23 mai

Trick.ly raccourci vos URLs et les protège avec un mot de passe

Catégorie web  |  Tag , , ,   |  2 Commentaires

Bon, je ne suis pas sûr de la grande utilité de ce service dont toute l’essence est dans la tagline: “Trick.ly helps you share secrets” (mais si c’est secret, pourquoi le partager ?). Il consiste en un réducteur d’URLs (à la bit.ly), avec la particularité de pouvoir y associer un mot de passe, de telle sorte que seules les personnes à qui vous aurez communiqué ce sésame pourront reconstituer l’URL d’origine et y accéder.

Par exemple, voici un lien totalement secret que personne ne doit lire (j’vous l’dit à vous, mais rien qu’à vous, le mot de passe, c’est “thisissecret”): http://trick.ly/34t

M’est avis que les mails et les DM sur Twitter permettent de se passer de Trick.ly, mais si certains d’entre vous y trouvent une utilité, je serais ravi de la connaître…

11 mai

iLocker, un casier sécurisé sur Internet

Catégorie web  |  Tag ,   |  Pas de commentaires

Le service proposé par iLocker est simple: vous voulez écrire quelque chose et le stocker en lieu sûr, tout en étant certain que vous seul pourrez le lire.

iLocker - Casier sécurisé en ligne

Vous avez donc un champ de 64000 caractères max, pour écrire vos données confidentielles (ou pas… ça marche aussi pour la liste de courses) que vous encryptez en fournissant un mot de passe. Vous obtenez alors en retour un numéro de casier (sur 4 chiffres) et un lien pour y accéder. Par exemple, le mien est: www.ilocker.org/2594

Pour rouvrir ce casier, il faudra fournir le bon mot de passe. Si vous l’oubliez, iLocker ne peut rien pour vous, puisque tout est anonyme et que votre mot de passe n’est pas stocké sur leur serveur (pour en savoir plus, j’avais abordé cette problématique dans cet article, à propos de Clipperz).

4 mai

A lire… [6] - spécial Sécurité

Catégorie web  |  Tag , , , , ,   |  1 Commentaire

Previously: A lire… [1], [2], [3], [4] et [5]

  • Commençons avec un article très intéressant qui aborde la problématique des hash collisions. J’ai déjà parlé plusieurs fois de techniques permettant de se jouer de ce principe fondamental de la cryptographie moderne. L’article en question intitulé “Hash Collisions (The Poisoned Message Attack) - The Story of Alice and her Boss” démontre par l’exemple comment Alice, stagiaire à Rome pour le compte de Julius Caesar, a obtenu de la propre main de ce dernier l’accès à des documents secrets en utilisant 2 fichiers dont l’empreinte (hash MD5) est identique.

Hash functions are almost omnipresent in today’s cryptography, e.g. in digital signatures. Instead of signing a long message M, you simply sign its hash H(M). This is useful and simplifies many issues … but if H(M) is identical to H(M’) then the signature is also valid for M’.

  • Vous connaissez peut-être Clipperz, gestionnaire de mots de passe en ligne, et vous vous interrogez probablement sur les risques encourus à utiliser de ce type de service. En effet, n’est-il pas dangereux de fournir à un service en ligne (donc à des gens potentiellement mal-intentionnés ou sur un serveur mal sécurisé) la totalité de vos informations les plus précieuses ? Autant en revenir alors à la bonne vieille méthode du mot de passe inscrit sur un Post-It collé sur le bord de votre écran. Mais je vous conseille dans ce cas la lecture de cet excellent billet “Anatomy of a zero-knowledge web application” sur le blog de Clipperz. L’auteur y explique que la conception de son application a été réalisé de telle sorte que celle-ci ne connait aucune information sensible à propos de l’utilisateur. Comment est-ce possible me demanderez-vous, puisqu’elle est censée stocker mes mots de passe ? Le concept est fort simple, tout se passe du coté du navigateur de l’utilisateur. Les informations sensibles sont cryptées avant d’être envoyé au serveur de Clipperz. Celui-ci ne stocke donc que des informations cryptées dont il n’a aucune connaissance de la signification exacte (à quel endroit servent ces données ? quel nom d’utilisateur ? quel mot de passe ? …), ni même bien évidemment de la clef de décryptage qui n’est connue que par vous (si bien que même Clipperz ne peut plus rien pour vous si vous l’oubliez). Le reste de l’article explique comment s’assurer que le code de Clipperz ne vous cache rien et est conçu pour éviter tout risque d’intrusion. Clipperz était déjà réputé comme l’un des meilleurs gestionnaires de mots de passe en ligne, alors autant de transparence quant à sa conception et son fonctionnement ne peut que mettre d’avantage en confiance. Bravo !

Nonetheless, we focused for months on designing a sound architecture for a new breed of “privacy aware” web applications. The basic idea was to deliver a no trust needed service, where users had the ability to inspect and verify anything running in their browser. We had to drift the attention away from trusting us and let users focus on trusting the application.

