• STATISTIQUES
  • Il y a eu un total de 0 membres et 26900 visiteurs sur le site dans les dernières 24h pour un total de 26 900 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Bright Shadows
    JavaScript: 13, Exploit: 27, Crypto: 69, CrackIt: 52, Stegano: 67, Flash: 3, Programming: 16, Java-Applet: 10, Logic: 20...
    Challenges
    [FR] µContest
    µContest est un site de challenges de programmation, c'est à dire qu'il propose des épreu...
    Hacking
    [FR] Infomirmo
    Challenge présenté sous la forme de 6 niveaux de difficultés diverses et variées avec chacun plusieurs chall...
    Challenges
    [EN] SecurityFocus
    SecurityFocus a été conçu pour faciliter la discussion sur des sujets liés la sécu...
    Vulnérabilités
    [FR] PHP France
    Pour tout savoir sur le PHP, en français. Vous trouverez des tutoriels, des exemples, des astuces, toute la do...
    Hacking
    [FR] Le site du zero
    Découvrez gratuitement la programmation (C, C++, PHP, MySQL, XHTML, CSS...), Linux, le Mapping, la modé...
    Programmation
    [FR] NewbieContest
    Nous vous proposons une série de challenges regroupant plusieurs domaines allant de l'exploitation de fail...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Cheval de Troie « hardware »
21-09-2013, 19h09
Message : #1
thxer Hors ligne
:(){ :|:& };:
*



Messages : 382
Sujets : 60
Points: 162
Inscription : Feb 2013
Cheval de Troie « hardware »
Je trouve ça simplement .... extraordinairement vicieux Big Grin

Citation :Récemment, les services secrets américains tiraient à boulet rouge sur les PC de Lenovo, accusant ceux-ci d’être des outils-espions ultrasophistiqués à la solde du gouvernement chinois. La firme était accusée d’avoir inséré des backdoor dans l’électronique des produits qu’elle livrait à ses consommateurs.

Des chercheurs ont remis à l’ordre du jour la question sur les chevaux de Troie niveau matériel d’une manière qui soulève de nombreuses interrogations et pourrait même susciter de la panique chez certains.

Les techniques conventionnelles d’insertion de chevaux de Troie niveau matériel passent par l’addition d’un circuit électronique intégré au sein d’un composant électronique comme les processeurs et autres.

Cependant, ces techniques sont rapidement mises en difficulté lors des inspections de routine des composants électroniques. C’est ainsi que des tests fonctionnels réalisés sur une puce permettent de détecter des défauts de fabrication, ou encore la technique de l’ «Optical-reverse ingeneering» qui permet de comparer les images obtenues de deux composants électroniques dont un étalon (libre de toute modification malicieuse) et l’autre de test (celui suspecté de contenir un circuit malicieux) par un microscope électronique à la recherche de différences.

La méthode d’insertion des chevaux de Troie des chercheurs a cette particularité qu’elle agit directement sur le dopant du silicium (abondant dans les circuits intégrés et éléments atomiques des transistors). Ce changement est tellement discret que les méthodes de détections standards ne peuvent la détecter. Elle semble tout simplement inexistante.

Afin de démontrer l’efficacité de leur nouveau procédé, les chercheurs l’ont testé sur la fonctionnalité de génération des nombres aléatoires (RNG) des processeurs de type Ivy Bridge d’Intel. Ils ont réussi ainsi à diminuer la sécurité des nombres aléatoires générés (nécessaire pour la création des clés de chiffrement) par le processeur de 128 bits à n (ou n constitue un entier dont les chercheurs décident de la valeur).

Source : http://www.developpez.com/actu/61626/Des...-en-cours/

Bientôt des microscope électronique dans nos maisons ? ... et si les fondeurs de proc avaient déjà leurs propres bidouilles ?
En allant plus loin, si je loue un serveur chez OVH comment savoir si il ne sont pas bridés pour la génération des nombres aléatoires ? ... je ne prône pas la paranoïa mais c'est quand même assez déroutant.
Thxer.com
Twitter Thxer_

Code BASH :
echo "JkZ Palx" | sed 'y/lPZaJxk/MG3@tEH/'




+1 (2) -1 (0) Répondre
22-09-2013, 11h38
Message : #2
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Cheval de Troie « hardware »
Salut,

Attention ce que je vais dire est à prendre avec des pincettes, je me base sur quelques trucs lu ici et là.

On parle ici d'une fonction intégrée au processeur, disons qu'elle est backdoorée.
Sous linux, le fichier spécial /dev/random utilise ce genre de function (je crois), mais il n'utilise pas que ça (lu quelque part, faudrait retrouver....), j'imagine qu'on peux obtenir de bons résultats en mesurant la température, les I/O, les process, etc...
Je pense qu'il serait en effet un peu dangereux de reposer toute la génération des nombres aléatoires uniquement sur ça (de plus, je sais pas si tous les processeurs possèdent ce genre de fonctions ?)

Ensuite, je dirais que les générateurs de nombres aléatoires ne sont pas les seuls dangers dans la cryptographie, les modes de chiffrements notamment ( https://www.schneier.com/blog/archives/2...e_sto.html )
Vrai ou faux, volontaire ou pas, chacun son avis, mais du point de vue sécurité, c'est sans appel.

Les algorythmes aussi peuvent être vulnérables, et je ne pense pas que si la NSA découvre (ou a découvert) une faille dans RSA ou une façon de factoriser les nombres premiers plus rapidement, elle le publie.
Le secret ça a du bon en cryptoanalyse Smile (pas en cryptographie hein :p )

Je concluerai en disant qu'en crypto comme en sécurité en général, un système est un mélange de plusieurs pièces, et que la solidité d'une chaine réside dans son maillon le plus faible.
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (1) -1 (0) Répondre
24-09-2013, 17h52
Message : #3
Tsuda Hors ligne
Newbie
*



Messages : 5
Sujets : 1
Points: 0
Inscription : Sep 2013
RE: Cheval de Troie « hardware »
(22-09-2013, 11h38)InstinctHack a écrit : Les algorythmes aussi peuvent être vulnérables, et je ne pense pas que si la NSA découvre (ou a découvert) une faille dans RSA ou une façon de factoriser les nombres premiers plus rapidement, elle le publie.
Le secret ça a du bon en cryptoanalyse Smile (pas en cryptographie hein :p )

Je dirais pourtant qu'ils ont déjà fait un truc du genre (leur boulot c'est pas uniquement de lire les mails des gens, c'est aussi de faire en sorte que les agences étrangères ne puisse pas, d'où leur contribution à SElinux par exemple).
+1 (0) -1 (0) Répondre
25-09-2013, 22h13
Message : #4
levur Hors ligne
Membre
*



Messages : 27
Sujets : 3
Points: 10
Inscription : Sep 2013
RE: Cheval de Troie « hardware »
(22-09-2013, 11h38)InstinctHack a écrit : Les algorythmes aussi peuvent être vulnérables, et je ne pense pas que si la NSA découvre (ou a découvert) une faille dans RSA ou une façon de factoriser les nombres premiers plus rapidement, elle le publie.
Le secret ça a du bon en cryptoanalyse Smile (pas en cryptographie hein :p )

Je ne sais plus ou j'avais lu que la NASA (et co ^^ ) n'avait jamais réussi a cracker un OS chiffré avec TrueCrypt appartenant a un blanchisseur d'argrent et un ami de me faire remarquer que si il avait réussi il n'irais pas le crier sur les toit Big Grin
Citation :Staline a hérité d'une Russie à la charrue, et l'a laissée avec l'arme atomique,
L'histoire n'oublie pas de telles personnes...
Churchill 1959 Chambre des Communes
+1 (0) -1 (0) Répondre
25-09-2013, 22h20
Message : #5
Tsuda Hors ligne
Newbie
*



Messages : 5
Sujets : 1
Points: 0
Inscription : Sep 2013
RE: Cheval de Troie « hardware »
(25-09-2013, 22h13)levur a écrit :
(22-09-2013, 11h38)InstinctHack a écrit : Les algorythmes aussi peuvent être vulnérables, et je ne pense pas que si la NSA découvre (ou a découvert) une faille dans RSA ou une façon de factoriser les nombres premiers plus rapidement, elle le publie.
Le secret ça a du bon en cryptoanalyse Smile (pas en cryptographie hein :p )

Je ne sais plus ou j'avais lu que la NASA (et co ^^ ) n'avait jamais réussi a cracker un OS chiffré avec TrueCrypt appartenant a un blanchisseur d'argrent et un ami de me faire remarquer que si il avait réussi il n'irais pas le crier sur les toit Big Grin

C'était le FBI: http://korben.info/truecrypt-a-lepreuve-du-fbi.html
La NSA ils s'occupent plus du terrorisme et tout ça, et ils vont pas forcément ce bouger pour aider les autres agences pour des affaires banales.
+1 (0) -1 (0) Répondre
28-09-2013, 20h53 (Modification du message : 28-09-2013, 21h12 par Serphentas.)
Message : #6
Serphentas Hors ligne
Thall
*



Messages : 41
Sujets : 10
Points: 29
Inscription : Oct 2012
RE: Cheval de Troie « hardware »
Des backdoors ou adoucissements de matériel utilisé en crypto, y'en a partout. Réduire l'entropie (pas la sécurité en bits, comme dit dans le premier post) à n c'est connu et largement utilisé. D'autant plus que les développeurs de générateurs de nombres (pseudo)random gardent leurs sources dans le secret. On ne peut pas vraiment savoir si les générateurs des CPUs Intel sont vraiment aléatoires.

Je me permets d'ajouter qu'id Quantique (Genève) fait ses propres générateurs de nombres aléatoires. La Loterie Romande les utilise. A voir si le scénario de Crypto AG se reproduira...
http://www.idquantique.com/random-number...ducts.html
+1 (0) -1 (0) Répondre
01-10-2013, 23h27
Message : #7
c4ffein Hors ligne
Membre
*



Messages : 49
Sujets : 2
Points: 5
Inscription : Jul 2013
RE: Cheval de Troie « hardware »
Un article en francais et qui explique bien : http://www.laurentbloch.org/MySpip3/spip.php?article272
+1 (0) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut