Le plus gros site BitTorrent italien hacké

Les mots e passe n'étant pas stockés du tout !

Non quand tu stocke un hachage, dans la mesure ou c'est pas bijectif, tu ne stocke pas le pass.

De même avec un challenge réponse, tu va utiliser des systèmes asymétriques, ou alors a hachage de rang n.

Dans tous ces cas la, tu n'a aucune infos sur le mot de passe de stockée, juste un moyen de vérifier celui-ci.

C'est bien justement la l'enjeu de la sécurité : ne pas stocker le mot de passe, en clair ou non. Juste être en mesure de le vérifier.

Si ensuite un couillon choisis couillon123 comme pass et qu'on le trouves, toit tu n'y peu rien. àa ne relève plus de la sécurité de ton site, mais de ceux de l'utilisateur.

Non bijectif entre quoi et quoi ???
L'important c'est qu'il y ait surjectivité entre l'espace des mots de passe utilisés et les hash générés et que la probabilité d'obtenir une chaine courte (de 1 à 12 caractères) ayant la même valeur de hachage que le mot de passe original soit infime. On peut affirmer que la valeur de hachage, dans 99,999% des cas concrets, caractérise de façon distinctive le mot de passe, et donc que stocker cette valeur de hachage constitue une forme de stockage du mot de passe.

Maintenant mathématiquement parlant on peut considérer le mot de passe comme la classe d'équivalence des authentifiants de même valeur de hachage, et construire une bijection :-)

Si, il y a bien une info sur le mot de passe stocké, dans la réussite ou l'échec du challenge, elle correspond à 1 bit d'information.

Comme dit précédemment, l'information caractérisant le mot de passe (le hash) doit être être stockée quelques part dans une authentification par mot de passe... Petite remarque au passage : dans le cas d'une authentification NTLMv1 sur un réseau microsoft, ce sont les valeurs de hachages elles-mêmes qui jouent le rôle du mot de passe.

Non, un bon administrateur de site à la possibilité de refuser les mots de passe trop simples, trop courts, ... et d'imposer le respect de certains critères (utilisation de chiffres, de lettre majuscules et minuscules, de l'utilisation d'un caractère spécial).

Stocker une valeur de hachage permet juste de stocker un "ensemble" de mots de passe. Si ce n'est pas le cas la fonction de hachage devient bijective et donc n'est plus une fonction de hachage. Et ne me parle pas d'injectivité, ce n'est pas utilisable actuellement, même si des systèmes à double challenges essayent de s'en rapprocher.

Tu vas l'embrouiller là

Troll detector engaged !
Bon, je marche dedans...
Un système d'authentification peut trés bien ne renvoyer aucune information et juste stocker la validité de la session de son coté. C'est l'usage qui en sera fait par l'utilisateur/pirate qui la légitimera.

En supposant que la base de clés de hash soit "sécurisée" il n'y a que la technique du "Man in the middle" qui permet d'en intercepter une (clé de hash). Ce qui limite fortement l'utilisation d'une attaque Brute Force contre un système dans l'optique de connaitre un mot de passe vu le temps de calcul nécessaire pour calculer ne serais-se qu'une MD5. Par contre les cracker en silencieux quand on a eu accès a une séries de hash est bcp plus aisé et rapide (les Rainbows Tables & co).

Alors là, si l'admin autorise les login=mdp il n'y a plus rien a faire

Oh là, il y a des cours de maths à revoir je crois...
Les fonctions de hachages cryptographiques entre l'ensemble infini des messages et l'ensemble fini des hachés sont, par définition même, non injectives. Il y a obligatoirement des collisions. Donc dans ce contexte là, la non injectivité est établie une fois pour toute (il n'y a pas d'histoire d'actuellement).

Maintenant les mathématiques permettent grâce aux ensembles quotients d'établir la bijectivité de la fonction de hachage en agissant sur les ensembles, d'où ma remarque initiale : « Non bijectif entre quoi et quoi ??? ».

On touche là la distinction entre authentification et autorisation... mais le fait que l'autorisation soit donnée prouve que l'authentification a réussie, ce qui apporte bien de l'information. L'analyse des échanges établis lors de l'authentification permet alors d'établir un crible c'est à dire un test que l'on peut faire passer aux mots de passe candidats dans une attaque par recherche exhaustive ou par dictionnaire. Bien entendu c'est à la condition de connaître les algorithmes utilisés du côté client, ce qui est généralement le cas dans une authentification web.

