Cheval de Troie « hardware »
|
21-09-2013, 19h09
Message : #1
|
|
thxer
:(){ :|:& };: Messages : 382 Sujets : 60 Points: 162 Inscription : Feb 2013 |
Cheval de Troie « hardware »
Je trouve ça simplement .... extraordinairement vicieux
Citation :Récemment, les services secrets américains tiraient à boulet rouge sur les PC de Lenovo, accusant ceux-ci d’être des outils-espions ultrasophistiqués à la solde du gouvernement chinois. La firme était accusée d’avoir inséré des backdoor dans l’électronique des produits qu’elle livrait à ses consommateurs. Source : http://www.developpez.com/actu/61626/Des...-en-cours/ Bientôt des microscope électronique dans nos maisons ? ... et si les fondeurs de proc avaient déjà leurs propres bidouilles ? En allant plus loin, si je loue un serveur chez OVH comment savoir si il ne sont pas bridés pour la génération des nombres aléatoires ? ... je ne prône pas la paranoïa mais c'est quand même assez déroutant. |
|
22-09-2013, 11h38
Message : #2
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: Cheval de Troie « hardware »
Salut,
Attention ce que je vais dire est à prendre avec des pincettes, je me base sur quelques trucs lu ici et là . On parle ici d'une fonction intégrée au processeur, disons qu'elle est backdoorée. Sous linux, le fichier spécial /dev/random utilise ce genre de function (je crois), mais il n'utilise pas que ça (lu quelque part, faudrait retrouver....), j'imagine qu'on peux obtenir de bons résultats en mesurant la température, les I/O, les process, etc... Je pense qu'il serait en effet un peu dangereux de reposer toute la génération des nombres aléatoires uniquement sur ça (de plus, je sais pas si tous les processeurs possèdent ce genre de fonctions ?) Ensuite, je dirais que les générateurs de nombres aléatoires ne sont pas les seuls dangers dans la cryptographie, les modes de chiffrements notamment ( https://www.schneier.com/blog/archives/2...e_sto.html ) Vrai ou faux, volontaire ou pas, chacun son avis, mais du point de vue sécurité, c'est sans appel. Les algorythmes aussi peuvent être vulnérables, et je ne pense pas que si la NSA découvre (ou a découvert) une faille dans RSA ou une façon de factoriser les nombres premiers plus rapidement, elle le publie. Le secret ça a du bon en cryptoanalyse (pas en cryptographie hein :p ) Je concluerai en disant qu'en crypto comme en sécurité en général, un système est un mélange de plusieurs pièces, et que la solidité d'une chaine réside dans son maillon le plus faible. Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
24-09-2013, 17h52
Message : #3
|
|
Tsuda
Newbie Messages : 5 Sujets : 1 Points: 0 Inscription : Sep 2013 |
RE: Cheval de Troie « hardware »
(22-09-2013, 11h38)InstinctHack a écrit : Les algorythmes aussi peuvent être vulnérables, et je ne pense pas que si la NSA découvre (ou a découvert) une faille dans RSA ou une façon de factoriser les nombres premiers plus rapidement, elle le publie. Je dirais pourtant qu'ils ont déjà fait un truc du genre (leur boulot c'est pas uniquement de lire les mails des gens, c'est aussi de faire en sorte que les agences étrangères ne puisse pas, d'où leur contribution à SElinux par exemple). |
|
25-09-2013, 22h13
Message : #4
|
|
levur
Membre Messages : 27 Sujets : 3 Points: 10 Inscription : Sep 2013 |
RE: Cheval de Troie « hardware »
(22-09-2013, 11h38)InstinctHack a écrit : Les algorythmes aussi peuvent être vulnérables, et je ne pense pas que si la NSA découvre (ou a découvert) une faille dans RSA ou une façon de factoriser les nombres premiers plus rapidement, elle le publie. Je ne sais plus ou j'avais lu que la NASA (et co ^^ ) n'avait jamais réussi a cracker un OS chiffré avec TrueCrypt appartenant a un blanchisseur d'argrent et un ami de me faire remarquer que si il avait réussi il n'irais pas le crier sur les toit Citation :Staline a hérité d'une Russie à la charrue, et l'a laissée avec l'arme atomique,Churchill 1959 Chambre des Communes |
|
25-09-2013, 22h20
Message : #5
|
|
Tsuda
Newbie Messages : 5 Sujets : 1 Points: 0 Inscription : Sep 2013 |
RE: Cheval de Troie « hardware »
(25-09-2013, 22h13)levur a écrit :(22-09-2013, 11h38)InstinctHack a écrit : Les algorythmes aussi peuvent être vulnérables, et je ne pense pas que si la NSA découvre (ou a découvert) une faille dans RSA ou une façon de factoriser les nombres premiers plus rapidement, elle le publie. C'était le FBI: http://korben.info/truecrypt-a-lepreuve-du-fbi.html La NSA ils s'occupent plus du terrorisme et tout ça, et ils vont pas forcément ce bouger pour aider les autres agences pour des affaires banales. |
|
28-09-2013, 20h53
(Modification du message : 28-09-2013, 21h12 par Serphentas.)
Message : #6
|
|
Serphentas
Thall Messages : 41 Sujets : 10 Points: 29 Inscription : Oct 2012 |
RE: Cheval de Troie « hardware »
Des backdoors ou adoucissements de matériel utilisé en crypto, y'en a partout. Réduire l'entropie (pas la sécurité en bits, comme dit dans le premier post) à n c'est connu et largement utilisé. D'autant plus que les développeurs de générateurs de nombres (pseudo)random gardent leurs sources dans le secret. On ne peut pas vraiment savoir si les générateurs des CPUs Intel sont vraiment aléatoires.
Je me permets d'ajouter qu'id Quantique (Genève) fait ses propres générateurs de nombres aléatoires. La Loterie Romande les utilise. A voir si le scénario de Crypto AG se reproduira... http://www.idquantique.com/random-number...ducts.html |
|
01-10-2013, 23h27
Message : #7
|
|
c4ffein
Membre Messages : 49 Sujets : 2 Points: 5 Inscription : Jul 2013 |
RE: Cheval de Troie « hardware »
Un article en francais et qui explique bien : http://www.laurentbloch.org/MySpip3/spip.php?article272
|
|
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)