A moins de vivre sur une autre planète il est impossible d’avoir échappé au buzz de Free mobile. Je ne vais pas y aller de mes propres prévisions tous les “experts” autoproclamés se sont trompés. En revanche cette histoire doit attirer votre attention sur la sécurité de vos applications... Le lien entre les deux choses vous semblent étrange ?[more]
La fusée Free
A l’adresse suivante http://live.free.fr/ se trouve une page énigmatique. Celle qui normalement, selon les “experts” devrait accueillir l’annonce officielle de la sortie de l’offre Free mobile.
Mais si vous accédez en ce moment à cette adresse vous tomberez sur un dessin en ASCII, celui d’une fusée.
Au départ la fusée était couchée. Puis elle s’est redressée, puis un peu de fumé s’est mis à sortir des tuyères. C’est le buzz. On vous prépare à la sortie prochaine de l’offre. Rien de palpitant en soi. Or Niel est un amateur d’art ASCII, et la petite fusée est donc entièrement dessinée de cette façon. Comme les anciens s’amusaient à le faire à l’époque où les ordinateur n’avaient pas encore de carte graphique... Il reste des amoureux de cette forme d’art.
A l’heure où j’écris ces lignes, la fusée ressemble à cela :
/\
/''\
/ \
/ \
/ \
/ \
'------------'
|__________|
/----e\----\
/| f| |\
//|____b|____|\\
// | 7| | \\
/ | |___9|___| | \
| | '._2|_.' | |
| | |_9|_| | |
| | .' e| '. | |
| | / 6| \ | |
| || a| || |
| || 5| || |
| | \ b| / | |
| | '. _7|_ .' | |
| | _ d| _ | |
| |/ \_.'c|'._/ \| |
| || |_.'c|'._| || |
| |\_/ '.6|.' \_/| |
| | _e|_ | |
/| | .' b| '. | |\
/ '.| / b| \ |.' \
/ ||| 7| ||| \
/ ||| 9| ||| \
/ || \ a| / || \
/____/\||__'. _a|_ .'__||/\____\
/_ |_.--^--3|--^--._| _\
/ / .'/_'''c|'''_\'. \ \
/ / / /___4|___\ \ \ \
| / / /__5|__\ \ \ |
\/ / | a| | \ \/
/.'/ \__/ f| \__/ '.\
// \__ __/1|\__ __/ \\
__//_ \__/ __3|__ \__/ _\\__
'=====' '======' 1337 '====='
Rien d’extraordinaire en soi, d’autant que lorsqu’on étudie le code de la page on trouve un commentaire Html qui indique que le dessin a été repiqué d’un site spécialisé dans les dessins ASCII (pour les curieux: http://chris.com/ascii/index.php?art=transportation/space%20ships )
Toutefois deux éléments attirent très vite l’œil du geek :
- Le nombre 1337 en bas à gauche (à la place de la signature de l’artiste sur l’original du dessin)
- Une suite étrange de lettres et de chiffres verticaux au centre de la fusée qui remplacent la seconde ligne droite du dessin original.
Le geek n’aime pas les mystères
Et c’est surement en ce basant sur ce point que Niel a eu cette idée. C’est étrange, ça _doit_ vouloir dire quelque chose mais quoi ?
D’un autre côté cela ne doit pas être trop compliqué à comprendre sinon personne ne trouvera.
1337
Ce nombre est en fait uniquement le mot LEET écrit en LEET. Le LEET étant ce langage de geek qui transforme les lettres d’un mot en symboles ASCII proches pour rendre la lecture compliquée. Sur d’anciens forums il y a longtemps je signais par exemple par un /\/\3rL1n_ qui se lisait donc “Merlin”. C’est du LEET.
Ce détail du dessin de la fusée ne nous intéresse pas vraiment dans ce billet dont le but est d’attirer votre attention sur un problème de sécurité.
Mais nous sommes curieux... que veut dire ce 1337 ? Dire qu’il veut dire LEET en LEET n’apprends rien! C’est donc un piège. La fameuse “mamie du cantal” nous livre l’explication suivante : il faut prendre les chiffres à la lettre si je puis dire. C’est le prix du forfait : 13,37 euros HT, ce qui, TTC devient 15,99 euros. Un chiffre tout à fait cohérent (le coup des 99 centimes Free l’avait fait lorsqu’ils ont cassé les prix de l’abonnement Internet) et c’est presque pile la moitié des forfaits les moins chers pour l’instant (genre Sosh) et on sait que Niel avait promis de diviser la facture par deux.
Mais il s’agit de spéculations, seule l’annonce officiel prouvera si la fameuse mamie avait raison (n’oublions pas que dans les balises Meta de la page de la fusée se trouve le nom de la mamie du cantal, ce qui attesterait qu’il s’agit d’une personne “autorisée” dans ce grand buzz).
efb7929e6a5b7dcc6ebb79aa3c45af13
Si vous lisez de haut en bas les symboles écrits au centre de la fusée, vous trouverez la suite ci-dessus (j’ai nettoyé pour vous le dessin en ne conservant que cette ligne pour la rendre plus ... lisible).
Et c’est là que nous allons toucher un problème de sécurité qui doit retenir votre attention, ou au moins votre intérêt (selon que vous cherchiez à protéger des informations ou que vous êtes intéressés par la découverte de certains mots de passe cryptés...).
La faille sécuritaire
Ici elle est utilisée sciemment, car il faut donner la possibilité aux geeks de tout poil d’avoir la joie de percer ce code mystérieux. Mais c’est justement la déconcertante facilité de cette action qui doit vous alerter !
En cherchant rapidement, et en utilisant des traducteurs de LEET qu’on trouve sur le Web il ne faut des heures pour être convaincu que cette fois-ci nous n’avons pas affaire à du LEET.
Cette suite est cryptée autrement...
Le geek habitué aux différents codes et partant du principe que cela ne devrait pas être trop dur à casser fini par penser qu’il s’agit d’une phrase codée en MD5.
Il suffit alors de se rendre sur les nombreux sites qui offre gratuitement la possibilité de casser une phrase ainsi codée pour obtenir assez vite la réponse (une liste ici : http://korben.info/comment-decoder-un-mot-de-passe-en-md5.html)
Cette suite énigmatique est bien codée en MD5, et une attaque en règle contre elle se termine très vite (elle est courte). Cela signifie tout simplement “jesaispas”. Joli pieds de nez aux geeks et aux autres qui se seront cassé la tête à percer le mystère, on nous apprend qu’on ne saura rien 
Quelle leçon en tirer ?
MD5 reste encore très utilisé pour coder des mots de passe dans les bases de données par exemple. Cette petite énigme et la facilité déconcertante avec laquelle un geek peut la résoudre doit vous alerter : si vous utilisez MD5 pour protéger des clés, des mots de passe, etc, sachez que cela ne sert à rien.
Il faut quelques secondes à un informaticien un peu averti, et même à un hacker en herbe, pour trouver la correspondance en clair.
La leçon : vérifiez que vous n’utilisez pas MD5 dans vos applications (vous ou ceux qui vous ont précédé dans l’écriture des logiciels dont vous avez la charge). N’utilisez plus ce codage car tout le monde sait le percer rapidement.
La seconde leçon est plus malveillante : si vous tombez sur un fichier ou une base de données utilisant MD5 pour “planquer” des mots de passe ou des informations sensibles, hélas, vous savez maintenant comment décrypter tout cela et en faire éventuellement mauvais usage. Bien entendu je vous déconseille fortement de verser dans le côté obscur. C’est facile, mais c’est illégal (sauf si les données que vous décrypterez vous appartiennent totalement).
Conclusion
Personnellement j’attends depuis un moment la sortie de l’offre de Free, non pas pour changer forcément d’opérateur mais pour changer de forfait une fois que les tarifs des uns et des autres cesseront d’être scandaleux. Je n’ai jamais été abonné Free pour Internet mais je les remercie d’avoir divisé par deux ma facture. J’attends la même chose pour mon Smartphone...
En revanche cette affaire faisant le buzz, j’ai trouvé amusant de l’utiliser pour vous parler d’un problème de sécurité touchant MD5 auquel peu de développeurs semblent faire attention.
Vous êtes maintenant averti par ma petite démonstration tout en étant ludiquement renseigné sur les mystères de la fusée Free ce qui vous donnera la possibilité de briller à la machine à café !
PS: Pour ceux qui sont intéressés, sachez que mamie du cantal a écrit le 6/1 qu’il faudrait attendre presque une semaine, soit le 12/1, c’est à dire la date butoir fixée par la loi pour que Free utilise son contrat de téléphonie. Quand on sait quelle logistique il faut mettre en place pour un tel évènement, on comprend que la direction de Free se soit octroyée jusqu’à la dernière goutte de temps pour roder sa fusée avant de la faire décoller. Mais une surprise pourrait avoir lieu ce lundi même ! La page http://mobile.free.fr/, si vous affichez son code (Ctrl-U sous Chrome) vous fera voir un message étrange “Ca y est : on harnache les chevaux aux roulottes”. En dehors de la faute d’orthographe (roulote ne prend qu’un T), ce message est repris dans un message ce soir par la fameuse mamie. Elle y raconte une histoire de chevaux volés qui seront rendus lundi...
D’ici là vérifiez dans votre code l’utilisation qui est faite de MD5 !
Et ... 574'/ 7|_||\|3|) !
(Stay Tuned, en LEET, bien entendu !).