A lire… [6] – spécial Sécurité

Previously: A lire… [1], [2], [3], [4] et [5]

• Commençons avec un article très intéressant qui aborde la problématique des hash collisions. J’ai déjà parlé plusieurs fois de techniques permettant de se jouer de ce principe fondamental de la cryptographie moderne. L’article en question intitulé « Hash Collisions (The Poisoned Message Attack) – The Story of Alice and her Boss » démontre par l’exemple comment Alice, stagiaire à Rome pour le compte de Julius Caesar, a obtenu de la propre main de ce dernier l’accès à des documents secrets en utilisant 2 fichiers dont l’empreinte (hash MD5) est identique.

Hash functions are almost omnipresent in today’s cryptography, e.g. in digital signatures. Instead of signing a long message M, you simply sign its hash H(M). This is useful and simplifies many issues … but if H(M) is identical to H(M’) then the signature is also valid for M’.

• Vous connaissez peut-être Clipperz, gestionnaire de mots de passe en ligne, et vous vous interrogez probablement sur les risques encourus à utiliser de ce type de service. En effet, n’est-il pas dangereux de fournir à un service en ligne (donc à des gens potentiellement mal-intentionnés ou sur un serveur mal sécurisé) la totalité de vos informations les plus précieuses ? Autant en revenir alors à la bonne vieille méthode du mot de passe inscrit sur un Post-It collé sur le bord de votre écran. Mais je vous conseille dans ce cas la lecture de cet excellent billet « Anatomy of a zero-knowledge web application » sur le blog de Clipperz. L’auteur y explique que la conception de son application a été réalisé de telle sorte que celle-ci ne connait aucune information sensible à propos de l’utilisateur. Comment est-ce possible me demanderez-vous, puisqu’elle est censée stocker mes mots de passe ? Le concept est fort simple, tout se passe du coté du navigateur de l’utilisateur. Les informations sensibles sont cryptées avant d’être envoyé au serveur de Clipperz. Celui-ci ne stocke donc que des informations cryptées dont il n’a aucune connaissance de la signification exacte (à quel endroit servent ces données ? quel nom d’utilisateur ? quel mot de passe ? …), ni même bien évidemment de la clef de décryptage qui n’est connue que par vous (si bien que même Clipperz ne peut plus rien pour vous si vous l’oubliez). Le reste de l’article explique comment s’assurer que le code de Clipperz ne vous cache rien et est conçu pour éviter tout risque d’intrusion. Clipperz était déjà réputé comme l’un des meilleurs gestionnaires de mots de passe en ligne, alors autant de transparence quant à sa conception et son fonctionnement ne peut que mettre d’avantage en confiance. Bravo !

Nonetheless, we focused for months on designing a sound architecture for a new breed of “privacy aware” web applications. The basic idea was to deliver a no trust needed service, where users had the ability to inspect and verify anything running in their browser. We had to drift the attention away from trusting us and let users focus on trusting the application.

• Trinity Rescue Kit est un live CD Linux qui va sauver la vie d’un paquet d’administrateurs Windows. En effet, TRK permet notamment (parmi de nombreuses autres fonctionnalités) de récupérer des fichiers perdus ou effacés, de récupérer des partitions perdues, de passer 5 anti-virus différents, de cloner des partitions NTFS via le réseau, ou encore d’écrire dessus. Mais encore et surtout de réinitialiser vos mots de passe Windows, dans le cas où vous les auriez oublié. Bref, ça devrait vous éviter un paquet de réinstallations de Windows from scratch… C’est donc un indispensable!

• Et puisqu’on parle de mots de passe, finissons avec une petite touche amusante, trouvée dans la Knowledge Base du Support Microsoft. C’est ce qu’on appelle un excès de zèle.

Votre mot de passe doit comporter 18 770 caractères au minimum et ne peut être identique à l’un de vos 30 689 mots de passe précédents. Entrez un mot de passe différent. Entrez un mot de passe répondant à ces conditions dans les deux zones de texte.