IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 792
    Points
    148 792
    Par défaut Un serveur de la Fondation Apache victime d'une attaque, des mots de passe utilisateurs corrompus
    Un serveur de la Fondation Apache victime d'une attaque
    Des mots de passe utilisateurs auraient été dérobés

    Des Hackers ont réussi à s'introduire dans un serveur que la Apache Software Foundation utilise pour le reporting des bugs de ses produits.

    Philip Gollucci, vice président des infrastructures chez Apache, rassure la communauté des développeurs "aucun code source n'a pu être affecté, en aucune manière".

    Les pirates, qui ne sont pas encore identifiés, auraient réussi leur intrusion dès le 6 avril en utilisant la méthode dite de "cross-site scripting". Ils auraient ensuite commencé à dérober des mots de passe et des identifiants d'utilisateurs à partir du 9.

    Néanmoins, souligne la Fondation Apache, ces mots de passe ne seraient exploitables que si les développeurs les utilisent également pour accéder aux systèmes de contrôle de leur source.

    En aout dernier, un autre serveur, nommé Minotaur, avait également été victime d'attaque qui avait permis à des tiers de faire tourner leurs scripts sur le site officiel de la Fondation.

    Source : L'annonce sur le blog officiel de la Fondation

    Et vous ?

    Après ces deux attaques réussies, les serveurs de la Fondation Apache vous semblent-ils assez sécurisés ? Ou s'agit-il de deux désagréments que n'importe quelle société connait ?

  2. #2
    Membre émérite
    Profil pro
    Inscrit en
    mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France

    Informations forums :
    Inscription : mars 2005
    Messages : 1 683
    Points : 2 699
    Points
    2 699
    Par défaut
    Je me suis dit : non ce n'est pas possible Apache ne peut pas stocker les mots de passe en clair... J'ai parcouru du coup vite fait l'annonce officielle et il semblerait que ce soient bien des hash qui ont été dérobés et que seuls les mots de passe un peu trop triviaux peuvent être décryptés.
    Je me trompe?
    dam's

  3. #3
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 4 413
    Points : 19 363
    Points
    19 363
    Par défaut
    Il existe maintenant des dictionnaires de hash.

    Tu rentres le hash et ça te sort le mot correspondant.

    Bref, stocker les hashs sans salt ou boucle de hashage n'est plus sécure dès lors que le pirate peut faire un export de la BDD pour la bourriner en local.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  4. #4
    Rédacteur/Modérateur

    Avatar de gorgonite
    Homme Profil pro
    Ingénieur d'études
    Inscrit en
    décembre 2005
    Messages
    10 321
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur d'études
    Secteur : Transports

    Informations forums :
    Inscription : décembre 2005
    Messages : 10 321
    Points : 18 477
    Points
    18 477
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Bref, stocker les hashs sans salt ou boucle de hashage n'est plus sécure dès lors que le pirate peut faire un export de la BDD pour la bourriner en local.
    Et que l'utilisateur utilise un mot de passe pas assez long et/ou contenu dans un dictionnaire... et il y a moyen de l'interdire en amont
    Evitez les MP pour les questions techniques... il y a des forums
    Contributions sur DVP : Mes Tutos | Mon Blog

  5. #5
    Membre habitué

    Profil pro
    Inscrit en
    août 2005
    Messages
    128
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : août 2005
    Messages : 128
    Points : 160
    Points
    160
    Par défaut
    Citation Envoyé par dams78 Voir le message
    Je me suis dit : non ce n'est pas possible Apache ne peut pas stocker les mots de passe en claire... J'ai parcourue du coup vite fait l'annonce officielle et il semblerait que ce soient bien des hash qui ont été dérobés et que seuls les mots de passe un peu trop triviaux peuvent être décryptés.
    Je me trompe?
    C'est tout à fait ça. Dans le doute mieux vaut le changer quand même.
    Le problème de ces vols de mdp, c'est surtout pour ailleurs. Peu utilisent des couples login/password différents sur chaque site. Ceux volés sur l'un seront ainsi testés sur d'autres...

    Sinon, un grand bravo à la communication d'Apache est vraiment stylée! Rare sont les sites à reconnaitre les piratages et surtout à détailler la procédure et les erreurs d'administration qui ont menées au piratage.

  6. #6
    Membre confirmé
    Inscrit en
    octobre 2007
    Messages
    210
    Détails du profil
    Informations forums :
    Inscription : octobre 2007
    Messages : 210
    Points : 453
    Points
    453
    Par défaut
    Ou ne plus utiliser md5

    Pour info il existe des outils de brute force MD5 utilisant les GPU de carte graphique. Ca peut monter à plus d'un milliard de hash par seconde... ce qui rend accessible des mots de passe de 9 ou 10 caractères.

