Qu’est ce qui se passe quand… On arrache une cl茅 USB ? #1

C’est la premi猫re vid茅o de la s茅rie 芦聽Qu’est-ce qui se passe quand…聽禄 ! Dans ce premier 茅pisode, on se penche sur le pourquoi du comment de l’茅jection des cl茅s USB.

Ce second format que l’on vous pr茅sente, apr猫s 芦聽脿 chaud聽禄, nous permet de r茅pondre 脿 des questions qu’on peut se poser au quotidien en utilisant un ordinateur.

Cette vid茅o est un peu particuli猫re car c’est celle qui a servi de pilote. On l’a tourn茅e il y a plusieurs mois et mont茅e plusieurs fois avant d’atteindre ce r茅sultat. Un grand merci 脿 nos spectateurs alphas et b锚tas qui nous apport茅 des tonnes de retours et de conseils ! Il y a encore pas mal d’imperfections, mais il faut bien d茅buter 馃槈 On a appris des tas de choses en la faisant et on progresse 脿 chaque vid茅o, vous pourrez voir 莽a bient么t !

On esp猫re que 莽a va vous plaire, merci d’avance pour tous vos retours, vos commentaires, vos likes, vos partages et vos tips !

Rendez-vous tr猫s bient么t pour le premier 芦聽Rumeur聽禄 !

Retour sur la vid茅o : Pr茅sentation de QTG !

Cela fait une semaine que notre Vid茅o 芦聽Z茅ro聽禄 – Pr茅sentation de QTG ! est sortie.

Et d茅j脿 plus de 100 d’entre vous avez pris le temps de vous abonner ! <3

Allez, on prend le temps de faire un bilan.

Vos retours

Vous nous avez r茅serv茅 un tr猫s bel accueil pour cette vid茅o de pr茅sentation.

Certains d’entre vous ont pris le temps de nous encourager, d’autres de partager et certains m锚me de nous proposer des sujets 馃榾

LA cha卯ne de vulgarisation informatique, libre de droits et sans publicit茅 est h茅berg茅 sur Youtube ? S茅rieusement ?

C’est vrai que cela para卯t antagoniste. 芦聽Sans publicit茅聽禄 et Youtube. Et pourtant…

脟a nous a beaucoup travaill茅 mais, 脿 notre connaissance, il n’existe pas de solution alternative qui respecte nos exigences :

  • qui touche un tr猫s grand public
  • qui n’additionne pas syst茅matiquement une publicit茅 脿 la vid茅o
  • qui licencie en Creative Commons

On va essayer de bosser aussi avec Dailymotion mais y a un paquet de barri猫res 脿 l’entr茅e !

Pourquoi parler si t么t de Tipeee sans attendre d’avoir une certaine audience ?

Il nous semble important de vous sensibiliser d猫s le d茅but au moyen que nous mettons en place pour vous mettre 脿 disposition nos vid茅os gratuitement.

Nous sommes d’ailleurs ravis d’avoir nos premiers Tipeurs.
Un tr猫猫猫猫猫s graaaand merci 脿 eux ! <3

Et la suite ?

La prochaine vid茅o sera la premi猫re de la s茅rie des Qu’est-ce qui se passe quand… ?.

Alors rendez-vous dans quelques jours pour d茅couvrir ce format !

Pr茅sentation de QTG !

Apr猫s un d茅part inattendu nous lan莽ons officiellement notre cha卯ne comme pr茅vu initialement avec une vid茅o 芦聽Z茅ro聽禄 de pr茅sentation en deux minutes !

Et oui. 脟a y est 芦聽Qu’est-ce que tu GEEKes ?聽禄, LA cha卯ne de vulgarisation informatique, libre de droits et sans publicit茅, est lanc茅e !

Dans cette vid茅o, on vous pr茅sente tout. Et pour ceux qui sont plus port茅s sur la lecture, nous avons des pages qui correspondent aux deux parties de la vid茅os :

Nous esp茅rons sinc猫rement que nos cr茅ations vous plairont.

Rendez-vous tr猫s bient么t pour le premier 芦聽Qu’est ce qui se passe quand ?聽禄 !

