Author Archives: Paul

Création d’espace crypté sous Linux

Posted on by
Reply

Lorsque l’on souhaite crypter des données avec Linux, il est assez simple de créer une partition cryptée, celle-ci est montée au démarrage ou à la demande ; le disque seul, sans mot-de-passe, devient inutilisable.
Toutefois, cette solution ne permet pas bien, ni la sauvegarde des données cryptées, ni le déplacement physique de ces données, ni leur copie lors d’une réinstallation qui devient alors une étape critique.

La solution à ces problèmes est l’utilisation d’un fichier crypté plutot que d’une partition cryptée. Le fichier en question sera une parition logique cryptée ou cryptofile. La partition logique ainsi crée est en réalité un fichier qui pourra donc être manipulé comme tel.
La création passe par plusieurs étapes :

  • Créer une partition logique initialisée aléatoirement de sorte à faire du bruit.
    dd if=/dev/urandom of=systFile1 bs=1k count=300000
    Cette commande initialise un fichier systFile1 de 300000 blocs de 1ko. Le nombre et la taille des blocs est à votre discretion.
  • Il faut ensuite associer ce fichier à un périphérique loop qui va permettre, non seulement de considérer le fichier comme un périphérique et de le traiter, donc, comme une partition physique, mais aussi de gérer le cryptage / décryptage des informations.
    losetup -e twofish256 -T /dev/loop0 systFile1
    twofish256 est le cryptage retenu, l’option -T va demander 2 fois la saisie du mot de passe, /dev/loop0 correspond au périphérique loop, il est possible de choisir loop1, loop2… enfin on trouve le fichier précédemment créé.
  • Il reste à formater la partition :
    mkfs -t ext2 /dev/loop0
  • Enfin, la partition peut être montée comme n’importe quelle autre à l’aide de mount :
    mount -t ext2 /dev/loop0 mnt/

Cette solution fonctionne parfaitement, toutefois, en cas de saisie d’un mot de passe erroné, le système à tendence à bloquer n’arrivant pas à monter la partition. Des options permettent sans doute d’eviter cela… si vous le connaissez, donnez-les mois ;o).
Petite remarque enfin, n’oubliez pas de monter le module loop_fish2

Mots de passe, attaque brute force, sécurité

Posted on by
Reply

A la question votre mot de passe est-il sûr, la réponse est … vérifiez-donc !

Je me posais cette question depuis quelque temps ce qui est l’occasion de faire un petit article sur la chose. La recherche de mots de passe ne se déroule pas comme dans les films, en testant sur le site tous les mots de passe possible ; on ne trouve pas non plus les digit un à un ; effet cinématographique mais mathématiquement idiot …
La recherche de mots-de-passe est généralement possible à partir du moment où celui qui veut le cracker va le posséder. Pas évident me direz-vous mais combien t’entre nous utilisent le même password pour la maison, le travail, l’internet… autant d’opportunités pour un pirate éventuel de se le procurer. D’où la première règle : à son environnement son propre mot-de-passe ; ou en posséder plusieurs par classe de sécurité.

Bref obtenir des passwords n’est pas très compliqué, toutefois, ceux-ci sont cryptés selon des méthodes non réversibles, c’est à dire qu’il ne sera pas possible de décrypter le mot de passe lu. Par ailleurs, la version cryptée ne permet pas de présager du nombre de lettres ni du type de lettres. Le décryptage se fait donc par comparaison, il suffit donc d’essayer toutes les combinaisons possibles, de les crypter et de comparer le résultat obtenu avec celui recherché. Si les deux chaines cryptées sont identique le mot-de-passe courant sera le bon. Simple donc !

