Logo

Ma petite parcelle d'Internet...

Un autre regard sur la sécurité informatique, entre autres futilités.

mercredi 30 août 2006

Urban Legend

Crusty le clown

J

'ai rédigé un précédent billet sur l'attaque du WEP par fragmentation pour tenter de faire un sort à cette histoire de casser les clé WEP en quelques secondes. J'espère être parvenu, chers lecteurs, à vous convaincre. Mais plus loin que les articles que je citais, je me suis évidemment attardé sur les commentaires. Inévitablement, j'en ai trouvé des gratinés. Pour autant, mon but n'est pas ici de vous faire un Best Of, mais plutôt de corriger une autre idée qui, semble-t-il, circule elle aussi.

Je suis en effet tombé sur deux commentaires en particulier, le premier sur LinuxFR et le second sur PCInpact, tous deux affirmant que WPA n'offrirait qu'une authentification unilatérale permettant au point d'accès d'authentifier une station, mais pas le contraire, rendant le protocole vulnérable aux attaques par insertion (MiM).

Qu'en est-il ?

Lire la suite...

Note : 4.6/5 pour 7 votes

lundi 28 août 2006

Le SHA a vraiment du plomb dans l'aile

hachoir

C

'est qui ressort de la conférence Crypto 2006 qui s'est achevée jeudi en Californie, où deux chercheurs ont réussi à produire des collisions utilisables sur les 64 premiers tours de SHA-1. Bien que ne portant pas sur l'intégralité de l'algorithme, qui compte 80 tours, ces travaux sont particulièrement intéressants. En effet, là où les résultats produits par Xiaoyun Wang et ses étudiants l'an dernier exhibaient des collisions inutilisables en pratique, Christian Rechberger et Christophe De Cannière permettent de générer des paires avec du contenu choisi.

Comme expliqué dans un article de Heise Security, il serait possible de produire des deux documents avec des contenus très similaires mais produisant le même hash par ajout d'un bloc choisi sous forme de code inerte, rendant ainsi la visualisation des deux fichiers identiques à l'aide d'une technique annoncée comme généralisable à l'ensemble de la fonction.

Lire la suite...

Note : 4.5/5 pour 8 votes

samedi 26 août 2006

Du lard, du cochon ou juste du flan ?

Flan

D

écidemment, la vidéo de David Maynor et Johnny Cache ne semble pas avoir fini de faire circuler les octets sur le réseau mondial. Après la mini-polémique stérile quant à l'exploitation ou non du driver de la carte WiFi embarquée, ceux qui remettent tout simplement en question la véracité des faits exposés se font de plus en plus nombreux, bruyants et surtout aggressifs, comme en témoigne, entre autres, ce billet de James W. Thompson.

Pour le dire plus simplement, la thèse de la démo complètement bidon est en train de faire son chemin, largement entretenue par l'absence totale d'éléments techniques corroborant les dires des deux chercheurs. Mais plus loin que toutes ces discussion, ne serait-ce pas plutôt sur la démarche qu'il faudrait s'attarder ?

Lire la suite...

Note : 4.8/5 pour 4 votes

jeudi 24 août 2006

Savez-vous planter les clous ?...

Clous

E

n me balladant sur des sites de recherche de blogs, je suis tombé sur un billet parlant de l'article "A final nail in WEP's Coffin" et pointant sur les explications que je donnais récemment à son sujet. Et de constater, ô rage, ô désespoir, que cette prose annonce malgré tout "une attaque encore plus rapide que les précédentes effectuées avec Aircrak existe désormais et permet de cracker la protection en quelques secondes".

Cette affirmation fausse qu'on trouve sur PCINpact, Canard WiFi ou encore Génération NT a donc la vie dure, et je n'ai manifestement pas assez insisté sur ce point dans mon explication. Je vais donc m'appliquer ici à détailler ici le pourquoi du comment...

Lire la suite...

Note : 4.2/5 pour 5 votes

dimanche 20 août 2006

Retour de vacances

Touriste

C

'est maintenant officiel de chez officiel, les vacances sont finies. La fin de semaine du 15 août en roue libre, à dépiler trois semaines de mails et de news, dans un bâtiment aux deux tiers vide n'avait pas encore réussi à me convaincre de cette dure réalité, mais là, c'est bon, je me suis définitivement rendu à l'évidence...

Les informaticiens de l'hémisphère nord partant aussi en congés, l'actualité s'en est également trouvée moins dense qu'en temps normal, facilitant d'autant le retour sur Terre. Cependant, tout le monde ne s'est pas doré la pillule et j'avais quand même un peu de lecture à me mettre sous la dent, et ne fut pas trop déçu. Et parmi tout ce qui a vu le jour pendant le mois d'août, deux évènements touchant au monde du WiFi ont particulièrement retenu mon attention.

Lire la suite...

Note : 4.6/5 pour 5 votes

Hack.lu to come next october

Hack.lu logo

J

ust a quick annoucement for the upcoming Hack.lu conference second edition that will be held in Grand-Duchy of Luxembourg from 19 to 21 October 2006. This three days event will provide attendees with Deep Knowledge sessions (i.e. workshops), talks on various topics such as IPv6, Bluetooth, WiFi, Grid computing and more and a Capture The Flag contest.

Seats number is limited, so be sure to register early if you plan to attend as first came, first served rule applies. Last year's conference archives, videos and photos are online to help you make up your mind.

I will be giving a workshop with Philippe Teuwen on WiFi security this year.

Here's hack.lu official announcement...

Lire la suite...

Note : 0.0/5 pour 0 vote