Le temps de calcul d'un hash MD5 n'est pas en lui même un problème (sur un processeur moderne on peut en calculer plusieurs millions par seconde). Ce qui l'est plus ce sont : l'établissement d'une connexion réseau, les temps de latences rajouté directement par un temps de pause obligatoire, ou par l'utilisation d'un boucle de calcul (cas des mots de passe MD5 à la FreeBSD), ou encore la limitation du nombre de tentatives horaires ou absolue avant le blocage du compte associé...

Effectivement si l'administrateur lui même est incompétant...

Je maintiens, ce n'est pas parceque tu sors les grand mots jeu auquel je pourrait jouer, mais je penses que ça n'apporte strictement rien) que cela change quelque chose.

Même si tu casse la protection avec une rainbow table par exemple, tu n'a aucun moyen de vérifier que ce que tu as trouvé est bien le mot de passe qui a généré le hach. Tu auras juste trouvé UN mot de passe (parmi une infinité) produisant le même hach.

Le mot de passe n'est donc pas stocké. il n'y a rien de plus a comprendre.

Pour le reste, il y a tout plein de chose justes dans ton message.

Ce pourrait être vrai si le mot de passe initial avait été généré aléatoirement. Hors c'est tout le contraire ! De par son origine humaine le mot de passe initial possède une entropie extrêmement faible. Il est à la fois court, extrêmement alphabétique et syllabique, à casse peu variable, ...

Il n'y a qu'à voir la longueur d'un haché du type MD5 pour se rendre compte qu'une combinaison de 128 bits correspond à un mot formé de 27 lettres de "a" à "z" en minuscules. (2^128 = 26^27,23...). Ceci pour dire qu'un mot, ayant la même valeur de hachage que celle du mot de passe initial, a en général une taille hors norme. Par conséquent si l'on trouve un équivalent de petite taille du mot de passe initial, c'est qu'il s'agit très très très probablement du mot de passe lui même.

Très probablement. C'est donc pourquoi il n'est pas stocké.

S'il étai stocké sous une quelconque forme que ce soit, on pourrait le retrouver, et pa très probablement mais de façon certaine

La certitude étant une notion très humaine, une probabilité de moins de 1 contre un milliard de milliards de milliards de milliards me semble suffisamment faible pour dire que l'on a retrouvé le mot de passe initial et pas un équivalent.

>>>"une probabilité de moins de 1 contre un milliard de milliards de milliards de milliards me semble suffisamment faible pour dire que l'on a retrouvé le mot de passe initial et pas un équivalent."

Ce dont on a rien à foutre. Ce qui est important, ce n'est pas d'avoir trouvé LE mot de passe, c'est d'avoir réussi à entrer dans le système.

>>>"L'identification biométrique, ou les tokens crypto, c'est pareil : à un moment ou un autre, tu compares ta clé (l'empreinte de doigt, le résultat d'une opération sur la clé privée, ...) ou ce que tu fais avec elle à quelque chose (la même chose en clair, un hash, une clé publique, ...)."
Pas obligatoirement. La "serrure" peut tout à fait se trouver, sous une forme physique, sur ton ordinateur. Et la "clé" être également un élément physique en ta possession. Et dans ce cas, l'authentification se fait par un échange d'autorisation entre un processus tournant sur le PC et un processus tournant sur le serveur, avec par exemple, un système de cryptage à clé publique.
Bref, trouver des moyens similaires à ceux des paiements par carte bleue : bien sûr qu'on trouvera toujours des petits bricolos pour arriver à casser.

Si vous aviez suivi un peu plus attentivement vous auriez compris que nous discutions des mots de passe récupérés par injection de code et pas du mot de passe Admin dont on ne sait pas grand chose sur sa découverte.
Maintenant le fait que cette discussion ne vous intéressait pas ne doit pas vous empêcher de rester poli.

Pour la carte bancaire, lorsqu'elle est utilisée dans un distributeur de billets en ligne, le code de 4 chiffres est envoyé à un serveur, il y a donc bien une comparaison.

Et pour ce qui est d'une utilisation avec la puce chez un commerçant, les nombreux reportages sur les YesCards nous ont démontré que le système n'était pas des plus sécurisé...

Bonjours à tous.
Ce préambule qui peut sembler hors sujet est indispensable au raisonnement qui suivra.

Les hackers sont indispensables, se sont le dernier rempart contre l'anéantissement programmés de nos libertés fondamentales par "la société du spectacle".
Au jour d'aujourd'hui, il n'existe quasiment plus aucune révolte "physique" contre le despotisme mercantiliste, tout simplement parce que la machine médiatique à réussi le tour de force qui consiste à inverser les rôles:
Présenter les combattants libertaires armés comme étant despotiques et l'abstentionniste comme un vulgaire irresponsable, alors que le système devient l'unique défenseur de la liberté.

Lutter ouvertement contre le système est devenu immoral: on répondra au rebelle que s'il désire s'exprimer, il n'a qu'à voter...(Je développerai se sujet en post scriptum.)
Au final, son combat est perdu d'avance car l'opinion publique verra ses actes à travers les yeux des médias.

La rébellion des Hackers est indispensable car bien plus difficile à discréditer. Elle fait autant de mal au systeme que la lutte armé, cependant, la différence est de taille:
quand les médias discréditent un combattant armé, ils le font passer pour un meurtrier motivé par la haine, mais quand il tentent de discréditer un combattant "virtuel", ils ne peuvent que le transformer en un simple petit con boutonneux qui se branle devant des film de cul.
La société ne peut pas combattre ouvertement le hacking politisé tout simplement parce que les médias ne pourront jamais faire avaler à madame bidochon que ce petit con boutonneux risque la prison à perpétuité à cause de son attitude (qu'elle considèrera tout au plus comme) irresponsable.

Le raisonnement qui suit n'a de sens que si l'on admet qu'il est l'unique raison qui peut pousser un Hacker à autant de travail pour arriver à un résultat qui ne l'intéresse personnellement en rien: rendre public (donc dénoncer) une liste de délinquants du net.
Je vois pas quel abrutit déciderai de passer autant de journée de travail acharné à cette simple fin. (j'écris cela afin de rendre légitime le raisonnement suivant.)
J'en viens donc au problème que ce sujet soulève:
Tout d'abord, je tiens à dire que de nombreux commentaires sont complètement stérile, le principal problème n'étant certainement pas de savoir si ce tracker était bien sécurisé ou pas!
NON, le vrai problème est de considérer la réponse de la société au mouvement Hacker.

N'ayant aucun recours légal, les majors utilisent ce qui leur donne le pouvoir de vie ou de mort sur la majorité de l'espèce humaine (voire de la vie sur terre): le fric.
J'ai développé ce qui différencié les deux formes de luttes, voici maintenant ce qui est commun au Hacking et à la lutte armé:
pour être efficace, il faut y consacrer sa vie, ceci signifie être pauvre et subir le rejet des autres dans une société ou la valeur d'un individu est réduite à celle de son compte bancaire...

Afin que les privilégiés que nous sommes comprennent bien mon raisonnement, je vais rajouter à ce FAIT ceci:
Dans un pays (dit) "en voie de développement", cet état de fait (la pauvreté, la faim et le rejet) deviens un calvaire quasi insoutenable, un vrai chemin de croix, une dévotion à un idéal qui coute une vie, TOUTE une vie.

La promesse d'un compte en banque bien remplis, d'une vie meilleure: voilà ce qui explique la trahison de certains Hacker envers leurs frères d'armes...
... Pour faire le parallèle, ceci est La même motivation que celle de certains mercenaires.

Je tiens à rajouter que seul celui qui a fait le sacrifice de sa vie économique et sociale pour ses idées peut se permettre de juger ce genre de traitrise, les autres ne peuvent que constater.


PS n*0 1 (comme promis):
Lutter ouvertement contre le système est devenu immoral: on répondra au rebelle que s'il désire s'exprimer, il n'a qu'à voter...

Quelques remarques aux partisans de cette affirmation:

-Première remarque: Petit rappel:
Tout parti politique, association ou individu se présentant à une élection politique qu'elle quelle soit n'a pas le droit de se présenter comme anticonstitutionnel, ce qui signifie qu'il est fondamentalement illégal de représenter au sein de l'état une communauté de citoyens en désaccord avec la constitution de cet état.
En clair, interdiction formelle de changer le système.
(à ceux qui en doutent: lisez les constitutions de TOUS les systèmes politiques actuels).
Donc le droit de vote donne au peuple la possibilité de choisir celui ou celle qui représentera le système, mais en aucune façon le droit de le modifier en profondeur. Tout au plus le faible pouvoir d'en modifier quelques futilités.

-Deuxième remarque:
Il est donc logique que le seul recours légal du citoyen qui est en désaccord avec le système dans lequel il vit est abstentionnisme électoral car (et c'est irréfutable si l'on admet ma première remarque) le simple fait de voter (même blanc) signifie que l'on est en accord avec la constitution (donc avec le système).

-troisième remarque:
J'appelle quiconque à s'interroger sur l'attitude des médias qui consiste à incriminer les abstentionnistes en les considérant comme de simples irresponsables sans idées tout en omettant de parler de la légitimité (ou plutôt l'absence de légitimité) d'un état au cas ou cette abstention deviendrai majoritaire.


Cordialement, huildoliv.