Sécurité info - Page 38

Nil (./1110) :
Oui, comme le dit squalyl, la clé PHP est une clé d’identification de personne et pas de machine, donc tu l'installes sur chaque client utilisé

Tiens PHP est de la crypto maintenant

G, pas H

http://seclists.org/fulldisclosure/2018/Feb/index.html#0

SEC Consult SA-20180201-0 :: Multiple critical vulnerabilities in Whole Vibratissimo Smart Sex Toy product range

Oui c'est parfait pour faire des orgies!

Ca va, les deux touches sont à côté, et j'ai plus l'habitude de taper PHP que PGP

squalyl (./1112) :
http://seclists.org/fulldisclosure/2018/Feb/index.html#0

SEC Consult SA-20180201-0 :: Multiple critical vulnerabilities in Whole Vibratissimo Smart Sex Toy product range

Cf. ./743.

Nil (./1110) :
Oui, comme le dit squalyl, la clé PGP est une clé d’identification de personne et pas de machine, donc tu l'installes sur chaque client utilisé

Merci. Oué bien sûr, mais il me semble malgré tout que c'est conseillé partout de ne jamais sortir la clé de la machine sur laquelle elle a été générée. D'où ma question
C'est vrai qu'il y a la passphrase, mais bon.

le chiffrement avec la passphrase est suffisamment sûr pour permettre sa copie sur des stockages non sécurisés.

ce dont tu parles s'applique a ssh, car la passphrase sur la clé privée n'est ni obligatoire ni systématique (par ex sur puttygen, si tu penses pas a renseigner un pass la clé reste en clair).

De plus les niveaux d'accès ne sont pas les mêmes, PGP signe (et parfois chiffre) des messages texte, ssh donne un accès complet a un système informatique.

squalyl (./1117) :
De plus les niveaux d'accès ne sont pas les mêmes

Je suis bien d'accord, mais sauf erreur j'avais lu que c'était contraire à l'usage, et fortement déconseillé.
Mais si finalement c'est acceptable, je le ferai aussi, merci ^^

comme déja dit, si c'est pas possible, ca pose un problème fondamental: on ne t'identifie plus toi propriétaire de la clé privée, mais on identifie la machine.

sachant que pgp utilise les signatures (faites manuellement) des autres pour confirmer la validité de ta clé privée, je doute que beaucoup d'utilisateurs de pgp soient OK si tu leur dis que tu as une dizaine de clés privées à faire signer

Pffff

sapu, je sais

ouais mais pour être dans ce cas faudrait avoir 10 machines, ça n'arrive qu'aux geeks !



erf, j'oubliais qu'il n'y avait que des geeks pour vouloir une clé pgp...

squalyl (./1119) :
ca pose un problème fondamental: on ne t'identifie plus toi propriétaire de la clé privée, mais on identifie la machine.

Nan mais je comprends bien, en fait je m'étonnais justement de cette recommandatation de ne jamais sortir la clé de la machine pour ce cas précis des clés utilisées pour les emails.

squalyl (./1119) :
je doute que beaucoup d'utilisateurs de pgp soient OK si tu leur dis que tu as une dizaine de clés privées à faire signer

Voilà, d'où ma question d'origine ^^

vince > lol

METTEZ VOS WORDPRESS A JOUR, MANUELLEMENT.

la dernière version a cassé l'update automatique.

il faut passer a la 4.9.4 par le panneau d'admin.

https://make.wordpress.org/core/2018/02/06/wordpress-4-9-4-release-the-technical-details/

Merci !

merci pour l'info

https://www.wired.com/story/chrome-yubikey-phishing-webusb/
Voilà qui devrait intéresser Flan, je pense.

Genial enfin plein de preuve comme quoi c’est VRAIMENT de la merde (webusb)

Attention au biais de confirmation
Mais oui, on savait depuis le début que WebUSB poserait des problèmes... un jour.

Zerosquare (./1127) :
https://www.wired.com/story/chrome-yubikey-phishing-webusb/
Voilà qui devrait intéresser Flan, je pense.

bon, ça va, ça ne concerne pas la partie que j'utilise (une Yubikey a plusieurs fonctions, j'utilise la partie carte-à-puce et non la partie U2F).
Après, le principe reste du phishing. C'est dur de vraiment lutter contre...

WebUSB = ?

Vervier and Orrù say they believe smartcard authentication systems could also be vulnerable, for instance, though they haven't yet tested them.

...

A vrai dire du moment qu’on as accès comple au port USB je vois pas pourquoi ça ne serais pas possible..

À partir du moment où on part du principe que l'utilisateur donne son mot de passe quand on lui demande gentiment, je ne vois pas trop ce qu'on peut inventer comme sécurité :/

Exactement, mais bon, on pourrait aussi éviter de servir sur un plateau de nouvelles surfaces d'attaques

Voilà un jeune qui ira loin :
https://arstechnica.com/information-technology/2018/03/a-tamper-proof-currency-wallet-just-got-trivially-backdoored-by-a-15-year-old/

L'habituel "modèle de sécurité" "informatique déloyale", qui marche toujours aussi mal.

-

C’est marrant il y a quelque jours je réfléchissait à comment proteger du code, et j’en suis venu à la même conclusion, un MCU séparé c’est joli mais ça ne protège en rien, si le MCU principal est modifié point envoyer un truc legit alors qu’il n’est pas legit, ça casse tout.

(Et je ne suis pas expert en sécurité..)

Moi non plus. Ceci dit, je vois plusieurs grosses failles dans leur design :
- utiliser un MCU non sécurisé dans un contexte sécuritaire (rien que ça, ça doit être suffisant pour que ce soit game over)
- pas de chiffrement de la communication entre les deux MCU
- pas d'authentification forte du MCU non sécurisé (il est connu que la méthode "demander d'envoyer le contenu complet de la mémoire" n'est pas un preuve fiable si le contenu est compressible)
- possibilité de flasher du code arbitraire dans le MCU non sécurisé

À noter que s'ils avaient utilisé un moyen hardware de vérifier le contenu du MCU non sécurisé (par exemple, le freezer au démarrage et lire la mémoire Flash via JTAG), l'attaque n'aurait pas marché.

squalyl a sûrement des commentaires sur le sujet