Par AlexMagnus le 07/06/2006 09:34

Je pense qu'il existe une façon d'y parer.
Puisqu'il est possible de lire quelle touche a été frappée lorsque je suis sur la page, je vais lui limiter la lecture de ma frappe clavier. Ainsi, j'ouvre une page *.txt basique avec mon bloc-note préféré (qu'est-ce que je peux l'utiliser, personnellement !), j'y inscris mon mot de passe, je le sélectionne, je le copie, et je le colle sur la page web. A ce moment, le pirate n'a pas accès au code.

Les plus paranoïaques pourront me dire que le pirate peut y avoir penser, et vérifier non seulement la pression des touches Ctrl+V (coller), mais aussi le nombre de pressions de touches de caractères et d'effacement (cela dans le but de tromper les champs vides. Si j'appuie dès le départ sur Ctrl+V, le hacker peut afficher un message d'erreur pour forcer la pression des touches du code. Si j'appuie sur tous les caractères de mon code, ou d'un mot quelconque, puis que j'efface le contenu du champs avec BackSpace, puis que je copie-colle mon mot de passe, le hacker peut compter les touches de caractères et les touches effacées, pour afficher encore le message d'erreur)

Dans ce cas, la solution consiste à marquer certains caractères du code, intercaler les copier-coller illisibles au hacker...
Mais qui sait si le contenu de la copie n'est pas lui-même lisible (ce qui m'étonnerait quand même) ?

EDIT : c'était un gros bloc de texte trop illisible :D

Par rockboy le 10/06/2006 08:25

Heuuu.. et pourquoi ça en fait une faille ? :?

J'ai pas totu compris ... :content:

Par Lenouvdu44 le 10/06/2006 08:31

Tout simplement car un pirate peut compter le nombre de caractère, et savoir les lettres sur lesquelles tu appuis ...
Exemple
Tu va sur le site de ta banque pour vérifier tes comptes, tu rentres ton mdp le pirate le récupère et fait mumuse ensuite avec ton argent :)

[PS : si je me trompe, excusez moi, c'est comme cela que je l'ai compris.)

Par rockboy le 10/06/2006 08:32

Ahhh, donc c'est dans le même esprit qu'un keylogger :)

Merci

Par mickael44 le 10/06/2006 08:43

As-tu essayé l'exemple que j'ai mis en ligne?

Et bien imagine que tu recois un mail de phishing provenant d'une banque. Dans ce mail, tu va avoir un lien vers cette "banque". Ce lien, est bien sur truqué de cette façon :



Dans cette image, l'utilisateur infecté est par exemple toi, qui a reçu un mail de phishing, tu clique sur le lien qui te redirige vers le "Proxy Man in the middle", ce proxy va allez chercher la vrai page de ta banque concernant la connexion mais il va y inclure un code tel que j'ai mis en exemple pour intercepter ton mot de passe par exemple ou ton numéro de compte.

En toute rigueur, ce n'est pas exactement ca qui se passe car normalement c'est seulement le cas d'une machine infecté par un virus mais c'est la seule manière compréhensible que j'ai pour expliquer :)

Ce que tu dois retenir c'est que la page de connexion est exactement pareil, mais si on tripatouille le code de la faille et que on le met sur la page web trafiqué, on peut tout récupérer :)

Voila @+

Par mickael44 le 10/06/2006 08:44

J'ai plus détaillé moi :D



Oui mais avec un avantage en plus, tu n'a pas besoin d'infecter la machine de l'utilisateur :)

Par rockboy le 10/06/2006 09:00

J'ai tout compris, merci micka et lenouv ;)

Par Kane 13 le 10/06/2006 21:42

Franchement, je pense qu'il y aura toujours des failles ! Mais si on est trop parano, on ne s'en sortira jamais donc dans tous les cas faut rester positif.

Par Lenouvdu44 le 11/06/2006 10:56

+1 ... rien ne sera jamais parfait ...

Par Trisis le 11/06/2006 11:36

Oui et qui plus est , il faut l'avouer les hacker qui réalise ces petits tours sont en général des "génies" dans leur domaine. Donc même si un programme est réputé "sans faille" ce n'est qu'une question de temps avant que certains hackeur ne trouve "la" faille. :D

"Tout dégénère entre les mains de l'Homme" Rousseau

Refléxion meta-physique sur les hackeurs de la part de Trisis :badgrin:

Ps:la Philo Tue , la Philo nuit gravement a la santé :D