Affichage hiérarchique

Kiwazaru · 10-12-2012, 21h38

Yop tout le monde, ça fait longtemps que je n'ai pas posté sur le forum Big Grin

Alors voilà, j'aurais un projet (sous certaines conditions) qui serait de Reverse les OTP Key.

Alors tout d'abord vous allez me dire pour la plupart d'entre vous, qu'est-ce qu'un OTP Key?

Une OTP Key c'est tout simplement une clé qui vous fournis un mot de passe à usage unique tout x intervalle de temps.

[Image: Cle_OTP.jpg]

J'ai découvert ces clés à l'école tout simplement, car je vois toujours mes profs ayant cette clé sur leur trousseau de clés.
A quoi peuvent donc bien servir ces clés? Eh bien tout simplement à se connecter aux base élèves, évaluations, tableau de bord etc via l'éducation nationale.
Les clés sont certifiées "RSA" comme nous pouvons le remarquer en dessous de la clé sur la photo.

J'ai un document sur le OTP en lui même : http://n.favrefelix.free.fr/site/school/3/otp.pdf

Mais j'ai une incertitude, j'avais cru entendre un de mes profs dire que ces clés marchaient via le réseau, cet à dire que la clé recevrait les nouveau mot de passe à usage unique par le biais du réseau sans fil.

Schéma:

Code :
OTP Key - [WaitRequest] <-------------------------- Server [Send request for x interval of time to OTP Key]-

              |PONG!---------------------------------------------------------------------------------------------------->|

Je ne sais pas si le clé OTP est capable de renvoyer des données mais j'imagine qu'elle renvoi une requête pour confirmer celle reçu par le serveur.

Je fait ça en théorie, mais j'aimerais avoir la confirmations que ces clés utilisent bien le réseau pour recevoir les nouveau mot de passes à usage unique, car sinon l’intérêt devient plus réduit Smile

Si vous connaissez le système et que vous voyez de grosse erreurs de ma part je suis preneur de toute critique ! Je cherche à comprendre comment marchent ces clé et non pas à expliquer ! :>

Cordialement,
ReVeRse,
See u soon on IRC

gruik · 10-12-2012, 22h01

http://fr.wikipedia.org/wiki/SecurID

l'article semble dire qu'avec une XSS y'a moyen de voler un token, reste que les tentatives de XSS sont de plus en plus repérées par les navigateurs
il est également question d'un phishing moyennant un faux certificat SSL, autant dire que si jamais c'est possible c'est tout de même pas trivial

Kiwazaru · 10-12-2012, 22h12

Je cherche pas trop à accéder au données élèves etc, mais plutôt savoir si il y a moyen d'envoyer du bullshit sur les OTP Key de profs :p

b0fh · 10-12-2012, 22h45

Les SecurID, recevoir leurs token par réseau sans fil ?

Complete. And. Utter. Bullshit.

Ces trucs contiennent un générateur pseudo-aléatoire cryptographique. Le serveur connait la clef secrète du token et peut prédire le contenu de la clef (a +/- quelques cycles près, pour compenser le clock drift de la clef). Si tu veux t'en convaincre il suffit d'en avoir une (ici je crois que Credit Suisse les donne pour l'ebanking) et de vérifier que ça marche indépendamment du lieu.

Pour les versions récentes je ne sais pas, mais je sais que les vieilles versions avaient un gros problème, du à une implémentation incorrecte du PRNG, qui permettait de prédire assez facilement le nombre complet (assez facilement veut dire, une chance sur 100 de trouver le bon nombre, au lieu d'une chance sur 1 million)

Kiwazaru · 10-12-2012, 22h48

Arf, je me doutais bien que c'était un truc comme ça :/ Dommage Sad

Merci encore de l'info Wink

Xylitol · (Modification du message : 12-12-2012, 20h00 par Xylitol.)

https://twitter.com/Xylit0l/status/48602733191774208
https://twitter.com/Xylit0l/status/48605924977426432

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler