Re: [HS] écoute https

To: Debian <debian-user-french@lists.debian.org>
Subject: Re: [HS] écoute https
From: François Boisson <user.anti-spam@maison.homelinux.net>
Date: Wed, 14 Sep 2005 18:41:29 +0200
Message-id: <[🔎] 20050914184129.6e5a66ff.user.anti-spam@maison.homelinux.net>
In-reply-to: <[🔎] 1126714169.14252.13.camel@localhost.localdomain>
References: <[🔎] 20050913205442.0198d1f9.user.anti-spam@maison.homelinux.net> <[🔎] 4327F9DA.4000808@mp342.org> <[🔎] 1126714169.14252.13.camel@localhost.localdomain>

Le Wed, 14 Sep 2005 18:09:29 +0200
BARBIER Jean-Matthieu <jm.barbier@solidev.org> a écrit:

> 
> Le mercredi 14 septembre 2005 à 12:22 +0200, Marc PERRUDIN a écrit :
> > François Boisson a écrit :
> > 
> > >Bonjour, je suis tombé par hasard sur une séquence à la télé où un
> > >hacker (présenté comme tel) faisait une démonstration d'une
> > >interception d'un numéro de carte bleu sur une connexion SSL https,
> > >le journaliste insistait longuement sur la présence du petit
> > >cadenas dans le coin du navigateur. Effectivement, le gars, à 3m, a
> > >eu accès au dialogue en clair de la connexion et n'a eu aucun mal a
> > >identifié les éléments de la carte bleue. A l'exposé, le hacker
> > >expliquait intercepter les paquets et décrypter le tout.
> 
> J'ai aussi vu le reportage, et j'ai fait un arrêt sur écran tellement
> j'étais surpris... la ptite fenêtre avec des trucs incompréhensibles
> en noir et blanc (ça fait tellement bien, le fond noir, point de vue
> communication, tout à fait dans le trip hacker...) ressemblait à un
> bête tcpdump en clair...
> 

Oui, c'est ce que j'ai vu et cru reconnaitre.


> je pense qu'il est beaucoup plus facile de faire croire à un
> journaliste qu'on a piraté un code de CB que de le faire réellement...
> pour un journaliste, c'est aussi beaucoup plus facile de montrer un
> hacker "craquer" votre gentil code de cb que de se renseigner
> réellement... pour un téléspectateur, c'est beaucoup plus tentant de
> croire le "bad boy" un peu mystérieux que l'attaché sécurité d'une
> banque en costard... pour une télé, c'est plus rentable de fournir du
> frisson et de l'interrogation qu'un plat RAS ou qu'une analyse
> complète...

Certes mais pour le journaliste, c'est quand même mentir (grave faute
professionnel tout de même), j'ai du mal à croire qu'il [le journaliste]
l'ait fait volontairement dans ce cas.

> 
> De l'info à la réalité, il y a tellement de "tentations
> déviantes..."... et même si ils ne savent pas craquer un SSL, yen a
> qui savent communiquer :-)
> 
> Ou bien, les mecs ont trouvé comment factoriser rapidement :-) et là,
> chapeau, n'est-ce pas, msieu le prof de Math !?!

Ben oui mais il y a des progrès. Par ailleurs les échanges avec un
serveur sont très calibrés avec des entêtes parfaitement connus (en
clair, on sait décrypter le début des paquets ce qui constitue le point
de départ de la plupart des techniques de craquages) donc ce type
d'échange se prête à une attaque du code. Par ailleurs, le codage RSA
est très lent donc la plupart du temps, un codage réel constitue en un
codage RSA d'un clé très longue suivi du codage du texte de manière plus
classique par cette clef très longue. Ceci peut être une faiblesse, je
ne connais pas la technique exacte du codage SSL. Mais tout cela me
parait hors de portée actuellement.

Amitiés

FB

Reply to:

Follow-Ups:
- Re: [HS] �
  - From: Guillaume <bou.gui@wanadoo.fr>
- Re: [HS] écoute https
  - From: Stephane Bortzmeyer <stephane@sources.org>

References:
- [HS] écoute https
  - From: François Boisson <user.anti-spam@maison.homelinux.net>
- Re: [HS] écoute https
  - From: Marc PERRUDIN <public@mp342.org>
- Re: [HS] écoute https
  - From: BARBIER Jean-Matthieu <jm.barbier@solidev.org>

Prev by Date: Re: Récupérer les données d'un site avec un script
Next by Date: Re: Re Potao --->sarge
Previous by thread: Re: [HS] écoute https
Next by thread: Re: [HS] �
Index(es):
- Date
- Thread