Le Hollandais Volant

Transparence totale, ou pas ?

Lundi 06 septembre 2010


pirates cookies

Alors que Korben vient de donner un lien vers un document traitant de l'art de craquer les mots de passe, certains se demandent s'il est bien prudent de laisser trainer, (voire de diffuser) ce genre de fichier à tout le monde.

D'un côté, toute la philosophie du libre est basé sur le partage du savoir et la transparence (publication des failles, etc.). De cette façon, tout le monde peut aider à améliorer le programme ou prendre connaissance des failles de son logiciel. C'est cette idéologie qui permet par exemple à OpenBSD d'atteindre des records de durée d'invulnérabilités pour un logiciel (deux failles en 12 ans), ou à Chromium d'être considéré comme le navigateur le plus sécurisé.

De l'autre côté, il est évident que publier les failles de sécurité, c'est donner aux pirates un bâton pour se faire taper. Et si l'éditeur du logiciel ne réagit pas très rapidement, ça peut vite devenir critique. (Et ça oblige donc ces éditeurs à se bouger un peu, n'est ce pas Adobe et Microsoft, avec vos failles critiques réguliers ?)

En revanche, quand il s'agit de techniques de piratages de mot de passe, de réseau WiFi ou autres, ça ne rentre plus dans le domaine légal, donc c'est pas vraiment top de mettre ça en ligne, à disposition de tous.
Oui, je sais comment craquer une clé wifi ou faire d'autres trucs du genre, mais jamais je ne ferais tutoriel pour ça, tant pis pour le partage des connaissance : je veux pas que le net deviennent un Chaos où tous les kikoolol piratent le compte de leurs copains, soit disant pour rigoler (même si ça se fait déjà, je ne voudrais pas que ça s'empire).
Si je devais apprendre quelqu'un à faire ça (inutile de me demander, hein) je ne ferais qu'à des personnes en qui je peux faire confiance (c'est à dire, qui ne s'en serviront pas pour faire le mal).

Il y'a un seul tuto (pour faire sauter le mot de passe XP) qui est en ligne et qui est à le limite de tout ça. Mais comme il m'a souvent servi à moi et est assez connu, je pense que je peut le laisser là (d'autant plus que y'a pas besoin d'être un génie pour le découvrir tout seul).

image de Dots Treats Cupcakes

Alz : #

En même temps c'est un peu se voiler la face, parce que ces tutos sont trouvables en cherchant un peu.
En diffusant massivement les infos pour accéder à certains sites, cela peut inciter lesdits sites à corriger les failles.
Plutôt que faire l'autruche genre "non on ne peut pas le faire donc c'est infaisable."

Alz : #

En modérant mon propos (puisqu'on ne peut pas éditer ses messages ;) ) j'ajoute que je n'en veux pas à Korben/Sebsauvage/LeHollandais Volant de ne pas diffuser ces informations, c'est leur choix et ils ont bien raison.

Chapal : #

Bien sûr qu'ils sont accessibles...
Mais le kikoolol de base qui veut apprendre à être tro for haxxor dla mor ki tu... Et ben celui là il ne sait pas rechercher (il suffit de trainer sur n'importe quel forum d'aide (genre ubuntu-fr par exemple))...

Par contre Korben ça a une grosse visibilité donc c'est trouvable par les ptits cons ;)

Par contre les mini-haxxor ils veulent pas corriger les failles...

(je m'embrouille un peu là)

Bref je suis assez d'accord sur le fait que ce n'est pas une super bonne idée :p

Le Hollandais Volant : #

Sans compter que les truc en lignes de commandes (la plus part des soft/scripts destinés à cet usage) ne sont pas vraiment faits pour des kikoolol de base. C'est pas difficile pour autant, mais rien que ça, ça suffit pour les repousser.

@Alz : en effet, ces astuces sont trouvables... en cherchant bien, mais justement, tous les sites que je connais ont déjà un nom pas vraiment explicite (c'est pas du genre "pirater-msn.com")...

Ça me fait penser à tous ces abrutis qui se mettent sous Backtrack pour devenir un h@ck3r et apprendre à utiliser "Lunix"...
Et je pense qu'avant de réussis à avoir un bon niveau en hacking (ce que j'ai pas, ni n'ai l'envie de devenir) on sait en général que ce que l'on fait est illégal, ou bien qu'on utilise ce savoir pour faire le bien (cf "hacker", justement, et non pas un pirate).

@flop : filtrage mac... Je ne veux pas m'avancer, mais il suffit de **********. C'est juste un peu plus dissuasif, mais pas impossible ;-).

sebsauvage : #

>cela peut inciter lesdits sites à corriger les failles.

Parce que c'est corrigeable ? Comment ?
A moins d'avoir la partition entière de l'OS chiffrée (genre TrueCrypt), je ne vois pas comment tu peux te prémunir contre ça.
(Ah oui, désactiver le boot CD/USB dans le BIOS.)

Bref, à partir du moment où tu as un accès physique à la machine, c'est GAME OVER. Il n'y a pas grand chose que les éditeurs d'OS puissent faire.

Pour info, contourner le mot de passe de Linuw est tout aussi facile (Un LiveCD et hop, c'est fait, et encore on peut aussi passer par Grub quand aucun mot de passe n'est mis).


Oui on peut trouver ces astuces sur le net, c'est pas pour autant qu'il est judicieux de les placarder à la face des hackeurs en culotte courte.
Quand je vois des petits cons de 15 ans tout fiers de contrôler leur petite centaine de PC piratés à coup de troyens et keyloggers préfabriqués, j'ai des envies de baffer.

Ces imbéciles irrespectueux ne méritent pas qu'on leur serve ces infos sur un plateau.

Djul : #

J'ai posté une méthode sur la réinitialisation du mot de passe root sous Linux, au départ ça partait d'une bonne intention (ça m'est déjà arrivé de l'oublier) mais c'est vrai que si ça tombe dans de mauvaises mains...
Bon en attendant je me fais pas trop de soucis, c'est pas la page la plus vue sur mon blog.

PS: il a un petit problème de menus ton site ou c'est moi ?

Backtrack n'a aucune utilité en soi en tant qu'OS, c'est juste un Live-CD qui regroupe des outils d'audit et de maintenance réseau, disponibles sur la plupart des distribs. Donc effectivement : comment voir un linuxien qui n'y connais rien : il a installé Backtrack

@répondre

Mercredi 08 septembre 2010 à 08:22:55

Le Hollandais Volant : #

Mon menu déroulant ? Essayes de rafaîchir la page, normalement ça devrait aller.

Pour backtrack, tout à fait : la majorité des "outils" sont disponibles partout, même dans les dépôts d'Ubuntu. (perso j'ai installé macchanger que je lance à chaque démarrage pour mettre une adresse mac aléatoire sur ma carte wifi (option -r))

Sinon, quand on parle de Microsoft qui tarde à sortir les correctif :http://hightech.nouvelobs.com/actualites/depeche/20100908.ZDN2897/faille-dans-internet-explorer-8-microsoft-enquete.html

Heureusement que d'autres sont là pour leurs rappeler de corriger la faille. Bah.

@répondre

Mercredi 08 septembre 2010 à 09:19:05

Les commentaires sont fermés pour cet article