Retour sur la vidéo : Meltdown, Spectre et bug de ouf !! – A chaud #2

Cela fait une semaine que notre vidéo Meltdown, Spectre et bug de ouf !! #2 est sortie.

WOoooww cet accueil !!! On a toujours su que surfer sur l’actualité était payant et cette vidéo nous le confirme.

200 vues en une nuit, 500 vues en 24h et 1500 après une semaine ! Et ça ne s’arrête pas 🙂

C’est également notre première vidéo à dépasser les 100 pouces en l’air <3

Et pour finir, beaucoup d’interactions dans les commentaires et sur Facebook et ça on adooore  !

Compilation de vos retours

« Comparée aux autres vidéos, celle-ci est moins dynamique. »

Nos autres formats vidéos sont tournés avec un prompteur. Et c’est la méthode qui nous offre le plus de confort et nous permet d’être le plus dynamiques. Sur cette vidéo, nous ne les avions pas. La lecture a été assez difficile pour ne pas avoir un regard trop éloigné de la caméra. Ce qui explique l’effet un peu raide.

Il faut qu’on réfléchisse si on peut aménager un peu mieux nos bureaux pour réaliser les « A Chaud » au prompteur.

« Vous auriez peut-être pu ajouter quelques blagues. »

Nous avons écrit volontairement cet épisode de manière assez sérieuse. Il nous a semblé important de faire comprendre à nos spectateurs la gravité de ces deux failles.

« Sinon vous avez entendu parler du patch de Google ? »

Oui on a entendu parler de ça 🙂 Effectivement, les correctifs pour Meltdown que tout le monde est en train de sortir semblent avoir des conséquences faibles pour les utilisations « grand public ». Ce n’est pas du tout la même histoire pour les utilisations pro, en particulier concernant les bases de données. Certains de nos contacts sont en train de tester les correctifs sur leurs serveurs et on nous parle de baisses de performances allant jusqu’à presque 50%. Et pendant ce temps là tout le monde reste vulnérable à Spectre :/

Nous apparaissons sur le site de sensibilisation d’une entreprise

L’un de nos amis a pris le temps de demander à son responsable sensibilisation d’ajouter notre vidéo sur le site de sensibilisation de son entreprise.

Et vous savez quoi ? Cela a été chose faite !

Un grand merci à lui pour l’initiative ! On espère que ça aura été utile.

Et la suite ?

La prochaine vidéo sera le second volet de la série des Man.

Alors rendez-vous dans quelques jours pour découvrir ce nouvel opus !

Meltdown, Spectre et bug de ouf !! – A chaud #2

On est très fier de vous présenter notre deuxième épisode « A Chaud » ! On vous y explique l’actu du moment ! Les énormes failles de sécurité : Meltdown et Spectre. Deux gros problèmes qui nous concernent tous !

On est sur le format « A chaud » donc la qualité de vidéo est un peu moindre qu’à notre habitude.
Ça ne sera pas le cas sur les autres formats mais c’est une condition nécessaire pour avoir une bonne réactivité à l’actualité.

Comme d’hab’, nous espérons que ça va vous plaire. Encore un grand merci d’avance pour tous vos retours, vos commentaires, vos likes, vos partages et vos tips !

Et encore, oui encore, un grand merci à nos Tipeurs !

Nous, on retourne bosser pour le prochain « Man » !

Retour sur la vidéo : Explication de KRACK Attacks – A chaud #1

Cela fait une semaine que notre première vidéo Explication de KRACK Attacks – A chaud #1 est sortie. Et pour tout vous dire nous sommes ravis !

Déjà plus plus de 450 vues !

Allez, on prend le temps de faire un premier bilan.

Vos retours

Vous avez été nombreux à nous dire ce que vous avez pensé de notre première vidéo « à chaud ».

MERCIIIII !!! <3

C’est grâce à vous que nous allons progresser.

Nous avons retenu :

« Le son de Tom n’est pas très bon »

Oui, c’est dû au micro et au fait que l’enregistrement se fait via visioconférence sur le PC de Flo.

Pour la prochaine, Tom enregistrera avec son micro cravate le son sur son PC et nous assemblerons le tout au montage.

« Même si je ne m’y connais pas, j’ai tout compris. »

Merci !! <3

Puisque c’est le but de la vulgarisation rien ne peut nous faire plus plaisir !

« C’est vous qui jouez la démo ? »

Non, nous prenons les rôles de l’utilisateur (Tom) et de l’attaquant (Flo) mais nous ne réalisons pas la démonstration. Il s’agît de la vidéo de la démonstration officielle que nous commentons.

« J’aurais aimé un peu plus de détails sur le fonctionnement du truc mais ce serait peut être moins accessible du coup ! »

C’est un peu l’idée 😉

Pour creuser le sujet, l’article publié par le chercheur est à lire : https://www.krackattacks.com

« Il y a beaucoup d’acronymes, serait-il possible d’avoir un glossaire ? »

L’informatique, comme beaucoup de métiers, est bardé d’acronymes. Et les retenir ne se fait effectivement pas du premier coup. Pour pouvoir être « à chaud », nous souhaitons conserver ce format avec le moins de montage possible. Donc pas de glossaire incrusté dans la vidéo. Dans ce format en tout cas, dans les autres vous trouverez beaucoup plus d’aides visuelles (images, schéma, textes, animations etc.).

Qu’est-ce qu’un site « bien configuré » ?

Quelques uns d’entre vous ont pris le temps de nous faire des propositions sur ce que devrait être un site bien configuré pour ne pas laisser la possibilité à l’attaquant de le délivrer en HTTP ou lieu d’HTTPs (<= le s c’est pour secure).

Voici un récap’ :

RewriteHTTPtoHTTPS ?

En somme, la solution proposée est que le serveur force le navigateur de l’utilisateur à utiliser HTTPs même si il lui demande du HTTP.

Comme l’attaquant est en Man in the Middle, SSLStrip permet de détourner le trafic HTTPs en le redirigeant vers du HTTP. Donc du point du vue du serveur, c’est bien du HTTPs et du point de vue du navigateur du HTTP.

Ça ne permet donc pas de parer l’attaque.

HTTP Strict Transport Security ?

HTTP Strict Transport Security (HSTS) est un mécanisme de politique de sécurité proposé pour HTTP, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web), compatible, qu’il doit interagir avec lui en utilisant une connexion sécurisée (comme HTTPS). La politique est donc communiquée à l’agent utilisateur par le serveur via la réponse HTTP, dans le champ d’en-tête nommé « Strict-Transport-Security ». La politique spécifie une période de temps durant laquelle l’agent utilisateur doit accéder au serveur uniquement de façon sécurisée.

Wikipedia FR

Ça c’est une bonne piste ! Bon par contre SSLStrip est capable de passer outre dans deux cas :

  1. C’est la première fois que le navigateur accède à ce site,
  2. La période indiquée par HSTS est dépassée.

HSTS preload ?

On reprend le concept précédent et on ajoute une autorité qui note les sites qui annoncent être délivrés en HTTPs : https://hstspreload.org/

Les navigateurs récents récupèrent constamment cette liste et ils ont donc la possibilité d’interdire à l’utilisateur un site qui ne devrait pas être en HTTP.

Ça nous semble donc être une bonne parade !

Merci beaucoup à Aurélien Labate pour nous avoir fait découvrir cela. 🙂

Et la suite ?

Et bien, cette vidéo n’étant pas prévue, ça a un peu chamboulé notre planning. Mais rien de grave : on va publier la prochaine plus tôt que prévu. 😉

Alors rendez-vous dans quelques jours pour la vidéo de présentation de notre chaîne !

KrackAttacks Quésaco ?

#KrackAttacks concerne le protocole WPA/WPA2. C’est le protocole qui sécurise les échanges en WiFi.

WPA signifie WiFi Protected Access.

En conséquence, KrackAttacks ne concerne pas la 3G, la 4G, le Bluetooth, la radio, les micro-ondes, etc.

KrackAttacks concerne tous les périphériques qui utilisent le WiFi, sous Linux, Windows, Android, MacOS, etc.

… Donc vos objets connectés : votre tablette, votre téléphone portable, votre ordinateur, votre appareil photo, votre caméra de sécurité..

… A condition qu’ils se connectent en WiFi.

Rappel : si vous protégez vos connexions en WEP (Wired Equivalent Privacy), ancêtre du WPA, votre protection est déjà très faible.

KrackAttacks ne permet pas de déchiffrer les informations qui transitent via HTTPs ou VPN.

Par contre ça permet de tenter de les contourner avec d’autres attaques, on va en parler plus bas.

La faille KrackAttacks se situe dans le mécanisme d’initialisation de la sécurisation (du chiffrement) de la connexion.

A ce moment là un utilisateur malveillant a la possibilité de se faire passer pour le point d’accès.

En d’autres termes, KrackAttacks commence par une attaque de type « Man In The Middle ».

L’attaque principale cible donc les clients (votre téléphone, votre pc, etc.)

Néanmoins certaines variantes de l’attaque peuvent aussi compromettre les points d’accès (votre box Internet, votre routeur WiFi, etc.)

Ça signifie que l’attaquant doit être à portée du WiFi. Dans votre immeuble, dans votre rue, dans la voiture garée en bas.

Une fois que l’attaquant en est arrivé là, il peut alors utiliser d’autres techniques pour récupérer vos données (login, mdp, cb, etc.)

Il en existe plein, @Micode en présente une dans une de ses vidéos : https://www.youtube.com/watch?v=pqA5nWenxuE

Que devez-vous faire pour vous prémunir de KrackAttacks ? Faites vos MàJ régulièrement !

D’après les chercheurs derrière cette découverte, c’est corrigeable et la plupart des éditeurs est déjà au courant depuis fin août.

Utilisez https://www.eff.org/https-everywhere pour forcer l’utilisation d’HTTPs.

Vous pouvez aussi vous brancher en filaire, pas de soucis de ce côté là.

Et voilà, fin du thread ! Si on a fait une erreur, si vous avez des questions, dites-le nous 😉

Bonus : vous pouvez trouver tous les détails et une démonstration de l’attaque sur https://www.krackattacks.com/

Édit : Nous avons pris le temps de faire un retour sur cette première vidéo dans lequel on revient sur les critiques constructives que nous avons reçues.


Sources :