• STATISTIQUES
  • Il y a eu un total de 0 membres et 33121 visiteurs sur le site dans les dernières 24h pour un total de 33 121 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] phrack
    Lot's of stuff !
    Hacking
    [FR] Le site du zero
    Découvrez gratuitement la programmation (C, C++, PHP, MySQL, XHTML, CSS...), Linux, le Mapping, la modé...
    Programmation
    [FR] Forum-Webmaster
    Une communauté webmaster pour apporter / recevoir de l'aide en création de site internet. Webmaster...
    Webmaster
    [FR] WeChall
    Audio: 3, Coding: 11, Cracking: 9, Crypto: 18, Encoding: 11, Exploit: 44, Forensics: 1, Fun: 6, HTTP: 6, Image: 8, Java:...
    Challenges
    [EN] Lost-chall
    Site de challenge présenté sous la forme de différente saison. Pour passer une saison vous devez avoir accumulÃ...
    Challenges
    [EN] hax.tor
    50 level de challenges mélangés
    Challenges
    [EN] SecurityFocus
    SecurityFocus a été conçu pour faciliter la discussion sur des sujets liés la sécu...
    Vulnérabilités

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!

    €



Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
OTP Key Reversing
10-12-2012, 21h38
Message : #1
Kiwazaru Hors ligne
Padawan d'un super escargot
*



Messages : 284
Sujets : 26
Points: 139
Inscription : Mar 2012
OTP Key Reversing
Yop tout le monde, ça fait longtemps que je n'ai pas posté sur le forum Big Grin

Alors voilà, j'aurais un projet (sous certaines conditions) qui serait de Reverse les OTP Key.

Alors tout d'abord vous allez me dire pour la plupart d'entre vous, qu'est-ce qu'un OTP Key?

Une OTP Key c'est tout simplement une clé qui vous fournis un mot de passe à usage unique tout x intervalle de temps.

[Image: Cle_OTP.jpg]

J'ai découvert ces clés à l'école tout simplement, car je vois toujours mes profs ayant cette clé sur leur trousseau de clés.
A quoi peuvent donc bien servir ces clés? Eh bien tout simplement à se connecter aux base élèves, évaluations, tableau de bord etc via l'éducation nationale.
Les clés sont certifiées "RSA" comme nous pouvons le remarquer en dessous de la clé sur la photo.

J'ai un document sur le OTP en lui même : http://n.favrefelix.free.fr/site/school/3/otp.pdf

Mais j'ai une incertitude, j'avais cru entendre un de mes profs dire que ces clés marchaient via le réseau, cet à dire que la clé recevrait les nouveau mot de passe à usage unique par le biais du réseau sans fil.


Schéma:

Code :
OTP Key - [WaitRequest] <-------------------------- Server [Send request for x interval of time to OTP Key]-
              |PONG!---------------------------------------------------------------------------------------------------->|
Je ne sais pas si le clé OTP est capable de renvoyer des données mais j'imagine qu'elle renvoi une requête pour confirmer celle reçu par le serveur.

Je fait ça en théorie, mais j'aimerais avoir la confirmations que ces clés utilisent bien le réseau pour recevoir les nouveau mot de passes à usage unique, car sinon l’intérêt devient plus réduit Smile

Si vous connaissez le système et que vous voyez de grosse erreurs de ma part je suis preneur de toute critique ! Je cherche à comprendre comment marchent ces clé et non pas à expliquer ! :>

Cordialement,
ReVeRse,
See u soon on IRC
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
+1 (0) -1 (0) Répondre
10-12-2012, 22h01
Message : #2
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: OTP Key Reversing
http://fr.wikipedia.org/wiki/SecurID

l'article semble dire qu'avec une XSS y'a moyen de voler un token, reste que les tentatives de XSS sont de plus en plus repérées par les navigateurs
il est également question d'un phishing moyennant un faux certificat SSL, autant dire que si jamais c'est possible c'est tout de même pas trivial
+1 (0) -1 (0) Répondre
10-12-2012, 22h12
Message : #3
Kiwazaru Hors ligne
Padawan d'un super escargot
*



Messages : 284
Sujets : 26
Points: 139
Inscription : Mar 2012
RE: OTP Key Reversing
Je cherche pas trop à accéder au données élèves etc, mais plutôt savoir si il y a moyen d'envoyer du bullshit sur les OTP Key de profs :p
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
+1 (0) -1 (0) Répondre
10-12-2012, 22h45
Message : #4
b0fh Hors ligne
Membre actif
*



Messages : 210
Sujets : 17
Points: 309
Inscription : Jul 2012
RE: OTP Key Reversing
Les SecurID, recevoir leurs token par réseau sans fil ?

Complete. And. Utter. Bullshit.

Ces trucs contiennent un générateur pseudo-aléatoire cryptographique. Le serveur connait la clef secrète du token et peut prédire le contenu de la clef (a +/- quelques cycles près, pour compenser le clock drift de la clef). Si tu veux t'en convaincre il suffit d'en avoir une (ici je crois que Credit Suisse les donne pour l'ebanking) et de vérifier que ça marche indépendamment du lieu.

Pour les versions récentes je ne sais pas, mais je sais que les vieilles versions avaient un gros problème, du à une implémentation incorrecte du PRNG, qui permettait de prédire assez facilement le nombre complet (assez facilement veut dire, une chance sur 100 de trouver le bon nombre, au lieu d'une chance sur 1 million)
+1 (0) -1 (0) Répondre
10-12-2012, 22h48
Message : #5
Kiwazaru Hors ligne
Padawan d'un super escargot
*



Messages : 284
Sujets : 26
Points: 139
Inscription : Mar 2012
RE: OTP Key Reversing
Arf, je me doutais bien que c'était un truc comme ça :/ Dommage Sad

Merci encore de l'info Wink
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
+1 (0) -1 (0) Répondre
12-12-2012, 19h58 (Modification du message : 12-12-2012, 20h00 par Xylitol.)
Message : #6
Xylitol Hors ligne
Membre
*



Messages : 34
Sujets : 3
Points: 11
Inscription : Sep 2011
RE: OTP Key Reversing
https://twitter.com/Xylit0l/status/48602733191774208
https://twitter.com/Xylit0l/status/48605924977426432
+1 (0) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut