ECLIPSE PHASE, un jeu de Posthuman Studios

Forum destiné à faciliter les échanges et l'accès aux infos pour nos tables de jeu de rôle


Contourner l'authentification

Partagez
avatar
CatWired
membre

Ping : 610
Messages : 210
Date d'inscription : 21/02/2016
Age : 15
Localisation : dans le Mesh

Contourner l'authentification

Message par CatWired le Sam 19 Mar - 23:11

CONTOURNER L’AUTHENTIFICATION

Plutôt que de pirater le système pour y pénétrer, l’intrus peut tenter de subvertir le système d’authentification utilisé pour se faire passer pour un utilisateur légitime. 

Le moyen le plus facile de procéder est d’acquérir, par un moyen ou un autre, le code d’accès, la clé d’accès ou toute autre marque d’identification que la cible utilise (p. 253).

Avec cet atout en main, aucun test n’est nécessaire pour accéder au système : le hacker se connecte tout simplement comme un utilisateur légitime et bénéficie de tous les privilèges d’accès standards de l’utilisateur.
 
Sans code d’accès, le hacker peut tenter de corrompre le système d’authentification de deux façons : par usurpation (le spoofing) ou par falsification.

USURPATION

Cette méthode consiste à déguiser son signal pour le faire passer pour celui de l’utilisateur légitime et authentifié. 

S’il réussit, le hacker dupe le système qui accepte ses ordres et ses activités comme étant celles de l’utilisateur légitime. La procédure d’usurpation est plus difficile à accomplir, mais elle est très efficace lorsqu’elle fonctionne.

Pour usurper le signal d’authentification d’un utilisateur légitime, le hacker doit utiliser des logiciels Fouine et Leurre (p. 331). 

Il doit surveiller les connexions entre l’utilisateur légitime et le système ciblé, puis réussir un test d’Infosec pour intercepter un échange de données (p. 252). 

Si l’utilisateur légitime a les privilèges d’un compte de sécurité, il souffre d’un malus de −20. Ce malus passe à −30 si l’utilisateur légitime a des droits administrateurs (p. 247). 

Armé de ces données, le hacker peut dès lors s’en servir pour déguiser son signal. 

Il effectue pour cela un test d’Infosec auquel s’ajoutent les modificateurs appropriés correspondant aux qualités respectives du pare-feu du système et de son propre logiciel Leurre. 

S’il réussit, les communications qu’il envoie sont traitées comme venant de l’utilisateur légitime.

FALSIFICATION

Les systèmes biométriques et à clé d’accès utilisés pour l’authentification (p. 253) peuvent éventuellement être dupés par un hacker en mesure de consulter les éléments d’identification originaux. 

Les moyens et les techniques intervenant dans ce procédé diffèrent d’un hacker à l’autre et dépassent la portée de ce livre, mais réussir à élaborer des contrefaçons pour contourner de tels systèmes permet au hacker de se connecter comme s’il était l’utilisateur légitime.

Tests d'intrusion

Intrusion


LA TOILE


_________________________________________________________
CatWired
IAG Infomorphe | Adjoint Infosec | Maître Archiviste | Maître Cartographe
Artiste RA/Simulspace/SoundSystem et dealer d'Algodisques.
Soundcloud.mesh/CatWired

@-Rep : 90   crédits : 6500

    La date/heure actuelle est Sam 17 Nov - 23:01