Actualités

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Les mots de passe pataugent dans la swap


Edition du 10/06/2004 - par Marc Olanié

Une équipe de chercheurs de l'Université de Standford (Jim Chow, Ben Pfaff, Tal Garfinkel, Kevin Christopher, Mendel Rosenblum) s'est intéressée à la « rémanence des données » au sein d'un système informatique . Ces travaux ont fait appel à un « simulateur de machine » (baptisé TaintBochs) capable d'apposer un marqueur aux données que l'on souhaite contrôler... en l'occurrence des chaînes sensibles, telles que les mots de passe. Ce marqueur facilite le suivi des chaînes se « promenant » d'une position mémoire à l'autre. Et des mots de passe et assimilés, il en traîne un peu de partout dès que l'on travaille via Internet. Séquences de login distant, accès aux consoles d'administration, échanges bancaires demandant des numéros de cartes de crédit, requêtes de numéros de sécurité sociale... tout ce petit monde se retrouve, déplore l'équipe de Stanford, un peu de partout dans la machine. En RAM, dans les buffers, et, ce qui est plus inquiétant, sur le disque dur, pour peu qu'un « shutdown » ou qu'un mécanisme de gestion de la mémoire décide de créer une zone de swap. Et c'est à partir de ce moment que les choses se compliquent, car, avec le jeu des fragmentations, des écritures multiples etc, un de ces précieux « code secret » peut demeurer des jours, des semaines, peut-être des mois durant sur un secteur perdu du winchester. Et si un pirate parvient, dans le cadre d'un buffer overflow, à glisser des codes exécutables dans des zones mémoires théoriquement inaccessibles, il est potentiellement également capable de lire lesdites zones inaccessibles : mémoire centrale, heaps, swap, ces sacs poubelle de la donnée qui regorgent d'informations vitales. Précisons, afin d'éviter que quelques esprits s'enflamment et cherchent à condamner une inconsistance d'Internet Explorer, que toute la simulation n'a reposé que sur des outils « open », de Linux à Mozilla et Apache.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
La Croix-Rouge française externalise la luttre contre le spam

La Croix-Rouge française a sécurisé les 16 000 boîtes aux lettres électroniques de (...)

Faille de sécurité sur voyages-SNCF.com révélée par le Canard enchaîné

C'est le plus grand site de commerce électronique de France. Le Canard Enchaîné révèle (...)

Se prémunir contre les risques juridiques découlant du Saas

Le Saas (Software as a service) décolle. Or, une entreprise doit verrouiller son (...)

Un bug de 10 minutes à la SNCF a créé la confusion

Le mardi 16 mars, la SNCF a dû démentir les informations relatives à un accident (...)

Orange et la Française des Jeux s'associent dans les paris sur le Web

A l'heure de l'ouverture à la concurrence du marché des jeux d'argent et de hasard (...)

CertEurope délivre son 150 000ème certificat électronique sur clé USB

CertEurope profite de l'annonce de son 150 000ème certificat délivré sur clé USB (...)

Le Centre Scientifique et Technique du Bâtiment protège ses données sensibles

Afin de protéger ses données sensibles, le CSTB a déployé des appliances de sécurité (...)
Recherche
Sondage flash
En ayant virtualisé vos serveurs, le retour sur investissement

Conférences
23/03/2010
CLOUD COMPUTING
De 8h30 - 14h00 à l'Automobile Club de France - Paris 8e
programme   s'inscrire
conférencestoutes les
conférences
Agenda
Du mardi 23 mars 2010 au mardi 23 mars 2010
Printemps 2010 de l'USF
Salon Eurosites George V 28, avenue George V - 75008 Paris
en savoir plus
agendatout
l'agenda