IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 453
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 453
    Points : 155 264
    Points
    155 264
    Par défaut Un chercheur publie un outil pour aider les administrateurs à chercher les clés de chiffrement
    Un chercheur publie un outil pour aider les administrateurs à chercher les clés de chiffrement,
    qu'ils auraient pu oublier sur un dépôt GitHub

    Un chercheur a publié un outil pour aider les développeurs à trouver des clés de chiffrement à haute entropie dans le code publié sur Github. Baptisé Truffle Hog, le mode opératoire de l’outil est décrit comme étant « un module qui va passer en revue tout l'historique de validation de chaque branche et qui va vérifier chaque diff de chaque commit, va évaluer l'entropie Shannon à la fois pour l’ensemble des caractères base64 mais aussi pour l'ensemble des caractères hexadécimaux pour chaque bloc de texte supérieur à 20 caractères compris dans ces jeux de caractères dans chaque diff. Si à tout moment une chaîne de plus de 20 caractères et qui comporte une entropie élevée est détectée, elle va s’afficher sur l'écran ».

    L'outil est le travail de Dylan Ayrey, un ingénieur qui avait mis en garde contre un « paste-jacking » (remplacement de ce qui se trouve dans le presse-papiers d'une personne) en Javascript en mai de l'année dernière. Il avait alors rappelé que « les navigateurs permettent maintenant aux développeurs d'ajouter automatiquement du contenu au presse-papiers d'un utilisateur, selon certaines conditions. à savoir, cela ne peut être déclenché que sur les événements du navigateur ». Dans une PoC, il a montré qu’il est possible d’exploiter ce mécanisme pour piéger un utilisateur et lui faire lancer des commandes qu’il ne voulait pas.

    « Il convient également de noter, depuis quelque temps, des attaques similaires ont été possibles via html / css. Ce qui est différent, c'est que le texte peut être copié après un événement, il peut être copié sur un minuteur court après un événement, et il est plus facile à copier en caractère hexadécimal dans le presse-papiers, qui peut être utilisé pour exploiter VIM », avançait-il.

    L'objectif de Truffle Hog est d'empêcher les administrateurs d'exposer par inadvertance leurs réseaux, même si l’outil sera sans doute également utilisés par les pirates informatiques pour scanner les applications open source existantes à la recherche de backdoors potentiels de type zero day qui peuvent être exploitées.

    Amazon Web Services (AWS) utilise déjà un outil similaire pour rechercher sur GitHub de manière préventive les clés AWS qui peuvent avoir été connectées aux dépôts publics par accident, empêchant les pirates de les utiliser pour faire tourner des instances AWS (par exemple, Bitcoin). Ce que n’ont pas manqué de souligner certains utilisateurs : « j'ai accidentellement mis mes clés secrètes AWS dans un référentiel public. Amazon les a trouvé puis a fermé mon compte jusqu'à ce que j'en crée de nouveaux. Bon travail Amazon ».

    Source : dépôt de Truffle Hog, Paste-jacking

    Et vous ?

    Que pensez-vous de cet outil ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : janvier 2010
    Messages : 803
    Points : 1 400
    Points
    1 400
    Par défaut
    j'ai accidentellement mis mes clés secrètes AWS dans un référentiel public.
    Une phrase qui résume tout!!! Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe à la vue de n'importe quel curieux...

    Et bien, je suis un faible du bulbe... La connerie humaine est sans limite!

  3. #3
    Expert confirmé

    Homme Profil pro
    Développeur .NET
    Inscrit en
    novembre 2010
    Messages
    2 051
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 051
    Points : 4 174
    Points
    4 174
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Une phrase qui résume tout!!! Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe à la vue de n'importe quel curieux...

    Et bien, je suis un faible du bulbe... La connerie humaine est sans limite!
    C'est pas forcément de la connerie, ça peut être simplement une erreur.

  4. #4
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 969
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 969
    Points : 3 257
    Points
    3 257
    Par défaut
    "Un chercheur publie un outil pour aider les administrateurs à chercher les clés de chiffrement"

    comment ça pue, le piège 'possible' à plein nez
    Si la réponse vous a aidé, pensez à cliquer sur +1

  5. #5
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 200
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 200
    Points : 7 448
    Points
    7 448
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe
    Citation Envoyé par youtpout978 Voir le message
    C'est pas forcément de la connerie, ça peut être simplement une erreur.
    Et de toute évidence, ce cas ci est bien de l'erreur. S'il avait été con, il n'aurait pas été content qu'on lui ferme son compte jusqu'à remplacement des clés.

    Citation Envoyé par hotcryx Voir le message
    comment ça pue, le piège 'possible' à plein nez
    Le programme :
    - est un script Python qui doit être lancé localement, a contrario des outils en ligne gérés par des serveurs qui ne t'appartiennent pas.
    - est un unique fichier open source de 133 lignes seulement, tu peux donc en vérifier le contenu pour t'assurer que rien n'est envoyé à l'extérieur.

    De là, le programme se contente de lister les clés potentielles qu'il trouve. Tu peux tout aussi bien faire la même recherche à la main. Dès lors que quelqu'un a accès au dépôt, il peut le faire tourner même sans te le demander, inutile donc que tu le fasses tourner toi-même. Rien à voir avec un attrape con donc, par contre les admins qui ne le font pas risquent d'avoir une mauvaise surprise si d'autres le font sur leur dépôts et y trouvent effectivement des clés exploitables. Donc piège, non, mais ça fourni aussi un outil aux crackers (qui ont probablement déjà implémenté quelque chose par eux-même d'ailleurs).
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  6. #6
    Inactif  
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    novembre 2015
    Messages
    91
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : novembre 2015
    Messages : 91
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Une phrase qui résume tout!!! Je n'imaginais pas un mec assez con pour déposer ses clés de cryptage sur un système externe à la vue de n'importe quel curieux...

    Et bien, je suis un faible du bulbe... La connerie humaine est sans limite!
    +1 en meme temps c'est qu'un chercheur...

Discussions similaires

  1. Outils pour aider à la reprise de code C ?
    Par Debian4Ever dans le forum Choisir un environnement de développement
    Réponses: 2
    Dernier message: 31/12/2010, 22h50
  2. Réponses: 0
    Dernier message: 15/12/2010, 03h46
  3. Réponses: 1
    Dernier message: 20/08/2007, 12h56
  4. Outil pour aider à la localisation de vos sources
    Par Delbeke dans le forum Vos contributions VB6
    Réponses: 10
    Dernier message: 30/09/2006, 21h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo