Salut à tous ...
 
je m'amuse depuis plusieurs jours avec différents analyseurs de trames réseau ( Lan Analyser, Ethereal, ... )
 
et je viens de tomber à l'instant sur un truc hallucinant !!
 
Au boulot, sur mon poste de travail, j'ai Outlook et Outlook Express, avec lesquels je gère ma messagerie locale Exchange, mais aussi mes comptes pop et imap à la poste.net , wanadoo.fr et hotmail !!
 
Or, j'hallucine ... au niveau du protocole POP, le mot de passe de mes comptes apparait en clair dans les trames réseaux !!    
 
j'ai scanné mon réseau local pendant 15 minutes, et je viens de récupérér les login et mot de passes d'une dizaine de mes collègues !!    
 
Je pensais que ces informations sensibles étaient cryptées, et bien non !!     Alors méfiez vous !!
 
 
Je suis en train de regarder si d'autres protocoles présentes les mêmes symptomes !!
 
Y a t'il une alternative à pop ?  imap a t'il le même problème ?  

imap oui
 
regarde du coté de pop3s et imaps ...

POP (tout comme telnet, ftp et j'en passe) n'a pas été développé dans une optique de sécurité contrairement a IMAP.
 
Toutefois avec une architecture réseau un minimum bien pensé on peut empecher l'analyse des trames (vive les switchs !)
 
 
Edit : Albator tu as sans doute raison, la "sécurité" d'IMAP repose sur le fait qu'il faut s'identifier pour envoyer un mail.

 
effectivement, les collegues dont j'ai récupérer les login et mdp sont au même étage que moi ... donc sans doute aussi même Hub ou Switch !
Mais là n'est pas la question ... nos admins réseaux qui ont surement mis en place des sniffer sur le lan pour controler les accès internet, pourraient récupérer les pass et login des comptes mail des utilisateurs !!  pas cool !
 
Qu'ils soient capables de surveiller le traffic, de déterminer quels sont les protocoles qui utilisent le plus de BP, afin de mettre en place des stratégies de filtrage, OK ...  mais qu'ils puissent récupérer des infos sensibles ( commes un login et Mot de Pass d'un compte de messagerie wanadoo ) ... alors là NON !!    ça ne devrait pas etre possible !
 
On peut accéder à la messagerie wanadoo.fr ou laposte.net par autre chose que POP ?    
 
 
 
 

Palladium C fait pourquoi à ton avis ??? ... en plus "d'autoriser" les programmes sur un poste, ça permet de crypter les données sensibles comme les MDP

 
ca fait combien de temps que t hiberne ???
 
smtp c est pareil, ftp aussi ...

Ouais... Enfin bon on n'a pas attendu Big Brother Palladium pour crypter les données, hein...

 
kler surtout ke palladium ca va a l encontre de ce ke l on veut, puisque M$ pourra tout savoir    
 
mais ce n est po le debat

Non, non ce topic ne va pas partie en couille...

 
ben ouep !!!
j'ai du hiberner pas mal de temps !!    
 
Je vous propose de lister tous les protocoles "non-sécurisés", c'est à dire pour lesquels on peut récupérer des infos sensibles, ainsi qu'une solution de remplacement viable, sécurisée et facile à mettre en place !!    
 

 
nan reviens ca va etre drole
 
mais moi je participe po, je regarde seulement (krapaud il va encore me TT ce mechant modo )

 
ok c est parti :
 
-telnet
-ftp
-smtp
-pop
-rlogin
-nntp (on sait jamais )
-netbios (:whistle
-...

 
Viens pas te plaindre sur OSA par la suite
 
===>[je sors] car HS

 
y a t'il d'autres protocoles qui ont la même fonction que ceux cités ci-dessus, mais en mode "sécurisé" ?

Si les admins de ta boite portent ce tshirt c'est tout vu
 
Snooping Email for fun and profit
http://www.copyleft.net/item.phtml [...] ront.phtml
 
Tu peux voir les pass, mais aussi le contenu des messages, les sites sur lesquels les gens surfent etc.
 
Bref si tu tiens à la confidentialité, tu peux utiliser un webmail ssl, pgp, ssh autant que possible.

 
oui:
tous les mêmes mais avec un "s" en plus:
imaps
pop3s
https
...
 

 
Question idiote : pourquoi on ne les utilise pas plus souvent s'ils sont plus sécurisés ?  

Peut-être parce qu'un certificat c'est pas donné...

 
1) parce qu'il faut que le serveur le gère
2) parce qu'il faut que le client le gère
3) parce qu'un certificat coute cher (grilled)
 
https est quand même pas mal utilisé sur les sites sécurisés (paiement en ligne etc ...)
 
Pour le reste, spa gagné

Ok merci, c'était juste pour savoir.  

Rien ne t'empêche de créer ton certificat et de le publier par d'autres moyens...
Pour SSH c'est pareil, il n'y a pas de certificats mais en s'échangeant les pubkey des machines (par exemple en utilisant les signatures GnuPG), on peut avoir un système complètement sécurisé pour pas un rond.

Pour smtp c'est pas vraiment embêtant, car par défaut aucune information d'authentification n'est fournie, on se base plutôt sur les IP.

 
l authentification par IP n a JAMAIS ete sure...

Ce n'est pas de l'authentification.
Qui plus est, si tu veux sp00fer un Unix moderne sans pirater un routeur (pas du tout protégé), va falloir te lever tôt...

 
bah l "authentification" par IP est utilisee ds les entreprises (au moins ds celle ou je fe mon stage )
 
mais sinon, tu veux dire koi par :  

Que mentir sur son IP est très difficile.

 
sur le net je veux bien, mais pas en LAN ...

Il existe des moyens de véréfication par l'adresse Mac (mais c'est assez peu utilisé sur les petits réseaux à base de Windows).

 
justement, le spoof arp permet de faire croire ke t es IP se trouve a telle @MAC (fausse en fait)
 
de toute facon, on sait tres bien ke c est possible, mais ke les users lambda ne peuvent po le faire...
 
moi je dis rien ne vaut une bonne authentifiaction par PKI avec cryptage bien fort (genre cle de 512/1024 bite )

Je comprends pas...je viens de tester eherreal..
 
Je le lance  
Je cours sur le webmail caramail
Je me log  
Je Stop ethereal
 
Eh bien je ne vois nul part mon log et pass???
 
Ou alors je suis miro???

Je suis heureux de t'apprendre qu'il te faut des lunettes    

Merci..je suis heureux de l aprendre moi aussi

Intéressant ce topic. C'est pas souvent qu'on parle de ça ici.
 
Voici quelques protocoles qui ne sont pas sécurisés et qui sont supportés par un logiciel de sniff bien connu dans le monde Linux/Unix.
 
FTP, Telnet, SMTP, HTTP,  POP,  poppass,  NNTP, IMAP,  SNMP,  LDAP,  Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, YP/NIS, SOCKS, X11, CVS, IRC,  AIM,  ICQ,  Napster,  Post­greSQL,  Meeting  Maker,  Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft  SMB,  Oracle  SQL*Net,  Sybase  et Microsoft SQL.
 
SSH est aussi de la partie, bien que l'auteur du programme ait développé le sniff pour la version 1 de SSH (il précise par ailleur qu'il s'arrêtera à cette version pensant que son logiciel est déjà beaucoup trop « dangereux »).

 
whaouuuuu !!    
 
ça en fait des protocoles non-sécurisés ...    
 
 
 

Bin non, c'est plutôt que ce n'est pas possible, sinon tu penses bien que SSH serait corrigé (c'est quand même son but premier de ne pas être sniffable).

kler !!!
 
vu ke s est crypte tu vas pas pouvoir faire grand chose de toute facon

 
À en croire le man du programme :
 

 
 
Ce que j'ai dit tient toujours debout, non ?

De toute façon, en sniffant l'échange des clés, c'est gagné