Backplate

"Vincent Daanen" <vdaanen@yahoo.fr> wrote in message
news:bosld1$3kp$1@trompette.imag.fr...
> Eh les gars,
> si je me fait pirater le site (si si ca arrive, je ne suis pas que
> parano !!) je vais piquer une grosse colere !!!

Peu de chances... tant que tu ne fais pas de boulette (genre tu donne le mot
de passe ou tu place des droits d'écriture sur ton répertoire) ! Je vais te
décrire la méthode la plus simple pour "hacker" un site, elle porte le doux
nom de "social engineering" ou "abus de confiance". On va supposer que je
suis la personne qui souhaite remplacer le contenu.

Je t'envois un email (le moyen le plus aisé pour te contacter, mais je
pourrais utiliser le téléphone en me faisant passer pour le helpdesk lycos
ou encore la poste en t'envoyant à domicile un CD avec la nouvelle interface
"obligatoire" pour administrer ton site Web), ce message contient ce qui est
nécessaire pour obtenir le mot de passe (un programme chargé d'enregistrer
ce que tu tape au clavier, un lien vers une tel programme, un formulaire qui
mime le login sur Lycos) cet email est conçu pour te mettre en confiance, il
faut que tu sente qu'il est légitime et qu'à aucun moment tu puisse douter
qu'il s'agit d'un faux.

Le message comportera toujours un prétexte, une suite d'action que tu devras
effectuer et une menace proportionnée au prétexte, mais suffisament
ennuyeuse pour que tu exécute la suite d'actions, par exemple ton compte
sera désactivé sous 7 jours si tu ne te connecte pas sous la nouvelle
interface.

Voici par exemple un scénario qui aurait ses chances :
1) Je t'envois un mail HTML avec l'identité graphique de Lycos :

Madame, Monsieur,

Vous allez recevoir dans les prochains jour par courrier notre nouvelle
interface destinée à administrer votre site personnel Lycos. Cette interface
a été conçue dans le but de faciliter l'administration et la synchronisation
de votre site personnel Lycos.

Cette interface utilise un cryptage fort en vue d'assurer la confidentialité
et l'intégrité de votre site personnel. La mise en place de cette interface
est obligatoire et l'ancienne gestion via FTP sera désactivée lorsque tous
nos clients auront reçu notre interface.

bla bla de politesse et salutations, signé par Lycos (il faudrait prendre
quelques mails qu'ils ont envoyer pour pasticher leurs envois)

2) Je créé un programme, ce programme qui prend à tout casser 1 journée à
réaliser va avoir deux fonctions : la première te faire croire que
effectivement il s'agit bien de ce qui a été annoncé, la seconde de piquer
ton compte / mot de passe et de me le transmettre par un média publique.
Pour se faire le programme devra arborer un beau logo lycos, un cadenas
marqué "cryptage 128 bits" donnant un aspect sécurisé, etc, etc, et se
comporter au final comme un bete client FTP avec ton compte. L'aspect doit
etre soigné pour te donner l'impression qu'il est légitime.

3) Je grave un CD et y place une etiquette reprenant la charte graphique de
Lycos imprimée sur une jet d'encre grand public, la qualité est actuellement
suffisante pour faire passer le CD pour qqch de légitime. Il vaut mieux
privilégier des anciens CD à la surface dorée qui paraissent moins
"inscriptibles" que les classiques bleu / vert.

4) Je prépare une enveloppe, avec une lettre explicative (rappelant l'email
d'il y a quelques jours, comment installer le programme, etc) avec la charte
graphique de Lycos, le CD sus-mentionné, et sur l'enveloppe imprimer le nom
/ prénom du destinatire et le logo de l'expéditeur (ce qui permet
d'identifier l'envoi et mettre en confiance avant meme l'ouverture du
courrier)

5) Espérer que celà fonctionne...

Voila donc méfiance lorsque l'on s'intéresse d'un peu trop pret à ton compte
et n'hésite pas à vérifier l'information.

--
Cédric
http://www.logbook.ch/
Enlever '.efface' de mon adresse email

Merci de toutes ces infos Cedric,

meme ton approche tres sioux (synonyme de vicieuse dans ce cas !!)
n'aurait pas marcher, j'aurais juste desactiver mon compte car je
l'utilise plus guere !!!

Vince,

Cédric Rathgeb wrote:
> "Vincent Daanen" <vdaanen@yahoo.fr> wrote in message
> news:bosld1$3kp$1@trompette.imag.fr...
>
>>Eh les gars,
>>si je me fait pirater le site (si si ca arrive, je ne suis pas que
>>parano !!) je vais piquer une grosse colere !!!
>
>
> Peu de chances... tant que tu ne fais pas de boulette (genre tu donne le mot
> de passe ou tu place des droits d'écriture sur ton répertoire) ! Je vais te
> décrire la méthode la plus simple pour "hacker" un site, elle porte le doux
> nom de "social engineering" ou "abus de confiance". On va supposer que je
> suis la personne qui souhaite remplacer le contenu.
>
> Je t'envois un email (le moyen le plus aisé pour te contacter, mais je
> pourrais utiliser le téléphone en me faisant passer pour le helpdesk lycos
> ou encore la poste en t'envoyant à domicile un CD avec la nouvelle interface
> "obligatoire" pour administrer ton site Web), ce message contient ce qui est
> nécessaire pour obtenir le mot de passe (un programme chargé d'enregistrer
> ce que tu tape au clavier, un lien vers une tel programme, un formulaire qui
> mime le login sur Lycos) cet email est conçu pour te mettre en confiance, il
> faut que tu sente qu'il est légitime et qu'à aucun moment tu puisse douter
> qu'il s'agit d'un faux.
>
> Le message comportera toujours un prétexte, une suite d'action que tu devras
> effectuer et une menace proportionnée au prétexte, mais suffisament
> ennuyeuse pour que tu exécute la suite d'actions, par exemple ton compte
> sera désactivé sous 7 jours si tu ne te connecte pas sous la nouvelle
> interface.
>
> Voici par exemple un scénario qui aurait ses chances :
> 1) Je t'envois un mail HTML avec l'identité graphique de Lycos :
>
> Madame, Monsieur,
>
> Vous allez recevoir dans les prochains jour par courrier notre nouvelle
> interface destinée à administrer votre site personnel Lycos. Cette interface
> a été conçue dans le but de faciliter l'administration et la synchronisation
> de votre site personnel Lycos.
>
> Cette interface utilise un cryptage fort en vue d'assurer la confidentialité
> et l'intégrité de votre site personnel. La mise en place de cette interface
> est obligatoire et l'ancienne gestion via FTP sera désactivée lorsque tous
> nos clients auront reçu notre interface.
>
> bla bla de politesse et salutations, signé par Lycos (il faudrait prendre
> quelques mails qu'ils ont envoyer pour pasticher leurs envois)
>
> 2) Je créé un programme, ce programme qui prend à tout casser 1 journée à
> réaliser va avoir deux fonctions : la première te faire croire que
> effectivement il s'agit bien de ce qui a été annoncé, la seconde de piquer
> ton compte / mot de passe et de me le transmettre par un média publique.
> Pour se faire le programme devra arborer un beau logo lycos, un cadenas
> marqué "cryptage 128 bits" donnant un aspect sécurisé, etc, etc, et se
> comporter au final comme un bete client FTP avec ton compte. L'aspect doit
> etre soigné pour te donner l'impression qu'il est légitime.
>
> 3) Je grave un CD et y place une etiquette reprenant la charte graphique de
> Lycos imprimée sur une jet d'encre grand public, la qualité est actuellement
> suffisante pour faire passer le CD pour qqch de légitime. Il vaut mieux
> privilégier des anciens CD à la surface dorée qui paraissent moins
> "inscriptibles" que les classiques bleu / vert.
>
> 4) Je prépare une enveloppe, avec une lettre explicative (rappelant l'email
> d'il y a quelques jours, comment installer le programme, etc) avec la charte
> graphique de Lycos, le CD sus-mentionné, et sur l'enveloppe imprimer le nom
> / prénom du destinatire et le logo de l'expéditeur (ce qui permet
> d'identifier l'envoi et mettre en confiance avant meme l'ouverture du
> courrier)
>
> 5) Espérer que celà fonctionne...
>
> Voila donc méfiance lorsque l'on s'intéresse d'un peu trop pret à ton compte
> et n'hésite pas à vérifier l'information.
>

"Vincent Daanen" <vdaanen@yahoo.fr> wrote in message
news:botfal$qm$1@trompette.imag.fr...
> Merci de toutes ces infos Cedric,
>
> meme ton approche tres sioux (synonyme de vicieuse dans ce cas !!)
> n'aurait pas marcher, j'aurais juste desactiver mon compte car je
> l'utilise plus guere !!!

On en peut pas gagner à tous les coups

--
Cédric
http://www.logbook.ch/
Enlever '.efface' de mon adresse email

Tu finiras en tôle, toi ... comme ça, on sera deux plongeurs là-bas .... :o)
Amicalement,

E. TONNEAU

"Cédric Rathgeb" <cedric.rathgeb.efface@logbook.ch> a écrit dans le message
de news:3fb1ff2f$1@news.deckpoint.ch...
> "Vincent Daanen" <vdaanen@yahoo.fr> wrote in message

snip snap snop

> 4) Je prépare une enveloppe, avec une lettre explicative (rappelant
l'email
> d'il y a quelques jours, comment installer le programme, etc) avec la
charte
> graphique de Lycos, le CD sus-mentionné, et sur l'enveloppe imprimer le
nom
> / prénom du destinatire et le logo de l'expéditeur (ce qui permet
> d'identifier l'envoi et mettre en confiance avant meme l'ouverture du
> courrier)
>
> 5) Espérer que celà fonctionne...
>
> Voila donc méfiance lorsque l'on s'intéresse d'un peu trop pret à ton
compte
> et n'hésite pas à vérifier l'information.
>
> --
> Cédric
> http://www.logbook.ch/
> Enlever '.efface' de mon adresse email
>
>