|
|
Le téléphone pleure
La récupération du mot de passe demeure un sport en vogue. Et sur ce point précis, il faut bien admettre que le « coup du mot de passe de la semaine » qui a frappé Skype ces jours-ci mérite une mention spéciale. Tous les détails sur le Blog de Skype : l'usager reçoit un message d'alerte le prévenant qu'une extension du programme de téléphonie sur IP est en train de s'installer. Extension se présentant sous le nom de « Skype Defender »... il faut avouer que çà peut mettre en confiance. Las, une fois l'installation achevée, les crédences de l'utilisateur « ne peuvent être récupérées automatiquement », déplore une boite de dialogue. Un champ de saisie « Login/password » s'affiche alors afin d'achever la procédure d'installation à la main et avec le concours de l'utilisateur. On s'en doute, les crédences sont immédiatement expédiées vers un site chargé de collecter ces informations, accompagnées de toutes celle récupérées dans Internet Explorer. Network World , F-Secure ou le Reg se font l'echo de cette alerte.
Mauvaise karma pour la téléphonie sur Internet, puisque cette même semaine, l'on pouvait voir les signes avant-coureurs d'une nouvelle menace affectant les outils de conversation audio « en ligne ». Ainsi cette remarque un peu surprise à propos GoogleTalk, de la part de Vincent Guasconi sur le blog Alt.mylife. Ainsi également cette alerte émise par WebSense, dont l'un des « honeypot » s'est fait spammer via Skype. Il va falloir inventer un mot nouveau pour ce genre de messages non sollicités. Du Skam ? du Spype ? Websense propose SOS, Spam over Skype, mais il paraitrait que c'est déjà pris depuis un peu plus de 170 ans.
------------------
Hashes to hashes, le rock des mots de passe
------------------
Avec, en fond musical, la musique de David Bowie, Bipin Gautam pose une innocente question : si, s'interroge l'Eclairé du Hack, l'on trouve un peu de partout des fichiers contenant le hachage de milliers de mots de passe -ainsi le relatait dernièrement le Blog de F-Secure, ne peut-on utiliser cette information dans le cadre d'une crédence, sans avoir à « casser » ce hash pour récupérer le mot de passe originel ? Partisan du moindre effort, Thierry Zoller confirme qu'une " Replay attacks " est généralement possible dans la majorité des cas. Une attaque en « enregistrement-restitution » qui peut être exploitée soit en intrusion directe, soit dans le cadre d'un plan plus élaboré de type « homme du milieu ». En d'autres termes, et dans certains cas, un code de hachage est aussi efficace que le mot de passe original. Cela va sans dire, cela va bien mieux en le précisant.
Posté le 19 octobre 2007 par _SebF
- source Reseaux-Telecoms
Vous pouvez commenter cette nouvelle
en posant vos avis, questions et remarques
sur les forums FrameIP
|
|