Bonjour,

Dans le cadre de mes études, je doit réaliser un projet sur le métier ou domaine qui m'intéresse (donc l’ingénierie informatique), et pour cela je doit réaliser l'interview d'(au moins) un professionnel.

Je cherche donc quelqu'un qui travaille dans ce domaine et qui accepterais de répondre à quelques questions (pas énormément non plus).

L'interview pourras ce faire par MP, par mail, voir par Skype : comme vous préférez.

Je devrait rendre une retranscription de l'interview et regrouperait les informations avec les interview des autres membres de mon groupe.

 

En parlant de mon groupe, voudrais ajouter que certaines des personnes avec qui je travail sur ce projet sont intéressé par le domaine de la cryptographie (toujours en ingénierie informatique), donc si on pouvait avoir une interview de quelqu'un travaillant dans ce domaine ça serait cool. (On en se fait pas d'illusion mais ça vaut le coup de demander).

 

Si vous avez des questions ou des précisions à demander, n’hésitez pas

 

Merci d'avance et bonne journée

-
Edité par Amy_Bradbury 13 avril 2015 à 10:41:27

Je peux t'aider si ca t'interesse, je travaille sur tout ce qui est securite du jeu video The Elder Scrolls Online ce qui inclue de la cryptographie.

Je travaille dans la cryptographie info en tant que pentester, je t'ai répondu par MP aussi.

Qu'est-ce que la cryptographie ? Merci.

La cryptographie c'est, en gros, une technique permettant de chiffrer (transformer) un message afin qu'il ne soit compréhensible que par celui qui émet et celui qui reçoit. Rendre secret le message.

Par exemple, quand tu te log sur OC, tu envoie ton mot de passe. Et bien celui-ci est crypté, c'est à dire que si quelqu'un intercepte ton message, il ne pourra pas lire ton mot de passe.

Avicularia a écrit:

La cryptographie c'est, en gros, une technique permettant de chiffrer (transformer) un message afin qu'il ne soit compréhensible que par celui qui émet et celui qui reçoit. Rendre secret le message.

Par exemple, quand tu te log sur OC, tu envoie ton mot de passe. Et bien celui-ci est crypté, c'est à dire que si quelqu'un intercepte ton message, il ne pourra pas lire ton mot de passe.

Ah ok ! Merci pour l'info !

-
Edité par Anonyme 13 avril 2015 à 17:15:09

AwpSoLeet a écrit:

Je peux t'aider si ca t'interesse, je travaille sur tout ce qui est securite du jeu video The Elder Scrolls Online ce qui inclue de la cryptographie.

Sérieux ?

Oui je suis le petit francais de la boite

Avicularia a écrit:

Par exemple, quand tu te log sur OC, tu envoie ton mot de passe. Et bien celui-ci est crypté, c'est à dire que si quelqu'un intercepte ton message, il ne pourra pas lire ton mot de passe.

Mauvais exemple, sur OC, ça passe en claire. même si le mot de passe lui même est chiffré coté client (j'imagine que ce n'est pas le cas), on peut récupérer la chaine chiffrée et la renvoyer tel quel au serveur et s'identifier avec une autre compte 

Sinon, je suis aussi ingénieur, je fais de la cryptographie dans des applications intranet.

Xia a écrit:

Avicularia a écrit:

Par exemple, quand tu te log sur OC, tu envoie ton mot de passe. Et bien celui-ci est crypté, c'est à dire que si quelqu'un intercepte ton message, il ne pourra pas lire ton mot de passe.

Mauvais exemple, sur OC, ça passe en claire. même si le mot de passe lui même est chiffré coté client (j'imagine que ce n'est pas le cas), on peut récupérer la chaine chiffrée et la renvoyer tel quel au serveur et s'identifier avec une autre compte 

Sinon, je suis aussi ingénieur, je fais de la cryptographie dans des applications intranet.

En effet, envoyer un mot de passe chiffré côté client par un canal non sécurisé n'a aucun sens.

Ça me rappelle une anecdote : j'avais vu un site qui générait un hash MD5 du mot de passe côté client (en JS), puis l'envoyait au serveur. Fail. Je crois que le webmaster a voulu bien faire mais il s'est trompé sur toute la ligne.

Pire : le cas du site qui vérifiait du côté client que le mot de passe était correct, puis redirigeait sur la page d'administration !

Vekin a écrit:

Xia a écrit:

Avicularia a écrit:

Par exemple, quand tu te log sur OC, tu envoie ton mot de passe. Et bien celui-ci est crypté, c'est à dire que si quelqu'un intercepte ton message, il ne pourra pas lire ton mot de passe.

Mauvais exemple, sur OC, ça passe en claire. même si le mot de passe lui même est chiffré coté client (j'imagine que ce n'est pas le cas), on peut récupérer la chaine chiffrée et la renvoyer tel quel au serveur et s'identifier avec une autre compte 

Sinon, je suis aussi ingénieur, je fais de la cryptographie dans des applications intranet.

En effet, envoyer un mot de passe chiffré côté client par un canal non sécurisé n'a aucun sens.

Ça me rappelle une anecdote : j'avais vu un site qui générait un hash MD5 du mot de passe côté client (en JS), puis l'envoyait au serveur. Fail. Je crois que le webmaster a voulu bien faire mais il s'est trompé sur toute la ligne.

Pire : le cas du site qui vérifiait du côté client que le mot de passe était correct, puis redirigeait sur la page d'administration !

@Xia : Ah très bien. bon ben mauvais exemple , J'avais fais l'hypothèse que OC était un peu sécurisé... Bon... Ben Normalement, quand on envoie des requête contenant des données confidentielles, on les cryptes.

@Vekin : Sympa ton site Puis le MD5 ça se pète facilement maintenant...

Avicularia a écrit:

@Vekin : Sympa ton site Puis le MD5 ça se pète facilement maintenant...

Facilement... facilement... tout est relatif. Si tu mets un sel robuste et unique à chaque mot de passe, je doute que tu trouves facilement (les rainbow tables deviennent inutilisables). Ou au moins pas rapidement, la force brute prenant beaucoup de temps.

Mais oui, je suis d'accord : mieux vaut laisser tomber MD5... le plus tôt sera le mieux. Préférer bcrypt et sa difficulté adaptative

Vekin a écrit:

Avicularia a écrit:

@Vekin : Sympa ton site Puis le MD5 ça se pète facilement maintenant...

Facilement... facilement... tout est relatif. Si tu mets un sel robuste et unique à chaque mot de passe, je doute que tu trouves facilement (les rainbow tables deviennent inutilisables). Ou au moins pas rapidement, la force brute prenant beaucoup de temps.

Mais oui, je suis d'accord : mieux vaut laisser tomber MD5... le plus tôt sera le mieux. Préférer bcrypt et sa difficulté adaptative

Ben le MD5 comporte surtout une faille de sécurité (collision) donc il y a des algos pour le casser biieeeeen plus efficaces que les rainbow tables ou le brutforce

Oui, les collisions, juste, mais bon, il faut quand même cherché un moment pour en trouver (à l'échelle d'un particulier j'entends)

Quoi ? Tu n'as pas de serveur de calcul dans ton salon ??

Sinon, il existe des sites sur lequels tu peux casser des mot de passes MD5. Personnellement, et même dans le cadre de mon travail, je les utilises. Par exemple les mot de passes de certains serveurs stockés en MD5 je le pète grâce à ça. Et puis, la plupart des mdp des clients ne sont pas très solides. Les casser est quasi instantané pour la plupart !

Oui, c'est clair, si le mot de passe est faible, la sécurité de celui-ci est compromise sérieusement...

Suffit d'une bonne carte graphique pour casser du MD5.

Un GPU milieu de gamme est plus puissant que le cluster le plus puissant qui existait en 2001 et une GTX Titan X (6.6 TFLOPS) est aussi puissante que le plus puissant cluster de 2004. Pas besoin d'un cluster

AwpSoLeet a écrit:

Suffit d'une bonne carte graphique pour casser du MD5.

Un GPU milieu de gamme est plus puissant que le cluster le plus puissant qui existait en 2001 et une GTX Titan X (6.6 TFLOPS) est aussi puissante que le plus puissant cluster de 2004. Pas besoin d'un cluster

C'est vrai, les GPU ont bien changé la donne en matière de brute force (et pas seulement). Pour une application veillant un tant soit peu à la sécurité, il est primordial de délaisser MD5 (et de préférer quelque chose comme Whirlpool :p).

Merci à tous pour vos réponses, je verrais avec mes collègues et si besoin je vous contacterais par MP