Paiement par carte bleu sur Internet .... problémes

[Mumuri]

Une équipe de scientifique a trouver un moyen de pirater des clés de cartes bleus en jouant sur l'implémentation physique des algorithmes de cryptage sur les puces de microprocesseurs.

principe de l'attaque : pour aller toujours plus vite, le processeur fonctionne en parallèle et dispose d'un système de prédiction du résultat de l'opération en cours. Si la prédiction est bonne, le processus est sensiblement accéléré. Si elle est erronée, il faut revenir en arrière et recommencer l'opération élémentaire. Il "suffit" de mesurer le temps de calcul lorsque le processeur égrène la chaîne de 0 et de 1 qui constitue la clé de cryptage pour en déduire celle-ci.

Cà risque d'avoir des retombées sur tous les magasins qui font de la vente en ligne.

Source :
http://www.lemonde.fr/web/article/0,1-0@2-651865,36-835944@51-835781,0.html

[oli004]

J'ajouterai juste que la nouvelle à fait l'objet d'un reportage diffusé aux journal de 20h sur tf1 le dimanche 19 novembre.

Pour visualiser l'info, c'est sur http://videos.tf1.fr/video/news/ puis "La dernière Edition du journal télévisé"

Et choisir dans le menu deroulant le 19 Nov - 20 h

L'info est repérée par :

La sécurité des transactions en ligne mise à...
Des chercheurs ont découvert une faille, présente sur tous les ordinateurs, qui permettrait à un pirate de "casser" les...

[billyboylindien]

Oui mais encors faut-il un acces au données du proc ...
Et ensuite les decoder...

Très loin d'etre fisable a distance AMHA.

[nalrem]

Disons que si on est capable de faire passer un logiciel espion sur un ordi distant, on doit bien être capable de faire passer un keylogguer pour récupérer les infos de cartes bleue, non ?

[oli004]

Oui mais encors faut-il un acces au données du proc ...
Et ensuite les decoder...

Euh les troyens c'est pour les chiens ?

Non, ça c'était pour la rime
Mais comme tu le soulignes billyboylindien l'accès à distance, est pas évident. Il faudrait par exemple et comme ça a été précisé dans le reportage, que la personne heberge son site sur son pc.

EDIT : grillé de quelques secondes

[billyboylindien]

Mais meme en ayant acces au pc en local déjà c'est tendu: recuperer des valeur de cache processeur ...

Il faudrait que a la base le prog de calcul de clef soit prevu pour le faire (le faire en parrallele me parait bien difficile).
Donc autant récuperer la clef directement a la sortie

Donc pour un hack a distance, ca impliquerait un acces consequent pour ensuite pouvoir penser à modifier le programme de base.

Et de toute maniere plus grande monde (personne ?) ne peut faire payer par cb (je parle d'un vrai truc avec une banque derriere) sans utilisé l'appli de la banque, donc serveur distant.


Dites moi si je me plante lourdement :/

[Monty973]

C'est pas tant les cartes bleues que tout les systèmes de cryptage à clefs publiques apparement. C'est pire...

[salva]

Oui mais encors faut-il un acces au données du proc ...
Et ensuite les decoder...

Très loin d'etre fisable a distance AMHA.

Crois-tu: la plupart des internautes ont des ouvertures de session sans même le moindre mot de passe
Bien évidemment, un minimum de connaissances sont requises.

[billyboylindien]

Humm après bonne relecture sa semble faisable en fait, je pensait que les donné de cache étaient protegés.

[wullon]

Disons que si on est capable de faire passer un logiciel espion sur un ordi distant, on doit bien être capable de faire passer un keylogguer pour récupérer les infos de cartes bleue, non ?

C'est ce que je me disais aussi... A priori il y a d'autres maillons vulnérables avant le processeur dans la procédure d'achat à distance, mais je n'y connais pas grand chose :X.

[salva]

Disons que si on est capable de faire passer un logiciel espion sur un ordi distant, on doit bien être capable de faire passer un keylogguer pour récupérer les infos de cartes bleue, non ?

C'est ce que je me disais aussi... A priori il y a d'autres maillons vulnérables avant le processeur dans la procédure d'achat à distance, mais je n'y connais pas grand chose :X.

La faille processeur est gravissime, elle donne accès à toutes les clés RSA induisant ainsi une prise de contrôle total de la machine à base de pentium.

[rog]

franchement j'ai trouvé l'annonce completement bidon

le fait d'interpréter un 1 plus lentement qu'un 0 ne me semble pas être une faille exploitable sans avoir un acces physique au pc

donc je pense que l'on ne pourra developper que des technologies forensics et non des logiciels espions

rog