Sécurité info - Page 1

Ça fait pas mal de temps que j'hésitais à créer un topic sur le sujet de la sécurité info. On en parle régulièrement ailleurs, essentiellement dans "les meilleures news info & high-tech" et "sécurité web", mais le premier est un topic de news pas vraiment adapté aux discussions longues, et le second ne concerne que le web. Le but est ici qu'on puisse discuter de manière plus approfondie de sujets qui sont pas forcément nouveaux.

Pour commencer, je vous propose ce papier qui récapitule les problèmes de sécurité fondamentaux de l'archi PC, qui vont au-delà des attaques qui ciblent simplement les OS (par exemple : les hyperviseurs malicieux, les attaques basées sur l'UEFI, etc.), avec des liens vers les analyses faites par d'autres chercheurs en sécurité. Ça fait assez peur de voir à quel point une machine moderne est vulnérable à des attaques difficilement détectables

(ce sujet aurait plutôt sa place sur Bits et électrons, non ?)

(pas faux, je l'avais créé ici pour qu'il soit à côté des topics de news, mais tu peux le déplacer si tu veux)

Ce sont les résultats de dizaines d'années pendant lesquelles la sécu n'a jamais été prise en compte, sachant que faire un truc sécurisé sera toujours plus coûteux en performances.

Apres il y a sécurisé et sécurisé, il y a moyen de faire qu'un truc ne soit pas une simple passoire de second ordre..

Est-ce que tu considères que iOS est une passoire ou pas ? Parce que chaque version est systématiquement jailbreakée (sachant qu'un jailbreak, c'est un enchaînement d'une série de failles - cf les explications pour iOS 6 ou iOS 7), alors même que les experts en sécurité saluent les efforts d'Apple dans le domaine.

Je ne lis pas la section Bits et électrons, un topic dans cette section me paraît être une bonne chose.

Ce sont les résultats de dizaines d'années pendant lesquelles la sécu n'a jamais été prise en compte, sachant que faire un truc sécurisé sera toujours plus coûteux en performances.

Il arrive parfois que des choses plus simples soient plus performantes et plus sécurisées que des choses complexes, mais oui, les choses plus sécurisées sont presque toujours plus coûteuses en performances. De plus, des choses plus sécurisées sont presque toujours plus difficiles à utiliser, et leur développement coûte plus cher / leur prix de vente est plus élevé.
Comme le mouvement de fond de l'informatique est d'aller vers moins de coût monétaire, plus de performance et plus de facilité d'utilisation - et bien sûr que cet état de fait n'est pas exclusivement une mauvaise chose - on court à la catastrophe.

Tout ce que nous pouvons faire, à titre individuel, pour limiter les risques de sécurité des objets informatiques, pour la plupart dispensables (sauf handicap, par exemple), qui nous entourent, c'est d'en avoir le moins possible, et que ces objets soient aussi peu évolués que possible, pour éviter certains modes de défaillance et de vulnérabilités. Qu'ils soient basés sur des logiciels ouverts est habituellement un plus pour la sécurité, aussi.
Il est malheureusement très difficile de faire comprendre aux gens avec lesquels nous sommes en contact à quel point les systèmes informatiques sont risqués... Ils ne deviendront plus réceptifs que quand il y aura eu les immenses problèmes déjà prévus (l'incertitude est sur la date, pas sur la survenance) et qu'ils auront réellement peur. Et même quand ils auront été emmerdés, ils ne prendront manifestement pas les bonnes décisions pour leur sécurité informatique.

nitro: une passoire de troisième ordre?

https://github.com/samyk/magspoof
Le système à piste magnétique des cartes bancaires était déjà connu pour être une passoire, mais là c'est le bouquet.

Vos banques ne bloquent-elles pas encore les transactions par bande magnétique par défaut? (Les banques autrichiennes font ça depuis quelques mois, il faut aller activer la fonctionnalité si on veut pouvoir prélever de l'argent dans les pays qui n'utilisent pas encore les circuits intégrés.)

En France il n'y a quasiment plus de lecteurs uniquement magnétiques, mais je ne sais pas si les banques désactivent par défaut les transactions par piste magnétique pour autant.

Mais là c'est aux USA, ça fait à peine quelques années qu'ils se sont mis péniblement aux cartes à puce (d'ailleurs la loi a changé récemment, désormais les commerçants qui n'ont pas de lecteur compatible avec les cartes à puces devront assumer le remboursement en cas de fraude, au lieu que ce soit la banque qui rembourse).

Fort le gars, spectaculaire quand même ^^

Wow O_o

ah c'est magnifique

J'ai toujours pense qu'on pouvais facilement copier une carte magnetique, mais la pouvoir simuler la carte comme ca, j'avoue n'y avoir jamais pense, c'est pas con, mais quand meme!

d'apres M Crypto/Secu de chez nous le principe est connu depuis longtemps, la nouveauté étant de penser a faire ca avec un simple attiny.

Ce que je trouve surtout inquiétant, c'est qu'il arrive à prédire quel seront les infos de la carte qui remplacera une carte annulée.

On parle de compréhension parfaite d'un algo que ne devrait détenir que la banque. Et il a eu quoi pour le comprendre cet algo, quelques cartes "à la suite" ? Et ça a suffit à trouver ? Bon, j'y connais rien en crypto/etc, donc si ça tombe je visualise ça très mal

Zerosquare (./12) :
En France il n'y a quasiment plus de lecteurs uniquement magnétiques, mais je ne sais pas si les banques désactivent par défaut les transactions par piste magnétique pour autant.

comment fonctionne les péages ?
via la piste magnétique ou le code sur la carte ?

Normalement c la puce, EMV partout, le pin nest quune garantie de presence du porteur, la transaction nen a pas besoin.

Folco (./19) :
On parle de compréhension parfaite d'un algo que ne devrait détenir que la banque. Et il a eu quoi pour le comprendre cet algo, quelques cartes "à la suite" ? Et ça a suffit à trouver ? Bon, j'y connais rien en crypto/etc, donc si ça tombe je visualise ça très mal

la bande magnétique n'est pas cryptée il me semble...

toutafé.

Tiens, en parlant de cartes à puces :
https://fr.wikipedia.org/wiki/Gemplus_international
http://www.transfert.net/Affaire-Gemplus-un-pillage

squalyl, tu sais si c'est un délire ou s'il y a des bases sérieuses ?

Le 19 décembre 2002, Marc Lassus, ancien président fondateur de Gemplus, démissionne du conseil d'administration, de même que son allié Ziad Takieddine.

Putain, il est partout, lui O_O

mon petit doigt me siffle que c'est du sérieux délire.

exemple: https://fr.wikipedia.org/w/index.php?title=Gemplus_international&type=revision&diff=113678540&oldid=100718445

Et aussi : https://thestack.com/security/2014/11/28/warning-using-ticket-machines-to-surf-facebook-and-play-videogames-can-lead-to-malware-exploits/