benjaltf4

Cybertrucs, Internets, Hacktivism, Leaks, Privacy, Reviews, Streisand, Scientology, Sectarisme… Avant j'avais un Twitter, maintenant j'ai un blog

Menu

Skip to content
  • Accueil
  • Privacy
  • #TeamJipoune
  • Leaks
  • Twitter
  • Warez
  • Relays TOR
  • Vidéosurveillance
  • FAQ/A Propos
  • Contact

Tag Archives: UVSQ Login

L’université, webdiploma, le sysadmin, TLS, et la couche 8

Posted on 11/06/2017 by benjaltf4

Quand il y a une vague d’attaque, une vulnérabilité quelconque, ou dans certains cas, lorsqu’il est trop tard et qu’il y a quelques dégâts et qu’un patch est disponible depuis plusieurs mois (ou années), le problème c’est pas les OS, les logiciels ou paquets, telle ou telle vulnérabilité.

Le problème, c’est le sysadmin (‘fin, si il existe, parce que très souvent les budgets sont plus que limités), la couche 8.

Aujourd’hui, on va passer en revue un grand standard : TLS.

En 2017, au vu de toutes les affaires qu’il y a eu telles que celles de la collecte généralisée/DPI pratiquée par des organisations étatiques, de sombres histoires de man-in-the-middle ou trucs chelous comme dans certains réseaux d’entreprises, il me semble juste indispensable d’avoir son site en https, peu importe si c’est un blog, le site d’une société ou d’une organisation.

Surtout quand on se connecte à un service qui gère des données sensibles ou personnelles, tiens, mais le responsable n’est-il pas astreint à une obligation de sécurité ? et le fait de ne pas avoir mis en oeuvre les moyens de protection n’est-il pas puni sévèrement par la loi ?

On va regarder du côté des écoles/universités, l’ENC Bessières propose le BTS SIO, ce qui n’empêche pas d’avoir leur page de login en clair :

L’Université Versailles St Quentin (UVSQ) qui possède un large panel de formations en informatique est presque à la même enseigne, sauf que c’est un peu troué :

Configuration problématique :

  • Vulnérable OpenSSL CCS vulnerability (CVE-2014-0224).
  • Présence de SSLV3 : PODDLE.
  • Présence de RC4.
  • Présence de MD5.

Suites de chiffrement périmées (entres-autres) :

  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_DHE_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

Cliquez ici et là pour accédez aux éléments.

  • Sésame, ouvre-toi !

Quand au système de réinitialisation de mot de passe “réalisé par la DSI de l’UVSQ”, il est en clair, et avec un peu de social engineering certains pourraient avoir droit à quelques surprises :

Là, le probème c’est que Sésame il est déjà ouvert…

A l’université Paris Diderot, le magnifique portail d’authentification connaît également quelques petits soucis, hormis le fait qu’il soit hideux :

Il est insécurisé : les accès étudiants passent en clair et les accès profs passent en “chiffré-troué” :

Configuration problématique :

  • Présence de SSLV3 : PODDLE.
  • Présence de RC4.
  • Présence de MD5.
  • Présence de DES sur “compte.app.univ-paris-diderot.fr” (ainsi que des 3 items ci-dessus).

Suites de chiffrement périmées (entres-autres) :

  • TLS_ECDHE_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Suites de chiffrement périmées (entres-autres) pour ” compte.app.univ-paris-diderot.fr” :

  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_DHE_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

Cliquez ici et là pour accédez aux éléments.

A Evry, la page de connection au portail pédagogique est en clair.

A Assas, on fait aussi dans le “chiffré-troué” avec du SSLV3 (avec le joli PODDLE qui va avec), du RC4, des suites exotiques comme TLS_RSA_WITH_RC4_128_SHA et TLS_ECDHE_RSA_WITH_RC4_128_SHA.

Cliquez ici et là pour accédez aux éléments.

A Paris 4, le portail plutôt joli fait également dans le “chiffré-troué”.

Configuration problématique :

  • Présence de SSLV3 : (avec PODDLE).
  • Présence de MD5.
  • Présence de DES.
  • Présence de RC4.
  • Présence de ANONYMOUS.
  • Présence de la vulnérabilité OpenSSL Padding Oracle vulnerability (CVE-2016-2107).

Suites de chiffrement périmées (entres-autres) :

  • TLS_ECDH_anon_WITH_AES_256_CBC_SHA
  • TLS_ECDH_anon_WITH_AES_128_CBC_SHA
  • TLS_ECDH_anon_WITH_RC4_128_SHA
  • TLS_ECDHE_RSA_WITH_RC4_128_SHA
  • TLS_ECDHE_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA

Cliquez ici et là pour accédez aux éléments.

  • Puis, le ponpon !

Pour celles et ceux qui lisent habituellement le blog, vous savez très bien que la rédaction à l’habitude de garder le meilleur pour la fin, tel le dessert du repas, telle la cerise sur le gâteau.

Autant les premières situations étaient des universités (organismes publics), autant le cas ci-dessous est une société commerciale, elle possède donc -en théorie- plus de moyens afin de faire le nécessaire au niveau des obligations de sécurité légales.

La petite rédaction est tombé totalement par hasard sur une entreprise qui permet de vérifier les diplômes obtenus par les candidats :

Verifdiploma est un service édité par Groupdiploma, inventeur d’e-solutions pour un recrutement sûr & sur mesure.

