2019-09-01 - Tables professionelles disponibles en torrent

Suite au redéploiement de notre site web, nous avons décidé mettre toutes nos tables à disposition gratuitement en téléchargement par torrent. Si vous n’en téléchargez qu’une, prenez la vista_proba_60G qui a un très bon taux de succès par rapport à sa taille par le fait qu’elle se concentre que sur les mots de passe les plus probables (plus d’infos dans notre article a SSTIC). Si vous avez une bonne bande passante vous pouvez télécharger les 2TB de la table vista_eightxl qui retrouve 99% des mots de passe de 8 charactères fait de chiffres de lettre et de 33 caractères spéciaux. Le lien de téléchargement se trouve ici. Sans aucun téléchargement, il vous reste toujours la possibilité d’utiliser notre démo en ligne qui trouve les mots des passe en 60 secondes, temps moyen, avec les tables citées ci-dessus.

2019-03-30 - OS dans les médias

Objectif Sécurité était présent dans les médias en février pour donner des explications sur plusieurs sujets d’actualité. A propos des risques liés à l’utilisation d’équipements Huawei par nos opérateurs, au téléjournal de la TSR et dans le quotidien Le Temps. Puis sur CNN Money Switzerland pour discuter des risques de la 5G et finalement avec des recommandations générales pour protéger nos données numériques, sur Radio Lac

2017-10-15 - Vos mots de passe de 8 caractères crackés en 50 secondes

Nous avons mis en ligne une nouvelle démo d’Ophcrack. Avec un budget de 3000.-, nous avons construit une machine avec deux processeurs à 12 coeurs chacun, 1TB de SSD attaché au bus PCI, 2TB de SSD en SATA-6G et 48GB de RAM. La démo utilise les tables Vista_eightXL (2TB), Vista_specialXL (107GB) et Vista_proba_60G (60GB). Le temps de crackage moyen est de 47 secondes, le temps le plus long 212 secondes. La démo trouve 99% des mots de passe de un à huit caractères (chiffres, lettres minuscules et majuscules et 33 caractères spéciaux) et des milliards de mots de passe les plus fréquents de 9 caractères ou plus.

2016-03-14 - Formation pour les conseillers à la protection des données

Objectif Sécurité a participé à la formation de Conseillers à la Protection des Données. Cette formation de 6 jours est donnée par des avocats, des spécialistes de la certification des systèmes d’information et a même vu la participation du Préposé Fédéral à la Protection des Données. La prochaine édition est déjà planifiée pour mars 2017. Plus d’infos sur le site du CUI.

2015-10-27 - Troisième édition du livre "Sécurité Informatique"

La troisième édition du livre “Sécurité Informatique” a été publiée chez Vuibert. Cette nouvelle édition entièrement retravaillée contient de nouveaux sujets comme les vulnérabilités des applications ou le développement sécurisé.

2015-07-14 - Vulnérabilité découverte sur un équipement Scada (CVE-2015-5386)

Dans le cadre d’un audit de sécurité, Objectif Sécurité a découvert une faille sur un équipement Scada Siemens qui permet de contourner l’authentification et les autorisations pour pouvoir effectuer des opérations administratives sans être authentifié. Des détails ont été publiés dans un bulletin par Siemens, qui remercie Objectif Sécurité pour avoir remonté cette faille.

2014-11-15 - Présentations à l'AppSec Forum

Ce n’est pas une, mais deux présentations qu’Objectif Sécurité a données lors de l’AppSec Forum à Yverdon. La première a été présentée par Philippe Oechslin et revenait sur les détails techniques du piratage effectué dans le cadre de l’affaire Giroud. La seconde, intitulée “TProxy: un proxy pour l’interception transparente de trafic TCP” a été donnée par Bertrand Mesot pour présenter les avancées dans l’implémentation de cet outil qu’Objectif Sécurité utilise déjà très régulièrement lors d’audits.

2014-10-12 - Objectif Sécurité fête ses 10 ans

En ce mois d’octobre 2014, Objectif Sécurité a fêté ses 10 ans d’existence. C’est l’occasion de se féliciter de tout le chemin accompli dans l’accompagnement de nos clients, mais surtout de se réjouir de l’avenir et de continuer à contribuer à améliorer la sécurité IT!

