lundi 11 novembre 2013

Limits of Yahoo security

For the first time (and may be not the last one if you request it dear readers!) I will write this post in English.
Why? Well, the reason is that I have seen many questions related to Yahoo security in forums and I think this post may answer some of the current questions.

What is the story?

Every year I am used to demonstrate how to access to a Yahoo mail account using the well known Sarah Palin vulnerability for the security training I am in charge of. In other words my objective is to access to a Yahoo account using the answers to security questions found on social networks. And every year I see how Yahoo improves their security. Their last security update was to take into account your request to access to the account, but only 24 hours after your request. As my security training last 2 days, I was still able to demonstrate it.

But when I tried to do it this year (2013), I cannot access to security questions to reset my password. I had access only to my backup email. Arrgh!

After some tests I found a way to use my security questions again. How I did it? Here is the trick.
The idea is to lock your account. To do that you try to reset several times your password (you have to click on the link “I have forgotten my password” on the Yahoo login page). After several attempts (understand after several mails sent to your backup email account) then your account is locked and…and you will be able to reset it after 24 hours using your security questions again. Based on my experience we have to try to reset the password 4 times before locking the account.

We did it!

Here are some snapshots of the process.


The account is locked and we have to come back in 24 hours.


24 hours later,  again, we have to try to reset the password 4 times before being able to use the security questions. Below, we correctly answered the first security question and we have to answer the second one.


The second answer was correct and we can set the new password. Then we have access to the email account.

This approach is useful in at least 2 use-cases:
You have lost the access to your backup email and you cannot use it to reset your password
You want to access to the email account of your target (as usual here is a reminder: you are not allowed to do that and you can be prosecuted)

Note: if you create a new Yahoo email account now, you will not have the possibility to set security questions. This option seems to have been removed from Yahoo policy.

Note: This test was done in October 2013. Keep in mind that Yahoo is used to update the security behavior. So you may have to adapt this scenario!

dimanche 10 novembre 2013

Envoyez des mails avec votre téléphone en toute sécurité !

Il y a quelques mois je vous présentais dans l’article Signer et encrypter un document sur un téléphone une solution permettant de signer et encrypter un mail. Cette solution était plus une preuve de concept qu’un vrai produit.
Cette fois la solution que je vous présente est un vrai produit, et ce produit peut être utilisé gratuitement dans le cadre d’une démonstration. C’est la solution « Regimail » de la société « Regify »

« Regimail » permet d’encrypter aisément les mails entre utilisateurs sans la contrainte du déploiement et de la maintenance d’une infrastructure à clefs publiques (PKI). C’est sa force !

Du point de vue de l’utilisateur l’expérience est la suivante : vous devez tout d’abord créer un compte « Regimail » sur le portail de démonstration de « Regify » : https://portal.regify.com


Vous recevez un mail contenant un lien d’activation sur lequel vous allez saisir le code d’activation qui vous est envoyé par SMS dans notre cas. Un mot de passe est généré automatiquement.


Une fois le compte créé, vous pouvez télécharger l’application mobile « Regimail » dans l’environnement de votre choix. Dans notre cas nous choisissons d’utiliser un téléphone « Android ».


Après avoir configuré votre application « mobile » en saisissant votre nom d’utilisateur et votre mot de passe vous pouvez envoyer un mail


Lors de l’envoi du mail, l’application « Regimail » propose de choisir le client mail à utiliser (si plusieurs clients sont installés sur votre téléphone) pour l’envoi de ce mail. Dans notre cas nous choisissons « Gmail » associé à l’adresse philippe.biton@gmail.com


L’email est affiché avant l’envoi.



Un mail de notification est ensuite envoyé automatiquement à l’émetteur pour confirmer l’envoi du message. Lorsque le message sera lu par le destinataire alors l’émetteur recevra également une notification de lecture.


La procédure que Basile Drancers doit suivre pour pouvoir lire le contenu du mail est parfaitement décrite dans le mail envoyé. Le processus est très facile à utiliser.

 

Si Basile Drancers utilises Microsoft Outlook, qu’il dispose d’un compte « Regimail » et qu’il a déjà installé le plug-in « Outlook » alors il n’a plus qu’à double-cliquer sur le fichier « .rgf » pour lancer l’application « Regimail » et visualiser le contenu du mail.



Voici une vue des paramètres de votre client mail « Android ». On peut noter que dans notre cas le fournisseur de services est « Regify » et qu’il existe de nombreux autres fournisseurs proposant leurs propres spécificités.


Du point de vue de l’expert en sécurité, voici l’argumentaire de «Regify» :
L’architecture de la solution « Regimail » est à 2 niveaux distincts et indépendants: le fournisseur de service de clearing et le fournisseur de la solution « Regimail ».
Le chiffrement du message est fait avec AES 256
Les échanges entre les clients et les fournisseurs sont basés sur RSA (1024 bits) et SSL
Les échanges entre les fournisseurs sont basés sur un VPN privé
Ni le fournisseur du service de clearing, ni le fournisseur de la solution « Regimail » ne sont à aucun moment en possession de l’email
Le fournisseur de la solution « Regimail » ne peut accèder ni au « hash » du fichier « .rgf », ni à la clef symétrique AES 256. Il n’a donc pas accès au contenu du message
Le fournisseur du service de clearing remplit le rôle de gardien des clefs et des « hashs ». Ce service n’a aucune connaissance ni des utilisateurs, ni des contenus
En résumé, d’un côté, le fournisseur du service de clearing ne connaît ni l’expéditeur d’un mail, ni le destinataire et il n’a jamais accès à son contenu. D’un autre côté, le fournisseur de la solution « Regimail » n’a pas accès à la clef qui a servie à chiffrer le message.

Bien entendu, pour des raisons légales, un tiers autorisé à intercepter légalement une communication «Regify» doit être en possession du message respectif. Assisté par le fournisseur concerné, ce tiers peut accéder aux infirmations telles que le message pour lequel le fournisseur du service de clearing fournira la clef de déchiffrement respective après une demande spéciale et exceptionnelle.

A première vue il semblerait qu'un point pouvant être améliorer dans cette solution soit la phase d’authentification. Mais je comprends que « Regify » laisse le soin à ses fournisseurs de gérer l’authentification. Il est donc nécessaire, davantage pour une entreprise que pour un particulier, de bien choisir son fournisseur « Regify » avec le bon nombre de facteurs d’authentification.

samedi 9 novembre 2013

Utilisez votre téléphone à partir de votre ordinateur !

Devant votre intérêt pour l’article Afficher l’écran de votre téléphone sur votre ordinateur qui date d’Octobre 2012, je dois vous informer que visualiser l’écran de votre téléphone Android sur votre ordinateur est devenu un jeu d’enfants.
Souvenez-vous, avec Droid@Screen un certain nombre de pré-requis étaient nécessaires. Avec MyMobiler tout devient simple.

Voici les étapes à suivre :
1. Comme toujours vous devez autoriser l’option « USB Debugging » sur votre téléphone (confer article précédent). MyMobiler vous permet également d’utiliser une connexion Wifi entre votre ordinateur et votre téléphone 
2. Et comme toujours vous devez installer un pilote USB pour votre téléphone (confer Afficher l’écran de votre téléphone sur votre ordinateur)
3. Télécharger et installer MyMobiler http://mymobiler.com/ sur votre ordinateur
4. Lancer MyMobiler


Vous voyez apparaître une petite icône en forme de téléphone.

5. Connecter votre téléphone avec votre câble USB
6. Au travers de MyMobiler vous pouvez installer l’application Android nécessaire au bon fonctionnement de MyMobiler directement sur votre téléphone



7. Réaliser la connexion entre MyMobiler à l’application installée sur votre téléphone



8. Puis vous pouvez visualiser votre téléphone sur votre ordinateur


Et, cerise sur le gâteau, vous pouvez jouer avec votre téléphone directement avec votre souris. Vous pouvez par exemple fermer la fenêtre de MyMobiler sur votre téléphone en cliquant sur « Close ». Tout simplement génial !


9. Au travers de MyMobiler vous pouvez également désinstaller l’application Android après usage


Vous trouverez plus de détails sur les options de configuration de MyMobiler sur l’ordinateur http://mymobiler.com/android-setup-start.html#desktopsetup et sur votre téléphone Android http://mymobiler.com/android-setup-start.html#androidsetup 

PS : Merci à Didier qui devrait se reconnaître !

Partager avec...