C’est là que les math entre en jeu. Combien de temps faut-il pour trouver la chaîne initiale ? Tout celà dépend du nombre de combinaisons possibles, lors d’une attaque brutale c’est le nombre de [caractères différents] à la puissance [nombre de caractères de la chaîne]. Le temps est donc fonction de la taille de la chaine et des caractères utilisés. Voici quelques exemples :

Sur un Athlon XP 2400@1.5GHz :
Chaine numérique pure :

  • 7 digits : 5 secondes
  • 8 digits : 1 minute

Chaine alphabétique en minuscules:

  • 6 digits : 6 secondes
  • 7 digits : 2 minutes
  • 8 digits : 14 minutes

Chaine alpha_num minuscules/majuscules:

  • 4 digits : 7 secondes
  • 5 digits : 8 minutes
  • 6 digits : 84 minutes

Chaine tous caractères:

  • 4 digits : 38 secondes
  • 5 digits : 1 heure
  • 6 digits : 100 heures

Suivant ses résultats, je tire deux conclusion, l’usage de chaines composée d’une maj, d’un symbol spécial suffit pour obliger l’usage d’une recherche tous caractères et c’est dans ce cas que les performances sont vraiment amoindries. Car la logique veut que l’attaquant essayes les combinaisons les plus simples en premier avant le mode tout caractère vu l’ecart significatif dans les temps de traitement.
La seconde conclusion concerne la taille, il est evident qu’une chaîne avec une longueur inférieur à 5 est une pure folie !

Suis-je alors sauvé si mon mot de passe fait plus de 8 digits ?
Et bien non, tout simplement car l’usage veut que l’on utilise des mots de passe simplement mémorisable, souvent nom, prenoms, date de naissance, nom commun… Cet usage est facilement compréhensible, la mémoire humaine ayant ses liminites. Les outils de recherche ont donc pris en compte cet aspect de la nature humaine et utilisent des dictionnaires. C’est une simple liste de mots communs qui servira de référence : plutot que de chercher parmi toutes les chaînes, cherchons parmi celles que notre mémoire nous conduira à favoriser. Le programme sera capable de composer des variantes classiques à partir de cette liste : ajout de majuscules, chiffres, caractères spéciaux. Alors, combien de temps faut-il pour trouver un mot de passe commun ?

Sur un Athlon XP 2400@1.5GHz, avec un dictionnaire de 237000 mots français et des règles de transformation standard, comptez moins de 5 minutes pour tester toutes les possibilités.

Et ce, bien sure, quelque soit la taille de la chaîne choisie. Cette méthode étant la plus efficasse, c’est la principale utilisée.

Donc, que va faire (logiquement) un pirate qui souhaitera connaitre votre mdp ?

  • 1. Lancer une attaque par dictionnaire
  • 2. Lancer une attaque par date (8 digits)
  • 3. Lancer une attaque alpha lower (7 digits)<.LI>
  • 4. Lancer une attaque alpha upper (7 digits).
  • 5. Lancer une attaque alpha (5 digits)

Un pirate qui ne vous en veut pas particulièrement à vous devrait grosso-modo s’en arrêter là car il trouvera sans doute 30 à 40% de mots de passe en suivant ces règles. Et ce dans un temps d’environ 10 minutes. Pour éviter ce genre d’attaque, les règles pour choisir un bon mot de passe sont donc les suivantes :

  • Utiliser au moins 1 digit + 1 symbol spécial + 1 majuscule.
  • Utliser une logueur d’au moins 8 caractères
  • Banir les mots usuels

Alors comment avec celà tourver un mot qui soit mémorisable facilement … Je vous propose une solution simple : utiliser la phonétique choisissons par exemple le prénom paulcomme base :

  • Ne pas le trouver dans le dico : pol
  • Augmenter la taille et complexifier : pPoOlL
  • Ajouter des carcatères spéciaux : [pPoOlL]

Voila 8 digit plutot simple à mémoriser surtout si le mot de base est familier. Pour augmenter la taille il suffit de choisir un mot plus long. Votre cerveau doit alors mémoriser la méthode et non le mot-de-passe en lui même.

Si maintenant vous devez vous protéger de quelqu’un qui cherche à vous ataquer personnellement, le choix du mot de passe est plus compliqué, mais basé sur le même principe, toutefois, il y a des règles supplémentaires à prendre en compte tout d’abord imaginez : le temps qu’il pourra y consacrer et ses ressources : s’il me faut 100h pour trouver un mot quelconque de 6 caractères, ce calcul peut etre très simplement distribué permettant de transfomer ces 100h en 100 fois 1 heure en utilisant 100 machines… Par rapport à celà, vous devez donc prévoir de modifier votre mot de passe au moins 1 fois dans ce temps de calcul qui dépend donc des ressources du pirate. Si vous ne le changez que tous les mois, il aura un mois pour calculer. A partir de là, 8 digits quelconque est à peine fiable ; 10 ou 12 semblent être une meilleure solution. Reprenons un exemple simple à mémoriser : vacances devient : [vVaAcCaAnNcCeEsS] avec 18 caractères ; plutot simple à retenir non ?!?

Face à celà, vous n’etes cependant pas à l’abrit, la dernière methode employable et l’analyse sociale : si vous utilisez la méthode ci-dessus, votre mot-de-passe ne vaudra rien : étant publié, il peut être employé comme motif dans une attaque par dictionnaire. Plus généralement, si vous passez ou avez reçu des consignes dans votre entreprise pour la création de mot-de-passe, il suffira au pirate de se renseigner sur ces consignes, les exemples donnés pour appuyer sa recherche. Bref, la methode de construction étant la clef, elle doit vous être propre. L’avantage ensuite et que vous pouvez changer le mot chaque mois sans changer la methode… par éxemple : janvier2006 devient *janvieR!2006, simple et correct ; adaptable chaque mois.

Les erreurs à ne pas commettre :

  • Les mots-de-passe aléatoires qui finissent sur un post-it sous le clavier
  • Le donner à qui que ce soit : la méthode (clef du mot-de-passe) devient publique
  • Ne pas diffuser un mot de passe critique sur un autre média que celui pour lequel il est prévu : ne pas utiliser le mdp du travail pour s’inscrire sur un site Internet : c’est rendre public le mot de passe ET la methode

Bref, il faut des methodes différentes selon les contextes. Ensuite, il existe des tas d’autre façon de générer/utiliser de très long mots de passe : biometrie ou classeur de mdp sur carte à puce …

Pour finir, vous pouvez tester vous même la fiabilité du mot-de-passe choisi avec des outils comme John-The-Ripper (JTR) avec ou sans KMD5, unhash … facilement téléchargeables sur internet, dictionnaires y compris.

Kézako l’Ajax ?

Posted on by
Reply

Non ! Ajax n’est ni un nouveau produit révolutionnaires permettant de nétoyer votre navigateur Ouaib en un clin d’oeil, ni la nouvelle cyber-équipe de foot d’Amsterdam …

C’est en fait beaucoup mieux que tout cela réuni ! Ajax est une méthode permettant de développer des interface Ouaib interactive sans qu’il soit nécessaire de recharger entièrement la page. Cette méthode est basée sur l’usage de la commande Javascript XMLHttpRequest qui permet aux navigateurs de soumettre et recevoir des données depuis le serveur. Les échanges sont généralement effectués en XML. Les données sont traitées par des Javascripts qui s’exécutent sur le client, en tâche de fond. Les échanges sont asynchrones : il est possible de rafraichir plusieurs partie distinctes d’une page Web sans se soucier de l’ensemble.

Ajax cache sous son doux nom l’acronyme Asynchronous Javascript And Xml. Bien que cette technologie soit très nouvelle, elle emploie des techniques anciennes déjà éprouvées : la méthode XMLHttpRequest date de plusieurs années et les JavaScripts remontent aux premières heures de l’Internet. L’usage très fort des CSS (feuilles de style) s’est lui aussi démocratisé.

L’usage conjoint de ses 3 technologies permet la réalisation de site Web permettant la manipulation dynamique d’objets comme des fenêtres, les listes, des tableaux, des arbres… rafraichis dynamiquement,  l’ergonomie d’un client lourd peut être ainsi recrée sur une application en ligne.

Ajax or not Ajax ?

Posted on by
Reply

Celà fait plusieurs jours que je voulais écrire un post à ce propos. Après la lecture de cet article et différentes remarques que l’on m’a faites, je souhaite donner mon opinion.

Rappelons brièvement les faits. L’utilisation des technologies Ajax apporte son lot de bonnes choses mais aussi les inconvénients qui vont avec. Essayons de faire la synthèse de tout ça.

