Twitter et sécurité… Arf.

août 21st, 2009

Depuis quelques jours, petit buzz sur la toile française. Nous pouvons changer le statut Twitter d’une personne visitant notre site Internet grâce au chargement d’une URL. Astuce présentée -et non découverte- par le blogueur Korben et reprise un peu partout, , ou même .

C’est la deuxième fois qu’un problème de sécurité est présenté sur le service Twitter, la première était le piratage de quelques gros comptes suite à une attaque par force brute d’un compte d’administrateur.

Beaucoup de personnes ont donc parlées de cette possibilité de changement de statut par un site tiers, mais personne n’a encore solutionné le problème. Donc je vais vous livrer quelques astuces pour sécuriser son site internet contre ces attaques mais aussi, vous sécuriser vous. Car il est en partie possible de se sécuriser contre ces attaques connues appelées CSRF.

Attaque ? Où, où ça ?

Tout d’abord étudions l’attaque. En temps normal, la personne étant loggée envoie son statut par l’intermédiaire d’une requête POST et Twitter le met à jour. Cependant, les requêtes POST et GET peuvent se confondre donc nous pouvons charger dans l’URL les données que nous voulons envoyer par l’intermédiaire de la variables statut. Ex : http://twitter.com/home?status=le statut à mettre.

A partir de là, il devient facile pour une personne de mettre un script dans son site Internet faisant le travail et changeant le statut de n’importe qui loggé sur twitter et visitant le site. Voir le PoC (proof of concept) ici.

Bon, ceci dit, comment se protéger ?

Tout d’abord, le site Internet doit être protégé au niveau du code. Ainsi, on n’accepte pas n’importe quelle variable envoyée depuis n’importe quel site Internet. Pour ce faire, une technique assez simple est de mettre un champ en hidden avec une valeur aléatoire envoyée en même temps que notre valeur (dans le cas de Twitter le statut.). Ainsi, grâce aux sessions, le site Internet garde en mémoire cette valeur. Lorsque la page reçoit le statut, la valeur cachée est comparée à celle en mémoire. S’il y en a pas où si cela n’est pas la bonne, en refuse le changement de statut. (encore dans le cadre de Twitter.)

Je vous ai fait un petit script que l’on peut tester et disponible ICI.

Cette valeur doit réellement être aléatoire et être hashée de préférence en sha1 pour (encore) plus de sécurité. En fait, tout dépend de la longueur de la chaine et du nombre de possibilités pour chaque case. Si cette dernière est élevée (comme dans mon exemple, 32 cases) il n’est pas réellement nécessaire de prévoir un hashage de cette dernière.

De plus l’utilisateur, lui, ne peut jamais être protégé. Ainsi, même en désactivant le Javascript sur son navigateur, en empêchant l’affichage des iframes, cela ne fera que stopper les attaques CSRF complexes, mais pas ce genre de petites attaques, car l’URL peut être appelée depuis n’importe quel code que cela soit une iframe, une image, une feuille de style etc.

Développeurs, développeuses, je vous encourage à patcher tous les champs de vos différents formulaires car cette faille est très – trop ? – répendue ! (Administrations de routeurs, de box, réseaux sociaux, sites bancaires (?), sites d’ecommerce, services de blogs etc.). Bref, maintenant la balle est dans votre camp !

Tags: , ,
Posted in Sécurité des systèmes d'information, Tips&tricks | No Comments »

Un livre pas mal, voire pas mal du tout !

août 21st, 2009

Il y a quelques semaines, ayant quelques chèques livres en poche, je suis allé voir quels livres sur la sécurité informatique pouvait-il y avoir à la FNAC de Bordeaux. J’avais entendu par ailleurs parlé d’un livre « Menaces sur le réseau, guide des attaques passives et indirectes » mais je ne pensais pas le trouver où je l’ai trouvé : En pleine FNAC entre « The hacker’s guide » – le genre de livre où dès le titre tu peux vite imaginer le niveau...- et « Sécurité informatique » de chez CCM.

Bref, autant dire que j’ai adoré le contenu de ce dernier. Certes, certaines choses ont étés vues et revues telles que le fringerprinting passif des stations et périphériques réseaux, le mapping, les attaques propres aux protocoles en interne etc. Mais ce dernier apporte quelque chose de plus, un nouveau regard. Je veux dire par là que n’importe qui ayant quelques notions en réseau peut facilement lire et apprécier cet ouvrage sans pour autant être un grand fan de sécurité informatique.

Il présente très bien les différents problèmes liés aux protocoles et aux mauvaises utilisations de ces derniers faits par certains logiciels ou systèmes d’exploitations pouvant à terme entrainer une perte de confidentialité. Le tout, en adoptant une pédagogie rarement vue dans dans un bouquin d’informatique.

Au programme, ce que j’ai aimé :

  • Améliorer HTTP
  • Le retour théorique sur l’idle scan
  • Les blinkenlights
  • L’écoute du clavier.
  • Les représentations graphiques (connues) des ISN devinables et leur conception grâce au procédé de la blackbox
  • Le chapitre que même mon petit frère pourrait comprendre sur différents protocoles du modèle OSI et leur faiblesses.

Références du bouquin en question :
Menaces sur le réseau
Guide pratique des attaques passives et indirectes
Auteur : Michal Zalewski
Edition : Pearson Education France
ISBN : 978-2-7440-2226-5

Tags: , , , , ,
Posted in Sécurité des systèmes d'information | No Comments »

SRC Bordeaux, mais qui es-tu ?

août 21st, 2009

SRC Bordeaux est un IUT basé sur les médias et plus particulièrement Internet, on y apprends pleins de bonnes choses permettant au terme de ces deux ans d’être selon la publicité un spécialiste dans les « nouvelles technologies, des médias et du web ».

Il n’empêche que cela est vrai, cette formation est à la pointe des nouvelles technologies réalisées sur le web telles que la programmation en AS3 et en Flex. Mais bon, on ne s’arrête pas là et on étudie aussi les réseaux, la communication, le webmarketing, le droit, la chaine graphique, la mise en page, la programmation -Python, HTML, PHP, JS etc.- , du web design, de la typographie, de l’analyse sémantique, de l’analyse d’audience, du référencement, la mise en place de campagnes de publicité, de la vidéo, de la photographie, de la gestion de projet, des maths etc. Ouf, cela fait un paquet de choses en fait ! (et je n’ai pas tout mis !)

Pour tout vous dire, il vaut mieux être passionné par le web et avoir une pointe d’autodidaxie si l’on veut suivre correctement tout ce qu’il y a à savoir dans les différents domaines.

Par ailleurs, vendredi prochain (le 6 février) se tiendra dans cet IUT la troisième édition du forum Néo-Médias permettant de faire le point sur les différentes technologies utilisées aujourd’hui sur Internet. Mais aussi l’utilisation de ces dernières par les professionnels. Il y aura donc des conférences qui seront en autre sur les RIA, le référencement, le webmarketing, le média-planning etc. Le programme de la journée est à voir ici et vous aussi, vous pouvez y participer !

Posted in SRC Bordeaux | No Comments »