• d’une clé publique (que tout le monde peut connaître),
• d’une clé privée (que vous devez conserver secrète, propre à vous) : cette dernière vous permettra de créer des signatures, qui pourront être vérifiées grâce à la clé publique.

J’ai déjà traité de la création d’une paire de clé SSH sur Windows, voyons maintenant comment faire sur un OS Linux.

Il s’agit de créer une paire de clés SSH, puis d’installer la clé publique sur le serveur distant, afin de pouvoir s’y connecter sans mot de passe (ou avec une passphrase).

La commande est la suivante :

ssh-keygen -t rsa -b 2048


Les options sont :

• -t : pour préciser le type de clé, RSA ou DSA,
• -b : pour préciser la taille de la clé, ici 2048 bits.

Note : on a vu précédemment qu’il était préférable de privilégier le cryptage RSA plutôt que DSA.

Voici le résultat :


romain@mylaptop:~$ ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/home/romain/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/romain/.ssh/id_rsa.
Your public key has been saved in /home/romain/.ssh/id_rsa.pub.
The key fingerprint is:
62:fc:f6:71:c4:d5:55:a5:d3:d5:77:9d:55:2f:32:20 romain@mylaptop
The key's randomart image is:
+--[ RSA 2048]----+
| .%|
| T . .+O|
| . . . .o.*|
| . + ..o|
| + P o o . |
| . o . o |
| . o |
| ..... |
| ..... |
+-----------------+


On peut voir que :

• la clé privée a été sauvée dans le fichier /home/romain/.ssh/id_rsa
• la clé publique a été sauvée dans le fichier /home/romain/.ssh/id_rsa.pub

Lors de la génération de la clé, il vous est demandé une « passphrase » :

• si vous en renseigné une, vous devrez la renseigner à chaque fois pour vous connecter au serveur (authentification forte avec un couple clé / mot de passe),
• si vous n’en spécifier pas, vous pourrez vous connecter au serveur sans mot de passe.

Il reste à copier la clé publique sur le serveur sur lequel on souhaite se connecter.


ssh-copy-id -i ~/.ssh/id_rsa.pub romain@monserveurquidechire.net


Note : si votre serveur SSH n’écoute pas sur le port par défaut (TCP/22), il est possible de spécifier un autre port à la commande ssh-copy-id avec le paramètre -p et l’ajout de simple quote (voir exemple ci-dessous).


ssh-copy-id '-p 22222 -i ~/.ssh/id_rsa.pub romain@monserveurquidechire.net'


La clé publique sera ajoutée dans le fichier ~/.ssh/authorized_keys.

Voilà ! Il est maintenant possible de vous connecter à votre serveur sans mot de passe (si vous n’avez pas spécifié de passphrase lors de la création de la clé).

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Sécurité.

Ajoutez ce blog à vos favoris Technorati.

Pourtant, un serveur MySQL n’est pas exploitable tout de suite : le mot de passe root n’est pas initialisé, des privilèges anonymes existent, etc. Il est préférable d’accorder de l’importance à la sécurité au début d’un projet, que d’essayer d’y revenir plus tard.

La commande mysql_secure_installation va apporter un minimum de sécurité pour vos nouvelles installations. Elle vous permet (selon vos choix) :

• de changer le mot de passe root,
• de supprimer les comptes anonymes,
• de désactiver la connexion du compte root à distance,
• de supprimer la base de données « test » à laquelle tout le monde peut avoir accès.

L’outil finit sur un rechargement des privilèges (« Flush privileges ») afin d’appliquer les changements de droits au serveur.

Pour lancer la commande : /usr/bin/mysql_secure_installation.

Sécurisation de base d'un serveur MySQL avec mysql_secure_installation

Bien entendu, ceci n’exclut pas une politique de sécurisation globale (présence d’un firewall, port MySQL changé, filtrage des privilèges par adresse source, etc.). Cette commande vous permet juste de passer sur les points critiques en quelques secondes.

Note : je traite uniquement de Linux, je déconseille l’utilisation de MySQL sur un OS Windows. Par ailleurs, je ne sais pas si la commande mysql_secure_installation existe sur Windows.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Sécurité.

Ajoutez ce blog à vos favoris Technorati.

L’outil publié permet de surcharger les serveurs de son choix en renégociations.

Exemple : ici, un serveur de test non protégé (acceptant la renégociation). Après quelques secondes, la charge du serveur commençait déjà à monter : j’ai volontairement arrêté le test. Que dire d’un hacker avec un nombre important de machines à sa disposition ?

Faille SSL DDos

Exemple : ici, un serveur de test protégé (avec la renégociation désactivée).

Serveur protégé, avec la renégotiation désactivée

Mais comment savoir rapidement (comprendre « sans vérifier la configuration ») si votre serveur est vulnérable ou protégé ?

SSL Labs (Qualys) fournit un outil de test, SSL Server Test : celui-ci décrypte et analyse votre configuration SSL. Il suffit d’indiquer l’adresse du serveur, et d’attendre quelques secondes.

Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL

Serveur ayant échoué au test et vulnérable à l'attaque DDos SSL

Pour un serveur avec la renégociation désactivée, le résultat est assez différent :

Serveur non vulnérable

Le test se situe sur cette page : SSL Server Test.

Note : désactiver la renégociation ne corrige pas la faille, mais permet de restreindre fortement son utilisation.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Sécurité.

Ajoutez ce blog à vos favoris Technorati.

• d’une clé publique (que tout le monde peut connaître),
• d’une clé privée (que vous devez conserver secrète, propre à vous) : cette dernière vous permettra de créer des signatures, qui pourront être vérifiées grâce à la clé publique.

Je vais traiter dans cet article de la création d’une paire de clé (publique et privée) sur Windows, et de la configuration nécessaire pour se connecter à un serveur SSH à l’aide de ces clés.

Pour commencer, il faut se procurer PuTTY, mais également PuTTYgen qui nous servira à générer la clé. Ces deux outils sont disponibles séparément, sous forme d’un zip, ou via un installeur sur la page de téléchargement de PuTTY.

PuTTYgen est un générateur de clés qui vous permettra de générer des paires de clés publiques et privées : pour le cryptage, vous avez le choix entre RSA ou DSA.

Pour générer une nouvelle clé, c’est assez simple :

• on choisit le type de clé (SSH-1 RSA, SSH-2 RSA, ou SSH-2 DSA) ainsi que sa longueur (ici 1024 bits),
• on clique sur Generate.

NB : il est intéressant de noter que les développeurs de Putty conseille fortement d’utiliser des clés RSA, DSA ayant une petite faiblesse.

PuTTYgen : génération de clés SSH

Il vous faudra bouger la souris aléatoirement pour générer la totalité de la clé.

PuTTYgen : génération d'une clé

Une fois que la clé est créée, il vous reste à ajouter un commentaire ainsi qu’une phrase de passe. Le commentaire vous servira à retrouver facilement votre clé (à moins que vous ne sachiez vous souvenir du « fingerprint », l’empreinte), et la phrase de passe : celle-ci permettra de crypter la clé avant de l’écrire sur le disque.

Sans cette « passphrase« , la clé sera stockée en clair et il sera possible à tout le monde de l’utiliser : n’importe quel utilisateur y ayant accès pourra alors ouvrir une session vers un serveur sans identification supplémentaire.

Pour les cas particuliers où vous auriez besoin d’une authentification sans mot de passe (scripts lancés automatiquement, etc.), je vous conseille de créer une seconde clé qui sera spécifique à cette utilisation.

Attention : notez bien votre phrase de passe, il ne sera pas possible de la retrouver par la suite !

Fin de la génération d'une clé avec PuTTYgen

Une fois que le commentaire et la passphrase ont été renseignés, vous pouvez sauvegarder votre clé privée avec le bouton « Save Private Key« , et la clé publique avec « Save Public Key« . La clé privée restera sur votre poste, tandis que la clé publique est à copier sur le ou les serveur(s) où vous souhaitez vous connecter.

Pour copier cette clé publique, voici la solution la plus simple :

• se connecter en SSH au serveur souhaité,
• aller dans le répertoire .ssh et éditer le fichier authorized_keys (il se peut que le répertoire et/ou le fichier n’existe pas, il faudra alors le/les créer),
• copiez la clé que vous trouverez dans le champ « Public key for pasting into OpenSSH authorized_keys file » sur PuTTYgen et collez la telle quelle sur une ligne dans le fichier authorized_keys,

Edition du fichier authorized_keys sur le serveur pour y copier la clé publique

Remarques :

• sur d’anciennes version d’OpenSSH, ou sur d’autres serveurs SSH, il se peut que le nom des fichiers différent légèrement,
• les clés générées par PuTTYgen ne sont pas compatibles avec d’autres clients.

Enfin, il ne vous restera plus qu’à configurer PuTTY pour utiliser votre clé privée pour se connecter : il faut pointer le fichier contenant la clé privée dans le champ « Private key file for authentication » dans PuTTY > Connection > SSH > Auth. Lors de la connexion, votre phrase de passe (qui sert à crypter le fichier contenant votre clé privée) vous sera demandé.

Connexion à un serveur avec une clé privée

L’étape suivante serait de désactiver l’authentification par mot de passe pour éviter les attaques en « brute force ».

Un autre article traite de la même tâche à partir d’une distribution Linux : authentification SSH par clés à partir de Linux.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Sécurité.

Ajoutez ce blog à vos favoris Technorati.

Il existe quelques petits outils qui vous permettent de voir qui est connecté au même réseau que vous, par exemple Wireless Network Watcher. Il se base sur un scan de la plage d’adresse concernée et renvoi plusieurs informations :

• adresse IP,
• nom du poste si disponible,
• adresse MAC,
• fabricant de la puce wifi (permet de reconnaître certain appareils, comme les iPhone),
• etc.

Découvrez qui est connecté à votre réseau Wifi avec Wireless Network Watcher

Le bon point : il n’est pas nécessaire de l’installer, l’application peut être lancée en tant que simple exécutable.

Pour le téléchargement, c’est par ici : Wireless Network Watcher.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Sécurité.

Ajoutez ce blog à vos favoris Technorati.

Exemple d'utilisation du plugin "Naked Password"

Son intégration est hyper simple : elle ne nécessite qu’une seule ligne de code dans vos formulaires.

Plus d’info et téléchargement du plugin sur le site officiel : Naked Password.

Info via Manu.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Sécurité.

Ajoutez ce blog à vos favoris Technorati.

Google a sorti page proposant une checklist en 18 points des choses à ne pas oublier : Gmail Security Checklist.

La checklist est divisée en 5 chapitres :

• votre ordinateur,
• votre navigateur,
• votre compte Google,
• vos paramètres Gmail,
• conseils divers.

Certaines choses paraissent évidentes, mais mon avis sur la question n’est pas vraiment objectif :

• avoir un antivirus à jour sur son poste,
• avoir un mot de passe suffisamment complexe,
• avoir les informations pour la perte de mot passe renseignée,
• ne pas rester connecté sur un ordinateur public,
• etc.

La plupart des éléments de la liste on un bouton « Read More » qui permet d’en savoir un peu plus sur tel ou tel conseil. Globalement, je respecte tous les points, donc pour moi ça va.

Malheureusement pour les anglophobes, la page est uniquement disponible en anglais.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Sécurité.

Ajoutez ce blog à vos favoris Technorati.

…une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C’est une forme d’attaque informatique reposant sur l’ingénierie sociale (sécurité de l’information). L’hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques.

La semaine dernière, j’ai eu un chouette courrier électronique sur mon adresse Gmail, envoyé par : service.comptes.courriers@gmail.com

Pour l’utilisateur ne faisant pas attention / n’ayant pas été un minimum averti sur ce type d’arnaque, ce serait relativement plausible : en effet, le mail écrit sans fautes d’orthographe, comporte les avertissements de sécurité habituel sur les navigateurs, etc.

Il y a cependant quelques erreurs :

• le logo GMail « beta » : ça fait quelques temps déjà que le service n’est plus en beta,
• le fait que Google ne vous demandera jamais vos identifiants,
• etc.

Je rappelle qu’aucun service en ligne ne vous redemandera vos informations, jamais ! Donc, même si un mail a l’air « officiel« , il faut réflechir à 2 fois avant de répondre.

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Sécurité.

Ajoutez ce blog à vos favoris Technorati.

Cette question m’est venue suite à une simple constatation faite récemment : en effet, mes comptes sont séparées dans deux banques, et je trouve que la sécurité n’est pas de même niveau.

Comme un exemple vaut toujours mieux qu’un long discours, voici l’identification nécessaire pour accéder en ligne à une banque X.

Accès comptes en ligne Banque X

Comme vous pouvez le constater, il s’agit d’un simple formulaire HTML : pour pouvoir me connecter, il faut que je renseigne mon numéro de compte à 13 chiffres, ainsi qu’un mot de passe.

Et voilà les étapes nécessaires pour pouvoir me connecter à mon compte en ligne chez Dexia.

Accès comptes en ligne Dexia

Accès comptes en ligne Dexia

Ici, le système d’authentification est totalement différent. Basé sur Flex/Flash, il faut renseigner trois paramètres :

• un identifiant à 6 chiffres,
• un mot de passe de votre choix,
• trois caractères présents sur une carte unique en votre possession. On peut remarquer que cette sélection se fait à l’aide de la souris, sur une grille aléatoire, et avec un curseur présentant une forme géométrique.

Personnellement, je trouve le second système beaucoup plus évolué et sécurisé par rapport au premier : bien entendu, le premier système reste protégé de toute attaque de type « Man in the Middle » par le protocole HTTPS. Cependant, il reste vulnérable dans le cas où un logiciel espion est installé sur le poste depuis laquelle la personne se connecte : ces logiciels espions permettent d’enregistrer toute frappe sur le clavier, mais également de faire des captures d’écrans à intervalles réguliers.

Le système d’identification de Dexia, lui, est moins vulnérable à ce genre d’attaque : en effet, même en enregistrant les frappes du clavier, il manquera les caractères spécifiés sur la carte. Et les captures d’écrans ne changeront rien, puisque le curseur de la souris couvre 4 caractères à la fois.

Il existe également des systèmes d’identification alternatifs, utilisant des tokens ou des cartes à puce.

Et vous, que pensez-vous de ces systèmres ? Quelles identifications sont nécessaires pour accéder à vos comptes en ligne ?

© Romain sur wOueb by Romain DECKER / Another IT Guy Blog | Lien permanent

Vous pouvez commenter cet article, ou consulter les autres articles de la catégorie Sécurité.

Ajoutez ce blog à vos favoris Technorati.