1

Ça fait pas mal de temps que j'hésitais à créer un topic sur le sujet de la sécurité info. On en parle régulièrement ailleurs, essentiellement dans "les meilleures news info & high-tech" et "sécurité web", mais le premier est un topic de news pas vraiment adapté aux discussions longues, et le second ne concerne que le web. Le but est ici qu'on puisse discuter de manière plus approfondie de sujets qui sont pas forcément nouveaux.

Pour commencer, je vous propose ce papier qui récapitule les problèmes de sécurité fondamentaux de l'archi PC, qui vont au-delà des attaques qui ciblent simplement les OS (par exemple : les hyperviseurs malicieux, les attaques basées sur l'UEFI, etc.), avec des liens vers les analyses faites par d'autres chercheurs en sécurité. Ça fait assez peur de voir à quel point une machine moderne est vulnérable à des attaques difficilement détectables sorry
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

2

(ce sujet aurait plutôt sa place sur Bits et électrons, non ?)
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

3

(pas faux, je l'avais créé ici pour qu'il soit à côté des topics de news, mais tu peux le déplacer si tu veux)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

4

Ce sont les résultats de dizaines d'années pendant lesquelles la sécu n'a jamais été prise en compte, sachant que faire un truc sécurisé sera toujours plus coûteux en performances.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

5

Apres il y a sécurisé et sécurisé, il y a moyen de faire qu'un truc ne soit pas une simple passoire de second ordre..
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

6

Est-ce que tu considères que iOS est une passoire ou pas ? Parce que chaque version est systématiquement jailbreakée (sachant qu'un jailbreak, c'est un enchaînement d'une série de failles - cf les explications pour iOS 6 ou iOS 7), alors même que les experts en sécurité saluent les efforts d'Apple dans le domaine.
So much code to write, so little time.

7

Je ne lis pas la section Bits et électrons, un topic dans cette section me paraît être une bonne chose.
Ce sont les résultats de dizaines d'années pendant lesquelles la sécu n'a jamais été prise en compte, sachant que faire un truc sécurisé sera toujours plus coûteux en performances.
Il arrive parfois que des choses plus simples soient plus performantes et plus sécurisées que des choses complexes, mais oui, les choses plus sécurisées sont presque toujours plus coûteuses en performances. De plus, des choses plus sécurisées sont presque toujours plus difficiles à utiliser, et leur développement coûte plus cher / leur prix de vente est plus élevé.
Comme le mouvement de fond de l'informatique est d'aller vers moins de coût monétaire, plus de performance et plus de facilité d'utilisation - et bien sûr que cet état de fait n'est pas exclusivement une mauvaise chose - on court à la catastrophe.

Tout ce que nous pouvons faire, à titre individuel, pour limiter les risques de sécurité des objets informatiques, pour la plupart dispensables (sauf handicap, par exemple), qui nous entourent, c'est d'en avoir le moins possible, et que ces objets soient aussi peu évolués que possible, pour éviter certains modes de défaillance et de vulnérabilités. Qu'ils soient basés sur des logiciels ouverts est habituellement un plus pour la sécurité, aussi.
Il est malheureusement très difficile de faire comprendre aux gens avec lesquels nous sommes en contact à quel point les systèmes informatiques sont risqués... Ils ne deviendront plus réceptifs que quand il y aura eu les immenses problèmes déjà prévus (l'incertitude est sur la date, pas sur la survenance) et qu'ils auront réellement peur. Et même quand ils auront été emmerdés, ils ne prendront manifestement pas les bonnes décisions pour leur sécurité informatique.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

8

nitro: une passoire de troisième ordre?
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

9

Zeph (./2) :
(ce sujet aurait plutôt sa place sur Bits et électrons, non ?)
epee
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

10

https://github.com/samyk/magspoof
Le système à piste magnétique des cartes bancaires était déjà connu pour être une passoire, mais là c'est le bouquet.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

11

Vos banques ne bloquent-elles pas encore les transactions par bande magnétique par défaut? (Les banques autrichiennes font ça depuis quelques mois, il faut aller activer la fonctionnalité si on veut pouvoir prélever de l'argent dans les pays qui n'utilisent pas encore les circuits intégrés.)
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

12

En France il n'y a quasiment plus de lecteurs uniquement magnétiques, mais je ne sais pas si les banques désactivent par défaut les transactions par piste magnétique pour autant.

Mais là c'est aux USA, ça fait à peine quelques années qu'ils se sont mis péniblement aux cartes à puce (d'ailleurs la loi a changé récemment, désormais les commerçants qui n'ont pas de lecteur compatible avec les cartes à puces devront assumer le remboursement en cas de fraude, au lieu que ce soit la banque qui rembourse).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

13

Fort le gars, spectaculaire quand même ^^

14

Wow O_o
avatar

15

16

J'ai toujours pense qu'on pouvais facilement copier une carte magnetique, mais la pouvoir simuler la carte comme ca, j'avoue n'y avoir jamais pense, c'est pas con, mais quand meme!
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

17

d'apres M Crypto/Secu de chez nous le principe est connu depuis longtemps, la nouveauté étant de penser a faire ca avec un simple attiny.

18

Ce que je trouve surtout inquiétant, c'est qu'il arrive à prédire quel seront les infos de la carte qui remplacera une carte annulée.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

19

pencil On parle de compréhension parfaite d'un algo que ne devrait détenir que la banque. Et il a eu quoi pour le comprendre cet algo, quelques cartes "à la suite" ? Et ça a suffit à trouver ? Bon, j'y connais rien en crypto/etc, donc si ça tombe je visualise ça très mal grin

20

Zerosquare (./12) :
En France il n'y a quasiment plus de lecteurs uniquement magnétiques, mais je ne sais pas si les banques désactivent par défaut les transactions par piste magnétique pour autant.
comment fonctionne les péages ?
via la piste magnétique ou le code sur la carte ?
avatar

21

Normalement c la puce, EMV partout, le pin nest quune garantie de presence du porteur, la transaction nen a pas besoin.

22

Folco (./19) :
pencil On parle de compréhension parfaite d'un algo que ne devrait détenir que la banque. Et il a eu quoi pour le comprendre cet algo, quelques cartes "à la suite" ? Et ça a suffit à trouver ? Bon, j'y connais rien en crypto/etc, donc si ça tombe je visualise ça très mal grin
la bande magnétique n'est pas cryptée il me semble...
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

23

24

Tiens, en parlant de cartes à puces :
https://fr.wikipedia.org/wiki/Gemplus_international
http://www.transfert.net/Affaire-Gemplus-un-pillage

squalyl, tu sais si c'est un délire ou s'il y a des bases sérieuses ?
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

25

Le 19 décembre 2002, Marc Lassus, ancien président fondateur de Gemplus, démissionne du conseil d'administration, de même que son allié Ziad Takieddine.
Putain, il est partout, lui O_O
avatar

26

27

avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

28

avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

29

avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

30