Dernières Nouvelles
Février 2010: 10 millions de téléchargements, table gratuite
En janvier le nombre de téléchargements de Ophcrack a dépassé la marque des 10 millions. Dans l'euphorie générale qui en a suivi, nous avons décidé de rendre accessible notre table XP special gratuitement en ligne. Cette table casse les mots de passe faits des 52 lettres de casse mixte, 10 chiffres et 33 caractères spéciaux avec une longeur de 1 à 14 caractères en moins de 5 secondes en moyenne. Cette performance est obtenue en dopant la table XP special (augmentation de la taille de 8 à 90GB et stockage sur un disque SSD performant). Pour casser de temps en temps un mot de passe, n'hésitez-pas à utiliser notre démo au lieu d'acheter et de télécharger la table de 8GB.Décembre 2009: OS au 26C3
Objectif Sécurité a participé au 26ème Chaos Computer Congress 26c3 a Berlin. Philippe Oechslin a donné une présentation sur l'exploitation d'erreurs cryptographiques grâce au reverse engineering. Vous pouvez retrouver cette présentation sur Youtube avec des démonstrations de crackage de trois produits commerciaux basés sur AES 256 et Blowfish.Novembre 2009: Test d'intrusion large bande
Nous avons passé le plus clair du mois de Novembre à faire un test d'intrusion sur tous les fronts d'un de nos clients: Test de pénétration du périmètre Internet et d'une solution de Single Sign-On, tests d'échappement d'environnements virtualisés, tests d'intrusion dans le réseau interne et reverse-engineering de protocoles spéciaux utilisés en interne pour faire des attaques de type man-in-the-middle. Même dans des environnements bien sécurisés, il y a toujours des points faibles. En faisant un test d'intrusion à large bande, le client peut se rend compte où ses efforts de sécurité auront le plus gros retour sur investissement.Septembre 2009: OS en route
En septembre Objectif Sécurité a donné une présentation à la conférence Frhack à Besançon, participé à une table ronde sur la sécurité globale organisée par le Center for International Governance et la Naval Postgraduate School à Geneva et donné des cours de sécurité dans le programme MBA du iimt à l'université de Fribourg.Avril 2009: Formations sécurité web en entreprise
Objectif Sécurité effectue des formations d'un jour sur la sécurité des applications en ligne. Cette formation explique, démos à l'appui, les erreurs classiques que nous découvrons chez nos clients (et qui sont documentées chez OWASP). Pour éviter ces erreurs nous présentons aussi les méthodes de développement sécurisé. Finalement les participants au cours ont le loisir de faire des exercices pratiques où ils peuvent se mettre dans la peau d'un pirate et essayer d'exploiter les erreurs d'un site web préparé par nos soins pour cette formation. Les formations sont données par petits groupes et sont encadrées par deux instructeurs d'Objectif Sécurité.
Mars 2009: Audit de mots de passe sur site
Objectif Sécurité offre un nouveau service pour auditer sur place la qualité de vos mots de passe Windows. Nous nous sommes dotés d'une station de travail dédiée, sécurisée et facilement transportable, afin de pouvoir récupérer les mots de passe dans l'enceinte même des locaux de nos clients. Grâce aux résultats obtenus il est ensuite possible d'estimer le nombre d'utilisateurs ayant choisi un mot de passe faible, de vérifier la présence de mots de passe par défaut ou de valider la bonne mise en oeuvre d'une politique de complexité des mots de passe.
Janvier 2009: Audit systématique anti-trojan
Objectif Sécurité effectue pour ses clients des audits de vulnérabilité à des attaques par cheval de Troie. Nous faisons un travail systématique et méticuleux pour analyser quels sont les canaux d'entrée disponibles, les méthodes efficaces pour contourner la sécurité du poste de travail (HIDS) et les canaux de sortie. Suite à cette analyse nous construisons un cheval de Troie de démonstration qui combine les différentes attaques découvertes pour récupérer un fichier donné et l'exfiltrer sur notre site.
Décembre 2008: Crackage d'un logiciel de chiffrement
Pour un de nos clients, nous avons fait du reverse engineering sur un logiciel de chiffrement de données (DataBacker Privat Safe). Après analyse de la routine de chiffrement par BlowFish nous avons découvert une erreur cryptographique dans l'algorithme de vérification du mot de passe. Grâce à cette faiblesse nous avons réussi à retrouver le mot de passe d'une archive chiffrée en quelques heures. L'attaque équivalente par brute force aurait pris quelques années.
Août 2008: Objectif Sécurité dans la presse
Les mois d'août et septembre 2008 ont vu Objectif Sécurité apparaître à plusieurs reprises dans la presse romande et internationale. La vulnérabilité trouvée le mois précédent dans la clé USB biométrique a fait l'objet d'un article dans le magazine allemand c't, numéro 16/08. Il est également disponible en ligne sur le site de Heise. Un autre article à ce sujet est paru dans le magazine IB com.
Par ailleurs, Objectif Sécurité a également été sollicité pour commenter l'actualité internationale pour le journal Le Temps etle portrait d'Objectif Sécurité a été dressé dans le journal 24 Heures du 8 septembre 2008.
Juillet 2008: Vulnérabilité dans une clé USB certifiée FIPS 140-2 niveau 2
Lors d'un audit de sécurité, Objectif Sécurité a évalué une clé USB proposant un stockage sécurisé de son contenu avec une protection d'accès par lecteur biométrique. Les fichiers déposés sur la clé sont chiffrés au niveau matériel avec l'algorithme AES256 et une authentification forte peut être requise pour accéder à ces données. De plus, cette clé est certifiée conforme à la norme FIPS 140-2 niveau 2 éditée par le gouvernement américain et déclarée apte au stockage sécurisé de certificat digital de contrôle d'accès par un organisme indépendant nord-américain.
Grâce à un important travail de reverse engineering et d'analyse matérielle, Objectif Sécurité a été à même de découvrir une erreur d'implémentation majeure qui lui a permis de récupérer systématiquement une version faiblement hachée du mot de passe nécessaire à déchiffrer tous les documents présents sur ce type de clé. Le constructeur de la clé a été contacté à propos de cette vulnérabilité et a pu fournir une mise à jour de sécurité à ses clients.
Mai 2008: Sortie d'ophcrack 3.0
Après 4 mois de dur labeur, une nouvelle version d'ophcrack est disponible. La majeure partie du code a été réécrit. Cette version inclut en autres les nouveautés suivantes: multithreading, module de bruteforce, version en ligne de commande, nouvelle interface graphique, support de multiples tables simultanées, support de nouvelles tables vista gratuites, sauvegarde automatique de session. Téléchargez-le sur cette page!
Mars 2008: Cours Oracle Anti-Hacker à Genève
Suite au succès des dernières éditions, Objectif Sécurité propose en collaboration avec Alexander Kornbrust une formation de trois jours en juin 2008 sur la sécurité des bases de données Oracle. Ne manquez pas cette occasion de parfaire vos connaissances sur le sujet. Plus d'informations et inscriptions ici.
Décembre 2007: Monitoring de la conformité (compliance) des systèmes informatiques
Objectif Sécurité a développé une solution de suivi de la conformité des systèmes informatiques. Basé sur des bonnes pratiques reconnues (les benchmarks CIS) un mécanisme automatique vérifie si les bonnes pratiques de configuration des systèmes informatiques sont bien appliquées. Par exemple s'il n'y a pas de fichier .rhost sur des machines Unix ou si le LMHash a été désactivé sur des machines Windows. Le résultat de ces vérifications est stocké dans une base de donnée et l'évolution de la conformité est affichée sous forme de graphes dans les pages web de la console de gestion de la conformité.Novembre 2007: Contrat de collaboration avec la police fédérale
Objectif Sécurité a signé un contrat de collaboration général avec la police fédérale à Berne. Cette collaboration permet à Objectif Sécurité de mettre en pratique ses compétences de forensique, de craquage de mots de passe et de reverse engineering pour aider la police à résoudre les cas les plus complexes du point de vue technique. Objectif Sécurité offre aussi ces services forensiques à des sociétés.Juillet 2007: Nouveau livre: Computer System Security, Basic Concepts and Solved Exercises
Le nouveau livre de sécurité informatique de Philippe Oechslin et de ses coauteurs Gildas Avoine et Pascal Junod vient de paraître chez EPFL-Press. Ce livre contient 106 exercices corrigés et plus de cent pages de cours expliquant les bases des sujets comme: la sécurité des e-mails, les virus et les vers, les vulnérabilités des réseaux et des applications, les firewalls et autres mesures de protections, la cryptographie, les protocoles et applications sécurisées ainsi que la gestion de la sécurité.Mai 2007: De multiples solutions pour le Single Sign-On
Objectif Sécurité s'est frotté à plusieurs solutions de SSO pendant ce mois. La première solution auditée permet aux utilisateurs de Firefox de sauvegarder leurs mots de passe Web en les protégeant avec un mot de passe à usage unique. Nous avons également audité une solution de Single Sign-On universelle basée sur SecureLogin de ActivIdentity qui utilise des scripts pour renseigner automatiquement les formulaires de login. Finalement nous avons travaillé sur des solutions basées sur Kerberors et Active Directory pour des servlets Java sous Weblogic et des applications en PHP sous Apache 2.
Avril 2007: DRP et cartographie au menu
Le mois d'avril a été en partie consacré à aider un de nos clients à préparer la mise en place de son Disaster Recovery Plan. Etant donné l'importance de la tâche, la première étape a consisté à cartographier de manière détaillée les services de l'entreprise et leurs interactions avec les systèmes d'information afin de pouvoir déterminer les éléments critiques.
Mars 2007: 1'000'000 téléchargements d'Ophcrack!
Ophcrack a été téléchargé plus d'un million de fois depuis le site ophcrack.sourceforge.net. La somme de tous les téléchargements dépasse les 350 Terabytes. Au rythme actuel, 120'000 téléchargements et 30 Terabytes s'ajoutent chaque mois. Nous avons aussi enregistré deux donations.
Février 2007: OS est dans le magazine Hakin9
Philippe Oechslin et Cédric Tissières ont publié un article détaillé sur les tables rainbow, leurs optimisations et leur application aux documents Office dans le magazine Hakin9 (version française). Cédric a aussi écrit un tutorial qui se trouve sur le CD du magazine.
Janvier 2007: Formation avancée à EnCase Enterprise
Dans un souci d'être toujours à la pointe dans tous nos domaines de compétence, nous avons effectué une formation avancée au logiciel de forensique EnCase Enterprise. Celui-ci est la référence en matière de forensique parmi les polices suisses, ainsi que leurs homologues du monde entier. Nous sommes ainsi en mesure de vous offrir le meilleur en matière d'analyse forensique.
Décembre 2006: Projet de forensique pour une police cantonale
Cet hiver nous avons eu l'occasion d'offrir nos services de forensique à une police cantonale de Suisse orientale. Nous avons fait du reverse engineering sur un logiciel de protection d'un disque dur. Grâce à nos recherches nous avons permis à cette police d'obtenir un accès total aux données sur le disque.
Novembre 2006: Ophcrack_office, le crackeur de documents Office le plus efficace au monde!
OS Labs lance un nouveau produit dans sa gamme des crackeurs basés sur les rainbow tables. Ils s'agit d'un logiciel qui peut décrypter des documents Word ou Excel qui ont été protégés avec un mot de passe de n'importe quelle longueur ou complexité! Avec des rainbow tables de 4 Gigabytes, notre logiciel est capable de décrypter en 5 minutes 99.7% des documents. Il est compatible avec toutes les versions d'Office pour autant que le mode de protection par défaut est utilisé. Plus d'informations à ce sujet sur nos pages produits.
Octobre 2006: Les 7 péchés capitaux des applications en ligne
Objectif Sécurité a mis sur pied une formation d'une journée pour sensibiliser les programmeurs aux vulnérabilités classiques des applications. Ces failles sont démontrées avec des exemples concrets pour mieux expliquer comment s'en prémunir. Le cours est complété par une illustration des aspects sécurité du cycle de développement est d'une série d'exercices pratiques. Vous trouverez plus d'informations sur ce cours dans nos pages de formation. Un aperçu du contenu du cours à été présenté au Clusis le 24 Octobre 2006 et au Zurich Information Security Center (ZISC) le 13 juin.
Septembre 2006: Un demi million de téléchargements de Ophcrack
Ophcrack, le crackeur de mots de passe Windows développé par Objectif Sécurité à franchi la barre des 500'000 téléchargements. La version la plus populaire est le liveCD qui permet de cracker les mots de passes alphanumériques d'une longueur allant de 1 à 14 caractères sans droits d'administrateur et sans installer aucun programme. A lui seul il a généré plus de 170 Terabytes de téléchargement. Les DVDs contenant les mots de passe complexes (33 charactères spéciaux) bénéficient aussi d'une popularité croissante.
Aout 2006: Faille dans les firewalls applicatifs RealSentry et ModSecurity
Lors d'un audit applicatif nous avons découvert une faille dans les firewalls applicatifs RealSentry et ModSecurity pour Apache. Ces firewalls sont configurés par défaut pour bloquer les attaques de type injection SQL à l'aide de diverses signatures. Ces signatures ont un défaut qui permet quand-même de faire des injections SQL. Les éditeurs des deux solutions ont été contactés.
Juillet 2006: Le Social Engineering trop facile!
Lors de notre dernier audit de Social Engineering, plus de 50% des 200 destinataires de nos messages forgés ont répondu. Près de 90% de ceux qui ont répondu nous ont donné leur mot de passe. Il est vrai que le piège qui leur a été tendu était incitant. Si les utilisateurs sont toujours aussi attentionnés on peut se demander si ça vaut la la peine d'essayer d'exploiter des vulnérabilités techniques pour pirater un système informatique...
Juin 2006: Cours Oracle Anti-Hacker à Genève
Objectif Sécurité propose, en collaboration avec Alexander Kornbrust, une formation de trois jours sur la sécurité des bases de données Oracle. Ne manquez pas cette occasion de parfaire vos connaissances sur le sujet. Plus d'infos ici.
May 2006: Cours de crackage de mots de passe pour les polices Européennes
Objectif Sécurité a participé à la conférence de forensique "Decryption / Password Recovery using cluster technology" organisée par les forces de l'ordre de Hanovre pour les polices germanophones.
Avril 2006: Présentation du Rainbow cracking à Websec 2006
Objectif Sécurité participe à WebSec 2006 à Londres avec une présentation sur le rainbow cracking. La présentation peut être téléchargée en anglais ici.
Mars 2006: Ophcrack 2.2 disponible
Nous avons sorti la version 2.2 d'Ophcrack, le cracker de mots de passe Windows le plus rapide du monde, sur sourceforge. Cette version supporte un nouvel ensemble de tables contenant les caractères suivants:
0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$% &'()*+,-./:;&<=>?@[\]^_`{|}~ (y compris l'espace)
Vous pouvez acheter ces tables sur notre site web.
Janvier 2006: Vulnérabilité découverte dans SAP
Objectif Sécurité a découvert une vulnérabilité dans le Internet Transaction Server de SAP. Cette vulnérabilité a été communiquée au team Security de SAP et peut être éliminée grâce au patch 20, disponible depuis le 21 décembre 2005. Plus d'informations dans la note SAP 883908.
Novembre 2005: ophcrack liveCD disponible
La première version d'ophcrack LiveCD est disponible ce mois-ci. C'est un CD linux bootable qui contient ophcrack ainsi qu'un ensemble de tables pour cracker les mots de passe alpha-numériques. Il suffit de démarrer le PC depuis le CD, de se relaxer et de regarder le programme casser les mots de passe.
Octobre 2005: Séminaire sur la gestion de vulnérabilités
Objectif Sécurité a donné un séminaire sur la gestion de vulnérabilités à INFORUM 2005 à Genève. La présentation est disponible ici.
Septembre 2005: OS fait la une de Security Focus
Robert Lemos a écrit un article sur le Rainbow Cracking pour Securityfocus et interviewé Oechslin à propos du future du hashage de mots de passe. L'article est toujours en ligne.
Août 2005: Injection SQL dans une radio web
Lors de nos audits d'application, nous trouvons régulièrement des vulnérabilités de type injection SQL. Bien sûr ces vulnérabilités ne sont pas publiées. Pour une fois, nous avons découvert une injection SQL typique dans une application publique. L'annonce est disponible ici
Juin 2005: Objectif Sécurité dans les médias
Nous avons été découverts par la presse ce mois-ci. Un article d'une page entière à propos d'Objectif Sécurité, les "Pirates informatiques en toute légalité", a paru dans l'édition du 13 juin du 24 heures. Oechslin a été interviewé par Le Matin et Le Temps à propos d'une arnaque de phishing contre une banque suisse. Nous avons également été interviewé par la Première de la Radio Suisse Romande au sujet du hacking éthique.
Novembre 2004: Séminaire sur les attaques man-in-the middle contre les systèmes de telebanking
Nous avons donné un séminaire sur les différents moyens de pénétrer les applications de telebanking. En particulier, nous avons fait une démonstration montrant comment un hacker peut modifier Internet Explorer pour manipuler les données qui circulent sur HTTPS. Cela peut rendre les attaques de phishing encore plus dangereuses. La présentation est disponible ici.
