1200

Pour autant que je le comprenne, le but n'est pas de casser la clé, mais d'obtenir le contenu déchiffré d'un message chiffré qui a été intercepté (en hackant une boîte mail, avec une attaque man-in-the-middle, peu importe).
L'attaque consiste à modifier le mail pour ajouter le contenu HTML malicieux, et à le renvoyer au destinataire légitime. Le client mail de ce dernier déchiffre le message, et paf.

Je ne pense pas que ça aide significativement à en déduire la clé privée, il me semble que les algos de crypto modernes sont résistants aux attaques basée sur la connaissance d'un même contenu en clair et en version chiffrée (mais les spécialistes habituels confirmeront ou pas).
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1201

Oui si tu préfère, la notion d'oracle est de pouvoir "casser " le chiffrement ou du moins donner des hints sur sa clef. (bon il y a plusieurs type d'oracles, faudrait lire le truc, mais ca peux quand meme signifier une faiblesse de GnuPG si l'attaque vise le padding par exemple ( https://crypto.stackexchange.com/questions/12688/can-you-explain-bleichenbachers-cca-attack-on-pkcs1-v1-5/12706#12706 )
avatarProud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1202

zero: de toute ca marche pas pcq la majorité des messages pgp ont un CRC, et ensuite il faut que le message soit chiffré avec un enchainement CFB vulnérable.

1203

Ah cheeky
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1204

Je vois pas le rapport avec le CRC confus

Le vecteur ne change pas le contenu de l’email confus
avatarProud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1205

le but est de modifier directement le chiffré pour provoquer des changements dans le message non? j'ai ptet mal compris.

1206

Apriori tu ne modifie pas l'email que tu embarque, juste construire un machin autour qui va forcer ton client email a le decrypter.

C'est dur a dire je ne sais pas trop, j'avais mal compris le problème a la première lecture
avatarProud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1207

squalyl (./1205) :
le but est de modifier directement le chiffré pour provoquer des changements dans le message non? j'ai ptet mal compris.
Si j'ai bien compris :
- le contenu PGP/INLINE est envoyé dans un mail classique (donc potentiellement dans un mail HTML)
- un MITM peut modifier l'emballage HTML, qui n'est ni signé, ni chiffré
- s'il y a une faille dans le client, on peut donc modifier le HTML pour que le client fasse une requête HTTP qui fait référence au contenu (déchiffré) du mail

enfin, je n'ai pas lu de source hyper fiable, surtout, si j'ai bien compris, ça reste une faille assez mineure (on est loin du « arrêtez-tout » qu'on a pu lire ça et là)
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1208

Comme le résume bien l'article de HaD (https://hackaday.com/2018/05/14/pgp-vulnerability-pre-announced-by-security-researcher/)

"PGP is still safe; you just shouldn’t use HTML emails. [...] It should be noted that HTML in email is already an attack vector and has been for decades. You don’t need to bring PGP into this."
avatar"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches

1209

https://access.redhat.com/security/vulnerabilities/3442151 : RCE en tant que root dans le client DHCP, au moins sur RHEL et dérivées. Sévérité critique, bien sûr. Trouvé par Felix Wilhelm, Google Security.
Le PoC tient dans un tweet, par exemple vu à travers Solar Designer.
Debian ne fournit pas le script vulnérable.
avatarMembre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1210

Merci pour l'avertissement, rewind.calcforge.org et mes machines Fedora (oui, Fedora est aussi concernée) mises à jour.

Et au fait, les mises à jour Fedora d'hier soir corrigent aussi un autre bogue intéressant:
GNU patch does not properly sanitize patch files allowing for malicious patches to pass arbitrary shell commands to ed. An attacker could exploit this by tricking a user into applying malicious patches with the patch command.
(CVE-2018-1000156).
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

1211

C'est dangereux, mais en même temps si tu appliques des patches d'origine douteuse sans vérifier, t'es déjà pour ainsi dire fichu tongue
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1212

avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1213

1214

« faille »
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1215

Tu n'es pas d'accord ?
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1216

Bin pour moi une faille sous-entend une action involontaire, contrairement à la porte dérobée (par définition volontaire).
Mais bon, je reconnais qu'on peut aussi considérer qu'une porte dérobée est une faille comme une autre.
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1217

Apparemment, certains constructeurs trichent sur les correctifs de sécurité Android, en changeant le numéro de version sans inclure le patch

https://srlabs.de/wp-content/uploads/2018/04/SRLabs-Mind_the_gap-Android_Patch_Gap-HITB_2018.pdf
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1218

#pointsqualyl# ^^
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1219

https://krebsonsecurity.com/2018/05/tracking-firm-locationsmart-leaked-location-data-for-customers-of-all-major-u-s-mobile-carriers-in-real-time-via-its-web-site/

TL;DR : les opérateurs de téléphone portables aux USA vendent la géolocalisation en temps réel de leurs clients à des sociétés tierces, et une de ces sociétés a un site web en mousse qui permet à n'importe qui de récupérer l'info.
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1220

1221

La première partie de Spectre-NG a été publiée... seulement 2/8 nouvelles vulnérabilités pour l'instant sad
* la "variant 3a" n'est pas nouvelle, puisque reportée par ARM au début de l'année; la nouveauté est qu'une forme de cette variante affecte également des processeurs Intel;
* la "variant 4" est en revanche nouvelle, et son contournement par le microcode (pas encore dispo pour le grand public) pique la performance de 2-8% sur des benchmarks standard. https://access.redhat.com/security/vulnerabilities/ssbd , https://newsroom.intel.com/editorials/addressing-new-research-for-side-channel-analysis/

Chez AMD, ça se passerait mieux:

avatarMembre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1222

1223

rlBM

Je crois que je vais dire merde au site de Forbes.
avatarProud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1224

Les pires méthodes pour regler le GDPR:
https://gdprhallofshame.com/

1225

Recette d'une faille croustillante : prenez de la blockchain, mélangez avec du WebASM, laissez mijoter :
https://thehackernews.com/2018/05/eos-blockchain-smart-contract.html
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1226

Joli
avatarProud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1227

1228

Et hop, une faille CPU de plus :
http://seclists.org/oss-sec/2018/q2/189
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1229

2018 l'année du CPU!
avatarProud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1230

https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/
TL;DR : n'utilisez pas Stylish, ça envoie délibérément votre historique de navigation à la boîte qui est derrière.
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo