Oracles Cryptographiques. Trouver une joke de padding

Dimension: px
Commencer à balayer dès la page:

Download "Oracles Cryptographiques. Trouver une joke de padding"

Transcription

1 Oracles Cryptographiques Trouver une joke de padding

2 Présentation Laurent Desaulniers CISSP, CISA, CISM, OSCP Pastafarian Cryptogeek Conseiller senior en sécurité Gabriel Tremblay B.Ing Logiciel, no lousy certs Pentester, Dev, Désagréable Président Subatomic Security Président NorthSec (nsec.io)

3 NorthSec (http://nsec.io) Le Hackus est Mort! Compétition en sécurité appliquée "Capture the flag" SmartCard Hardware Crypto Web Fun... Fun... JEOPARDY! (Public Shaming) Avril 2013 (Montréal/Lieu à venir)

4 Attention : Pas brilliants Nous ne disposons pas, même a deux, d'assez de capital intellectuel pour avoir découvert ces attaques

5 Oracle quoi? + SSL??

6 Cryptographique! Un oracle cryptographique est une faille d'implémentation qui permet de déchiffrer un "ciphertext" sans posséder la clé. Il peut affecter autant l'algorithme que son méchanisme de padding ou autre appendice nouilleux nécessaire à son fonctionnement.

7 AES-ECB - Fonctionnement AES-ECB fonctionne sur une base de bloc de 16 bytes. Pour la présentation, nous assumons que AES-ECB fonctionne avec des boîtes magiques. mais Un bloc plaintext donne TOUJOURS le même plaintext.

8 AES-ECB - Fonctionnement Image non chiffrée et chiffrée Source: Wikipedia

9 AES-ECB - Problématique Les blocs sont indépendants. Il est donc possible de déchiffrer l'ensemble du ciphertext grace au pouvoir du Feng Shui Crypto*

10 AES-ECB - Détection DANS LA NATURE Longueur /16 Plaintext répété = Ciphertext répété Peut s'appliquer a DES sur 8 bytes.

11 AES-ECB - Oracle On doit controller une partie du plaintext Etre capable de causer la génération d'un deuxieme bloc Il devrait y avoir une partie du plaintext que nous ne controlons et que nous ne connaissons pas "Secret" utilisateur role secret Nous controlons "utilisateur" Nous n'avons aucune idée du reste.

12 AES-ECB - Oracle Être capable d'envoyer plusieurs requêtes Captcha Jetons Anti-CSRF Server hébergé sur autre chose qu'une ligne télégraphique

13 AES-ECB - Attaque 1. On cherche a trouver la longueur initiale du Plaintext Complet (ce que l'on contrôle + le reste, si il y en a) 2. On Ajoute 1 caractere a la fin de notre plaintext, ceci aura un impact sur le ciphertext: a. Meme longeur de ciphertext b. Longueur différente.

14 AES-ECB - Attaque Si il n'y a pas de changement de longueur, nous ajoutons un caractère jusqu'a ce que le ciphertext change de taille Longueur Ciphertext = Longueur Plaintext + Padding Si on a un ajout de bloc, on sait que nous avons dépassé le padding???????

15 AES-ECB - Attaque Donc Longueur_Ciphertext = Longueur Plaintext connu et inconnu + Padding Comme les blocs de padding ont 16 bytes, lorsque nous causons la génération d'un nouveau bloc. Alors: Longueur_plaintext = 16 - (Longueur plaintext controllé + longeur plaintext non_controllé) = Padding 1 = Le caractere de trop qui a fait générer un bloc.

16 AES-ECB - Attaque Pourquoi est-ce un oracle? Il est possible de déplacer le plaintext secret au sein du ciphertext Crypto Fengshui!

17 Crypto Fengshui Username Role LAURENT Admistra (Bloc 1) teurppppppppppppppp (Bloc2) Si, le username est AAAAAAAAAAAAAAA AAAAAAAAAAAAAAA AdministrateurPP

18 AES-ECB - Imaginer une biere dont vous connaisez le gout (ciphertext) - Vous connaissez tout les ingrédients (plaintext) sauf 1(premier byte du secret) - Comment pouvez vous déterminer lingrédient manquant si il n'existe que 26 ingredients possibles - Faire 26 fois la recette et valider le gout!

19 AES-ECB Etape 1: CryptoFengshui Etape 2: Faire un dictionnaire Essayer toutes les possibilités de AAAAAAAAAAAAAAAAAA\x00 AAAAAAAAAAAAAAAAAA\xFF Etape 3: Envoyer AAAAAAAAAAAAAAAAA "Et c'est tout!"

20 AES-CBC/PKCS5 - Fonctionnement "Cipher Block Chaining" Les blocs sont maintenant dépendant L'algorithme de padding est défini The evil PKCS5

21 AES-CBC Source: Wikipedia

22 AES-ECB - Fonctionnement Dessin wikipedia

23 AES-CBC - Concepts importants (IV) Un bloc de plaintext doit toujours etre chiffré avec le ciphertext précédent. Que faire pour le premier bloc? Le premier bloc est toujours composé de 16 bytes aléatoires, c'est Le Vecteur d'initialisation (IV) Ainsi, le meme plaintext chiffré deux fois, avec deux IV différent, donnera deux ciphertext différents. Meme si ils ont la même clef.

24 AES-CBC - Concepts importants (IMV) En version très simple (TRÈS), le déchiffrement AES ressemble a: 1. Prendre un bloc de ciphertext 2. Le passer dans des boites magiques (AES) auxquelles nous fournissons aussi la clé. 3. On obtiens un (IMV) 4. On XOR ce IMV avec le ciphertext du bloc précédent 5. On obtiens le plaintext

25 The Evil PKCS5 Il y a TOUJOURS un bloc de padding à la fin. Car le plaintext doit etre contigu a 16 bytes Alors on ajoute un "padding" pour combler les trous Ce padding est défini (norme): 1 byte restant, padding: \x01 2 bytes restant, padding: \x02\x02 3 bytes restant, padding: \x03\x03\x03... Le plaintext est contigu!?, Padding: \x16\x16\x16\x16\x *\x16 :)

26 AES-CBC/PKCS5 - Problématique Ceci expose un fait très intéressant Le padding peut être erroné! Il existe une façon de valider si le padding est valide

27 AES-CBC - Détection DANS LA NATURE Longueur /16 Plaintext répété!= Ciphertext répété Minimum 32 bytes (IV + bloc 1) Si on ne chiffre strictement rien : IV + chiffré (16*\x16). Si on chiffre juste un "A" : IV + chifré(a + 15*\x15) Modifier 1 byte du IV changera tout le reste du ciphertext A tester vraiment!!!

28 AES-CBC/PKCS5 - Oracle Si le système permet à l'attaquant de déterminer qu'une erreur de padding s'est produite nous sommes en situation d'oracle. Cette situation peut se manifester sous plusieurs formes: - Temps de réponse variable - Message d'erreur différent - Code de retour http différent

29 CBC+PKCS5 - Propriété importante Admetons un IV au hazard et 1 bloc de ciphertext La probabilité d'obtenir 15 caratère aléatoire et un padding a \0x01 est nettement supérieure à celle d'obtenir 16*\0x16 Ceci est bizare, mais important pour la suite :)

30 AES-CBC - Attaque 1. Déterminer comment le système exprime une erreur de padding 2. Déterminer comment le système exprime un déchiffrement réussi. (Demo) url-redirect SSO.

31 AES-CBC - Attaque 1. Concentrons nous sur 1 seul bloc 2. Nous allons couper le ciphertext pour ne garder que les 32 premiers bytes a. IV + Block1 3. On met le IV completement a 16*0x00 4. On incrémente le dernier byte du IV jusqu'à ce que le site nous retourne un déchiffrement réeussi.

32 AES-CBC - Attaque 1. Nous sommes en situation où ciphertext = IV + chiffré(block1 + \x01) Car le site n'a pas régurgité d'erreur. Il est cependant important de noter que notre url "plaintext" est completement loufoque. La valeur du caractere du IV est utilisée comme IMV [INSERER DESSIN DE 3 BLOCS)

33 En image Controle Controle Source: Immunity

34 AES-CBC - Attaque Il est possible de déchiffrer le dernier byte car: \0x01 XOR IMV = Plaintext[15]

35 AES-CBC - Attaque Comment s'attaquer au byte [14]? Si vous vous rapellez, nous cherchons une chaine terminée par \x02\x02 Maintenant que nous connaisons la valeur du IMV[15] nous pouvons calculer la valeur pour obtenir \x02 a Block1[15] IMV XOR \x02 XOR \x01 = IV[15]

36 AES-CBC - Attaque Nous recommencons l'attaque sur IV[14] Demo + Dessins + ramasser le sang C'est tout!

37 D'autres oracles Il existe plusieurs autres attaques de ce genre Bleinbacher Attack (RSA) Lenght-Extension (SHA1) D'autres s'ajouteront avec le temps! Hackfest 2013?.. hahah.

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux Chapitre 7 Sécurité des réseaux Services, attaques et mécanismes cryptographiques Hdhili M.H Cours Administration et sécurité des réseaux 1 Partie 1: Introduction à la sécurité des réseaux Hdhili M.H Cours

Plus en détail

15/10/2014. Plan. Cours sécurité informatique Chapitre 2: Notions de la Cryptologie. Introduction : un peu d histoire. 1. Introduction.

15/10/2014. Plan. Cours sécurité informatique Chapitre 2: Notions de la Cryptologie. Introduction : un peu d histoire. 1. Introduction. Faculté des Sciences de Bizerte Plan Cours sécurité informatique Chapitre 2: Notions de la Cryptologie Présenté par : Dr. Olfa DRIDI : dridi_olfa@yahoo.fr 1. Introduction 2. Science de la cryptologie:

Plus en détail

Fireforce. Guide utilisateur

Fireforce. Guide utilisateur Fireforce Guide utilisateur Table des matières Fireforce...1 Installation...3 Logiciel requis...3 Récupération de l'exécutable...3 Installation...3 Utilisation de deux profils Firefox en même temps (optionnel)...3

Plus en détail

Langage C et aléa, séance 4

Langage C et aléa, séance 4 Langage C et aléa, séance 4 École des Mines de Nancy, séminaire d option Ingénierie Mathématique Frédéric Sur http://www.loria.fr/ sur/enseignement/courscalea/ 1 La bibliothèque GMP Nous allons utiliser

Plus en détail

Modes opératoires pour le chiffrement symétrique

Modes opératoires pour le chiffrement symétrique Modes opératoires pour le chiffrement symétrique Charles Bouillaguet 5 février 2015 1 Notion(s) de sécurité On a vu qu un mécanisme de chiffrement symétrique E est contistué de deux algorithmes : E : {0,

Plus en détail

THEME: Protocole OpenSSL et La Faille Heartbleed

THEME: Protocole OpenSSL et La Faille Heartbleed THEME: Protocole OpenSSL et La Faille Heartbleed Auteurs : Papa Kalidou Diop Valdiodio Ndiaye Sene Professeur: Année: 2013-2014 Mr, Gildas Guebre Plan Introduction I. Définition II. Fonctionnement III.

