Autoblog de Hoper - TDC

Ce site n'est pas le site officiel de Hoper - TDC
C'est un blog automatisé qui réplique les articles de http://hoper.dnsalias.net/tdc/

les machines de vote : hyper sécurisées

Thu, 25 Jun 2015 17:02:00 +0100 - (source)

J'ai l'habitude de gueuler dans le vide mais...

Il est très facile de gueuler contre l'insécurité du vote électronique. Il est un peu moins simple (et surtout beaucoup plus long) de vraiment prendre le temps de se renseigner un minimum sur le sujet.

En vrai, elles sont sécurisées ces machines ?

Donc je me suis demandé ce qu'il en était des machines de vote. Je ne parle pas de voter sur Internet. Ca, tout le monde sens bien que sécuriser ce truc serait mission impossible. Non, uniquement les machines électroniques certifiées, officielles, tout ça. Les trucs utilisés en France lors de vrais élections. Ca vaut quoi niveau sécurité ? Alors j'ai pris mon petit PC à deux mains, et j'ai commencé à galérer, parce que comme toutes les spécifications sont confidentielles. C'est pas cool pour trouver de l'info. Mais un petit mail gentil au /tmp/lab, et j'ai eu une réponse qui m'a mis sur la (bonne) piste.

Voila donc le résultat de mes recherches. Enfin, nos recherches en réalité, mais on va dire que j'en ai fait les deux tiers :p Cinq pages, bourrées de références qui montrent, devinez quoi ? Que les machines à voter, c'est vraiment de la merde. Oui. Des fois, on passe du temps pour finalement pas apprendre grand chose...

machineavoter.jpg

Les liens qui vont bien

Pour ceux qui n'aurons ni le temps ni le courage de lire ces cinq pages, je vous invite à aller jeter un coup d’œil à ces trois rapports et vidéos (ou mieux à la dernière page de ce mini rapport) :

http://wijvertrouwenstemcomputersniet.nl/images/9/91/Es3b-en.pdf

http://citpsite.s3-website-us-east-1.amazonaws.com/oldsite-htdocs/pub/ts06full.pdf

https://indiaevm.org/evm_tr2010-jul29.pdf


http://www.veoh.com/watch/v505707dgewqMsB

https://www.youtube.com/watch?v=kDEBMp6uwdc

https://www.youtube.com/watch?v=ZlCOj1dElDY#t=214

Évidement en cherchant bien il y a beaucoup d'autres trucs tout aussi déprimant à voir.

Par exemple ça...


kclean 3.9 : 1 bug et une mise à jour

Mon, 15 Jun 2015 18:05:00 +0100 - (source)

Juste un petit billet pour vous dire que, lentement et avec toujours pas mal de retard, kclean continu son petit bonhomme de chemin. Il semble en effet que ce script rende toujours service alors... Tant que ce sera le cas j'essayerai de le maintenir autant que possible. Bref, la version 3.9 est disponible. Elle corrige deux problèmes importants. Premièrement j'ai modifié les dépendances de ce paquet car depuis la version 3.7 il nécessitait gnome-sudo. Or, il semble que le bon nom de paquet soit plutot gksu... (J'étais bourré ou bien ?) Pour ceux qui utilisent kclean en mode texte (serveur...) cela ne pose pas trop de soucis puisque le paquet gksu ne demande pas grand chose (cela ne va pas vous installer l'ensemble gnome...). Et pour les utilisateurs de kubuntu, cela leur permettra, normalement, d'avoir un lanceur opérationnel.

Surtout, de nouveaux types de paquets "noyaux" ont fait leur apparitions pour la gestion des bios UEFI et il fallait les prendre en compte. C'est maintenant chose faite. Un grand merci à nany pour son assistance aux utilisateurs de ce script et pour m'avoir indiqué le problème et sa correction. Un problème que je ne suis pas en mesure de reproduire n'ayant pas ce type d'architecture à disposition, mais il est probable que le soucis sera bien corrigé.

N'hésitez surtout pas à m'envoyer un petit message si vous rencontrez des difficultés avec cette version 3.9, ou à les signaler sur le thread dédié.


Quel monde merveilleux que l'on nous tente de imposer la...