2013-10-12 - Création de sures.ch, label de qualité

Sures.ch a été lancé le 1er octobre. Objectif Sécurité est un membre fondateur de cette association professionnelle de sociétés actives dans la sécurité informatique. Le but de l’association est de garantir un label de qualité suisse basé sur l’éthique professionnelle, la transparence et des meilleures pratiques détaillées dans une charte. Le communiqué de presse officiel est disponible ici.

2013-06-01 - Ophcrack à la télévision

L’équipe de Nouvo est venue filmer une démonstration d’Ophcrack et des explications sur le vol de mots de passe. La séquence a été diffusée au téléjournal du 27 mai. Une démo avec nos tables professionnelles aurait été techniquement plus impressionnante mais moins intéressante pour le petit écran.

2013-05-03 - Faille critique dans un client VPN

Il y a une année (avril 2012), nous avons découvert une vulnérabilité critique dans le client SSL VPN de Fortinet. Il s’agit d’une erreur très simple. Lorsqu’une connexion SSL VPN est sujette à une attaque de type man-in-the-middle, le client VPN détecte le certificat invalide et affiche un message d’erreur… mais seulement APRES avoir envoyé le nom et le mot de passe de l’utilisateur. Il nous a ainsi été possible lors d’un test d’intrusion de voler les crédences d’un utilisateur qui se trouvait dans un réseau Wifi public. Nous ayons averti Fortinet il y a une année déjà. Ils ont patché la plupart des versions mais n’ont pas encore publié de bulletin de sécurité.

plus...

2013-01-23 - Intrusion dans une station électrique

En janvier, nous avons eu l’occasion de faire un test d’intrusion dans une sous-station électrique. Le but était de voir si un accès local au réseau informatique pouvait permettre de prendre le contrôle sur les installations locales, sur des installations distantes, voire même sur le centre de conduite. Nous avons fait de l’interception et du rejeu des protocoles IEC-104 et ISO-68150 et avons eu l’occasion de nous frotter à toutes sortes d’équipements industriels.

2012-12-15 - Nouvelles tables rainbow

Les nouvelles tables rainbow Vista_eightXL permettent de craquer des mots de passe Windows (NTHash) de huit caractères contenant des chiffres, des lettres de casse mixte et 33 caractères spéciaux. Ceci inclut donc tous les types de caractères recommandés par Microsoft pour des mots de passe sûrs! Il est temps de passer à des mots de passe d’au moins 9 caractères. Les tables ont une taille de deux teraoctets et ont été ajoutées à notre offre de tables professionelles. Le temps de crackage moyen sur un serveur bi-processeur avec un disque rapide est de 15 minutes!

Nous profitons de cette période de Noël pour offrir gratuitement les tables XP_special, XP_german, Vista_special et Vista_num.

2012-08-02 - Sensibilisation aux attaques ciblées

Nous avons effectué plusieurs projets de sensibilisation aux attaques ciblées. A chaque fois, nous avons commencé par une campagne de social engineering en envoyant des messages non sollicités demandant une action du destinataire. Nous avons ensuite fait des présentations en salle ou nous avons expliqué les attaques ciblées courantes, montré les statistiques de notre ingénierie sociale et fait une démonstration d’une attaque avec un cheval de Troie.

2012-03-18 - Piratage d'un système de contrôle d'accès physique

Nous avons eu le plaisir d’auditer un système de contrôle d’accès physique basé sur des cartes sans contact. La technologie radio est récente et sûre mais nous avons trouvé d’importants problèmes de configuration et des protocoles peu sécurisés. Ceci nous a permis d’obtenir des chocolats gratuits, d’ouvrir toutes les portes et de manipuler les automates utilisés pour charger de l’argent sur les cartes.

2012-01-26 - Qui a peur du Bundestrojaner?

Objectif Sécurité a fait une présentation au Forum de la Sécurité Genevois (FSG) suite aux récits dans la presse à propos des chevaux de Troie utilisés par les forces de l’orde en Allemagne et en Suisse. Les sujets abordés ont été les chevaux de Troie en général, leur utilisation par le crime organisé, l’espionnage industriel et les forces de l’ordre. Nous avons fait une démonstration avec un cheval de Troie utilisé dans une attaque récente et rappelé les méthodes de protection.

2011-12-14 - Elaboration de nouvelles exigences pour le vote electronique

La chancellerie fédérale travaille en ce moment sur les exigences de sécurité pour les systèmes de vote électronique en vue d’une utilisation des systèmes existants à plus grande échelle. Fort de son expérience dans l’audit d’applications en ligne et d’applications cryptographiques, Objectif Sécurité a été invitée à participer à ce travail.

2011-04-05 - Campagnes de spam frauduleuses

Des campagnes de spam ont été lancées au nom d’Objectif Sécurité. Les messages commencent par une phrase du genre Dear Potential Customer, contiennent quelques inexactitudes, exagérations et fautes de frappes et se terminent par une invitation à visiter notre site pour profiter d’une offre spéciale.

Nous ne sommes évidemment pas les auteurs de ces messages et vous prions de nous excuser pour les désagréments qu’ils pourraient vous causer.

Nos serveurs de messagerie officiels sont identifiés dans le DNS grâce au système SPF. Si votre messagerie est configurée pour consulter cette information vous ne devriez pas recevoir de messages frauduleux semblant provenir d’Objectif Sécurité.

2011-03-16 - IT Security Days

Nous avons participé aux IT Security Days de la HEIG-VD Si vous avez suivi notre conférence les XSS n’auront plus de secrets pour vous et vous saurez même comment on peut utiliser du cross site scripting pour voler des fichiers sur un serveur.

2010-12-13 - Participation à l'observatoire suisse de la sécurité

Le projet netobservatory.ch dirigé par l’institut ICT de l’Ecole d’ingénieurs et d’architectes de Fribourg a pour but de dresser une carte de la sécurité de l’Internet suisse. Un premier rapport a été publié à l’occasion d’une conférence de presse. Nous participons de manière très active à ce projet intéressant, en particulier pour la collecte des informations nécessaire à l’établissement de ce rapport.

2010-11-10 - OS aux hashdays (Defcon Switzerland)

Début Novembre, Philippe Oechslin a participé à la conférence hashdays à Lucerne, organisée par Defcon Switzerland. Il y a parlé des derniers tests effectués sur les certificats SSL Extended Validation et des limites de la confiance qu’ils apportent. La présentation intitulée Testing the limits of EV certificates peut être téléchargée ici.

2010-10-18 - Analyse forensique d'une imprimante

Les imprimantes modernes offrent des fonctions très complètes et permettent de stocker certains documents en mémoire avant leur impression. Les disques durs de ces imprimantes sont réputés receller des informations intrésantes. Lors d’un mandant nous avons analysé un disque dur d’une de ces imprimantes, puis récupéré les partitions du disque grâce à des techniques d’ingéniérie inverse. Finalement, nous avons mis la main sur des documents confidentiels grâce à une analyse forensique des partitions récupérées.

2010-05-24 - Lancement du réseau d'affaires privées YESweBIZ.ch

Objectif Sécurité a participé au lancement d’un nouveau réseau social professionnel suisse dénommé YESweBIZ.ch. Séduit par le système complet de gestion de la confidentialité de YESweBIZ, nous sommes intervenus dans le développement de ce réseau, en particulier pour les aspects relatifs à la sécurité et à la disponibilité.

2010-04-12 - Vulnérabilités reportées dans Typo3

Le CMS Typo3 est très utilisé dans le monde. Grâce à un client, nous avons pu faire un audit de code de ce CMS, ainsi que de certaines de ses extensions. Nous en avons reporté plusieurs vulnérabilités à l’équipe sécurité de Typo3, dont certaines ont fait l’objet d’un bulletin de sécurité, alors que d’autres avaient déjà été reportées, mais n’avaient pas encore été publiés.

2010-02-13 - 10 millions de téléchargements, table gratuite

En janvier le nombre de téléchargements de Ophcrack a dépassé la marque des 10 millions. Dans l’euphorie générale qui en a suivi, nous avons décidé de rendre accessible notre table XP special gratuitement en ligne. Cette table casse les mots de passe faits des 52 lettres de casse mixte, 10 chiffres et 33 caractères spéciaux avec une longeur de 1 à 14 caractères en moins de 5 secondes en moyenne. Cette performance est obtenue en dopant la table XP special (augmentation de la taille de 8 à 90GB et stockage sur un disque SSD performant). Pour casser de temps en temps un mot de passe, n’hésitez-pas à utiliser notre démo au lieu d’acheter et de télécharger la table de 8GB.

2009-12-31 - OS au 26C3

Objectif Sécurité a participé au 26ème Chaos Computer Congress 26c3 a Berlin. Philippe Oechslin a donné une présentation sur l’exploitation d’erreurs cryptographiques grâce au reverse engineering. Vous pouvez retrouver cette présentation sur YouTube avec des démonstrations de crackage de trois produits commerciaux basés sur AES 256 et Blowfish.

2009-11-29 - Test d'intrusion large bande

Nous avons passé le plus clair du mois de Novembre à faire un test d’intrusion sur tous les fronts d’un de nos clients: Test de pénétration du périmètre Internet et d’une solution de Single Sign-On, tests d’échappement d’environnements virtualisés, tests d’intrusion dans le réseau interne et reverse-engineering de protocoles spéciaux utilisés en interne pour faire des attaques de type man-in-the-middle. Même dans des environnements bien sécurisés, il y a toujours des points faibles. En faisant un test d’intrusion à large bande, le client peut se rend compte où ses efforts de sécurité auront le plus gros retour sur investissement.

2009-09-17 - OS en route

En septembre Objectif Sécurité a donné une présentation à la conférence Frhack à Besançon, participé à une table ronde sur la sécurité globale organisée par le Center for International Governance et la Naval Postgraduate School à Geneva et donné des cours de sécurité dans le programme MBA du iimt à l’université de Fribourg.

2009-04-05 - Formations sécurité web en entreprise

Objectif Sécurité effectue des formations d’un jour sur la sécurité des applications en ligne. Cette formation explique, démos à l’appui, les erreurs classiques que nous découvrons chez nos clients (et qui sont documentées chez OWASP). Pour éviter ces erreurs nous présentons aussi les méthodes de développement sécurisé. Finalement les participants au cours ont le loisir de faire des exercices pratiques où ils peuvent se mettre dans la peau d’un pirate et essayer d’exploiter les erreurs d’un site web préparé par nos soins pour cette formation. Les formations sont données par petits groupes et sont encadrées par deux instructeurs d’Objectif Sécurité.

2009-03-04 - Audit de mots de passe sur site

Objectif Sécurité offre un nouveau service pour auditer sur place la qualité de vos mots de passe Windows. Nous nous sommes dotés d’une station de travail dédiée, sécurisée et facilement transportable, afin de pouvoir récupérer les mots de passe dans l’enceinte même des locaux de nos clients. Grâce aux résultats obtenus il est ensuite possible d’estimer le nombre d’utilisateurs ayant choisi un mot de passe faible, de vérifier la présence de mots de passe par défaut ou de valider la bonne mise en oeuvre d’une politique de complexité des mots de passe.

2009-01-22 - Audit systématique anti-trojan

Objectif Sécurité effectue pour ses clients des audits de vulnérabilité à des attaques par cheval de Troie. Nous faisons un travail systématique et méticuleux pour analyser quels sont les canaux d’entrée disponibles, les méthodes efficaces pour contourner la sécurité du poste de travail (HIDS) et les canaux de sortie. Suite à cette analyse nous construisons un cheval de Troie de démonstration qui combine les différentes attaques découvertes pour récupérer un fichier donné et l’exfiltrer sur notre site.

2008-12-07 - Crackage d'un logiciel de chiffrement

Pour un de nos clients, nous avons fait du reverse engineering sur un logiciel de chiffrement de données (DataBacker Privat Safe). Après analyse de la routine de chiffrement par BlowFish nous avons découvert une erreur cryptographique dans l’algorithme de vérification du mot de passe. Grâce à cette faiblesse nous avons réussi à retrouver le mot de passe d’une archive chiffrée en quelques heures. L’attaque équivalente par brute force aurait pris quelques années.

2008-08-24 - Objectif Sécurité dans la presse

Les mois d’août et septembre 2008 ont vu Objectif Sécurité apparaître à plusieurs reprises dans la presse romande et internationale. La vulnérabilité trouvée le mois précédent dans la clé USB biométrique a fait l’objet d’un article dans le magazine allemand c’t, numéro 16/08. Il est également disponible en ligne sur le site de Heise. Un autre article à ce sujet est paru dans le magazine IB com.

Par ailleurs, Objectif Sécurité a également été sollicité pour commenter l’actualité internationale pour le journal Le Temps et le portrait d’Objectif Sécurité a été dressé dans le journal 24 Heures du 8 septembre 2008.

2008-07-16 - Vulnérabilité dans une clé USB certifiée FIPS 140-2 niveau 2

Lors d’un audit de sécurité, Objectif Sécurité a évalué une clé USB proposant un stockage sécurisé de son contenu avec une protection d’accès par lecteur biométrique. Les fichiers déposés sur la clé sont chiffrés au niveau matériel avec l’algorithme AES256 et une authentification forte peut être requise pour accéder à ces données. De plus, cette clé est certifiée conforme à la norme FIPS 140-2 niveau 2 éditée par le gouvernement américain et déclarée apte au stockage sécurisé de certificat digital de contrôle d’accès par un organisme indépendant nord-américain.

Grâce à un important travail de reverse engineering et d’analyse matérielle, Objectif Sécurité a été à même de découvrir une erreur d’implémentation majeure qui lui a permis de récupérer systématiquement une version faiblement hachée du mot de passe nécessaire à déchiffrer tous les documents présents sur ce type de clé. Le constructeur de la clé a été contacté à propos de cette vulnérabilité et a pu fournir une mise à jour de sécurité à ses clients.

2008-05-14 - Sortie d'ophcrack 3.0

Après 4 mois de dur labeur, une nouvelle version d’ophcrack est disponible. La majeure partie du code a été réécrit. Cette version inclut en autres les nouveautés suivantes: multithreading, module de bruteforce, version en ligne de commande, nouvelle interface graphique, support de multiples tables simultanées, support de nouvelles tables vista gratuites, sauvegarde automatique de session. Téléchargez-le sur cette page!

2008-03-01 - Cours Oracle Anti-Hacker à Genève

Suite au succès des dernières éditions, Objectif Sécurité propose en collaboration avec Alexander Kornbrust une formation de trois jours en juin 2008 sur la sécurité des bases de données Oracle. Ne manquez pas cette occasion de parfaire vos connaissances sur le sujet. Plus d’informations et inscriptions ici.

2007-12-15 - Monitoring de la conformité (compliance) des systèmes informatiques

Objectif Sécurité a développé une solution de suivi de la conformité des systèmes informatiques. Basé sur des bonnes pratiques reconnues (les benchmarks CIS) un mécanisme automatique vérifie si les bonnes pratiques de configuration des systèmes informatiques sont bien appliquées. Par exemple s’il n’y a pas de fichier .rhost sur des machines Unix ou si le LMHash a été désactivé sur des machines Windows. Le résultat de ces vérifications est stocké dans une base de donnée et l’évolution de la conformité est affichée sous forme de graphes dans les pages web de la console de gestion de la conformité.

2007-11-23 - Contrat de collaboration avec la police fédérale

Objectif Sécurité a signé un contrat de collaboration général avec la police fédérale à Berne. Cette collaboration permet à Objectif Sécurité de mettre en pratique ses compétences de forensique, de craquage de mots de passe et de reverse engineering pour aider la police à résoudre les cas les plus complexes du point de vue technique. Objectif Sécurité offre aussi ces services forensiques à des sociétés.

2007-07-04 - Nouveau livre: Computer System Security, Basic Concepts and Solved Exercises

Le nouveau livre de sécurité informatique de Philippe Oechslin et de ses coauteurs Gildas Avoine et Pascal Junod vient de paraître chez EPFL-Press. Ce livre contient 106 exercices corrigés et plus de cent pages de cours expliquant les bases des sujets comme: la sécurité des e-mails, les virus et les vers, les vulnérabilités des réseaux et des applications, les firewalls et autres mesures de protections, la cryptographie, les protocoles et applications sécurisées ainsi que la gestion de la sécurité.

2007-05-04 - De multiples solutions pour le Single Sign-On

Mai 2007

Objectif Sécurité s’est frotté à plusieurs solutions de SSO pendant ce mois. La première solution auditée permet aux utilisateurs de Firefox de sauvegarder leurs mots de passe Web en les protégeant avec un mot de passe à usage unique. Nous avons également audité une solution de Single Sign-On universelle basée sur SecureLogin de ActivIdentity qui utilise des scripts pour renseigner automatiquement les formulaires de login. Finalement nous avons travaillé sur des solutions basées sur Kerberors et Active Directory pour des servlets Java sous Weblogic et des applications en PHP sous Apache 2.

2007-04-16 - DRP et cartographie au menu

Le mois d’avril a été en partie consacré à aider un de nos clients à préparer la mise en place de son Disaster Recovery Plan. Etant donné l’importance de la tâche, la première étape a consisté à cartographier de manière détaillée les services de l’entreprise et leurs interactions avec les systèmes d’information afin de pouvoir déterminer les éléments critiques.

2007-03-26 - 1'000'000 téléchargements d'Ophcrack!

Ophcrack a été téléchargé plus d’un million de fois depuis le site ophcrack.sourceforge.net. La somme de tous les téléchargements dépasse les 350 Terabytes. Au rythme actuel, 120’000 téléchargements et 30 Terabytes s’ajoutent chaque mois. Nous avons aussi enregistré deux donations.

2007-02-22 - OS est dans le magazine Hakin9

Philippe Oechslin et Cédric Tissières ont publié un article détaillé sur les tables rainbow, leurs optimisations et leur application aux documents Office dans le magazine Hakin9 (version française). Cédric a aussi écrit un tutorial qui se trouve sur le CD du magazine.

2007-01-12 - Formation avancée à EnCase Enterprise

Dans un souci d’être toujours à la pointe dans tous nos domaines de compétence, nous avons effectué une formation avancée au logiciel de forensique EnCase Enterprise. Celui-ci est la référence en matière de forensique parmi les polices suisses, ainsi que leurs homologues du monde entier. Nous sommes ainsi en mesure de vous offrir le meilleur en matière d’analyse forensique.

2006-12-18 - Projet de forensique pour une police cantonale

Cet hiver nous avons eu l’occasion d’offrir nos services de forensique à une police cantonale de Suisse orientale. Nous avons fait du reverse engineering sur un logiciel de protection d’un disque dur. Grâce à nos recherches nous avons permis à cette police d’obtenir un accès total aux données sur le disque.

2006-11-19 - Ophcrack_office, le crackeur de documents Office le plus efficace au monde!

OS Labs lance un nouveau produit dans sa gamme des crackeurs basés sur les rainbow tables. Ils s’agit d’un logiciel qui peut décrypter des documents Word ou Excel qui ont été protégés avec un mot de passe de n’importe quelle longueur ou complexité! Avec des rainbow tables de 4 Gigabytes, notre logiciel est capable de décrypter en 5 minutes 99.7% des documents. Il est compatible avec toutes les versions d’Office pour autant que le mode de protection par défaut est utilisé. Plus d’informations à ce sujet sur nos pages produits.

2006-10-28 - Les 7 péchés capitaux des applications en ligne

Objectif Sécurité a mis sur pied une formation d’une journée pour sensibiliser les programmeurs aux vulnérabilités classiques des applications. Ces failles sont démontrées avec des exemples concrets pour mieux expliquer comment s’en prémunir. Le cours est complété par une illustration des aspects sécurité du cycle de développement est d’une série d’exercices pratiques. Vous trouverez plus d’informations sur ce cours dans nos pages de formation. Un aperçu du contenu du cours à été présenté au Clusis le 24 Octobre 2006 et au Zurich Information Security Center (ZISC) le 13 juin.

2006-09-08 - Un demi million de téléchargements de Ophcrack

Ophcrack, le crackeur de mots de passe Windows développé par Objectif Sécurité à franchi la barre des 500’000 téléchargements. La version la plus populaire est le liveCD qui permet de cracker les mots de passes alphanumériques d’une longueur allant de 1 à 14 caractères sans droits d’administrateur et sans installer aucun programme. A lui seul il a généré plus de 170 Terabytes de téléchargement. Les DVDs contenant les mots de passe complexes (33 charactères spéciaux) bénéficient aussi d’une popularité croissante.

2006-08-02 - Faille dans les firewalls applicatifs RealSentry et ModSecurity

Lors d’un audit applicatif nous avons découvert une faille dans les firewalls applicatifs RealSentry et ModSecurity pour Apache. Ces firewalls sont configurés par défaut pour bloquer les attaques de type injection SQL à l’aide de diverses signatures. Ces signatures ont un défaut qui permet quand-même de faire des injections SQL. Les éditeurs des deux solutions ont été contactés.

2006-07-15 - Le Social Engineering trop facile!

Lors de notre dernier audit de Social Engineering, plus de 50% des 200 destinataires de nos messages forgés ont répondu. Près de 90% de ceux qui ont répondu nous ont donné leur mot de passe. Il est vrai que le piège qui leur a été tendu était incitant. Si les utilisateurs sont toujours aussi attentionnés on peut se demander si ça vaut la la peine d’essayer d’exploiter des vulnérabilités techniques pour pirater un système informatique…

2006-06-16 - Cours Oracle Anti-Hacker à Genève

Objectif Sécurité propose, en collaboration avec Alexander Kornbrust, une formation de trois jours sur la sécurité des bases de données Oracle. Ne manquez pas cette occasion de parfaire vos connaissances sur le sujet. Plus d’infos ici.

2006-05-19 - Cours de crackage de mots de passe pour les polices Européennes

Objectif Sécurité a participé à la conférence de forensique “Decryption / Password Recovery using cluster technology” organisée par les forces de l’ordre de Hanovre pour les polices germanophones.

2006-04-25 - Présentation du Rainbow cracking à Websec 2006

Objectif Sécurité participe à WebSec 2006 à Londres avec une présentation sur le rainbow cracking. La présentation peut être téléchargée en anglais ici.

2006-03-22 - Ophcrack 2.2 disponible

Nous avons sorti la version 2.2 d’Ophcrack, le cracker de mots de passe Windows le plus rapide du monde, sur sourceforge. Cette version supporte un nouvel ensemble de tables contenant les caractères suivants:

0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!”#$% &’()*+,-./:;&<=>?@[]^_`{|}~ (y compris l’espace)

Vous pouvez acheter ces tables sur notre site web.

2006-01-30 - Vulnérabilité découverte dans SAP

Objectif Sécurité a découvert une vulnérabilité dans le Internet Transaction Server de SAP. Cette vulnérabilité a été communiquée au team Security de SAP et peut être éliminée grâce au patch 20, disponible depuis le 21 décembre 2005. Plus d’informations dans la note SAP 883908.

2005-11-25 - ophcrack liveCD disponible

La première version d’ophcrack LiveCD est disponible ce mois-ci. C’est un CD linux bootable qui contient ophcrack ainsi qu’un ensemble de tables pour cracker les mots de passe alpha-numériques. Il suffit de démarrer le PC depuis le CD, de se relaxer et de regarder le programme casser les mots de passe.

2005-10-28 - Séminaire sur la gestion de vulnérabilités

Objectif Sécurité a donné un séminaire sur la gestion de vulnérabilités à INFORUM 2005 à Genève. La présentation est disponible ici.

2005-09-22 - OS fait la une de Security Focus

Robert Lemos a écrit un article sur le Rainbow Cracking pour Securityfocus et interviewé Oechslin à propos du future du hashage de mots de passe. L’article est toujours en ligne.

2005-08-06 - Injection SQL dans une radio web

Lors de nos audits d’application, nous trouvons régulièrement des vulnérabilités de type injection SQL. Bien sûr ces vulnérabilités ne sont pas publiées. Pour une fois, nous avons découvert une injection SQL typique dans une application publique. L’annonce est disponible ici.

2005-06-28 - Objectif Sécurité dans les médias

Nous avons été découverts par la presse ce mois-ci. Un article d’une page entière à propos d’Objectif Sécurité, les “Pirates informatiques en toute légalité”, a paru dans l’édition du 13 juin du 24 heures. Oechslin a été interviewé par Le Matin et Le Temps à propos d’une arnaque de phishing contre une banque suisse. Nous avons également été interviewé par la Première de la Radio Suisse Romande au sujet du hacking éthique.

2004-11-12 - Séminaire sur les attaques man-in-the-middle contre les systèmes de telebanking

Nous avons donné un séminaire sur les différents moyens de pénétrer les applications de telebanking. En particulier, nous avons fait une démonstration montrant comment un hacker peut modifier Internet Explorer pour manipuler les données qui circulent sur HTTPS. Cela peut rendre les attaques de phishing encore plus dangereuses. La présentation est disponible ici.