Plus en détail

Sécurisation des données : Cryptographie et stéganographie

Sécurisation des données : Cryptographie et stéganographie Licence 2ème Année V. Pagé (google vpage) Sécurisation des données : Cryptographie et stéganographie Objectifs du cours Introduction à la Cryptographie : Notions de Stéganographie : Image Cachée Premiere

Plus en détail

Les fonctions de hachage, un domaine à la mode

Les fonctions de hachage, un domaine à la mode Les fonctions de hachage, un domaine à la mode JSSI 2009 Thomas Peyrin (Ingenico) 17 mars 2009 - Paris Outline Qu est-ce qu une fonction de hachage Comment construire une fonction de hachage? Les attaques

Plus en détail

CHIFFREMENT CONVENTIONNEL (ou symétrique) Texte en clair (message ou fichier de données) Texte chiffré (message brouillé produit)

CHIFFREMENT CONVENTIONNEL (ou symétrique) Texte en clair (message ou fichier de données) Texte chiffré (message brouillé produit) HIFFREMENT ONVENTIONNEL (ou symétrique) Principes Texte en clair (message ou fichier de données) Algorithme de chiffrement clé secrète (une entrée de l algorithme) Texte chiffré (message brouillé produit)

Plus en détail

La signature électronique et les réseaux de confiance

La signature électronique et les réseaux de confiance La signature électronique et les réseaux de confiance Marc.Schaefer@he-arc.ch HE-Arc Ingénierie Institut des systèmes d'information et de communication (ISIC) Laboratoire de téléinformatique (TINF) Plan

Plus en détail

TP 2 : Chiffrement par blocs

TP 2 : Chiffrement par blocs USTL - Licence et Master Informatique 2006-2007 Principes et Algorithmes de Cryptographie TP 2 : Chiffrement par blocs Objectifs du TP utiliser openssl pour chiffrer/déchiffrer, étudier le remplissage

Plus en détail

Crypt ographie. Les risques réseau. Les risques réseau. Les risques réseau. Sniffing. Attaque passive. Spoofing ou masquarade.

Crypt ographie. Les risques réseau. Les risques réseau. Les risques réseau. Sniffing. Attaque passive. Spoofing ou masquarade. Crypt ographie Les risques réseau Spoofing ou masquarade Se faire passer pour quelqu'un d'autre Possible dès qu'il y a une association effectuée dynamiquement : adresse physique-ip adresse IP-nom redirection

Plus en détail

Où la cryptographie symétrique intervient-elle? L'exemple d'une session https

Où la cryptographie symétrique intervient-elle? L'exemple d'une session https Cryptographie symétrique : introduction Yves Legrandgérard (ylg@pps.jussieu.fr) Paul Rozière (roziere@pps.jussieu.fr) Où la cryptographie symétrique intervient-elle? L'exemple d'une session https Un exemple

Plus en détail

La signature électronique, les réseaux de confiance et l'espionnage du futur

La signature électronique, les réseaux de confiance et l'espionnage du futur La signature électronique, les réseaux de confiance et l'espionnage du futur Marc.Schaefer@he-arc.ch TechDays2015, Neuchâtel HE-Arc Ingénierie Filière informatique Plan la cryptographie en bref et sur

Plus en détail

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre HTTPS Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre Définition HTTPS (HyperText Transfer Protocol Secure) C'est

Plus en détail

INF 4420: Sécurité Informatique Cryptographie II

INF 4420: Sécurité Informatique Cryptographie II : Cryptographie II José M. Fernandez M-3106 340-4711 poste 5433 Aperçu Crypto II Types de chiffrement Par bloc vs. par flux Symétrique vs. asymétrique Algorithmes symétriques modernes DES AES Masque jetable

Plus en détail

Fonctions de hachage. Autres missions de la cryptologie contemporaine. Éric Wegrzynowski. dernière modif : 28. marts 2013

Fonctions de hachage. Autres missions de la cryptologie contemporaine. Éric Wegrzynowski. dernière modif : 28. marts 2013 Plan (MDC) Plan (MDC) Éric Wegrzynowski (MDC) dernière modif : 28. marts 2013 Plan (MDC) Plan (MDC) Autres missions de la cryptologie contemporaine Contrôle d intégrité Nécessité de contrôler l intégrité

Plus en détail

Rapport de Cryptographie

Rapport de Cryptographie Cryptographie [MIF30] / Année 2008-2009 Rapport de Cryptographie Les Injections SQL Sylvie Tixier & François-Xavier Charlet Page 1 20/05/2009 Sommaire Introduction...3 Définition d une injection SQL...3

Plus en détail

quelques problèmes de sécurité dans les réseaux de capteurs

quelques problèmes de sécurité dans les réseaux de capteurs quelques problèmes de sécurité dans les réseaux de capteurs Marine MINIER Laboratoire CITI INSA de Lyon Journées EmSoC 2007 1 Introduction Réseaux sans fil multi-sauts utilisés en général pour monitorer

Plus en détail

Les protocoles cryptographiques: comment sécuriser nos communications?

