mercredi 24 mai - par Philippe Huysmans

Virus et chevaux de Troie, ce qu’il faut savoir

Nous assistons ces dernières semaines à une vague sans précédents de prolifération de chevaux de Troie et autres ransomwares. Pas vraiment nouveau, me direz-vous, et pourtant si, à cause de l'ampleur du phénomène et des méthodes de plus en plus sophistiquées utilisées par les malfrats pour mettre la main sur vos précieuses données... ou sur votre argent.

Les virus et autres maliciels sont presque aussi vieux que l'informatique. Tout d'abord développés par des geeks qui y voyaient surtout une manière de coder au niveau même du système d'exploitation, et par là, apprenaient à le connaître comme personne ; ceux-ci ont connu leur heure de gloire dès la fin des années '80 avec la prolifération de dizaines de milliers de virus qui étaient capables de se répliquer sur des supports comme les fichiers .com ou .exe, en les laissant intacts ou en les détruisant irrémédiablement au passage. D'autres infectaient le secteur d'amorce des disquettes ou des disques durs, et puis vinrent les premiers virus sous forme de macros avec le fameux I LOVE YOU qui paralysa bon nombre de serveurs e-mail à l'été 1999. Et comme c'est dans les plus vieilles casseroles qu'on fait le meilleur bouillon...

La situation aujourd'hui

La bonne nouvelle c'est qu'aujourd'hui la plupart des maliciels ne visent plus à détruire vos données ou votre parc informatique. La mauvaise c'est que les malfaiteurs (il faut bien les appeler ainsi, ce ne sont pas des hackers, mais des truands) se sont largement professionnalisés et qu'ils usent de ruses toujours plus fines pour parvenir à vous extorquer leur obole. 

Ainsi, ce que nous voyons à l'oeuvre, c'est la mise en place de stratégies permettant au racket (ou au vol) d'aboutir :

  • Utilisation de supports supposément anodins pour servir de vecteurs à l'attaque
  • Appel à l'ingénierie sociale, fausses factures
  • Utilisations de techniques avancées de cryptographie

Supports supposément anodins (.pdf, .rtf, .doc, .xls, ...)

Je suppose qu'on vous l'a tous dit au moins une fois, ne jamais, jamais ouvrir un fichier exécutable reçu par e-mail, ou proposé au téléchargement sur des sites douteux. Bien, et j'imagine qu'on vous aura dit, au moins une fois aussi que « si c'est un pdf, c'est sans danger, tu peux l'ouvrir ».

Sauf qu'il n'y a rien de plus faux, et cela a des conséquences d'autant plus dramatiques que la plupart des gens, justement, ont été biberonnés à l'idée que ces fichiers ne peuvent pas représenter une menace. Dans les faits, les PDF, tout comme les fichiers office (.doc, .xls, ...) sont des formats « containers ». Ils peuvent contenir n'importe quoi, littéralement, y compris des parties exécutables. Si vous combinez cela avec des failles connues permettant d'exécuter arbitrairement du javascript dans un PDF, par exemple, vous obtenez un PDF qui contient un .DOC qui contient des macros exécutables... qui seront automatiquement lancées lorsque vous ouvrirez le document dans votre navigateur ou votre client e-mail. Je ne parle pas ici de science-fiction, ces attaques combinées sont déjà une réalité depuis plusieurs mois[1].

Au risque de vous paraître quelque peu spartiate, il n'y a que deux familles de fichiers :

  • Les fichiers ne contenant que du texte pur
  • Les autres

Et seuls les fichiers ne contenant que du texte pur ne sont pas susceptibles de représenter une menace. Tous les autres sont potentiellement dangereux, soit parce qu'ils permettent directement d'embarquer des macros ou d'autres contenus exécutables, soit parce qu'ils peuvent faire l'objet d'attaques en buffer overflow qui transforme le programme chargé de les décoder en agent exécutable au service du maliciel. Bien sûr, la plupart de ces failles finissent par être découvertes et corrigées, mais dans l'intervalle, vous êtes vulnérable et il peut parfois s'écouler plusieurs mois, voire des années avant que ces failles soient documentées quand ce ne sont pas carrément les services secrets de l'un ou l'autre État qui les gardent « sous le coude » au cas où elles pourraient leur servir à infiltrer des réseaux ennemis.

Appel à l'ingénierie sociale, fausses factures

De plus en plus souvent, les malfaiteurs complètent leur attaque par l'ingénierie sociale. Ils vous envoient un PDF infecté, puis quelques heures plus tard, après avoir glané les données de contact sur votre site cherchent à joindre un responsable du service comptable (ou autre) afin de l'inciter à ouvrir le document. Une telle démarche est de nature à renforcer le contact humain, et donc à rassurer l'interlocuteur qui dès lors, ne pensera plus à une simple attaque informatique.

Utilisations de techniques avancées de cryptographie

Les techniques utilisées par les truands pour encrypter les données, par exemple dans le cas du Trojan WannaCry ou de son successeur (dont on a peu parlé) Jaff, sont à la pointe de la technique. En deux mots, ils font appel à la cryptographie asymétrique. Deux jeux de deux clés sont créés lors de la primo-infection. Un set de clés « démo » et un set de clés « prod ». Le set de clés « démo » ne servira qu'à encrypter un petit nombre de fichiers que le malware vous permettra ensuite de décrypter pour vous « prouver » qu'il est capable de déchiffrer vos données.

Un set de clés contient deux clés, l'une destinée à encrypter les données, l'autre à les décrypter. Dès que le jeu de clés « prod » est créé, la clé de décryption sera envoyée (via l'anonymiseur TOR) à un serveur secret (les truands), puis détruite irrémédiablement. Le set « démo » restera lui au complet sur la machine infectée, y compris la clé de déchiffrement, qui permettra ultérieurement à l'utilisateur de décrypter un petit nombre de fichiers, en guise de gage de « bonne foi ».

Ensuite, le maliciel encryptera tous les fichiers passant à sa portée, les rendant définitivement inaccessibles sauf à disposer de la clé de déchiffrement (et donc, de payer la rançon).

La mauvaise nouvelle : sans la clé de déchiffrement, vous devrez vous reposer sur vos seules copies de sécurité OU payer la rançon pour l'obtenir. Seul un tout petit nombre de clés ont pu être reconstituées dans des environnements très particuliers (Windows XP) en exploitant un bug dans le générateur pseudo-aléatoire du système d'exploitation. Si votre propre système est plus récent (Windows 7, 8 ou 2012 Server), vous êtes cuit.

Que peut-on faire pour se protéger ?

Les « spécialistes en sécurité » qui viennent généralement pour évoquer la question dans les médias vous diront qu'il faut absolument avoir un antivirus à jour. Moi je dirais qu'un antivirus est à peu près aussi efficace que de chanter « Plus près de toi mon Dieu » en cas de naufrage du Titanic. Ça rassure, certes, mais je ne suis pas du tout certain que ce soit une protection efficace ou suffisante.

De mon expérience quotidienne en tant que mailmaster, je retiens que 80% des virus qui arrivent sur mon serveur de courrier sont de type « zero day » c'est-à-dire qu'aucun antivirus ne peut les détecter au moment où je les reçois. Il peut s'écouler plusieurs heures, voire plusieurs jours avant que les antivirus soient mis à niveau et capables de les détecter.

De sorte qu'on comprend qu'un antivirus est spécialement étudié pour détecter les menaces qu'il connaît, et fort peu celles qu'il n'a encore jamais vues (heuristique). Pourquoi ? Parce que c'est un business ; les fabricants d'antivirus vivent non pas de leur produit (le moteur de l'antivirus) mais bien des abonnements qui vont avec. Ils vendent un service et n'ont que peu d'intérêt à tuer la poule aux oeufs d'or, si tant est que cela soit possible tant l'imagination des hackers n'a pas de limite.

Scanner systématiquement les attachments reçus avec VirusTotal

Si vous recevez un attachment ou téléchargez un document sur internet, et que vous ne savez pas trop si c'est du lard ou du cochon, ce n'est pas une mauvaise idée de le scanner en ligne avec VirusTotal, qui le soumettra à une cinquantaine d'antivirus différents et vous remettra un rapport vous permettant de vous faire une idée. Je dis bien une idée, parce que certains que je reçois passent littéralement à travers sans aucun problème.

Limiter les droits de session du navigateur

Ensuite, pour toute sécurité, ce ne serait pas une mauvaise idée, lorsque vous surfez sur internet à partir d'un ordinateur sous Windows, d'installer le petit logiciel DropMyRights (publié par Microsoft). Celui-ci permet, grâce à une petite manipulation dans les raccourcis, de faire exécuter votre navigateur (Chrome, FireFox ou Internet Explorer) en contexte de droits restreints, en tant qu'utilisateur invité. Ainsi, au cas où vous tomberiez sur une page exploitant justement une faille zero-day de votre navigateur, le maliciel ne pourrait pas s'installer et causer des dégâts importants au système.

Bloquer les macros dans MsOffice

En principe, depuis la version 2007 de MsOffice, les contenus exécutables (macros) sont bloqués par défaut. Toutefois vous pourriez être amené à les autoriser : en pareil cas, assurez-vous de n'autoriser que des contenus dûment signés numériquement par vous.

Désactiver le protocole SMBv1 si ce n'est déjà fait

En principe, si vous réalisez régulièrement les mises à jour de Windows, ce protocole (qui comportait une faille critique qui permettait à Wannacry d'infecter les réseaux) devrait être désactivé. Si cela ne devait pas être le cas, vous pouvez réaliser simplement cette procédure en ligne de commande.

Conclusion

Nous vivons dans un monde où l'évolution technologique se poursuit à un rythme tellement effréné qu'il devient presque impossible, pour le citoyen lambda, de comprendre les tenants et les aboutissants en termes de sécurité des outils qu'il utilise quotidiennement. Selon moi cette situation est extrêmement dangereuse et elle est certainement anxiogène pour les utilisateurs qui réalisent leur incompétence en la matière.

Autrefois, quand vous vouliez protéger vos biens, vous achetiez un coffre-fort. Et chacun pouvait comprendre comment fonctionnait un coffre-fort, comment il était construit, dans quels matériaux, et pourquoi il était si difficile à ouvrir si l'on n'avait pas la combinaison et la clé.

Mais qui d'entre vous pourrait m'expliquer précisément pourquoi je ne puis effectuer un virement à partir de votre compte sans votre permission ? Qui comprend la sécurité amenée par une clé asymétrique à 2048 bits ? Pour le même prix on pourrait vous les faire en 40 bits et vous ne vous en trouveriez probablement pas plus mal, ne sachant pas à quel péril vous seriez exposé... Oh bien sûr, je plaisante, il ne viendrait (plus) à personne de sécuriser des communications sur 40 bits !! Et pourtant, jusqu'en 2000, les lois américaines interdisaient l'export de moyens cryptographiques (logiciels) dépassant cette limite. 

Ainsi, il y a un danger pire que l'insécurité en informatique, c'est le faux sentiment de sécurité, qu'il soit amené par des charlatans ou par des agences étatiques qui veulent se réserver le droit de mettre le nez dans vos petits secrets.

Notes

[1] Didier Stevens, un spécialiste belge en sécurité et analyse des menaces avait déjà illustré ceci par un exemple, en créant un PDF qui écrivait (droppait) un fichier EICAR dans le répertoire temporaire de Windows. Le fichier EICAR en soi est inoffensif et utilisé seulement pour tester les antivirus. 

C'est le même qui quelques mois plus tôt avait écrit en Python un petit logiciel (OLEDump) permettant de détecter automatiquement la présence de macros dans un container OLEv2 (.doc, .xls, .ppt, ...).

Ce script est aujourd'hui assez largement utilisé par un certain nombre de mailmasters en complément des autres mesures de sécurité afin de détecter les fichiers qui pourraient représenter une menace pour le réseau. Pour ceux d'entre vous qui gèrent des serveurs de courrier, la version en ligne de commande ClamAV avec son démon, permet, une fois configuré correctement d'identifier lui aussi les macros OLEv2 même si elles ne correspondent à aucune signature connue.

 

Article original sur LeVilainPetitCanard
Page Facebook


49 réactions


  • Alren Alren 24 mai 18:33

    Le risque est-il aussi grand pour ceux qui utilisent Linux ?


    • Philippe Huysmans Philippe Huysmans 24 mai 19:31

      Bonjour @Alren,

      Non, du tout, pas tant d’ailleurs parce que linux serait intrinsèquement plus sûr, mais tout simplement parce que par défaut, il est configuré de manière plus sécurisée, et que de toutes façons, il intéresse moins les truands (pas assez d’utilisateurs).

      Ainsi sous linux, par défaut, pas question d’être connecté en root, ce qui est même rendu impossible sauf à bidouiller dans la config.

      Du coup ça rend les installations furtives vachement improbables.

      Alors oui, Linux est très sûr, mais fort peu utilisé par le grand public. En fait l’immense majorité des machines linux sur la planète sont des serveurs web et des serveurs de virtualisation (sans parler des versions embarquées).

      Philippe


    • Attilax Attilax 25 mai 17:47

      @Alren
      Je confirme : sous linux depuis dix ans, je n’ai jamais eu un seul virus ni aucun bug bloquant le système. Une appli éventuellement, jamais plus. Quand au hack, c’est impossible sans connaître le mot de passe root. Petite précision, pour un utilisateur windows, les système de fichiers EXT4 utilisés par Linux sont invisibles, il n’y a RIEN selon windows. Amusant. Les dernières distributions sont grands publics, même ma vieille mère n’a aucun problème à s’en servir... Et apparemment ils en sont très contents aussi sur la station spatiale qui tourne sous debian !


    • Ruut Ruut 26 mai 07:19

      @Attilax
      Depuis 15 ans je n’ai jamais eu de virus non plus sous Windows.
      il suffit de le configurer correctement.
      Le soucis c’est l’obligation récente de devoir utiliser des add-ons blindés de failles de sécurités.
      La sécurité IT était bien plus grande sous Windows XP que sous Windows 10.

      La règle d’or est de ne JAMAIS travailler sous un profil disposant de droits administrateur.
      Surtout lors de surfs sur internet.

      Désactiver le java script et le flash sécurise aussi énormément la machine.
      Pur le reste, éviter d’utiliser des logiciels a faille de sécurité intégrés comme adobe pour les PDF et Office pour la bureautique, surtout les dernières versions qui sont un nid a virus potentiels.

      Les extensions de navigateurs sont l’autre faille des machines récentes.
      Se méfier de certaines clefs usb qui lors de la connexion installe via les pilotes des virus et préférer souvent un pilote générique présent de base dans Windows.

      Linux c’est très bien et gratuit (Ubuntu pour les francophones par exemple) mais pour les gameurs, c’est rarement au même niveau de finissions (patch pas souvent au même niveau) et les mods y fonctionnent rarement, donc a moins de tous tourner sous linux, le multijoueur ça reste du Windows.
      La faille de sécurité linux reste les mises a jours et les récupérations des applications via internet. (mais une fois ces trucs faits correctement l’os est vraiment fiable.)


    • placide21 26 mai 14:28

      @Attilax

      Je navigue avec Linux depuis 4 ans sans virus et je me demande pourquoi on ne parle jamais de la responsabilite de Microsoft qui vend un produit avec des failles, imaginez ce type de problème avec une voiture par exemple : le constructeur serait immédiatement poursuivi .


    • Attilax Attilax 26 mai 21:36

      @Ruut
      Vous oubliez l’arrivée de Steam sous linux il y a quatre ans ! Des centaines et des centaines de titres sont aujourd’hui disponibles et tournent nickel. Je suis gamer aussi, et j’ai fini par lâcher ma partition windows que je gardais « au cas ou ». Certes, je n’ai pas les tout derniers jeux à la mode, mais j’ai un PC ultra sécurisé, bidouillable à volonté, qui me fout une paix royale et qui tourne plus vite que n’importe quel Windows ou Mac puisqu’il utilise 20 fois moins de processus. Il ne m’espionne pas, ne me trace pas, ne me hameçonne pas et ne m’interdit rien. Les logiciels libres sont plus légers, tournent bien et me permettent exactement les mêmes choses que les propriétaires payants smiley
      J’ai longtemps bien aimé windows qui est très versatile, et plus bidouillable que Mac, mais hélas trop « fragile » et plombé : c’est une passoire, on l’a encore vu la semaine dernière dans 199 pays...
      Aujourd’hui le seul intérêt de garder windows (pour un particulier), vous avez raison, c’est pour jouer, c’est tout.


    • emmanuel muller emmanuel muller 28 mai 20:43

      @Alren
      Pas encore, mais c’est un vrais sujet.

      C’est clairement XP la faille comme l’a démontré la dernière affaire qui a touché Renault.
      XP est abandonné, obsolète, mais le changer c’est souvent changer de matériel, alors les ordi « zombies » se multiplient.

      Le problème est la monoculture comme sur le fond d’écran du coupable. Et si un virus deviens efficace, sans diversité ça fini toujours en épidémie.

      Linux c’est le monde de la diversité ... mais aussi ce qui fait fonctionner tous les systèmes android alors ça pourrait changer.

      Enfin, le point Snowden, certains systèmes ont l’obligation par contrat d’avoir des failles de sécurités utilisable au cas où ... ce que certain se font un devoir de convertir en virus pour le mettre en évidence.
      C’est a priori pas le cas sous Linux ... a priori.

      Le risque le plus faible est pour ceux qui n’utilisent QUE des logiciels libres, mais c’est une minorité des systèmes, même Linux.


    • Ruut Ruut 29 mai 08:32

      @emmanuel muller
      Non, contrairement aux Windows plus récents XP pro tu sait complètement le sécurisé au niveau locale.
      Par contre, oui les Windows plus récents ne sont plus aussi sécurisables que XP pro et oui de base XP n’est pas sécurisé correctement (XP, il faut le sécuriser avant sa première connexion a internet).


    • emmanuel muller emmanuel muller 29 mai 09:51

      @Ruut
      Non, moi je ne sais pas smiley

      Et d’ailleurs personne n’est censé savoir comment ça marche, c’est protégé par les droits de propriété intellectuelle.
      C’est une voiture au capot soudé, tu peux la conduire en supposant que t’as tiré les bons leviers pour le sécuriser, mais tu ne peux pas savoir ce que font les engrenages.

      De là a part en coupant le fil ...
      En France, dans l’ordre, c’est l’armée, la gendarmerie et l’assemblée nationale qui lui ont tourné le dos ...
      De là comprenne qui veux.

      Ceci dis pour XP relativement à la dernière attaque, wannacry, méa-culpa, il semble que ce soit une erreur des média, puisqu’elle a été démentie :
      http://www.01net.com/actualites/non-windows-xp-n-est-pas-le-systeme-d-exploitation-le-plus-touche-par-wannacry-1167945.html


  • Fourmi Agile Fourmi Agile 24 mai 20:11

    Mais pourquoi tous vos liens sont en anglais ?
    On ne sait pas protéger nos machines en français ?


    • Philippe Huysmans Philippe Huysmans 24 mai 20:26

      Bonjour @Fourmi Agile,

      Désolay de vous faire de la peine, je suis moi-même amoureux du français et j’ai horreur des emprunts dans la vie courante surtout quand les mots existent dans la langue de Molière.

      Mais voilà, internet en français, c’est une île, que dis-je un îlot perdu au milieu de nulle part avec 3 pingouins dessus, il faut bien se rendre à la raison.

      Et c’est encore beaucoup plus vrai pour les informaticiens : prenons l’exemple de Didier Stevens... Il est belge, certes, mais néerlandophone, sa langue est le flamand. Moi je le comprends, tout comme l’anglais, mais personne, en France à l’exception de quelques villages frontaliers de la Flandre. Du coup s’il écrivait dans sa langue, il serait sur une île encore plus petite...

      Voilà, juste pour dire que quand je cherche une info, je tape presque tout le temps le texte en anglais et je ne fais pas attention à la langue du résultat à tel point que je serais infoutu, dix minutes plus tard de vous dire dans quelle langue j’ai lu !

      Entre nous vous avez déjà essayé l’aide Microsoft traduite par leur cafetière électrique un lendemain de la veille ? C’est rigolo, certes, mais légèrement abstrait et ça n’a ni queue ni tête. Pas qu’il n’y aurait pas moyen de le faire, mais que cela coûte et que pour eux, vous savez, il y a les USA et tout autour, un énorme parking rempli de bou... Pour eux pas grande différence entre la Belgique et l’Afghanistan :)


    • Ruut Ruut 26 mai 07:23

      @Fourmi Agile
      Tu soulève un lièvre.
      En effet un OS Français ne serait pas du luxe.
      Mais il n’y en as pas.
      C’est juste que notre gouvernement n’as pas encore compris qu’être autonome en IT c’est garantir une bonne sécurité.
      Donc oui pour le moment, le monde sauf la Russie est 100 % dépendant des USA au niveau IT.


    • pemile pemile 26 mai 10:10

      @Ruut « C’est juste que notre gouvernement n’as pas encore compris qu’être autonome en IT c’est garantir une bonne sécurité. »

      Interview du gendarme Stephane Dumond qui a participé à la direction générale de la gendarmerie nationale au service des technologies et systèmes d’information de la sécurité intérieure :

      http://www.april.org/le-libre-cle-de-voute-de-votre-systeme-dinformation-table-ronde

      Avis d’expert : 2015 a été l’année durant laquelle Linux et le logiciel Open Source ont pris le pouvoir dans le monde de l’IT.


    • pemile pemile 26 mai 10:19

      @Ruut « En effet un OS Français ne serait pas du luxe. »

      L’ANSSI déclare que développer un système à partir de rien est un non sens, mais défend une approche pragmatique pour la conception d’un OS sécurisé : CLIP OS


    • Ruut Ruut 29 mai 08:46

      @pemile
      Tant que chaque ligne de code est comprise et maîtrisée.
      Car c’est le cœur des failles de sécurité les copier coller et imports de code non compris voir même pas lues.

      L’intérêt de repartir de 0 c’est de prendre la maîtrise de la sécurité et aussi d’optimiser le code en ne mettant que l’utile et non le superflus.

      CLIP OS dispose de toutes les failles de bases de Linux est tout sauf sécurisé.

      Car les failles de tous les OS actuels restent pour le moment :
      Failles via les pilotes. (Facile a résoudre pour un OS propre mais ne l’est toujours pas sur tous les OS actuels sauf peut être sur mac car ils contrôlent attentivement ce point)
      Failles via un accès physique a la machine. (surtout sur les OS Linux)
      Failles via les dépendances a des programmes tiers.
      Failles Hardware.


    • pemile pemile 29 mai 09:23

      @Ruut

      Non, il est plus facile de sécuriser un code qui tourne depuis 20 ans et qui a été consulté par des milliers de développeur que de repartir de zéro.

      Le cloisonnement utilisé par CLIP ou QubeOS est aussi la façon la plus pragmatique de limiter l’impact de l’exploitation de failles.

      C’est bien sur l’absence de hardwares libres que les faiblesses restent inquiétantes


  • pemile pemile 24 mai 20:52

    Pour les clés 40 bits (puis 56, puis 128 bits) et 2048 vous faites une confusion entre les clés d’algorithmes symétriques (à clés secrètes DES, AES, ..) et asymétriques (à clé publique RSA, DSA, ..)

    ANSSI : Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques


    • Philippe Huysmans Philippe Huysmans 24 mai 20:59

      @pemile

      Sauf votre respect l’encryption ne se fait jamais jamais en asymétrique (bien trop coûteux) une fois passé l’étape de l’échange des clés (Diffie-Hellman). On convient d’une clé symétrique de session.

      Et 40 bits, même sur un laptop c’est cassé en quelques secondes.

      De plus les restrictions portaient sur toutes les formes de cryptographie dite « fortes »


    • pemile pemile 24 mai 23:02

      @Philippe Huysmans « Sauf votre respect l’encryption ne se fait jamais jamais en asymétrique »

      Je sais. Ce biais vous permet juste d’éviter de reconnaitre que dans votre article vous mélangez des longueurs de clés symétriques et asymétriques ?

      « Et 40 bits, même sur un laptop c’est cassé en quelques secondes. »

      Pour une clé symétrique ! Pareil pour une clé asymétrique de 256 bits !


    • Philippe Huysmans Philippe Huysmans 24 mai 23:25

      @pemile

      Oh non, pas vraiment, je n’ai jamais confondu les deux vous savez. Je suis passionné de crypto et j’ai écrit moi-même des programmes qui font la procédure diffie-hellman d’un bout à l’autre, sur Pc comme sur android.

      Mais je reconnais que j’aurais du scinder dans le par. l’endroit où je parle de clé 2048 bits (utilisées aujourd’hui par les banques par ex pour les certifs) et la suite où je faisais référence à la calamiteuse crypto de IE 4 sur 40 bits, forcément symétrique.

      De toutes façons ça reste du mandarin pour qui ne maîtrise pas les maths élémentaires derrière (asym), ou les algorithmes de type Rijndael (sym).

      Et c’est là qu’est l’os. Moi je n’aurais jamais confiance dans un système dont je ne sais pas pourquoi il me protège et je ne vous cache pas que j’ai quand même quelques inquiétudes sur RSA sachant qu’il est basé sur une conjecture plutôt que sur une certitude. Mais c’est un autre débat.


    • pemile pemile 24 mai 23:47

      @Philippe Huysmans « la suite où je faisais référence à la calamiteuse crypto de IE 4 sur 40 bits, forcément symétrique. »

      Implicite pour un spécialiste, mais c’est ce genre d’imprécision qui font que « De toutes façons ça reste du mandarin pour qui ne maîtrise pas » smiley

      D’où ce genre d’article :

      Le citoyen attentif a pu être choqué en 2000 par deux annonces apparemment contradictoires. D’une part, le législateur autorisait l’usage d’outils cryptographiques avec des clés de 128 bits (contre 40 bits auparavant), afin que chacun puisse préserver la confidentialité de ses échanges -mais au fait, que signifie une clé de 128 bits ? En même temps, on apprenait que l’informaticien Serge Humpich avait cassé la clé de 320 bits protégeant les cartes bleues. Mais alors, si un amateur peut casser une clé de 320 bits, les clés de 128 bits n’offriraient aucune protection ?
      Heureusement si ! Les tailles des clés ne font pas référence au même usage. Les 128 bits concernent les algorithmes à clé secrète, comme le DES ou l’AES. Les 320 bits sont en rapport avec un algorithme à clé publique, le RSA. Et 128 bits pour l’un sont très supérieurs à 320 bits pour l’autre ! On peut d’ailleurs facilement comprendre pourquoi : dans un algorithme à clé publique, on dispose d’une information supplémentaire (=la clé publique). Il est tout à fait concevable qu’il faille une clé plus longue pour préserver la sécurité.


    • Philippe Huysmans Philippe Huysmans 25 mai 10:23

      @pemile

      Oui je vous accorde que la phrase était alambiquée, et probablement que mon gamin m’aurait tiré les oreilles s’il l’avait relu aussi (mais il est en examens).

      Pour le paragraphe qui suit : même avec une clé de 4096 bits, c’était cuit, pas besoin d’en passer par là, le protocole n’est aussi solide qu’en raison de la solidité de son maillon le plus faible.

      Qu’est-ce qu’on en a à foutre de ne pas savoir signer du moment qu’on peut déchiffrer ?

      Philippe


    • pemile pemile 25 mai 13:00

      @Philippe Huysmans « Qu’est-ce qu’on en a à foutre de ne pas savoir signer du moment qu’on peut déchiffrer ? »

      Je ne comprends pas, expliquez ?


    • Philippe Huysmans Philippe Huysmans 25 mai 13:09

      @pemile

      Si la clé symétrique est sur 40 bits on se fiche de la clé asymétrique comme de colin-tampon.

      Celle-ci ne fait que garantir l’identité et l’intégrité du certificat : en d’autres termes, elle ne sert qu’à signer.

      Si vous permettez je vais abréger, j’aimerais publier 2 ou 3 autres articles avant la fin mai, et j’ai déjà pris beaucoup de retard.


    • pemile pemile 25 mai 14:08

      @Philippe Huysmans « « Qu’est-ce qu’on en a à foutre de ne pas savoir signer du moment qu’on peut déchiffrer ? » »

      En fait vous vouliez dire : Qu’est-ce qu’on en a à foutre de ne pas savoir vérifier une signature du moment qu’on peut déchiffrer


  • Freehuxald 24 mai 23:33

    Très bon article ! Le nerf de la cyberguerre, c’est la sensibilisation du public ! Je ne sais plus où j’avais lu que plus de 90% des infections ont pour origine une action malheureuse d’un utilisateur.

    Une précision également concernant le terme zero-day. Une 0-day est une vulnérabilité qui n’a pas été rendue publique. Elles sont très rares et valent de l’or.

    On commence aussi à voir apparaître le terme 1-day pour désigner les vulnérabilités qui viennent d’être rendues publiques mais qui sont trop récentes pour que les systèmes aient eu le temps d’être patchés : ce sont les plus dangereuses. C’est notamment le cas du ransomware wannacry qui utilise une vulnérabilité qui a été corrigée il y a plus 2 mois !

    On peut parler de « furtivité » pour désigner les virus qui ne sont pas détectés par les antivirus (même si bon, on est d’accord, il en faut peu pour rendre un virus furtif).


  • goc goc 24 mai 23:37

    spécialiste belge en sécurité et ..avait écrit en Python un petit logiciel

    rien qu’a lire cela on prend peur !!
    associer « spécialiste » et « python » (le seul langage à stopper l’exécution du programme si vous mettez un caractère accentué dans un... commentaire) dénote une compétence...heu... comment dire ... toute belge !

    ça doit être un programme qui détecte les virus belges


    • Freehuxald 24 mai 23:50

      @goc

      Détrompez vous smiley (Je réponds pour information même si ça semble un beau petit troll :p)

      Python est un des langages si ce n’est le langage le plus utilisé dans les domaines de la cybersécurité, notamment aux états-unis. Il est également de plus en plus utilisé en France ! Et les accents ne sont plus un problème depuis que python 3 gère l’unicode, c’est à dire depuis presque 10 ans !


    • pemile pemile 25 mai 00:06

      @goc « rien qu’a lire cela on prend peur !! »

      Tiens ! Notre expert informatique qui dénonçait les dangers des interruptions BIOS sous Linux, ce système instable et qui déclarait à propos du langage python :

      Et que dire de ces langages qui exigent que ce soit l’informaticien qui s’adapte à eux et non eux qui s’adaptent au programmeur.


    • goc goc 25 mai 06:22

      @Freehuxald
      Python est un des langages si ce n’est le langage le plus utilisé dans les domaines de la cybersécurité.

      Le grand nombre n’a jamais été une référence, à moins qu’on considère que python est à l’informatique ce que TF1 est à la télé (quoique spa faux !!).
      En plus utiliser un langage interprété avec sa collection de librairies modifiables à souhait, ne gage pas d’une bonne fiabilité et encore de bonne sécurité. Et je ne parle pas de la gestion erratique des erreurs de programmation sous python, indigne d’un prétendu « interpreteur/debugger »

      ps : déjà sous 2.7 on pouvait aussi gérer les accents, mais c’est le principe d’un arrêt brutale du process, à cause d’un commentaire qui est lamentable.

      Il est également de plus en plus utilisé en France !

      d’apres l’index TIOBE python serait utilisé par 3,5% des programmeurs. A ce niveau il ne peut que progresser smiley


    • goc goc 25 mai 06:25

      @pemile
      Tiens ! Notre expert informatique qui dénonçait les dangers des interruptions BIOS sous Linux, ce système instable et qui déclarait à propos du langage python :

      si tu écrit des progs aussi bien que tu comprend ce que tu lis, alors même un programmeur de macro sous excel peut être tranquille, c’est pas toi qui lui fera concurrence. smiley


    • pemile pemile 25 mai 10:05

      @goc « si tu écrit des progs aussi bien que tu comprend ce que tu lis »

      J’ai bien compris que tu ramais grave en lisant les genres de déboires que tu rapportes de tes expériences de programmation !

      Le coup du langage qui doit s’adapter au programmeur, j’adore smiley


    • pemile pemile 25 mai 10:15

      @goc « python serait utilisé par 3,5% des programmeurs. A ce niveau il ne peut que progresser »

      Vous oubliez juste de dire que l’indice TIOBE ne correspond pas au nombre de programmeurs mais au nombre de recherches sur le web et de reconnaitre qu’il est en 5éme position, bien devant visual basic, javascript, perl et php !

      Pour l’IEEE, il est 3ème au top 10 des langages de programmation en forte croissance, derrière deux langages bien plus vieux, le C et C++


    • Massada Massada 25 mai 10:26

      @pemile
       

      Python est un très bon langage de programmation, c’est le couteau suisse du langage informatique par excellence.
      Programmation objet, nombreux modules disponibles, très lisibles, c’est mon langage préféré


    • Philippe Huysmans Philippe Huysmans 25 mai 10:28

      @goc

      Le Python est aussi enseigné dès la première dans toutes les universités parce que c’est un langage interprété et très bien structuré.

      Il n’a pas vocation à remplacer le java et le c qui sont aussi enseignés, ni aucun autre langage dit « de prod ».

      On ne parle pas de « bonne sécurité » de python ici, lorsque j’utilise les scripts de Stevens, je demande à un script de scanner un fichier texte, de le parser, de détecter un OLEv2, etc...

      Pour le dire autrement, une voiture de rallye de 400 cheveaux est moins puissante qu’un tracteur, mais vous, vous le raillez en disant « qu’il roule moins vite ». Très drôle.


    • goc goc 25 mai 17:54

      @pemile
      Le coup du langage qui doit s’adapter au programmeur, j’adore

      une fois de plus, ton incompétence mis à nu.

      pour info, les ordinateurs ne parlent qu’en 0 et 1, et si on a crée l’assembleur c’est justement pour permettre aux programmeurs d’écrire du code lisible. bref excellent exemple d’adaptation d’un langage aux programmeurs. et je ne parle pas du basic, qui est bien le premier langage facilitant l’écriture de prog, puisqu’il permettait par exemple, de ne pas avoir à définir le type d’une variable pour pouvoir l’utiliser sous différentes formes. Quel magnifique exemple d’adaptation d’un langage aux programmeurs. CQFD

      non, non, c’est rien, tu me remercieras plus tard !!


    • goc goc 25 mai 18:19

      @Philippe Huysmans
      Pour le dire autrement, une voiture de rallye de 400 cheveaux est moins puissante qu’un tracteur, mais vous, vous le raillez en disant « qu’il roule moins vite ». Très drôle.

      non je dis simplement qu’une voiture de rallye de 400 chevaux est largement moins fiable et plus dangereuse à conduire qu’un traceur. c’est vous qui parlez de vitesse, pas moi !

      Quand au fait qu’on puisse enseigner python, c’est surtout parce que les profs n’ont pas la compétence nécessaire pour enseigner des langages plus « compliqués ». Cela a toujours été le cas, déjà on avait connu le pascal, qui au final était surtout utilisé à .. l’école et dans les milieux universitaires, alors que le « C » était le plus utilisé dans l’industrie.

      Enfin avec cette habitude d’utiliser des milliers de librairies et ces « poo » (C#, QT, WPf, etc..) sans jamais les maitriser et souvent même sans comprendre ce qu’elle font, a pour conséquence directe, la très mauvaise qualité des programmes actuels, l’inflation de de mémoire nécessaire (le exe « hello word » à 10mo ça existe), la maintenabilité impossible suite aux mises à jour incompatibles, et la lenteur du process (1 seconde pour exécuter un bout de code avec un proc qui fait du 1milliard d’instruction/sec, c’est lamentable).
      Je vois trop souvent les jeunes programmeurs être bloqués et figés, parce que la librairie qu’il ont mis, ne fait pas ce qu’ils pensaient. Certains ne connaissent même pas le debugger installé sur l’IDE, et de toute façon, ils ne savent pas à quoi ça sert, à part faire des points d’arrêt.
      Et ça nous pond des neuneus comme l’autre, qui ne savent que faire du copier/coller de discours abscons diffusés par des gourous tout aussi incompétents qu’eux, et se palucher parce qu’ils arrivent à se regarder écrire une ligne de commande de 100 caractères sur leur console.


    • Philippe Huysmans Philippe Huysmans 25 mai 18:42

      @goc

      « Quand au fait qu’on puisse enseigner python, c’est surtout parce que les profs n’ont pas la compétence nécessaire... »

      Vous rêvez, goc, à l’unif (au pays des frites), je peux vous dire qu’on enseigne tout, de A à Z, y compris des langages en assembleur dont vous n’avez même pas idée que ça pourrait exister.

      Mon gamin va rentrer en 2ème master en septembre, puis se destine au doctorat et à l’enseignement universitaire et je peux vous dire qu’on est loin, vraiment très loin de vos caricatures. Ce sont des encyclopédies sur pattes, et des programmeurs chevronnés.

      Je suis d’accord que l’enseignement parfois, et surtout dans les filières courtes, ne va pas au fond des choses, mais ces gens ne seront jamais analystes, ils feront les photocopies et le café, s’ils ne sont pas fait pour le métier.

      Accessoirement, je connais des gens qui n’ont pas fini leurs primaires qui sont plus brillants que certains ingé que j’ai connus.

      Bref, question de compétences, et surtout, de personnalité : il y a les die hard, et puis les princesses...

      Pour moi qui suis de la vieille école, un bon test est la récursive : vous donnez un parcours arborescent (insoluble par itérative), et si le petit gars y arrive, on est bon. S’il reste devant comme une poule devant un rubix cube, vous aurez compris. On enseigne plus ça correctement en bac (hautes écoles, chez nous).


    • pemile pemile 25 mai 19:14

      @goc "et si on a crée l’assembleur c’est justement pour permettre aux programmeurs d’écrire du code lisible. bref excellent exemple d’adaptation d’un langage aux programmeurs« 

      Rooohh, c’est ça ta démonstration que le langage informatique doit s’adapter au programmeur et pas le programmeur au langage utilisé ! smiley

      Qui dit langage dit compilateur ou interpréteur, vu ta susceptibilité sur la rigueur de certain tu n’as jamais du en écrire ?

       »Et ça nous pond des neuneus comme l’autre, qui ne savent que faire du copier/coller de discours abscons"

      T’es juste limité dans l’attaque personnelle sans avoir connaissance de ton interlocuteur.

      Il est aussi évident que tu n’as même pas conscience des absurdités et des préjugés que tu nous sors smiley


    • pemile pemile 25 mai 19:23

      @Philippe Huysmans "Pour moi qui suis de la vieille école, un bon test est la récursive : vous donnez un parcours arborescent (insoluble par itérative)"

      Mais si, avec l’aide d’une structure de données utilisées comme pile.


    • Philippe Huysmans Philippe Huysmans 25 mai 19:52

      @pemile

      Lol, c’est ce que j’avais fait pour un projet en maths (algo), présenter les deux : une récursive en Pascal et l’autre sur ma Casio, en gérant moi-même une pile.

      Ah les beaux souvenirs. Il s’agissait de réaliser toutes les permuts d’une chaine, ex ABCD qui devient ABDC BADC, etc...

      souvenirs !


    • Ruut Ruut 26 mai 07:30

      @Freehuxald
      Il faut le dire a mes banques Françaises,en 2017 les accents ça ne passe toujours pas et leur IT indien semble incompétent a résoudre le problème.


    • placide21 27 mai 11:22

      @goc

      Je connais un développeur qui code des programmes d’intelligence artificielle avec python ,alors « cela doit le faire »


    • pemile pemile 27 mai 14:20

      @placide21

      Des cours de l’ENSAE Python pour un Data Scientist / Economiste


    • Hermes Hermes 29 mai 13:45

      @pemile

      bonjour... il y a 5 ans si je disais, pourquoi pas en Python ? on me regardait comme un gardien de zoo égaré. smiley
      Ajourd’hui si il n’y a pas Python sur une Plateforme, c’est qu’elle est obsolete.

      Avant d’être porté en Java si le succès est à la clé, tous les labs de Google sont réalisés en Python.

      Bon à savoir !

      PS : en 10 lignes de Python j’avais réalisé un service de surveillance des process qui tournent sur un PC. Efficace.


  • sleeping-zombie 25 mai 07:19

    A titre personnel, j’utilise une autre forme de protection : je n’ai rien sur mon ordinateur que je ne puisse me permettre de perdre.

    Et pour le reste, copies multiples sur supports physiques distincts... et déconnectés de tout.


    • goc goc 25 mai 08:17

      @sleeping-zombie

      pareil.
      Surtout que sans parler de virus, une panne disque ça peut arriver, et comme en plus un disque de 1To ça coute largement moins que les 200 dvd nécessaires pour sauvegarder cette capacité (50€), pourquoi s’en priver. J’ai un rack dans lequel je peux insérer 1disque SATA, et après la sauvegarde, direction l’armoire.


    • sleeping-zombie 25 mai 08:42

      @goc
      J’avais oublié : il faut juste se rappeler que tout support physique, même inutilisé, a une durée de vie limitée.
      Je me rappelle un petit moment d’amertume lorsque mes DVD gravés, ressortis de leur pochette 5 ou 6 ans plus tard, se sont révélés être illisible.
      (finalement, j’ai réussi à récupérer les données en utilisant un logiciel de copie ignorant les incohérences de lecture. 2ko/sec sur un DVD, faut être patient...)


    • Ruut Ruut 26 mai 07:40

      @sleeping-zombie
      Utilise des disques dur pour tes sauvegardes, je n ;y ai jamais perdu de données même sur les plus vieux de plus de 20 ans.
      Par contre oui je confirme DVD CD les données même inutilisées ne se gardent pas.
      Par contre les données des disquettes elles ne se perdent pas même les cassettes ne perdent pas leurs données dans le temps. (bien sur les laisser loirs de sources EM).

      Et pour revenir, oui goc a raison, beaucoup de programmeurs tant en Belgique qu’en France ne maîtrisent pas leur code et encore moins leurs dépendances.


Réagir