Archives mensuelles : juin 2012

On a tous été jeunes

On me demande souvent comment j’ai commencé à m’intéresser à la sécurité, je pense que ce jour là a été un des déclencheurs qui ont fait que c’est devenu mon métier. Petit billet d’humeur en ce trolldredi pour vous raconter une anecdote de l’époque bénie où j’étais (inscrit) à l’IUT.

Ce devait être en 2007 ou 2008 (putain le coup de vieux !), à l’IUT de Montreuil lors d’une pause déjeuner. La coutume était souvent la même : les étudiants allaient manger tous en même temps et se retrouvaient ensuite dans les quatre salles info pour jouer ou avancer leur projets… Ouais bon, pour jouer !

Avec un groupe d’amis – bande de pochtrons ! – on a un peu perturbé cette pause là en particulier…

Alors que tous les étudiants se dirigeaient vers la cantine on se dirigeait vers les salles info, une clef USB en main. Munis des logins / mots de passe des comptes de test des salles info (qu’on avait récupéré un peu plus tôt dans un script de génération LDAP qui trainait) on a allumé et loggué toutes les bécanes sur les comptes en question.

Sur la clef USB une simple page en php et une image de fond. Le tout donnait une impression presque crédible de la page de login d’Ubuntu (version de l’époque installée sur les machines), une fois copiés dans le dossier approprié il suffisait d’ouvrir la page en question dans un navigateur et d’appuyer sur F11 pour mettre l’affichage en plein écran. La page se chargeait dès lors d’afficher un message d’erreur et de stocker les données entrées dans un fichier .txt…

Un simple file_put_contents.

Branchés sur le wifi avec nos laptops et / ou téléphones on se positionne à l’étage en dessous, dans une salle de cours non-utilisée et on attend, le doigt sur le F5.

Le résultat fut à la hauteur de nos espérances, et en une après-midi on a ainsi vu défiler les logins et mot de passe de tous les utilisateurs essayant de se connecter… Jusqu’à l’administrateur qui avait été sollicité pour résoudre le problème de login et n’y comprenait pas grand chose de plus que les autres…

La leçon à tirer de cela (au delà du fait que certains souvenirs de l’IUT me resteront à vie) ? Ne pas utiliser le même mot de passe partout, ne pas faire confiance à n’importe quelle machine, une vocation vient souvent d’une connerie, même les responsables font des erreurs, … ne rayez aucune mention inutile.

Don’t try this at home, certains pourraient très mal le prendre 😉

Problème de maths, censure et éducation civique

Parce qu’il faut bien se détendre en ces temps d’invasion de zombies, parlons un peu de zombies informatiques… Ou de zombies corporate…

Premier sujet :

Visiblement les gens n’estiment pas bien les implications de pouvoir pirater l’ordinateur sur lequel on vote. Voici un petit problème de math pour rafraîchir les esprits:

================================================
PROBLÈME DE MATHÉMATIQUES / INSTRUCTION CIVIQUE
================================================

Sachant que:

1) Un parti A peu scrupuleux passe un contrat en sous-main avec un contrôleur de botnet qui déploit l’autovoteur sur tous les 4,67% des ordinateurs qu’il contrôle.

2) Un parti B peu scrupuleux développe un outil contenant l’autovoteur, qu’il fournit à tout ses sympatisants et leur demande de l’installer sur un maximum d’ordinateurs pour une raison futile. En moyenne un sympatisant l’installe sur 1,7 machines, 12576 sympatisants l’ont téléchargé.

3) 47 techniciens informatiques sympatisants peu scrupuleux du parti C dans 47 entreprises ayant en moyenne 478 salariés installent l’autovoteur sur les ordinateurs du personnel de leurs entreprises via leur outil de maintenance automatisé à distance qui leur facilite la tâche. Il s’assurent également que les ordinateurs ont la « bonne » version de Java et sont compatible avec le vote — là c’est plus technique mais on imagine que les techniciens IT sont compétents donc 42 d’entre-eux y arrivent. En moyenne 34% des salariés votent sur leur lieu de travail car ils n’ont pas la bonne version de java à la maison et suivent consciencieusement les recommandations du ministère.

4) 247 propriétaires de cyber-café sympatisants peu scrupuleux du parti D installent l’autovoteur sur tous les ordinateurs de leurs établissements. En moyenne 29 électeurs votent dans chaque cyber-café,  car ils n’ont pas la bonne version de java à la maison et suiventconsciencieusement les recommandations du ministère.

5) 1825 bidouilleurs sympatisants peu scrupuleux du parti E gèrent en moyenne 12 ordinateurs de leurs relations. Ils installent l’autovoteur sur les ordinateurs. 80% des ordinateurs sont utilisés pour voter par en moyenne 2,1 votants.

6) 232 sociétés de service en informatique pour  particuliers, peu scrupuleuses et sympatisants du parti F gèrent en moyenne 78 clients chacun. Chaque ordinateur est utililsé en moyenne pour voter 1,4 fois.

7) 785 094 personnes ont reçus leur identifiants par courrier à temps et ont réussit à voter pour ce scrutin. On ne parle pas des autres, on s’en fiche.

Question 1 (algèbre). Quel parti politique sera élu ?

Question 2 (éducation civique). Est-on encore en démocratie ? Argumentez.

2h  — Calculatrices interdites — Bon courage.

Par Laurent Grégoire

Second sujet, plus grave :

Hier Vimeo a supprimé le compte de Laurent Grégoire (où il avait hébergé la vidéo de démonstration d’une « attaque » par injection de code dans l’applet de vote par internet. Le mail qu’il a reçu est le suivant :

Dear Laurent:

Your account has been removed by the Vimeo Staff for violating the Rules of Vimeo.com
Reason: Uploading advertisements, commercials, infomercials, or videos that actively sell a product or service.

We hope you find a video host more suited to your needs. If you believe this was an error, please reply to this email in a civil manner with your reasoning (« I see other people do it » is not a valid reason).
Regards,
Vimeo

Elle est depuis disponible sur youtube :

Une demande formelle a été adressée pour comprendre pourquoi la vidéo avait été censurée et à la demande de qui. D’ici là n’hésitez pas à la récupérer et à l’uploader ailleurs…