Archives par étiquette : sécurité

J’ouvre mon réseau Wifi à mes voisins grâce à Hadopi !

Ce n’est un secret pour personne Hadopi prévoit de punir plus de monde pour la négligeance caractérisée [de sécuriser son accès internet] que pour de réels faits de contrefaçon. Mais cette notion n’existant pas encore (à ma connaissance) il a fallu légiférer et caractériser cette négligence caractérisée…

C’est chose faite depuis la publication le 25 juin 2010 du décret n°2010-695 « instituant une contravention de négligence caractérisée protégeant la propriété littéraire et artistique sur internet »…

Sauf que loin de me tenter de sécuriser mon wifi (par ailleurs jusque là protégé par une clef WPA toute bête), ce texte, que j’attendais avec impatience, me pousse à avoir une réaction toute autre : ouvrir mon wifi à mes voisins !

Pourquoi Hadopi me pousse au partage

Pour mieux comprendre voici la phrase sur laquelle je base ma démarche :

« Art. R. 335-5. – I. ― Constitue une négligence caractérisée, punie de l’amende prévue pour les contraventions de la cinquième classe, le fait, sans motif légitime, pour la personne titulaire d’un accès à des services de communication au public en ligne, lorsque se trouvent réunies les conditions prévues au II. »

La partie importante de cet article est la partie que j’ai mise en gras : « sans motif légitime ». Cette notion est très vague et laisse libre cours à pas mal d’interprétations. En effet, il n’est pas précisé qui apprécie si un motif est légitime ou pas ? Le présumé coupable ou la justice ? Continuer la lecture

Twitter subit une faille XSS

Dans la série, si madame Michu arrive à sécuriser sa connexion Internet je veux bien manger mon chapeau (qu’il va falloir que je récupère un jour), je vous présente la toute dernière faille de sécurité touchant une toute petite boite : Twitter… Après le petit social engineering dont a été victime la startup, qui n’a plus de startup que le nom, Twitter va à nouveau défrayer la chronique à cause d’une faille de sécurité exposant tous ses utilisateurs : une injection XSS toute bête à exploiter.

Lorsque l’on poste sur twitter depuis une application l’API permet d’afficher le nom du logiciel utilisé en ajoutant un petit lien vers le site de l’éditeur dudit logiciel. Véritable tremplin pour les applications du genre, il semblerait que cette fonctionnalité ne soit pourtant pas idéale d’un point de vue sécurité.

C’est en effet en ajoutant au nom du logiciel utilisé (Ubertweet visiblement, mais il a aussi pu le modifier en passant) qu’un pirate a réussit à exploiter une faille vielle comme le monde : la fameuse injection XSS. Le principe est très simple : il s’agit d’injecter du code Javascript au texte originellement attendu. Si le site est mal codé (aka si le code est affiché tel quel sans que ne soit pratiqué de vérification sur le contenu) le script va être interprété et peut poser de graves problèmes de sécurité.

Il est notamment tout à fait possible de voler les cookies (et donc le compte) d’un utilisateur du service qui serait connecté au moment où il visualiserait la page ! Continuer la lecture

Pourquoi je ne crois pas au vol des mots de passe de Skyrock

Ou pourquoi sont-ils complètement incompétents ?

Vous n’avez pas pu passer à côté de ce fait d’actualité : Skyrock, par le biais de la plateforme Waka mise en place en partenariat avec le gouvernement pour en apprendre un peu sur les jeunes kikoulol qui peuplent le site, a subit une attaque informatique qui aurait résulté en un vol de données confidentielles parmi lesquelles les informations de connexion de 32 millions de comptes – mots de passe non chiffrés…

Outre le fait que stocker des mots de passe en clair soit une ineptie j’ai envie de soulever un autre point qui m’a un peu chatouillé quand j’ai entendu parler de l’affaire : la quantité des données volées.

En effet on parle là de 32 millions d’enregistrements dans une base de données… Ce qui représente, malgré le fait qu’il ne s’agisse que de texte, un fichier d’une taille assez raisonnable !

Je me suis donc livré à une série de petits calculs en me basant sur le formulaire d’inscription de skyrock pour estimer la taille du fichier que le pirate aurait réussi à sortir au nez et la barbe de la deuxième plateforme communautaire francophone (la première étant facebook).

En se basant sur le formulaire d’inscription du site on peut estimer la taille minimale d’un enregistrement. Pour ce faire je suis en considérant les choses suivantes : bases encodées en ANSI et tous les champs remplis par leur valeur la plus courte possible.

Continuer la lecture

Facebook, Twitter : analyse d’une gestion de crise

En règle générale j’évite d’écrire sur l’actualité pour la simple et bonne raison que beaucoup de monde s’en charge déjà et que ça ne m’intéresse pas d’entrer dans une guerre de positionnement sur de la news.

Mais pour écrire cet article en particulier je vais devoir rebondir sur l’actualité de ces derniers jours : la mise à mal successive des deux plus gros réseaux sociaux actuellement en place par des failles à la limite du 0day et surtout la façon dont les deux start-ups devenues multinationales ont su (ou pas d’ailleurs) gérer la crise.

Les failles

Petit retour sur les deux failles dont je vais vous parler ici afin que vous puissiez suivre la gravité de la situation si vous étiez dans un igloo cette semaine.

Facebook

Mercredi dernier (le 5 mai donc), Techcrunch publie un article expliquant qu’une simple manipulation permet de voir le chat Facebook d’autres comptes que le sien. L’exploit est ultra-simple et permet aussi d’avoir accès aux dernières demandes d’ajout, derniers messages et dernières notifications. Il suffit pour cela de se rendre dans la partie « Privacy settings » (Paramètres de confidentialité) et d’utiliser la fonctionnalité permettant de voir son profil comme le voit un de ses amis.

En allant un peu plus loin on se rend compte qu’il suffit d’ajouter le paramètre ?viewas=[id du profil cible] à l’url de son profil personnel pour avoir accès à toutes ces informations sensibles – que l’on soit ami avec la personne ou non.

Twitter

Hier (le 10 mai donc), Gizmodo publie un article (supprimé depuis mais dont vous pouvez retrouver l’essence du contenu chez l’ami Korben – en français en plus !) expliquant que l’on peut, depuis l’interface web de twitter, et sans aucune connaissance en informatique là encore, forcer n’importe qui à devenir l’un de vos followers.

Il suffit pour cela, en lieu et place de votre statut, de taper « accept username » où username serait le nom d’utilisateur twitter de la personne que vous voulez voir apparaître dans votre liste de followers – « accept Paul_Da_Silva » par exemple…

Continuer la lecture

BBKeys : Quand Bouygues ne sécurise pas ses box

Hier sur twitter je suis tombé sur un relevé de combinaisons clefs / ESSID pour les Bbox de Bouygues Telecom. Un peu intrigué de savoir comment quelqu’un avait réussi à pondre une liste de plus de 13.000 de ces combinaisons j’ai un peu fouiné et je suis tombé sur un outil assez formidable : BBKeys.

L’idée est simple : pour générer le couple ESSID / clef WPA par défaut, Bouygues (enfin plutôt Thompson qui fabrique le modem) se base sur un algorithme qui lui même se base sur le numéro de série de la Box.

Là où ça se gâte (pour Bouygues) et ça commence à devenir intéressant (pour nous) c’est qu’à partir de l’ESSID il est possible de retrouver une portion du numéro de série de la box qui suffit à générer la clef WPA par défaut…

En un mot : à partir du SSID visible par tous, il est possible de retrouver la clef WPA par défaut… En assumant que les gens sont c*ns (et ils le sont souvent), on a des chances qu’ils ne l’aient pas changé et par conséquent on gagne un accès au net gratos sur l’IP de ses voisins (coucou Hadopi, c’est pas moi c’est madame Michu…) !

Assez enthousiasmé par tout cela, et malgré le fait que personne ne soit abonné Bbox par chez moi, j’entreprends de télécharger l’outil pour regarder un peu mieux comment ça fonctionne… Et là surprise : on me demande un code Allopass…

Continuer la lecture