Créée en 2000, le service a été mis en place en partenariat avec les Grandes Ecoles et les Universités.

C’est un outil accessible sur Internet dédié aux professionnels du recrutement.Verifdiploma est l’intermédiaire entre les services des Ressources Humaines et les établissements de l’Enseignement Supérieur afin de faciliter le recrutement de stagiaires, d’apprentis et de diplômés.

Réservé aux entreprises, Verifdiploma permet de vérifier de manière absolument certaine les diplômes obtenus par vos candidats en France et à l’International. Le vérificateur en ligne permet de sécuriser vos recrutements jeunes diplômés ou expérimentés tout en valorisant votre marque employeur.

Verifdiploma, c’est “la solution pour un recrutement plus sûr” mais également “le recrutement 3.0, sûr & sur mesure” :

 

 

 

 

 

On peut remarquer qu’il existe différentes “instances” de Verifdiploma, parmi lesquelles celles de Paris Dauphine ou encore l’école de commerce Skema :

 

Comme on peut le voir, tout indique que c’est sécurisé, il y a le logos des CB et le cadenas, mais qu’en est-il vraiment ?

Les différents domaines (et les deux instances trouvées), c’est-à-dire :

  • dauphine.verifdiploma.com
  • skema.verifdiploma.com
  • verifdiploma.com
  • groupdiploma.fr

Pointent sur le même serveur : 188.165.219.119

Or, il y a quelques soucis :

Configuration problématique :

  • Présence de SSLV3 : (avec PODDLE).
  • Présence de MD5.
  • Présence de RC4.
  • Présence d’un échange de clé Diffie Hellman en 1024 bits.

Suites de chiffrement périmées (entres-autres) :

  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

Dans les différentes situations énumérées, il y a des données personelles qui transitent, que ça soit des dates de naissance avec le numéro INE (Numéro étudiant), des attestations, des pièces d’identité ou encore des données bancaires pour procéder au paiement (dernière situation).

Posted in InfoSec, Les trucs vus sur internet | Tagged Chiffrement TLS, Connexion ENT Paris Diderot, Connexion UVSQ, ENC Bessières BTS, ENC Bessières BTS SIO, ENC Bessières login, Groupdiploma, groupdiploma.fr, Sésame UVSQ, UVSQ Login, UVSQ Se connecter, Verifdiploma, Verifdiploma vérification diplômes, verifdiploma.com | 1 Comment


Recherche


Articles récents

  • Rudolf Steiner : Agriculture Fondements spirituels de la méthode Bio-dynamique / Geisteswissenschaftliche Grundlagen zum Gedeihen der Landwirtschaft
  • OSINT/STREISAND/SAUVEGARDE : Oui, Marlène Schiappa a bien fait un placement de produit pour un lissage brésilien
  • Magnificia : Un nouvel élément démontre les liens avec la scientologie
  • Magnificia/SFP2 : Le nom de domaine magnificia.fr vendu aux enchères !
  • Magnificia : Le domaine “Le Moulin de Guéliz” est totalement à l’abandon
  • Scientology Leaks 664 : Freedom Magazine Volume 49 Issue 1 – Anglais 2017
  • Magnificia : Le domaine “La Commanderie de Dormelles” totalement à l’abandon
  • Scientology Leaks 663 : Centre Number 5 “The Franchise Magazine”
  • Scientology Leaks 662 : “Un environnement OT” – Français 2015
  • Scientology Leaks 661 : Impact Magazine Numéro 4 – Anglais 1985

Archives

  • janvier 2021
  • décembre 2020
  • novembre 2020
  • octobre 2020
  • septembre 2020
  • août 2020
  • juillet 2020
  • juin 2020
  • mai 2020
  • avril 2020
  • mars 2020
  • février 2020
  • janvier 2020
  • décembre 2019
  • novembre 2019
  • octobre 2019
  • septembre 2019
  • août 2019
  • juillet 2019
  • juin 2019
  • mai 2019
  • avril 2019
  • mars 2019
  • février 2019
  • janvier 2019
  • décembre 2018
  • novembre 2018
  • octobre 2018
  • septembre 2018
  • août 2018
  • juillet 2018
  • juin 2018
  • mai 2018
  • avril 2018
  • mars 2018
  • février 2018
  • janvier 2018
  • décembre 2017
  • novembre 2017
  • octobre 2017
  • septembre 2017
  • août 2017
  • juillet 2017
  • juin 2017
  • mai 2017
  • avril 2017
  • mars 2017
  • février 2017

Catégories

  • #TeamJipoune
  • Annonces
  • Anthroposophie/Steiner-Waldorf/Biodynamie
  • Articles de la rédaction
  • Censure
  • Fail
  • Failscreen
  • Inclassable
  • InfoSec
  • La politique, cette apocalypse
  • Leaks
  • Legendre Patrimoine/Magnificia
  • Les trucs vus sur internet
  • MIVILUDES
  • Police Leaks
  • Privacy
  • Reviews
  • Scientologie
  • Scientology Leaks
  • Screenfails
  • Sectes
  • Trucs AFK
  • Tutoriels
  • Vie Privée
  • Warez

Quelques sites à consulter


Propulsé par FlokiNET

Proudly powered by WordPress | Theme: Willingness by Manish Suwal