Archives de catégorie : Sécurité

Le Figaro a fait très fort

Publié le par
Répondre

J’ai lu un article de Korben sur la fuite de données du journal en ligne le Figaro.

Pour faire court, on peut trouver sur Google les liens vers des commentaires d’utilisateurs du journal. Seulement voila, dans l’url se trouve le login et le mot de passe de celui qui a écrit le commentaire. Ce n’est pas beau, ça ? Non, clairement non, et pour plusieurs raisons.

Déjà, pourquoi avoir mis le login et le mot de passe de la personne dans l’url ? Un numéro en base qui correspond au commentaire et au login de la personne est plus suffisant (début deuxième année d’informatique ça, au maximum).
Ensuite, si le mot de passe apparait en clair dans l’url, ça signifie qu’il est stocké ainsi dans la base de données (ou dans le ldap suivant le cas). C’est le pire truc qu’on puisse faire. Lorsqu’on fait un développement un tant soit peu sérieux (c’est-à-dire au moins niveau TP à l’université), on crypte les mots de passe et on les insère ainsi en base. Lorsque l’utilisateur tape son login / mot de passe, on récupère et crypte ce dernier. Si le résultat crypté correspond à ce qui est en base alors ça veut dire qu’il s’agit du même mot de passe. En gros, l’administrateur ne peut pas (et ne doit pas) pouvoir voir mon mot de passe et si sa base de données est piratée, les pirates ne pourront pas connaitre facilement les mots de passe.

Autre point, et là il n’est pas technique mais humain. Je trouve ça pitoyable de la part du journal d’avoir réagit en disant que ce problème était l’œuvre d’un piratage informatique. Ce n’est pas possible ! Ca voudrait dire que le pirate est rentré sur la base de données du site. Il a vu la table des mots de passe cryptés. Il les a tous décrypté et au lieu de les récupérer, il serait entré sur le site, aurait eu accès à son code source, et l’aurait modifié pour faire apparaitre tout ça dans l’url. Vous imaginez sérieusement un gars assez con pour se faire chier à modifier tout le code d’un site pour faire ça, alors qu’il n’a qu’à mettre les logins / mot de passe sur Internet ?
Donc Le Figaro a essayé de cacher le fait qu’ils ont acheté un site mal fait en disant que c’est l’œuvre d’un pirate.
De même, le temps de réaction du journal pour commencer à traiter le problème a été trop long : 2 jours. 2 jours sur Internet est équivalent à une décennie en temps normal. L’information a eu le temps de se propager, d’être lue et stockée par les moteurs de recherche, etc.

Tout ça pour dire, que si vous avez un compte sur leur site, je vous conseille très fortement de changer votre mot de passe et de vous attendre à vous faire spammer votre boite mail dans les prochains jours.

La police de Los Angeles utilise un logiciel pour orienter ses patrouilles

Publié le par
Répondre

La police de Los Angeles utilise un logiciel pour orienter ses patrouilles dans les endroits où la probabilité qu’un crime ou délit soit fait. Ainsi, elle entend faire baisser le nombre d’infraction à la loi pénale, sans avoir besoin d’augmenter les effectifs.

Le logiciel se base sur un algorithme qui prend en compte les cartes des crimes et délits des années précédentes afin de prédire où se réaliseront les prochains.
Les patrouilles de police voient des carrés rouges de 150m carrés pour les zones à risques. Ca permet aux policiers d’être plus présents et donc dissuader les malfrats.
Le fabricant, PredPol, assure que son logiciel a permis de faire baisser les infractions de 25%.

De nos jours, où les budgets de la police sont serrés, ce genre de logiciel pourrait être pratique. Cependant, les malfrats ne vont pas se gêner pour changer d’endroit et donc rendre inutile ce genre de logiciel. A part, si l’algorithme peut prendre en compte ce genre de problème.

SCADA : vulnérabilité inquiétante

Publié le par
Répondre

SCADA, pour Supervisory Control And Data Acquisition (soit Télésurveillance et Acquisition de Données en français), sert à contrôler à distance des éléments présents sur le terrain comme des vannes.
Avant, il fallait envoyer une personne manipuler la vanne, par exemple, alors que grâce à SCADA, on peut le faire depuis un poste de contrôle.

Le système est donc pratique en soit, puisqu’il permet une meilleure réactivité et aussi des coûts moins important (besoin de moins de personne). Mais le problème est que très souvent les systèmes sont faillibles et donc attaquent. Les éditeurs de ces solutions mettent beaucoup de temps à réagir. Et comme ces systèmes sont connectés sur Internet, ça peut vite devenir moche. Imaginons un jour que des terroristes attaquent le système d’une centrale électrique ainsi. Ils en ont la possibilité car ils ont de grandes ressources financières et souvent de bons black hack (hackers utilisant leurs connaissances à des fins néfastes).

Si vous pensez que ça ne risque pas d’arriver, vous avez tord (à mon avis). En 2008, les Etats-Unis d’Amérique et Israël ont mis au point un virus appelé Stuxnet. Son objectif était d’attaquer le système SCADA qui régissait une centrale nucléaire iranienne, et ainsi retarder voir saboter le programme nucléaire iranien.
Il ciblait le système gérant les turbines à vapeur de la centrale. Il a créé une surchauffe des turbines et les a ainsi endommagées voir détruites.
L’objectif a donc été atteint. Mais le problème est qu’il s’est retrouvé accidentellement sur Internet et s’est propagé dans d’autres centrales. Il a au total infecté 45 000 systèmes informatiques, dont 30 000 présents en Iran.

Donc, je ne sais pas ce que vous en pensez, mais je trouve ça inquiétant de savoir que nos centrales électriques, de distribution d’eau, etc, utilisent les systèmes SCADA. Tout en sachant que les distributeurs de ces solutions déconseillent de changer le mot de passe par défaut (qui circule bien entendu sur Internet).

Gmail vous prévient si un Etat vous espionne

Publié le par
Répondre

Une petite nouvelle que je voulais partager avec vous.

Gmail vous prévient grâce à un bandeau rouge s’il suspecte qu’un Etat cherche à pirater votre compte. Cette suspicion est basée sur des analyses statistiques.

Bien entendu, la meilleur protection est d’avoir un mot de passe unique pour chaque site et robuste.
Pour ceux qui se demanderaient à quoi ressemble un mot de passe robuste, c’est au moins 8 caractères, avec des chiffres, des lettres en minuscules et majuscules ainsi que des caractères spéciaux. Il ne doit pas lié à vous, c’est-à-dire pas de date d’anniversaire, pas le nom des enfants ou du chien, etc. Toutes ces données étant facilement récupérables (merci les réseaux sociaux).
Dernier point, il ne faut pas non plus le noter sur papier. Pour les stocker, il est recommandé d’utiliser une application spécifique pour ceux qui ont un smartphone, sinon pour les autres un fichier texte (de préférence dans une partition chiffrée sur une clef usb) fera l’affaire.
Pour ceux qui n’auraient pas d’idées pour créer un mot de passe sécurisé, il existe des applications pour ça (sur internet, sur smartphone, ou autre).
Voici un exemple de mot de passe robuste : si#JEw*I7

Une faille découverte dans le vote par Internet

Publié le par
Répondre

Le système du vote par Internet comporte une faille de sécurité.

L’attaque est basée sur l’attaque dite « man en the middle » (voir une petite définition dans un article précédent) qui permet, couplée à une injection sql, d’utiliser l’ordinateur de la personne et ainsi de voter à la place (voir la vidéo).

Déjà l’application est en java 1.6, tandis qu’on est actuellement à la version 1.7. Personnellement, ça ne me choque pas car je sais que beaucoup d’applications sont en version inférieur ou égale à la 1.5. Ce n’est pas top pour une application telle que le vote. Mais ce qui craint, c’est que le Ministère des Affaires Etrangères rappelle qu’il faut désactiver son antivirus.

Pareil, il faut avoir le javascript activé. S’il n’est pas actif, on ne peut pas continuer le vote. On m’a toujours appris que le javascript était un plus pour l’application mais ça ne doit pas être bloquant. Bon ba là c’est bloquant.

Un petit truc qui me chiffonne, le serveur de vote a l’air d’être en Espagne.

Tout ça pour dire, que l’application n’a pas l’air d’être super bien développée surtout quand on voit à quoi elle sert. Espérons que tout se passe bien (même si j’ai des doutes).