Re: Question sur la sécurité PostgreSQL 9.6

Bonjour

Lorsqu'un client se connecte à une instance PostgreSQL 9.6, est-ce que le mot de passe de l'utilisateur passe en clair sur le réseau ?

Merci d'avance

Cordialement
[cid:image001(dot)png(at)01D3729E(dot)92D66640]
Didier ROS
DSP/CSP IT-DMA/Solutions Groupe EDF/Expertise Applicative
Expertise SGBD
32 Avenue Pablo Picasso
92000 NANTERRE
Bureau : E2 565D (aile Nord-Est)
Tél. : 01.78.66.61.14
Tél. mobile : 06.49.51.11.88

Ce message et toutes les pièces jointes (ci-après le 'Message') sont établis à l'intention exclusive des destinataires et les informations qui y figurent sont strictement confidentielles. Toute utilisation de ce Message non conforme à sa destination, toute diffusion ou toute publication totale ou partielle, est interdite sauf autorisation expresse.

Si vous n'êtes pas le destinataire de ce Message, il vous est interdit de le copier, de le faire suivre, de le divulguer ou d'en utiliser tout ou partie. Si vous avez reçu ce Message par erreur, merci de le supprimer de votre système, ainsi que toutes ses copies, et de n'en garder aucune trace sur quelque support que ce soit. Nous vous remercions également d'en avertir immédiatement l'expéditeur par retour du message.

Il est impossible de garantir que les communications par messagerie électronique arrivent en temps utile, sont sécurisées ou dénuées de toute erreur ou virus.
____________________________________________________

This message and any attachments (the 'Message') are intended solely for the addressees. The information contained in this Message is confidential. Any use of information contained in this Message not in accord with its purpose, any dissemination or disclosure, either whole or partial, is prohibited except formal approval.

If you are not the addressee, you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return message.

E-mail communication cannot be guaranteed to be timely secure, error or virus-free.

Bonjour,

Oui, si la connexion n'est pas chiffrée (voir
https://docs.postgresql.fr/9.6/ssl-tcp.html)

Cordialement.

Jean-Marie

Le 11/12/2017 à 16:39, ROS Didier a écrit :
>
> Bonjour
>
>  
>
>               Lorsqu’un client se connecte à une instance PostgreSQL
> 9.6, est-ce que le mot de passe de l’utilisateur passe en clair sur le
> réseau ?
>
>  
>
> Merci d’avance
>
>  
>
> Cordialement
>
>
> *Didier ROS **
> DSP/CSP IT-DMA/Solutions Groupe EDF/Expertise Applicative*
>
> *Expertise SGBD*
> 32 Avenue Pablo Picasso
> 92000 NANTERRE
>
> Bureau : E2 565D (aile Nord-Est)
> Tél. : 01.78.66.61.14
> Tél. mobile : 06.49.51.11.88
>
>  
>
>
> Ce message et toutes les pièces jointes (ci-après le 'Message') sont
> établis à l'intention exclusive des destinataires et les informations
> qui y figurent sont strictement confidentielles. Toute utilisation de
> ce Message non conforme à sa destination, toute diffusion ou toute
> publication totale ou partielle, est interdite sauf autorisation expresse.
>
> Si vous n'êtes pas le destinataire de ce Message, il vous est interdit
> de le copier, de le faire suivre, de le divulguer ou d'en utiliser
> tout ou partie. Si vous avez reçu ce Message par erreur, merci de le
> supprimer de votre système, ainsi que toutes ses copies, et de n'en
> garder aucune trace sur quelque support que ce soit. Nous vous
> remercions également d'en avertir immédiatement l'expéditeur par
> retour du message.
>
> Il est impossible de garantir que les communications par messagerie
> électronique arrivent en temps utile, sont sécurisées ou dénuées de
> toute erreur ou virus.
> ____________________________________________________
>
> This message and any attachments (the 'Message') are intended solely
> for the addressees. The information contained in this Message is
> confidential. Any use of information contained in this Message not in
> accord with its purpose, any dissemination or disclosure, either whole
> or partial, is prohibited except formal approval.
>
> If you are not the addressee, you may not copy, forward, disclose or
> use any part of it. If you have received this message in error, please
> delete it and all copies from your system and notify the sender
> immediately by return message.
>
> E-mail communication cannot be guaranteed to be timely secure, error
> or virus-free.
>

--
Jean-Marie Arsac
Azimut
http://www.azimut.fr
Mob 06 11 05 88 23

Bonjour,

Si la connexion n'est pas chiffrée et que dans le fichier pg_hba.conf on a mis « md5 » et non « password » , le mot de passe n'apparait pas sur le reseau .

Cordialement

[cid:image001(dot)png(at)01D372A1(dot)A63A3510]
Didier ROS
DSP/CSP IT-DMA/Solutions Groupe EDF/Expertise Applicative
Expertise SGBD
32 Avenue Pablo Picasso
92000 NANTERRE
Bureau : E2 565D (aile Nord-Est)
Tél. : 01.78.66.61.14
Tél. mobile : 06.49.51.11.88

De : jmarsac(at)azimut(dot)fr [mailto:jmarsac(at)azimut(dot)fr]
Envoyé : lundi 11 décembre 2017 16:45
À : pgsql-fr-generale(at)lists(dot)postgresql(dot)org
Objet : Re: Question sur la sécurité PostgreSQL 9.6

Bonjour,

Oui, si la connexion n'est pas chiffrée (voir https://docs.postgresql.fr/9.6/ssl-tcp.html)

Cordialement.

Jean-Marie

Le 11/12/2017 à 16:39, ROS Didier a écrit :
Bonjour

Lorsqu'un client se connecte à une instance PostgreSQL 9.6, est-ce que le mot de passe de l'utilisateur passe en clair sur le réseau ?

Merci d'avance

Cordialement
[cid:image002(dot)png(at)01D372A1(dot)A63A3510]
Didier ROS
DSP/CSP IT-DMA/Solutions Groupe EDF/Expertise Applicative
Expertise SGBD
32 Avenue Pablo Picasso
92000 NANTERRE
Bureau : E2 565D (aile Nord-Est)
Tél. : 01.78.66.61.14
Tél. mobile : 06.49.51.11.88

Ce message et toutes les pièces jointes (ci-après le 'Message') sont établis à l'intention exclusive des destinataires et les informations qui y figurent sont strictement confidentielles. Toute utilisation de ce Message non conforme à sa destination, toute diffusion ou toute publication totale ou partielle, est interdite sauf autorisation expresse.

Si vous n'êtes pas le destinataire de ce Message, il vous est interdit de le copier, de le faire suivre, de le divulguer ou d'en utiliser tout ou partie. Si vous avez reçu ce Message par erreur, merci de le supprimer de votre système, ainsi que toutes ses copies, et de n'en garder aucune trace sur quelque support que ce soit. Nous vous remercions également d'en avertir immédiatement l'expéditeur par retour du message.

Il est impossible de garantir que les communications par messagerie électronique arrivent en temps utile, sont sécurisées ou dénuées de toute erreur ou virus.
____________________________________________________

This message and any attachments (the 'Message') are intended solely for the addressees. The information contained in this Message is confidential. Any use of information contained in this Message not in accord with its purpose, any dissemination or disclosure, either whole or partial, is prohibited except formal approval.

If you are not the addressee, you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return message.

E-mail communication cannot be guaranteed to be timely secure, error or virus-free.

--

Jean-Marie Arsac

Azimut

http://www.azimut.fr

Mob 06 11 05 88 23

Ce message et toutes les pièces jointes (ci-après le 'Message') sont établis à l'intention exclusive des destinataires et les informations qui y figurent sont strictement confidentielles. Toute utilisation de ce Message non conforme à sa destination, toute diffusion ou toute publication totale ou partielle, est interdite sauf autorisation expresse.

Si vous n'êtes pas le destinataire de ce Message, il vous est interdit de le copier, de le faire suivre, de le divulguer ou d'en utiliser tout ou partie. Si vous avez reçu ce Message par erreur, merci de le supprimer de votre système, ainsi que toutes ses copies, et de n'en garder aucune trace sur quelque support que ce soit. Nous vous remercions également d'en avertir immédiatement l'expéditeur par retour du message.

Il est impossible de garantir que les communications par messagerie électronique arrivent en temps utile, sont sécurisées ou dénuées de toute erreur ou virus.
____________________________________________________

This message and any attachments (the 'Message') are intended solely for the addressees. The information contained in this Message is confidential. Any use of information contained in this Message not in accord with its purpose, any dissemination or disclosure, either whole or partial, is prohibited except formal approval.

If you are not the addressee, you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return message.

E-mail communication cannot be guaranteed to be timely secure, error or virus-free.

Oups ! répondu trop vite. Merci.

jm

Le 11/12/2017 à 17:01, ROS Didier a écrit :
>
> Bonjour,
>
>  
>
>                Si la connexion n’est pas chiffrée et que dans le
> fichier pg_hba.conf on a mis « md5 » et non « password » , le mot de
> passe n’apparait pas sur le reseau .
>
>               
>
>  
>
> Cordialement
>
>  
>
>
> *Didier ROS **
> DSP/CSP IT-DMA/Solutions Groupe EDF/Expertise Applicative*
>
> *Expertise SGBD*
> 32 Avenue Pablo Picasso
> 92000 NANTERRE
>
> Bureau : E2 565D (aile Nord-Est)
> Tél. : 01.78.66.61.14
> Tél. mobile : 06.49.51.11.88
>
>  
>
> *De :*jmarsac(at)azimut(dot)fr [mailto:jmarsac(at)azimut(dot)fr]
> *Envoyé :* lundi 11 décembre 2017 16:45
> *À :* pgsql-fr-generale(at)lists(dot)postgresql(dot)org
> *Objet :* Re: Question sur la sécurité PostgreSQL 9.6
>
>  
>
> Bonjour,
>
> Oui, si la connexion n'est pas chiffrée (voir
> https://docs.postgresql.fr/9.6/ssl-tcp.html
> <https://docs.postgresql.fr/9.6/ssl-tcp.html>).
>
> Cordialement.
>
> Jean-Marie
>
>  
>
> Le 11/12/2017 à 16:39, ROS Didier a écrit :
>
> Bonjour
>
>  
>
>               Lorsqu’un client se connecte à une instance
> PostgreSQL 9.6, est-ce que le mot de passe de l’utilisateur passe
> en clair sur le réseau ?
>
>  
>
> Merci d’avance
>
>  
>
> Cordialement
>
>
> *Didier ROS **
> DSP/CSP IT-DMA/Solutions Groupe EDF/Expertise Applicative*
>
> *Expertise SGBD*
> 32 Avenue Pablo Picasso
> 92000 NANTERRE
>
> Bureau : E2 565D (aile Nord-Est)
> Tél. : 01.78.66.61.14
> Tél. mobile : 06.49.51.11.88
>
>
>  
>
>
> Ce message et toutes les pièces jointes (ci-après le 'Message')
> sont établis à l'intention exclusive des destinataires et les
> informations qui y figurent sont strictement confidentielles.
> Toute utilisation de ce Message non conforme à sa destination,
> toute diffusion ou toute publication totale ou partielle, est
> interdite sauf autorisation expresse.
>
> Si vous n'êtes pas le destinataire de ce Message, il vous est
> interdit de le copier, de le faire suivre, de le divulguer ou d'en
> utiliser tout ou partie. Si vous avez reçu ce Message par erreur,
> merci de le supprimer de votre système, ainsi que toutes ses
> copies, et de n'en garder aucune trace sur quelque support que ce
> soit. Nous vous remercions également d'en avertir immédiatement
> l'expéditeur par retour du message.
>
> Il est impossible de garantir que les communications par
> messagerie électronique arrivent en temps utile, sont sécurisées
> ou dénuées de toute erreur ou virus.
> ____________________________________________________
>
> This message and any attachments (the 'Message') are intended
> solely for the addressees. The information contained in this
> Message is confidential. Any use of information contained in this
> Message not in accord with its purpose, any dissemination or
> disclosure, either whole or partial, is prohibited except formal
> approval.
>
> If you are not the addressee, you may not copy, forward, disclose
> or use any part of it. If you have received this message in error,
> please delete it and all copies from your system and notify the
> sender immediately by return message.
>
> E-mail communication cannot be guaranteed to be timely secure,
> error or virus-free.
>
>
>
> --
> Jean-Marie Arsac
> Azimut
> http://www.azimut.fr
> Mob 06 11 05 88 23
>
>
> Ce message et toutes les pièces jointes (ci-après le 'Message') sont
> établis à l'intention exclusive des destinataires et les informations
> qui y figurent sont strictement confidentielles. Toute utilisation de
> ce Message non conforme à sa destination, toute diffusion ou toute
> publication totale ou partielle, est interdite sauf autorisation expresse.
>
> Si vous n'êtes pas le destinataire de ce Message, il vous est interdit
> de le copier, de le faire suivre, de le divulguer ou d'en utiliser
> tout ou partie. Si vous avez reçu ce Message par erreur, merci de le
> supprimer de votre système, ainsi que toutes ses copies, et de n'en
> garder aucune trace sur quelque support que ce soit. Nous vous
> remercions également d'en avertir immédiatement l'expéditeur par
> retour du message.
>
> Il est impossible de garantir que les communications par messagerie
> électronique arrivent en temps utile, sont sécurisées ou dénuées de
> toute erreur ou virus.
> ____________________________________________________
>
> This message and any attachments (the 'Message') are intended solely
> for the addressees. The information contained in this Message is
> confidential. Any use of information contained in this Message not in
> accord with its purpose, any dissemination or disclosure, either whole
> or partial, is prohibited except formal approval.
>
> If you are not the addressee, you may not copy, forward, disclose or
> use any part of it. If you have received this message in error, please
> delete it and all copies from your system and notify the sender
> immediately by return message.
>
> E-mail communication cannot be guaranteed to be timely secure, error
> or virus-free.
>

--
Jean-Marie Arsac
Azimut
http://www.azimut.fr
Mob 06 11 05 88 23

Bonjour,

J'ai trouvé cet article qui semble dire que sans ssl l'identification par
md5 est vulnérable car le hash du md5 apparait sur le réseau et peut être
utilisé pour s'authentifier:

https://hashcat.net/forum/thread-4148.html
/message-id/54DBCBCF.9000600@vmware.com

Benoit

My bad, j'ai lu deux articles qui ne disent pas la même choses ..
Ceux du mail précendent ne parle que du password to hash.
L'histoire du hash sur le réseau est fausse. Dsl pour le bruit :/

Le 11 décembre 2017 à 18:57, talk to ben <blo(dot)talkto(at)gmail(dot)com> a écrit :

>
> Bonjour,
>
> J'ai trouvé cet article qui semble dire que sans ssl l'identification par
> md5 est vulnérable car le hash du md5 apparait sur le réseau et peut être
> utilisé pour s'authentifier:
>
> https://hashcat.net/forum/thread-4148.html
> /message-id/54DBCBCF.9000600@vmware.com
>
> Benoit
>

2017-12-12 2:57 GMT+09:00 talk to ben <blo(dot)talkto(at)gmail(dot)com>:
> J'ai trouvé cet article qui semble dire que sans ssl l'identification par
> md5 est vulnérable car le hash du md5 apparait sur le réseau et peut être
> utilisé pour s'authentifier:
>
> https://hashcat.net/forum/thread-4148.html
> /message-id/54DBCBCF.9000600@vmware.com

Ce problème s'appelle Pass the hash
(https://en.wikipedia.org/wiki/Pass_the_hash) Il est simple de
modifier un client libpq pour créer ce problème. Normalement un
individu n'a pas accès à aux MD5 de mots de passe, mais si un
attaquant a accès à des backups passés il peut facilement les
extraire. Donc vous feriez mieux d'encrypter la connection. SCRAM
résout aussi ces problèmes.

Pour répondre à la question posée ici, si "password" est utilisé dans
pg_hba.conf, oui le mot de passe est envoyé en clair. Si c'est "md5",
le serveur envoie d'abord 4 octets comme sel, que le client utilise
pour compiler md5(md5(password || username), salt), qui est ce que le
serveur utilise pour la comparaison de mot de passe. Un sel ayant
seulement 4 octets, et une compilation de MD5 étant très rapide, MD5
est sensible à ce qui s'appelle aux attaques par rejeu.
--
Michael

Merci Michael pour cette réponse complète et précise.

Didier ROS
DSP/CSP IT-DMA/Solutions Groupe EDF/Expertise Applicative
Expertise SGBD
32 Avenue Pablo Picasso
92000 NANTERRE
Bureau : E2 565D (aile Nord-Est)
Tél. : 01.78.66.61.14
-----Message d'origine-----
De : michael(dot)paquier(at)gmail(dot)com [mailto:michael(dot)paquier(at)gmail(dot)com]
Envoyé : mardi 12 décembre 2017 00:05
À : blo(dot)talkto(at)gmail(dot)com
Cc : jmarsac(at)azimut(dot)fr; ROS Didier <didier(dot)ros(at)edf(dot)fr>; pgsql-fr-generale(at)lists(dot)postgresql(dot)org
Objet : Re: Question sur la sécurité PostgreSQL 9.6

2017-12-12 2:57 GMT+09:00 talk to ben <blo(dot)talkto(at)gmail(dot)com>:
> J'ai trouvé cet article qui semble dire que sans ssl l'identification
> par
> md5 est vulnérable car le hash du md5 apparait sur le réseau et peut
> être utilisé pour s'authentifier:
>
> https://hashcat.net/forum/thread-4148.html
> /message-id/54DBCBCF.9000600@vmware.com

Ce problème s'appelle Pass the hash
(https://en.wikipedia.org/wiki/Pass_the_hash) Il est simple de modifier un client libpq pour créer ce problème. Normalement un individu n'a pas accès à aux MD5 de mots de passe, mais si un attaquant a accès à des backups passés il peut facilement les extraire. Donc vous feriez mieux d'encrypter la connection. SCRAM résout aussi ces problèmes.

Pour répondre à la question posée ici, si "password" est utilisé dans pg_hba.conf, oui le mot de passe est envoyé en clair. Si c'est "md5", le serveur envoie d'abord 4 octets comme sel, que le client utilise pour compiler md5(md5(password || username), salt), qui est ce que le serveur utilise pour la comparaison de mot de passe. Un sel ayant seulement 4 octets, et une compilation de MD5 étant très rapide, MD5 est sensible à ce qui s'appelle aux attaques par rejeu.
--
Michael

Ce message et toutes les pièces jointes (ci-après le 'Message') sont établis à l'intention exclusive des destinataires et les informations qui y figurent sont strictement confidentielles. Toute utilisation de ce Message non conforme à sa destination, toute diffusion ou toute publication totale ou partielle, est interdite sauf autorisation expresse.

Si vous n'êtes pas le destinataire de ce Message, il vous est interdit de le copier, de le faire suivre, de le divulguer ou d'en utiliser tout ou partie. Si vous avez reçu ce Message par erreur, merci de le supprimer de votre système, ainsi que toutes ses copies, et de n'en garder aucune trace sur quelque support que ce soit. Nous vous remercions également d'en avertir immédiatement l'expéditeur par retour du message.

Il est impossible de garantir que les communications par messagerie électronique arrivent en temps utile, sont sécurisées ou dénuées de toute erreur ou virus.
____________________________________________________

This message and any attachments (the 'Message') are intended solely for the addressees. The information contained in this Message is confidential. Any use of information contained in this Message not in accord with its purpose, any dissemination or disclosure, either whole or partial, is prohibited except formal approval.

If you are not the addressee, you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return message.

E-mail communication cannot be guaranteed to be timely secure, error or virus-free.