Bienvenue sur JeuxOnLine - MMO, MMORPG et MOBA !
Les sites de JeuxOnLine...
 

Panneau de contrĂ´le

Recherche | Retour aux forums

JOL Archives

la securite sur internet : SSL cracke

Par Serafel le 20/2/2003 Ă  16:46:33 (#3277465)

http://fr.news.yahoo.com/030220/5/325od.html

C'est marrant, la securite informatique c'est comme els marques de lessives, a chaque generation on nous promet la perfection, a la generation suivante on nous montre qu'on nous a menti :( Comme quoi rien ne resiste bien longtemps aux crackeurs (qui en l'occurence sont des crackeurs "gentils")

Par Arkan le 20/2/2003 Ă  16:57:41 (#3277536)

Rien n'est totalement sécuritaire :) Et rien ne sera totalement sécuritaire... Il va toujours avoir des petits malins pour trouver tel ou tel astuce pour contourner la sécurité. On a même de la chance que c'est protection ne soit pas "cracker" plus rapidement.

Par Gros perdu de la vie le 20/2/2003 Ă  17:00:31 (#3277552)

L'Ă©ternelle lutte de la cuirasse et de l'obus. :cool:

Si un jour quelqu'un promet un système sécurisé à fond, il y aura toujours un groupe de personne motivée pour percer ce système et dsécouvrir une faille.

Par Ulgrim le 20/2/2003 Ă  17:12:22 (#3277650)

La meilleure sécurité je pense que c'est la sauvegarde des données sensibles sur un ordi totalement off-line avec accès restreint à quelques utilisateurs.
Après, si y'a des fuites, on sait qui aller voir.

Ceci dit, ça ne règle pas le problème pour le commerce en ligne, et toutes les autres applications actuelles, qui n'ont d'intérêt que on-line.

Par Grim le 20/2/2003 Ă  17:15:43 (#3277685)

Bah, c'est normal, le risque zéro n'existe pas, on peut juste dire que quelque chose est sécurisé jusqu'à ce que quelqu'un prouve le contraire :)

Par Arkan le 20/2/2003 Ă  17:22:38 (#3277746)

Provient du message de Ulgrim
La meilleure sécurité je pense que c'est la sauvegarde des données sensibles sur un ordi totalement off-line avec accès restreint à quelques utilisateurs.
Après, si y'a des fuites, on sait qui aller voir.

Ceci dit, ça ne règle pas le problème pour le commerce en ligne, et toutes les autres applications actuelles, qui n'ont d'intérêt que on-line.




un ordinateur offline est sécuritaire sur le plan de connection. Rien n'empêche de se rendre sur place et de volé les données directement...

Le problème du commerce en ligne ? Il n'y a pas de problème... il y a plus de fraudes par téléphone, par carte de crédit recopier dans les magasins que des fraudes sur internet (toute proportion gardé)...

Par Ulgrim le 20/2/2003 Ă  17:28:59 (#3277806)

Provient du message de Arkan
un ordinateur offline est sécuritaire sur le plan de connection. Rien n'empêche de se rendre sur place et de volé les données directement...


C'est pour ça que je parlais d'accès restreint à quelques personnes. C'est d'ailleurs ce qui se fait pour les informations hautement sécurisées ( que vous ne verrez d'ailleurs jamais se balader sur le net ).
Par ailleurs, il ne faut pas trop prendre les "institutions" qui se font parfois, ou souvent, pirater, dans 70% des cas, à mon avis, les infos "volées" ont été plus ou moins mis à la disposition des piratins ( professionnels ou amateurs ), ou stocker de telle façon qu'elles sont facilement accessibles. C'est ce qu'on appelle de la désinformation.
De temps en temps, quelques lièvres sont soulevés, mais ça reste rare.


Le problème du commerce en ligne ? Il n'y a pas de problème... il y a plus de fraudes par téléphone, par carte de crédit recopier dans les magasins que des fraudes sur internet (toute proportion gardé)...

C'est vrai. Cependant je ne parlais pas que du commerce en ligne ( je le donnais à titre d'exemple ). Pas mal d'infos sensibles concernant les entreprises se baladent sur le net, notamment. Et ça a plus de valeur qu'une CB copiée ...

Par Emvé Anovel le 20/2/2003 à 17:30:09 (#3277814)


Désormais, la nouvelle version d'OpenSSL (0.9.7a) apporte une protection contre l'attaque imaginée par les informaticiens suisses.


Bah, visiblement ils ont déjà trouvé une parade.

Par BabyDeull le 20/2/2003 Ă  17:36:16 (#3277858)

Provient du message de Emvé Anovel
Bah, visiblement ils ont déjà trouvé une parade.


Faut il encore que tout les sites proposant des connexions sécurisées l'installe

Par Llewellen le 20/2/2003 Ă  17:45:45 (#3277939)

Bah, tant que SSL se limitera à du RSA 128 bits et du DES simple, ça sera pas réellement sécurisé (ces 2 algorithmes sont périmés depuis un moment)

Par Kaelt le 20/2/2003 Ă  18:08:21 (#3278148)

Provient du message de Llewellen
Bah, tant que SSL se limitera à du RSA 128 bits et du DES simple, ça sera pas réellement sécurisé (ces 2 algorithmes sont périmés depuis un moment)


Oui, mais le probleme est que plus l'algo est élevé, plus il prend de puissance serveur. - et je crois ausssi que dans le domaine reseau, ca mange plus de bande passante car les paquets sont plus longs ? -
Je suis pas expert en benchmark, mais je pense que les encryptions en 1024 bits seraient utopiques au niveau réseau ( tout du moins avec beaucoup des serveurs webs actuels ).

Par Manaloup le 20/2/2003 Ă  18:43:50 (#3278422)

Il est utopique de penser qu'un algorithme est "incassable".
Ils le sont tous

Ce n'est qu'une question de temps et de puissance :)

La puissance augmentant exponentiellement, ce n'est jamais très long .. :)

Par tamamanquitaime le 20/2/2003 Ă  18:53:20 (#3278503)

Un algorithme PGP, bien choisi, est tout de même virtuellement incassable. Un bête truc sur des corps finis, ça fait foirer la belle augmentation exponentielle de la puissance des machines ;)

La décomposition d'un nombre en facteurs premiers, c'est chaud aussi ;)

Par Emvé Anovel le 20/2/2003 à 22:16:05 (#3279905)

Provient du message de Manaloup
Il est utopique de penser qu'un algorithme est "incassable".
Ils le sont tous

Ce n'est qu'une question de temps et de puissance :)

La puissance augmentant exponentiellement, ce n'est jamais très long .. :)


le téléphone rouge, le téléphone rouge :D.

mais, c'est vrai que ce n'est pas très pratique pour communiquer...

d'un autre côté, les progrès augmentent aussi vite pour casser que pour inventer...

il faut aussi savoir que SSL est théoriquement utilisable à des niveaux de sécurité encore plus élevéé avec le TripleDES, mais bon, il paraît que ce n'est pas non plus très pratique...

Par Llewellen le 20/2/2003 Ă  22:16:20 (#3279906)

Kaelt, c'est simple (et tu as raison, c'est la bande passante et la puissance machine qui manque Ă  SSL pour ĂŞtre vraiment au top)

du RSA 128 bits -> longueur des messages = 128 bits * n
du RSA 1024 bits -> longueur des messages = 1024 bits * n

Donc la bande passante en prend un coup.

Cependant, le RSA n'est utilisé qu'au début de l'échange pour faire transiter une clé DES.

Par Mallefica LQCA le 20/2/2003 Ă  22:25:37 (#3279958)

Provient du message de Serafel
la securite informatique c'est comme les marques de lessives, a chaque generation on nous promet la perfection, a la generation suivante on nous montre qu'on nous a menti :( Comme quoi rien ne resiste bien longtemps aux crackeurs (qui en l'occurence sont des crackeurs "gentils")

Ne jamais croire qu'une chose est fiable. Jamais. :rolleyes:

Par Mothra le 20/2/2003 Ă  22:31:46 (#3280004)

Ca n'est pas assez detaillé pour que je puisse etre categorique, mais j'ai l'impression qu'il s'agit de la decouverte d'une faille dans l'implementation de SSL, et non pas d'une remise en cause du protocole SSL lui meme (qui est apres tout un systeme de signatures RSA et rien d'autre, le protocole est demontré juste tant que RSA est inpossible a decrypter). En gros si j'ai bien lu entre les lignes de la vulgarisation, ils ont trouvé un bug, et l'ont utilisé.

Par Llewellen le 20/2/2003 Ă  22:32:59 (#3280018)

Le but de la sécurité informatique n'est pas d'être incassable, loin de là.

Le but est de demander une puissance machine qui ne sera pas disponible le plus longtemps possible afin de casser l'algorithme.

Car, tout algorithme peut céder à une attaque brute, mais le temps nécessaire est très important.

Par Llewellen le 20/2/2003 Ă  22:36:09 (#3280049)

Provient du message de Mothra
Ca n'est pas assez detaillé pour que je puisse etre categorique, mais j'ai l'impression qu'il s'agit de la decouverte d'une faille dans l'implementation de SSL, et non pas d'une remise en cause du protocole SSL lui meme (qui est apres tout un systeme de signatures RSA et rien d'autre, le protocole est demontré juste tant que RSA est inpossible a decrypter). En gros si j'ai bien lu entre les lignes de la vulgarisation, ils ont trouvé un bug, et l'ont utilisé.


Ils ont découvert une faille dans la méthode de padding utilisée lors de l'utilisation de l'algorithme DES CBC afin de compléter le message en un multiple de 8 octets.

Ensuite vient une phase d'attaque sur le serveur cible avec un nombre important de requêtes envoyées, et si on est très proche du serveur cible (en terme de distance informatique), il y a une variation dans le temps de réponse selon que celle-ci est positive ou négative, car le temps de calcul est très légèrement différent (apparemment de moins de 0,1 ms)

Ensuite il y a un traitement de ces données afin de casser la clé.

Par Mothra le 20/2/2003 Ă  22:39:32 (#3280078)

Ok donc c'est bien un bug d'implementation. Cela dit l'attaque est vraiment bien trouvée et astucieuse :)

Pour revenir a ce que tu disais sur la brute force, la crypto ne garantis meme pas de temps minimal de durée de l'attaque force brute :) puisqu'avec de la chance tu peux tomber sur la bonne clef du premier coup. C'est tres improbable mais bon des gens gagnent au lotto 4x par semaines ;)

Par Llewellen le 20/2/2003 Ă  22:58:20 (#3280215)

Provient du message de Mothra
Ok donc c'est bien un bug d'implementation. Cela dit l'attaque est vraiment bien trouvée et astucieuse :)

Pour revenir a ce que tu disais sur la brute force, la crypto ne garantis meme pas de temps minimal de durée de l'attaque force brute :) puisqu'avec de la chance tu peux tomber sur la bonne clef du premier coup. C'est tres improbable mais bon des gens gagnent au lotto 4x par semaines ;)


Les mathématiques (la cryptographie est une branche des mathématiques) ne garantissent qu'un temps moyen pour cracker un algo. Ensuite, c'est vrai que si t'as du bol, tu vas trouver la clé privé RSA 1024 bits du premier coup (t'as jamais que 1/2^1024 chance, mais t'en as une)

D'autre part, les algorithmes pour casser une clé RSA de façon mathématique sont étudiés (en se basant sur la décomposition en nombres premiers), et certaines clés RSA ne sont pas valables, clé faibles ou semi-faibles)

Par contre, pour le DES, c'est une autre affaire, vu que cet algo ne se base pas sur des propriétés mathématiques des nombres premiers comme le RSA.

[Edit]
corrigé pour une erreur de typo ;)

Par Mouna Kelsey le 20/2/2003 Ă  23:03:53 (#3280254)

A chaques générations de sécurité ses failles , c'est un défit continu pour les crackeurs de "casser" le neuf :)
Le système infaillible n'est pas près d'être créer.

Par Llewellen le 20/2/2003 Ă  23:11:12 (#3280310)

La perfection n'est pas de ce monde.

L'essentiel étant que les algorithmes qui nous protègent restent toujours un pas devant ceux qui les cassent.

Par Mothra le 20/2/2003 Ă  23:15:12 (#3280344)

D'autant plus qu'il n'y a toujours aucune demonstration theorique du pourquoi du comment avec la non linearité des boites S DES qui rendent l'algorithme incraquable. L'idée c'est que c'est ca qui rend l'algorithme sur, mais ou est la preuve ? ;)

Par Llewellen le 20/2/2003 Ă  23:20:49 (#3280390)

L'algo DES simple a été cassé, seul le DES triple (avec clé triple ou clé double, enchaînement de 3 DES simple successifs dans une enceinte protégée) reste efficace, et l'AES arrive, il sera bientôt présent et remplacera à terme le DES.

Par Cless Asgard Cpt-blt le 21/2/2003 Ă  9:42:25 (#3282305)

clai

Par un gob mélomane le 21/2/2003 à 9:56:20 (#3282365)

Provient du message de Ulgrim
La meilleure sécurité je pense que c'est la sauvegarde des données sensibles sur un ordi totalement off-line avec accès restreint à quelques utilisateurs.


....
:doute:
....
:rolleyes:
....
:mdr:

Mais ouais, bien sûr .... avec un grand "T", comme dans "T'as qu'à croire !" .... tu serais étonné de savoir ce que l'on peut faire en récupérant les ondes électro magnétiques via une antenne en étant à quelques dizaines de mètres du Pc "offline" en question .... bon, maintenant, si tu me précises que ce Pc se situe dans une enceinte confinée et protégée dans les deux sens de toute émission de champ, là, d'accord ...

Un gob
Un gob qui cherche la ptite bĂŞte ...

Par Cless Asgard Cpt-blt le 21/2/2003 Ă  9:58:28 (#3282375)

:D

Par un gob mélomane le 21/2/2003 à 10:05:42 (#3282430)

Provient du message de Cless Asgard Cpt-blt
:D


Jeune Padawan, je trouve que vous avez une fâcheuse tendance floodationneuse ce matin ! Allez, ouste .... allez faire quelque chose de plus constructif que ça !
Ah non mais j'vous jure ... les jeunes, de nos jours ...

Un gob
Un gob qui sifflote

Emvé Anovel : Je rappelle à gob mélomane qu'il n'est pas de son devoir de quoter la réponse d'un floodeur mais plutôt de cliquer signaler ce message à un modérateur, comme l'ont fait des posteurs respectueux :D

Par Grugnita le 21/2/2003 Ă  13:28:41 (#3283823)

Provient du message de Llewellen
Les mathématiques (la cryptographie est une branche des mathématiques) ne garantissent qu'un temps moyen pour cracker un algo. Ensuite, c'est vrai que si t'as du bol, tu vas trouver la clé privé RSA 1024 bits du premier coup (t'as jamais que 1/1^1024 chance, mais t'en as une)



1/2^1024, j'imagine. Parce que 1/1^1024, ça fait 1...faute de frappe, le lecteur aura corrigé de lui-même ;)

JOL Archives 1.0.1
@ JOL / JeuxOnLine