Bibm@th

Forum de mathématiques - Bibm@th.net

Bienvenue dans les forums du site BibM@th, des forums où on dit Bonjour (Bonsoir), Merci, S'il vous plaît...

Vous n'êtes pas identifié(e).

Répondre

Veuillez composer votre message et l'envoyer
Nom (obligatoire)

E-mail (obligatoire)

Message (obligatoire)

Programme anti-spam : Afin de lutter contre le spam, nous vous demandons de bien vouloir répondre à la question suivante. Après inscription sur le site, vous n'aurez plus à répondre à ces questions.

Quel est le résultat de l'opération suivante (donner le résultat en chiffres)?
quatre-vingt cinq plus vingt cinq
Système anti-bot

Faites glisser le curseur de gauche à droite pour activer le bouton de confirmation.

Attention : Vous devez activer Javascript dans votre navigateur pour utiliser le système anti-bot.

Retour

Résumé de la discussion (messages les plus récents en premier)

n2turtles
08-08-2009 08:07:01

En fait j'avais en tête de faire un programme pas uniquement pour moi mais pour qui ça intéresse.
Les mots de passes ne doivent pouvoir être consulté que par l'utilisateur qui les a encodé dans le programme.
J'aimerais que la sécurité soit toujours présente même dans le cas négatif où le pirate ai un accès total au pc pendant plusieurs heures... Donc mettre un fichier de configuration avec la méthode pour déchiffrer ne me semble pas idéal.

Pour mon usage un chiffrement symétrique est plus conseillé donc ?
Merci

ps : oui je confirme que le WEP n'est pas sécurisé

Barbichu
05-08-2009 19:57:52

Salut n2turtles,
* Si tu es le seul utilisateur de ce système ou que ton système ne nécéssite pas de partage de mot de passe,
je te conseille d'utiliser un algo de chiffrement symétrique.
Il existe un certain nombre d'algos déclarés sûrs, le plus connu (je pense) étant AES.
(Mais il existe aussi 3DES, Blowfish, cf wikipédia)

Tous les systèmes de chiffrement de tes rêves sont disponible dans une myriade de lib unix, dans tout langage suffisamment développé. Par exemple en python, un petit

from Crypto.Crypto import AES

répondra à tous tes désirs les plus fous (l'API est ici : http://www.dlitz.net/software/pycrypto/apidoc/)

* Si tu veux partager tes mots de passes entre utilisateurs, le mieux est que chaque utilisateur dispose d'une clé gpg (i.e. GNUPG). Tu chiffres alors systématiquement chaque mot de passe avec toutes les clés publiques des gens qui doivent y avoir accès. Les gens peuvent alors récupérer leur chiffré spécifique que seul eux peuvent déchiffrer.

Pour nerosson et yoshi.
Tenter une attaque force brut sur un code (à 6 chiffres) de ton fournisseur est sensé échouer si ton fournisseur prend une précaution élémentaire : bloquer l'accès au bout de n tentatives, avec n de l'ordre de 20 par exemple.

Ce qui rend une connexion wifi beaucoup plus vulnérable est la quantité de paquets traversant les airs, qui est un vrai torrent, un gourmet d'information pour les hackers.
Et non, il n'y a aucun moyen absolument sûr de sécuriser une connexion wifi.
Le WEP n'est pas fiable car il utilise mal les techniques de chiffrement à sa disposition.
Le WPA2 est déjà plus sûr, mais il n'est pas incassable, une bonne habitude est de changer régulièrement sa clé.

++

nerosson
05-08-2009 17:50:29

Le système que j'ai décrit me sert essentiellement pour des comptes avec des fournisseurs.D'autre part, ce que je proposais ne peut être mis réellement en danger que par l'introduction préalable d'un virus. C'est donc du domaine de la protection anti-virus. Avec les fournisseurs, je  n'ai pas trop à m'inquiéter, car ces gens-là n'envoient rien qui n'ait été payé, donc on débouche sur la sécurité des cartes bancaires. Ca me dépasse largement et je ne peux, comme tout le monde, que m'accommoder de ce qui existe et faire attention à ce que je fais.
Ce qui m'importe davantage, c'est la sécurité du réseau wi-fi. J'ai déjà entendu parler de ça et c'est préoccupant.
Y a-t-il des moyens de se prémunir contre les intrusions dans un réseau wi-fi?
Est-il possible de remplacer les connections de plusieurs ordinateurs par des liaisons filaires et de supprimer la   wi-fi ?

yoshi
05-08-2009 17:17:11

Re,

Je ne suis pas un hacker, donc je ne sais pas faire.
En gros, la procédure est la suivante :
-1. On t'envoie une forme de virus, "back door" ou "trojan horse", on guette ta connexion on prend le contrôle de ta bécane et on fait une copie des fichiers. Après, on a tout le temps...
- 2. Autre proposition, on s'attaque directement au système de sécurité de la banque : ce genre d'attaque est assez fréquente.

Ce n'est pas pour rien que l'ex-CRI Centre de Recherches Informatique d'Archamps qui fournit aux Etablissements Scolaires des PINGOO, système (sous Linux) transformant un Ordinateur puissant en un "Serveur de Communications", implante sur lesdits PINGOO des mots de passe de 8 caractères alphanumériques sensibles à la casse.
Ce système est aussi muni d'un système pare-feu ("firewall" recommandé aussi sur les machines perso) anti intrusion et deux cartes réseau, une en entrée et une en sortie.

Avec la loi Hadopi, puis Hadopi II, m'sieu, vous avez intérêt à regarder de plus près la sécurisation de votre réseau wifi, s'pas ! Parce que la clé WEP fournie par défaut  avec les LiveBox, pourtant assez longue se casse en & h, & h "*, via des logiciels dispos sur le Net.
Il me suffirait de venir avec mon propre portable pas très loin de chez toi et charger le logiciel de "sniffer" ton code.
Après quoi, je télécharge à gogo, films et musiques sous ton identifiant de connexion.
Et qui c'est-y qui devra faire la preuve que c'est pas lui le pirate ? C'est Né-ro-sson ! Et qui devra payer d'avance l'amende salée  ? Nérosson !
Et qui s'il est innoncenté, devra s'acquitter de l'amende pour "défaut de sécurisation" prévue par Hadopi II ? Nérosson  encore...
Il y a un deuxième système de sécurisation bien plus évolué existant sur les "Box" : WPA.

Gare à toi, je mets mon bandeau noir, je prends mon sabre, mon portable et j'arrive : A moi, les derniers films et CD/DVD à la mode !
;-=)

@+

nerosson
05-08-2009 16:45:10

Resalut, Yoshi,
Si tu me dis que tu peux faire défiler les 308 915 776 combinaisons de six lettres sur ton ordinateur en quelques heures, je te crois, tu sais mieux que moi. Mais la question n'est pas là. Présenté concrètement, j'ai un compte chez un fournisseur X, couvert par un MDP de six lettres. Décris-moi, CONCRETEMENT, comment tu vas accèder à mon compte ?
Je note d'autre part que j'ai six CHIFFRES à taper pour accéder à mon compte bancaire et faire des virements. Ma banque n'est-elle pas suffisamment sécurisée ?
A plus tard.

yoshi
05-08-2009 14:22:47

Bonjour,

6 lettres = fausse sécurité (et ne parlons pas des CB !).
6 lettres, c'est 308 915 776 clés différentes, ça fait peu : c'est assez vite testé (une poignée d'heures au plus) avec une machine comme la mienne pas très récente et un programme "naïf".
La sécurité (relative) commence à 8 caractères alphanumériques et avec de préférence une sensibilité à la casse, i.e que a et A (par ex.) soient considérées comme des lettres différentes.

Je ne peux que t'inviter à préciser un peu plus ta pensée.

@+

nerosson
05-08-2009 13:52:21

Bonjour, n2tutles, Bonjour, Yoshi,
J'éprouve avec ta question la même difficulté qu'avec beaucoup d'autres : étant nul en informatique (combien de fois ne l'ai-je pas déjà dit), je ne saisis qu'incomplètement ta question. Mais il me semble que ta préoccupation essentielle est de conserver à l'abri des indiscrétions les innombrables mots de passe qu'on utilise sur le net.
Même si je ne suis pas sûr qu'elle t'intéresse, je vais tout de même te donner la méthode que j'emploie. Elle nécessite une condition : posséder chez soi un nombre non négligeable de livres. Chez moi, il y en a du sous-sol aux combles, mais une cinquantaine me semble suffisante. Qui n'a pas cinquante livres chez lui ?
Elle repose aussi sur le fait que les mots de passe nécessaires, on les choisit soi-même. Lorsque j'ai besoin d'un mot de passe, je prends un certain livre (toujours le même), je l'ouvre au hasard et, dans une page, je prends la première lettre d'un certain nombre (variable) des premières lignes. J'obtiens un mot de passe de longueur arbitraire. Il ne me reste plus qu'a noter sur une feuille réservée à cet effet, et qu'il n'est pas nécessaire de dissimuler, le numéro de page et le nombre de lettres.
Ce procédé me paraît respecter tous les principes fondamentaux de Kerckhoffs :
- le procédé ne nécessite pas le secret (je viens de l'exposer),
- la clé (c'est le choix du livre) est on ne peut plus facile à retenir,
- il est d'une simplicité enfantine à utiliser.
On peut m'objecter que ces mots de passe ne comportent que des lettres : quelle importance ? Un mot de passe de six lettres, même en tenant compte de la probabilité de l'absence de lettres rares, demanderait, pour une recherche exhaustive, une centaine de millions d'essais. Reste évidemment la recherche exhaustive de tous les livres....
Je ne m'attarderai pas sur toutes les conventions supplémentaires qu'on pourrait ajouter pour renforcer la sécurité : le gain de sécurité serait loin, à mon avis , de compenser la perte de simplicité.
En fait, je doute que tout ceci te satisfasse, mais je le publie tout de même car je pense que cela peut être utile à d'autres.
Salutations.

yoshi
05-08-2009 09:15:32

Salut,

Avec mes modestes lumières, il me semble que cela doit être possible.
As-tu regardé du côté des méthodes de chiffrage RSA avec le duo clef publique/clef privée ?
Cf http://www.bibmath.net/crypto/moderne/clepub.php3

Ou alors plus simple, regarder du côté du système utilisé pour les échanges Castro/Che Guevarra (tu trouveras ça aussi sur BibM@th : ici et
En effet avec ce dernier système le programme d'encodage/décodage peut être public sans problème tant que ton programme fait appel à une table de correspondances lettres/nombres conservée dans un fichier qui n'est pas communiqué mais que chacun peut créer selon son inspiration.

Cela peut-il t'aider ou du moins contribuer à éclaircir la situation ?

@+

n2turtles
04-08-2009 21:31:46

Bonjour,

J'ai lu quelques méthodes de codage mais visiblement pas assez parce que j'ai toujours un problème pour identifier la méthode qui me convient.
Je m'explique.

J'aimerais créer un logiciel dont le but serait d'enregistrer des informations sensibles (typiquement mots de passe sur les nombreux sites sur lequel on est inscrit sur le web).
Évidement tout cela serait crypté mais je ne veux pas un système de codage secret. J'aimerais que mon programme soit open-source (ce qui empêche donc tout codage secret) et de toute façon je ne suis pas sûr que ce soit très sécurisé parce qu'il arrivera bien un moment où quelqu'un va comprendre la méthode...

Donc la seule solution à laquelle je pense serait de passer par un mot de passe (qui est enregistré localement après passage par un hash) et d'utiliser ce mot de passe pour le cryptage et décryptage.
De sorte que même avec le code source, le hash du mot de passe général (un peu trafiqué pour éviter les attaques par rainbow table), et les données enregistrées, il soit impossible de décrypter sans connaitre le mot de passe.

Qu'en pensez vous ? Est-ce réalisable ? Ca existe déjà ? Qu'utiliser ?

Merci

Pied de page des forums