Micro Systèmes n°101 octobre 1989
Micro Systèmes n°101 octobre 1989
  • Prix facial : 30 F

  • Parution : n°101 de octobre 1989

  • Périodicité : mensuel

  • Editeur : Société Parisienne d'Edition

  • Format : (203 x 271) mm

  • Nombre de pages : 198

  • Taille du fichier PDF : 160 Mo

  • Dans ce numéro : première mondiale... tous les secrets du bios.

  • Prix de vente (PDF) : gratuit

Dans ce numéro...
< Pages précédentes
Pages : 80 - 81  |  Aller à la page   OK
Pages suivantes >
80 81
teur d'une tâche de rédaction et de présentation du dossier afin de laisser le maximum de temps système à la réalisation des études. Cette entreprise reçut un jour un courrier accompagné d'une disquette de démonstration vantant les mérites d'un logiciel de DAO pour compatibles PC. Le directeur, sensibilisé aux problèmes de sécurité, fit essayer le logiciel sur un PC isolé dont était absent tout fichier sensible. Au cours de l'essai, alors que la démonstration s'opérait à l'écran, il fut possible de noter de nombreux accès au disque dur. L'étude du logiciel prouva que la disquette était en réalité un cheval de Troie et dans laquelle furent enregistrés les différents codes d'accès. Le piratage via réseaux ou lignes de communication demande plus de moyens que les autres. En outre, il est nettement moins discret. Le principe en est pourtant relativement simple. Il s'agit de capter les différents signaux électriques circulant sur le réseau et de les enregistrer à fin d'analyse. Cela peut se faire de deux manières : soit par raccordement direct sur le réseau d'un analyseur à l'aide d'une connexion inoccupée, soit par induction. Un petit tore enroulé autour d'un des câbles du réseau permet de recueillir les varations de flux magnétique créées par les changements de niveaux électriques sur le réseau. Lorsque l'on sait qu'à chaque niveau électrique correspond un niveau logique, il est facile, après enregistrement, de procéder à l'analyse des transferts d'informations. Ce système fonctionne selon le principe suivant : lorsque circule un courant dans un conducteur, celui-ci s'entoure d'un champ magnétique proportionnel à l'intensité électrique qui le traverse et perpendiculairement à la direction du courant. Si l'on entoure ce conducteur d'un bobinage, celui-ci va recueillir ce champ magnétique et la moindre variation de ce dernier induira aux bornes de la bobine une force électromotrice. Ce système est largement connu des électriciens qui, pour connaître l'intensité dans un conducteur, l'entourent d'une pince ampèremétrique leur évitant ainsi de connecter les câbles. Malgré les intensités très faibles circulant sur les réseaux, quelques dizaines de milliampères, une telle installa- 80 - MICRO-SYSTEMES Lion peut parfaitement s'appliquer aux câbles reliant les ordinateurs. Les constructeurs de matériels de mesures proposent, dans leur panoplie de pinces ampèremétriques, un modèle sensible à 50 mA et fonctionnant jusqu'à 1 kHz, ce qui correspond parfaitement à une liaison RS 232 à 9 600 bauds. Cependant, il s'agit de ne mesurer qu'un seul conducteur à la fois. En effet, pour qu'un courant électrique circule, il lui faut un câble pour l'aller et un câble pour le retour. Ce qui fait que, sur une liaison, on retrouve deux fois le même courant, mais circulant dans le sens contraire. Leur somme algébrique s'annulant, le champ magnétique mesurable à la pince s'annule également. L'analyseur devient alors très simple à construire. Une fois les signaux recueillis par la pince ampèremétrique, il suffit de les amplifier à l'aide d'un ampli OP monté en inverseur puis de les envoyer sur l'entrée RS 232 d'un micro-ordinateur, dans le cas évidemment d'une analyse sur une liaison RS 232. Pour une analyse portant sur des réseaux plus élaborés, le principe reste le même mais les techniques à mettre en oeuvre deviennent plus délicates. En ce qui concerne le piratage d'un réseau ouvert, sur réseau Vidéotex par exemple, l'unique solution est d'être initié. Entendons par là connaître les codes d'accès et les codes utilisateurs. Une autre solution consiste à utiliser auparavant un cheval de Troie qui introduira dans le système un nouveau mot de passe ainsi qu'un nouveau code utilisateur. Appeler ensuite le système via le réseau PTT devient alors un jeu d'enfant et, si le pirate est prudent, pratiquement invisible. Le piratage des données par liaison PTT ou réseau ouvert ne peut que difficilement être protégé par moyens matériels. Il est, de plus, toujours le fait d'indiscrétions. C'est donc par prise de conscience du personnel que l'on pourra s'en prémunir. La première des protections logicielles est le mot de passe. L'utilisateur est invité, lorsqu'il commence son travail sur la machine, à entrer un code d'accès, puis à définir son identification. Généralement, il a droit à trois essais avant que le système ne se mette en alarme. Actuellement, ce genre de protec- tion est en voie de développement sur les micro-ordinateurs, à l'initiative des constructeurs eux-mêmes. En effet, cette gestion des accès, pour être efficace, doit se trouver dans le système d'exploitation et non dans le logiciel utilisé. Dans ce dernier cas, un utilitaire permettrait facilement de mettre à jour cette codification. De plus, pour être réellement actif, il faut interdire le boot à partir du lecteur A. En effet, lors du boot système, après le décompte mémoire, le Rom Bios redirige l'entrée-sortie du système sur le lecteur A. Dans le cas où cette unité n'est pas physiquement prête, le Rom Bios oriente l'entrée-sortie sur le disque dur. Ce n'est qu'alors que le système d'exploitation peut être chargé. Si un pirate introduit une disquette système dans le lecteur A, le Rom Bios chargera celui-ci et non plus celui présent sur le driveC. Dès lors, le pirate pourra facilement s'affranchir des sécurités logiques. En conséquence, un mot de passe n'est efficace que s'il est possible de désactiver le lecteur A. Dans le cas d'une protection par code d'accès installée sur disque dur, le pirate pourra introduire une disquette système dans le lecteur A, booter le micro à partir de celui-ci, puis lancer le programme utilitaire toujours à partir du lecteur A. De cette façon, la procédure de protection par mot de passe, chargée à partir du disque dur au lancement de l'ordinateur, sera cour-circuitée. Le cryptage : efficace mais lourd à gérer L'encryptage est un codage des données informatiques. Ainsi, un courrier tapé sous traitement de texte ne pourra plus être édité par une commande « type » ou, tout au moins, sera incompréhensible. Cet encryptage se produit selon un algorithme qui se trouve dans le système d'exploitation et non dans le logiciel. En effet, il n'est pas permis d'intervenir dans un logiciel protégé par copyrights. Bien entendu, il existe un algorithme d'encryptage ainsi qu'un algorithme de décryptage. Il est possible de recourir à différentes structures d'encryptage, plus ou moins sophistiquées et plus ou moins lourdes à mettre en oeuvre. A titre Octobre 1989
d'exemple, on peut citer l'opération XOR effectuée sur le texte à encrypter. Ainsi, si l'on décide d'encrypter le mot « jour » avec la clé « P », chaque lettre, j-o-u-r, va subir une opération XOR avec la lettre P.Le décryptage s'effectuera de la même manière, mais, cette fois-ci à partir du texte encrypté (voir fig. 1). Bien entendu, il est possible de prendre une clé d'encryptage plus élaborée, par exemple « ABCDE », avec laquelle le texte sera soumis autant de fois à XOR. Cependant, quelle que soit la clé, chaque lettre prendra toujours la même valeur, rendant ainsi possible le déchiffrage, par des méthodes de calcul des redondances. En effet, selon la fréquence d'apparition d'une lettre dans un texte, il est possible de déterminer quelle est la probabilité pour que tel signe représente telle ou telle lettre. Aussi, fait-on appel à des algorithmes d'encryptage plus élaborés dont les principaux sont DES (Data Encryption Standard) et RSA (Rivest-Shamir- Adleman, du nom de ses concepteurs). Ces algorithmes présentent l'avantage de ne pas effectuer l'encryptage lettre par lettre, mais par bloc de lettres, selon une fonction où interviennent aussi bien une permutation des lettres que des XOR. Une même lettre dans un texte n'aura plus un équivalent fixe à l'encryptage, mais sera codée selon sa place dans un bloc de lettres et selon les autres signes appartenant au même bloc. A ce jour, il n'existe aucun exemple connu de décryptage pirate pour de tels codages de données. Coût de cette sécurité : chaque lecture-écriture est considérablement rallongée. De plus, le programme d'encryptage occupe une place en mémoire, ce qui peut nuire au chargement d'autres logiciels. I ENCRYPTAGE I TEXT our I 01101010 01101111 01110101 01110010 XOR 01010000 01010000 01010000 01010000 CRYPT. 00111010 00111111 00100101 00100010 RESULT DECRYPTAGE I TEXT I 00111010 I 00111111 00100101 00100010 I XOR 0101 0000 I 01010000 01010000 01010000 I DECRYPT 01101010 01101111 01110101 01110010 RESULT o r Les moyens les plus simples... Les membres du Chaos Computer Club de Hambourg ont réussi à pirater de gros ordinateurs en passant tout simplement par des réseaux ouverts. Pour cela, ils utilisaient deux moyens : ils connaissaient les codes d'accès d'un ou deux ordinateurs pour les avoir appris par l'indiscrétion des utilisateurs. Ils usaient ensuite d'une faille dans le système d'exploitation. Une fois entrés dans l'ordinateur (il s'agissait de machines Vax sous VMS 4.4) l'appel du fichier $SETUAI permettait à tous les utilisateurs (même non autorisés) l'accès en écriture au fichier protégé SYSUAF.DAT qui gère les identifications et les privilèges des utilisateurs. Malgré un message d'erreur sur cet appel de fonction et en raison d'un défaut logiciel, le fichier restait ouvert et pouvait être modifié. Bien que les différents systèmes exposés ici permettent une sécurité presque totale quant à la protection des données, il ne faut pas oublier que cette sécurité ne sera efficace que si chaque utilisateur a conscience du but recherché. Un micro-ordinateur, bardé de.dispositifs matériels et logiciels afin d'assurer son inviolabilité, sera une proie très facile pour d'éventuels pirates si les utilisateurs ont oublié de retirer la clé et si le code d'accès est scotché sur le\bureau. Cela s'est déjà vu Benoît Arlet Frédéric Lorenzini Fig. 1, - Un algorithme de cryptage simple et rapide mais pas des plus efficaces. Danger, pirates informatiques, Chaos Computer Club, éditions PLON. Octobre 1989 MICRO-SYSTEMES - 81



Autres parutions de ce magazine  voir tous les numéros


Liens vers cette page
Couverture seule :


Couverture avec texte parution au-dessus :


Couverture avec texte parution en dessous :


Micro Systèmes numéro 101 octobre 1989 Page 1Micro Systèmes numéro 101 octobre 1989 Page 2-3Micro Systèmes numéro 101 octobre 1989 Page 4-5Micro Systèmes numéro 101 octobre 1989 Page 6-7Micro Systèmes numéro 101 octobre 1989 Page 8-9Micro Systèmes numéro 101 octobre 1989 Page 10-11Micro Systèmes numéro 101 octobre 1989 Page 12-13Micro Systèmes numéro 101 octobre 1989 Page 14-15Micro Systèmes numéro 101 octobre 1989 Page 16-17Micro Systèmes numéro 101 octobre 1989 Page 18-19Micro Systèmes numéro 101 octobre 1989 Page 20-21Micro Systèmes numéro 101 octobre 1989 Page 22-23Micro Systèmes numéro 101 octobre 1989 Page 24-25Micro Systèmes numéro 101 octobre 1989 Page 26-27Micro Systèmes numéro 101 octobre 1989 Page 28-29Micro Systèmes numéro 101 octobre 1989 Page 30-31Micro Systèmes numéro 101 octobre 1989 Page 32-33Micro Systèmes numéro 101 octobre 1989 Page 34-35Micro Systèmes numéro 101 octobre 1989 Page 36-37Micro Systèmes numéro 101 octobre 1989 Page 38-39Micro Systèmes numéro 101 octobre 1989 Page 40-41Micro Systèmes numéro 101 octobre 1989 Page 42-43Micro Systèmes numéro 101 octobre 1989 Page 44-45Micro Systèmes numéro 101 octobre 1989 Page 46-47Micro Systèmes numéro 101 octobre 1989 Page 48-49Micro Systèmes numéro 101 octobre 1989 Page 50-51Micro Systèmes numéro 101 octobre 1989 Page 52-53Micro Systèmes numéro 101 octobre 1989 Page 54-55Micro Systèmes numéro 101 octobre 1989 Page 56-57Micro Systèmes numéro 101 octobre 1989 Page 58-59Micro Systèmes numéro 101 octobre 1989 Page 60-61Micro Systèmes numéro 101 octobre 1989 Page 62-63Micro Systèmes numéro 101 octobre 1989 Page 64-65Micro Systèmes numéro 101 octobre 1989 Page 66-67Micro Systèmes numéro 101 octobre 1989 Page 68-69Micro Systèmes numéro 101 octobre 1989 Page 70-71Micro Systèmes numéro 101 octobre 1989 Page 72-73Micro Systèmes numéro 101 octobre 1989 Page 74-75Micro Systèmes numéro 101 octobre 1989 Page 76-77Micro Systèmes numéro 101 octobre 1989 Page 78-79Micro Systèmes numéro 101 octobre 1989 Page 80-81Micro Systèmes numéro 101 octobre 1989 Page 82-83Micro Systèmes numéro 101 octobre 1989 Page 84-85Micro Systèmes numéro 101 octobre 1989 Page 86-87Micro Systèmes numéro 101 octobre 1989 Page 88-89Micro Systèmes numéro 101 octobre 1989 Page 90-91Micro Systèmes numéro 101 octobre 1989 Page 92-93Micro Systèmes numéro 101 octobre 1989 Page 94-95Micro Systèmes numéro 101 octobre 1989 Page 96-97Micro Systèmes numéro 101 octobre 1989 Page 98-99Micro Systèmes numéro 101 octobre 1989 Page 100-101Micro Systèmes numéro 101 octobre 1989 Page 102-103Micro Systèmes numéro 101 octobre 1989 Page 104-105Micro Systèmes numéro 101 octobre 1989 Page 106-107Micro Systèmes numéro 101 octobre 1989 Page 108-109Micro Systèmes numéro 101 octobre 1989 Page 110-111Micro Systèmes numéro 101 octobre 1989 Page 112-113Micro Systèmes numéro 101 octobre 1989 Page 114-115Micro Systèmes numéro 101 octobre 1989 Page 116-117Micro Systèmes numéro 101 octobre 1989 Page 118-119Micro Systèmes numéro 101 octobre 1989 Page 120-121Micro Systèmes numéro 101 octobre 1989 Page 122-123Micro Systèmes numéro 101 octobre 1989 Page 124-125Micro Systèmes numéro 101 octobre 1989 Page 126-127Micro Systèmes numéro 101 octobre 1989 Page 128-129Micro Systèmes numéro 101 octobre 1989 Page 130-131Micro Systèmes numéro 101 octobre 1989 Page 132-133Micro Systèmes numéro 101 octobre 1989 Page 134-135Micro Systèmes numéro 101 octobre 1989 Page 136-137Micro Systèmes numéro 101 octobre 1989 Page 138-139Micro Systèmes numéro 101 octobre 1989 Page 140-141Micro Systèmes numéro 101 octobre 1989 Page 142-143Micro Systèmes numéro 101 octobre 1989 Page 144-145Micro Systèmes numéro 101 octobre 1989 Page 146-147Micro Systèmes numéro 101 octobre 1989 Page 148-149Micro Systèmes numéro 101 octobre 1989 Page 150-151Micro Systèmes numéro 101 octobre 1989 Page 152-153Micro Systèmes numéro 101 octobre 1989 Page 154-155Micro Systèmes numéro 101 octobre 1989 Page 156-157Micro Systèmes numéro 101 octobre 1989 Page 158-159Micro Systèmes numéro 101 octobre 1989 Page 160-161Micro Systèmes numéro 101 octobre 1989 Page 162-163Micro Systèmes numéro 101 octobre 1989 Page 164-165Micro Systèmes numéro 101 octobre 1989 Page 166-167Micro Systèmes numéro 101 octobre 1989 Page 168-169Micro Systèmes numéro 101 octobre 1989 Page 170-171Micro Systèmes numéro 101 octobre 1989 Page 172-173Micro Systèmes numéro 101 octobre 1989 Page 174-175Micro Systèmes numéro 101 octobre 1989 Page 176-177Micro Systèmes numéro 101 octobre 1989 Page 178-179Micro Systèmes numéro 101 octobre 1989 Page 180-181Micro Systèmes numéro 101 octobre 1989 Page 182-183Micro Systèmes numéro 101 octobre 1989 Page 184-185Micro Systèmes numéro 101 octobre 1989 Page 186-187Micro Systèmes numéro 101 octobre 1989 Page 188-189Micro Systèmes numéro 101 octobre 1989 Page 190-191Micro Systèmes numéro 101 octobre 1989 Page 192-193Micro Systèmes numéro 101 octobre 1989 Page 194-195Micro Systèmes numéro 101 octobre 1989 Page 196-197Micro Systèmes numéro 101 octobre 1989 Page 198