Tue, 09 Jun 2015 14:49:00 +0100 - (source)

Je me sens tellement plus en sécurité depuis l'attentat de Charlie Hebdo. Depuis que la France est descendue dans la rue pour exprimer son attachement à la liberté d'expression. Depuis la loi pour le renseignement et tout le reste... Pas vous ?


Chères élites,

Vous qui pensez pouvoir décider à notre place alors que vous n'avez ni les compétences, ni la légitimité pour le faire. Vous qui trichez, mentez, changez d'avis comme de chemises à longueur de journée dans le seul but de conserver le pouvoir que vous procure vos richesses et vos cercles d''amis" ayant le même objectif. Vous qui voyez le peuple comme un enfant immature qu'il faudrait éduquer (quand ce n'est pas carrément un sauvageon à "mater"). Vous qui pensez pouvoir continuer à manipuler l'opinion à l'aide de vos chiens de gardes...

Sachez que c'est vous qui vous faite manipuler. Vous avez choisi de suivre coûte que coûte la voie du plus fort, les états unis. Après nous avoir infligé leur modèle économique désastreux pour l'écologie, l'égalité social etc, avez vous vraiment l'intention de nous imposer leur puritanisme de merde ?

Je vous méprise. Mais votre bêtise, votre aveuglement et votre totale incompréhension du monde numérique finira par causer votre perte. Vous avez pu manipuler les foules pendant des dizaines d'années car vous maîtrisez les seuls médias existants. Presse, radio, télévision n'avait pas de secret pour vous. Il suffisait de nommer les bonnes personnes, de nouer les bonnes amitiés. Mais ce ne sera plus le cas avec Internet. Quel que soit votre puissance actuelle, votre déclin est entamé. Et nous nous délecterons de votre chute.

En attendant, un très grand merci à Numerama et aux rares autres acteurs qui essaye d'alerter le commun de mortel. Un grand merci aussi pour les deux urls, xbooru.com et chan.sankakucomplex.com (ne pas hésiter à en proposer d'autres en commentaire hein :o). Ce "blocage" français n'est, comme pour piratebay, qu'une vaste blague basé sur une mauvaise réponse du serveur DNS de votre fournisseur d'accès complice (et uniquement destiné à ceux qui n'ont jamais essayé de comprendre le fonctionnement d'Internet). En revanche, tous celles et ceux qui ont assistés à mes présentations sur les bases de l'informatique savent parfaitement qu'il suffit de modifier le serveur DNS pour retrouver l'accès à ces sites "bloqués." (Je ne fait plus la promotion des présentations de ce genre, mais je continu à raison de 2 ou 3 fois par ans, toujours dans le 78).

De vulgaires dessins... Simplement pour habituer le citoyen de base à se retrouver bloqué devant un site web. Simplement pour vous permettre dans quelques mois de museler n'importe quel discours critique. Vous venez nous faire chier pour des putains de dessins. Dans tous les cas, on vous emmerde. Je vous emmerde vraiment. Et celui la, il est cadeau rien que pour vous :


130826035745167940.jpg


Accessoirement, je rappel que notre bien aimé gouvernement, alors qu'il était soi disant avec nous dans la rue pour défendre la liberté d'expression après les attentats de janvier, n'avait déjà rien trouvé de mieux peu de temps avant que de censurer le travail d'un dessinateur humoriste dont les œuvres sont à mon avis bien moins violentes que les dessins de Charlie Hebdo. Comme d'habitude je recopie pour mémoire et pour éviter que ça disparaisse un jour :

pirate_sourcils.png

J'ai évidement conscience de ce que je fais subir à ce pauvre dessin, l'atteinte à sa dignité, tout ça. Je mesure aussi la gravité de ce que je suis en train de faire en essayant de défendre les miettes de libertés qu'il reste dans ce pays. Note aux forces de l'ordre : Ce serveur est auto hébergé. Cela signifie que pour mettre ce blog hors ligne vous allez devoir venir chez moi pour le débranchez vous même. Trouvez mon adresse ne sera pas un problème. Pour le reste je vous attend de pieds ferme.

