Elcomsoft, boite spécialisée dans la récupération de mots de passe sur de nombreux systèmes et services, s’attaque maintenant à l’iPhone.
Le téléphone d’Apple, véritable “pico-ordinateur”, ne cesse depuis son lancement de rencontrer l’engouement du public ce qui fait de lui aujourd’hui l’un des smartphones les plus vendus tant auprès du grand public que dans de nombreuses entreprises.
Read the rest of this entry »
1 Comment »
Voici la version finale du gestionnaire de mot de passe basé sur AES-256 dont j’ai commencé le développement avant cet été. Adieu la GUI avec l’API Win32, j’ai décidé qu’il valait mieux utiliser un widget toolkit pour des raisons esthétiques et pratiques (autant au niveau du développement que de l’utilisation). J’ai donc choisi Qt, principalement à cause de mon expérience avec cette bibliothèque.
En ce qui concerne les nouvelles fonctionnalités, se trouvent toutes celles qui étaient cruciales et non-implémentées dans la dernière version par manque de temps : suppression et édition d’entrées, modification de la clé privée, etc. De plus, j’ai conçu l’interface graphique afin de pouvoir l’utiliser rapidement. Un timeout de 10secondes est aussi fixé lorsque l’on copie le mot de passe dans le presse-papiers, pour des raisons de sécurité. Bref, n’hésitez pas à me rapporter les bogues existants, ainsi que vos critiques / remarques.
Je tiens aussi à remercier 0vercl0k pour ses propositions de fonctionnalités supplémentaires et ses tests. Au passage, un challenge plutôt atypique mais très enrichissant est actuellement disponible sur son blog : l’exploitation d’un stack-based buffer overflow … au sein de son système d’exploitation ! A exploiter, ou au moins tenter 
Read the rest of this entry »
5 Comments »
TinyPasswordManager est un gestionnaire de mot de passe Open Source et (bientôt) multiplate-forme. Basé sur le chiffrement AES avec clé de 256bits, je l’avais initialement développé pour un usage personnel. L’objectif initial est d’obtenir un gestionnaire simple, c’est-à-dire n’utilisant pas de bibliothèques, et sécurisé. Pour l’instant, seule la version pour Windows est dévelopée entièrement, avec GUI. En ce qui concerne la version pour les systèmes dérivés d’UNIX, je prévois de poster d’ici peu de temps la version ligne de commande, puis, par la suite, envisager le développement d’une GUI avec QT ou GTK.
Pour les spécifications “techniques”, la passphrase choisie par l’utilisateur est hashée avec SHA256. Le hash obtenu est utilisé comme clé AES. En ce qui concerne la méthode de padding, j’ai opté pour la technique décrite dans la norme ISO 10126, à savoir le remplissage avec des octets aléatoires, en spécifiant la taille du bourrage dans le dernier.
Enfin, le mode d’opération d’AES utilisé est CBC. Pour rappel, avec un chiffrement en mode ECB, tous les blocs sont indépendants : chaque bloc est simplement chiffré avec la clé. Cela pose quelques soucis en matière de confidentialité car deux mêmes blocs auront un résultat chiffré identique, ce qui n’est pas le cas avec CBC, mode utilisé en général dans lequel chaque bloc est XORé avec le bloc chiffré précédent, puis chiffré.
Je mets à disposition le binaire ainsi que les sources :
Read the rest of this entry »
5 Comments »
Entries (RSS)