Discussion :

[BSaladin]

Bonjour à tous ,

Donc voila comme c'est noté dans le titre, je désire préparer une démonstration réelle (c'est à dire : avec des logiciels ... tout ce qu'il faut) pour mettre en évidence les caractéristiques des méthodes de cryptage, asymétrique, symétrique, PKI (Public Key Infrastructure)...

1. dans un premier lieu, je veux utiliser... je ne sais une application... quelque chose du genre utilisant un protocole utilisant la cryptographie symétrique. je vais alors sniffer le réseau (avec wireshark) et capturer les packets transmis... et ainsi récupérer la clé et le message crypté et déchiffrer le message.

2. ensuite, la crypto. asymétrique je désire la casser en utilisant une attaque par substitution de clés (the man in the middle attack).

3. et enfin mettre en créer mon propre PKI pour utiliser les certificats et rendre inutile l'utilisation de l'attaque par substitution de clés

la problématique est que je ne sait pas quelle applications me sont nécessaire pour mettre en œuvre cette démonstration, par exemple pour le deuxième cas (crypto. asymétrique) je pense utiliser un site web local sécurisé avec ssl qui implémente cette méthode de cryptographie (apache + ssl) et en me connectant sur se site local je remplie un formulaire de connexion sécurisé et je met en place l'attaque par substitution de clés, je ne sais pas si c'est possible ? à vous les experts du domaine de l'éclairage de ma route ! Si vous le voulez bien sûr

[Invité]

Salut,

fais des recherches sur dsniff et sslstrip.

Steph

[BSaladin]

merci IP_Steph , ça m'offre une piste, pour le 2ème (crypto. asymétrique) point et 3ème (PKI) il me semble que c'est presque résolu (théoriquement bien sûr ^^') et je suis ouvert à toute autre indication, aide, ou orientation...
toutefois je ne sais pas si pour un protocole utilisant la cryptographie symétrique il est possible de récupérer le packet contenant la clé privée échangée pour ensuite l'utiliser pour décrypter les messages cryptés avec cette clé.

[BSaladin]

en fait le seul problème qui me reste c'est comment mettre en place des échanges d'informations cryptés avec des algorithmes de cryptographie symétrique (AES puisqu'il est basé sur la crypto. symétrique), asymétriques(RSA), avec pki... sans avoir à développer des applications moi même. (please help ).

NB : je veux réaliser ces échanges d'informations pour chaque catégorie de cryptographie(symétrique, asymétrique, PKI) pour capturer les packets échanger et essayer de les décrypter et retrouver l'information en brute et ainsi pouvoir exposé les avantages/inconvénient de chaque méthode.

[Invité]

SSL est le meilleur exemple pour ça puisqu'il c'est basé sur du symétrique/asymétrique.

Deux exemples d'attaques Man in the Middle pour cracker le SSL. C'est basé sur sslstrip et arpspoof (arpspoof est une fonctionnalité de dsniff) :

www.sans.org/reading_room/whitepapers/threats/ssl-man-in-the-middle-attacks_480

http://www.crack-wifi.com/tutoriel-s...mitm-https.php

Si tu veux approfondir le sujet, il faut un peu fouiller sur le net et trainer sur les forums de crackers/hackers (de préférence les forums anglo-saxons ).

Steph

[BSaladin]

Merci P_Steph , ça m'a beaucoup aidé.

[BSaladin]

une petite problèmatique que je rencontre au niveau de la mise en place de pki si vous en avez une solution !

bon une fois la pki ou ca est mise en place sur un réseau local, je désire faire une démo d'authentification ssl avec un certificat, mais comment lors de la connexion sur un siteweb (interne au reseau) verifier la validité du certificat... comme ça une autre personne ne peut mettre une copie de mon site web (le hoster chez eux ou qlq part) et faire un fishing voir un man in the middle et tromper les utilisateurs de mon site web interne. ça semble compiliqué

merci pour votre aide ^^