Les articles de MISC N°71

Image promotionnelle
Les protocoles SSL et TLS
Article mis en avant

Introduction au dossier : TLS/SSL: do you wanna crypt to nite?

Depuis les révélations d’Edward Snowden sur les programmes de surveillance de la NSA, plus personne n’oserait sérieusement affirmer que chiffrer les flux de données transitant sur Internet est optionnel. Internet est massivement surveillé, toute communication est susceptible d’être enregistrée, analysée ou encore consignée pendant des années. Ce n’est plus une crainte, c’est un fait.

Les vieux cons et héritage
La démocratisation des périphériques permettant de « jouer » avec l'USB (teensy [1], facedancer [2]…) a rendu intéressante et accessible la recherche de vulnérabilités dans les piles USB des différents systèmes d'exploitation. Nous nous proposons de décrire dans cet article la découverte et l'exploitation d'une vulnérabilité touchant Windows XP, à l'aide d'un micro-contrôleur Teensy.
Quand vous pensez sécurité VoIP, vous voyez surtout la sécurité autour du protocole SIP. Pourtant, dans les environnements Cisco, bien d'autres protocoles sont utilisés et permettent de mettre en évidence certaines lacunes, et non des moindres ! De plus, ici, nous ne parlons plus de VoIP, mais de communications unifiées ce qui implique une interaction avec d'autres systèmes de l'écosystème VoIP.
Comme de plus en plus d'utilisateurs passent aux plateformes Windows 64 bits, il en va de même pour les logiciels malveillants. Ceci est également vrai pour le malware bancaire ZeuS. Cette évolution n'était probablement pas nécessaire vu que la majorité des gens utilisent encore des navigateurs 32 bits même sous systèmes 64 bits et que la fonctionnalité principale de ZeuS consiste à modifier les sites bancaires localement par injection de code HTML/JAVASCRIPT.
Le protocole SSL et son successeur TLS sont les pierres angulaires de la sécurité de nombreux services Internet. Suite aux récentes révélations d'Edward Snowden, le grand public et les médias se font l'écho de rumeurs plus ou moins fondées sur la sécurité de ces protocoles. Il est grand temps de dissiper les doutes en analysant leur fonctionnement, les attaques connues et les contre-mesures disponibles.
Dans les protocoles SSL/TLS, on utilise, pour l'identification du serveur le plus souvent, des certificats X.509 signés par des autorités de certification. Mais qui sont ces sociétés, quels sont leurs pouvoirs, les déboires et les problèmes de confiance et de sécurité qu'elles posent à l'ère de la NSA, de Google et de l'informatique omniprésente ? Nous allons vous les conter.
Depuis de nombreuses années, l’attestation de l’authenticité des noms de domaines était effectuée par les Autorités de certification (AC). Une solution alternative a été recherchée suite à plusieurs attaques mettant en exergue la vulnérabilité de l’infrastructure AC. Le protocole DANE développé par l'IETF permet à un domaine d’attester lui-même les entités autorisées à le représenter, en utilisant un PKI alternatif – DNSSEC basée sur le DNS. Le début de cet article présente le problème, puis introduit brièvement DNSSEC, explique comment DANE pourrait être implémenté, et enfin conclut sur les défis à relever pour passer du modèle d'authentification web actuel à DNSSEC.
Le chiffrement permet, dans une certaine mesure, de garantir la confidentialité des échanges aussi bien que celle des attaques. Entre capacités d’interception et d’écoute, détection des tentatives d’intrusion et gestion des performances, voyage aux limites du SSL dans les infrastructures.
CSP est un mécanisme reposant sur la définition d'une politique de sécurité ainsi que de son application par le navigateur supportant ces fonctionnalités. Nous proposons dans cet article de décrire les fonctionnalités de ces nouveaux mécanismes de sécurité qui sont sans aucun doute prometteurs tout en s'efforçant d'évaluer la faisabilité de leur mise en œuvre dans des conditions réalistes.
Nous présentons dans cet article comment le réseau fait face au phénomène Big Data. Plusieurs angles sont abordés comme l’adaptation du réseau face à l’explosion du trafic, l’échange d’information entre les centres de données Big Data, l’accès des utilisateurs aux applications associées au Big Data et enfin, l’application des algorithmes de Big Data à l’analyse même du trafic réseau.
Android est-il en train de devenir le nouveau bac à sable des cybercriminels ? Le succès commercial croissant et l’accessibilité de l’API y contribuent fortement, en tout cas. Sous Android, il n’est pas nécessaire de maîtriser l’assembleur ou la pile d’exécution ARM pour monter des attaques juteuses et imparables. Il suffit de lire la documentation pour les programmeurs mise à disposition par Google.
Fin 2011, le GCHQ (Government Communications Headquarters, le service de renseignements du gouvernement britannique) avait su faire parler de lui en créant un challenge de sécurité informatique original intitulé Can You Crack It. Ce dernier a fait l'objet d'un article dans MISC n°60 [1]. Fort du succès rencontré par cette initiative, le GCHQ a souhaité renouveler l'expérience en septembre 2013 en proposant cette fois un challenge nommé Can You Find It. Pour cette seconde édition, les objectifs de l'agence gouvernementale restent inchangés : recruter des personnes de talent et faire parler d'eux positivement auprès d'un public ciblé. Cet article décortique ce nouvel épisode et présente le raisonnement adopté pour résoudre le challenge.