Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé TLS. Afficher tous les messages
Aucun message portant le libellé TLS. Afficher tous les messages

jeudi 20 novembre 2014

HTTPS: Le chiffrement TLS/SSL en 30 secondes en 2015

Hacktivistes et firmes high-tech veulent «chiffrer tout le Web»


L'EFF, Mozilla, Cisco, Akamai et IdenTrust vont proposer des certificats SSL gratuits et qui ne nécessiteraient que trente secondes pour être installés. Objectif : généraliser l’usage du protocole HTTPS.


Tous les défenseurs des droits civiques sont unanimes : pour protéger la vie privée des internautes, il faut renforcer le chiffrement des communications. Le problème, c’est que de nombreux services en ligne ne proposent même pas les bases du chiffrement Web, à savoir HTTPS.
Les hacktivistes d’Electronic Frontier Foundation (EFF) viennent de s’associer à Mozilla, Cisco, Akamai, IdenTrust et l’université du Michigan pour tenter de généraliser l’usage de ce protocole à l’ensemble de la Toile. Ensemble, ces différents acteurs vont créer une nouvelle autorité de certification baptisée « Let’s encrypt ». Son objectif est de permettre aux administrateurs de site de percevoir gratuitement des certificats de chiffrement TLS/SSL et, surtout, de pouvoir les installer de manière simple. « Pour de nombreux administrateurs, obtenir ne serait-ce qu’un certificat de base est déjà compliqué. Le processus de demande peut être source de confusion. Son obtention coûte de l’argent. C’est difficile de l’installer correctement. Sa mise à jour est douloureuse », peut-on lire dans un communiqué du site letsencrypt.org.
Selon l'EFF, un développeur web doit actuellement investir entre une et trois heures de temps pour activer le chiffrement TLS/SSL pour la première fois. Avec l’initiative « Let’s encrypt », l’objectif est de réduire ce délai à 30 secondes maximum. Pour cela, il suffira d’installer un assistant logiciel créé spécialement à cet effet. Techniquement, cet outil repose sur un protocole innovant développé par EFF. Baptisé ACME, il est capable d’automatiser l’approvisionnement et l’installation de certificats.
Le service « Let’s encrypt » sera disponible en été 2015.
Source.:

dimanche 26 octobre 2014

Les Banques vulnérables a la faille Poodle Attaque(faille SSL) ?

SSL désuet depuis 18 ans: Voici la vulnérabilité POODLE(ouf ouf ouf)



Dans le cas où vous n'avez pas entendu, les boffins que Google ont découvert une vulnérabilité qui est assez grave.

Ce n'est pas aussi mauvais que Heartbleed ou le bug Shellshock Bash, mais ce n'est pas le genre de chose que vous voulez pas qu'un pirate malveillant peut exploiter n'importe où près de chez vous.

C'est ce qu'on appelle la vulnérabilité POODLE, ou comme j'aime à penser que c'est "le bug POODLE".

En savoir plus dans la vidéo suivante: ICI 

POODLE signifie «Padding Oracle On Downgraded Legacy Encryption", et c'est un moyen d'intercepter les communications SSL soi-disant sécurisées entre votre ordinateur et un site Web(attaque man in the middle).

Si tout fonctionne correctement, SSL doit être l'une des façons dont vos communications sur Internet sont sécurisées.

Mais POODLE fournit un moyen pour les attaquants, l'imperfection de votre ordinateur de ne pas utiliser le cryptage la plus récente et de ses communications Internet, mais utilisent le désuet SSL 3.0 à la place. Et SSL 3.0 est âgé d'environ 18 ans, il contient des bugs, et a été depuis longtemps supplanté par des technologies plus fortes.

Les bonnes nouvelles est que, contrairement a Heartbleed ou Shellshock, tous ceux qui veulent utiliser la faille POODLE ,ils doivent passer entre votre ordinateur et un site Web que vous êtes en visite. La façon la plus probable qu'ils vont faire est si vous accédez au Web en utilisant le WiFi gratuit dans un café, et ne remarquez pas le pirate assis dans le coin de la pièce - qui est en train de renifler vos données comme il vole à travers les ondes .

Ce qu'ils ne peuvent pas faire(hackers) est de vous attaquer de l'autre côté du monde.

PoodleFurthermore, il semble qu'une attaque réussi de POODLE (un caniche mord ?),est plus susceptible d'être en mesure de voler vos cookies de session, plutôt que de tout ce que vous transmettez-et-qui provient du Web

 Mais si un pirate parvient à saisir ceux-ci, ils pouvaient encore lire vos messages webmail, ou les poster tweets en votre nom, et causer toutes sortes d'autres méfaits.

 

Alors allons vérifier la vulnérabilité au SSL Poodle Attaque, avec les Banques Canadienne et la Caisse Desjardins:


Les banques suivantes sont celles à service complet :


Plusieurs Banques Canadienne sont vulnérables a la faille poodle :
Dont, la Banque de Mtl, http://www.bmo.com/principal/particuliers
ou le site suivant:
 https://www1.bmo.com/onlinebanking/cgi-bin/netbnx/NBmain?product=2
 , la banque de Mtl
La ScotiaBank :
http://www.scotiabank.com/gls/en/index.html#about
ou le  http://www.scotiabank.com/ca/fr/0,,1650,00.html

Caisse Desjardins:
http://www.desjardins.com/
https://accesd.desjardins.com/fr/accesd/




Toute les autres grandes Banques Canadienne , Non !

Le bug internet vulnérabilité du POODLE ! Regardez cette vidéo puis vérifiez votre navigateur.comme je expliqué dans la vidéo, vous pouvez tester votre navigateur par des sites comme le www.poodletest.com toujours aussi mignon et de tester les sites visiter avec www.poodlescan.com

La plupart d'entre nous ont deux ou plusieurs navigateurs installés sur nos systèmes. Contrairement à une solution Windows, il n'y a pas un patch qui permettra de protéger nos navigateurs de caniche. Au lieu de cela, nous devons faire des ajustements au sein de chaque navigateur, avec Firefox, il faut aussi télécharger et utiliser un compte Mozilla Add-on jusqu'à ce qu'une nouvelle version de Firefox arrive dans un mois ou deux.
Soyez conscient: Après avoir effectué ces réglages, vous trouverez peut-être que les sites Web des entreprises ne fonctionnent pas correctement. Donc, je recommande de faire les ajustements suivants à un navigateur et en laissant un autre navigateur pour les sites qui sont toujours en attente pour les changements nécessaires pour se protéger de caniche. (Encore une fois, le correctif pour cette faille doit se faire sur les deux extrémités de connexions Internet -. Le client et le serveur)
Les modifications suivantes forcer votre navigateur à ne pas utiliser SSL 3.0. Voici ce qu'il faut régler dans les trois premiers navigateurs.
Chrome: le navigateur de Google, modifier le raccourci qui lance le navigateur, l'ajout d'un drapeau à la fin du chemin de raccourci. Commencez par sélectionner l'icône normalement utilisé pour lancer Chrome. Faites un clic droit sur ​​l'icône et sélectionnez Propriétés. Sous l'onglet Raccourci, trouver la case "Cible" et insérer --ssl-version-min = TLS1 immédiatement après chrome.exe "(voir Figure 1). Il devrait ressembler à ceci (notez l'espace entre .exe" et --ssl-):
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = TLS1
(Remarque: Si votre chemin de Chrome original ne commence ni ne finit avec des guillemets, ne pas ajouter un après chrome.exe.)
Chrome TLS flag
Figure 1. Désactivez SSL 3.0 soutien dans Chrome en ajoutant un drapeau à la fin du chemin Propriétés / cible.
A partir de maintenant, lancer Chrome seulement avec ce raccourci édité. Lancement du navigateur de toutes les icônes de lancement inédites ne protège pas de caniche. Envisager cliquant sur ​​l'onglet Général dans la boîte de dialogue Propriétés Chrome et donner le raccourci édité un nom unique - comme «Chrome - pas SSLv3" ou quelque chose de semblable. Ensuite, vous saurez toujours vous utilisez le raccourci droit.
Firefox: Comme indiqué dans le 14 octobre Mozilla blogue poste , Firefox 34, qui devrait être publié le 25 novembre, permet de désactiver SSL 3.0. En attendant, Mozilla recommande d'installer le (add-on site de téléchargement ), "SSL contrôle de version 0,2" (voir la figure 2), qui vous permettra de contrôler le support de SSL dans le navigateur. (Certains sites ont recommandé d'ajuster les paramètres de Firefox dans le fichier de configuration, mais Mozilla recommande l'utilisation de l'add-on à la place.)
Firefox SSL add-on
Figure 2. Pour désactiver SSL 3.0 soutien dans Firefox, Mozilla propose un navigateur add-on.
Internet Explorer: Dans IE, cliquez sur l'icône d'engrenage (Paramètres), cliquez sur Options Internet, puis sélectionnez l'onglet Avancé. Faites défiler la liste des paramètres pour la catégorie Sécurité, et ensuite chercher SSL 3.0. Décochez la case (voir Figure 3), cliquez sur OK, puis relancer IE.
administrateurs de réseau peuvent faire ce changement à tous les ordinateurs sur le réseau local via la politique du Groupe de Windows. Accédez aux paramètres d'Internet Explorer et de modifier l'objet de soutien de cryptage Éteignez (Panneau de configuration Composants Windows \ Internet Explorer \ Internet \ page Avancé).
Disable SSLv3 in IE
Figure 3. Dans IE, décochez la case "Utiliser SSL 3.0" dans la boîte de dialogue des paramètres avancés.
Microsoft a publié une sécurité initiale consultatif sur ce sujet; attendre à voir des indications supplémentaires dans un proche avenir.
Comment tester la protection TLS / SSL de votre navigateur
Plusieurs sites tester si votre navigateur prend en charge actuellement ouvert SSL 3.0. Pour un test simple, Poodletest.com affiche un caniche si votre navigateur prend en charge encore SSL 3.0, et un terrier Springfield si elle ne le fait pas.Donc vaut mieux un Terrier (TLS),qu'un vulnérable Caniche (SSL).
D'autre part, Qualys SSL Labs ( le site ) fournit une analyse plus détaillée des protocoles SSL que votre navigateur prend en charge.
Comme indiqué plus haut, certains sites commerciaux tels que les services bancaires en ligne peuvent encore besoin SSL 3.0. Encore une fois, je recommande de laisser SSL 3.0 support sur ​​un navigateur; ça va être plus rapide et plus sûr que d'ajuster à plusieurs reprises les paramètres du navigateur. Si vous utilisez un serveur Web ou un serveur de petite entreprise, vous devez désactiver le support de SSL 3.0 pour mieux protéger les postes de travail connectés et les téléphones basés sur Internet.
Une forums InfoSec communautaires Incidents.org pages listes Comment faire pour bloquer SSL 3.0 sur différentes plates-formes basées sur le Web.
Par exemple, dans Windows Server, créer (ou modifier) ​​une valeur DWORD du Registre comme suit:
  • Dans votre éditeur de registre, allez dans:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ \ SecurityProviders SCHANNEL \ Protocols
  • Selon les protocoles, créer une clé appelée "SSL 3.0". Puis, sous cette clé, créez une autre clé appelée "serveur".
  • Créez un DWORD nommée "Enabled" et lui donner une valeur de 0.
  • Redémarrez le serveur; vous et tous les clients connectés bénéficieront désormais du Poodle/caniche exploits.
  •  
  •  
    Poodle/Caniche est une indication claire que le système TLS / SSL nous nous appuyons sur les besoins fonctionne. En fait, l'ensemble du système des protocoles et des certificats de sécurité pourrait bien être un château de cartes. Par exemple, HP a récemment annoncé que l'un de ses certificats a été utilisé pour signer des malwares. Comme indiqué dans une Krebs sur la sécurité après , HP révoquer le 21 octobre le certificat qu'il a utilisé pour une partie du logiciel fourni avec des produits plus anciens. Malheureusement, HP est pas complètement sûr de ce que l'impact que le changement sur ​​la capacité de restaurer certains ordinateurs HP. Regardez pour mes futures mises à jour sur ce sujet.
    Un autre tour dans le duel sur la sécurité d'Internet. Comme il a été largement mentionné, Poodle/Caniche tue efficacement le protocole SSL 3.0.  Cependant, il ya une lueur d'espoir à ce dernier gâchis de sécurité - il faut maintenant forcer tout le monde sur l'Internet pour finalement abandonner, un protocole non sécurisé désuet.
  •  
  • SOURCE.: 

samedi 18 octobre 2014

SSL désuet depuis 18 ans: Voici la vulnérabilité POODLE(ouf ouf ouf)



Dans le cas où vous n'avez pas entendu, les boffins que Google ont découvert une vulnérabilité qui est assez grave.

Ce n'est pas aussi mauvais que Heartbleed ou le bug Shellshock Bash, mais ce n'est pas le genre de chose que vous voulez pas qu'un pirate malveillant peut exploiter n'importe où près de chez vous.

C'est ce qu'on appelle la vulnérabilité POODLE, ou comme j'aime à penser que c'est "le bug POODLE".

En savoir plus dans la vidéo suivante: ICI 

POODLE signifie «Padding Oracle On Downgraded Legacy Encryption", et c'est un moyen d'intercepter les communications SSL soi-disant sécurisées entre votre ordinateur et un site Web(attaque man in the middle).

Si tout fonctionne correctement, SSL doit être l'une des façons dont vos communications sur Internet sont sécurisées.

Mais POODLE fournit un moyen pour les attaquants, l'imperfection de votre ordinateur de ne pas utiliser le cryptage la plus récente et de ses communications Internet, mais utilisent le désuet SSL 3.0 à la place. Et SSL 3.0 est âgé d'environ 18 ans, il contient des bugs, et a été depuis longtemps supplanté par des technologies plus fortes.

Les bonnes nouvelles est que, contrairement a Heartbleed ou Shellshock, tous ceux qui veulent utiliser la faille POODLE ,ils doivent passer entre votre ordinateur et un site Web que vous êtes en visite. La façon la plus probable qu'ils vont faire est si vous accédez au Web en utilisant le WiFi gratuit dans un café, et ne remarquez pas le pirate assis dans le coin de la pièce - qui est en train de renifler vos données comme il vole à travers les ondes .

Ce qu'ils ne peuvent pas faire(hackers) est de vous attaquer de l'autre côté du monde.

PoodleFurthermore, il semble qu'une attaque réussi de POODLE (un caniche mord ?),est plus susceptible d'être en mesure de voler vos cookies de session, plutôt que de tout ce que vous transmettez-et-qui provient du Web

 Mais si un pirate parvient à saisir ceux-ci, ils pouvaient encore lire vos messages webmail, ou les poster tweets en votre nom, et causer toutes sortes d'autres méfaits.




Le bug internet vulnérabilité du POODLE ! Regardez cette vidéo puis vérifiez votre navigateur.comme je expliqué dans la vidéo, vous pouvez tester votre navigateur par des sites comme le www.poodletest.com toujours aussi mignon et de tester les sites visiter avec www.poodlescan.com

Voici un exemple:



Si possible, réglez la version minimale de SSL pour votre navigateur (mettons I.E.)qui soutiendra le plus sécure qui est le TLS a la version 1. Autrement dit,si ton navigateur soutient la dernière version du très sécure TLS 1.0(ci-dessus la propriété de internet explorer) ,mais que ton site web lui le SSL 3.0, bien tu es dans marde !(faut mettre minimum le SSL en version 1.0 ou 2.0 lol ! )

Scott Helme a utilement décrit comment désactiver SSL 3.0 dans tous les principaux navigateurs et plates-formes de serveur ICI .




Les modifications suivantes forcer votre navigateur à ne pas utiliser SSL 3.0. Voici ce qu'il faut régler dans les trois premiers navigateurs.
Chrome: Dans le navigateur de Google, modifier le raccourci qui lance le navigateur, l'ajout d'un drapeau à la fin du chemin de raccourci. Commencez par sélectionner l'icône normalement utilisé pour lancer Chrome. Faites un clic droit sur ​​l'icône et sélectionnez Propriétés. Sous l'onglet Raccourci, trouver la case "Cible" et insérer --ssl-version-min = TLS1 immédiatement après chrome.exe "(voir la figure 1). Elle devrait ressembler à quelque chose comme ceci (notez l'espace entre exe" et --ssl-):
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = TLS1
(Remarque: Si votre chemin de Chrome original ne commence ni ne finit avec des guillemets, ne pas ajouter un après chrome.exe.)
Chrome TLS flag
Figure 1: Désactiver SSL 3.0 support dans Chrome en ajoutant un drapeau à la fin du chemin Propriétés / cible.
A partir de maintenant, lancer Chrome seulement avec ce raccourci modifié. Lancement du navigateur à partir des icônes de lancement inédites ne fournira pas de protection de caniche. Envisager cliquant sur ​​l'onglet Général dans la boîte de dialogue Propriétés Chrome et donner le raccourci édité un nom unique - comme «Chrome - pas SSLv3" ou quelque chose de semblable. Ensuite, vous saurez toujours vous utilisez le droit raccourci.
Firefox: Comme indiqué dans le 14 octobre Mozilla blogue poste , Firefox 34, qui devrait être publié le 25 novembre, permet de désactiver SSL 3.0. En attendant, Mozilla recommande d'installer le (add-on site de téléchargement ), "SSL contrôle de version 0,2" (voir la figure 2), qui vous permettra de contrôler le support de SSL dans le navigateur. (Certains sites ont recommandé d'ajuster les paramètres de Firefox dans le fichier de configuration, mais Mozilla recommande l'utilisation de l'add-on à la place.)
Firefox SSL add-on
Figure 2: Pour désactiver SSL 3.0 support de Firefox, Mozilla propose un navigateur add-on.
Internet Explorer: Dans Internet Explorer, cliquez sur l'icône d'engrenage (paramètres), cliquez sur Options Internet, puis sélectionnez l'onglet Avancé. Faites défiler la liste des paramètres à la catégorie de sécurité, et ensuite chercher Utiliser SSL 3.0. Décochez la case (voir la figure 3), cliquez sur OK, puis relancer IE.
administrateurs de réseau peuvent faire ce changement à tous les PC sur le réseau local via la politique du Groupe de Windows. Accédez aux paramètres d'Internet Explorer et de modifier l'objet de soutien de cryptage Éteignez (Panneau de configuration Windows Components \ Internet Explorer \ Internet \ Page avancée).
Disable SSLv3 in IE
Figure 3 Dans IE, décochez "Utiliser SSL 3.0" dans la boîte de dialogue des paramètres avancés.
Microsoft a publié une sécurité initiale consultatif sur ce sujet; s'attendre à voir des indications supplémentaires dans un proche avenir.
Comment tester la protection TLS / SSL de votre navigateur
Plusieurs sites tester si votre navigateur prend en charge actuellement ouvert SSL 3.0. Pour un simple test, Poodletest.com affiche un caniche si votre navigateur prend en charge encore SSL 3.0, et un terrier Springfield si elle n'existe pas. D'autre part, Qualys SSL Labs ( le site ) fournit une analyse plus détaillée des protocoles SSL votre navigateur prend en charge.
Comme indiqué plus haut, certains sites commerciaux tels que les services bancaires en ligne peuvent encore besoin SSL 3.0. Encore une fois, je recommande de laisser SSL 3.0 support sur ​​un navigateur; ça va être plus rapide et plus sûr que d'ajuster à plusieurs reprises les paramètres du navigateur. Si vous utilisez un serveur Web ou un serveur de petite entreprise, vous devez désactiver le support de SSL 3.0 pour mieux protéger les postes de travail connectés et les téléphones basés sur Internet.
Une forums InfoSec communautaires Incidents.org pages listes Comment faire pour bloquer SSL 3.0 sur différentes plates-formes basées sur le Web.
Par exemple, dans Windows Server, créer (ou modifier) ​​une valeur DWORD du Registre comme suit:
  • Dans votre éditeur de registre, allez dans:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ \ SecurityProviders SCHANNEL \ Protocols
  • Selon les protocoles, de créer une clé appelée "SSL 3.0." Puis, sous cette clé, créez une autre clé appelée "serveur".
  • Créez une valeur DWORD appelée "Enabled" et lui donner une valeur de 0.
  • Redémarrez le serveur; vous et tous les clients connectés bénéficieront désormais de caniche exploits.



REF.: