Sécurité info - Page 2

Ouch.

Oui cest choupi. Heureusement que le mdp sur grub nest pas super repandu.

Sinon la sequence pour faire marcher lexploit est assez sympa aussi, avec plusieurs boucles de SMC dans la table des vecteurs dirq du mode reel. Cest vraiment un mega bol que ca fasse un truc utile ^^

Aussi fixé dans Debian : https://www.debian.org/security/2015/dsa-3421

Et Fedora: https://bodhi.fedoraproject.org/updates/?packages=grub2

Le firewall corrompu, ça c'est la mega-classe !
http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/

Folco (./33) :
Aussi fixé dans Debian : https://www.debian.org/security/2015/dsa-3421

il aurait mieux valu le corriger, je pense

gnagnagna

Côtoyeur, le chevalier de la langue française. (Si on s'attaque au franglais, autant être cohérent. )

on ne traduit pas les noms propres

zikzak (./35) :
Le firewall corrompu, ça c'est la mega-classe !
http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/

Ah, ils sont quand même taquins à la NSA !

"Côtoyeur", j'ai ri

Hmm ouais, c'est clair que le chercheur est allé trop loin… Mais en même temps, si comme il l'a prouvé, la faille est grave au point de compromettre l'intégralité de la plateforme, ça vaut certainement plus que quelques 2500$
C'est un peu torts partagé sur ce coup…

(suite de ./35)
http://blog.cryptographyengineering.com/2015/12/on-juniper-backdoor.html

Pas trouvé de meilleure source mais l'info est encore récente :
https://motherboard.vice.com/read/european-card-terminals-are-plagued-with-serious-vulnerabilities

Zerosquare (./43) :
(suite de ./35)
http://blog.cryptographyengineering.com/2015/12/on-juniper-backdoor.html

Jouer avec le feu en somme.

To sum up, some hacker or group of hackers noticed an existing backdoor in the Juniper software, which may have been intentional or unintentional -- you be the judge! They then piggybacked on top of it to build a backdoor of their own, something they were able to do because all of the hard work had already been done for them. The end result was a period in which someone -- maybe a foreign government -- was able to decrypt Juniper traffic in the U.S. and around the world.
And all because Juniper had already paved the road.

Oui. Une belle démonstration que laisser des backdoors peut se retourner contre soi, chose que les spécialistes disent depuis longtemps, mais que ceux qui promeuvent les backdoors font semblant d'ignorer.

Sinon, vous pouvez aussi utiliser le maton certifié par l'ANSSI, mais il est tellement cher que ce n'est même pas envisageable

Nil (./47) :
Sinon, vous pouvez aussi utiliser le matos certifié par l'ANSSI, mais il est tellement cher que ce n'est même pas envisageable

ah ? je n'ai toujours vu que ça comme matos (ou alors des choses faites intelligemment quand on utilise du Cisco ou du Juniper)

Que du matos certifié ANSSI ?
Ben au boulot, c'est bien simple, pour le prix d'un Firewall certifié, on a quasi toute l'infrastructure (on a du Cisco et HP) d'un de nos sites. Du coup, c'est vite vu...

il n'y a qu'a mettre un maton au SMIC pour faire la circulation des paquets (comme dans ton post initial)

Nil (./49) :
Que du matos certifié ANSSI ?Ben au boulot, c'est bien simple, pour le prix d'un Firewall certifié, on a quasi toute l'infrastructure (on a du Cisco et HP) d'un de nos sites. Du coup, c'est vite vu...

un seul firewall ? les arkoon/netasq (enfin, avant leur rachat) ne sont pas si chers que ça, normalement
en tout cas, je n'ai toujours vu que de l'arkoon et du netasq (c'est plutôt rare d'avoir un seul firewall)

J'exagère en disant que c'est le coût de toute l'infra, mais c'était pas tenable financièrement, c'est sûr, pour couvrir nos besoins actuels. Et on a effectivement regardé côté Arkoon et Netask pour remplacer notre solution Cisco.
En plus, à l'heure actuelle (à moins que ça ait changé ?) il n'y a pas de commuts ni de tête de réseau certifiés, donc n'avoir que le firewall, c'est bien mais sans plus, quoi...

(Et puis bon, du matos certifié c'est bien beau, mais une certification délivrée par des gens qui ont un intérêt à ce que les équipements soient "observables", voilà quoi... la NSA recommande aussi du matos qu'ils ont backdooré)

Zerosquare (./53) :
(Et puis bon, du matos certifié c'est bien beau, mais une certification délivrée par des gens qui ont un intérêt à ce que les équipements soient "observables", voilà quoi... la NSA recommande aussi du matos qu'ils ont backdoor)

C'est tout l'intérêt de l'ANSSI : ils sont une agence purement défensive (contrairement aux ÉU où la NSA a les deux casquettes)

Nil (./52) :
J'exagère en disant que c'est le coût de toute l'infra, mais c'était pas tenable financièrement, c'est sûr, pour couvrir nos besoins actuels. Et on a effectivement regardé côté Arkoon et Netask pour remplacer notre solution Cisco.En plus, à l'heure actuelle (à moins que ça ait changé ?) il n'y a pas de communs ni de tête de réseau certifiés, donc n'avoir que le firewall, c'est bien mais sans plus, quoi...

C'est tout à fait envisageable (si on fait les choses bien) d'avoir du Cisco/Juniper à l'intérieur d'un périmètre défini par des Arkoon et des Netasq.

flanker (./54) :
C'est tout l'intérêt de l'ANSSI : ils sont une agence purement défensive (contrairement aux ÉU où la NSA a les deux casquettes)

Certes, mais ça reste une agence gouvernementale qui est sous l'autorité des responsables de la défense nationale. S'il est estimé à l'échelon supérieur que la présence d'une faille/backdoor a un intérêt stratégique supérieur aux risques qu'elle génère, ils ne vont pas laisser l'ANSSI communiquer dessus publiquement.

Zerosquare (./55) :
Certes, mais ça reste une agence gouvernementale qui est sous l'autorité des responsables de la défense nationale. S'il est estimé à l'échelon supérieur que la présence d'une faille/backdoor a un intérêt stratégique supérieur aux risques qu'elle génère, ils ne vont pas laisser l'ANSSI communiquer dessus publiquement.

Mais ce n'est pas du tout la même hiérarchie d'une part (le SGDSN n'a aucune autorité sur les services — et réciproquement — et n'a pas de rôle opérationnel), et d'autre part il est important pour l'ANSSI de conserver sa crédibilité s'ils veulent continuer à bosser avec les industriels ^^

Je veux bien te croire, mais j'imagine mal une agence gouvernementale d'un pays mettre en garde les gens contre une backdoor implantée par une autre agence gouvernementale du même pays (même sans révéler qui est derrière), que ce soit en France ou n'importe où ailleurs dans le monde

Ça serait quand même se tirer une balle dans le pied, et je serais surpris qu'il n'y ait pas de mécanismes prévus pour éviter qu'une telle chose se produise.

Quand aux industriels, je pense pas qu'ils soient dupes non plus : on sait que les agences américaines ont demandé des boîtes comme Symantec de whitelister les malwares qu'ils utilisent, les services russes doivent faire pareil avec Kaspersky, etc. D'où l'intérêt de diversifier les sources d'infos et les fournisseurs de solutions de sécurité.

Ça voudrait dire que l'ANSSI serait au courant de ce que font les services, et je trouve ça pas franchement crédible ^^. Au passage, je ne sais pas si l'ANSSI cherche énormément des failles (sauf certains types de matériel qui ne seront pas visés par les services français). Ce n'est pas tellement leur rôle.

Quand la NSA découvre une faille qu'elle garde pour elle, c'est la partie attaquante qui n'en parle pas à la partie défensive.

Zerosquare (./57) :
Je veux bien te croire, mais j'imagine mal une agence gouvernementale d'un pays mettre en garde les gens contre une backdoor implantée par une autre agence gouvernementale du même pays (même sans révéler qui est derrière), que ce soit en France ou n'importe où ailleurs dans le monde

C'est pourtant ce que fait la NSA d'un côté et... la NSA d'un autre

Flan > ils n'ont pas forcément besoin d'être au courant. Ils peuvent trouver un truc de manière indépendante, et recevoir l'ordre par leurs supérieurs de ne pas en parler.

Nil > ouais enfin si la NSA met en garde contre une faille de la NSA (c'est déjà arrivé d'ailleurs ?), c'est parce qu'ils une faille meilleure en réserve