Un petit peu de nouveau avec le spyworm Flame. Certains de ses composants ont été signés à l'aide de faux certificats Microsoft selon une enquête récente menée par Microsoft même. Ces certificats numériques non autorisés ont permis aux développeurs de Flame de créer un malware apparaissant comme créé et approuvé par Microsoft. La société a déjà publié un correctif d'urgence via Windows Update pour bloquer les certificats utilisés par Flame.

Mike Reavey, directeur principal du Microsoft's Security Response Center (MSRC), dit que le code malveillant a été signé en utilisant le Terminal Server Licensing Service de la société qui est utilisé par des entreprises clientes pour autoriser le Remote Desktop. Reavey ne fournit pas de détails spécifiques sur la façon dont les développeurs de Flame ont pu signer leur code avec ces certificats mais il dit que cela a quelque chose à voir avec l'exploitation d'une faille dans un "vieil algorithme cryptographique".

Cela pourrait signifier que l'autorité de certification de Microsoft utilisait l'algorithme MD5 qui est, comme vous le savez probablement, considéré comme peu sûr. En utilisant ce que l'on appelle des hash collisions, un pirate peut créer un faux certificat qui a le même hash MD5 que le certificat officiel de Microsoft. Le pirate peut alors utiliser leur deuxième certificat pour signer le code qui sera accepté comme venant de Microsoft en raison de la valeur du hachage. Reavey a d'ailleurs ajouté : "The Terminal Server Licensing Service no longer issues certificates that allow code to be signed".

Au total, trois certificats sont affectés. Il s'agit notamment de deux certidicats "Microsoft Enforced Licensing Intermediate PCA" délivrés par l'autorité racine de Microsoft (Microsoft Root Authority) et un certificat "Microsoft Enforced Licensing Registration Authority CA (SHA1)" provenant de"Microsoft Root Certificate Authority". Tout ça pour dire qu'il était vraiment important de faire une correction et c'est pour cela que Microsoft a sorti un patch pour toutes les versions supportées de Windows qui ne fait qu'une centaine de Ko. A vos majs!

Si vous êtes développeur web, vous avez probablement déjà créé un système de connexion. Et si c'est le cas, vous avez dû utiliser une certaine forme de hachage pour protéger les mots de passe des utilisateurs en cas d'une violation de sécurité de votre application/plateforme.

Il y a beaucoup d'idées contradictoires sur la façon de créer correctement le hash d'un mot de passe. Le hachage d'un mot de passe est l'une des choses les plus simples mais la plupart des développeurs le font mal. Et c'est tout le fait de ce tutoriel dédié aux développeurs où je vais vous expliquer comment stocker en toute sécurité les mots de passes dans une base de données et pourquoi il doit être fait d'une certaine façon.

Bon bien sûr sur votre application/site vous devez "forcer" l'utilisateur à saisir un mot de passe avec un minimum de caractères et des caractères spéciaux car aujourd'hui un mot de passe trop simple peut être cracké/sniffé en un rien de temps.

Voici les différentes parties de ce tutoriel :

• Qu'est-ce que le hash d'un mot de passe ?
• Comment le hash d'un mot de passe est-il cracké ?
• Méthodes de hachage efficaces
• Quel algorithme de hachage utiliser ?
• Comment renforcer encore plus sa méthode de hachage ?
• Code PHP : Méthode de base
• Code PHP : Méthode level up
• Code PHP : Méthode shield
• Conclusion

Lire la suite...

Encore un déchiffreur de hash que BreakTheSecurity vient de proposer en téléchargement en version 1.2

Ce cracker de hash, développé par PenTesters et Ethical est capable de déchiffrer du hash MD5, SHA1 et NTLM (mot de passe Windows). Développé en java, il est donc compatible multiplateforme, juste besoin de lancer le jar et hop c'est parti! (requiert tout de même la JRE 1.6)

Les fonctionnalités sont multiples comme le crack par dictionnaire (que vous devrez vous procurer), le générateur de hash mais aussi et surtout avec cette version 1.2 la possibilité de crack un hash en ligne sans dictionnaire!
J'ai testé avec ab4f63f9ac65152575886860dde480a1 et il m'a sorti azerty en quelques secondes. Pas très impressionnant certes. Avec un mot de passe plus compliqué par contre ça fait 30 minutes que ça mouline.

Bien sûr en renforçant votre hash à l'aide d'un salt il y aura très peu de chance qu'un hacker déchiffre votre hash même avec ce logiciel. A moins qu'il soit très très très patient ^_^

Enfin bref pour le télécharger c'est ici ou ici

Ah et j'ai failli oublier : Please Use this software for legal purposes (Testing the Password Strength).

thehackernews.com

La plupart des développeurs utilisent l'algorithme du MD5 ou SHA1 pour chiffrer les mots de passe en base de données.
Une fois celui-ci stocké en bdd, on compare le mot de passe chiffré avec le hash MD5 enregistré en base de données pour autoriser une authentification par exemple.
Ainsi l'administrateur du site ou un pirate ne peut connaître les mots de passes inscrits.

Avec ce genre de chiffrement, il y a peu de chance pour un hacker de récupérer les mots de passe utilisateurs car celui-ci n'est pas réversible. Cependant l'attaque par dictionnaire est toujours possible.
En utilisant par exemple cet outil de reverse MD5 hash vous pourrez retrouver un mot de passe si celui-ci est inscrit dans un des dictionnaires utilisés.
En rentrant par exemple le hash ab4f63f9ac65152575886860dde480a1, cet outil vous retournera azerty.

Pour éviter que votre mot de passe ou celui de vos clients ne soit percé à jour, on va utiliser une petite fonction en PHP permettant de renforcer le hash MD5 généré afin que celui-ci ne soit pas déchiffrable par les dictionnaires.
On ajoutera pour cela une chaîne statique devant le mot de passe avant de générer le hash MD5.

function improve_md5($string)
{
   // Exemple de chaîne statique qui sera concaténée avec la chaîne originale.
   $static_string = 'DSB4zT9';
   // On renvoi le hash MD5 de la chaîne statique concaténée à la chaîne originale.
   return md5($static_string . $string);
}

Vous devrez utiliser cette fonction pour l'enregistrement en base de donnée et la comparaison lors de la connexion.
Attention toutefois de ne pas modifier votre chaîne statique lorsque vous avez fait votre premier enregistrement en base de donnée!

Les développeurs de PHP ont averti les utilisateurs qu'il ne fallait pas mettre à jour PHP vers la dernière version de sa branche (à savoir la 5.3.7) car celle-ci contient un bug critique sur la fonction crypt() qui est utilisée pour chiffrer une chaîne (en général un mot de passe). Cette fonction échoue si une string est passée en MD5 car celle-ci ne retournera pas le hash MD5 mais la string elle-même!!!

Il faudra attendre quelques jours avant de voir ce bug corrigé sur la version 5.3.8 à venir.

threatpost.com