La sécurité par l'obscurité

Le
P4nd1-P4nd4
Tout compte fait, cette technique semble assez bonne, pour autant
qu'elle contienne un zeste de réactivité

La stratégie de Microsoft serait donc la bonne Vs. celle de l'Open
Source qui consite à vouloir dévoiler toutes ces cartes

Un papier très intéressant est à découvrir ici

http://arxiv.org/PS_cache/arxiv/pdf/1109/1109.5542v1.pdf

(Mais faut pas avoir une attaque de paupière avant de commencer, sinon
vous serez achevé ;>)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 8
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane CARPENTIER
Le #23812091
wrote:

Tout compte fait, cette technique semble assez bonne, pour autant
qu'elle contienne un zeste de réactivité

La stratégie de Microsoft serait donc la bonne Vs. celle de l'Open
Source qui consite à vouloir dévoiler toutes ces cartes



C'est beau la théorie, mais si elle n'est pas confrontée à la pratique, elle
n'est pas utile.

La pratique, c'est que MS avec son obscurité est plus troué que Linux avec
son ouverture.

Si la serrure de la porte de ta maison est nulle et qu'un voleur peut la
forcer en 30 secondes, il y a deux possibilités. Soit tu fous du chatterton
dessus pour la cacher d'un voleur, soit tu la changes pour une serrure plus
efficace qui va retarder le voleur pendant beaucoup plus longtemps.

L'avantage avec l'informatique, c'est que la serrure plus efficace ne coûte
pas plus chère que la serrure de merde.

Le problème avec le chatterton, c'est que ça va retarder un tout petit peu
le voleur, mais ça va aussi te retarder à chaque fois que tu voudras ouvrir
ou fermer ta porte.

C'est exactement la raison pour laquelle ne pas répondre à un ping est
idiot.
JKB
Le #23812181
Le Sun, 02 Oct 2011 10:00:54 +0200,
Stephane CARPENTIER
wrote:

Tout compte fait, cette technique semble assez bonne, pour autant
qu'elle contienne un zeste de réactivité

La stratégie de Microsoft serait donc la bonne Vs. celle de l'Open
Source qui consite à vouloir dévoiler toutes ces cartes



C'est beau la théorie, mais si elle n'est pas confrontée à la pratique, elle
n'est pas utile.

La pratique, c'est que MS avec son obscurité est plus troué que Linux avec
son ouverture.

Si la serrure de la porte de ta maison est nulle et qu'un voleur peut la
forcer en 30 secondes, il y a deux possibilités. Soit tu fous du chatterton
dessus pour la cacher d'un voleur, soit tu la changes pour une serrure plus
efficace qui va retarder le voleur pendant beaucoup plus longtemps.

L'avantage avec l'informatique, c'est que la serrure plus efficace ne coûte
pas plus chère que la serrure de merde.

Le problème avec le chatterton, c'est que ça va retarder un tout petit peu
le voleur, mais ça va aussi te retarder à chaque fois que tu voudras ouvrir
ou fermer ta porte.

C'est exactement la raison pour laquelle ne pas répondre à un ping est
idiot.



Oui, mais alors ça, pour le faire comprendre aux gens... Et lorsque
j'entends des spécialistes de la sécurité dire qu'il ne faut surtout
pas répondre aux pings, je dois dire que les bras m'en tombent ! Ce
qui est amusant, c'est que les mêmes types râlent lorsqu'il y a un
trou de MTU... Va comprendre...

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
Stephane CARPENTIER
Le #23812261
JKB wrote:

Le Sun, 02 Oct 2011 10:00:54 +0200,
Stephane CARPENTIER

Le problème avec le chatterton, c'est que ça va retarder un tout petit
peu le voleur, mais ça va aussi te retarder à chaque fois que tu voudras
ouvrir ou fermer ta porte.

C'est exactement la raison pour laquelle ne pas répondre à un ping est
idiot.



Oui, mais alors ça, pour le faire comprendre aux gens...



C'est pour ça que j'ai utilisé une analogie avec des mots simples. J'espère
qu'il sera capable de comprendre le lien entre les deux.

Et lorsque
j'entends des spécialistes de la sécurité dire qu'il ne faut surtout
pas répondre aux pings, je dois dire que les bras m'en tombent !



Je sais. Il y a plein de sites internet qui expliquent comment avoir l'air
invisible, ça n'aide pas. Les gens ne comprennent pas souvent les
implications de ce qu'ils font. Il ne faut pas donner trop d'infos, mais il
ne faut pas tout cacher non plus.
Gloops
Le #23812341
JKB a écrit, le 02/10/2011 10:27 :
Le Sun, 02 Oct 2011 10:00:54 +0200,
Stephane CARPENTIER
wrote:

Tout compte fait, cette technique semble assez bonne, pour autant
qu'elle contienne un zeste de réactivité

La stratégie de Microsoft serait donc la bonne Vs. celle de l'Op en
Source qui consite à vouloir dévoiler toutes ces cartes



C'est beau la théorie, mais si elle n'est pas confrontée à   la pratique, elle
n'est pas utile.

La pratique, c'est que MS avec son obscurité est plus troué que Linux avec
son ouverture.

Si la serrure de la porte de ta maison est nulle et qu'un voleur peut la
forcer en 30 secondes, il y a deux possibilités. Soit tu fous du chatterton
dessus pour la cacher d'un voleur, soit tu la changes pour une serrure plus
efficace qui va retarder le voleur pendant beaucoup plus longtemps.

L'avantage avec l'informatique, c'est que la serrure plus efficace ne coûte
pas plus chère que la serrure de merde.

Le problème avec le chatterton, c'est que ça va retarder un tout petit peu
le voleur, mais ça va aussi te retarder à chaque fois que tu voudras ouvrir
ou fermer ta porte.

C'est exactement la raison pour laquelle ne pas répondre à u n ping est
idiot.



Oui, mais alors ça, pour le faire comprendre aux gens... Et lorsq ue
j'entends des spécialistes de la sécurité dire qu'il ne faut surtout
pas répondre aux pings, je dois dire que les bras m'en tombent ! Ce
qui est amusant, c'est que les mêmes types râlent lorsqu'il y a un
trou de MTU... Va comprendre...



Bonjour,

C'est quoi, un trou de MTU ?

Et à propos, quel est le risque généré par la non-rà ©ponse à un ping ?
Nicolas George
Le #23812331
Gloops , dans le message
C'est quoi, un trou de MTU ?



Des paquets qui se perdent parce qu'il sont trop gros pour le câble où ils
doivent passer, et qui ne sont pas détectés par les mécanismes prévu
précisément pour ça.

Et à propos, quel est le risque généré par la non-réponse à un ping ?



Ne pas pouvoir détecter et diagnostiquer ce genre de problème, et donc se
retrouver avec des connexions qui se bloquent ou qui râment alors que les
protocoles réseau auraient optimisé la situation automatiquement.
NiKo
Le #23812321
Le 02/10/2011 01:09, P4nd1-P4nd4 a écrit :
Tout compte fait, cette technique semble assez bonne, pour autant
qu'elle contienne un zeste de réactivité

La stratégie de Microsoft serait donc la bonne Vs. celle de l'Open
Source qui consite à vouloir dévoiler toutes ces cartes




Serait ?

Comment cela ? En 20 années de productions de passwares, Microsoft ne
sait toujours pas si sa stratégie est la bonne ?

Un papier très intéressant est à découvrir ici

http://arxiv.org/PS_cache/arxiv/pdf/1109/1109.5542v1.pdf

(Mais faut pas avoir une attaque de paupière avant de commencer, sinon
vous serez achevé ;>)





Je n'ai qu'une chose à dire : C'est en anglais ...

--
Le mode sans échec de Windows est la preuve que son
mode normal est un échec !

SONY : It only does everything ... until we remove !
PS3 Firmware update 3.21 :
The first software update which downgrade !
Gloops
Le #23812461
Stephane CARPENTIER a écrit, le 02/10/2011 10:00 :
wrote:

Tout compte fait, cette technique semble assez bonne, pour autant
qu'elle contienne un zeste de réactivité

La stratégie de Microsoft serait donc la bonne Vs. celle de l'Open
Source qui consite à vouloir dévoiler toutes ces cartes



C'est beau la théorie, mais si elle n'est pas confrontée à la pra tique, elle
n'est pas utile.

La pratique, c'est que MS avec son obscurité est plus troué que Lin ux avec
son ouverture.

Si la serrure de la porte de ta maison est nulle et qu'un voleur peut l a
forcer en 30 secondes, il y a deux possibilités. Soit tu fous du chat terton
dessus pour la cacher d'un voleur, soit tu la changes pour une serrure plus
efficace qui va retarder le voleur pendant beaucoup plus longtemps.

L'avantage avec l'informatique, c'est que la serrure plus efficace ne c oûte
pas plus chère que la serrure de merde.

Le problème avec le chatterton, c'est que ça va retarder un tout pe tit peu
le voleur, mais ça va aussi te retarder à chaque fois que tu voudra s ouvrir
ou fermer ta porte.

C'est exactement la raison pour laquelle ne pas répondre à un ping est
idiot.



Pour le profane, la sécurité par l'obscurité consiste, en plus d'av oir
installé une porte blindée, à couvrir la porte et le mur d'un motif en
trompe-l'œil, reproduisant le trou de la serrure, de façon qu'il fail le
être bien informé pour savoir dans lequel de tous ces trous il convie nt
d'introduire la clef.

ça ne rend pas la serrure plus résistante, mais ça allonge le temps
qu'il faut pour la trouver.
Une serrure blindée est vendue pour prendre deux minutes (pour une trè s
bonne qualité) à la forcer. Si ça prend une demi-heure de la trouve r, ne
peut-on raisonnablement dire qu'on a amélioré la sécurité ?


Bien sûr, quand je dis deux minutes pour une serrure de bonne qualité ,
c'est pour un attaquant professionnel et indifférent aux conséquences de
ses actes.
Gloops
Le #23812451
Nicolas George a écrit, le 02/10/2011 11:27 :
Gloops , dans le message
C'est quoi, un trou de MTU ?



Des paquets qui se perdent parce qu'il sont trop gros pour le câbl e où ils
doivent passer, et qui ne sont pas détectés par les méca nismes prévu
précisément pour ça.

Et à propos, quel est le risque généré par la non- réponse à un ping ?



Ne pas pouvoir détecter et diagnostiquer ce genre de problème , et donc se
retrouver avec des connexions qui se bloquent ou qui râment alors que les
protocoles réseau auraient optimisé la situation automatiquem ent.



OK, merci.
Je ne suis pas sûr d'avoir saisi toutes les implications, mais ç a semble
se défendre.

Après il faut voir si ça balaie les objections de Kerckhoï¬ €s, mais ... je
dois avouer que je n'en suis qu'à la première page du document indiqué
en tête :)

Apparemment il faut s'accrocher un peu, peut-être est-ce pour ç a, pour
le moment l'apparence est que P4 ait laissé tomber sa figure de styl e
habituelle, consistant à fournir un document à l'appui d'une id ée
contraire à ce qu'il exprime.
yamo'
Le #23812501
Salut,

Gloops a tapoté, le 02/10/2011 11:55:
Une serrure blindée est vendue pour prendre deux minutes (pour une très
bonne qualité) à la forcer. Si ça prend une demi-heure de la trouver, ne
peut-on raisonnablement dire qu'on a amélioré la sécurité ?



Sauf pour ceux qui savent comment procéder. C'est par ce qu'une
information est cachée qu'elle n'est pas connue.


--
Stéphane


Louer les princes des vertus qu'ils n'ont pas,
c'est leur dire impunément des injures.
-+- François de La Rochefoucauld (1613-1680), Maximes 320 -+-
Gloops
Le #23812551
yamo' a écrit, le 02/10/2011 12:17 :
Salut,

Gloops a tapoté, le 02/10/2011 11:55:
Une serrure blindée est vendue pour prendre deux minutes (pour une t rès
bonne qualité) à la forcer. Si ça prend une demi-heure de la tro uver, ne
peut-on raisonnablement dire qu'on a amélioré la sécurité ?



Sauf pour ceux qui savent comment procéder. C'est par ce qu'une
information est cachée qu'elle n'est pas connue.





C'est vrai que ça ne va retarder que les moins informés.
Après tout, c'est peut-être déjà ça ?

Sauf, bien sûr, pour reprendre ce que disait Nicolas, si ça suscite u n
attroupement devant la porte et qu'on ne peut plus rentrer chez soi.
Publicité
Poster une réponse
Anonyme