Sécurité informatique et "exploits" (failles de sécurité)
+2
ortolan
stv82
6 participants
Page 1 sur 1
Re: Sécurité informatique et "exploits" (failles de sécurité)
@ stv82
piste : uBlock origin
piste : uBlock origin
an.a.co.lu.the- Messages : 760
Date d'inscription : 02/06/2010
Re: Sécurité informatique et "exploits" (failles de sécurité)
Merci an.a.co.lu.the
Bon finalement soit c'était Fata dans ce message, soit c'était une autre personne mais le moteur de recherche merdique de phpBB veut le garder pour lui !
Bon finalement soit c'était Fata dans ce message, soit c'était une autre personne mais le moteur de recherche merdique de phpBB veut le garder pour lui !
stv82- Messages : 501
Date d'inscription : 28/01/2015
Localisation : Alpes du Nord
Re: Sécurité informatique et "exploits" (failles de sécurité)
Bonjour,
Très bonnes explications et mesures !
J'ajouterais les suivantes, ce sont des mesures de base (j'espère ne pas créer de redondances):
Effectuer une sauvegarde régulière des documents en appliquant le principe suivant: avoir une copie des données stratégiques / vitales sur un support local et une sur un support distant, de façon à avoir au moins 3 emplacements.
Je préfère celui-ci : KeePass/. Il n'est pas très pratique (pas de synchro native avec le cloud), mais relativement simple et robuste.
Créer une adresse jetable pour se connecter à des sites suspects. Par exemple yopmail.com. Pratique pour faire des tests aussi.
Si je suis motivé, je présenterai la faille XSS en détail ...
Très bonnes explications et mesures !
J'ajouterais les suivantes, ce sont des mesures de base (j'espère ne pas créer de redondances):
Sauvegardes
Effectuer une sauvegarde régulière des documents en appliquant le principe suivant: avoir une copie des données stratégiques / vitales sur un support local et une sur un support distant, de façon à avoir au moins 3 emplacements.
Navigation
Pour Firefox et Chrome, installer le plugin suivant https://www.eff.org/https-everywhere afin de passer les requêtes en HTTPS sur les sites sécuriséesMots de passe
Utiliser un gestionnaire de mot de passe. Chacun peut être amené à retenir 30, 50 ... 100 mots de passe différents. Difficile de les retenir tous. C'est le rôle du gestionnaire de mot de passe de stocker.Je préfère celui-ci : KeePass/. Il n'est pas très pratique (pas de synchro native avec le cloud), mais relativement simple et robuste.
Créer une adresse jetable pour se connecter à des sites suspects. Par exemple yopmail.com. Pratique pour faire des tests aussi.
Si je suis motivé, je présenterai la faille XSS en détail ...
Yack- Messages : 720
Date d'inscription : 14/04/2011
Age : 39
Localisation : Paris
Re: Sécurité informatique et "exploits" (failles de sécurité)
J'ai ajouté un lien sympa dont je me sers souvent pour tester des binaires/archive/URLs ou des zips vérolés que j'avais gardés pour analyse : https://www.virustotal.com
Sinon, je suis tombé sur un livre à la bibliothèque, et il est plutôt cool si vous êtes intéressés par l'inforensics :
Sécurité informatique et Malwares
Analyse des menaces et mise en oeuvre des contre-mesures (2e édition)
Paul RASCAGNERE
Il recense plein d'outils que j'ai mis plusieurs années à trouver en glandant à droite, à gauche.
Par exemple, Cuckoo Sandbox dont j'évoquais le fonctionnement plus haut sans me rappeler du nom.
Il y a même une version online de cet outil : https://malwr.com/
Ces outils finiront bien par émerger ici tôt ou tard mais si vous êtes impatients et que vous en avez l'occasion, donnez-lui une chance !
Sinon, je suis tombé sur un livre à la bibliothèque, et il est plutôt cool si vous êtes intéressés par l'inforensics :
Sécurité informatique et Malwares
Analyse des menaces et mise en oeuvre des contre-mesures (2e édition)
Paul RASCAGNERE
Il recense plein d'outils que j'ai mis plusieurs années à trouver en glandant à droite, à gauche.
Par exemple, Cuckoo Sandbox dont j'évoquais le fonctionnement plus haut sans me rappeler du nom.
Il y a même une version online de cet outil : https://malwr.com/
Ces outils finiront bien par émerger ici tôt ou tard mais si vous êtes impatients et que vous en avez l'occasion, donnez-lui une chance !
stv82- Messages : 501
Date d'inscription : 28/01/2015
Localisation : Alpes du Nord
Re: Sécurité informatique et "exploits" (failles de sécurité)
J'avais lu il y a quelques années un article sympa de Dr Goulu sur les nombres premiers :
https://www.drgoulu.com/2012/04/15/comment-produire-des-nombres-premiers/
La question qui me chiffonnait à l'époque était en somme la suivante :
Si la clé privée d'un chiffrement RSA c'est P*Q avec P et Q deux nombres premiers, cela signifie qu'on sait déterminer que P et Q sont premiers sur x bits. Qu'est-ce qui empêche alors de recenser tous les couples P et Q sur cette largeur de bits, de sorte de trouver toutes les clés privées possibles ?
En substance :
- On sait générer/construire un sous-ensemble de grands nombres premiers selon certaines règles. Mais l'ensemble des nombres premiers est énorme lui !
- Mais en revanche, si on nous donne un grand nombre, on ne sait pas le décomposer en nombres premiers facilement (enfin tant que les ordinateurs quantiques et l’algorithme de Shor ne sont pas utilisés)
Le corollaire de savoir générer de grands nombres par "certaines règles", c'est que si on est capable de prédire comment sont générés ces nombres P et Q lors de la création d'une nouvelle clé, on peut alors recenser ces différents couples P et Q et bye-bye le chiffrage !
Je crois que c'est arrivé il y a une dizaine d'années avec le serveur Linux openssh, toutes les clés étaient caduques il me semble.
Sinon pour revenir au chiffrage, Dr Goulu a fait le boulot de prolonger :
- sur le chiffrement HTTPS : https://www.drgoulu.com/2017/01/11/drgoulu-com-passe-en-https/
- sur les clés asymétriques type RSA : https://www.drgoulu.com/2017/02/15/alice-et-bob-et-les-cles-asymetriques/
- sur l'attaque man in the middle : https://www.drgoulu.com/2017/11/20/alice-bob-et-lhomme-du-milieu/
Super intéressant !
https://www.drgoulu.com/2012/04/15/comment-produire-des-nombres-premiers/
La question qui me chiffonnait à l'époque était en somme la suivante :
Si la clé privée d'un chiffrement RSA c'est P*Q avec P et Q deux nombres premiers, cela signifie qu'on sait déterminer que P et Q sont premiers sur x bits. Qu'est-ce qui empêche alors de recenser tous les couples P et Q sur cette largeur de bits, de sorte de trouver toutes les clés privées possibles ?
En substance :
- On sait générer/construire un sous-ensemble de grands nombres premiers selon certaines règles. Mais l'ensemble des nombres premiers est énorme lui !
- Mais en revanche, si on nous donne un grand nombre, on ne sait pas le décomposer en nombres premiers facilement (enfin tant que les ordinateurs quantiques et l’algorithme de Shor ne sont pas utilisés)
Le corollaire de savoir générer de grands nombres par "certaines règles", c'est que si on est capable de prédire comment sont générés ces nombres P et Q lors de la création d'une nouvelle clé, on peut alors recenser ces différents couples P et Q et bye-bye le chiffrage !
Je crois que c'est arrivé il y a une dizaine d'années avec le serveur Linux openssh, toutes les clés étaient caduques il me semble.
Sinon pour revenir au chiffrage, Dr Goulu a fait le boulot de prolonger :
- sur le chiffrement HTTPS : https://www.drgoulu.com/2017/01/11/drgoulu-com-passe-en-https/
- sur les clés asymétriques type RSA : https://www.drgoulu.com/2017/02/15/alice-et-bob-et-les-cles-asymetriques/
- sur l'attaque man in the middle : https://www.drgoulu.com/2017/11/20/alice-bob-et-lhomme-du-milieu/
Super intéressant !
stv82- Messages : 501
Date d'inscription : 28/01/2015
Localisation : Alpes du Nord
Re: Sécurité informatique et "exploits" (failles de sécurité)
rainbow table, c'est ce que tu cherches
Invité- Invité
Re: Sécurité informatique et "exploits" (failles de sécurité)
En passant avant d'oublier, une vidéo de ScienceÉtonnante où il parle de l'algo de Shor, des cryptages basés sur des grands nombres premiers.
- Les Ordinateurs Quantiques:
stv82- Messages : 501
Date d'inscription : 28/01/2015
Localisation : Alpes du Nord
Re: Sécurité informatique et "exploits" (failles de sécurité)
Salut,
quand je vois un post traitant de la sécurité, qui en une image, nous montre :
- windaube
- IE
- gogole
je rigole...
stv82 a écrit:
quand je vois un post traitant de la sécurité, qui en une image, nous montre :
- windaube
- IE
- gogole
je rigole...
Invité- Invité
Re: Sécurité informatique et "exploits" (failles de sécurité)
.
