février 22nd, 2009
Théorie des jeux ? Argh .. encore des maths ?
Bon, des maths oui, mais ça va se résumé à savoir faire une fraction 
.
Qu’est-ce que la théorie des jeux ?
C’est la traduction mathématique et logique de problèmes qui peuvent être économiques, sociales, diplomatiques, etc. et de leurs solutions possibles, suivant plusieurs critères. Bon, pour être moins vagues, donnont l’exemple le plus connu du dilemne du prisonnier. Soit deux criminels qui vont passer séparemment un intérogatoire. La police n’a aucune preuve contre aucun des deux, elle souhaite donc des aveux. Si aucun des deux n’avouent, ils écoppent de 6 mois de prison. Si un des deux avoue, il est immédiatemment libéré, et l’autre suspect écoppent de 15 ans de prison. Si les deux avouent, ils partent chacun pour 8 ans de prison. Bien evidemment, les deux interrogatoires se déroulent simultanément.
Le suspect est donc confronté à un choix difficile. Dans le doute, il avouera, et l’autre, anticipant sa décision, avouera aussi pour éviter de prendre 15 ans. Ils prendront donc chacun 8 ans. Si ils avaient coopéré, ils n’auraient passé que 6 mois en prison.
La solution la plus probable ( appelée Equilibre de Nash ) n’est donc pas forcément la meilleure des solutions.
(Lire la suite…)
Catégories: En vrac
décembre 31st, 2008
En ces périodes de fêtes, et pous fêter la fin d’année, une gentille agence américaine nous propose de déchiffer un petit texte. J’ai nommé le Federal Bureau of Investigations ( http://www.fbi.gov/ ) et la belle image présente sur leur page d’accueil.
Aller, pour les plus fénéants, voici le code : VFWTDLCSWV. YD NSLMIJFWEJFD GSW SL NIJNQBLM FOBV EJFDVF DLNIGTFBSL. KBVBF YYY.AHB.MSK/NSCDC.OFZ FS EDF WV QLSY SA GSWI VWNNDVV
Alors, comment ne pas sauter sur cette occasion pour mettre en pratique ce que vous avez pu apprendre dans mes modestes articles ?
(Lire la suite…)
Catégories: Cryptographie / Cryptanalyse
novembre 9th, 2008
Bonjour, c’est Bernard !
J’aimerais bien communiquer avec Alice, malheureusement Eve est dans le coin ….
Ah, je sais ! Je vais crypter mes données ! Pas de problèmes, plein d’algorithmes existent déjà comme DES, ou je peux même faire le mien !
Ah … mais il faut que je donne à Alice une clé… et Eve est très en forme sur les attaques ManInTheMiddle ces temps-ci …
Plus sérieusement, comment pourrait faire Bernard pour crypter ses informations sans que Eve ne puisse les décrypter ?
C’est à dire, comment éviter qu’Eve espionne l’échange de la clé, appelée clé privée ?
Ce fut le grand problème des cryptographes jusqu’à ce début de siècle, et jusqu’a l’idée de Diffie et Hellman. En effet, ils ont tout simplement imaginé qu’il était possible de ne pas utiliser seulement une clé privée dans une fonction cryptographique réversible. A partir de l’idée de la boite à cadenas, qui prouve qu’il est possible de ne pas utiliser seulement ces fonctions, l’idée fut de trouver des ( voir une ) fonction à sens unique.
(Lire la suite…)
Catégories: Cryptographie / Cryptanalyse
novembre 5th, 2008
Avez-vous entendu parler du ClickJacking ? Cette technique qui permet d’utiliser vos clics à d’autres fins ?
Je vous propose dans cet article de voir le principe, les buts et le contexte d’utilisation de cette “attaque”. Nous pourrons aussi voir un exemple, plus proche du Proof Of Concept qu’autre chose, mais toujours intéressant à étudier .
Tout d’abord le principe. Certaines propriétés du langage HTML nous permettent de rendre des objets complètement transparents. Et d’autres nous permettent de superposer des pages les unes sur les autres.
Imaginons donc deux pages superposées l’une sur l’autre, une des deux étant transparente. Lorsque vous cliquez quelque part, les clics sont alors effectués sur les deux pages, même si vous ne “voyez” le résultat que sur une seule.
Mais une vidéo vous expliquera ça bien mieux que tout un pâté de texte . Voici donc la vidéo PoF, permettant d’autoriser une application flash à activer la webcam :
http://www.youtube.com/watch?v=gxyLbpldmuU
(Lire la suite…)
Catégories: Securite informatique
novembre 2nd, 2008
Bien le bonjour
Pour vous présenter cette technique somme toute assez méconnue, je vous propose de vous faire un min-rappel sur le protocole HTTP, ou plutôt sur ce qui se passe lorsque votre naviguateur va sur le site www.exemple.com .
Si vous entrez “http://www.exemple.com” dans votre navigateur préféré ( au hasard Internet Explorer 5 ), la requête envoyée au serveur sera la suivante ( je simplifie ici énormément la requête ):
GET / HTTP/1.1
Host: www.exemple.com
Avec les caractères de retour chariot ( \r ) et de saut de ligne ( \n ), celà donne :
GET / HTTP/1.1\r\n
Host: www.exemple.com\r\n\r\n
Maintenant, regardons une requête un peu plus complète ( demande d’affichage de la page http://localhost/http_splitting.php ) :
GET /http_splitting.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; fr; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Et la réponse du serveur:
HTTP/1.x 200 OK
Date: Sun, 02 Nov 2008 10:55:25 GMT
Server: Apache/2.2.9 (Win32) DAV/2 mod_ssl/2.2.9 OpenSSL/0.9.8h mod_autoindex_color PHP/5.2.6
X-Powered-By: PHP/5.2.6
Content-Length: 0
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
Maintenant, intéressons nous à un script de redirection. La page http_splitting.php a pour code source :
(Lire la suite…)
Catégories: Securite informatique
novembre 2nd, 2008
Profiquoi ? -> Profiling ! ( profilage )
Le profiling est un art permettant d’établir l’ébauche de l’identité d’une personne, à partir par exemple de ses écrits, mais aussi de ses faits et gestes, de ses fréquentations, … ( Dans la suite, nous parlerons de tout ce qui se rapporte au profiling de l’auteur d’un écrit ).
Tout d’abord, le pourquoi du profiling ?
Le profiling est utilisé par certains services comme la criminologie, afin par exemple de dresser un profil psychologique d’un criminel. Ces informations permettent d’orienter une enquête, de “trier” des suspects, de comprendre certaine chose, ou encore d’amener à en découvrir de nouvelle ( un certain profil peut indiquer un certain lieu, .. ) . Dans notre contexte, nous essairons de dresser le profil d’un auteur afin de le comparer à celui d’un autre. Celà nous permettra de savoir si tout d’abord l’auteur est bien une unique personne, son pays natal, son sexe, son niveau d’étude, …. et ensuite, en le comparant à celui d’un autre, déterminer si les deux auteurs ont des chances de n’être qu’un(e) .
“Ont des chances”, car en effet, le profiling est une science inexacte, mais qui repose néanmoins sur des études pertinentes, d’ordre social, psychologique,…
Pour donner des chiffres, les chances d’obtenir un profil completement juste sont d’environ 16% ( ce qui, vous en conviendrez, est très faible ). Néanmoins, les risques de confrontations de deux auteurs ( c’est à dire affirmer que deux textes d’auteurs différents, sont en fait écrit par une entitée unique ) sont de 0.24% ( inférieure à 1%, d’où l’intérêt de l’utilisation de cette méthode ).
(Lire la suite…)
Catégories: En vrac
novembre 1st, 2008
Nous allons nous interesser dans cet article au protocole UpNp .
Je vous propose tout d’abord l’introduction que nous donne Wikipedia :
L’Universal Plug and Play (UPnP) est un protocole réseau promulgué par l’UPnP Forum.
Le but de l’UPnP est de permettre à des périphériques de se connecter aisément et de simplifier l’implémentation de réseaux à la maison (partages de fichiers, communications, divertissements) ou dans les entreprises. UPnP le permet en définissant et en publiant les protocoles de commande UPnP au-dessus des standards de communication de l’Internet.
Plus clairement, lorsque vous connectez une imprimante, votre Box, etc…, ces produits, etant compatible UpNp, vont tenter de s’auto-configurer ( autant dire qu’ils y arrivent la plupart du temps :] ).
Ces produits doivent respecter des spécifications normalisées, mais peuvent contenir d’autres fonctions supplémentaires, relatives au produit ( une Box qui pourra activer son Wifi via UpNp.. ).
L’établissement d’une connection UpNp se déroule en plusieurs étapes :
-L’obtention d’une adresse IP lorsque l’équipement est connecté sur le réseaux
-Le produit va ensuite avertir les autres équipements sur le réseaux de sa présence via une requête NOTIFY. Cette requete contient un champ LOCATION, indiquant le chemin du fichier XML listant les services.
-Envoi de l’adresse du fichier de configuration ( XML )
-Controle du produit
Les équipements ou logiciels présent sur le réseaux peuvent aussi chercher à obtenir l’adresse d’un service, via une requete M-SEARCH.
Malheuresement, ce beau protocole ne contient absolument aucune sécurité… (Lire la suite…)
Catégories: Securite informatique
novembre 1st, 2008
Comme la dernière fois, je vous propose une approche par l’exemple. A vous d’essayer de déchiffré ce qui suit :
IYVLS LZKIW KHMMX ZLHHE ONEEX UNBSX JYVPO AHXGV KMXTB KMXRD KAXRO XUEIW KHMWY AMEEP ULFIN AHFSD UOWYX KJAVK YYISE XJHYF UCKGR OZYVO XHHXB KNXBD KUVLK WOXGK XUVXO XYGSE YOMMV OMHRC AHXPO ZNKIN KFTGV KJHYB KZYIM ZOXVV GMNFC ZCMYD OIGIF OXXQW KHMTV AMEEM RYLIB GFHRQ AYXXF GLBIO KNFMO AREID KRMIC KLTGR OZYVO OFYEE ZMTZY OLJYS RSTIE AHXTO XCHHO UOWIC VULWK MYLIX ZCXVC JOOVO YFBXD KLTMB KMXXK OYGXE ZCEMC KMISE XWAMP LLXVV KMIPE YAKEX JMLIM XYMWV KMWIE DWHVB KMISX JUGXC TUOES KHMTV AMJYK GPHMB KHEIE XMFES TMNRO DYFTV GCKIN AGXQO RCOVO VINVC GMLYB KLWIV GVHRX KWHQZ XYAIX YCHRN KMFIC YUZIC
On ne connais bien entendu pas la clé, le but étant de la retrouvé, ainsi que le texte en clair.
(Lire la suite…)
Catégories: Cryptographie / Cryptanalyse
novembre 1st, 2008
Pour vous présentez cette méthode, je vous propose le code suivant, afin que vous pussiez déjà commencer par vous “tester” dessus, la méthode de résolution est juste en dessous 
:
gkr sgj cs th u w xkc ckaxes z’wccssg, hkegdls o’sjwtg oslcs, tcgklytwcj sj jkjwhsascj tcykcgytscj zsg tabhtywjtkcg dl’wlewtj gle aw mts ysj tcjsesj, ysjjs bwggtkc bkle hs akczs zs hw gsyletjs zs h’tcpkeawjtkc, bkle ysjjs ykaalcwljs lczseieklcz dl’sgj yshhs zl “rwyftci”.”klwtg jekb xtsc kc mw akcjse lcs jswa, kc sgj zsg klpvkezg”. asas gt bsczwcj hsg besatsesg wccssg, ysjjs gjelyles aw gsemt zs pth eklis, zs akjtmwjtkc bkle wbbesczes, smkhlse, besczes ykcgytscys zs h’tabkejwcys zs hw gsyletjs zwcg ckjes akczs. zsbltg, hsg yrkgsg kcj yrwcissg, hw htgjs zsg asaxesg sj bekyrsg g’sgj akztptss, pwtgwcj zs gkr hw ykaalcwljs rlaxhs dl’shhs sgj wloklez’rlt.
(Lire la suite…)
Catégories: Cryptographie / Cryptanalyse
novembre 1st, 2008
Tout d’abord, une chose à dire : Enchanté !
Le pourquoi du comment de ce blog ?
Surement l’envie de publiez mes articles, mes essais, et toutes ces petites choses dans un “home sweet home”, tenu à jour, et pouvoir connaitre vous impressions dessus :). Il est vrai que j’ai déja mon site ( http://4j4x.net ), néanmoins, l’interface “Shell”, et la fréquence à laquelle je le met à jour laissent désirer…
Je vous invite donc sur ce blog madeinWordpress, en éspérant qu’il vous plaira, que vous y apprendrez des choses, que vous aurez des sueurs froides, et que vous vous ferez plaisir en m’expliquant pourquoi je suis à côté de la plaque dans vos commentaires .
Sur ceux, je vais pouvoir ( enfin ) mettre les articles déjà tout chaud / prêt, et me familiariser avec cette belle interface :] .
Le mot d’ordre est donc : Have fun !
Catégories: En vrac