  • Trinity Rescue Kit est un live CD Linux qui va sauver la vie d’un paquet d’administrateurs Windows. En effet, TRK permet notamment (parmi de nombreuses autres fonctionnalités) de récupérer des fichiers perdus ou effacés, de récupérer des partitions perdues, de passer 5 anti-virus différents, de cloner des partitions NTFS via le réseau, ou encore d’écrire dessus. Mais encore et surtout de réinitialiser vos mots de passe Windows, dans le cas où vous les auriez oublié. Bref, ça devrait vous éviter un paquet de réinstallations de Windows from scratch… C’est donc un indispensable!
  • Et puisqu’on parle de mots de passe, finissons avec une petite touche amusante, trouvée dans la Knowledge Base du Support Microsoft. C’est ce qu’on appelle un excès de zèle.

Votre mot de passe doit comporter 18 770 caractères au minimum et ne peut être identique à l’un de vos 30 689 mots de passe précédents. Entrez un mot de passe différent. Entrez un mot de passe répondant à ces conditions dans les deux zones de texte.

21 avr

Dé-protéger un flux RSS avec Free my feed

Catégorie web  |  Tag , , , , ,   |  5 Commentaires

Free my feed est un petit service qui va vous permettre de vous abonner à des flux RSS protégés (en anglais, authenticated feeds) dans votre agrégateur préféré même si celui-ci ne permet pas de le faire nativement. Prenons un exemple pour être plus clair:

Gmail fournit un flux RSS - https://mail.google.com/mail/feed/atom/ - affichant les derniers messages non-lus de votre boite de réception. Ce flux est évidement protégé (à l’aide du login et mot de passe de votre compte Google) et nécessite donc que votre lecteur de flux supporte l’authentification, comme:

  • votre navigateur: la fonctionnalité Live Bookmark de Firefox, par exemple, permet, à condition que vous soyez connecté à votre compte Gmail, de vous abonner au flux correspondant,
  • certains agrégateurs en version Desktop (listés par Google comme supportant Gmail),
  • certains agrégateurs en ligne, comme Netvibes,

Netvibes, flux protégé

Mais malheureusement, de nombreux lecteurs de flux RSS ne proposent pas cette fonctionnalité (comme Google Reader, par exemple). C’est là que Free my feed intervient, puisqu’il vous propose tout simplement de dé-protéger n’importe quel flux. Sur le site, vous saisissez juste l’adresse du flux d’origine, le login et le mot de passe permettant d’y accéder et vous obtiendrez en retour un nouveau flux totalement dé-protégé que vous pourrez ajouter sous Google reader sans problème.

Free my feed

Alors, ça parait génial et très pratique comme ça, mais il faut tout de même prendre 2 choses en considération:

  • il est généralement déconseillé de communiquer vos informations de connexion sur un autre site que celui d’origine (même si dans le cas présent, ces informations ne sont pas conservés sur le serveur),

Usernames, passwords, feed URLs and feeds are never stored on the server. Usernames, passwords and feed URLs are only parsed from the alternate URL to retrieve your RSS feed on the fly from the original source and then are discarded.

  • évidemment, ne jamais communiquer l’adresse du flux dé-protégé à qui que ce soit, mais surtout bien vous assurer que vous ne partagez pas certains flux automatiquement via votre agrégateur (en cette période de social-networking avancée, certains paramètres par défaut peuvent être terribles d’un point de vue “sécurité”)

A utiliser avec prudence donc, et en toute connaissance de cause si vos données sont “sensibles”.

2 avr

Le mot de passe idéal

Catégorie tools  |  Tag , , ,   |  1 Commentaire

Le site Password Meter propose de vérifier la force de protection d’un mot de passe, en lui attribuant une note sur 100 en fonction de différents critères assez pertinents, à mon avis. En effet, au delà des recommandations de base les plus évidentes (au moins 8 caractères de long, présence de lettres en minuscule ET majuscule, ainsi que de chiffres et de symboles), la note s’appuie sur des critères plus avancés permettant d’attribuer des points positifs ou négatifs à votre mot de passe, comme par exemple:

  • des chiffres ou des symboles au milieu plutôt qu’au début ou à la fin (positif),
  • un nombre de caractères important (positif),
  • des lettres minuscules consécutives (négatif),
  • des chiffres consécutifs et/ou séquentiels (négatif),
  • etc…

Partant de ces principes et après de longues heures de délibération avec moi-même, je vous ai généré le mot de passe idéal, vous mettant une bonne fois pour toute à l’abri des attaques des vilains hackers. Servez-vous, c’est cadeau et n’hésitez pas à laisser un commentaire si ce mot de passe vous est utile (merci de préciser sur quel service web pour faciliter la tache des pirates, dont le hobbie déjà assez difficile comme ça).

h4’Y8uX\k

Ci-dessus: le mot de passe idéal

Alors oui, bien sûr, je plaisante, mais ça n’empêche que ce type de mot de passe est évidemment bien plus efficace que toto1 (que celui qui n’a jamais utilisé toto1, ou équivalent, comme password, me jette la première pierre). Mais ça présente aussi un certain inconvénient: comment le mémoriser ? (je rappelle qu’il est inutile stupide d’avoir un SUPER mot de passe comme celui-indiqué ci-dessus et de l’inscrire sur un Post-it™ collé sur le coté de votre écran pour ne pas l’oublier).

Alors, dans un élan de générosité absolu, je vous donne mon truc à moi pour avoir des mots de passe suffisamment complexes pour vous assurer une bonne protection tout en étant très facilement mémorisables. Ma technique ? Les répliques de films. Hein ? me répondrez-vous… Choisissez une réplique de film et ne prenez que les initiales de chaque mots, ajoutez à ça la ponctuation et un peu de leet speak et vous obtenez des mots de passe tout à fait mémorisable puisqu’il suffit de se souvenir de la réplique du film.

Mais, prenons un exemple pour être plus clair: la célèbre réplique de Star Wars “Luke, I’m your father.” donne le mot de passe L,1’myf. qui obtient un très correct 90% sur Password Meter.

J’espère que ce petit truc pourra vous être utile pour avoir de meilleurs passwords, mais quoi qu’il en soit, n’oubliez pas la règle qui veut qu’en matière de mot de passe (comme dans d’autres domaines parait-il): plus c’est long, plus c’est bon.

Et vous, votre technique pour les mots de passe ?

22 déc

Google permet de cracker des mots de passe

Catégorie web  |  Tag , , , , ,   |  1 Commentaire

J’ai abordé il y a quelque temps ici-même une technique permettant de cracker très rapidement des mots de passe. Le principe s’appuyait sur le logiciel Ophcrack  et d’énormes bases de données de mots de passe pré-hashés.

Je viens de tomber sur un autre article particulièrement intéressant, sur Light Blue Touchpaper. L’auteur y explique que son blog sous WordPress a récemment été hacké par quelqu’un qui avait tout simplement créé un compte utilisateur sur le blog puis trouvé le moyen de lui donner les droits administrateur. Rien de très grave jusque là, l’auteur ayant rapidement désactivé le compte en question. Mais avant de supprimer toute trace du passage de l’individu malveillant, il s’est dit que cela pourrait être intéressant de trouver le mot de passe qu’avait employé le hacker pour s’enregistrer sur le blog.

Il faut savoir que les mots de passe des utilisateurs WordPress sont stockés dans la base de données sous leur forme hashée (au format MD5). Pour rappel, le hashage d’une donnée est une technique qui permet d’obtenir une empreinte unique de cette donnée. C’est beaucoup utilisé en cryptographie car il est impossible à partir de l’empreinte hashée de réaliser l’opération inverse et de décrypter l’information, à moins de faire une empreinte de toutes les combinaisons de données possibles et de les comparer à l’empreinte initiale.

Exemple de hashage

Notre blogueur s’attèle donc à cette tache. Il récupère l’empreinte MD5 du mot de passe utilisée par le hacker et code un script qui va réaliser les empreintes de tous les mots du dictionnaire anglais. Il essaye aussi de rajouter des numéros à la fin des mots. Sans succès. Il tente alors sa chance avec le dictionnaire russe, ayant trouvé des commentaires en russe dans le code d’attaque laissé par le pirate. Toujours sans succès.

Il aurait pu continuer longtemps ses recherches, essayer l’outil Ophcrack mentionné plus haut et aurait probablement fini par trouver, mais au bout d’un certain temps et surtout après s’être donné beaucoup de mal. Au lieu de ça, il a simplement lancé une recherche de l’empreinte MD5 sur Google.

Le résultat ne se fait pas attendre, il tombe sur 2 résultats. L’un est une page généalogique listant des personnes dont le surnom est Anthony. L’autre, une annonce pour la vente d’une maison indiquant “Please Call for showing. Thank you, Anthony”. Et effectivement, le mot de passe employé par le hacker s’est révélé être Anthony.

Le hash du mot de passe était indexé dans Google, car il apparaissait tout simplement dans le lien d’une page web. C’est assez fréquent que les développeurs hashent le nom d’un fichier pour lui donner un identifiant unique par exemple. Google indexe donc probablement des quantités phénoménales d’empreintes, et se comporte donc comme un outil de recherche dans une base de données pré-hashées pratiquement sans limite (et surtout disponible à tout un chacun).

Un conseil donc, lorsque vous vous enregistrez sur des sites ou des blogs, n’hésitez pas à utiliser des mots de passe très long et si possible non-issus d’un quelconque dictionnaire. En attendant que les moteurs de blogs type WordPress mettent en place du salting, qui consiste à ajouter à votre mot de passe avant de le hasher, une clef plus ou moins longue qui compliquera de façon exponentielle la tache des hackers.