Le mercredi 14 septembre 2005 à 12:22 +0200, Marc PERRUDIN a écrit : > François Boisson a écrit : > > >Bonjour, je suis tombé par hasard sur une séquence à la télé où un > >hacker (présenté comme tel) faisait une démonstration d'une interception > >d'un numéro de carte bleu sur une connexion SSL https, le journaliste > >insistait longuement sur la présence du petit cadenas dans le coin du > >navigateur. Effectivement, le gars, à 3m, a eu accès au dialogue en > >clair de la connexion et n'a eu aucun mal a identifié les éléments de la > >carte bleue. A l'exposé, le hacker expliquait intercepter les paquets et > >décrypter le tout. J'ai aussi vu le reportage, et j'ai fait un arrêt sur écran tellement j'étais surpris... la ptite fenêtre avec des trucs incompréhensibles en noir et blanc (ça fait tellement bien, le fond noir, point de vue communication, tout à fait dans le trip hacker...) ressemblait à un bête tcpdump en clair... je pense qu'il est beaucoup plus facile de faire croire à un journaliste qu'on a piraté un code de CB que de le faire réellement... pour un journaliste, c'est aussi beaucoup plus facile de montrer un hacker "craquer" votre gentil code de cb que de se renseigner réellement... pour un téléspectateur, c'est beaucoup plus tentant de croire le "bad boy" un peu mystérieux que l'attaché sécurité d'une banque en costard... pour une télé, c'est plus rentable de fournir du frisson et de l'interrogation qu'un plat RAS ou qu'une analyse complète... De l'info à la réalité, il y a tellement de "tentations déviantes..."... et même si ils ne savent pas craquer un SSL, yen a qui savent communiquer :-) Ou bien, les mecs ont trouvé comment factoriser rapidement :-) et là, chapeau, n'est-ce pas, msieu le prof de Math !?! JM > Mon opinion est qu'il «grugeait» et qu'il avait mis > >un cheval de troie sur la machine du client cependant je voudrais être > >sûr: Il n'y a pas à l'heure actuelle de moyen rapide d'intercepter et de > >décrypter à la volée une connexion SSL type https? > > > > > J'ai aussi vu ce reportage. Ce n'est pas leur premier coup mediatique, > il ont deja fini en garde a vue (je crois que c'est toujours les memes : > voir www.linuxfr.org/2002/10/01/9828.html, l'article paru dans Le Monde > n'est plus dispo). Du coup, ils reviennent avec un nouveau nom : 'The > academy" > > Pour resumé, les demos qu'ils presentent pourraient s'appeler 'le reve > du kacker du dimanche'. En effet, pour ce que j'ai pu voir dans cette > 'Academy', ils presentent toujours des situations difficile a obtenir et > omettent souvent des details tres importants et les preparatifs > necessaires pour que la demo fonctionne sachant que ses details sont la > plupart du temps impossibles a mettre en place dans une situation réelle. > > Dans le reportage, ils se sont probablement contentés de préparé une > attaque Man in the middle en ne montrant que le resultat aux > journalistes. Le cadenas est peut etre apparu seulement après la salve > d'avertissement habituelle du a un mauvais certificat, le 'pirate' se > retrouvait sans difficulté sur le chemin des paquets... etc. C'est peut > etre meme un simple cheval de troie comme l'a suggeré quelqu'un dans une > autre reponse. > > Si les journalistes continuent a ne pas verifier leurs sources, surtout > dans ce domaine, ils vont avoir droit a un nouveau cas 'Dead or alive' > (147 suicides par ingestion de poches de silicone suite au retard dans > la sorti du jeu et le tout au 20heures de france 2!!!) > > > > >François Boisson > > > > > > > > > >
Attachment:
signature.asc
Description: This is a digitally signed message part