Sécurité web - Page 1

Je suis un peu à cheval sur la sécurité concernant les sites web, en particulier mes informations. Et trois choses en particulier.
Déjà, j'ai le poil qui se hérisse quand je travaille sur un site réalisé avec l'ancien CMS de notre boîte, lequel stocke les mots de passe en clair, et les envoie tel quel à la première demande de récupération.

Plus grave, quand je viens de m'inscrire à mon espace client EDF... j'ai un algorithme personnel pour ma création de mot de passe, et je déteste devoir me rappeler qu'un site "est différent" quand je veux me connecter parce que celui-ci n'a accepté que des chiffres et des lettres, rien d'autre. Cékwaça ? vous n'avez pas appris à vous protéger contre les injections SQL et les failles XSS ? pourquoi interdire les caractères spéciaux et réduire ainsi la complexité ?
D'autant que les rainbows tables fonctionnent essentiellement sur une suite limitée de caractères (le top étant alpha+ALPHA+numérique), rarement incluant des caractères spéciaux (et si c'est le cas, un nombre très limité).
Et qu'on me demande ensuite une question secrète pour retrouver mon mot de passe... j'ai horreur de cela, surtout quand elle est imposée, avec 5 questions aussi bateau que "Prénom de votre mère". Jamais entendu parler de social engineering ?

Mais j'ai surtout le pompon qui est sur le point de me faire changer de FAI (et que j'adorerai leur expliquer tout mielleusement quand ils me demanderont pourquoi). Quand, dans mon espace client Bouygues Telecom j'ai voulu réinitialiser mon mot de passe, je découvre que c'est de l'alphanumérique, mais surtout limité de 3 à 8 caractères. Impeccable. L'exemple parfait, en cas de fuites des tables utilisateurs, pour retrouver les mots de passe même hashés avec une si faible entropie. Et ici sans aucune raison valable.

And that's terrible.

alphanumerique = 26 + 26 + 10 soit 62 caracteres possible (en oubliant les accents, mais ca ne change quasi rien..)

On a donc avec un mot de passe limite a 8 caracteres 62^8 = 218340105584896 combinaisons possible.

En imaginant que sur un CPU moderne a 2.5-3Ghz on ai un algo capable de generer et tester un mot de passe en 10ns (100Mhz) (car on fait 100 millions de tests par secondes)

100Mhz = 100000000 Hz

Si on fait un bete calcul

218340105584896 / 100000000 = 2183401 secondes, soit 36390 minutes, soit 606 Hr, soit 25 jours, ce qui est absolument ridicule en brute force comme temps..

(et en sachant que pour trouver tous les mots de passe, on a peu de chance de devoir parcourir tout l'espace..)

Et je ne parle que de bruteforce la..

La raison principale de tout ça ? Ben comme d'habitude, sur les questions techniques c'est l'avis de gens non qualifiés (managers, marketeux) qui prime sur l'avis des spécialistes :

- Machin trouve que les mots de passe de plus de 8 caractères et/ou des caractères spéciaux "c'est trop compliqué", alors il veut pas qu'on l'implémente. Tout le monde a envie de lui dire que s'il est pas foutu de retenir un simple mot de passe, sa légitimité à son poste haut placé est plus-que-douteuse, mais personne n'a envie de se faire virer.

- Truc trouve que ça sert à rien de passer du temps sur la sécurité, ça coûte de l'argent, à cause de ça il risque de pas toucher sa prime du trimestre. Et les conséquences ils s'en fout, le jour où ça pétera il aura déjà été promu à un autre poste (et personne ira lui demander des comptes).

- Chose ne veut pas embaucher de chef de projet, il préfère passer par une SSII ("c'est plus flexible"), qui est trop contente de lui vendre fort cher de la viande des jeunes diplômés présentés comme experts, mais qui en fait n'ont aucune expérience et naviguent à vue. Par une amusante coïncidence, Chose et un mec haut placé chez la SSII jouent au golf ensemble régulièrement.

- Bidule, lui, trouve qu'avoir délocalisé les call-centers au Maroc était une excellente idée, et applique la même chose avec l'info en Inde. Peu importe que la communication soit difficile, les délais explosés et la qualité médiocre : tout ça, c'est pas son problème, il a des sous-fifres pour s'en occuper.

Et une autre raison, plus trollatoire :

- le dév web est un domaine où le bricolage règne en maître (que ce soit au niveau des spécifications, des méthodologies, des certifications, des langages, des librairies/frameworks...). Tout l'inverse de ce qu'il faut pour avoir de la sécurité informatique digne de ce nom.

Au passage, le dernier dessin de CommitStrip :

CDP ?

(chef de projet)

Ca peux sinon etre "Continuous Data Protection"

Certes, il faut connaître CommitStrip à la longue pour savoir que ce personnage est le chef de projet histoire d'éviter les ambiguïtés.

ah bah si y'a des private jokes c'est pas notre faute

Zerosquare (./4) :
- le dév web est un domaine où le bricolage règne en maître (que ce soit au niveau des spécifications, des méthodologies, des certifications, des langages, des librairies/frameworks...). Tout l'inverse de ce qu'il faut pour avoir de la sécurité informatique digne de ce nom.

J'ai corrigé pour toi…

Sauf que le web, c'est un fail by design largement plus retentissant...

Le pire niveau mdp, c'est air france :

J'attends de tomber sur un site qui me sortira : "vous avez le même mot de passe que MachinChose, veuillez changer"

./12 > Pas tant que ça. Si tu as déjà vu/entendu comment fonctionne l'IT dans les grands groupes, parfois c'est tout autant, si ce n'est plus folklo.
./14 > Pour ça, tu sous-entend que le développeur serait capable de vérifier une telle unicité, mais rien n'est moins sûr. Le développeur de base ignore tout des clés primaires et des contraintes unique sur les tables de BDD.

Un gros (gros) client que j'avais apparemment ne hachait pas ses mots de passe dans sa base de données, et pourtant ils étaient très à cheval sur la sécurité : les mots de passe de l'application que nous allions leur concevoir nécessitaient une longueur minimale de caractère, au moins une majuscule, minuscule, chiffre et caractère spécial, il devait être changé tous les mois et ne pas être identique à un des six derniers mots de passe (ce qui est possible puisqu'on se contente de comparer les hashs).

Là où j'ai compris que le mot de passe aurait dû être stocké en clair, ou du moins crypté de manière réversible, est qu'à trop en vouloir question sécurité des pass, ils voulaient ajouter une règle comme quoi chaque nouveau mot de passe devait avoir au moins 70% de différence avec le précédent mot de passe.

Et j'ai trouvé l'idée de changer les mots de passe tous les mois en gardant une différence sur les six dernières dans le genre "Failed by design", à oublier le critère humain. Un tel dispositif de sécurité est trop contraignant, c'est un coup à ce que les utilisateurs notent leur pass sur des post-its qu'ils garderont toujours à côté de leur machine.

C'est clair, mais ça fait vachement cool à l'audit de sécurité…

Après, on peut avoir les meilleurs codeurs et la meilleure stratégie qui soit, quand on utilise des outils qui ont des failles graves qui sont déjà activement recherchées et exploitées automatiquement quelques heures après avoir été rendues publiques...
http://arstechnica.com/security/2014/10/drupal-sites-had-hours-to-patch-before-attacks-started/

Drupal retiendra la leçon : la prochaine fois, ils mettront "correction d'un bug mineur" dans le changelog et expliqueront qu'il y avait une faille majeure quelques jours plus tard, que personne ne cherche comment exploiter cette faille

Je vous l'avais dit que drupal c'etait du gruyere

squalyl (./20) :
Je vous l'avais dit que drupal c'etait du gruyere

comme à peu près n'importe quel soft, globalement ^^
(y compris des logiciels pas "open-source" et développés par des "professionnels")

En tout cas, je n'ai jamais vu de faille dangereuse dans du vrai gruyère

lol

(nan ok y'a des failles partout, mais drupal a fait fort quand meme ^^)

j'en ai vu tellement quand j'étais en SSII, des failles "stupides" de ce type, ça ne me surprend même plus ^^

A la pste, ils viennent de releaser (en début de mois) un soft pour gérer la caisse, les comptes, la banque, le courrier, bref, tout ce que fait un agent à son guichet. Ca tourne sur IE6 only

Pour l'instant le plus joli que j'ai vu (je peux les dénoncer maintenant qu'on a enfin changé de prestataire ) c'est eux : https://billetterie.kalidea.com/

Les identifiants sont de la forme 1ière lettre du prénom + 5 premières lettres du nom de famille. Du coup même au sein de ma boite, il y avait des collisions sur certains identifiants. Là où c'est amusant (et j'aimerais vraiment voir le code derrière), c'est que ça ne posait aucun problème à l'appli d'avoir deux personnes ayant le même identifiant, à partir du moment où les mots de passe ne sont pas les mêmes. On a pas réussi à convaincre les deux personnes en collision de choisir le même mot de passe pour voir ce que ça faisait ("désolé, quelqu'un d'autre ayant le même login que vous a déjà choisi ce mot de passe" ), mais aujourd'hui encore je meurs de curiosité

excellent

C'est genialement con

Assez savoureux (source) :

Wait for the class-action lawsuits to get unleashed. The lawyers are going to be all over this one like white on rice. Ex-employees from the Home Depot IT technology group are now claiming that management of the retailer had been warned for years that their Point Of Sale systems were open to attack and did not act on these warnings. Several members of the Home Depot IT security team quit their jobs in protest.

It gets worse. In 2012, Home Depot management hired Ricky Joe Mitchell as their Senior IT security architect, apparently without doing their due diligence and background check. Turns out that Mitchell was fired from a company called EnerVest Operating where he sabotaged that company’s network for 30 days in an act of revenge.

It gets even worse. Mitchell was kept on the job at Home Depot even after his indictment a year later and remained in charge of Home Depot security until he finally pled guilty to federal charges Jan 2014.

Wait, we're not done yet. Things are worse than that. The same ex-employees claim that Home Depot relied on antivirus that was not being updated with new antivirus definitions, a version of Symantec AV purchased in 2007.

And here is the next epic fail. As we all know, to be PCI compliant, you need quarterly security scans, done by authorized third parties. However, vulnerability scans were only done irregularly, and most of the time only on a relatively small number of stores. A few IT security ex-employees said that their team was blocked from doing security audits on machines that handled customer data.

And finally, to add insult to injury, in a total disregard for best practices, the Home Depot didn’t run any kind of behavioral network monitoring, which means they were not able to detect any breaches and for instance see unusual files being exfiltrated from the network.

Now their PR team tried to paper over all this criminal negligence and claims that the company maintains "robust security systems", and that the malware was custom made and hard to detect. Yeah, right. I see another CEO being fired in the near future...
Looking at this type of negligent behavior, Home Depot must not have done a lot of security awareness training for their employees either. It is not sure yet how the hackers got in, but a website that was not sufficiently protected and allowed a SQL injection and a spear-phishing attack are the most likely attack vectors.

Zerosquare (./22) :
En tout cas, je n'ai jamais vu de faille dangereuse dans du vrai gruyère

C'est parce qu'on a trouvé personnes pour les exploiter

edit : répétition