Archives du mot-clé Cryptographie

Stealing Keys for fun and profit

Un groupe de chercheurs Israéliens du Technion Institute ont réussi a créer un appareil appelé PITA capable de sniffer vos clés GnuGPG à distance via les ondes électro-magnétiques émises par le processeur ou les disques SD. La technique n’est pas nouvelle puisque, pour les plus anciens, on se rappel de la possibilité de reconstruire l’image d’un écran CRT à distance. La difficulté dans ce cas étant d’arriver à réaliser le même exploit en sniffant un environnement bien plus complexe avec l’aide de composants peu chers (apparemment la construction du device nécessite un investissement de 300 $US seulement). Pour faire cela, ils ont utilisé une technique similaire à celle de Turing pour le cassage du code enigma basée sur un échantillonnage des transmissions à intervalle régulier. Un véritable outil d’espionnage certainement disponible depuis un moment par certains services secrets.

Source : Wired

Ricochet : la nouvelle messagerie instantanée anonyme

Ricochet.im est le nouveau soft de messagerie instantanée qui propose anonymat, confidentialité et respect de la vie privée.

A l’instar de TorChat il est décentralisé et utilise les notions de hidden-service et rendez-vous du protocole Tor pour l’échange des messages.
Il est développé à l’aide de Qt et les détails techniques ont été publiés ce qui n’est malheureusement pas toujours le cas pour des logiciels de ce type.

Microsoft / Comodo : double-team, double FAIL

Voici une nouvelle bien chantante 🙂

Un finlandais qui disposait d’un simple compte email sur le Microsoft Live finlandais (live.fi) s’est demandé s’il pouvait enregistrer une adresse paraissant comme étant du staff Crosoft et en faire quelque chose d’intéressant.

Comme Live.com permet, comme d’autres messageries connues, d’enregistrer des alias il en a profité pour obtenir l’adresse hostmaster@live.fi.

La suite ? Il a envoyé un email à Comodo pour demander un certificat SSL/TLS valide estampillé Microsoft et il l’a obtenu… sans que son identité ne soit vérifiée.

FREAK : Windows et IE sont vulnérables

Aïe, aïe, aïeSChannel (Secure Channel), le service fournissant des fonctions de cryptographie sous Windows, est vulnérable à FREAK quelque soit la version du système.

Cela veut dire que si vous utilisez IE sous un Windows récent (ou pas, du moment que SChannel est utilisé) sur PC, smartphone ou autre alors vous êtes vulnérables.
Et comme IE n’est sans doute pas le seul soft utilisant SChannel sous Windows, ça promet…