Survie administrative

Page 3 sur 3 Précédent  1, 2, 3

Voir le sujet précédent Voir le sujet suivant Aller en bas

Re: Survie administrative

Message par tarsonis le Jeu 9 Fév 2012 - 13:43

Salut !
Menuki a écrit:Pour l'archivage de nos données, j'ai généré une clé aléatoire de 1024 caractères que j'ai imprimé en deux exemplaires et mis dans des enveloppes scellées. Une chez mon patron et une chez moi planquée.
Par curiosité, as-tu généré cette clef avec un ordinateur ? Dans ce cas, l'aspect aléatoire est réduit au pseudo aléatoire, qui est relativement fragile.
Pour cause, j'avais programmé un log de cryptage basé sur la théorie du masque jetable. La sécurité du cryptage repose sur la clef.
Si elle est générée vraiment aléatoirement (type radioactivité), alors le cryptage est inviolable pour les clefs de taille du message.
Sinon, il suffit juste de retrouver le noyau d'initiation du générateur aléatoire.
Par exemple, si on génère 10 char (de 0 à 256), nous n'aurons pas 256^10 possibilités, mais juste à rechercher la "graine" du générateur aléatoire, qui se réduit à quelques milliers de possibilités selon la machine utilisée.....
Les générateurs évolués contournent temporairement cette écueil en créant la clef par passage successifs, et à l'aide de fonctions qui transforment les nombres en chiffres en tous genres (cos, exp, etc...) clind'oeil

________________________________________________________
Nous devons apprendre à vivre ensemble comme des frères, sinon nous allons mourir tous ensemble comme des idiots. M. L. K.
Step It Up - Mia Dolls - Un Mauvais Fils - 25 Years of Zelda - Machinarium - Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France

tarsonis
Co-administrateur

Masculin Nombre de messages : 7990
Age : 30
Localisation : Est
Loisirs : Randonnée, botanique, bidouillages DIY, médecine, bouquins SF.
Date d'inscription : 21/05/2008

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Survie administrative

Message par Menuki le Jeu 9 Fév 2012 - 13:55

Cyrus_Smith a écrit:Le problème n'est pas là. Pour prendre un exemple caricatural, si tu tombes quatre fois sur le mot "a" (qui est un mot en tant que troisième personne du nominatif singulier du verbe "avoir"), ça te donne "aaaa" comme mot de passe. Et même en l'ayant généré de cette façon, ça va être difficile d'affirmer que ce qui n'est plus que 4 lettres (chacune encodée sur 8bits on va dire, soit 32 bits au total) possède une entropie de 60 bits! Smile Le est dans les détails, comme disait Descartes.
Pas d'accord.
L'entropie est utilisée ici pour caractériser l'aspect aléatoire des choses (grosso modo, le nombre de combinaisons).
Théoriquement, le mot de passe "aaaa" a autant de probabilité que "mamouthchariotpoubellecarotte".
Le hacker qui veut cracker ton fichier, ne sait pas quelle taille fait ton mot de passe.
Pour lui, toujours autant de combinaisons.

Le fait que ce mot de passe sera dans les premiers testés aussi bien par une attaque brute force, que par une attaque de type concaténation de mots issus d'un dictionnaire, ne change rien à cela.
On peut même imaginer qu'il faudra peut-être plus de temps pour trouver le premier que le second si le cracker teste aléatoirement les combinaisons plutôt qu'incrémentalement.
Cyrus_Smith a écrit:
Menuki a écrit:Mais de cet ensemble, on ne prendrait évidemment qu'un échantillon restreint aux mots de plus 6 caractères.
Ce serait à envisager, mais c'est toujours étrange de réduire les possibilités pour "augmenter l'entropie"... Very Happy
Dans le cas de cette façon de générer les mots de passe, il y a deux entropies (deux ensembles de combinaison) suivant qu'on se pose du côté des attaques brute force ou du côté des attaques par dictionnaire.
Si on prend l'ensemble des mots du dictionnaire, on peut, au final, générer un mot de passe très court qui ne tiendra pas longtemps face à une attaque brute force.
Si on réduit l'ensemble des mots du dictionnaire à seulement les mots d'une certaine taille, on générera des mots de passe plus long mais on sera alors beaucoup plus sensible aux attaques par dictionnaire.
Il faut trouver un compromis.

Encore une fois, les crackers utilisant la concaténation de mots n'existent pas encore.
Seules les attaques brute force seront efficaces.
Donc, si votre mot de passe fait plus de 24 caractères, vous êtes à peu près sûr d'être à l'abri (entropie = 112).
Mettez une lettre sur deux en majuscule et vous serez à l'abri pour très longtemps (entropie = 136).

________________________________________________________
La Liberté, c'est la liberté de pouvoir dire que 2 et 2 font 4.
George Orwell in 1984

Menuki
Membre Premium

Masculin Nombre de messages : 393
Date d'inscription : 08/04/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Survie administrative

Message par Cyrus_Smith le Jeu 9 Fév 2012 - 14:07

Barnabé a écrit:Si c'est pour un usage pro qu'on doit utiliser plein de mots de passe (cas des grands groupes par exemple), le risque est plutôt le 2).
Oui. Pour éviter cela, de plus en plus d'entreprises se tournent vers des solutions où le mot de passe est complété par une carte à puce ou un autre jeton physique d'authentification. (Et même dans ce cas, la sécurité n'est pas toujours sans faille, comme l'ont découvert il y a un an des utilisateurs d'une solution pourtant considérée comme très sûre, SecurID...)

tarsonis a écrit:Par curiosité, as-tu généré cette clef avec un ordinateur ? Dans ce cas, l'aspect aléatoire est réduit au pseudo aléatoire, qui est relativement fragile.
Avec un système d'exploitation moderne, qui utilise un générateur pseudo-aléatoire de qualité cryptographique dont la graine est initialisée à partir d'un pool d'entropie lui-même remplit par diverses sources (usage CPU, entrées/sorties réseau, interruptions matérielles, etc.), le risque est faible (mais ça reste un domaine de recherche actif). Smile

Par ailleurs, on rencontre de plus en plus souvent des machines avec un générateur aléatoire matériel (par exemple basé sur le bruit thermique dans une résistance), en général lent, mais qui peut servir pour générer une graine.

Mais c'est vrai que les générateurs "intégrés" dans les langages de programmation sont souvent "faibles" pour les usages en sécurité (il faut utiliser ceux des bibliothèques de crypto).

________________________________________________________
(...) car seuls l'art et la science peuvent élever les hommes au niveau des dieux.   --Ludwig van Beethoven, 1812

Cyrus_Smith
Modérateur

Masculin Nombre de messages : 2136
Localisation : Île mystérieuse
Date d'inscription : 02/09/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Survie administrative

Message par Menuki le Jeu 9 Fév 2012 - 14:11

Barnabé a écrit:tous les noms communs sont en anglais. Quelqu'un sait-il quelles langues les programmes de cracks par dictionnaire intègrent ? Je suppose qu'ils vont en intégrer de plus en plus et/ou qu'ils peuvent être adaptés par pays, mais à l'heure actuelle ? Seulement l'anglais ? Seulement 3 ou 4 langues les plus répandues ?
Ca serait rigolo qu'on puisse se protéger rien qu'en utilisant les mots d'une langue peu répandue, ou d'un dialecte local !
Les programmes permettent de choisir le dictionnaire en fonction de la langue. Je crois même me souvenir que certains peuvent utiliser les fichiers dictionnaires fournis avec Word...
tarsonis a écrit:Par curiosité, as-tu généré cette clef avec un ordinateur ? Dans ce cas,
l'aspect aléatoire est réduit au pseudo aléatoire, qui est relativement
fragile.
La clé a été générée par un programme pour un cryptage de type DES.
C'est encore particulier.
Je ne suis plus sûr de la longueur par contre, c'est peut-être plus.
D'ailleurs, j'ai fait une erreur, il faut lire 1024bits.

Sinon, tout à fait d'accord avec ta remarque concernant les chiffres pseudo-aléatoires générés par un ordinateur.
Une façon pour générer un signal aléatoire est de lire l'entrée son (sans micro bien sûr).

________________________________________________________
La Liberté, c'est la liberté de pouvoir dire que 2 et 2 font 4.
George Orwell in 1984

Menuki
Membre Premium

Masculin Nombre de messages : 393
Date d'inscription : 08/04/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Survie administrative

Message par Cyrus_Smith le Jeu 9 Fév 2012 - 14:16

Menuki a écrit:
Cyrus_Smith a écrit:Le problème n'est pas là. Pour prendre un exemple caricatural, si tu tombes quatre fois sur le mot "a" (qui est un mot en tant que troisième personne du nominatif singulier du verbe "avoir"), ça te donne "aaaa" comme mot de passe. Et même en l'ayant généré de cette façon, ça va être difficile d'affirmer que ce qui n'est plus que 4 lettres (chacune encodée sur 8bits on va dire, soit 32 bits au total) possède une entropie de 60 bits! Smile Le est dans les détails, comme disait Descartes.
Pas d'accord.
L'entropie est utilisée ici pour caractériser l'aspect aléatoire des choses (grosso modo, le nombre de combinaisons).
Théoriquement, le mot de passe "aaaa" a autant de probabilité que "mamouthchariotpoubellecarotte".
Le hacker qui veut cracker ton fichier, ne sait pas quelle taille fait ton mot de passe.
Pour lui, toujours autant de combinaisons.
N'est ce pas? Sauf que d'après la théorie de l'information, ton message ne peut pas contenir plus d'entropie que sa taille, et sa taille est ici de 32 bits, que l'attaquant le sache ou pas...

________________________________________________________
(...) car seuls l'art et la science peuvent élever les hommes au niveau des dieux.   --Ludwig van Beethoven, 1812

Cyrus_Smith
Modérateur

Masculin Nombre de messages : 2136
Localisation : Île mystérieuse
Date d'inscription : 02/09/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Survie administrative

Message par Barnabé le Jeu 9 Fév 2012 - 14:34

Menuki a écrit:
Barnabé a écrit:tous les noms communs sont en anglais. Quelqu'un sait-il quelles langues les programmes de cracks par dictionnaire intègrent ? Je suppose qu'ils vont en intégrer de plus en plus et/ou qu'ils peuvent être adaptés par pays, mais à l'heure actuelle ? Seulement l'anglais ? Seulement 3 ou 4 langues les plus répandues ?
Ca serait rigolo qu'on puisse se protéger rien qu'en utilisant les mots d'une langue peu répandue, ou d'un dialecte local !
Les programmes permettent de choisir le dictionnaire en fonction de la langue. Je crois même me souvenir que certains peuvent utiliser les fichiers dictionnaires fournis avec Word...

Ah bon, alors c'est pas simple. Soit il faut une langue très rare (tribu d'indiens ?), soit un dialecte local.

Barnabé
Membre Premium

Masculin Nombre de messages : 5287
Localisation : Massif Central
Date d'inscription : 28/04/2008

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Survie administrative

Message par Menuki le Jeu 9 Fév 2012 - 15:17

Cyrus_Smith a écrit:N'est ce pas? Sauf que d'après la théorie de l'information, ton message ne peut pas contenir plus d'entropie que sa taille, et sa taille est ici de 32 bits, que l'attaquant le sache ou pas...
Je te demande pardon. Je n'ai pas été très clair.
Tu as bien une entropie de 32bits dans le contexte d'un message constitué d'une suite de caractères.
Lors d'une attaque par force brute, tu auras à tester 4 caractères comprenant chacun 256 possibilités (donc 8 bits).
Ca nous donne bien 2^32 possibilités.

Dans le contexte d'un message constitué d'une suite de mots, tu n'as pas 4 caractères mais 4 mots parmis 35000 mots.
On n'a plus la même entropie (plus de 2^60 possibilités).
Dans le cas d'une attaque par concaténation de mots issus d'un dictionnaire, on aura beaucoup plus de combinaisons à tester.

L'entropie dépend du type d'information véhiculée.
L'entropie d'un caractère n'est pas la même que l'entropie d'un mot.
Sommes-nous d'accord?

On remarque qu'en réduisant l'échantillon des mots pour obtenir des mots de passe plus long, on réduit les possiblités de l'un pour augmenter celles de l'autre.
Le tout est de trouver le bon compromis.

________________________________________________________
La Liberté, c'est la liberté de pouvoir dire que 2 et 2 font 4.
George Orwell in 1984

Menuki
Membre Premium

Masculin Nombre de messages : 393
Date d'inscription : 08/04/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Survie administrative

Message par BAROUD le Jeu 9 Fév 2012 - 19:30

Tout ces chiffres me rapelle le cas d'un mec que j'ais piraté il'y a longtemps et qui utilisait comme mot de passe pour chiffré un document, avec un logiciel dont j'ais oublié le nom, une série de chiffres de lettres et de caractère spéciaux. Parmis les caractère utilisé, il faisait des espaces avec [Alt+255] (Un caractère invisible mais différent de celui tapé sur la barette "Espace" du clavier). Bah! Mon virus (Cheval de troie) ma tout simplement apporté la clé tapé au clavier avec comme indication des espaces spéciaux "Alt+255" écrite en toute lettres

Vous allez me dire qu'avec un bon antivirus et une mise à jours il se serait prémuni de l'attaque? Et bah non!!! J'ais conservé mon Cheval de Troie dans son PC pendant plus d'un ans et je l'est vue y installé 2 antivirus, et un Anti-Spyware bien connu et je l'est perdu parceque j'ais négligé un certain temps de faire moi aussi une mise à jours indétectable de mon virus (Et j'en est d'autres anecdote de ce genre)

Donc, C'est inutile de cherché des mot de passe que même le CIA ne peut déchiffré mais plutôt utilisé un crypatge courant avec un mot de passe facile à retenir mais mélant quand même chiffres et lettres en majuscules et miniscules. L'important c'est:

- D'avoir ses documents sur un support amovible (Pas sur son PC ou autres terminal connecté en permanance ou occasionellement au net).

- Lors de mise à jours des documents ou ajout de nouveaux, utilisé un términal tournant sous Linux ou un Mac.

- Et surtout caché son support (Carte mémoire, Flash Disque, CD, DVD, Etc...) dans un lieux sure ou sur soit bien caché.

Si votre support est inaccéssible à un tiers que se soit physiquement ou sur le net, alors vous pouvez dormir sur vous lauriers.

________________________________________________________
Je suit comme le scorpion, je chasse tranquille, je fuit le danger, mais faut pas me marché dessus car je pique.

 cheers Que le meilleur de votre passé soit le pire de votre avenir ! cheers 

Présentation BAROUD

BAROUD
Membre Premium - Participe à rendre le contenu de nos forums plus pertinent & pragmatique

Masculin Nombre de messages : 931
Localisation : Tunisie
Emploi : Agent de sécurité
Loisirs : Snorkeling - Bushcraft
Date d'inscription : 27/11/2010

Voir le profil de l'utilisateur http://arabsurvivalist.blogspot.com/

Revenir en haut Aller en bas

Re: Survie administrative

Message par Cyrus_Smith le Ven 10 Fév 2012 - 6:47

Menuki a écrit:
Cyrus_Smith a écrit:N'est ce pas? Sauf que d'après la théorie de l'information, ton message ne peut pas contenir plus d'entropie que sa taille, et sa taille est ici de 32 bits, que l'attaquant le sache ou pas...
Je te demande pardon. Je n'ai pas été très clair.
Tu as bien une entropie de 32bits dans le contexte d'un message constitué d'une suite de caractères.
Lors d'une attaque par force brute, tu auras à tester 4 caractères comprenant chacun 256 possibilités (donc 8 bits).
Ca nous donne bien 2^32 possibilités.

Dans le contexte d'un message constitué d'une suite de mots, tu n'as pas 4 caractères mais 4 mots parmis 35000 mots.
On n'a plus la même entropie (plus de 2^60 possibilités).
Dans le cas d'une attaque par concaténation de mots issus d'un dictionnaire, on aura beaucoup plus de combinaisons à tester.

L'entropie dépend du type d'information véhiculée.
L'entropie d'un caractère n'est pas la même que l'entropie d'un mot.
Sommes-nous d'accord?
Non, c'est pour ça que faire simplement 350004 pour évaluer l'entropie de la méthode avec les mots ne convient pas.
De manière générale, tu ne peux pas considérer qu'un mot de passe est plus fort si l'attaquant sait comment tu l'as généré que s'il ne le sait pas.
Ce que tu évalues c'est la probabilité du mot de passe sachant la méthode utilisée pour le générer. Pour le calcul de l'entropie et de la difficulté à casser le mot de passe, il faudrait calculer la probabilité du mot de passe dans le cas général, donc prendre en compte la probabilité de chaque méthode permettant de générer "aaaa", pas seulement de celle effectivement utilisée. Dans tous les cas, cette entropie ne pourra pas être supérieure à 32 bits si les caractères sont encodés sur 8 bits chacun.

@BAROUD, même là, tu ne te protèges pas contre cette attaque. Smile

Cyrus_Smith
Modérateur

Masculin Nombre de messages : 2136
Localisation : Île mystérieuse
Date d'inscription : 02/09/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Survie administrative

Message par Barnabé le Ven 10 Fév 2012 - 10:31

BAROUD : anecdote intéressante ! C'est sûr qu'on a avant tout intérêt à sécuriser son PC. Si par exemple on a crypté les documents d'identité sur la fameuse carte mémoire, mais qu'on a gardé les scans en clair sur son PC, la sécurité n'est pas bonne.

Barnabé
Membre Premium

Masculin Nombre de messages : 5287
Localisation : Massif Central
Date d'inscription : 28/04/2008

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Survie administrative

Message par Tathor le Ven 10 Fév 2012 - 11:16

Je garde les scan de mes documents importants sur plusieurs supports :

  • Une clef USB crypté (zip + mot de passe)
  • Une messagerie dématérialisé (noyer avec tous les autres mails ... on va dire que c'est le "noyer dans la masse" qui fait office de protection)
  • Sur un mac (zip + mot de passe)
  • Sur un disque dur externe (pareil zip + mot de passe)
In fine la sécurité c'est peut être qu'un fichier ne soit pas trop voyant et qu'il soit noyé dans une masse d'autre fichier et qu'il ressemble à quelque chose d'anodin (l'art du camouflage en quelque sorte). Vos avis ?

Tathor
Membre

Masculin Nombre de messages : 23
Date d'inscription : 17/10/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Survie administrative

Message par Merveilles le Ven 10 Fév 2012 - 13:53

Ne soyons pas naïf non plus.

Si quelqu'un connait un tant soit peu ton identité. Je ne donne aucun détail. Il peut faire une authentique vraie fausse pièce d'identité à ton nom en très peu de temps. Quelque soit ta nationalité. Il y a des failles, non, des canyons dans tous les systèmes.

Si quelqu'un a accès à ton ordinateur, il te connait. Crypté ou pas, s'il veut te « voler » ton identité, c'est hyper facile.

Si tu as des secrets. Garde les dans ta tête et n'en parle à personne. Ne parle pas non plus en dormant.. Tiens ne va pas sur le Net non plus...


Si à la maison tu ne veux pas que quelqu'un mette son nez dans tes petites affaires, j'avais lu quelque part une astuce mnémotechnique.
Au hasard : j'invente : Elle est tombée sous deux mètres de neige le poing levé. Ça donne : Lét_2m2nl.l

Facile ou pas facile à décrypter.

Moi, je ne crypte rien, mes secrets, si j'en ai. Ils sont là.

Merveilles
Membre

Féminin Nombre de messages : 29
Date d'inscription : 26/12/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Survie administrative

Message par BAROUD le Ven 10 Fév 2012 - 18:48

@BAROUD, même là, tu ne te protèges pas contre cette attaque. Smile

Faut trouvé le support pour lui faire ça, sinon, cette methode est trés éfficace pour retiré les info de la personne directement

Sinon, voici une methode simple pour caché ses scan ou autres fichiers crypté ou non dans une simple image JPG (photo de famille, de voiture, de nature, etc...): Comment cacher des fichiers de n'importe quel type dans une image sur Windows

Cette methode peut protéger vos document crypté ou non mais si quelqu'un est vraiment en rogne contre vous et ayants les bonne conaissances, alors il pourra facilement la déjoué.

________________________________________________________
Je suit comme le scorpion, je chasse tranquille, je fuit le danger, mais faut pas me marché dessus car je pique.

 cheers Que le meilleur de votre passé soit le pire de votre avenir ! cheers 

Présentation BAROUD

BAROUD
Membre Premium - Participe à rendre le contenu de nos forums plus pertinent & pragmatique

Masculin Nombre de messages : 931
Localisation : Tunisie
Emploi : Agent de sécurité
Loisirs : Snorkeling - Bushcraft
Date d'inscription : 27/11/2010

Voir le profil de l'utilisateur http://arabsurvivalist.blogspot.com/

Revenir en haut Aller en bas

Page 3 sur 3 Précédent  1, 2, 3

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum