Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Avril 2001<br />
NOS COMMENTAIRES<br />
LES RFC<br />
RFC 3091<br />
Pi Digit Generation Protocol<br />
Ce standard IETF de 6 pages paru en tout début de mois décrit une implémentation (objets ASCII et protocoles) de<br />
génération de caractères ASCII numériques de type Chargen et appelée PIgen.<br />
Un tel système permet de diffuser des valeurs numériques correspondant à des décimales de la valeur Pi de façon<br />
précise ou approximative soit par une application basée sur TCP en mode connecté, soit sur UDP en mode non<br />
connecté, soit en mode multicast.<br />
Sous TCP, l’application génère de façon périodique les décimales. Notons que la valeur entière ("3") n’est pas<br />
générée, car considérée connue de tous. Sous UDP, il s’agit d’un mode de type question/réponse. La requête émise<br />
doit contenir le numéro de la décimale de Pi requise. La réponse contient 3 éléments : le numéro de la décimale, un<br />
symbole ":" et la valeur de la décimale requise.<br />
Dans le service de génération dit "précis", le port applicatif est fixe et est égal à 31415.<br />
Dans le service de génération dit "approché (ou approximate)", le port applicatif est fixe et est égal à 22007. cette<br />
valeur est, semble-t-il, faite pour rappeler de façon mnémotechnique que le calcul approximé est basé sur le calcul<br />
de la division de la valeur "22" par "7".<br />
Dans le service en mode de diffusion, l’application utilise le protocol UDP et diffuse des blocs aléatoires de valeurs<br />
numériques correspondant à des décimales de Pi. Le groupe de multicast utilisé est 314.159.265.359.<br />
Ce document a pour particularité de contenir au moins 2 éléments que nous nous permettons de qualifier<br />
d’imprécisions majeures.<br />
La première concerne le calcul en mode dit "approximate". En effet, il aurait été préférable de se baser sur la division<br />
de "333" par "106", plus précise, qui a pour mérite de fournir les 4 premières décimales correctes (au lieu de 2 dans<br />
le cas proposé dans la RFC). Dans la logique de la RFC, le port applicatif à utiliser serait plutôt le 333106, tant en<br />
TCP qu’en UDP.<br />
La seconde concerne le choix de l’adresse de multicast et posera sans doute des problèmes d’implémentation. En<br />
effet, il n’est pas précisé quelle était la classe de cette adresse de diffusion : il s’agit d’une erreur surprenante de la<br />
part de l’IETF sachant que 3 des 4 valeurs numériques de cette adresse sont hors normes …<br />
D'une lecture pourtant simple et compréhensible par la plupart des internautes, il s'agit d'un RFC dont on ne risque<br />
pas de voir le contenu implémenté tant que les imprécisions ne seront pas corrigées. Comme il est rappelé dans la<br />
partie "Security Considerations" de ce RFC, il est impératif de se baser sur des serveurs fiables implémentant le<br />
protocole Pigen, car "the imminent collapse of the Internet is assured if this guideline is not strictly followed"<br />
Le lecteur voulant réaliser sa propre implémentation du protocole pourra d’ailleurs trouver des éléments concernants<br />
les décimales de Pi sur le site http://pi.super-computing.org<br />
ftp://ftp.isi.edu/in-notes/rfc3091.txt<br />
RFC 3093<br />
Firewall Enhancement Protocol (FEP)<br />
Ce standard IETF de 11 pages paru lui aussi en tout début de mois décrit une implémentation permettant de<br />
véhiculer tout datagramme TCP ou UDP au sein du protocole HTTP.<br />
L’encapsulation dans le protocole HTTP (TCP sur le port 80) qui passe de façon transparente la quasi totalité des<br />
firewalls du marché, permettrait de véhiculer n’importe quelle application, même les plus complexes qui utilisent des<br />
ports appplicatifs utilisés de façon aléatoire.<br />
Il faut savoir que l’un des auteurs de ce RFC est le célèbre Scott Bradner de l’Université de Harvard, et qu’il semble<br />
avoir usé de sa notoriété pour convaincre les différents vendeurs de gardes barrières d’implémenter sous peu ce<br />
protocole, dont le sigle (FEP) en rappellera sans doute un autre aux personnes ayant travaillé il y a une dizaine<br />
d’années dans le domaine des réseaux (Front End Processor).<br />
Notons que bien qu'il ne s'agisse ici que d'un texte humoristique, le mécanisme présenté est 'hélas' d'ores et déjà<br />
utilisé dans le but de court-circuiter les filtres de sécurité mis en place !<br />
ftp://ftp.isi.edu/in-notes/rfc3093.txt<br />
LES DRAFTS<br />
DRAFT-MONTENEGRO-SUCV-00.TXT<br />
Statistically Unique and Cryptographically Verifiable Identifiers and Addresses<br />
Cette proposition de standard répond au problème de la propriété de l'identifiant dans le monde du "mobile IP" dans<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 20/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE