Jump to content
View in the app

A better way to browse. Learn more.
Forum Supreme-Elite

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Pas possible de casser le chiffrement ? C'est pas grave, il suffit de casser le client"¦

Korben
in Actu du Net

Featured Replies

Casser la crypto d'un outil de messagerie chiffré, ça demande pas mal de connaissances, de boulot et de puissance machine.

Ce n'est pas donné à tout le monde et si même la NSA galère, c'est peut-être pas forcement toujours le bon angle d'attaque.

Prenons par exemple Messages de OSX (connu aussi sous le petit nom de iMessage) qui permet d'envoyer des messages (chiffrés) vers les Macs, iPhone, iPad et iPod de vos amis. Il y a quelque temps, les chercheurs en sécurité Joe DeMesy, Shubham Shah, et Matthew Bryant ont découvert un bug au niveau de la couche applicative de Messages, qui permettait de récupérer tous les messages et fichiers contenus dans le Messages de la victime.

Pas besoin de casser le chiffrement donc, il suffisait d'envoyer une URI JavaScript (javascript://) rendue cliquable grâce au comportement de WebKit utilisé par cette application et contenant le code permettant d'accéder au DOM de l'application et à l'attaquant de lire ensuite les fichiers de son choix grâce à des requêtes XMLHttpRequest (XHR).

Il suffit d'un seul clic de la part de la victime et l'attaquant peut alors récupérer et envoyer sur un serveur distant, l'intégralité de l'historique de toutes ses conversations et les pièces jointes associées. Un seul clic, même maladroit, et c'est parti !

Gloups !

Voici une démo en vidéo :

Heureusement, grâce aux principes de responsible disclosure, Apple informé de la faille a pu corriger rapidement le problème en mars de cette année.

Cette démonstration que vous pouvez retrouver en détail ici permet de se rendre compte de 2 choses :

  • Cliquer sur un lien, ça peut faire des dégâts sans sommation.
  • Et même avec le meilleur chiffrement du monde, une application peut laisser fuiter de la donnée en clair. Il suffit tout simplement d'y trouver une faille exploitable.

Soyez donc sûr des outils que vous utilisez, reposez-vous sur des outils open sources qui sont testés par la communauté, et gardez à l'esprit que tout ce que vous pourrez écrire pourra un jour échapper à votre contrôle.

Cet article merveilleux et sans aucun égal intitulé : Pas possible de casser le chiffrement ? C’est pas grave, il suffit de casser le client… ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.



Voir l'article complet
https://forum.supreme-elite.fr/topic/18891-pas-possible-de-casser-le-chiffrement-c%C3%A2%E2%82%AC%E2%84%A2est-pas-grave-il-suffit-de-casser-le-client%C3%A2%E2%82%AC%C2%A6/
Go to topic listing

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.