidéo" dans la région du pointeur de la souris ressemble plus au libre échange des biens et des services dans un espace de non droit, que le progrès n'entravera pas puisque cette méthode n'est pas "techniquement interdite" !
Que pensez-vous de tout ça ?
Cordialement, H.P.
Nicob
On Mon, 05 Jun 2006 16:00:36 +0000, Hercule Poirot wrote:
Je me trompe, ou les couples systèmes d'exploitation / navigateurs WEB disposent bien d'un mécanisme performant contre l'interception de mots de passe, basé sur l'interdiction de poser des HOOKs d'interception des messages WM_KEY* (sous Windows) ?
Quelle interdiction de poser des hooks ??? Si on jette un oeil à mes slides de l'année dernière, ça parle bel et bien de WM_LBUTTONDOWN et de compte non privilégié, pour un résultat nickel.
Pour mémoire (bien que ces liens aient déjà été postés dans ce fil) : - les slides : http://nicob.net/confs/SSTIC05/Securite_des_claviers_virtuels.pdf - la démo : http://nicob.net/confs/SSTIC05/Demo-SSTIC05.avi (6.8 Mo)
Nicob
On Mon, 05 Jun 2006 16:00:36 +0000, Hercule Poirot wrote:
Je me trompe, ou les couples systèmes d'exploitation / navigateurs WEB
disposent bien d'un mécanisme performant contre l'interception de mots
de passe, basé sur l'interdiction de poser des HOOKs d'interception des
messages WM_KEY* (sous Windows) ?
Quelle interdiction de poser des hooks ??? Si on jette un oeil à mes
slides de l'année dernière, ça parle bel et bien de WM_LBUTTONDOWN et
de compte non privilégié, pour un résultat nickel.
Pour mémoire (bien que ces liens aient déjà été postés dans ce fil) :
- les slides :
http://nicob.net/confs/SSTIC05/Securite_des_claviers_virtuels.pdf
- la démo :
http://nicob.net/confs/SSTIC05/Demo-SSTIC05.avi (6.8 Mo)
On Mon, 05 Jun 2006 16:00:36 +0000, Hercule Poirot wrote:
Je me trompe, ou les couples systèmes d'exploitation / navigateurs WEB disposent bien d'un mécanisme performant contre l'interception de mots de passe, basé sur l'interdiction de poser des HOOKs d'interception des messages WM_KEY* (sous Windows) ?
Quelle interdiction de poser des hooks ??? Si on jette un oeil à mes slides de l'année dernière, ça parle bel et bien de WM_LBUTTONDOWN et de compte non privilégié, pour un résultat nickel.
Pour mémoire (bien que ces liens aient déjà été postés dans ce fil) : - les slides : http://nicob.net/confs/SSTIC05/Securite_des_claviers_virtuels.pdf - la démo : http://nicob.net/confs/SSTIC05/Demo-SSTIC05.avi (6.8 Mo)