PS : Mais surtout continuez à créer des listes d'url à "bloquer". Elles finiront forcément par être diffusées d'une façon ou d'une autre, et on trouvera de jolies perles à l’intérieur :p

EDIT : Dans une MAJ, Guillaume Champeau estime "probable" que ce soit en raison de la présence de photo que l'un des deux sites ai été fermé. Je ne partage pas son optimisme. D’abord parce que nos dirigeants (et certains flics) sont bien assez crétins pour vouloir fermer un site de dessins. (Quand on ferme un blog qui explique comment casser une clef WEP, je vois plus vraiment de limite au gouffre qui leur sert de cerveau). Ensuite parce que je ne vois pas de photos "hard" sur le second (Même si j'avoue ne pas y avoir passé la journée non plus hein...).


100 pages sur burp, sqlmap et metasploit (ou comment attaquer votre banque en ligne de A a Z)

Sat, 16 May 2015 10:31:00 +0100 - (source)

Contenu

Il y a quelques semaines, j'avais publié un document assez complet sur sqlmap, qui était mon sujet d'étude. Cette fois-ci c'est la totale que je vous propose. Par rapport à la version précédente, elle regroupe le travail de quatre autres élèves et ajoute donc deux gros chapitres sur burp et metasploit. Le chapitre 2.4.4 à aussi été inséré à la fin de ma section pour décrire comment obtenir un véritable shell root à partir d'un webshell. Enfin et de façon plus anecdotique, le format à changé pour uniformiser nos travaux (tout à été mis sous LaTeX).

Cette centaine de page représente donc le travail de cinq élèves en mastère spécialisé en sécurité informatique, dont je préfère taire les noms (supprimés dans le document). En effet je tiens à rester le seul responsable de cette publication (on sait à quel point les forces de l'ordre peuvent avoir du mal avec les choses simples)

Motivations

Il ne s'agit pas ici de décrire une attaque totalement obsolète comme le cassage de clefs WEP. (au hasard hein...) Il s'agit de connaître les outils et techniques utilisables actuellement pour attaquer (sous entendu vérifier la sécurité...) de systèmes réels et parfois protégés comme des banques, des systèmes industriels critiques etc. En parlant de ces fameux systèmes SCADA, La situation réelle est bien pire que tout ce que vous pouvez imaginer. Parce que les produits sont vieux et jamais mis à jour (Beaucoup d'équipement SCADA actuellement en production seraient vulnérables dans leur interface d'admin web à des injections aussi basiques que le 1=1). Mais surtout parce que les responsables n'ont pas la moindre idée de la façon dans tout cela fonctionne. Nous avons rencontrés des employés de ANSSI qui nous ont expliqués à quel point il est difficile de faire bouger les choses. A quel point les dirigeants restent sceptiques tant que leur usine n'a pas été réellement mise hors d'état de fonctionner (toutes machines arrêtées etc). A quel point le monde industriel est éloigné du monde de l'informatique. Même le terme "sécurité" n'a pas le même sens ! Pour eux, la sécurité d'une machine c'est sa capacité à ne pas être la cause d'accidents, à ne pas mettre en danger l'employé qui va la manipuler. Le fait qu'une personne malintentionné pourrait la reprogrammer à distance ne leur viendrai même pas à l'idée...

Or tout est automatisé, absolument tout. Et pour pouvoir superviser et piloter tout cela à distance, tout ces systèmes se retrouvent accessibles à partir d'internet, via des accès VPN dans le meilleur des cas...

Ce que vous trouverez dans ce document

Ce document vous expliquera le fonctionnement des trois logiciels les plus utilisés aujourd'hui pour le pentesting "manuel". Il vous donnera les bases pour comprendre les vulnérabilités des systèmes, ou vérifier vous même leurs sécurités (en vous souvenant bien sur que c'est totalement illégal). C'est probablement pour cela que les responsables peuvent se permettre une incompétence crasse. Après tout, tant qu'il restera interdit de leur mettre la tête dans le caca...

Ce que vous n'y trouverez pas

Le plan de fabrication d'une bombe artisanale, les contacts pour vous procurer de faux papiers afin de partir faire le Jyad, les schéma en 3D d'armes à feu indétectable, les cartes d'implémentations des sites sensibles, les agendas de personnes politiques importantes, le plan de vol des avions privés des dirigeants de sony, ou la localisation actuelle de Snowden.

