SSL/TLS à La Cantine

J’ai assisté le  20 septembre 2013 de 19h00 à 23h00 avec une cinquantaine de personnes à la conférence donnée par Benjamin Sonntag (@vincib).

Je vous en relate l’ambiance ci-dessous :

J’arrive à18H45, un peu stressé et affamé. Je ne connais pas l’endroit et suis un peu intimidé par les pointures que je vais croiser.

Vu que je suis l’un des seuls en costard, les gus doivent penser que je suis de la NSA ou du service d’ordre. L’assemblée est en effet largement bigarrée, de 18 à 78 ans et rafraichie à la bière. Je n’ose pas aller au comptoir en commander une, de peur de perdre ma place privilégiée plein axe au troisième rang. On est loin de l’ambiance feutrée proutprout du salon « DSI  de l’année ». Ici, c’est cool attitude et coupe de cheveux hors standard. Les auditeurs arborent majoritairement le look hacktiviste assorti de l’ordinateur portable recouvert de stickers à l’effigie des grands rendez-vous du hacking. A côté d’eux, le moindre startuper de la Silicon Valley ferait BCBG coincé !

Je reconnais dans l’assemblée quelques visages révélés par Twitter.  Je remarque qu’il y a même quelques sujets féminins, un spectateur dont l’allure est quelque part entre clodo, Richard Stallman et Léo Ferré, un sosie du frère du père noël, quelques tronches de vieux hippies, une poignée d’étudiants en école d’informatique qui ont dû arrêter toute activité sportive en CE2, un couple de cinquantenaires visiblement égaré, quelques consultants encostumés, un extra-terrestre iroquois … et Benjamin Sonntag. On reconnait dans le regard de chacun d’eux la petite lueur de la passion.  On ne vient pas un vendredi soir après le boulot à la Cantine comme on va assister au dernier Workshop Microsoft Winbouse2013 ou au talk branché  Apple merde-I-5f pour se la couler douce une demi-journée.

Affairé à ses derniers préparatifs, Benjamin est serein et déterminé. On devine la maitrise du sujet à peine perturbée par les couacs du tcpDump.

Après avoir salué l’assistance, il nous embarque pour près de trois heures dans l’univers de TLS, des certificats et autorités de certification, des courbes elliptiques et de Diffie-Hellman… mais aussi dans le monde de la sécurité au sens large et du respect de la vie privée. Quelques centaines de minutes de discours posé, précis, argumenté, illustré d’exemples, de démos et d’anecdotes. Ca s’écoute comme une belle histoire… J’aurais pu venir avec ma mère. Ressurgissent régulièrement les références à son quotidien et ses activités au sein de La Quadrature de Net. Transparait le côté humaniste du personnage.

Dans l’assistance ça ne bronche pas, le bagage technique moyen étant élevé, on va pouvoir aborder une bonne partie de la technicité du problème sans lassitude. Je ne résumerai pas le contenu formel de la présentation, dont on retrouvera bientôt l’intégralité ici sur le web, de peur de le dénaturer et de ne pas en reproduire l’exhaustivité.

Reprenant Bruce Schneier et Snowden (Prix Nobel de la paix 2025 ?), Benjamin insiste largement sur le fait que la crypto nous apporte le niveau de sécurité et de confidentialité que l’on se doit d’attendre d’elle. Le chiffrement, malgré la fragilité du modèle de confiance fourni par les autorités de certification commerciales et les difficultés de protéger les sacro-saintes clefs privées est sûr ;  Même s’il est techniquement possible de casser du RSA 1024 pour quelques millions de dollars, le maillon faible est bien ailleurs … à la fois dans la faiblesse, l’inconsistance, et les motivations inavouables toutes malheureusement humaines. Ce sont celles-ci qui font qu’il existe aujourd’hui des implémentations de protocoles sécurisés pourries utilisant des algorithmes cassés ou conçus avec des portes dérobées ou pire, car de manière généralisée, fonctionnant sur des plateformes matérielles pour le moins dangereusement hermétiques.

Alors, pour se protéger, comment faire ?

Ne pas avoir une confiance aveugle envers les marchands de solutions de sécurité qui vous vantent/vendent leur « cryptage » propriétaire inviolable.  Faire confiance, avec un œil critique, à la crypto dont le code source est ouvert et auditable.  Comprendre les mécanismes mis en œuvre afin de vérifier que votre entreprise ne vous offre aussi gentiment que secrètement un joli certificat de chez Bluecoat qui lui permet de déchiffrer tous vos échange HTTPS. Etre en mesure d’expliquer à tout un chacun les objectifs de la sécurisation des échanges dans le  respect de la vie privée afin de ne pas tomber, sans s’en rendre compte dans le piège des Google, Paypal et consorts ou de se faire pirater ses comptes par le premier script kiddy en omettant le « s » de HTTPS.

@LauMarot

Toute la conf est disponible en vidéo et les diapositives du support sont téléchargeables ici. Du vraiment bon boulot !

Alors… j’attaque dans quel ordre ? Confiture de mûres, problème de freins sur Lapierre Raid 500, gestion d’attributs LDAP ou lecture du dossier RBAC / ABAC de chez empowerID ?

Pemière question existentielle : pour la confiture, je pense qu’une bonne nuit de sommeil est nécessaire pour savoir si je passe au moulin ou pas 🙂 Les fruits entiers c’est mieux, non ? Ca ressemblera plus à la recette de Kergadiou.

Ensuite, les plaquettes … pfff quelle chiotte les freins à disques. Mes plaquettes  pour du Shimano SI-8J50A-002-00-FRE_v1_m56577569830754110 font encore 2,5 mm d’épaisseur et le freinage arrière est pourri. C’est peut être alors un manque d’huile, non ?

Je ne remercie pas Google qui ne m’apporte aucune réponse définitive à ces deux grandes interrogations. Eh oui, internet aussi c’est parfois nul, c’est comme le marchand old style de lave-vaisselle de Chemla (Faut aussi être un brin neuneu pour répondre « 30 000  » à la question « Quel est votre département ? » :-)).

En revanche, l’humain est parfois plein de ressources. Pour preuve, j’ai bénéficié d’un tuyau d’utilisation de LDAP Admin cet après midi pour gérer mon fameux attribut nsAccountLock. C’est nettement plus simple qu’avec ma méthode précédente, ça tient en 2 photos :

LDAP Admin / Edit > Modify Set

LDAP Admin / replace nsAccountLock ... et basta

Je vais donc pourvoir aller lire tranquillement  » Best Practices in Enterprise Authorization : The RBAC/ABAC Hybrid Approach « .

Ah au fait, une dernière question : à quelle fréquence Google indexe-t-il Twitter ? Test en cours … (bientôt 24h et toujours rien)

Qui se souvient  de Soveco en 1999 ? et d’Ablewood ?

C’est à cette époque que je suis passé « du bois » au « numérique » pour gagner ma croute. Un grand merci à ce magnifique visionnaire que fût Alain Lefebvre (dont la puissance locale autours des Grantes-Ventes demanderait à se poser quelques questions) de m’avoir aussi gentiment libéré !

Le 12 juillet 1999 donc direction Saint Paul (ni Trois Chateau, ni de Léon … Saint-Paul 974 !)

Le 13 je suis à Boucan-Canot, le 14 au pot de la sous-prefecture … et le 15, je code !

Back to basics, retour aux sources. Petits tests du jour: comment invoquer l’API C de RSA Authentication Manager 7.x  depuis une servlet embarquée sous JBoss ? Wrapper, JNA, JNI ?

Ensuite on pourra se pencher sur de l’interrogation RADIUS depuis JBoss et renouveler quelques certificats pour une banque française (maintenant que je peux  enfin me connecter sur l’interface partenaire du site de Thawte)

Latitude E 6500 RAM grave

Qui veut acheter mes 2 vieilles barrettes  (de RAM !) de 2 Go ?

Je passe en effet à 8 Go pour pouvoir faire tourner une VM avesc RSA Authentication Manager 7.x pour mon prochain voyage au Gabon.

Les monstres sont partis en colo. Megève pour Ju et La Jacine (dans le Vercors) pour Paul. C’était pas la peine d’aller si loin, il neige à Lostihuel ! Qu’est-ce que c’est calme !

Tiens, j’ai retrouvé ça  :  http://www.pauletjustine.net/index.htm. Trop bien, surtout les bons mots du P’tit lion qu’il va falloir que je mette à jour.

un peu de Perl sous CentoS ?

Sans doute la malédiction de Titan et d’ l’autre zozo qui se crêpe le chignon avec Montebourg : aujourd’hui j’ai crevé 2 fois !

Bon j’ai aussi fait un peu de Perl sous CentOS pour un exo de crypto et goûté une vieille mirabelle oubliée à Chinon 🙂

Et j’ai écouté « This is the sea » sur un vieille K7 des Waterboys, merci Mike Scott !

Ahhh… j’ai un seizième follower sur Twitter, je vais bientôt pouvoir arrêter de travailler (pour l’argent)

@lauMarot https://twitter.com/lauMarot

Allez, au pieu, demain levé 5h car les vilains partent en colo !

bien pratique … mais comme on ne le fait que tous les 10 ans, on a tendance à oublier.

Merci au guide OVH sur le sujet dont je vous fais un petit résumé.

Cela est possible grâces à 2 petits fichiers à placers sur le serveur :

• .htaccess

• .htpasswd

Ce sont des fichiers particuliers pour le serveur web. Il n’apparaissent pas dans l’arborescence du répertoire concerné si un internaute fait un accès à un répertoire listable (qui ne contient pas de page index, et dont le listage n’est pas interdit). Les paramétrages indiqués par un fichier .htaccess s’appliquent au répertoire où le fichier est installé, ainsi qu’à tout ses sous-répertoires. .htpasswd est un fichier à l’intérieur duquel sont indiqués les noms des utilisateurs ayant le droit de se connecter et leurs mots de passe sous forme cryptée. Il est généralement à la racine du site et peut être utilisé pour protéger plusieurs répertoires. Son chemin est référencé dans .htaccess. Sur le site d’OVH on trouver une page permettant de crypter un mot de passe : http://www.ovh.com/fr/espaceclients/outils/crypt_password.pl

Chaque ligne a la forme suivante :

Exemple pour l’utilisateur  « Laurent » dont le mot de passe est « alliacom » cela donnerait la ligne suivante :

Laurent:lmKFBJPIYmbgA (les deux premiers caractères représente la clef)

Pour bloquer l’accès à un répertoire complet, créez un fichier texte .htaccess qui sera de la forme suivante, et placez-le dans le répertoire à protéger.

AuthUserFile /chemin_d_acces_au_fichier_.htpasswd/.htpasswd

AuthGroupFile /dev/nullAuthName "Accès Restreint"AuthType Basicrequire valid-user

Il est aussi possible de bloquer l’accès à un ou plusieurs fichiers précis, il suffit d’ajouter les balises <Files…> (une balise FILES par fichier)

<Files protected_file.tx>

AuthUserFile /chemin_d_acces_au_fichier_.htpasswd/.htpasswd
AuthGroupFile /dev/null
AuthName "Accès Restreint Proto GeRiCO"
AuthType basic
require valid-user

 </Files>

Pour aller plus loin:http://www.securiteinfo.com/conseils/htaccess.shtmlPar ailleurs, pour utiliser en toute sécurité l'authentification .htaccess, l'emploi de HTTPS est indispensable.

Birthday paradox

Si on avait effectivement une distribution uniforme des dates des naissance sur l’année (non perturbée par les pics de reproduction des jours de fête…) il suffirait de réunir 23 personnes dans une même pièce pour avoir une chance sur 2 d’en avoir deux nés le même jour (et avec 57 personnes la probabilité passe à 99%). Vous voulez l’explication de Dan Boneh ou vous préférez celle de Wikipedia ?

ldapadmin

Bad day, today !  I’ve waste hours googling to find how to remove nsAccountLock attribute of an inetOrgPerson in Sun Directory Server. So I hope that this post will be helpfull for some other tech guys.

I had already spend a few minutes wondering what the LDAPAdmin crappy tool means displaying «  ». I needed then some time to remember that particular attributes were not not shown by default. So I ran another ldapsearch query explicitely asking for diplaying « nsAccountLock ». And could easily understand the resaon why I Ccould not bind !

Problem seen is half solved, no ? So, I start thinking about how to delete this f… attribute or modify its value to « FALSE ».

First point : you won’t find anything in the Oracle Directory Server Control Center ( web-based interface to access and manage server instances ). Second, LDAP Admin tools won’t allow you to edit directly the nsAccountLock attribute even then to see its value.

The only way I’ve found was to use ldif commands. LDIF is  not my favorite format for managing directory content, neither is DSML :-). I had to google once again to find right syntax for removing/editing an attribute.

Finally, I chose the following one that, wich of course did not work from LDAPAdmin import feature. I didn’t undestand why. So I also try the « modify » syntax in various tests. I finally switch to Apache Directory Studio to solve this issue.

dn: cn=7121,CN=3ce5f7gha2,OU=AEMIDENTITY,dc=iam,dc=marot,dc=fr

changetype: modify

delete: nsAccountLock

nsAccountLock: TRUE