    Cadeau : http://3.14.by/en/md5

  7. #7
    Membre éclairé
    Profil pro
    Inscrit en
    février 2009
    Messages
    383
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : février 2009
    Messages : 383
    Points : 657
    Points
    657
    Par défaut
    Ou stocker une version modifiée du password (md5,sha1,...).

    Il y a moyen d'agir sur le password ou/et meme le hash généré.

    Sur le password; vous pouvez y ajouter une date d'inscription; une répétition du password; une chaine fixe; etc... libre à votre imagination.

    Ensuite, vous pouvez aussi modifier le hash généré avant le stockage. Changer les caractères de place; changer une partie; enlever une partie; etc...

    je ne prétends pas avoir LA solution mais cela donne toujours plus de fil à retordre.

    Ces solutions ne sont valables que si le code n'est pas opensource,ou si ces configurations sont des paramètres.
    Un petit si la réponse convient. Merci.

  8. #8
    Invité
    Invité(e)
    Par défaut
    Le défaut du hash est qu'il n'est pas unique pour chaque entrée, donc même si ton entrée est très compliquée, on pourra peut-être trouver un mot de passe simple dont le hash a la même valeur.
    Dernière modification par Mejdi20 ; 14/04/2010 à 14h10.

  9. #9
    Expert confirmé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    février 2005
    Messages
    3 430
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : février 2005
    Messages : 3 430
    Points : 5 764
    Points
    5 764
    Par défaut
    Citation Envoyé par Bourgui Voir le message
    Le défaut du hash est qu'il n'est pas unique pour chaque entrée, donc même si ton entrée est très compliquée, on pourra peut-être trouver un mot de passe simple dont le hash a la même valeur.
    Exacte, en fait, c'est juste une question de rapport temps/puissance pour trouver le mot de passe.
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  10. #10
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 4 413
    Points : 19 363
    Points
    19 363
    Par défaut
    Citation Envoyé par Bourgui Voir le message
    Le défaut du hash est qu'il n'est pas unique pour chaque entrée, donc même si ton entrée est très compliquée, on pourra peut-être trouver un mot de passe simple dont le hash a la même valeur.
    Euh ... Le principe du hash c'est d'être une empreinte unique. Si deux valeurs différentes ont un même hash et bien c'est une faille dans l'algorithme.

    Ou alors je comprends mal ce que tu veux dire.

    Ou stocker une version modifiée du password (md5,sha1,...).

    Il y a moyen d'agir sur le password ou/et meme le hash généré.

    Sur le password; vous pouvez y ajouter une date d'inscription; une répétition du password; une chaine fixe; etc... libre à votre imagination.

    Ensuite, vous pouvez aussi modifier le hash généré avant le stockage. Changer les caractères de place; changer une partie; enlever une partie; etc...

    je ne prétends pas avoir LA solution mais cela donne toujours plus de fil à retordre.

    Ces solutions ne sont valables que si le code n'est pas opensource,ou si ces configurations sont des paramètres.
    Ça s'appelle un salt. Et on peut très bien utiliser une valeur dynamique pour le salt, comme le login, ça n'a rien avoir avec une différenciation opensource/propriétaire.

    Ça peut se combiner avec un hash récursif. C'est à dire hasher le même mot de passer des milliers de fois ce qui entraine un petit "lag" d'une seconde ou deux pour l'utilisateur mais qui complique considérablement le cassage du hash et empêche de fait la recherche par dictionnaire.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  11. #11
    Rédacteur
    Avatar de pseudocode
    Homme Profil pro
    Architecte système
    Inscrit en
    décembre 2006
    Messages
    10 062
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte système
    Secteur : Industrie

    Informations forums :
    Inscription : décembre 2006
    Messages : 10 062
    Points : 15 892
    Points
    15 892
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Euh ... Le principe du hash c'est d'être une empreinte unique. Si deux valeurs différentes ont un même hash et bien c'est une faille dans l'algorithme.
    Non. C'est une signature de longueur fixe.

    Par exemple, MD5 = 128 bits, c'est a dire 2^128 valeurs possibles.

    Vu qu'on peut créer une infinité de mots de passe différents et calculer le hash de chacun, il y a donc forcément des mots de passe avec le meme hash.
    ALGORITHME (n.m.): Méthode complexe de résolution d'un problème simple.

  12. #12
    Membre habitué
    Homme Profil pro
    Chef de projet NTIC
    Inscrit en
    novembre 2004
    Messages
    207
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Chef de projet NTIC
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2004
    Messages : 207
    Points : 184
    Points
    184
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Euh ... Le principe du hash c'est d'être une empreinte unique. Si deux valeurs différentes ont un même hash et bien c'est une faille dans l'algorithme.

    Ou alors je comprends mal ce que tu veux dire.
    Mais il ne faut pas oublier que des experts ont montré il y a un moment qu'il existait des collisions avec le hash MD5. Donc MD5("toto") peut tres bien valoir le MD5 de ton password de 32 caractères.

  13. #13
    Membre averti
    Avatar de cahnory
    Profil pro
    Inscrit en
    mai 2007
    Messages
    203
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : mai 2007
    Messages : 203
    Points : 385
    Points
    385
    Par défaut
    Et bien comme l'a dit pseudocode ce n'est pas spécifique à md5 mais à tout algorithme de hashage à longueur fixe (est-ce le cas de tous ça je n'en sais rien ). Si le nombre de possibilité est fini on ne peut pas avoir une réponse unique pour une infinité de possibilité.

    Grosso modo et pour prendre un exemple poussé à fond, si je crée un algorithme qui me donne des hash à 1 char ou chaque char ne peut être que 1 ou 0 je n'aurai que deux hash possibles : 1 et 0. Donc des trois hashage j'aurai forcément deux résultats identiques. Parcontre si mon nombre de char n'est pas limité même avec seulement des 1 et des 0 (ce qui ne serait tout de même pas très judicieux ) je pourrai (si mon algorithme est bien foutu) avoir autant de hash que de valeur à hasher possible (une infinité donc).
    Pas besoin d'expert pour arriver à cette conclusion.

  14. #14
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2006
    Messages
    927
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2006
    Messages : 927
    Points : 2 068
    Points
    2 068
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Ça s'appelle un salt. Et on peut très bien utiliser une valeur dynamique pour le salt, comme le login, ça n'a rien avoir avec une différenciation opensource/propriétaire.
    Sauf que mettre les deux derniers caractères de l'identifiant à la suite du mot de passe avant de le crypter ne sert à rien si le pirate le sait. Et il le saura si le code est téléchargeable.
    "If you can't teach it then you don't know it."

  15. #15
    Membre chevronné
    Avatar de kedare
    Homme Profil pro
    Network Automation Engineer
    Inscrit en
    juillet 2005
    Messages
    1 541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Network Automation Engineer

    Informations forums :
    Inscription : juillet 2005
    Messages : 1 541
    Points : 1 774
    Points
    1 774
    Par défaut
    Citation Envoyé par goomazio Voir le message
    Sauf que mettre les deux derniers caractères de l'identifiant à la suite du mot de passe avant de le crypter ne sert à rien si le pirate le sait. Et il le saura si le code est téléchargeable.
    Sauf que le salt change pour chaque mot de passe... ca veux dire qu'il doit tout refaire pour chaque mot de passe... vu que son dictionnaire inversé sera lié a un salt

  16. #16
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2006
    Messages
    927
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2006
    Messages : 927
    Points : 2 068
    Points
    2 068
    Par défaut
    Le salage est plus efficace si la méthode est secrète quand même.
    "If you can't teach it then you don't know it."

  17. #17
    Membre expérimenté
    Avatar de Patriarch24
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2003
    Messages
    1 047
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : septembre 2003
    Messages : 1 047
    Points : 1 633
    Points
    1 633
    Par défaut
    Le salage est plus efficace si la méthode est secrète quand même.
    En crypto, on sait depuis longtemps que les secrets ne tiennent pas longtemps... C'est justement le fait que les algorithmes soient publics qui fait leur force.
    En premier lieu, utilisez un moteur de recherche.
    En second lieu, postez sur le forum adéquat !

  18. #18
    Nouveau membre du Club
    Profil pro
    Inscrit en
    février 2010
    Messages
    36
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2010
    Messages : 36
    Points : 34
    Points
    34
    Par défaut
    La solution au problème de sécurité des bases de données de mots de passe cryptés est d'utiliser un algorithme de cryptage polymorphe.

    Avec ça les tables de hashs seront énormèment moins fiables.

    Pour ma part je dirais que ce genre de problème peut arriver à n'importe qui.

    C'est comme développer une application. Quand on trouve des failles on modifie le code pour les supprimer. Mais qui nous dit que les modifications que l'on a apportées ne contiennent pas de failles ou que l'on a pas rendu les failles existantes plus facilement exploitables ?

    C'est la boucle ! Il est très rare de voir des serveurs et des applications totalement sécurisés.

Discussions similaires

  1. Est-ce que je suis victime d'une attaque ou d'un robot ?
    Par lolaalol dans le forum Statistiques
    Réponses: 2
    Dernier message: 23/08/2018, 16h57
  2. Sony Pictures victime d'une attaque informatique
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 14
    Dernier message: 02/12/2014, 12h01
  3. [AJAX] Vérification des mots de passe avant envoi en Ajax sur le serveur
    Par Rony Rauzduel dans le forum jQuery
    Réponses: 6
    Dernier message: 19/11/2012, 11h58
  4. Réponses: 16
    Dernier message: 31/03/2011, 13h36
  5. Réponses: 0
    Dernier message: 21/02/2010, 11h47

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo