Archives par mot-clé : Sécurité

Arrivée du DNSSEC en France


Aujourd’hui, c’est deux articles pour le prix d’un !
En effet et toujours dans le registre de la sécurité, j’apprends que DNSSEC est enfin en cours de déploiement en france et devrait se terminer fin 2010 sur les serveurs racines pour les domaines en .fr et en .re (réunionnais). Cf mon article de novembre 2009.

Pour mémoire, le protocole DNS (Domain Name Service) est celui qui est en charge de résoudre un nom de domaine en une adresse IP. Hors, justement, ce système a été attaqué en 2008 en exploitant une faille du protocole Continuer la lecture de Arrivée du DNSSEC en France

Un ver informatique qui cible les automates et scada Siemens


Je suis en train d’animer une formation sur la sécurité des réseaux et il est communément admis que la plupart des menaces sont en direction des réseaux bureautiques et de monsieur « tout le monde ».
Jusqu’à présent, le domaine industriel était plutôt épargné par son fonctionnement déconnecté d’Internet. Jusqu’à présent !
En lisant un email transmis par Benoit Minvielle (Belden), je découvre un article qui indique une cible industrielle de façon ouverte.
Ces derniers temps, une attaque fait parler d’elle car ciblant l’Iran par le biais d’un ver très virulent et destructeur portant le nom de Stuxnet.

Là où ce ver concerne le monde industriel, c’est qu’il cible les automates et outils de supervision de la marque Siemens. Pire que cela, la cible de ce ver « serait » le réacteur nucléaire de Bushehr qui a commencé sa mise en service cet été après plusieurs années de construction et après une mise en uranium le 21 août. De là à comprendre que le ver a été créé spécifiquement pour empêcher cette mise en service…
Continuer la lecture de Un ver informatique qui cible les automates et scada Siemens

Connectez-vous de façon anonyme de n’importe où

securite Je viens de tester un service en ligne pour les plus paranoïaque d’entre nous.

En tout cas, si vous souhaitez commander en ligne sur Internet depuis un HOTSPOT libre, une connexion non sécurisée ou tout simplement pour anonymiser votre connexion (de façon à ne pas remonter jusque votre connexion – et je ne veux pas savoir pourquoi…) ou si vous chercher une solution à l’espionnage instaurée par la loi Hadopi, ce site web vous intéressera.

IPjetable.net vous permet de tester leur service pendant 2 jours (attention, il y a un temps d’attente parfois long pour avoir les codes d’accès) et d’établir un VPN depuis n’importe quelle connexion existante. Ce site vous protège en chiffrant les communications traversant tout réseau WiFi (ou autre) non sécurisé et ne pratique pas de filtrage sur les données qui transitent par le VPN. Une adresse IP publique vous est attribuée et toutes les applications sont utilisables (web, tchat, p2p, ftp, ssh…).

Continuer la lecture de Connectez-vous de façon anonyme de n’importe où

Le cryptage quantique n’est plus inviolable

Merci à Benoit Minvielle (Hirschmann France) pour le lien vers cet article…

Alors que la loi Hadopi impose l’obligation de sécuriser sa connexion Wi-Fi, un groupe de travail emmené par le professeur Johannes Skaar a démontré que même le cryptage quantique n’était pas parfait. Si la technique reste inviolable, en revanche le matériel ne l’est pas.

Graal de la sécurité informatique, la cryptographie quantique repose sur la mise en œuvre de la mécanique quantique afin de préserver la confidentialité et l’intégrité des données. Réputé inviolable, ce protocole technique a des retombées potentiellement énormes, notamment dans les domaines militaire et commercial. En effet, les différentes armées occidentales tiennent à sécuriser leur transmissions tandis que banques et sites commerciaux veulent assurer à leurs clients une protection complète.

Or, le groupe de travail de l’université norvégienne de sciences et de technologie dirigé par le professeur Johannes Skaar ont trouvé une méthode pour contourner le cryptage quantique. Car si la technique en elle-même est théoriquement inviolable, le matériel lui ne l’est pas. Et ce sont justement ces failles qui sont exploitées par les scientifiques.

Dans sa présentation, l’équipe explique s’appuyer sur une technique d’aveuglement des détecteurs de photons permettant d’obtenir la clé secrète sans jamais se faire détecter. Selon eux, cette procédure n’est absolument pas théorique puisqu’ils ont conçu un dispositif d’écoute et attaqué avec succès leur propre matériel de cryptage quantique.

Et pendant ce temps là, la loi Hadopi impose une obligation de sécuriser son accès à Internet…

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Lire l’article sur : NUMERAMA.com…

DNSSEC sur les serveurs racine de l’Internet

 

DNS C’est parti ! L’Icann, l’organisme qui gère les noms de domaine, et l’opérateur VeriSign ont décidé de mettre les bouchées doubles dans l’implémentation du protocole DNSSEC (DNS Security Extensions) avec, à la clé, une feuille de route précise pour le déploiement sur les serveurs racine. Ensuite, Verisign implémentera ce protocole sur les domaines .com et .net, dont il est responsable.

DNSSEC est un protocole qui, grâce à un système de signature électronique, permet de vérifier l’authenticité de la réponse d’un serveur DNS. Son fonctionnement est hiérarchique. Chaque serveur d’une zone DNS (.fr, .com, inria.fr, etc.) disposera d’une paire de clés de signature à chiffrement asymétrique, appelée Zone Signing Keys (ZSK). L’une des clés est publique, l’autre privée. Cette dernière sert à signer les données DNS que délivre le serveur de zone. Un client DNS qui reçoit une réponse signée d’un de ces serveurs pourra déchiffrer la signature au moyen de la clé publique et vérifier, ainsi, la provenance et l’intégrité des données.

Pour autant, ce système de clés ne permet pas de savoir à 100 % si le serveur lui-même est réellement digne de confiance : un usurpateur pourrait se substituer à lui et diffuser ses propres ZSK. C’est pourquoi les serveurs de zone disposent d’une deuxième paire de clés asymétriques. Appelées Key Signing Keys (KSK), elles servent à signer les ZKS des zones inférieures (01net.com, afnic.fr, etc.), créant ainsi une chaîne de confiance sur l’ensemble des URL. Un navigateur n’obtiendra la confiance d’une zone de niveau n (01net.com), que s’il a obtenu la confiance des zones de niveau supérieur (.com).

Une paire de clés maître pour sécuriser tout l’Internet

Continuer la lecture de DNSSEC sur les serveurs racine de l’Internet

La cryptographie quantique n’est pas infaillible

foLa récupération des données concerne des cas très particuliers et ne remette pas en cause la technique mais plutôt son implémentation qui, elle, peut être faillible.

Cinq ans après être sortie des laboratoires, avec la création du premier réseau sécurisé aux Etats-Unis, la cryptographie quantique reste totalement d’actualité. A la fin du mois de mai 2009, SmartQuantum, l’un des producteurs de cette technologie, a annoncé qu’il conduisait un projet de sécurité en collaboration avec le CNRS, Femto-ST et le CHU de Besançon. Ce projet porte sur une solution complète de sécurisation des transmissions de données sur support optique entre deux serveurs (dans un même bâtiment), entre deux bâtiments d’une même zone (un cabinet de praticien et un hôpital, par exemple) et enfin une liaison longue distance (entre le CHU de Besançon et le centre hospitalier de Belfort-Montbéliard, par exemple).

Présentée comme l’une des technologies les plus fiables au monde, elle n’est pourtant pas infaillible. C’est la conclusion à laquelle sont arrivés des universitaires qui ont testé ces dernières années des systèmes de cryptographie quantique. Plus exactement, ce n’est pas la cryptographie quantique dont ils ont démontré la vulnérabilité, mais son implémentation.

4 % des communications espionnées

En 2008, l’équipe de chercheurs dirigée par Hoi-Kwong Lo de l’université de Toronto, au Canada, était parvenue pour la première fois à modifier un système de cryptage quantique commercial ID-500 vendu par ID Quantique, le leader mondial dans ce domaine.

La faille était minime puisqu’elle était de quelques picosecondes, soit le temps de retard à l’allumage des deux détecteurs de photons utilisés pour recevoir la clé quantique. Un laps de temps très court mais suffisant pour rendre le système un peu moins sûr : Hoi-Kwong Lo avait été capable d’espionner 4 % environ des communications « sécurisées ».

« Ce système ID-500 est destiné à une clientèle de chercheurs. Il s’agit d’une version simplifiée et elle est complètement paramétrable. Les travaux du professeur Lo sont intéressants mais n’ont qu’une faible valeur pratique », nous a répondu Grégoire Ribordy, CEO d’ID Quantique.

Lire l’article complet sur : 01Net Pro…

Mots clés Technorati : ,,,,

la loi Loppsi : des chevaux de Troie et des spywares mis en place par la police!

loppsiEvoquée dès 2008 par Michèle Alliot-Marie, la loi Loppsi 2 (loi d’orientation pour la programmation et la performance de la sécurité intérieure) pourrait être présentée en conseil des ministres ce mercredi 27 mai. La police, sur simple autorisation du juge des libertés, pourrait mettre sur « écoute » des ordinateurs dans le cadre d’affaires de pédophilie, de meurtre, de trafic d’armes et de stupéfiants, de blanchiment d’argent, etc. Et ce sans le consentement de leur propriétaire.

L’espionnage électronique permettrait « d’accéder à des données informatiques, de les observer, les collecter, les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent pour l’utilisateur ou telles qu’il les y introduit par saisie de caractères », précise Le Monde dans un article du 18 mai faisant référence au texte du projet de loi.

L’interception de données pourrait se faire de deux manières : la mise en place à distance de logiciels mouchards (des spywares) ou l’installation physique de chevaux de Troie directement dans la machine suspectée, notamment par des clés de connexion semblables aux clés USB.

Des techniques qui peuvent être contournées, expliquait ce lundi matin à l’antenne de RMC (1) Frédéric Aïdouni, consultant en sécurité informatique… et qui réclament des compétences en informatique de la part des policiers.

Lire l’article sur : 01net…

Proposer l’anonymat des communications, un enjeu politique et technique

hadopi Les fondateurs du site idopah.net, lancé fin avril en riposte à la loi Hadopi, expliquent comment ils espèrent contourner la loi…

Né d’une volonté de riposte à la loi Hadopi, définitivement adoptée mercredi, Ipodah.net s’inscrit dans la lutte des opposants au texte qui s’organise sur la Toile. Ce site propose un service de cryptage des adresses IP, aux internautes qui surfent sur le Net, ce qui pourrait faciliter le téléchargement illégal. Ses fondateurs, qui préfèrent garder l’anonymat, invoquent la nécessité de s’opposer à une loi jugée injuste et abusive. Interview.

Pourquoi avoir lancé ce site?
Après plusieurs voyages et déplacements, nous nous sommes aperçus que de nombreux hotspot Wi-Fi dans des cafés, des hôtels ou des aéroports n’étaient pas sécurisés du tout. N’importe quelle personne assise à côté de nous avec son ordinateur portable pouvait lire nos emails, voir quels sites web on consultait etc. L’idée de fournir un système de connexion à Internet par VPN nous trottait donc déjà dans la tête depuis un bon moment, afin de sécuriser les communications. L’adoption de la loi Hadopi nous a poussés à réagir, comme The Pirate Bay l’a fait en Suède avec IPREDator. C’est ainsi qu’est né Ipodah.net. L’enjeu est à la fois politique – prouver que la loi est dépassée avant même d’être appliquée – et technique – sécuriser les communications et proposer l’anonymat à des millions de Français.

Quelles menaces la loi Hadopi fait-elle peser sur les internautes selon vous?
Elle est condamnable pour deux raisons. Tout d’abord parce qu’elle va à l’encontre des droits fondamentaux en instaurant une commission qui va se substituer à la justice. Or, dans le droit français, toute personne a droit à un procès équitable devant un juge. De plus, les responsabilités ne sont pas très claires et c’est à l’internaute de prouver son innocence. Ensuite, nous pensons que le droit à un accès Internet est fondamental pour l’ensemble des foyers français. Hadopi permet de fermer cet accès sans décision de justice, un pouvoir scandaleux et indigne d’un pays civilisé comme la France.

Le site en est à sa version bêta. Quand pensez-vous le lancer définitivement?
Le défi technique et surtout juridique est assez difficile à relever. Ce n’est pas pour rien que le service suédois n’est pas sorti de sa version bêta depuis de nombreuses semaines. Pour Ipodah, nous avons prévu une fourchette large de quelques semaines à 3 mois. Compte tenu de l’enjeu, il faut bien préparer le service.

Combien d’internautes avez-vous attirés depuis votre lancement?
En deux semaines, nous avons recueilli pas loin de 10.000 inscriptions. Beaucoup sont sur liste d’attente pour ne pas écrouler nos serveurs actuels. Nous avons fait très peu de pub mais le succès nous a bien rattrapés, les informations vont très vite sur le Net.

Avez-vous fixé un prix en deçà duquel vous ne développerez pas votre VPN?
En dessous de 4 ou 5 euros par mois, il sera difficile de maintenir une infrastructure technique de qualité. Je m’avance beaucoup en vous donnant ces informations, car nous sommes encore loin d’avoir tout chiffré. Et la loi Hadopi doit encore passer devant Conseil constitutionnel (suite à une requête que devrait déposer l’opposition, ndlr). L’invalidation de la loi aurait un impact certain sur le service et nous obligerait peut-être à voir plus petit et à revenir à notre idée initiale, à savoir proposer un service pour se connecter en toute sécurité à un hotspot Wi-Fi. Ce marché de niche serait donc plus cher. Mais si la loi passe le Conseil constitutionnel et n’est pas inquiétée par le droit communautaire européen, il nous faudra voir grand, ce qui aura comme conséquence de faire baisser le prix par abonné.

Où en êtes-vous de vos discussions avec les Pays-Bas pour vous implanter là-bas?
Les Pays-Bas sont le point névralgique d’Internet en Europe, avec le plus gros point d’échange de trafic Internet. Nous avons donc déjà des contacts pour la connectivité à Internet et l’hébergement des serveurs. C’est surtout la partie juridique qui nous pose problème. Nous sommes des ingénieurs passionnés, pas des juristes.

Lire l’article sur : Idopah.net

Des brevets innovants en réseau sans fil pour Trapeze Networks

Le Bureau américain des brevets a délivré à Trapeze Networks (NYSE : BDC) deux brevets innovants dans le domaine des réseaux sans fil. Les brevets confortent la position de la société dans le domaine des solutions réseau NonStop Wireless et couvrent des technologies facilitant le déploiement et la gestion des points d’accès, à moindre coût.

« La délivrance de ces deux nouveaux brevets conforte et renforce la position de Trapeze Networks en tant qu’innovateur et Leader dans le domaine des réseaux sans fil, déclare Ahmet Tuncay, directeur du service des technologies. Nous proposons des inventions qui apportent des solutions aux problématiques rencontrées par nos clients, tout en encourageant l’adoption des réseaux sans fil dans le monde entier. », poursuit-il.

Le brevet fondateur exploite les solutions réseau NonStop Wireless

Le brevet américain 7,529,925, intitulé « System and Method for Distributing Keys in a Wireless Network » (Système et méthode de distribution des clés dans un réseau sans fil), est un brevet fondateur concernant les améliorations en termes de performances d’itinérance.

Cette invention couvre les opérations fondamentales de mise en cache des clés PMK (Pairwise Master Key), un moyen de combiner la sécurité et la rapidité de roaming lorsque les clients se déplacent d’un point d’accès à l’autre.

Continuer la lecture de Des brevets innovants en réseau sans fil pour Trapeze Networks

Souk on the web : MPLS, BGP et Ethernet

piratage Deux chercheurs en informatique démontrent lors du Black Hat d’Amsterdam qu’avec un logiciel maison il est possible de lancer une attaque à grande échelle sur la toile.

Enno Rey et Daniel Mende, deux chercheurs en informatique, ont fait une petite démonstration qui n’a pas laissé indifférents les participants du black hat d’Amsterdam, un rendez-vous destiné aux experts de la sécurité informatique.

Avec un programme de leur cru, les deux "hackers" ont démontré qu’il était possible de lancer une attaque d’envergure à l’encontre de la colonne vertébrale qui gère l’Internet. Le trafic serait donc en danger. "Nous pensons que les quelques technologies déployées sont démodés, indiquent les deux chercheurs, Notre but est de faire prendre conscience aux gens que les technologies qu’ils utilisent dans leur vie quotidienne ne sont pas aussi sûres qu’elles pourraient laisser présager".

Parmi les cibles de ces nouvelles attaques, les MPLS (Multiprotocol Label Switching). Ils permettent de faire circuler les informations vers une zone géographique données. Verizon, AT&T et ou encore Sprint utilisent le MPLS. Le logiciel "pirate" des deux chercheurs fonctionne parce que le MPLS n’a aucun mécanisme de sécurité qui permet de protéger l’intégrité des en-têtes qui déterminent si un paquet de données est bien livré au bon endroit.

MPLS, mais aussi BGP (Border Gateway Protocol) et Ethernet sont montrés du doigt. L’été dernier, Anton Tony Kapela et Alex Pilosov avaient démontré une attaque sur le BGP. Ils avaient réexpédié en toute transparence des informations sur un réseau basé à New-York alors qu’elles étaient destinées à Las Vegas.

Dans les réseaux informatiques et les télécommunications, MultiProtocol Label Switching est un mécanisme de transport de données, opérant sur la couche de liaison de données du modèle OSI, donc en dessous des protocoles comme IP. Il a été conçu pour fournir un service unifié de transport de données pour les clients en utilisant une technique de commutation de paquets. MPLS peut être utilisé pour transporter pratiquement tout type de trafic, par exemple la voix ou des paquets IP.

Le Border Gateway Protocol est un protocole d’échange de route utilisé notamment sur le réseau Internet. Son objectif est d’échanger des réseaux (adresse IP + masque) avec ses voisins par le biais de sessions TCP (sur le port 179).

Lire l’article sur : Zatraz.com…