Dernière édition par ortolan le Lun 18 Nov 2019 - 18:48, édité 1 fois
ortolan- Messages : 13579
Date d'inscription : 31/07/2016
Localisation : 404 Not Found
Re: Sécurité informatique et "exploits" (failles de sécurité)
ortolan a écrit:Plutôt que la moquerie, il faut privilégier les infos pertinentes et utiles à visée pédagogique amenant les utilisateurs à mieux se protéger.
Certes, c'était sans doutes maladroit.
ortolan a écrit:
Mais ça me paraît important d'amener les utilisateurs à réaliser cette transition (hygiène numérique, politique de sécurité renforcée en matière de données et d'usage d'internet) à leur rythme pour que l'informatique un peu plus poussée ne soit pas réservée à une pseudo-élite qui pourrait vite être perçue comme méprisante.
Je pense que ça fait quelques années maintenant qu'on n'a plus à compiler son kernel pour avoir un linux fonctionnel. Au contraire je trouve meme son installation devenue encore plus simple que macos ou windaube...
Ceux qui restent sous windaube sont soit méconnaissant de ce qu'il se fait à coté, soit fainéant. Dans le second cas, qu'ils se débrouillent (perso je ne mets plus les mains sur un windows, peu importe ce que l'on me demande ou à qui il est).
Invité- Invité
Re: Sécurité informatique et "exploits" (failles de sécurité)
.
Dernière édition par ortolan le Lun 18 Nov 2019 - 18:52, édité 1 fois
ortolan- Messages : 13579
Date d'inscription : 31/07/2016
Localisation : 404 Not Found
Re: Sécurité informatique et "exploits" (failles de sécurité)
On a visiblement le meme point de vue. J'ai arreté d'y toucher depuis millenium (haaa, la FAT16, sesdisques durs qui claquent sans prévenir, etc.) , retourné de temps en temps sousXP, et définitivement arreté à l'arrivée de vista (qui en plus avaient le bon gout d'avoir copié les sources de XGL, à l'époque le moteur de bureau 3D qui venait d'etre fait sous nux, sauf que forcément, meme en copiant/collant du code, ils ont pas été foutu de faire un truc qui marche sans trop ramer).
Invité- Invité
Re: Sécurité informatique et "exploits" (failles de sécurité)
.
Dernière édition par ortolan le Lun 18 Nov 2019 - 18:53, édité 1 fois
ortolan- Messages : 13579
Date d'inscription : 31/07/2016
Localisation : 404 Not Found
Re: Sécurité informatique et "exploits" (failles de sécurité)
Initialement XGL était fait pour tourner avec l'openGL, et comme ils ne savaient pas faire... ben voilà
Invité- Invité
Re: Sécurité informatique et "exploits" (failles de sécurité)
Pour répondre à hobb, j'ai souvent pris les premières images qui passaient par là pour illustrer le fonctionnement de tel ou tel truc.
Je crois que j'ai été clair sur IE :
IE c'est le pire des logiciels... Chaque année
Après, y-a des vieux trucs (genre routeurs) qu'on ne peut configurer qu'avec cette cochonnerie.
Je n'ai pas retrouvé de graphes plus récents que ceux de 2014 sur NVD
Mais voilà ce que ça donnait à l'époque
J'ai trouvé ça de 2016 mais je ne sais pas la source
https://heimdalsecurity.com/blog/most-vulnerable-software-2016/
L'argument "Je suis sous Linux, donc il peut rien m'arriver" est pour moi fallacieux.
Il y a des vulnérabilités. Des grosses parfois. Après, toutes ne sont pas exploitées. Peu le sont sous Linux.
Comme dit ortolan, les hackers ne sont pas bêtes, ils vont pas s'emmerder à viser un Linux alors que 90% des proies sont sur Windows. Donc, ils ciblent majoritairement du Windows.
De nos jours, tu as du code cross plateforme dans Firefox par exemple (moteur javascript etc.).
On peut très bien se faire piéger même sans ça d'ailleurs.
Un service avec un utilisateur (genre un apache avec user:group www-data) ayant trop de droits sur ton système, devient une porte d'entrée.
Un ajout de repo distant parce qu'on a pas envie de s'emmerder à recompiler un truc qu'un autre zozo met à dispo.
Si un hacker est malin, il targette ce qu'il veut.
Ça peut aller vite... Dire que Linux est mieux est pour moi à nuancer.
Clairement, actuellement, oui c'est le cas mais est-ce que ça durera dans le temps si Linux devient plus populaire ?
Personnellement, je me suis déjà mangé un rootkit sur un de mes Linux, alors que j'essaie de faire gaffe.
Alors, je me garderais bien de déifier à outrance la fée Linux
Je crois que j'ai été clair sur IE :
Sous Windows, éviter avec force et conviction d'utiliser le navigateur 'Internet Explorer' ou alors si vraiment mais vraiment ce n'est pas possible, au moins désactiver les composants ActiveX.
IE c'est le pire des logiciels... Chaque année
Après, y-a des vieux trucs (genre routeurs) qu'on ne peut configurer qu'avec cette cochonnerie.
Je n'ai pas retrouvé de graphes plus récents que ceux de 2014 sur NVD
Mais voilà ce que ça donnait à l'époque
J'ai trouvé ça de 2016 mais je ne sais pas la source
https://heimdalsecurity.com/blog/most-vulnerable-software-2016/
L'argument "Je suis sous Linux, donc il peut rien m'arriver" est pour moi fallacieux.
Il y a des vulnérabilités. Des grosses parfois. Après, toutes ne sont pas exploitées. Peu le sont sous Linux.
Comme dit ortolan, les hackers ne sont pas bêtes, ils vont pas s'emmerder à viser un Linux alors que 90% des proies sont sur Windows. Donc, ils ciblent majoritairement du Windows.
De nos jours, tu as du code cross plateforme dans Firefox par exemple (moteur javascript etc.).
On peut très bien se faire piéger même sans ça d'ailleurs.
Un service avec un utilisateur (genre un apache avec user:group www-data) ayant trop de droits sur ton système, devient une porte d'entrée.
Un ajout de repo distant parce qu'on a pas envie de s'emmerder à recompiler un truc qu'un autre zozo met à dispo.
Si un hacker est malin, il targette ce qu'il veut.
Ça peut aller vite... Dire que Linux est mieux est pour moi à nuancer.
Clairement, actuellement, oui c'est le cas mais est-ce que ça durera dans le temps si Linux devient plus populaire ?
Personnellement, je me suis déjà mangé un rootkit sur un de mes Linux, alors que j'essaie de faire gaffe.
Alors, je me garderais bien de déifier à outrance la fée Linux
Dernière édition par stv82 le Mer 18 Avr 2018 - 23:13, édité 1 fois (Raison : typo)
stv82- Messages : 501
Date d'inscription : 28/01/2015
Localisation : Alpes du Nord
Re: Sécurité informatique et "exploits" (failles de sécurité)
stv82 a écrit:
L'argument "Je suis sous Linux, donc il peut rien m'arriver" est pour moi fallacieux.
Complètement d'accord. J'ai la flemme de chercher, mais des distros de nux (par mi les plus populaires) ne sont pas sur le graphique, je présume que mint et ubuntu sont sensiblement identiques entre elles (puisque ce sont les memes dépots) ?
Invité- Invité
Re: Sécurité informatique et "exploits" (failles de sécurité)
.
Dernière édition par ortolan le Lun 18 Nov 2019 - 18:58, édité 1 fois
ortolan- Messages : 13579
Date d'inscription : 31/07/2016
Localisation : 404 Not Found
Re: Sécurité informatique et "exploits" (failles de sécurité)
.
Dernière édition par B1conu le Sam 15 Aoû 2020 - 18:36, édité 1 fois
Invité- Invité
Re: Sécurité informatique et "exploits" (failles de sécurité)
Joli pavé NOP. Je ne crois pas que ceux qui n'y connaissent rien t'aient compris, et pour les autres tu n'apprends rien.
De toute façon ça sert à quoi la sécurité ? Tu passes dans la rue, quelqu'un a garé sa voiture fenêtres ouvertes, est-ce pour ça que tu vas la voler ?
De toute façon ça sert à quoi la sécurité ? Tu passes dans la rue, quelqu'un a garé sa voiture fenêtres ouvertes, est-ce pour ça que tu vas la voler ?
Re: Sécurité informatique et "exploits" (failles de sécurité)
.
Dernière édition par B1conu le Sam 15 Aoû 2020 - 18:36, édité 1 fois
Invité- Invité
Re: Sécurité informatique et "exploits" (failles de sécurité)
Chez certains hackers pirates il y a une volonté de perfection qui me semble liée à pas mal de mépris en fait : Montrer aux autres qu'ils sont nuls, car on ressent cela vis à vis de soi, que si on n'est pas exceptionnel on n'est rien. Tu es totalement méprisable si tu n'es pas génial mon fils (
Et je trouve ça super triste.
Et je trouve ça super triste.
Sujets similaires
» Biomimétisme et informatique
» Conduite. Voiture. Distance de sécurité. Et vous.
» J'aime l'informatique
» Falaise ? check. Abîme béant ? check. Pas de sécurité ? check. Allez, hop.
» A toi qui t'y connais en informatique
» Conduite. Voiture. Distance de sécurité. Et vous.
» J'aime l'informatique
» Falaise ? check. Abîme béant ? check. Pas de sécurité ? check. Allez, hop.
» A toi qui t'y connais en informatique
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum