COMPTOIR
  
register

Composé par ————— —— 20905 vues

Hack from the past : une faille RSA de 1998 encore exploitable ?

Que de bonheur en ce début d'année 2018 pour les amateurs de sécurité et autres, entre Spectre, Meltdown, les trous chez WD (comblés depuis), il y a de quoi s'amuser, ou s’inquiéter, c'est selon. C'est en décembre dernier qu'une équipe de chercheurs s’était penchée sur une vulnérabilité découverte en 1998 par Daniel Bleichenbacher, pour ensuite rédiger et publier un dossier très détaillé savoureusement baptisé "Return of Bleichenbacher's Oracle Threat" ou encore ROBOT, ou  "Retour de la menace fantôme de l'Oracle de Bleichenbacher" en français (de suite, c'est beaucoup moins tendance).

 

robot exploit pkcs 15

Pas l'air bien méchant vu comme ça...

 

Via sa publication, l’équipe a démontré que l'exploit circa 1998 était toujours encore viable en décembre 2017, 2.8% du million de sites les plus visités du Web ayant alors été testé positif, y compris Facebook et Paypal, ainsi que du matériel/logiciel notamment fourni par F5, Citrix, Radware, Cisco, Erlang, Bouncy Castle et WolfSSL.

Désormais qualifiée de ROBOT exploit, cette faille âgée de 19 ans permet notamment à un hacker de déchiffrer du contenu protégé et de communiquer avec un site dont la clé de chiffrement RSA aura été compromise préalablement, grâce à la vulnérabilité découverte par Daniel en 1998 au sein du SSL ou Secure Sockets Layer, prédécesseur du TLS. Pour résumer, par ce biais tout individu compétent peut donc créer des requêtes dirigées vers le ou les sites visés, lesquels répondront par "oui" ou par "non", permettant ainsi - à condition de disposer du temps nécessaire -  de cumuler progressivement et petit à petit les informations relatives aux données protégées.

 

Hélas, malgré l'avertissement de Bleichenbacher, les failles n'avaient été que sommairement corrigées à l’époque au lieu d'avoir procédé à la réécriture voire au retrait de l'algorithme RSA en cause (RSA PKCS #1 v1.5), ce dernier aura été conservé tel quel lors du passage du SSL au TSL, d’où une porte grande ouverte malheureusement encore présente de nos jours.

Un état des faits qui aura d'ailleurs surpris les chercheurs, étonné à quel point de simples variations de l'attaque originale ont pu être effectués très facilement et avec succès lors des essais, soulignant un manque d'investigation et de tests des implémentations TSL actuelles - autant du côté des vendeurs que des spécialistes en sécurité - surtout en ce qui concerne d'anciennes vulnérabilités largement connues telles que celle-ci.

 

Le papier ayant été publié en décembre, il va de soi que des correctifs ont déjà été distribués et depuis appliqués un peu partout - voir la liste ci-dessous -  ou le seront très prochainement, sans que l'on sache exactement  qui est encore concerné en ce début de 2018. (Source : Robot Attack)

 

robot exploit circa 1998 liste patch

 

Le papier en question, en PDF.
 
robot exploit cle anglaise
Un autre robot prêt à démonter votre vie privée qui vous veut du bien !
Un poil avant ?

Spectre & Meltdown : Intel publie des resultats de benchmarks effectués après application des correctifs

Un peu plus tard ...

Test • Corsair Hydro Series H115i PRO

Les 23 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Baba the Dw@rf, le Mercredi 17 Janvier 2018 à 06h29  
@Au ragoteur rageux :
Mais pense ce que tu veux à la fin.
Tu ne fait que m'insulter alors que ton avis développé se résume à "l'informatique est une faille parce que les technos qu'elle utilise font que c'est pas possible de ne pas avoir de faille".
Ce qui me pose deux problèmes (que je répète pour la nième fois) :
D'abords aucune faille n'est une fatalité, l'humain maitrise de bout en bout la conception de l'informatique et des technologies sous-jacentes. La base de la base étant aussi simpliste et robuste qu'un interrupteur électrique (ou relais électrique pour être plus exacte). Par conséquent les problèmes de sécurités sont non seulement évitables mais uniquement du faits de l'homme. (à deux trois bizarrerie près comme le fait de mettre une antenne contre un processeur permet de "lire" les données grâce aux faibles ondes émise par le passage du courant dedans mais il n'y a pas risque sans faillibilité physique de l'infrastructure donc on va oublier la partie attaque physique).
Alors je ne dis pas que ces failles n'existe pas et qu'on arrivera à toute les éliminées, mais parler de ça comme si c'était une fatalité est un peu trop facile à mon gout et sonne plus comme un dogme anti-informatique qu'un constat.
Surtout que si j'en viens au deuxième point, ça perd tout sens. Mon deuxième est que l'informatique n'est pas plus faillible que n'importe quelle autre conception humaine (sociale, technologique ou architecturale, tout compris). Donc pourquoi pointer l'informatique du doigt.
Bref, je ne suis pas d'accords avec le discours qui déclare l'informatique faillible par essence, elle l'est par construction et à cause de nos erreurs et pas d'un coup du sort ou d'une fatalité.
par Matthieu S., le Mercredi 17 Janvier 2018 à 04h19  
par Un ragoteur tout mignon embusqué le Mardi 16 Janvier 2018 à 23h08
sur cette planète l'humain ressemble plus à un intrus qui n'y a pas sa place.
Oui, un avis que je partage aussi
par Un adepte de Godwin embusqué, le Mercredi 17 Janvier 2018 à 02h27  
par Baba the Dw@rf le Dimanche 14 Janvier 2018 à 13h24
Utiliser un trait d'humour commun à la communauté n'est pas une insulte.
Je m'excuse si j'ai heurter la sensibilité de quelqu'un en parlant de troll velu (les autres détails anatomique n'étant pas de moi). Mais émettre un avis publique c'est laisser au autre le droit de le critiquer. Au lieu de critiquer la critique et de monter sur ses grand chevaux en s'instituant victime des autres alors qu'on les rabaissent et dénigrent l'air de rien à chaque message, tu ferais mieux de parler du sujet de la news et développer clairement une bonne fois pour toute ton avis qu'on refuse tant d'écouter -_-.
A chaque intervention j'ai développé mon avis contrairement à toi qui passe ton temps à tenter de dénigrer mes propos et faire comme si j'avais rien expliqué, en faisant une fixation sur cet argument tueur de débat et ton comportement puéril du style : " t'es un troll poilu bla² donc tu ne racontes que des conneries bla², gna gna, t'as toujours pas argumenté bla ²... j'ai rien entendu, rien vu."
par Un adepte de Godwin embusqué, le Mercredi 17 Janvier 2018 à 02h23  
par Baba the Dw@rf le Dimanche 14 Janvier 2018 à 13h24
Le réel problème de la sécurité informatique c'est que les décideurs voit ça comme un besoin logistique facultatif dans lequel on injectera de l'argent si il reste du budget,...
T'es en plein déni ou alors t'es franchement limité sur ce sujet et tu t'enfonces (pas à cause de ta grammaire ça serait mesquin de t'attaquer là-dessus) en faisant semblant de ne pas comprendre que cette technologie est en elle-même une source permanente de faille quels que soient les efforts des constructeurs, éditeurs ou décideurs. Faut juste du temps et de la persévérance pour les trouver ou parfois du hasard. Exemple : lien
Viens aussi me faire un débat sur la pilosité (et autres joyeusetés ad personam) du gars qui explique pourquoi on aura encore et encore des failles critiques au lieu d'admettre une réalité qui te dépasse.
par Un ragoteur tout mignon embusqué, le Mardi 16 Janvier 2018 à 23h08  
par Matthieu S. le Samedi 13 Janvier 2018 à 10h32
C'est l'Être humain la faille originelle, nous ne sommes pas parfait et en conséquence nos créations non plus
sur cette planète l'humain ressemble plus à un intrus qui n'y a pas sa place.
par Baba the Dw@rf, le Dimanche 14 Janvier 2018 à 13h24  
par Un ragoteur Gaulois embusqué le Samedi 13 Janvier 2018 à 22h10
Insulter les avis [...]
Utiliser un trait d'humour commun à la communauté n'est pas une insulte.
Je m'excuse si j'ai heurter la sensibilité de quelqu'un en parlant de troll velu (les autres détails anatomique n'étant pas de moi). Mais émettre un avis publique c'est laisser au autre le droit de le critiquer. Au lieu de critiquer la critique et de monter sur ses grand chevaux en s'instituant victime des autres alors qu'on les rabaissent et dénigrent l'air de rien à chaque message, tu ferais mieux de parler du sujet de la news et développer clairement une bonne fois pour toute ton avis qu'on refuse tant d'écouter -_-.
par Un ragoteur qui draille embusqué le Samedi 13 Janvier 2018 à 23h11
Quand une est comblée une autre apparait, les rustines s'enchainent depuis des années, à quand une techno inviolable et pourquoi serait-ce impossible ?
Parce que le risque zéro n'existe pas, que l'erreur est humaine et que le système est conçut par des humains. Notre système légal quoi que beaucoup plus anciens n'est pas mieux construits. Et ce n'est qu'un exemple parmis d'autre. La perfection n'est pas de ce monde et il faut l'accepter et vivre avec tout en la prenant en considération dans la manière d'utiliser nos système. Le réel problème de la sécurité informatique c'est que les décideurs voit ça comme un besoin logistique facultatif dans lequel on injectera de l'argent si il reste du budget, comme la plupart des projets sont hors budget avant la fin c'est très rares que la sécurité soit correctement prise en compte si il n'y a pas un cadre légal qui dit au décideur ce qu'ils doivent faire sous peine d'amende
par Un ragoteur qui draille embusqué, le Samedi 13 Janvier 2018 à 23h11  
Tous les mois on découvre que des failles potentiellement critiques existent depuis des mois ou décennies. Les constructeurs et éditeurs de logiciels nous vendent des outils dont la sécurité est relative à la capacité des nuisibles à la mettre à défaut.
Des millions de malwares sont répertoriés, les appareils qui servent à relier des objets et composants en réseaux sont presque tous des sources de failles et d'intrusion...
Quand une est comblée une autre apparait, les rustines s'enchainent depuis des années, à quand une techno inviolable et pourquoi serait-ce impossible ?
par Un ragoteur Gaulois embusqué, le Samedi 13 Janvier 2018 à 22h10  
Insulter les avis d'être ceci ou cela de velu c'est normal et respectable par contre donner son avis sur un domaine même après avoir développé c'est direct considéré comme non recevable sans autre forme de procès.
Le jour où les intervenants de ce site seront capables de commenter sans faire d'images graveleuses à tout bout de champ ou d'analogies fallacieuses pour exprimer leur point de vue ça sera un grand pas pour la communication.
par Baba the Dw@rf, le Samedi 13 Janvier 2018 à 17h43  
@Un champion du monde embusqué :
Tu m'insulte, me menace et continue à jouer au troll sans apporter aucune pertinence à ton contenu. Tentant vainement de caché le manque propos par un vocabulaire maniéré.

Quand quelqu'un dit "c'est un troll (aux couilles) velu(es)", il dit juste qu'il pense que ton message a pour uniquement but de provoquer, faire réagir sans même avancer une once d'argument concret et sans être basé sur un raisonnement réfléchi. Les fioritures sur la pilosité servent de marqueurs d'intensité. C'est donc un avis, qui plus est sans aucun lien avec l'anatomie du "troll" visé. Si ce dernier répond sereinement pour expliquer le fond de sa pensée, alors il démontre qu'il n'est pas un troll. Si il réagit avec agressivité et sans apporter d'argument recevable c'est un troll.

Pour revenir sur mon propos, l'informatique est uniquement un moyen de gestion et de transfert de l'information. Les menaces liées à l'informatique dans ton discours sont, selon moi, des menaces liés non pas à l'informatique mais à la société en générale et ce depuis toujours. Je ne pense donc pas l'argument valable et garde l'impression que le but est de faire réagir et non discuter.

@Un ragoteur de transit embusqué
Pourquoi devrais-je apporter les arguments dans une discussion alors que je pointe juste une insulte gratuite et sans fondement ?(oui dire de personnes inconnues dont on ne connais pas le métier qu'ils sont incompétents c'est les insulter)
Le métier d'un responsable en sécurité informatique, c'est de définir une politique de sécurité pour l'organisation et d'évaluer les risques encouru pour son fonctionnement ainsi que la manière dont ils vont être gérer. On peut désormais expliquer pourquoi on pense qu'ils auraient ou non remplis leur mission dans ce cas-ci.
Message de Janus31 supprimé par un modérateur : insultes deguisées
par Un ragoteur de transit embusqué, le Samedi 13 Janvier 2018 à 12h48  
par Baba the Dw@rf le Samedi 13 Janvier 2018 à 10h02
Avez-vous la moindre idée du travail qu'effectue un responsable informatique ?
Ca brasse de l'air comme tu viens de le faire pour justifier son incompétence. CQFD!
par Un champion du monde embusqué, le Samedi 13 Janvier 2018 à 10h35  
par Baba the Dw@rf le Samedi 13 Janvier 2018 à 10h06
Et, en quoi l'informatique est-elle plus ou moins sure que les moyens de communications qu'elle a remplacé ?
L'informatique ne se limite pas à un "moyen de communications" comme tu dis, rien que ça démontre ton incapacité à réfléchir au-delà de tes œillères et la suite qui se contredit à plusieurs reprises dans la même phrase est trop absurde pour apporter une réponse qui pourrait te faire prendre conscience de cette réalité.
Tu parles de détente et comme ton collègue tu insultes à l'aveuglette quelqu'un qui IRL n'hésiterait probablement pas à ruiner ton intégrité physique pour t'être permis de caricaturer aussi odieusement la sienne.
Ta question est débile, relis-toi, tu demandes des études et chiffres tout en décrétant qu'une réponse n'allant pas dans ton sens serait d'avance disqualifiée...
Je le redis l'informatique est partout et pas juste un moyen de communication.