Retour sur la vid茅o : Explication de KRACK Attacks – A chaud #1

Cela fait une semaine que notre premi猫re vid茅o Explication de KRACK Attacks – A chaud #1 est sortie. Et pour tout vous dire nous sommes ravis !

D茅j脿 plus plus de 450 vues !

Allez, on prend le temps de faire un premier bilan.

Vos retours

Vous avez 茅t茅 nombreux 脿 nous dire ce que vous avez pens茅 de notre premi猫re vid茅o 芦聽脿 chaud聽禄.

MERCIIIII !!! <3

C’est gr芒ce 脿 vous que nous allons progresser.

Nous avons retenu :

芦聽Le son de Tom n’est pas tr猫s bon聽禄

Oui, c’est d没 au micro et au fait que l’enregistrement se fait via visioconf茅rence sur le PC de Flo.

Pour la prochaine, Tom enregistrera avec son micro cravate le son sur son PC et nous assemblerons le tout au montage.

芦聽M锚me si je ne m’y connais pas, j’ai tout compris.聽禄

Merci !! <3

Puisque c’est le but de la vulgarisation rien ne peut nous faire plus plaisir !

芦聽C’est vous qui jouez la d茅mo ?聽禄

Non, nous prenons les r么les de l’utilisateur (Tom) et de l’attaquant (Flo) mais nous ne r茅alisons pas la d茅monstration. Il s’ag卯t de la vid茅o de la d茅monstration officielle que nous commentons.

芦聽J’aurais aim茅 un peu plus de d茅tails sur le fonctionnement du truc mais ce serait peut 锚tre moins accessible du coup !聽禄

C’est un peu l’id茅e 馃槈

Pour creuser le sujet, l’article publi茅 par le chercheur est 脿 lire : https://www.krackattacks.com

芦聽Il y a beaucoup d’acronymes, serait-il possible d’avoir un glossaire ?聽禄

L’informatique, comme beaucoup de m茅tiers, est bard茅 d’acronymes. Et les retenir ne se fait effectivement pas du premier coup. Pour pouvoir 锚tre 芦聽脿 chaud聽禄, nous souhaitons conserver ce format avec le moins de montage possible. Donc pas de glossaire incrust茅 dans la vid茅o. Dans ce format en tout cas, dans les autres vous trouverez beaucoup plus d’aides visuelles (images, sch茅ma, textes, animations etc.).

Qu’est-ce qu’un site 芦聽bien configur茅聽禄 ?

Quelques uns d’entre vous ont pris le temps de nous faire des propositions sur ce que devrait 锚tre un site bien configur茅 pour ne pas laisser la possibilit茅 脿 l’attaquant de le d茅livrer en HTTP ou lieu d’HTTPs (<= le s c’est pour secure).

Voici un r茅cap’ :

RewriteHTTPtoHTTPS ?

En somme, la solution propos茅e est que le serveur force le navigateur de l’utilisateur 脿 utiliser HTTPs m锚me si il lui demande du HTTP.

Comme l’attaquant est en Man in the Middle, SSLStrip permet de d茅tourner le trafic HTTPs en le redirigeant vers du HTTP. Donc du point du vue du serveur, c’est bien du HTTPs et du point de vue du navigateur du HTTP.

脟a ne permet donc pas de parer l’attaque.

HTTP Strict Transport Security ?

HTTP Strict Transport Security (HSTS) est un m茅canisme de politique de s茅curit茅 propos茅 pour HTTP, permettant 脿 un serveur web de d茅clarer 脿 un agent utilisateur (comme un navigateur web), compatible, qu’il doit interagir avec lui en utilisant une connexion s茅curis茅e (comme HTTPS). La politique est donc communiqu茅e 脿 l’agent utilisateur par le serveur via la r茅ponse HTTP, dans le champ d’en-t锚te nomm茅 芦 Strict-Transport-Security 禄. La politique sp茅cifie une p茅riode de temps durant laquelle l’agent utilisateur doit acc茅der au serveur uniquement de fa莽on s茅curis茅e.

Wikipedia FR

脟a c’est une bonne piste ! Bon par contre SSLStrip est capable de passer outre dans deux cas :

  1. C’est la premi猫re fois que le navigateur acc猫de 脿 ce site,
  2. La p茅riode indiqu茅e par HSTS est d茅pass茅e.

HSTS preload ?

On reprend le concept pr茅c茅dent et on ajoute une autorit茅 qui note les sites qui annoncent 锚tre d茅livr茅s en HTTPs : https://hstspreload.org/

Les navigateurs r茅cents r茅cup猫rent constamment cette liste et ils ont donc la possibilit茅 d’interdire 脿 l’utilisateur un site qui ne devrait pas 锚tre en HTTP.

脟a nous semble donc 锚tre une bonne parade !

Merci beaucoup 脿 Aur茅lien Labate pour nous avoir fait d茅couvrir cela. 馃檪

Et la suite ?

Et bien, cette vid茅o n’茅tant pas pr茅vue, 莽a a un peu chamboul茅 notre planning. Mais rien de grave : on va publier la prochaine plus t么t que pr茅vu. 馃槈

Alors rendez-vous dans quelques jours pour la vid茅o de pr茅sentation de notre cha卯ne !

KrackAttacks Qu茅saco ?

#KrackAttacks concerne le protocole WPA/WPA2. C’est le protocole qui s茅curise les 茅changes en WiFi.

WPA signifie WiFi Protected Access.

En cons茅quence, KrackAttacks ne concerne pas la 3G, la 4G, le Bluetooth, la radio, les micro-ondes, etc.

KrackAttacks concerne tous les p茅riph茅riques qui utilisent le WiFi, sous Linux, Windows, Android, MacOS, etc.

… Donc vos objets connect茅s : votre tablette, votre t茅l茅phone portable, votre ordinateur, votre appareil photo, votre cam茅ra de s茅curit茅..

… A condition qu’ils se connectent en WiFi.

Rappel : si vous prot茅gez vos connexions en WEP (Wired Equivalent Privacy), anc锚tre du WPA, votre protection est d茅j脿 tr猫s faible.

KrackAttacks ne permet pas de d茅chiffrer les informations qui transitent via HTTPs ou VPN.

Par contre 莽a permet de tenter de les contourner avec d’autres attaques, on va en parler plus bas.

La faille聽KrackAttacks se situe dans le m茅canisme d’initialisation de la s茅curisation (du chiffrement) de la connexion.

A ce moment l脿 un utilisateur malveillant a la possibilit茅 de se faire passer pour le point d’acc猫s.

En d’autres termes, KrackAttacks commence par une attaque de type 芦聽Man In The Middle聽禄.

L’attaque principale cible donc les clients (votre t茅l茅phone, votre pc, etc.)

N茅anmoins certaines variantes de l’attaque peuvent aussi compromettre les points d’acc猫s (votre box Internet, votre routeur WiFi, etc.)

脟a signifie que l’attaquant doit 锚tre 脿 port茅e du WiFi. Dans votre immeuble, dans votre rue, dans la voiture gar茅e en bas.

Une fois que l’attaquant en est arriv茅 l脿, il peut alors utiliser d’autres techniques pour r茅cup茅rer vos donn茅es (login, mdp, cb, etc.)

Il en existe plein, @Micode en pr茅sente une dans une de ses vid茅os : https://www.youtube.com/watch?v=pqA5nWenxuE

Que devez-vous faire pour vous pr茅munir de KrackAttacks ? Faites vos M脿J r茅guli猫rement !

D’apr猫s les chercheurs derri猫re cette d茅couverte, c’est corrigeable et la plupart des 茅diteurs est d茅j脿 au courant depuis fin ao没t.

Utilisez https://www.eff.org/https-everywhere pour forcer l’utilisation d’HTTPs.

Vous pouvez aussi vous brancher en filaire, pas de soucis de ce c么t茅 l脿.

Et voil脿, fin du thread ! Si on a fait une erreur, si vous avez des questions, dites-le nous 馃槈

Bonus : vous pouvez trouver tous les d茅tails et une d茅monstration de l’attaque sur https://www.krackattacks.com/

脡dit : Nous avons pris le temps de faire un retour sur cette premi猫re vid茅o dans lequel on revient sur les critiques constructives que nous avons re莽ues.


Sources :