33c3 – Predicting and Abusing WPA2/802.11 Group Keys (Mathy Vanhoef)

Cet article est aussi disponible sur le CERT-Devoteam à l’adresse: CERT-Devoteam

Les attaques sur les communications WiFi ne sont pas nouvelles. Depuis des années, il existe des exploitations de vulnérabilités permettant d’obtenir les mots de passe des réseaux, d’injecter des paquets ou de déchiffrer les communications des utilisateurs d’un réseau WiFi. On peut notamment se rappeler les attaques contre le PRNG alimentant le chiffrement par flot du WEP, les attaques par bruteforce contre les handshakes, les attaques par faux point d’accès ou même l’attaque Tornado.

Toutes ses attaques se sont axées sur la divulgation du PSK ou la rupture de la confidentialité des échanges unicast. Le conférencier a choisi d’axer sa conférence sur les GroupKeys.

Les GroupKeys permettent d’échanger des messages en multicast. Il s’agit pour la plupart, de messages envoyés par le routeur à des fins d’informations. Cependant, il est possible également pour les clients d’envoyer des messages multicast. Pour cela, le point d’accès génère des clefs de groupes permettant d’échanger de manière chiffré.

Continue reading →

Facebooktwitterlinkedin

33c3 – Everything you always wanted to know about Certificate Transparency (Martin Schmiedecker)

Cet article est aussi disponible sur le CERT-Devoteam à l’adresse: CERT-Devoteam

En 2011, l’autorité de confiance Diginotar a été piratée et s’est faite voler son certificat principal. Suite à ce piratage, le certificat a permis de produire des certificats malicieux pour Google, Windows Update, Mozilla… ciblant tout d’abord l’Iran (99% des cibles) mais aussi le monde entier avec l’Europe, la Russie et les Etats-Unis pour des cibles isolées (activistes, expatrié, avocat). Le conférencier a mis en avant la nécessité de tirer des leçons de cet incident. En effet, le serveur ne disposait pas d’antivirus, le login était de la forme admin/admin, les logiciels non mis-à-jour, mais le problème principal réside dans l’absence d’information et de communications sur l’incident même après découverte. En effet une communication plus importante aurait permis de détecter plus vite la mise en place de ces attaques.

Continue reading →

Facebooktwitterlinkedin

[Coding Horror Story] Web Client and Secure Dev .NET

Dans le cadre de la réalisation d’une conférence sur le développement sécurisé pour l’ECE-Paris, j’ai pu réaliser ce support visuel permettant de mieux comprendre les vulnérabilité Web.

Cette affiche a été faite à des fins éducatives autant que préventives et peut être utilisée sans restriction en entreprise 🙂

Affiche de sensibilisation au développement sécurisé en .NET

Le support de la conférence est disponible à l’adresse suivante: OWASP – Client Side

Slide Bonus: OWASP – Server Side

Facebooktwitterlinkedin

33C3 – The Fight for Encryption in 2016 (Kurt Opsahl)

Cet article est aussi disponible sur le CERT-Devoteam à l’adresse: CERT-Devoteam

Cette conférence était axée sur le sujet de la place de la cryptographie dans les débats de société en 2016. Le conférencier a tout d’abord cherché à établir trois axes:

  • Le positif (Good): La cryptographie a été déployée de manière massive au cours de l’année 2016 avec des résultats impressionnant comme l’utilisation de WhatsApp ou de Signal pour la protection des données personnelles
  • Le négatif (Bad): Les gouvernements cherchent à produire des lois qui veulent empêcher l’usage libre de la cryptographie et forcer les utilisateurs à céder leur clef de chiffrement. De plus la recherche systématique de vulnérabilités à des fins inquisitrices pose des interrogations sur la fonction des états à protéger.
  • Le dangereux (Ugly): De nombreux états ont cherché à faire pression en arrêtant des membres d’entreprise (WhatsApp au Brésil) ou ont coupés les communications chiffrées (Egypte, Turquie…)

Continue reading →

Facebooktwitterlinkedin

Illustration: Cartographie des suites cryptographiques TLS

 

French Ciphersuits Mindmap

Ce travail basé sur une recherche documentaire assez complète est une part d’un projet plus important de méthodologie pour la réalisation de pentest. Ce graphique était destiné à la page sur l’audit de configuration des suites cryptographiques.

La version pdf est accessible à l’adresse suivante: Cartographie des suites cryptographiques TLS et les sources: Mindmap Ciphersuits Sources

Facebooktwitterlinkedin

Attaque DDOS

Le site a été hors-service quelques heures aujourd’hui, pourquoi?
J’ai subit une attaque [D]DOS contre mon site. Ayant fait le choix de ne pas me munir d’un CDN (du fait des contraintes abracadabrantesques comme le prix prohibitif ou l’obligation de faire confiance à un certificat SSL non contrôlé), cette menace est impossible à coercer. En cas de retour de cette attaque, je choisirais peut être d’héberger les sites sur un serveur séparé avec CDN et n’accueillant aucune fonction personnelle.
Le risque reste d’un point de vue organisationnel relativement faible, cette attaque étant probablement le fruit du hasard plus que d’une volonté délibérée de viser mon domaine en particulier.

🙂

Facebooktwitterlinkedin