Nous avons vu qu’Ajax permet l’appel de code distant, et la récupération de valeurs permettant leur affichage sans rechargement de page et ceci à l’aide de javascript. Le premier soucis qui pointe le bout de son nez est bien sûr l’utilisation de javascript. Il y aurait 78% de navigateurs compatibles avec Ajax ce qui est toutefois pas mal. Cependant au niveau accessibilité l’utilisation abusive de javascript est plus que dangereuse. Une personne non voyante ne pourra pas accéder à une information affichée suite à un appel javascript. Or je tiens beaucoup à l’accessibilité des sites web.

Pourquoi prôner Ajax alors ? Je pense que cette technologie a de nombreux mérites. Là aussi on l’utilise parfois à des fins qui ne sont pas très utiles. Ergonomiquement parlant, il est souvent aussi pratique de charger une autre page plutôt que d’avoir l’information directement. De plus les moteurs de recherche ne sont pas du tout friands de javascript. Malgré tous les points négatifs dont je viens de faire part, je reste convaincu qu’Ajax a de l’avenir. Avez-vous testé le service Meeboo ? Il vous permet de vous connecter à la plupart des messageries instantanées avec un client Web superbe. Voilà une application où Ajax a de l’intérêt par exemple.

Mes convictions personnelles sont donc l’utilisation de cette technologie à des endroits bien particuliers d’un site Internet. La partie administration ( Backoffice ) est très souvent simplifiée grâce à ce genre d’outils. Ajax offre aussi l’opportunité de créer des applications au sein d’un site et c’est une autre de ses grandes qualités.

Pour conclure je dirais donc que la navigation sur un site public doit rester ergonomique, simple et accessible mais qu’il ne faut pas oublier Ajax pour la création d’une application WEB poussée ou la gestion du backoffice.

meebo.com, vive Ajax !

Posted on by
Reply

Le site www.meebo.com permet en effet de se connecter aux messageries instantanées classiques (MSN, ICQ, JABBER …) depuis un navigateur web, sans aucune installation sur le poste ni applet ! Du coup le système franchi très simplement les firewall et autre proxy, même les plus récalcitrants ! Une révolution !

Meebo utilise un “client” Ajax permettant d’avoir le confort d’un client lourd au sein d’une page web avec des flux réseaux restreints. Bref un outil vraiment pratique. a visiter absolument.

Un client AIM en Ajax !

Posted on by
Reply

Le site www.meebo.com propose la connexion aux différents clients de messageries instantanées, que ce soit MSN, ICQ, Jabber, GTalk ou Yahoo ! Messenger. Ce site utilise une technologie Ajax pour l’affichage du client. Le résultat est aussi convivial que le clients lourds, les soucis de proxy / firewall en moins.

La technologie Ajax se prête particulièrement bien à la réalisation d’un client léger/riche de messagerie instantanée, on pourrait même presque dire que cette technologie permet la réalisation d’une telle application. Le fonctionnement asynchrone de la messagerie instantanée nécessite en effet une communication constante avec le serveur pour la réception de message dans un usage web. Avant l’arrivée d’Ajax, ce rafraichissement nécessitait le réaffichage complet de la page ou des manipulations de frame un peu complexe, si bien que ce type d’application n’existait qu’à titre expérimental.

Ajax apporte une solution en permettant de ne rafraichir que les messages instantanés et non la totalité de la page. Cette nouvelle fonctionnalité permet de restreindre au stricte nécessaire les échanges entre le client et le serveur mais permet aussi de ne raffraichir que les communications ayant évolué. Le résultat est une fluidité de l’application parfaite et l’illusion de l’utilisation du client lourd traditionnel.

Outre ce mode de communication, l’application de meebo.com profite de tous les attrait d’Ajax en proposant le déplacement des éléments applicatif au sein de la fenêtre de navigation par exemple. Bref, on se croirait dans un vrai client de messagerie. Sauf que là : pas besoin d’installation, pas besoin d’autorisations particulières sur le firewall ou le proxy : tous les échanges se font en http.

Pour ma part, je leur tire mon chapeaux !

Procés et piratage du musique

Posted on by
Reply

14 800 : c’est le nombre de procès en piratage que le RIAA a intenté à des particuliers durant les deux dernières années. Le RIAA est l’association américaine des marchands vivant légitimement du travail des artistes. Mais les mélomanes (les faux, ceux qui écoutent, pas ceux qui vendent) se laissent de moins en moins faire et n’acceptent plus les « accords à l’amiable » pourtant équitables consistant à faire payer pour l’exemple des fillettes de 14 ans et des grands-pères de 70. Aujourd’hui, explique le National Law Journal, il n’est pas rare que les poursuivis contre-attaquent et accusent le RIAA pour procès non fondé et abus de pouvoir. En Europe, les homologues de ces vendeurs de produits dérivés de la création musicale, que l’on désigne sous le nom générique de « major »*, tentent, souvent avec bonheur, de convaincre les élus de faire passer des lois leur assurant une rente de situation. Bien maigre rente, doit-on dire, car les impôts sur les CD vierges, les DVD, les lecteurs MP3 etc ne se comptent parfois qu’en centimes d’euro. Un symbole, une misère quoi. Et ce n’est pas ça qui parviendra à combler les dépenses faramineuses qu’occasionnent les coûteuses enquêtes montrant combien les « jeunes n’achètent plus de CD » et considérant le « piratage sur Internet comme un moyen pratique d’écouter de la musique ». Il faut absolument éviter le retour aux périodes sombres de l’histoire, quand personne n’achetait le dernier CD de MM J.S. Bach, W.A. Mozart ou L.V. Beethoven. Mais à l’époque, la police était laxiste, et l’on passait n’importe quoi dans les malles-postes. Y compris des partitions. C’est en ce temps là que l’on aurait dû sévir. En imposant une taxe de 3 Deniers sur les outils de reproduction : plume d’oie, cendre, noir de fumée…

Rappelons également qu’il existe de nos jours, dans chaque ville, des médiathèques auprès desquelles il est possible de récupérer des CD musicaux sans avoir à débourser un centime… tarifs d’inscription non compris. Cet insupportable vecteur de piratage, cette scandaleuse habitude qui conforte les auditeurs dans une attitude d’irrespect financier devrait être combattue avec la dernière énergie. Les bibliothèques également, qui offrent à des lecteurs avides le contenu d’ouvrages pour lesquels ils ne versent pas même une roupie. L’incendie de la bibliothèque d’Alexandrie, on devrait en faire un jour de fête nationale. Et puis tous ces gens qui sifflotent dans la rue et diffusent des musiques sans payer de droit à la Sacem… A bien y regarder même, la taxe « anticopie » intégrée à l’abonnement Internet se justifie également. Car il ne faudrait pas oublier qu’originellement, Internet n’était qu’une immense bibliothèque d’Universitaires et étudiants, qui voyaient par là un moyen pratique d’échange d’idées et d’ouvrages. Gratuitement, bien entendu, si le lecteur peut nous pardonner l’usage de ce mot excessivement indécent. Fort heureusement, cette dangereuse orientation, que l’on pourrait qualifier de cryptocommuniste, a été récupérée à temps et remise dans le droit chemin du profit, de l’efficacité et de l’économie de marché. Et s’il n’existe conceptuellement aucune différence entre une bibliothèque et Internet, il ne doit pas, non plus, exister de différence de « paradigme de facturation » entre ces deux genres de structures. Après tout, l’OCDE nous a bien assuré que le début du XXIeme siècle serait placé sous le signe du développement de la vente de services. Et une bibliothèque, si c’est pas du service à l’état brut…

KDM et dual screen

Posted on by
Reply

Petit problème que j’ai pu rencontrer lors d’une utilisation de dual-screen : KDM demarre sur le premier écran qui n’est pas toujours celui que l’on souhaite utilisé par défaut.
Pour modifier celà il existe une option qui peut être ajoutée dans le fichier kdmrc (/etc/opt/kde3/share/config/kdm/kdmrc sur suse) :
Dans la section [X-*-Greeter], ajouter la ligne GreeterScreen=1 par exemple pour que celui-ci soit affiché sur l’ecran n°1 …