Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 25-10-2012 00:04:05

steph06
Membre Indétronable
Inscription : 07-07-2012
Messages : 168
Site Web

Réflexions sur l'amélioration des sécurités aux différents levels

Bonjour,

J'hésitais à mettre ça dans l'autre section, mais comme je souhaitais une "réflexion collégiale" je me suis dit que ça pourrait être mieux dans la rubrique "Place à la discussion".


J'ai repris une vieille idée de derrière les fagots :
=> Pourquoi les OS majoritaires (Win, Mac OS, Linux) n'augmentent-ils pas d'avantage la sécurité d'un point de vue "réseaux" ?

Quelques exemples en vrac :
- On sait qu'un type mal intentionné qui met à disposition un point d'accès WiFi en récoltant des données peut, entre autres, se faire une jolie base de données avec comme clef primaire les adresses MAC (très rares sont ceux qui les spoof dans l'unique but de se mettre à l'abri de ce genre de choses). Si on voudrait être un minimum parano, aujourd'hui rien ne garantie que dans les box des différents FAI il n'y a pas quelque chose de ce style. Pourquoi les OS ne spoof pas l'adresse MAC des différentes interface réseaux, d'emblée, en une adresse MAC aléatoire à chaque 'up' de l'interface (et non basé sur une sorte de numéro de série du constructeur) ?

- Du côté du WiFi, pourquoi voit-on encore du WEP à l'heure où du "WPA + (AES/CCMP)" existe ? Pourquoi les OS classique n'imposent pas d'emblée ce genre de sécurité au niveau de la couche WiFi ?

- Au niveau IP, là je veux bien reconnaitre que de mettre partout de l'IPSec entre l'ordi et la box c'est un peu la méthode bazouka, lourde à digérer pour le CPU, et finalement pas si utile si on prend au sérieux tout le reste. D'un autre côté, que les FAI rendent ça obligatoire du côté public (entre la box et le WAN) ça serait pas si idiot car on sait que des techniques de MITM sur le WAN ça peut se faire (ça avait été démontré il y a une bonne pelletée d'années. Aucune idée si en 2012 c'est toujours d'actualité)

- Au niveau du DNS, idem, le protocole DNSSec existe depuis belle lurette. Qui l'applique ? L'avez vous déjà croisé in-situ ? moi pas. Pourtant il existe. Pourquoi ne pas le rendre obligatoire ? (d'office intégré à l'OS )

- Pourquoi utilise-t-on encore des protocoles sur UDP ("send and pray" comme on disait). Il y a longtemps je veux bien, mais merde on est en 2012 !

- Côté TCP il y a toute la ribambelle que vous souhaitez avec le support SSL : SMTPS, POPS, IMAPS, HTTPS, SFTP, etc
L'argument "ça mobilise trop de CPU" était bon 'avant'. Aujourd'hui on a sur les machines récente du CPU à presque ne plus savoir quoi en foutre. Pourquoi n'y a t il pas quelque chose de tout simple dans nos OS fétiches (Win, Mac OS, Linux) qui déconseille fortement l'utilisateur de s'en passer ?
Exemple : C'est bien gentil d'utiliser le webmail de gmail en httpS, ou d'envoyer via smtpS, et être tout fier qu'il y ait du "cryptage" (ouaaaah), si à l'autre bout le type réceptionne le mail en étant sur un AP WiFi faussement gentil et qui sniff tous les emails qui transitent dans les deux sens ...

- Enfin, du côté des Certificats Numérique (oui je sais il y a différents 'niveaux'), je passe rapidement sur l'idée que tous les citoyens devraient, en même temps que la délivrance de leur carte d'identité, avoir leur propre certificat numérique, lequel permettrait d'être un citoyen moderne et fiable par rapport à l'envoi et réception (et signature) de document numérique (du coup pour de l'IPSec en v6 ça serait pas mal...). Tout ça je veux bien ne pas trop m'y attarder car on me sortira la notion de "coût pour la société" (mouais).
Mais POURQUOI la totalité des serveurs (pas uniquement http) étant utilisés par le public n'ont pas d'office leur certificat numérique (qu'on ne me parle pas de coût, là l'argument ne tient pas). Ainsi, dès qu'un utilisateur irait sur le moteur de recherche Google ça serait en HTTPS. Et dès qu'il cliquerait sur un lien, ça serait de l'HTTPS encore. Et s'il y aurait le moindre problème de certificat, direct il y aurait un message d'alerte.


Toutes ces techniques existent depuis très longtemps.
Si on avait mis tout ça en place il y a 12 ans, les CPU auraient fait la gueule, ok je l'admets volontier. Mais à nous sommes à l'époque des quadri-coeur i7, merde, l'excuse ne tient plus.

Sur le principe théorique, vous connaissez bien tous les points de failles qui peuvent exister dans la chaine (il y en a partout). Si nos OS préférés se mettaient du jour au lendemain à rigidifier dragstiquement tout ça, ça donnerait bien du fil à retordre à certaines personnes ... Imaginez de l'AES 256 bien implémenté à tous les niveaux... Tous vérouillé d'un bout à l'autre du réseau.

A ce moment là seulement d'autres "experts" pourraient se pencher très sérieusement vers la sécurisation de l'OS lui-même ...


Bref, si j'ai donc UNE question à vous poser c'est celle-ci :
=> Avec tout ce qui existe et depuis si longtemps, pourquoi ça n'est pas mis d'office en place partout ?

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 25-10-2012 00:06:24

steph06
Membre Indétronable
Inscription : 07-07-2012
Messages : 168
Site Web

Re : Réflexions sur l'amélioration des sécurités aux différents levels

J'aurai été tenté de répondre naïvement : "C'est parce qu'il y a beaucoup de PME et personnes à leur compte qui vivent de cette insécurité grâce à leur activité professionnel de 'consultant' ." .... mais ça ne tient pas, désolé. ^^


Bref, à qui ça profite ? Pourquoi ?
Ca n'est pas une question de "coût". Ca ne peut pas être une raison de "fénéantise" (non je peux pas y croire).

Le mystère demeure pour moi : POURQUOI


Merci de me donner votre point de vue...

Hors Ligne

#3 25-10-2012 13:27:43

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Réflexions sur l'amélioration des sécurités aux différents levels

steph06 a écrit :

Ca n'est pas une question de "coût". Ca ne peut pas être une raison de "fénéantise" (non je peux pas y croire).

C'est une question de coût, quoi qu'on en dise... Parce qu'il faudra qu'un développeur soit payé pour s'en occuper, et pendant ce temps-là il ne peut pas travailler sur autre chose. Accessoirement, il faudrait que tout le monde joue le jeu, et ça c'est pas gagné... C'est encore une fois le rapport utilité/coût qui fait défaut : oui, "ça serait bien" mais ça ne sera effectivement utile que dans, quoi, 0,1% des cas ? Pas suffisant pour que ça vaille la peine de s'y mettre, il y a le même problème avec des trucs plus importants comme IPv6 : tout le monde est d'accord pour dire qu'il faut y passer, mais personne n'a envie de le faire (coûts "inutiles" puisque ça fonctionne en IPv4...).

Quelques réponses en vrac :

steph06 a écrit :

- On sait qu'un type mal intentionné qui met à disposition un point d'accès WiFi en récoltant des données peut, entre autres, se faire une jolie base de données avec comme clef primaire les adresses MAC (très rares sont ceux qui les spoof dans l'unique but de se mettre à l'abri de ce genre de choses). Si on voudrait être un minimum parano, aujourd'hui rien ne garantie que dans les box des différents FAI il n'y a pas quelque chose de ce style. Pourquoi les OS ne spoof pas l'adresse MAC des différentes interface réseaux, d'emblée, en une adresse MAC aléatoire à chaque 'up' de l'interface (et non basé sur une sorte de numéro de série du constructeur) ?

Parce que si tu spoof systématiquement l'adresse MAC, elle n'est plus forcément "unique au monde et liée à un seul périphérique"... Et puis parfois c'est utile : le serveur DHCP peut se souvenir de la dernière adresse IP attribuée à telle MAC pour lui rendre, par exemple. Utiliser des MAC aléatoires foutrait plus le souk qu'autre chose, et ladite adresse n'aurait plus aucun intérêt. Tout ça pour assouvir la paranoïa d'une ultra-minorité d'utilisateurs : ceux-là savent bricoler un script pour changer d'adresse, les autres s'en contrefoutent et au moins ça respecte les RFC smile

steph06 a écrit :

- Du côté du WiFi, pourquoi voit-on encore du WEP à l'heure où du "WPA + (AES/CCMP)" existe ? Pourquoi les OS classique n'imposent pas d'emblée ce genre de sécurité au niveau de la couche WiFi ?

Pour rester compatible avec les vieux matériels (notamment les routeurs) qui n'ont jamais été changés et ne supportent que le WEP. WEP qui est d'ailleurs en forte régression dans les pays (occidentaux) développés, mais reste présent dans les marchés émergents où les gens s'en foutent et où les attaquants sont encore rares (en plus c'est là qu'atterrissent les vieux invendus). Ca devrait changer avec le renouvellement du matériel mais c'est pas encore gagné...

steph06 a écrit :

- Au niveau IP, là je veux bien reconnaitre que de mettre partout de l'IPSec entre l'ordi et la box c'est un peu la méthode bazouka, lourde à digérer pour le CPU, et finalement pas si utile si on prend au sérieux tout le reste. D'un autre côté, que les FAI rendent ça obligatoire du côté public (entre la box et le WAN) ça serait pas si idiot car on sait que des techniques de MITM sur le WAN ça peut se faire (ça avait été démontré il y a une bonne pelletée d'années. Aucune idée si en 2012 c'est toujours d'actualité)

Généraliser le chiffrement en WAN n'est pas vraiment utile, en tout cas chez nous. Que ce soit sur la paire cuivrée (*DSL), le câble ou la fibre, un MITM est très complexe à déployer, aussi bien physiquement que logiciellement. Rien que pour le demux des flux c'est chaud (si on veut que ça reste transparent), mais en plus il y a déjà une forme de compression et chiffrement (via PPPoA ou PPPoE) sur la couche physique. En ajouter une ne ferait que complexifier le système, perdre de la bande passante et épuiser les gros routeurs des FAI qui doivent traiter des centaines de connexions IPSEC. Tout ça, encore une fois, pour une utilité très relative... Personne n'a intérêt à faire un MITM sur le WAN pour un particulier, et les forces de l'ordre peuvent passer par les FAI (c'est plus facile). Donc rapport utilité/coût défavorable wink

steph06 a écrit :

- Au niveau du DNS, idem, le protocole DNSSec existe depuis belle lurette. Qui l'applique ? L'avez vous déjà croisé in-situ ? moi pas. Pourtant il existe. Pourquoi ne pas le rendre obligatoire ? (d'office intégré à l'OS )

Là on est d'accord, c'est une évolution qui vaudrait la peine, même si le problème reste encore marginal pour l'instant. Mais encore une fois, les opérateurs ne voient pas l'intérêt de payer pour le déploiement d'une technologie dont les utilisateurs n'entendront jamais parler... Donc ils préfèrent laisser quelques victimes se faire détourner (par DNS), de toute façon c'est pas eux qui paient les pots cassés.

steph06 a écrit :

- Pourquoi utilise-t-on encore des protocoles sur UDP ("send and pray" comme on disait). Il y a longtemps je veux bien, mais merde on est en 2012 !

Parce que c'est simple, rapide et économe en bande passante ! smile c'est beaucoup moins contraignant que le TCP, et libre à toi d'implémenter une vérification au niveau applicatif (couche supérieure) pour avoir les même fonctionnalités que le TCP. TCP qui est d'ailleurs lourd et mal conçu pour les liaisons non)fiables (tout ce qui est radio typiquement : WiFi, 3G, LTE,...). Et puis pour un certain nombre d'applications, tu peux largement te permettre de perdre quelques paquets, en vidéoconférence par exemple, l'utilisateur final ne le remarquera même pas.

steph06 a écrit :

- Côté TCP il y a toute la ribambelle que vous souhaitez avec le support SSL : SMTPS, POPS, IMAPS, HTTPS, SFTP, etc
L'argument "ça mobilise trop de CPU" était bon 'avant'. Aujourd'hui on a sur les machines récente du CPU à presque ne plus savoir quoi en foutre. Pourquoi n'y a t il pas quelque chose de tout simple dans nos OS fétiches (Win, Mac OS, Linux) qui déconseille fortement l'utilisateur de s'en passer ?
Exemple : C'est bien gentil d'utiliser le webmail de gmail en httpS, ou d'envoyer via smtpS, et être tout fier qu'il y ait du "cryptage" (ouaaaah), si à l'autre bout le type réceptionne le mail en étant sur un AP WiFi faussement gentil et qui sniff tous les emails qui transitent dans les deux sens ...

Il faut bien admettre que le SSL est en train de devenir la norme, en tout cas pour les applications où ça vaut la peine. Encore une fois, il y a des cas où personne n'est demandeur d'une sécurité renforcée, le surf de base sans identifiants par exemple ou bien le FTP traditionnel. C'est vrai que du côté utilisateur ça ne change rien, mais côté serveur où c'est la même unité qui doit se taper le (dé)chiffrement et le maintien de centaines/milliers de connexions SSL, on sent la différence. Les gros hébergeurs peuvent se le permettre (et encore), mais si le petit webmaster amateur dans son garage a peut-être autre chose à faire de ses soirées. Autant en environnement hostile (HotSpot WiFi) je peux comprendre la nécessité, autant sur une connexion sûre ça n'a encore rien d'indispensable.

steph06 a écrit :

- Enfin, du côté des Certificats Numérique (oui je sais il y a différents 'niveaux'), je passe rapidement sur l'idée que tous les citoyens devraient, en même temps que la délivrance de leur carte d'identité, avoir leur propre certificat numérique, lequel permettrait d'être un citoyen moderne et fiable par rapport à l'envoi et réception (et signature) de document numérique (du coup pour de l'IPSec en v6 ça serait pas mal...). Tout ça je veux bien ne pas trop m'y attarder car on me sortira la notion de "coût pour la société" (mouais).
Mais POURQUOI la totalité des serveurs (pas uniquement http) étant utilisés par le public n'ont pas d'office leur certificat numérique (qu'on ne me parle pas de coût, là l'argument ne tient pas). Ainsi, dès qu'un utilisateur irait sur le moteur de recherche Google ça serait en HTTPS. Et dès qu'il cliquerait sur un lien, ça serait de l'HTTPS encore. Et s'il y aurait le moindre problème de certificat, direct il y aurait un message d'alerte.

Pour le certificat numérique personnel, ça existe déjà dans certains pays (via la carte d'identité et sa puce embarquée, qui contient ledit certificat). Mais le fournir de façon dématérialisée à chacun compliquerait un système où certains ont déjà du mal à s'en sortir, et surtout ça augmenterait le risque de vol d'identité !
En ce qui concerne le HTTPS généralisé, le problème se situe dans le modèle de validation : pour que le certificat fourni aie du sens, il faut qu'il soit vérifié/validé/approuvé par une autorité en qui les gens ont confiance. N'importe qui peut déjà générer un certificat SSL, mais pour ne pas faire hurler le navigateur il faut que ce dernier soit signé numériquement par une boîe genre Verisign, et lesdites boites font payer ce service. Tu comprendras d'ailleurs qu'elles s'accrochent au modèle actuel, mais s'il fallait généraliser les certificats, le boulot de validation et de maintenance (rejeter les certificat périmés,...) serait immense pour un résultat peu visible...

steph06 a écrit :

Imaginez de l'AES 256 bien implémenté à tous les niveaux... Tous vérouillé d'un bout à l'autre du réseau.

Tu vas voir la gueule des flics, enquêteurs, contre-terroristes, FBI, CIA, NSA (ah non, pas NSA) si on généralise le chiffrement à tous les étages big_smile

Hors Ligne

#4 25-10-2012 13:47:47

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : Réflexions sur l'amélioration des sécurités aux différents levels

[Je continue ici sinon ça va vraiment faire long]

Il y a aussi un autre problème dont on parle assez peu, c'est l'illusion de la sécurité. Si on généralise le chiffrement partout, on pensera qu'on est d'office safe alors que ce n'est pas le cas... Il y aura toujours une faille quelque part, et renforcer la sécurité ne fait que réduire la menace : les gens les plus "dangereux" seront encore capables de contourner les protections mais personne n'y fera gaffe.

Un exemple que j'ai vu passer il y a quelques temps. Un chercheur en sécurité proposait de remplacer tous les Hotspots ouverts du monde par des réseaux WPA avec une clé par défaut commune et connue de tous. Tout le monde peut continuer à se connecter, mais le risque de sniff est méchamment réduit. Réduit, mais loin d'être nul : si tu connais la clé (et que tu as un handshake), tu peux déchiffrer tout le trafic. Donc les gens compétents n'auront aucun problème pour contourner la sécurité, alors que les utilisateurs se croient blindés (donc ils surfent en HTTP plutôt que HTTPS, etc...).

Autre exemple : kes certificats numériques. Ouaiis, généralisons les certficats, foutons du HTTPS partout, et si le navigateur se plaint c'est qu'il y a un problème. Belle idée sur le papier, mais j'en reviens à la validation et la confiance : chaque navigateur embarque une liste de "sociétés de confiance" dont les signatures sont acceptées (sous Firefox c'est dans "Options > Avancé > Chiffrement > Afficher les certificats"). Jettes-y un oeil, tu verras que la liste est longue. Est-ce que tu es certain de pouvoir faire confiance à tous ces gens ? Si n'importe lequel d'entre eux valide un certificat, ton navigateur l'accepte sans se poser de questions... Et qu'est-ce qui se passerait si "on" introduisait discrètement un nouveau tiers de confiance, au milieu de cette liste que personne ne regarde ? Il y a déjà eu des précédents !
- une boite qui ajoute son propre certificat de validation sur tous les postes de l'entreprise
--> Je suis content d'utiliser CertPatrol [sebsauvage.net]
- Microsoft qui ajoute le gouvernement tunisien comme tiers de confiance sur tous les WIndows vendus en Tunisie (et ailleurs ?)
--> Tiens, regardez qui s'est invité [sebsauvage.net]
(remarquez, si j'ai bien vu il y a le certificat du gouvernement Taiwanais dans Firefox)
Conséquence ? Ce "tiers de confiance qui ne l'est pas" peut produire un nouveau certificat pour, disons, gmail.com, et rediriger l'utilisateur vers une fausse pas Gmail avec un faux certificat, signé par lui (ça marche aussi avec le site de ta banque...). Hé ben le navigateur ne bronchera pas, tu auras le "HTTPS" dans la barre d'adresse et le petit cadenas rassurant, toutes les signatures sont valides, tous les indicateurs sont au vert et pourtant tu es en plein MITM sans le savoir. Ce qui peut donner des conséquences fâcheuses voire graves : déchiffrement transparent du HTTPS dans les entreprises, ou par les gouvernements pas toujours sympas avec ceux qui ouvrent leur gueule...

Tu vois où je veux en venir ? Taper de la sécurité à tous les étages nous fait perdre la méfiance qu'on devrait avoir sur le net, on se sent en sécurité et on ne fait plus gaffe, alors que le danger n'a pas vraiment disparu wink

Dernière modification par antares145 (25-10-2012 13:48:42)

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.024 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]