zataz.com/news/20888/LitteBl … crack.html
va falloir faire gaffe…
Il y a une chance infime qu’une clef privée apparaisse deux fois. Ils rêvent ces pauvres gars.
En fait nan, j’ai lu un article (ça devait être slashdot ce matin) qui disait que c’était la même clé pour un même modèle et une même version d’un firmware donné. Si je retrouve le lien, je poste.
UQ’est ce que c’est que cette histoire? Lorsque je me connecte à un serveur en SSL, ce serveur a sa clef SSL (privée/publique) qui
- Me permet de l’identifier à coup sûr
- Négocier une clef d’échange avec lui afin de chiffrer le traffic avec lui.
Les routeurs n’entrent pas en ligne de compte là dedans se contentant de laisser passer le traffic. Je ne vois pas à quel moment la clef SSL du routeur entre en jeu (sauf éventuellement pour l’administration du routeur). Par ailleurs, sachant que les fabricants ont réussi à mettre une adresse MAC différente à chaque carte Ethernet, ils n’auraient pas réussi à mettre une clef SSL différente à chaque routeur dans le cas où ça serait important pour la sécurité. Pour moi c’est du pipeau total:
-> Je ne vois pas où intervient la clef SSL du routeur dans un traffic https, dans un traffic ssh, etc.
-> Je ne crois absolument pas que les fabricants, dans le cas où cette clef aurait une importance à ce point auraient laissé une telle faille.
C’est juste pour la connexion d’administration, mais dès lors où tu arrives à te connecter sur l’interface d’administration de ces appareils tu peux dire que tu as pris le contrôle de l’appareil. Et si le routeur compromis est placé stratégiquement dans le réseau, tu seras d’accord avec moi pour dire que c’est un réel problème de sécurité.
+1
La connexion est chifrée du client au serveur et pas déchiffrée à chaque routeur. En plus, j’imagine qu’ils travaillent au niveau d’IP ce qui signifient qu’ils sont même pas sûr de recevoir un datagrame TCP complet.
Comme je l’ai dis plus haut, ce ne sont pas les flux routés qui sont concernés mais les connexions de l’administrateur sur son équipement.
C’est du https donc c’est sur TCP + IP, classique et sans surprise.
Note: datagramme c’est pour UDP, pour TCP c’est des segments pour IP des paquets et pour ethernet des trames.
Note2: Joyeux Noël !
Comme je l’ai dis plus haut, ce ne sont pas les flux routés qui sont concernés mais les connexions de l’administrateur sur son équipement.[/quote]
Et alors ? l’attaquant prend le controle du routeur qu’est ce qui se passe ? La connexion est chiffrée, il ne peut faire que deux choses :
[ul]
[li]rendre indisponible le routeur,[/li]
[li]mal/pas router les paquets comme il faut.[/li][/ul]
Ça va pas lui permettre de mettre en péril l’utilisateur qui se fout d’un routeur puisqu’il utilise un ensemble de routeurs.
C’est du https donc c’est sur TCP + IP, classique et sans surprise.[/quote]
On ne sait probablement pas bien compris. Ce que je cherche c’est quel est le problème pour internet, parce qu’un routeur qui tombe ou qui est détourné, le temps de s’en rendre compte le redémarrer changer les clefs les logins et les mot de passe et c’est fini.
Pour l’utilisateur, il faudrait qu’un routeur puisse obtenir l’ensemble d’un paquet IP voir l’ensemble des paquets IP de la connexions ce qui n’est que rarement le cas.
Oui je me trompe toujours entre TCP et UDP, faut achaque fois que je recherche pour ne pas me planter.
[quote=“MisterFreez”]Et alors ? l’attaquant prend le controle du routeur qu’est ce qui se passe ? La connexion est chiffrée, il ne peut faire que deux choses :
[ul]
[li]rendre indisponible le routeur,[/li]
[li]mal/pas router les paquets comme il faut.[/li][/ul]
Ça va pas lui permettre de mettre en péril l’utilisateur qui se fout d’un routeur puisqu’il utilise un ensemble de routeurs.[/quote]
MisterFreeze, tu manques d’imagination 
. J’ai pas trop envie de m’étaler sur le sujet parce que c’est de mauvais goût sur un forum, mais une machine qui voit passer du traffic c’est bien (quand on a des intentions malveillantes) parce que :
[ul]
[li] Encore aujourd’hui, une grande partie de ce qui circule sur le web circule en clair. Avec ça on peut faire des stats et du datamining.[/li]
[li] On peut aussi faire des choses avec ce qui est chiffré : en analysant la “forme” des flux qui passent par le routeur, on peut déduire des profils et en recoupant la partie “protocolaire” (authentification, les ports choisis, les méthodes d’établissement de la connexion) avec ces profils on peut avoir une assez bonne idée de ce que l’utilisateur est en train de faire (je pense notamment au téléchargement avec des protocoles pairs à pairs).[/li]
[li] Disposer d’une machine sur laquelle on peut se permettre d’effacer les logs et donc à partir de laquelle on ne peut pas remonter jusqu’à la personne malveillante est un atout de choix pour le black hat.[/li][/ul]
Je continue ?
PS: si un modo considère que ce genre de contenu n’a pas sa place sur le forum, je ne me vexerai pas si le post disparait.
BBT1 pour tout ce que tu dis il faut que tu puisse sniffer l’ensemble de la connexion, ce qui je crois n’arrive pas fréquement sur un le réseau IP (je rappel que c’est un protocole qui ne garanti pas grand chose), où alors il faut vraiment choisir des routeurs particuliers mais ça diminue encore les chances d’arriver à trouver une collision de certificat.
Typiquement une transaction HTTP se fait avec un ensemble de segments TCP, chaque segment TCP peut prendre une route différente sur le réseau IP (si je ne me trompe pas puisque là tu me fais douter).
En théorie oui. En pratique c’est plus que fréquent qu’un ensemble de paquets prennent la même route pour rejoindre la même destination.