 Un nouveau problème majeur découvert dans l'implémentation du HTTPS, Réactions à la publication du 27/11/2015 |
 |
Bienvenue invité ( Connexion | Inscription )
  |
 27 Nov 2015, 00:00
Message
#1
|
|
 BIDOUILLE Guru  Groupe : Admin Messages : 55 346 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3  |
Une vaste étude réalisée par Sec Consult a mis en évidence un problème majeur de sécurité au niveau des protocoles SSH et HTTPS.
Cette fois il ne s'agit pas d'une faille comme on en a déjà connu, mais un problème lié à la légèreté de très nombreux fabricants. Dans le cadre de l'étude, 4000 appareils, téléphones IP, caméras IP, routeurs ou encore modems ont été étudiés de près. Leur firmware a été disséqué afin d'en extraire les clés publiques et privées utilisées pour sécuriser les protocoles SSH et HTTPS. Il s'avère que sur ce total, ils n'ont découvert que 580 clés différentes. Il y en a donc bien moins que le total des appareils. Un scan à grande échelle d'internet a montré que 9% des appareils en HTTPS sur la toile et 6% de tous les appareils utilisant SSH avaient l'une de ces clés. En bref, par paresse ou manque d'appréhension des risques, les fabricants partagent les mêmes clés sur des multitudes d'appareils. Avec ces clés en main des pirates pourraient facilement réaliser des attaques du type "man in the middle" et récupérer un trafic chiffré entre deux machines. C'est d'autant plus facile actuellement que de très très très nombreux routeurs domestiques et professionnels ont des failles qui permettraient facilement aux pirates de se mettre en place. Encore une fois, c'est toute une industrie qui va devoir se remettre en cause pour assurer la sécurité de ses clients dans un monde où les attaques sont chaque jour plus nombreuses et probables. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
 |
 
|
|
27 Nov 2015, 00:28
Message
#2
|
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 253 Inscrit : 28 Mar 2011 Membre no 165 999 |
Y a un mec qui doit pleurer à la NSA "merde,il ont trouvé ma faille!"
C'est le maillon le plus faible qui détermine la solidité de l'ensemble... Les algo de crypto sont bon mais c'est franchement pas la premières fois qu'on découvre que c'est la clé et sa qualité qui compte... -------------------- Je suis plus Charlie depuis que
je suis écouté Mac Plus, SE 30, mac si, mac ci,mac lc (1,2,3,4), ppc (presque toutes les machines sauf les G5), imac 2011, macbook pro 2012 i7 3.4ghz, 16 go ram, ssd 512 Mo, 1 To HDD, GTX 1080 + GTX 980 histoire de dire, bref un pulvérisateur de mac pro! Et mon nouveau beau joujou : 2080 Core + 260 NVIDIA TESLA K20X 4,1 To de RAM et quelques centaines de To stockage! et accessoirement ça chauffe bien! |
|
|
|
|
27 Nov 2015, 00:28
Message
#3
|
|
 Macbidouilleur d'Or ! Groupe : Membres Messages : 5 674 Inscrit : 3 Nov 2003 Lieu : CUL (Communauté Urbaine de Lille !) Bon Appartement Chaud Membre no 11 246 |
Si ce n'est pas un hoax, c'est ahurissant !
-------------------- iMac 27" Retina 5K 1To Fusion drive 8 Go RAM Intel Core I5 quadricœur à 3,5 GHz Mojave 10.14.6 , iMac Intel Core I5 3,1 GHz 1To (El Capitan 10.11.6 depuis le 13/9/2016) en rade carte mère !, MacBook Pro 17" 500 Go Snow Leopard, iMac G5 20" PPC Tiger 250 Go Rev A, iPhone 14 128Go OS 16.1.1 et SONY pour la photo numérique Minolta pour l'argentique Pink #FD3F92 Breton MB   Attention aux huîtres, SURTOUT celles qui mangent des oiseaux !How much wood would a woodchuck chuck if a woodchuck could chuck wood ? |
|
|
|
|
27 Nov 2015, 05:07
Message
#4
|
|
 Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 224 Inscrit : 8 Oct 2005 Membre no 47 466 |
Wow... Wow... Et on veut se connecter à tout va en utilisant les bidules créés par ces gens-là... wow...
 |
|
|
|
|
27 Nov 2015, 08:14
Message
#5
|
|
|
Nouveau Membre Groupe : Membres Messages : 5 Inscrit : 9 May 2004 Membre no 18 616 |
Vous avez un lien sur l'article original ? ou alors ou avez trouvé l'information ?
|
|
|
|
|
27 Nov 2015, 09:11
Message
#6
|
|
|
Adepte de Macbidouille Groupe : Membres Messages : 246 Inscrit : 6 Dec 2005 Lieu : Plaisir Membre no 51 197 |
Citation (nscheffer @ 27 Nov 2015, 09:14)  Vous avez un lien sur l'article original ? ou alors ou avez trouvé l'information ? Il est cité dans l'article:http://blog.sec-consult.com/2015/11/house-...wide-https.html Et effectivement, ça fait peur !!! Mais sur le fond, je ne suis pas surpris. Souvent, "certains" industriels choisissent la solution de facilité. En effet, il est plus facile de coder dans le FW une clé, plutôt que de baser le calcul de la clé sur un hash matériel en fin de process, plus sûr, mais ô combien plus complexe... -------------------- Parfois, il vaut mieux fermer sa gueule et passer pour un con, plutôt que de l'ouvrir et ne laisser aucun doute à ce sujet
|
|
|
|
|
27 Nov 2015, 12:16
Message
#7
|
|
|
Nouveau Membre Groupe : Membres Messages : 5 Inscrit : 9 May 2004 Membre no 18 616 |
Pourquoi je vous ai demandé le lien de l'article car le problème qui est explique ne concerne que la partie administration du produit (Web interface et accès SSH) ou souvent la clés pour le certificat SSL de l'interface Web et/ou du serveur SSH est copié dans le firmware et pas généré à l'installation.
La faille ne concerne en rien le traffic SSL utilisateur. C'est aussi à l'administrateur lors de l'installation de générer une nouvelle clé SSH et/ou un nouveau certificat SSL privé non signé afin de rendre l'équipement sécurisé. Je pense donc que votre article induit en erreur l'utilisateur ou il n'y a pas un problème majeur dans l'implémentation du HTTPS mais plutôt un manque de rigueur des admins dans l'installations d'équipements réseaux. My 2cts. Nicolas |
|
|
|
|
27 Nov 2015, 13:45
Message
#8
|
|
 Macbidouilleur d'Or ! Groupe : Membres Messages : 1 894 Inscrit : 29 Dec 2006 Lieu : Lyon Membre no 76 813 |
Citation (nounours_2099 @ 27 Nov 2015, 09:11) Citation (nscheffer @ 27 Nov 2015, 09:14) Vous avez un lien sur l'article original ? ou alors ou avez trouvé l'information ? Et effectivement, ça fait peur !!! Mais sur le fond, je ne suis pas surpris. Souvent, "certains" industriels choisissent la solution de facilité. En effet, il est plus facile de coder dans le FW une clé, plutôt que de baser le calcul de la clé sur un hash matériel en fin de process, plus sûr, mais ô combien plus complexe... J'espère que c'est de l'ironie 
-------------------- L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows... C'est pourquoi j'ai installé Mac OS sur mon pc... MacBook Pro 15" Intel Core i7 2.5GHz Mi 2015 MacBook Pro 15" Intel Core i7 2.3GHz Février 2011 (en pré-retraite) |
|
|
|
|
28 Nov 2015, 09:58
Message
#9
|
|
 Macbidouilleur de bronze ! Groupe : Membres Messages : 262 Inscrit : 22 Oct 2007 Lieu : Occitanie Membre no 97 584 |
Citation (nscheffer @ 27 Nov 2015, 12:16) Pourquoi je vous ai demandé le lien de l'article car le problème qui est explique ne concerne que la partie administration du produit (Web interface et accès SSH) ou souvent la clés pour le certificat SSL de l'interface Web et/ou du serveur SSH est copié dans le firmware et pas généré à l'installation. La faille ne concerne en rien le traffic SSL utilisateur. C'est aussi à l'administrateur lors de l'installation de générer une nouvelle clé SSH et/ou un nouveau certificat SSL privé non signé afin de rendre l'équipement sécurisé. Nicolas où trouver un bon tuto pour "les nuls" sur ce sujet ? J'ai acheté le livre "réseaux à domicile" www.ma-edition.com, de Nicolas Boudier-Ducloy, mais ça ne m'a pas permis de bien avancer. Merci -------------------- iMac 27" -i5- OS 10.11.6 + MB 17" -i5- OS 10.10.5-SSD128Go + TC 2T + HP Photosmart 8100 + Livebox, le tout en réseau Ethernet. iPhone 3GS et 6 + Bibli Photo sur un disque externe Stroreva pour le MacBook.
|
|
|
|
|
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :
| Nous sommes le : 28th April 2024 - 01:41 |