vendredi 7 octobre 2011

Amusons nous cinq minutes avec les certificats frauduleux.

On m'a fait suivre il y a quelques temps un post de blog expliquant le "Man in the Middle" sur le blog orange sécurité. Le tout en vidéo s'il vous plaît!
Et là, c'est tout simplement énorme la sécurité expliquée aux newbies. Le man in the middle, c'est tout simple, la vidéo peut se résumer à:
J'envoie un certificat frauduleux, le navigateur n'y voit que du feu.
Certes, certes, certes. C'est effectivement tout simple, il suffit tout simplement d'un certificat frauduleux, et hop.

Je propose d'autres sujets de sécurité pour le prof:
"Lire des documents chiffrés via AES". Alors on a un document chiffré via AES, on fait un bruteforce frauduleusement et on a la clé, alors on peut lire les informations dans le document chiffré!

"Voler une session Facebook". Alors on a un utilisateur qui se connecte sur facebook, on lui vole frauduleusement son cookie de session, et alors on peut se connecter avec ses droits!

"Exploiter une application" Alors on a une application, on lui envoie frauduleusement un buffer overflow, et alors on peut lui faire exécuter du code!

Je m'arrête là, mais on pourrait continuer longtemps :-)
La sécurité informatique ça a l'air tellement simple qu'on se demande pourquoi on en parle encore, ça devrait être réglé depuis le temps.

2 commentaires:

  1. Comment faire pour sculpter un éléphant?
    On prend un bout de marbre, onenlève tout ce qui ne fait pas partie de l'éléphant, et on a une belle sculpture

    RépondreSupprimer
  2. @Anonyme: ça correspond bien à la description

    RépondreSupprimer