Comme je l'ai annoncé, l'ensemble des articles de ce mois ont été écrits à l'avance. Cet article devait traiter des sommes MD5 et des recherches sur google, mais l'actualité me pousse a le modifier.
1/ MD5 et google
Tout le monde le sait, MD5 est une somme de hachage considérée comme cassée à l'heure actuelle. Toutefois, elle reste considérablement utilisée. La majorité des mots courants ont été hachés en MD5 et indexés par google, ainsi le hash de 310c12a8c02f635546af64ab5852d25d se reverse (quasi-)immédiatement. Pour cette raison, il est très fortement déconseillé de hacher des mots de passe sans sel. Néanmoins, le hash MD5 de certains fichiers sont eux-aussi indexés par google, permettant de cette manière de retracer leur historique.
2/ Les MD5 et duqu
nous avons beaucoup entendu parler de duqu ces derniers temps. La majorité de ce que j'ai pu lire semble finalement provenir de la même source, symantec. Comme d'habitude, on trouve:
-des répetitions ad nauseum du communiqué initial (d'où l'importance de le connaître)
-peu d'informations intéressantes et techniques
-quelques commentaires avisés qui replacent l'information initiale dans un contexte plus large
-des journalistes qui disent n'importe quoi.
Deux points m'ont interpellés. Le premier indiquant qu'il s'agissait du même code que stuxnet, le second que des infrastructures européennes étaient visées. Pour le code, je ne me prononcerai pas, mais pour l'Europe, on peut au moins trouver un pays visé.
J'ai donc effectué quelques recherches. Tout d'abord, nous connaissons les MD5 des fichiers utilisés par duqu. Les recherches sur ces MD5 à l'aide de google permettent de se rendre compte qu'un fichier à été soumis dès le 1er septembre à sunbelt security et fin septembre à virustotal.
Mais la recherche d'un MD5 sur une période donnée (du 1er janvier 2011 au 30 septembre 2011 pour éviter les parasites), montre un résultat curieux:
Un hongrois amateur de poisson en conserve (!). Les messages ont été supprimés, mais google cache permet de les consulter. L'auteur de ce blog cite nommément le hash MD5 d'un des fichiers de duqu en demandant de se mettre en contact avec lui. Un second message indique "nasty" et dit que le certificat a des problèmes (??!!). Cette personne semble directement liée à duqu, sans qu'on ne comprenne comment. Est il victime de duqu?
Sur le blog, pas de nom. Les messages et commentaires, supprimés. L'hébergeur, un hébergeur de blog comme il en existe des centaines. Difficile de savoir de qui il s'agit.
Il est temps de faire un peu de google-fu. Je retrouve donc le nom et le prénom de l'amateur de poisson. Il est hongrois (logique). Sa page facebook le montre sur un genre de plateforme industrielle: ça corrobore ce que dit symantec sur la cible européenne industrielle :-), sa page google+ également. Je lui ai envoyé un mail, pas de réponse (EDIT: toujours pas de réponse le 23/10). Dommage de ne pas pouvoir remonter un peu plus loin.
1/ MD5 et google
Tout le monde le sait, MD5 est une somme de hachage considérée comme cassée à l'heure actuelle. Toutefois, elle reste considérablement utilisée. La majorité des mots courants ont été hachés en MD5 et indexés par google, ainsi le hash de 310c12a8c02f635546af64ab5852d25d se reverse (quasi-)immédiatement. Pour cette raison, il est très fortement déconseillé de hacher des mots de passe sans sel. Néanmoins, le hash MD5 de certains fichiers sont eux-aussi indexés par google, permettant de cette manière de retracer leur historique.
2/ Les MD5 et duqu
nous avons beaucoup entendu parler de duqu ces derniers temps. La majorité de ce que j'ai pu lire semble finalement provenir de la même source, symantec. Comme d'habitude, on trouve:
-des répetitions ad nauseum du communiqué initial (d'où l'importance de le connaître)
-peu d'informations intéressantes et techniques
-quelques commentaires avisés qui replacent l'information initiale dans un contexte plus large
-des journalistes qui disent n'importe quoi.
Deux points m'ont interpellés. Le premier indiquant qu'il s'agissait du même code que stuxnet, le second que des infrastructures européennes étaient visées. Pour le code, je ne me prononcerai pas, mais pour l'Europe, on peut au moins trouver un pays visé.
J'ai donc effectué quelques recherches. Tout d'abord, nous connaissons les MD5 des fichiers utilisés par duqu. Les recherches sur ces MD5 à l'aide de google permettent de se rendre compte qu'un fichier à été soumis dès le 1er septembre à sunbelt security et fin septembre à virustotal.
Mais la recherche d'un MD5 sur une période donnée (du 1er janvier 2011 au 30 septembre 2011 pour éviter les parasites), montre un résultat curieux:
Sur le blog, pas de nom. Les messages et commentaires, supprimés. L'hébergeur, un hébergeur de blog comme il en existe des centaines. Difficile de savoir de qui il s'agit.
Il est temps de faire un peu de google-fu. Je retrouve donc le nom et le prénom de l'amateur de poisson. Il est hongrois (logique). Sa page facebook le montre sur un genre de plateforme industrielle: ça corrobore ce que dit symantec sur la cible européenne industrielle :-), sa page google+ également. Je lui ai envoyé un mail, pas de réponse (EDIT: toujours pas de réponse le 23/10). Dommage de ne pas pouvoir remonter un peu plus loin.
En effet, il faut remonter aux sources, tellement les journalistes et autres rédacteurs web sont mis sous pression pour être les premiers à mettre en ligne leurs articles au point de déformer l'information, d'autant que celle-ci est de plus en plus reprise de site en site, sans vérification, et déformée au passage, à la manière du téléphone arabe. Passons.
RépondreSupprimerEn réalité, il y a eu depuis une semaine deux sources ayant analysé Duqu : Symantec, d'une part, et McAffee, d'autre part. Les deux divergent sur certaines conclusions, notamment sur les cibles potentielles du logiciel. Pour ce qui est de leur analyse, elle paraît similaire.
@Martin: C'est une interrogation que j'ai vis-à-vis du journalisme. Puisque aujourd'hui la transmission de l'information est instantanée, quel intérêt pour un journaliste de vouloir la relater de manière la plus rapide possible?
RépondreSupprimerNe faudrait-il pas au contraire que le journaliste prenne le temps de digérer l'information afin de mieux la recontextualiser?
A ce sujet, et pour sortir de l'informatique, je suis toujours surpris que le Monde continue de publier à J-1. A quoi bon, puisque l'information contenue dans le journal papier sera _toujours_ obsolète face à internet? Je préférerai un journal du jour J avec des news étudiées en profondeur.
Il ne faut pas confondre rapidité et qualité :-/
on dirait que le mystérieux pêcheur hongrois t'a répondu... "no more nasty stuff"
RépondreSupprimer@Anonyme: j'ai vu. Mais je ne pense pas que ce soit un pêcheur: S'il était un vrai pécheur, il ne mangerai sûrement pas de poisson en boîte :-)
RépondreSupprimerA ce jour, toujours pas de réponse de sa part, mais je n'y croyais pas vraiment.