Le bon, la brute et le WPA2

Magazine
Marque
MISC
Numéro
94
|
Mois de parution
novembre 2017
|
Domaines


Résumé
Le WPA2 est le mécanisme de sécurisation des réseaux Wifi le plus utilisé aujourd’hui. Cependant, depuis quelque temps, il commence à montrer ses limites. Nous verrons quelques-unes d’entre elles.

La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Auditer la sécurité d'une application iOS

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

Auditer la sécurité d'une application iOS n'est toujours pas une tâche aisée. Force est de constater que la plupart des auditeurs, amateurs de bug bounty ou autres curieux préfèrent travailler sur les applications Android malgré les récentes protections ajoutées au système d'exploitation de Google. Nous allons malgré tout essayer de présenter une méthodologie qui rend possible l'analyse orientée sécurité d'une application iOS, même sans jailbreak. Un bref rappel sera effectué pour ensuite introduire quelques outils et documentations apparues ces derniers mois.

Sondes de détection : performances, évaluations et biais

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

En avril 2019, l’ANSSI a qualifié les premières sondes pour assurer la supervision de sécurité de réseaux. Les opérateurs d’importance vitale (OIV), les opérateurs de services essentiels (OSE) et, d’une manière générale, les organismes opérant des fonctions sensibles disposent ainsi de produits français de confiance : Cybels Sensor de Thales et Trackwatch Full Edition de Gatewatcher.La méthodologie d’évaluation des sondes n’est, hélas, pas publique. Les ingénieurs sécurité et réseau devant intégrer ces sondes ne disposent donc pas de guides pour effectuer la recette de leur efficacité en production. Cet article propose un retour d’expérience sur l’évaluation des sondes, notamment sous l’angle de la performance. Cet aspect est, en effet, particulièrement significatif puisque le taux de détection d’une sonde diminue si elle est submergée, quand bien même elle serait équipée des meilleurs signatures et moteurs d’analyse.

Richelieu : solution du challenge de la DGSE

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

En mai 2019, la DGSE (Direction Générale de la Sécurité Extérieure) a organisé pour la première fois un challenge de sécurité informatique ouvert au public, qu’elle a baptisé Challenge Richelieu. Je vous invite à écouter la bande originale du Bureau des Légendes en fond sonore. Imprégnez-vous de cette atmosphère pleine de tension où les secrets sont rois, puis regardons ensemble ce que nous réservait ce challenge.

Aléa et cryptanalyse de générateurs

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

La plupart des applications en cryptographie moderne nécessitent à un moment ou un autre une source d’aléa [1]. Que ce soit pour chiffrer, générer des nonces, des clés ou même des sels cryptographiques. Mais comment générer de l’aléa sur nos ordinateurs qui sont des machines déterministes ?Dans cet article, nous allons nous intéresser à la place de l’aléa dans les algorithmes de chiffrements modernes. Puis nous verrons trois CTF ou le but est de cryptanalyser des générateurs de nombres aléatoires ; cela nous permettra d’en comprendre le fonctionnement et de voir quelques attaques sur des générateurs de nombres aléatoires.

Contournement de l'API Google Play Billing

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

D'après le blog [INVESP], le montant global des paiements dits « in-app » représentait environ 37 milliards de dollars (USD) en 2017 pour les applications mobiles (Android et Apple). Ce montant représente quasiment la moitié des revenus générés par les applications mobiles (48,2%), dépassant les revenus générés par les régies publicitaires (14%), ainsi que l'achat d'applications (37,8%). Il est donc important que la sécurité de ces paiements soit correctement implémentée afin d'éviter un manque à gagner pour les développeurs des applications. Dans le cadre de cet article, nous avons passé en revue 50 applications Android afin d'étudier le fonctionnement de l'API Google Play Billing et d'identifier les vulnérabilités liées à une mauvaise implémentation. Nous détaillerons en exemple des applications vulnérables.

Par le même auteur

Aléa et cryptanalyse de générateurs

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

La plupart des applications en cryptographie moderne nécessitent à un moment ou un autre une source d’aléa [1]. Que ce soit pour chiffrer, générer des nonces, des clés ou même des sels cryptographiques. Mais comment générer de l’aléa sur nos ordinateurs qui sont des machines déterministes ?Dans cet article, nous allons nous intéresser à la place de l’aléa dans les algorithmes de chiffrements modernes. Puis nous verrons trois CTF ou le but est de cryptanalyser des générateurs de nombres aléatoires ; cela nous permettra d’en comprendre le fonctionnement et de voir quelques attaques sur des générateurs de nombres aléatoires.

Découvrez ou redécouvrez Ansible-vault

Magazine
Marque
GNU/Linux Magazine
Numéro
222
|
Mois de parution
janvier 2019
|
Domaines
Résumé
Lorsque le parc informatique devient trop important, il n’est plus possible de gérer l’ensemble des machines à la main. Il devient donc nécessaire d’avoir recours à un outil de gestion de parc.Les outils de gestion de parc informatique ont de plus en plus la cote auprès des sysadmins. Une simple visite sur la page Wikipédia comparant les outils de gestion de parc informatique [1] nous permet de nous rendre compte de leur nombre. Mais alors, lequel choisir ? Dans cet article, nous allons parler de l’un des plus récents d’entre eux, Ansible.

Comment démarrer manuellement le noyau Linux

Magazine
Marque
GNU/Linux Magazine
Numéro
219
|
Mois de parution
octobre 2018
|
Résumé
Faire tourner le noyau sur de plus en plus de plateformes, toujours réussir à dépasser les limites techniques, voire les sécurités du système pour la simple satisfaction d’avoir lancé le noyau sur une nouvelle machine. Cela semble être un défi qu’aime relever la communauté (calculatrice, PS2, PS3, PS4, Intel 8086, Nintendo DS, etc. ) et c’est encore une fois confirmé avec le portage de Linux sur la Nintendo Switch [1]. Mais alors, comment démarrer le noyau sur ces machines « exotiques » où ni GRUB ni LILO ni UBOOT ni aucun bootloader ne tourne ?

Modes d’opérations et chiffrement des disques

Magazine
Marque
GNU/Linux Magazine
Numéro
217
|
Mois de parution
juillet 2018
|
Domaines
Résumé
Les modes d’opérations, on les utilise tous les jours et pourtant on les connaît peu. C’est par exemple le GCM utilisé par l’AES-GCM du protocole HTTPS, c’est le CCMP utilisé par WPA2-CCMP ou même le XTS utilisé dans l’AES-XTS pour le chiffrement des disques. Cet article a pour but de vous présenter les principaux modes d’opérations et leurs applications ainsi qu’une discussion à propos de leurs sécurités.