Les protocoles cryptographiques: comment sécuriser nos communications? Les protocoles cryptographiques: comment sécuriser nos communications? Stéphanie Delaune Chargée de recherche CNRS au LSV, INRIA projet SecSI & ENS Cachan 21 Mars 2014 S. Delaune (LSV Projet SecSI) Les

Plus en détail

Cryptographie > 5/11/2008. Henri-François CHADEISSON [SCIA] EPITA 2009. Mots clés:. - 9 décembre 2008 -

Cryptographie > 5/11/2008. Henri-François CHADEISSON <henrifrancois.chadeisson@gmail.com> [SCIA] EPITA 2009. Mots clés:. - 9 décembre 2008 - Cryptographie > 5/11/2008 Henri-François CHADEISSON [SCIA] EPITA 2009 Mots clés:. - 9 décembre 2008 - Table des matières 1 Introduction 2 2 Cryptographie sans secret

Plus en détail

Compromission d'un environnement VOIP Cisco Exploitation du Call Manager SSTIC 2013. Francisco. Juin 2013 LEXFO 1

Compromission d'un environnement VOIP Cisco Exploitation du Call Manager SSTIC 2013. Francisco. Juin 2013 LEXFO 1 Compromission d'un environnement VOIP Cisco Exploitation du Call Manager SSTIC 2013 Francisco Juin 2013 LEXFO 1 Plan Introduction Méthodologie Exploitation Démo Conclusion Juin 2013 LEXFO 2 Introduction

Plus en détail

TP 2 de dimensionnement de réseaux

TP 2 de dimensionnement de réseaux Bourdin Benoit Courtat Julien TP 2 de dimensionnement de réseaux Exercice 1 Tout au long de TP, nous avons du utiliser httperf. Nous tirons nos résultats de la sortie standart du logiciel, mais aussi d'un

Plus en détail

Emarche v1.5.1. Manuel Utilisateur

Emarche v1.5.1. Manuel Utilisateur Emarche v1.5.1 Manuel Utilisateur Table des matières 1 Pré-requis...2 2 Présentation...3 3 Utilisation...4 3.1 Fenêtre de connexion...4 3.2 Interface principale...5 3.3 Mise à jour automatique...6 3.4

Plus en détail

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci Cours Cryptographie Jeudi 22 février 2012 M1 ISIC Authentification Gabriel Risterucci Cours Cryptographie - Authentification - Principes généraux Moyens d'authentification Authentification différée Système

Plus en détail

Installer Joomla. 2013 Pearson France Joomla! Le guide officiel Jennifer Marriott, Elin Waring

Installer Joomla. 2013 Pearson France Joomla! Le guide officiel Jennifer Marriott, Elin Waring 3 Installer Joomla Dans ce chapitre, nous procéderons au téléchargement et à l installation manuelle de Joomla, et nous expliquerons la configuration de base. Les captures d écran et les instructions font

Plus en détail

ÉPREUVE COMMUNE DE TIPE 2008 - Partie D

ÉPREUVE COMMUNE DE TIPE 2008 - Partie D ÉPREUVE COMMUNE DE TIPE 2008 - Partie D TITRE : Les Fonctions de Hachage Temps de préparation :.. 2 h 15 minutes Temps de présentation devant le jury :.10 minutes Entretien avec le jury :..10 minutes GUIDE

Plus en détail

Serveur Web - IIS 7. IIS 7 sous Windows 2008

Serveur Web - IIS 7. IIS 7 sous Windows 2008 Serveur Web - IIS 7 Le livre de référence de ce chapitre est «Windows Server 2008 - Installation, configuration, gestion et dépannage» des éditions ENI, disponible sur egreta. Le site de référence pour

Plus en détail

réalisé par : Radoniaina ANDRIATSIMANDEFITRA Charlie BOULO Hakim BOURMEL Mouloud BRAHIMI Jean DELIME Mour KEITA 23 février 2011

réalisé par : Radoniaina ANDRIATSIMANDEFITRA Charlie BOULO Hakim BOURMEL Mouloud BRAHIMI Jean DELIME Mour KEITA 23 février 2011 Guide de l Utilisateur d EvalSSL réalisé par : Radoniaina ANDRIATSIMANDEFITRA Charlie BOULO Hakim BOURMEL Mouloud BRAHIMI Jean DELIME Mour KEITA 23 février 2011 1 Table des matières 1 Mode d utilisation

Plus en détail

Laboratoire SSL avec JSSE

Laboratoire SSL avec JSSE Applications et Services Internet Rapport de laboratoire IL2008 20 janvier 2008 TABLE DES MATIÈRES I Table des matières 1 Introduction 1 2 Utilisation du serveur web 1 3 Clé publique générée 1 4 Réponses

Plus en détail

TP Sage. Yannick Renard.

TP Sage. Yannick Renard. TP Sage. Yannick Renard. 1. Introduction. Le logiciel Software for Algebra and Geometry Experimentation (Sage) est un logiciel de mathématiques qui rassemble de nombreux programmes et bibliothèques libres

Plus en détail

TP 2 : Chirements par blocs - Modes opératoires et bourrage. 1 Présentation de openssl. 1.1 Protocole SSL. 1.2 openssl

TP 2 : Chirements par blocs - Modes opératoires et bourrage. 1 Présentation de openssl. 1.1 Protocole SSL. 1.2 openssl 1 Univ. Lille 1 - Master Info 2013-2014 Principes et Algorithmes de Cryptographie TP 2 : Chirements par blocs - Modes opératoires et bourrage. Objectifs du TP utiliser openssl pour chirer/déchirer, étudier

Plus en détail

Programmation Objet - Cours II

Programmation Objet - Cours II Programmation Objet - Cours II - Exercices - Page 1 Programmation Objet - Cours II Exercices Auteur : E.Thirion - Dernière mise à jour : 05/07/2015 Les exercices suivants sont en majorité des projets à

Plus en détail

Signature et chiffrement de messages

Signature et chiffrement de messages 1 sur 5 Signature et chiffrement de messages Dans cette section : À propos des signatures numériques et du chiffrement Obtenir des certificats d'autres personnes Configurer les réglages de sécurité Signer

Plus en détail

CAHIER DES CHARGES POUR APPLICATION MOBILE SAMSUNG SUR OS BADA. Gestionnaire de Mots de Passe Par Anis Safine. Page n 1

CAHIER DES CHARGES POUR APPLICATION MOBILE SAMSUNG SUR OS BADA. Gestionnaire de Mots de Passe Par Anis Safine. Page n 1 CAHIER DES CHARGES POUR APPLICATION MOBILE SAMSUNG SUR OS BADA Par Anis Safine Page n 1 Sommaire I. Descriptif général de l'application...2 1. Problème et solution proposée...2 2. Question de sécurité...2

Plus en détail

Algorithmique et programmation. Cours d'algorithmique illustré par des exemples pour le picbasic

Algorithmique et programmation. Cours d'algorithmique illustré par des exemples pour le picbasic Algorithmique et programmation Cours d'algorithmique illustré par des exemples pour le picbasic Même s'il est possible d'écrire un programme petit à petit par touches successives, le résultat est souvent

Plus en détail

TP : Cryptographie. Important : Un rapport doit être rendu au plus tard 10 jours après le TP.

TP : Cryptographie. Important : Un rapport doit être rendu au plus tard 10 jours après le TP. TP : Cryptographie Important : Un rapport doit être rendu au plus tard 10 jours après le TP. Objectif : Comprendre le mécanisme de chiffrement des mots de passe sous Linux Mise en œuvre d un algorithme

Plus en détail

TP Cryptographie. Seul les services ssh et http/https sont accessibles depuis le poste de travail vers le serveur

TP Cryptographie. Seul les services ssh et http/https sont accessibles depuis le poste de travail vers le serveur TP Cryptographie Utiliser la machine virtuelle : devil crypto.tar.bz2!! Utiliser l'annexe en fin de TP. Le serveur devil sera considéré comme le serveur web, de plus il met à disposition: Le login administrateur

Plus en détail

Tutorial sur la Cryptographie et le système de cryptage à clef publique RSA

Tutorial sur la Cryptographie et le système de cryptage à clef publique RSA Tutorial sur la Cryptographie et le système de cryptage à clef publique RSA I. Introduction II. L algorithme RSA III. Un peu de mathématiques IV. RSA tool² V. Application sur un Crackme VI. Factorisation

Plus en détail

IIS (Internet Information Services) est le serveur Web de Microsoft. Il assure les mêmes fonctions qu'un serveur Web tel qu Apache.

IIS (Internet Information Services) est le serveur Web de Microsoft. Il assure les mêmes fonctions qu'un serveur Web tel qu Apache. Projet Serveur Web I. Contexte II. Définitions On appelle serveur Web aussi bien le matériel informatique que le logiciel, qui joue le rôle de serveur informatique sur un réseau local ou sur le World Wide

Plus en détail

Pierre DUSART (Université de Limoges) LA CRYPTOGRAPHIE

Pierre DUSART (Université de Limoges) LA CRYPTOGRAPHIE Pierre DUSART (Université de Limoges) LA CRYPTOGRAPHIE Aborder la cryptologie de façon historique Communications en Alice et Bob Dans le langage courant, on parle de codes secrets mais il vaut mieux parler

Plus en détail

Authentification de messages et mots de passe

Authentification de messages et mots de passe Sébastien Gambs Autour de l authentification : cours 1 1 et mots de passe Sébastien Gambs sgambs@irisa.fr 1 décembre 2014 Sébastien Gambs Autour de l authentification : cours 1 2 Introduction à l authentification

Plus en détail

IBM MQ SSL : Problèmes & Solutions

IBM MQ SSL : Problèmes & Solutions IBM MQ SSL : Problèmes & Solutions Luc-Michel Demey LMD@demey-consulting.fr +33 6 08 755 655 Version 1.00 - Décembre 2014 Vulnérabilités SSL 2014 Heartbleed Poodle Elliptic Curve 2 IBM MQ SSL : Problèmes

Plus en détail

Relier deux sites distants par un tunnel sécurisé. Nous utiliserons les technologies de cryptage :

Relier deux sites distants par un tunnel sécurisé. Nous utiliserons les technologies de cryptage : TUNNEL IPSEC OBJECTIF Relier deux sites distants par un tunnel sécurisé. Nous utiliserons les technologies de cryptage : AH : Authentification Header, protocole sans chiffrement de données ESP : Encapsulation

Plus en détail

Chiffrement à clef publique, authentification et distribution des clefs. Plan

Chiffrement à clef publique, authentification et distribution des clefs. Plan Chiffrement à clef publique, authentification et distribution des clefs Sécurité des réseaux informatiques 1 Plan Les principes de l'authentification de message Les fonctions de hachage sécurisées SHA-1

Plus en détail

Algorithmique avec Algobox

Algorithmique avec Algobox Algorithmique avec Algobox 1. Algorithme: Un algorithme est une suite d instructions qui, une fois exécutée correctement, conduit à un résultat donné Un algorithme doit contenir uniquement des instructions

Plus en détail

30/10/2014. Introduction: Deux grandes catégories. Cours Sécurité Informatique Chapitre 3: Cryptologie classique. Plan. Chiffrements par transposition

30/10/2014. Introduction: Deux grandes catégories. Cours Sécurité Informatique Chapitre 3: Cryptologie classique. Plan. Chiffrements par transposition Faculté des Sciences de Bizerte Cours Sécurité Informatique Chapitre 3: Cryptologie classique Présenté par : Dr. Olfa DRIDI : dridi_olfa@yahoo.fr Introduction: Deux grandes catégories Chiffrement par bloc

Plus en détail

Sécurité des réseaux Sécurité des réseaux sans-fil

Sécurité des réseaux Sécurité des réseaux sans-fil Sécurité des réseaux Sécurité des réseaux sans-fil A. Guermouche A. Guermouche Cours 6 : WEP & WPA 1 Plan 1. WEP 2. WPA A. Guermouche Cours 6 : WEP & WPA 2 Plan WEP 1. WEP 2. WPA A. Guermouche Cours 6

Plus en détail

HEYROOT.ME. Cracker des hashes. Version Date Révision Auteur 1.0 22/02/2015 Initiation du document Shura

HEYROOT.ME. Cracker des hashes. Version Date Révision Auteur 1.0 22/02/2015 Initiation du document Shura Cracker des hashes Version Date Révision Auteur 1.0 22/02/2015 Initiation du document Shura Description Vous avez récupéré un hash de mots de passe (MD4, MD5, SHA-1, SHA-256,...) d'un système cible. Nous

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

Cryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1

Cryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1 Cryptographie Master de cryptographie Architectures PKI 23 mars 2015 Université Rennes 1 Master Crypto (2014-2015) Cryptographie 23 mars 2015 1 / 17 Cadre Principe de Kercho : "La sécurité d'un système

Plus en détail

DNSSEC. Que signifie DNSSEC? Pourquoi a-t-on besoin de DNSSEC? Pour la sécurité sur Internet

DNSSEC. Que signifie DNSSEC? Pourquoi a-t-on besoin de DNSSEC? Pour la sécurité sur Internet DNSSEC Pour la sécurité sur Internet Que signifie DNSSEC? DNSSEC est une extension du système de noms de domaine (DNS) servant à garantir l authenticité et l intégrité des données de réponses DNS. Par

Plus en détail

Une des deux applications doit être installée : LibreOfficeLibreOffice ou Apache OpenOfficeApache OpenOffice.

Une des deux applications doit être installée : LibreOfficeLibreOffice ou Apache OpenOfficeApache OpenOffice. De nos jours, les suites bureautiques LibreOfficeLibreOffice et Apache OpenOfficeApache OpenOffice s'installent doucement sur nos postes. Elles possèdent de nombreuses fonctionnalités, et je vais nous

Plus en détail

Chiffrement et signature électronique

Chiffrement et signature électronique Chiffrement et signature électronique (basée sur le standard X509) Frédéric KASMIRCZAK 1 Sommaire I. La cryptologie base de la signature électronique... 3 1. Les systèmes symétriques à l origine de la

Plus en détail

Interactions audio sur le site web du LIA Documentation Technique

Interactions audio sur le site web du LIA Documentation Technique 2007 Interactions audio sur le site web du LIA Documentation Technique Projet 13 - IUP Avignon Master1 TAIM 28/05/2007 2 Projet 13 : Interactions audio sur le site web du LIA Sommaire Composants de l'application...

Plus en détail

4D v11 SQL Release 6 (11.6) ADDENDUM

4D v11 SQL Release 6 (11.6) ADDENDUM ADDENDUM Bienvenue dans la release 6 de 4D v11 SQL. Ce document présente les nouveautés et modifications apportées à cette nouvelle version du programme. Augmentation des capacités de chiffrement La release

Plus en détail

Projet de Cryptographie

Projet de Cryptographie Projet de Cryptographie «Cassage mot de passe Windows et Linux» Lionel Coin 08/09 Sébastien Pône Un mot de passe est un moyen d authentification afin de restreindre l accès à une ressource ou un service.

Plus en détail

Mouvement Académique. Notice Technique pour se connecter à Lilmac Enseignant

Mouvement Académique. Notice Technique pour se connecter à Lilmac Enseignant Mouvement Académique Notice Technique pour se connecter à Lilmac Enseignant 1. Vous pouvez vous connecter en tapant directement l adresse : https://portailrh.ac-bordeaux.fr/lilmac/ Ou en passant par le

Plus en détail

Envoyer un message secret

Envoyer un message secret Envoyer un message secret INTRODUCTION Comment coder et décoder un message secret? La cryptographie est l ensemble des techniques qui permettent de chiffrer et de déchiffrer un message, dont le contenu

Plus en détail

1 Grad Info Soir Langage C - Juin 2006

1 Grad Info Soir Langage C - Juin 2006 1 Grad Info Soir Langage C - Juin 2006 1. Explications L'examen comprend 3 parties - un programme à réaliser à domicile - une partie écrite qui comprend un certain nombre de petits paragraphes de code

Plus en détail

Projet Magistère: SSL

Projet Magistère: SSL Université Joseph Fourier, IMA Janvier 2010 Table des matières 1 Introduction 2 Qu est ce que SSL? 3 Historique de SSL/TLS 4 Théorie à propos du fonctionnement de SSL 5 Structure d un certificat 6 SSL

Plus en détail

La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé. Conférence ASIQ, mars 2014

La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé. Conférence ASIQ, mars 2014 La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé Conférence ASIQ, mars 2014 www.hackfest.ca AINSI, CE QUI EST D UNE IMPORTANCE SUPRÊME DANS LA GUERRE, C EST D ATTAQUER

Plus en détail

Worldline Signer Server

Worldline Signer Server Référence du document : WLSign.AUD.0001 Révision du document : 1.3 Date du document : 15/03/2011 Worldline Signer Server Cible de sécurité www.atosworldline.com Table des matières TABLE DES MATIÈRES...2

Plus en détail

CRYPTOGRAPHIE. Authentification et échange de clé. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie

CRYPTOGRAPHIE. Authentification et échange de clé. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie CRYPTOGRAPHIE Authentification et échange de clé E. Bresson SGDN/DCSSI Laboratoire de cryptographie Emmanuel.Bresson@sgdn.gouv.fr L authentification symétrique I. AUTHENTIFICATION I.1. L AUTHENTIFICATION

Plus en détail

TD : Petits exercices pour la reprise

TD : Petits exercices pour la reprise TD : Petits exercices pour la reprise 1) Environnement de travail a) Qu est-ce qu un IDE? Lorsqu on fait de la programmation, il est agréable d avoir à sa disposition différents outils qui permettent de

Plus en détail

Technologies de l Internet. Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr

Technologies de l Internet. Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr Technologies de l Internet Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr Cryptage avec clé secrète même clé I think it is good that books still exist, but they do make

Plus en détail

INF4420: Sécurité Informatique

INF4420: Sécurité Informatique : Cryptographie III José M. Fernandez M-3109 340-4711 poste 5433 Aperçu Crypto III Cryptographie à clé publique (suite) RSA (suite) Problème du log discret Chiffre de El-Gamal Chiffrement à courbe elliptique

Plus en détail

Tests d intrusions dans un cadre formel

Tests d intrusions dans un cadre formel Tests d intrusions dans un cadre formel Introduction Qu est-ce qu un test d intrusion? Tests de vulnérabilité vs Tests d intrusion Règles d engagement Cadre d un test d intrusion Tests d'intrusion - Laurent

Plus en détail

INF4420: Sécurité Informatique Cryptographie I

INF4420: Sécurité Informatique Cryptographie I INF4420: Cryptographie I José M. Fernandez M-3109 340-4711 poste 5433 Aperçu du module Cryptographie (3 sem.) Définitions et histoire Notions de base (théorie de l'information) Chiffrement Méthodes "classiques"

Plus en détail

Certificats électroniques

Certificats électroniques Certificats électroniques Matthieu Herrb Jean-Luc Archimaud, Nicole Dausque & Marie-Claude Quidoz Février 2002 CNRS-LAAS Plan Services de sécurité Principes de cryptographie et signature électronique Autorités

Plus en détail

SAR-SSI, La Rochelle 20/05/2011

SAR-SSI, La Rochelle 20/05/2011 Certification de Sécurité de Premier Niveau Une réponse pragmatique aux besoins du marché civil SAR-SSI, La Rochelle 20/05/2011 Frédéric Rémi - frederic.remi@amossys.fr ACCREDITATION N 1-2190 PORTEE DISPONIBLE

Plus en détail

CREER UNE BASE DE DONNEES ACCESS AVEC DAO (étape par étape)

CREER UNE BASE DE DONNEES ACCESS AVEC DAO (étape par étape) CREER UNE BASE DE DONNEES ACCESS AVEC DAO (étape par étape) NIVEAU : PREMIERE RENCONTRE AVEC VB INITIES/EXPERIMENTES Pré requis pour comprendre ce tutorial : - Connaître les principales commandes de VB

Plus en détail

CHAPITRE 3. PROTOCOLES DE CRYPTOGRAPHIE À

CHAPITRE 3. PROTOCOLES DE CRYPTOGRAPHIE À CHAPITRE 3. PROTOCOLES DE CRYPTOGRAPHIE À CLÉ SECRÈTE http://math.univ-lyon1.fr/~roblot/masterpro.html Propriétés Propriétés Clés. La clé de cryptage et la clé de décryptage sont les mêmes et donc doivent

Plus en détail

Cryptographie. Cours 6/8 - Gestion de clés

Cryptographie. Cours 6/8 - Gestion de clés Cryptographie Cours 6/8 - Gestion de clés Plan du cours Importance de la gestion des clés Clés secrètes, clés publiques Certificats Infrastructure à clé publique (Public Key Infrastructure, PKI) Dans le

Plus en détail

Algorithme amélioré pour trouver des équations de bas degré dans le cadre des attaques algébriques sur des registres à décalage avec mémoire

Algorithme amélioré pour trouver des équations de bas degré dans le cadre des attaques algébriques sur des registres à décalage avec mémoire 239 Prépublication n 34 Fascicule n 2 Algorithme amélioré pour trouver des équations de bas degré dans le cadre des attaques algébriques sur des registres à décalage avec mémoire Frederik Armknecht Universität

Plus en détail

Emarche v1.4.1. Manuel Utilisateur

Emarche v1.4.1. Manuel Utilisateur Emarche v1.4.1 Manuel Utilisateur Table des matières 1 Pré-requis...2 2 Présentation...3 3 Utilisation...4 3.1 Fenêtre de connexion...4 3.2 Interface principale...5 3.3 Mise à jour automatique...6 3.4

Plus en détail

Guide d'utilisation du portail d'authentification Cerbère à usage des professionnels et des particuliers

Guide d'utilisation du portail d'authentification Cerbère à usage des professionnels et des particuliers RAPPORTS Secrétariat Général Service des Politiques Supports et des Systèmes d'information Centre de prestations et d'ingénierie Informatiques Département Opérationnel Sud-Ouest PNE Sécurité 10/11/2011

Plus en détail

(Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

(Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS Détournement de serveur DNS (Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001 Introduction Ce document traite de la possibilité d exploiter le serveur DNS pour pirater certains sites

Plus en détail

4/04/07 LILMAC ENSEIGNANTS. Cette instance de l'application permet aux enseignants de saisir une demande pour le mouvement académique.

4/04/07 LILMAC ENSEIGNANTS. Cette instance de l'application permet aux enseignants de saisir une demande pour le mouvement académique. 4/04/07 LILMAC ENSEIGNANTS Description générale Accueil : Identification Menu principal Description générale Cette instance de l'application permet aux enseignants de saisir une demande pour le mouvement

Plus en détail

LE RPV DE NIVEAU RÉSEAU AVEC TINC

LE RPV DE NIVEAU RÉSEAU AVEC TINC LE RPV DE NIVEAU RÉSEAU AVEC TINC L entreprise Ilog est une petite entreprise de services informatiques située à La Défense. Les chefs de projet de l entreprise sont souvent en déplacement à travers toute

Plus en détail

Sommaire. http://securit.free.fr Sécurisation des communications avec SSL v.3 Page 1/17

Sommaire. http://securit.free.fr Sécurisation des communications avec SSL v.3 Page 1/17 Sommaire Présentation et architecture Sous-protocoles SSL et les certificats Analyse du niveau de sécurité Transport Layer Security TLS v1.0 Conclusions Annexes & Références 2 http://securit.free.fr Sécurisation

Plus en détail

Cryptographie www.ofppt.info

Cryptographie www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Cryptographie DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 3 2. Qu'est-ce

Plus en détail

ACCESS 2000. Les états

ACCESS 2000. Les états ACCESS 2000 S.G.B.D.R. Système de Gestion de Base de Données Relationnelles Utilisation 4 Les états Un état est une forme de compte-rendu de la base de données, destiné plus particulièrement à être imprimé,

Plus en détail

Cryptographie. Master de cryptographie Chirement par ot. 26 janvier 2015. Université Rennes 1

Cryptographie. Master de cryptographie Chirement par ot. 26 janvier 2015. Université Rennes 1 Cryptographie Master de cryptographie Chirement par ot 26 janvier 2015 Université Rennes 1 Master Crypto (2014-2015) Cryptographie 26 janvier 2015 1 / 25 Qu'est ce que la cryptographie par ot? Rappel :

Plus en détail

Information sur l accés sécurisé aux services Baer Online Monaco

Information sur l accés sécurisé aux services Baer Online Monaco Information sur l accés sécurisé aux services Baer Online Monaco Avant de commencer, nettoyez la mémoire cache de votre navigateur internet: Exemple pour les versions à partir d Internet Explorer 6.x:

Plus en détail

26 25 24 2 1 26! 4 10 26.

26 25 24 2 1 26! 4 10 26. Chapitre 1 Historique Ce chapitre ne prétend nullement donner une vision complète de l'histoire de la cryptologie. Il existe de très bons livres consacrés à ce sujet, notamment le livre de Simon Singh

Plus en détail

Visual Studio.NET et Visual SourceSafe - Part 3

Visual Studio.NET et Visual SourceSafe - Part 3 Visual Studio.NET et Visual SourceSafe - Part 3 VSS et VS.NET en développement collaboratif Dans cette partie, nous verrons comment mettre en place une base SourceSafe sur un serveur afin que plusieurs

Plus en détail

Découverte de la cryptographie

Découverte de la cryptographie Maxime Arthaud et Korantin Auguste net7 Jeudi 14 novembre 2013 Syllabus Introduction 1 Introduction 2 La cryptographie, Qu est-ce que c est? Chiffrement ou signature de messages par des clés La cryptographie,

Plus en détail

Sécurité des réseaux Certificats X509 et clés PGP

Sécurité des réseaux Certificats X509 et clés PGP Sécurité des réseaux Certificats X509 et clés PGP A. Guermouche A. Guermouche Cours 5 : X509 et PGP 1 Plan 1. Certificats X509 2. Clés PGP A. Guermouche Cours 5 : X509 et PGP 2 Plan Certificats X509 1.

Plus en détail

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité Les risques liés à la signature numérique Pascal Seeger Expert en cybercriminalité Présentation Pascal Seeger, expert en cybercriminalité Practeo SA, Lausanne Partenariat avec Swisscom SA, Zurich Kyos

Plus en détail

Série 9: Intérêt des fonctions, portée des variables, variables statiques Buts

Série 9: Intérêt des fonctions, portée des variables, variables statiques Buts Série 9: Intérêt des fonctions, portée des variables, variables statiques Buts - La notion de fonction est fondamentale car elle permet d'atteindre deux objectifs: principe d'abstraction: offrir une vue

Plus en détail

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet -

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Marc Tremsal Alexandre Languillat Table des matières INTRODUCTION... 3 DEFI-REPONSE... 4 CRYPTOGRAPHIE SYMETRIQUE...

Plus en détail

SOSI 4.1 Defi Wifi. Finalement, le problème était du au fait que le réseau n'était pas en activité lorsque nous essayions de le pirater.

SOSI 4.1 Defi Wifi. Finalement, le problème était du au fait que le réseau n'était pas en activité lorsque nous essayions de le pirater. SOSI 4.1 Defi Wifi Objectifs généraux Le defi WIFI de cette SOSI avait de nombreux objectids. Avant tout, le but de ce projet était de cracker une clef WEP. Pour cela, nous disposions d'un ordinateur portable

Plus en détail

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie CRYPTOGRAPHIE Chiffrement par flot E. Bresson SGDN/DCSSI Laboratoire de cryptographie Emmanuel.Bresson@sgdn.gouv.fr CHIFFREMENT PAR FLOT Chiffrement par flot Chiffrement RC4 Sécurité du Wi-fi Chiffrement

Plus en détail

Denial of Service and Distributed Denial of Service

Denial of Service and Distributed Denial of Service Denial of Service and Distributed Denial of Service Laurence Herbiet Christophe Boniver Benoit Joseph Xavier Seronveaux DoS Rappels Signature de l attaque DDoS Rappels Signature de l attaque Denial of

Plus en détail

Mon dossier CAPAC. Questions et problèmes récurrents

Mon dossier CAPAC. Questions et problèmes récurrents Mon dossier CAPAC Questions et problèmes récurrents INTRODUCTION Ce document contient un aperçu des problèmes les plus fréquents lors de l identification au niveau de «Mon dossier CAPAC». Si votre problème

Plus en détail