Conclusion

Voila, je pense avoir fait le tour. Vous voulez nous surveiller ? Pas de soucis, comptez sur nous pour vous donner du boulot. Dernière précision : Avec tout le respect que j'ai pour ce blogueur condamné (soutien total, respects, tout ça), en ce qui me concerne, le "plaider coupable", vous allez pouvoir l'imprimer en deux exemplaires, le rouler en boule, choisir un orifice et vous l'enfoncer bien profond.


Loi pour le renseignement : Manifestation sous la pluie

Mon, 11 May 2015 13:18:00 +0100 - (source)

Ma première manifestation sous une pluie battante. C'était la semaine dernière contre la loi pour le renseignement. Malgré le temps, je pense que nous devions être entre 500 et 1000, place des invalides, le 5 mai dernier. J'ai été surpris de voir à point la population mobilisée était hétéroclite. Tous les ages, toutes les origines, toutes les classes sociales étaient présentes.

Le rassemblement à commencé sous les arbres et les parapluies.

Loi_renseignement_1

Loi_renseignement_2

Puis les représentants des différentes associations et syndicats ont profité d'une accalmie pour prendre la parole (Syndicat de la magistrature, Amnesty International, Quadrature du net, Ligue des droits de l'homme etc). J'ai enregistré les différents discours mais il n'y a rien de très intéressant à mettre en ligne. Nous sommes tout de même plusieurs à avoir souris lorsque le représentant de la CGT (merci à eux pour les moyens techniques) à parlé de "logarithme" alors qu'il voulait très probablement parler d’algorithmes. Décidément, les politiques et la technologie, il faut croire que ça n'ira jamais bien ensemble.

Loi_renseignement_3

Loi_renseignement_4

Et pour terminer sur quelque chose de pas super gai, sachez qu'il y avait des gens présents qui non seulement se fichaient éperdument de cette loi, mais qui étaient carrément la pour profiter de la distraction offerte, afin de fouiller dans les sacs à dos. Mon porte feuille à disparu et je suppose qu'il n'a pas été le seul à disparaître ce soir la. Voler l'argent (et les papiers !) de manifestants contre une loi de surveillance, avouez que c'est un peu.... Bref. J'en ai pour des jours de démarches pour tout faire refaire, sans parler de la perte financière associée :(

Encore une fois, je me suis demandé quel pourcentage de la population mérite finalement les efforts que d'autres (associations...) font pour eux.


Comprendre les injections SQL avancées

Wed, 15 Apr 2015 09:37:00 +0100 - (source)

J'ai conscience que ce blog tourne un peu au ralenti cette année. D'un billet par semaine, nous sommes passés à un tout les deux mois, et encore. Mais je ne suis pas resté sans rien faire ! Je vous propose aujourd'hui d'en apprendre un peu plus sur les injections SQL, et sur le fonctionnement interne de sqlmap. Je viens en effet de terminer la rédaction d'une petite étude sur la question.

Bien que j'ai essayé d'être le plus didactique possible, les 20 pages de ce dossier sont plutôt destinés à des gens qui connaissent déjà un peu le langage SQL, et qui ont déjà entendu parler des injections. J'y explique les principaux types d'attaque : Empilement de requête, union, basées sur les messages d'erreur, en aveugle et en aveugle total (time based). J’aborde aussi les mécanismes mis en œuvre pour l’exécution de code à distance. Enfin je parle des techniques d'évasions utilisables lorsque l'on est en face de filtres applicatifs (WAF). (NB : Certains exemples de ce chapitres sont tirés d'une présentation à laquelle j'avais assisté chez DenyAll. Merci à leur directeur technique qui maîtrise parfaitement son sujet)

EDIT : Vous trouverez par ici une version beaucoup plus complète de ce document. Une version qui contient également deux gros chapitres sur les logiciels burp et metasploit...


myst : le "blackhat tool" de madame michu

Wed, 11 Feb 2015 10:48:00 +0000 - (source)

myst (my snifing tool) est un petit outil ayant trois fonctions simples:

Tout cela en utilisant l'attaque ancestrale du "Man in the middle" par empoisonnement du cache arp de la victime. Mais puisque ce truc ne révolutionne rien du tout...

Pourquoi utiliser ce bidule ?

Petit exemple d’utilisation

Vous arrivez chez des (futurs anciens) amis, et avez envie de voir un peu ce qu'ils ont chez eux. Connecter vous en filaire ou en wifi sur leur réseau et lancez un scan : sudo myst -s

Chez moi, vous obtiendriez quelque chose comme ça :

$ sudo myst -s
Guessing values...
Interface :	eth0
IP/netmask :	192.168.1.12/24
Gateway    :	192.168.1.254
Usually scan will take less than 10 seconds. Please be patient.
6 hosts founds :
192.168.1.2	?
192.168.1.5	?
192.168.1.7	http://192.168.1.7:1107/DeviceDescription.xml
192.168.1.101	http://192.168.1.101:62580/
192.168.1.253	http://192.168.1.253:49152/InternetGatewayDevice.xml
192.168.1.254	http://192.168.1.254:52424/device.xml

Les points d’interrogations sont des machines qui n'ont pas de services UPNP actifs. Ici il s'agit d'un serveur sous linux et d'un PC sous windows (correctement configuré pour désactiver tous ces machins). Pour les autres, c'est que du bonheur. Les urls fournies vous donneront des informations complètes sur l'équipement en question (type, marque, modèle, possibilité, configuration etc.) Dans la majorité des cas vous n'avez plus qu'a aller récupérer le mot de passe admin par défaut sur le net... (ce qui, chez moi, ne fonctionnera pas ;)

Supposons maintenant que vous ayez envie de regarder quels genre de sites va consulter votre "ami". La commande sera : sudo myst -w IP (en ajoutant un -d si vous voulez visualiser tout le contenu du trafic http, ou un -a si vous voulez aussi suivre les réponses du serveur). A ce moment, vous découvrez avec horreur qu'il passe son temps à visionner des vidéos de propagande de la RIAA. Pour son propre bien, et parce qu'il n'a finalement pas su sécuriser correctement son installation (un délit puni par la loi je vous rappel), "déconnecter" le vous même : sudo myst -k IP

Installation

Comme d'habitude, vous avez le choix entre un paquet au format deb (qui devrait fonctionner sous debian et sous ubuntu), et uniquement le script en python. Script qui ne fonctionnera pas si vous n'installez pas les pré-requis suivants :

sudo apt-get install tcpdump python-scapy tcpflow gupnp-tools

Le futur

Écouter ce qui passe en clair c'est bien. Mais 99% du trafic passe maintenant par ssl. Je voudrai donc réussir à associer myst et sslstrip. Mais ce sera pour plus tard...

Conclusion

Have fun !

PS : Si une personne vous rapproche d'avoir "écouté" ses conversations, répondez lui d'un air entendu, et sur ton un poil provocateur : "Non mais tu sais, la vie privée de nos jours, ça ne veut plus dire grand chose. Entre les réseaux sociaux, les services de renseignements qui se refilent nos données personnels, et les mastodontes du web qui nous vendent comme du bétail... Franchement qui s'en souci ? Tant que tu n'a rien à te reprocher..."


"Blocage" de piratebay : Merci pour le fou rire.

Fri, 06 Feb 2015 18:30:00 +0000 - (source)

Introduction

Voila plusieurs jours que j'attendais le blocage, paré à "faire feu" (voir comment il était possible de le contourner etc). Et rien. En fait, le blocage était déjà en place, sauf que je ne m'en étais même pas rendu compte. Oui parce que, les serveurs dns, chez Free, il y a un moment (est-ce que c'est toujours le cas ?) ou ils passaient leur temps à tomber. Du coup, ça fait des années que j'en utilise d'autres. Soit ceux de Google par ce que l'ip est facile à retenir (8.8.8.8) soit ceux d'opendns etc.

Pour une fois je vais donc pouvoir passer tout de suite à a conclusion :)

Conclusion :

Je m’attendais à un truc "compliqué" genre au moins deux ou trois clics comme la fois précédente. Mais la c'est juste à mourir de rire. Même si le nombre de gens qui utilisent encore piratebay doit être bien faible, ça fait toujours plaisir de pouvoir faire un bon gros doigt à tous ces enfoirés "d'ayants droit à que dalle" et aux "élites" qui acceptent leurs chèques valises pleine de cash. Allez bien tous vous faire foutre. Vous tous. Les mafias corporatistes, les gouvernements et vous aussi, les flics, qui n'avaient visiblement rien de mieux à faire que d'emmerder les petits vieux qui en sont encore à graver leurs films sur DVD.

La technique. (Non mais vous êtes sérieux la ?)

Bon allez, je suis obligé de l'écrire sinon ce billet ne serait pas complet. Depuis le fameux "blocage", les serveurs DNS (ceux de Free en tout cas) renvoi la mauvaise adresse 127.0.0.1 quand on les questionnent sur, par exemple, l'ip de "thepiratebay.se". (Pour le voir, un simple ping suffit). Il suffit donc de modifier le serveur DNS à interroger et le tour est joué. Pour ceux qui ont une interface graphique, allez dans "modifications des connexions". Double cliquer sur votre connexion, allez dans l'onglet "Paramètres IPV4" et à la place de "Automatic DHCP", choisissez "Adresses automatiques uniquement (DHCP)". Ensuite, sur la ligne des serveurs DNS, indiquez l'ip de votre choix (voir plus bas).

Pour ceux qui sont en ligne de commande, je rappel que le fichier à éditer s’appelle : /etc/resolv.conf

Éditer donc simplement ce fichier et laissez uniquement la ligne suivante :

nameserver 80.67.169.12

Enregistrer le fichier, et c'est terminé. Refaite un ping et admirez le résultat. Redémarrez votre ordinateur (firefox à un cache un peu capricieux) et adieu le "blocage".

EDIT : IP modifiées, je met celle du DNS de FDN plutot que ceux de google... EDIT 2 : Pour ceux qui sont encore sous windows, vous trouverez l'explication partout, par exemple ici.


Informatique quantique et cassage de clefs

Sun, 25 Jan 2015 10:30:00 +0000 - (source)

J'ai eu la chance de pouvoir assister, vendredi dernier à l'ISC, à une présentation sur l'état actuel de l'informatique quantique "dans la vraie vie". Renaud Lifchitz, chercheur en sécurité chez Oppidia, avait eu la bonne idée de refaire, mais cette fois ci en français, la présentation qu'il avait déjà faite à la NoSuchCon.

Et a mon avis, pour pouvoir comprendre un peu de quoi on parle, avoir les explications (et pouvoir poser des questions etc) en français, ça change tout :p (Et non je suis pas une quiche en anglais).

dt120417.gif

Vous trouverez la vidéo faite à la NSC ainsi que les slides ici. (Slides sont aussi disponibles sur slidehsare).

Et donc on en est ou ?

Les ordinateurs quantiques dans le monde existent mais se comptent sur les doigts d'une main. Google en a un, qu'il partage avec la NSA. Et il y a peu être une ou deux universités équipées. Et encore, il faut distinguer deux types d'ordinateurs quantiques. Les "vrais" et les faux. Les vrais permettent vraiment d'implémenter n'importe quel algorythme quantique alors que les "faux" ne sont conçus que pour résoudre un type de problèmes bien particulier (recherche d'une fonction optimale ou des meilleurs solutions ou quelque chose comme ça...)

Les "vrais" ordinateurs travailleraient sur 20 a 30 qbits au maximum. Mais, et la c'est intéressant, ils évoluent à peu près à la même vitesse (loi de Moore) que les ordinateurs traditionnels. En partant de cette hypothèse (qui pour le moment se vérifie donc), le chiffrement symétrique sera "menacé" dans 10 ou 15 ans. Le chiffrement asymétrique dans 25 ou 30. MAIS, il y a un gros MAIS...

Pour le chiffrement symétrique, on a déjà mathématiquement prouvé que le meilleur algorithme quantique de recherche (en racine de N) avait déjà été trouvé. Du coup, il suffira de doubler la taille de la clef (passer de l'AES 128 à de l'AES 256) et plus de problèmes.

En revanche, pour le chiffrement asymétrique, qui repose sur des problèmes mathématiques comme la factorisation de grand nombre ou le logarithme discret, la le système sera complètement cassé. Augmenter la taille de la clef ne devrait pas changer grand chose. Donc, il y a vraiment un gros soucis, et des personnes essayent actuellement de trouver de nouveaux algo de chiffrement qui seront capables de résister à l'informatique quantique.

Rappels sur le chiffrement symétrique/asymétrique

Le chiffrement symétrique et celui qui est utilisé pour chiffrer les communications, les disques durs etc. On "transforme" simplement la donnée pour la rendre incompréhensible, mais cette transformation est réversible si on connaît la bonne clef.

Le chiffrement asymétrique, très consommateur en calcul, n'est utilisé que pour chiffrer de toute petite quantité de données. C'est le principe des signatures électronique. Surtout, il est utilisé pour réaliser les échanges de clef. Quand vous cous connectez sur un site en https, la première étape consiste à "négocier" une clef entre les deux machines. La on utilise du chiffrement asymétrique. Une fois que les deux machines se sont mises d'accord sur une clef, cette dernière est utilisée pour chiffrer symétriquement le reste de la communication.

Autrement dit, et même si il existe des cas ou on fait juste du chiffrement symétrique (quand vous chiffrez votre disque dur avec un mot de passe), la plupart du temps on utilise une combinaison des deux techniques de chiffrement.

Pour le fun, la crypto c'est un peu le sujet de la majorité de mes cours actuellement. Mon dernier TP, à été de réaliser l'une des attaques décrite dans ce document. (Cryptanalyse différentielle d'un blockcipher... Dit comme ça, ça en jette non ? :)

Conclusion

Les jours de RSA sont comptés. Et les chercheurs ont 20 ou 30 ans pour trouver autre chose. Au boulot :p


Charlie : La faute à qui ce coup ci ?

Fri, 09 Jan 2015 07:08:00 +0000 - (source)

Alors, je prend les paris, Internet ou les jeux vidéos ? Moi je vote les deux. Internet dans un premier temps (je l'ai déjà entendu évoqué hier), puis quand on les aura retrouvé, il y en aura bien un des deux qui aura au moins joué à pacman une fois dans sa vie. Comment, ne pas y voir la source de cette agressivité, et de ce coup démesuré pour la course poursuite...

Mes pensées vont, bien sur, à toutes les personnes qui vont êtres emmerdées durant les prochains jours, dans les transports ou ailleurs, à cause du "renforcement de la sécurité". (A ce sujet, je suis à 200% avec la dernière citation indiquée par Zythom)

Blague à part, j'ai les boules. Pas en pensant à ces deux abrutis. De tels tarés sont fort heureusement ultra minoritaire dans notre société. Ce qui me fout vraiment les boules, c'est de penser à tout ceux qui sont en train secrètement de se dire "Quand même, ils l'avaient bien cherché". Pour ceux la je dois aujourd'hui faire une petite mise au point. Si jamais j’entends une personne prononcer tout haut ce genre de discours en face de moi, je lui défonce le crâne. Et cela pour deux raisons :

Par respect pour ses croyances et sa vision du monde

Ou il est donc logique et normal que si elle dit un truc qui ne me plaît pas, je lui tombe dessus avec la plus grande violence.

Dans une démarche purement scientifique

Afin de constater, de visu, si cette personne est normalement constitué ou si quelque chose d'autre n'aura pas pris la place de son cerveau.

Conclusion

Je fais parti de la génération Dorothée. Cabu était comme un ami d'enfance. Et il ne faut aucun doute que toutes les personnes qui ont étaient assassinés étaient des gens bons et bienveillants. Nous ne pouvons que pleurer ensemble. Tenter de contenir ce dégout, cette colère qui est en nous. Sans suivre l'exemple de nos merveilleux dirigeants qui, si j'ai bien tout suivi, ont commencé leur démonstration d'unité par l'exclusion d'un parti pour la manif de dimanche...

PS : Tout ceux qui me connaissent savent que je ne ferai jamais de mal à qui que ce soit (mais venez pas me faire chier quand même parce que j'ai bien la rage la). Surtout, j'ai toujours défendu une liberté d'expression totale et absolue. Oui il est insupportable de lire certaines conneries en ce moment sur le net. D'un autre coté, laisser ces cons l'ouvrir restera longtemps la meilleure façon de les repérer.

charlie.jpg


Powered by VroumVroumBlog 0.1.32 - RSS Feed
Download config articles