Annonce d'un site perso d'un RSSI sur la SSI

Le
nicolas
Bonsoir,

Je suis nicolas chazot, Nîmes, RSSI pour un ministère.
J'ai fait un site de type perso (free.fr), 1 an de maturité.
Si annonce sur f.c.comp possible (suite disparition f.c.i.w.annonces),
merci, sinon désolé pour la perte de temps.

<url:http://nicolas.chazot.free.fr/>
Sur free.fr
webmaster : 3sip@free.fr nicolas chazot
Site personnel

Centre d'intérêt du site :

Site clairement orienté vers le grand public, didactique et qui essaye
de donner une vision globale de la ssi.
Tous les aspects de la ssi sont abordés avec un mélange de théorie et
d'exemple pratique.
Renvois vers plusieurs sites de test (mot de passe, firewall, etc.)
Nombreux liens vers sites sur le sujet.
Documents de fond téléchargeables au format PDF sous licence GNU-FDL.
Accessible aux non voyants (lynx + WAI-A)

Renseignements techniques :

Conformité XHTML 1.0 et CSS2.
Usage Dublin Core et classification UDC.
Site fourni sous licence GNU-FDL.
Scrits text/javascripts, non fondamentaux.
Pas de cookie, pas d'actives X.
2 pages en pop-up (nouvelles et annuaires)
1 page avec iframe (avertissement donné avant ouverture).
Lynxable (peut être amélioré)
Site statique.
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le Prefet
Le #563189
"nicolas" news:4081b488$0$26431$
Bonsoir,

Je suis nicolas chazot, Nîmes, RSSI pour un ministère.
J'ai fait un site de type perso (free.fr), 1 an de maturité.
Si annonce sur f.c.comp possible (suite disparition f.c.i.w.annonces),
merci, sinon désolé pour la perte de temps.

Sur free.fr
webmaster : nicolas chazot
Site personnel


Bonjour,
Bravo pour ce site très clair et intéressant, mais trop peu connu ( le livre
d'or en témoigne).
Un seul défaut, être sur les pages perso de Free, donc lenteur des
chargements.
Amicalement
Jacques

fabrice.bacchella
Le #575080
On 18 Apr 2004 12:55:48 GMT, Le Prefet
"nicolas" news:4081b488$0$26431$
Bonsoir,

Je suis nicolas chazot, Nîmes, RSSI pour un ministère.
J'ai fait un site de type perso (free.fr), 1 an de maturité.
Si annonce sur f.c.comp possible (suite disparition
f.c.i.w.annonces),


merci, sinon désolé pour la perte de temps.

Sur free.fr
webmaster : nicolas chazot
Site personnel


Bonjour,
Bravo pour ce site très clair et intéressant, mais trop peu connu (
le livre

d'or en témoigne).
Un seul défaut, être sur les pages perso de Free, donc lenteur des
chargements.
Amicalement
Jacques


Bof, ce site est plus riche en perles qu'un élevage d'huitres
perlières.

Voici une première récoltes.

Le chiffrement dit asysmétrique par exemple, repose sur le théorème
de

FERMAT-WILLES , que la communauté des mathématiciens a mis 3 siècles
à

démontrer (1637-1994) et la démonstration n'est elle-même
intellectuellement

accessible qu'à un nombre très restreint de cerveaux et votre
serviteur n'est

pas membre de cette élite !


Vous confondez le petit & le grand théorème de Fermat. Et le petit ne
sert qu'a tester la primalité d'un nombre.

Les trois principaux sont X400, MIME (Multipurpose Internet Mail
Extension-

RFC 1521) et SMTP (Single Mail Transfert Protocol- RFC 821 & 822).


MIME n'est pas un protocole de messagerie, mais d'enrichissement de
message.

Une des solutions passe aujourd'hui par IPSec , pour Ip Security
Protocol.

Mais cette solution nécessite de changer tous les élements physiques
actifs de

tous les sous-réseaux d'internet.

Non, seul l'émetteur & la source sont concernés & encore pas toujours,

des noeuds intermédiaire peuvent convenir. C'est IPv6 qui demande
beaucoup de boulot.

La version 6 d'IP, qui remplacera l'actuelle version 4 (mais où est
passée la

5 ?)
Elle n'a jamais existé. IPv5 est en réalité le ST Datagram Mode, cf

http://www.iana.org/assignments/version-numbers

En effet, avant Microsoft il n'y avait pas de virus , ni de trojan ni
de vers

et aujourd'hui encore sur les systèmes non Microsoft il n'y en a pas,
ou

presque.
Il n'y avait pas non plus d'informatique de masse. Mais cependant l'un

des tout premiers vers connus s'est propagé via Sendmail.

Toutefois, une RFC n'est pas une norme ISO
Ben heureusement, sinon on les appelerait des normes ISO. Mais quelle

est la différence ?

L'usage individuel de la messagerie est codifié depuis longtemps par
la RFC

1855 qui date de 1995.


La RFC 1855 est de catégorie Informational, elle ne codifie donc rien.

Un cookie n'est rien d'autre qu'un petit fichier texte dont le
contenu est

normalisé, écrit sur votre disque dur.
Non, il n'est écrit que s'il s'agit d'un cookie avec une durée de vie

dépassant la session courante.

Certes, mais lorsqu'un site demande un mot de passe à ses abonnés pour les
diriger vers les promotions ou un forum réservé, comment conserver le
login

dans un protocole sans session ?
Mauvaise exemple, c'est faisable sans.


L'avènement de la version 1.1 du HTTP permet théoriquement de faire
du http en

session et donc de se passer de cookie,
Non, il permet juste de réutiliser la même connexion TCP pour

plusieurs requêtes HTTP. C'est encore très loin de la notion de
session.

Internet repose également sur le HTTP, Hyper Text Transfert Protocol
c'est à

dire protocole de transfert d'hypertexte.
Éventuellement le succès d'Internet, mais il a existé avant comme vous

le dites vous-même.

Les Fournisseurs d'Accès à Internet (FAI) authentifient leurs abonnés
par le

numéro de téléphone et un mot de passe. Dans ce dernier cas, la
première

sécurité passe par l'utilisation d'un numéro de téléphone inscrit sur
liste

rouge.
Manifestement, vous n'êtes pas abonné à un FAI.


algorythmes
Snob & erroné.


Ces deux algorythmes calculent une valeur exprimée en lettres et
chiffres

(notation hexadécimale)
Ils calculent une valeur qui peut être affiché en binaire, décimal,

hexa, base 15...

En réalité, le dernier point des qualités de ces méthodes est
théorique, il

s'agit d'obtenir la plus faible probabilité de collision, c'est à
dire de

découverte de deux fichiers renvoyant une empreinte identique.
La probabilité ne dépend que de la taille de la valeur de la fonction

de hachage, pourvu qu'elle soit correcte. Par contre, il ne faut pas
qu'il soit facile de provoquer une collision.

La séparation administrateur/utilisateur est plus poussée sous Linux,
là il

n'y a que ROOT qui compte, les autres USERS sont des exécutants purs.
Je pense que vous devriez creuser un peu plus le modèle de sécurité

Windows. Un indice : il y a plus fort qu'Administrateur.

Malheureusement pour la sécurité, il est tout à fait possible
d'établir une

connexion entre votre ordinateur est une machine distante, sans
utiliser une

liaison TCP/IP visible qui apparaisse pour netstat ou d'autre outils.
Par télépathie ?


Le binôme HTTP-HTML est un concept multifonction, à savoir :

1. Fonction protocole de transfert des données d'un serveur web vers
l'ordinateur du particulier qui accède à un site et vice versa
C'est HTTP

2. Fonction de langage d'interprétation sur votre machine qui transforme
les lignes de code en affichage graphique interactif (texte, images,
boutons

et menus des pages web) par l'intermédiaire d'un interpréteur de
commande, à

savoir le navigateur internet
C'est HTML

3. Fonction d'appel à des langage tiers lorsque par exemple une page web
contient un morceau de langage PHP afin d'interroger une base de
donnée MySQL

présente sur le serveur distant.
Ni l'un ni l'autre, c'est dans le serveur & FTP ou POP peuvent

fonctionner de la même façon.
4. Fonction pervertie : encapsulation de protocole divers, dont TCP/IP,
c'est à dire la possibilité de cacher dans le HTTP, théoriquement
réservé à la

navigation web, le vecteur de transfert d'autre information que du HTML.
HTTP encapsule des " truc ", donc pourquoi pas effectivement des

paquets IP.

Le HTML peut contenir, en dehors des cookies, comme instruction de
langage, du

Javascript, du VBscript, du Java, du PHP, de l'ASP, du CGI, de
l'ActiveX, du

PERL (j'en oublie peut être...). Il peut aussi contenir de simples
instructions pour télécharger des fichiers ou des programmes.
Pas de cookie dans HTML, mais uniquement dans HTTP. Pas non plus de

Java, de PHP, d'ASP, de CGI ou de PERL.

C'est tout l'art de la translation d'adresse en réseau d'entreprise
sous IP

ainsi que pour le particulier équipé en ADSL avec une carte Ethernet,
un modem

ADSL et un routeur.
Et deux PC, sinon, ç'est du masochisme.


Ce sont ici surtout des détails, sur le fond beaucoup de cliché
anti-Microsoft, anti logiciel payant.
Vous parlez de PGP mais pas de SMIME. Vous parlez de certificat sans
faire la distinction entre le modèle hiérarchique X.509 & décentralisé
PGP.
Il y encore plein d'autres choses mais qui nous emmèneraient trop
loin.


Cedric Blancher
Le #575079
Quelques remarques par rapport à ce que tu viens de dire...

Le Tue, 20 Apr 2004 21:36:11 +0000, Fabrice Bacchella a écrit :
Bof, ce site est plus riche en perles qu'un élevage d'huitres
perlières.


En effet, mais bon, autant ne pas trop en rajouter...

En effet, avant Microsoft il n'y avait pas de virus , ni de trojan ni
de vers et aujourd'hui encore sur les systèmes non Microsoft il n'y en
a pas, ou presque.
Il n'y avait pas non plus d'informatique de masse. Mais cependant l'un

des tout premiers vers connus s'est propagé via Sendmail.


Il pourrait avoir été judicieux de citer le ver de Morris, datant de
1988, premier ver connu de l'histoire de l'informatique, qui s'est
allègrement propagé sous Unix, sans aucune aide de Microsoft.

http://www.snowplow.org/tom/worm/worm.html

L'avènement de la version 1.1 du HTTP permet théoriquement de faire
du http en session et donc de se passer de cookie,
Non, il permet juste de réutiliser la même connexion TCP pour

plusieurs requêtes HTTP.


Il introduit en outre un certains nombre de paramètres supplémentaire,
dont le champ host par exemple, qui permet de faire du virtual host ou du
proxy transparent.

Les Fournisseurs d'Accès à Internet (FAI) authentifient leurs
abonnés par le numéro de téléphone et un mot de passe. Dans ce
dernier cas, la première sécurité passe par l'utilisation d'un
numéro de téléphone inscrit sur liste rouge.



Jolie celle-là.

La probabilité ne dépend que de la taille de la valeur de la fonction
de hachage, pourvu qu'elle soit correcte.


Pas que.
Elle dépend aussi de la qualité de la fonction de hashage, comme tu le
sous-entend toi-même par le "pourvu qu'elle soit correcte".

Malheureusement pour la sécurité, il est tout à fait possible
d'établir une connexion entre votre ordinateur est une machine
distante, sans utiliser une liaison TCP/IP visible qui apparaisse pour
netstat ou d'autre outils.
Par télépathie ?



Non, mais par mécanisme de bypass de la couche IP de la machine. C'est le
concept de backdoor furtive qui repose sur la capture et l'injection de
paquets au niveau 2 permettant à l'attaquant de communiquer sans que ça
se voit dans le netstat. Cependant, cela demande l'utilisation d'outils
spécifiques. C'est ce qui est expliqué juste après. Mais cependant,
peut-on parler de connexion ?

C'est tout l'art de la translation d'adresse en réseau d'entreprise



En français de la France, on dit "traduction de d'adresse". Parce que le
mot "translation" de la langue de Shakespeare se traduit en langue de
Molière par "traduire". En plus, le concept de translation me paraît
difficilement applicable aux objets considérés, mais bon...


Sinon, dans le contexte purement intellectuel :

Le fait que ces protocoles soient libres signifie que tout le monde peut
les utiliser, mais aussi que tout détournement malfaisant des
possibilités est facilité par la disponibilité des sources des
programmes et des algorithmes.


Cela signifie aussi que tout le monde peut les étudier pour en améliorer
la sécurité. C'est un peu le problème du revers de la médaille, mais
l'expérience semble montrer en terme de sécurité qu'on gagne plus à
ouvrir les protocoles qu'à les fermer.

Un système ouvert est plus vulnérable qu'un système protégé, même
s'il est, sur la longue durée, plus performant et plus structurant
parce que techniquement et économiquement fédérateur.


D'abord, qu'est-ce qui empêche un système ouvert d'être sécurisé ? Le
contraire d'un système ouvert est un système fermé. Un distribution
Debian GNU/Linux est un système ouvert alors qu'un Windows est un
système fermé. Or il est clair qu'on peut atteindre des niveaux de
sécurité avec ce système ouvert qui dépassent largement ce qui est
fourni avec Windows, ne serait-ce qu'en utilisant GrSecurity par exemple
(c'est d'ailleurs reconnu par l'auteur dans ses pages).


Et la Perlouze... Je vois aussi que l'auteur possédait tu TO6. Je pense
qu'il devrait le garder précieusement, c'est clairement un collector ou
un prototype... Un MO6, je veux bien, un TO7 aussi, mais un TO6...

http://www.silicium.org/france/france.htm


--
SP: Ben il met une icône à la Poubelle, croyant y mettre une appli alors
qu'en fait il y met tout un dossier. Non ?
GG: (...) c'est pas plutôt il désinstalle(...)ta partition complète ?
-+- GG in Guide du Macounet Pervers : OSX, OS 8.5 même combat? -+-


nicolas
Le #569700
Cedric Blancher wrote:

Quelques remarques par rapport à ce que tu viens de dire...


Bonsoir,


Auteur du site je dit ceci :

1/ Site grand public, par pour cuisine d'expert (je suis RSSI, pas
expert des tables Mangle ni admin réseau).

2/ Site grand public = pédagogie, donc réduction des concepts vers
l'essentiel si besoin. (il faut savoir ne pas aller trop loin justement)

3/ Site grand public = nécessaire qualité des informations fournies.

4/ Les documents du site sont placés sous licence gnu-fdl, cela signifie
que l'auteur considére leur contenu comme perfectible, et qu'il n'est
pas le seul capable de les terminer ou compléter.

5/ Site publié ici pour obtenir avis et conseils, par pour devenir riche
et célèbre (beau c'est fait, merci), voir point 3/ et 4/ pour les motifs
de cette exigence de qualité.

6/ Vos remarques sur les erreurs, imprécisions et mauvaises tournures de
phrase ont d'ores et déjà été prise en compte, sauf fatigue à 01:54h.
Merci pour votre lecture attentive.

7/ Si je me suis trompé de lieu pour aide et avis, j'en suis désolé pour
la perte de temps.

8/ Combien de site en français ont une approche GLOBALE et didactique
vers le grand public qui mange du Klez ?

Et la Perlouze... Je vois aussi que l'auteur possédait tu TO6. Je pense
qu'il devrait le garder précieusement, c'est clairement un collector ou
un prototype... Un MO6, je veux bien, un TO7 aussi, mais un TO6...


C'est très grave, j'ai demandé à la DST de faire une enquète sur cette
erreur de frappe non vue à la relecture, 6 pour 7, ne serais-ce pas un
nouveau chiffrement secret ?

;)

totoy81
Le #569482
8/ Combien de site en français ont une approche GLOBALE et didactique
vers le grand public qui mange du Klez ?


Hmm. Le site a une approche résolument "end user", et ca ne ressort
pas assez dans l'introduction. Par contre, je ne suis pas d'accord
quand tu dis sur le site que c'est la sécurité "globale" de la
securite des SI que tu présentes. Après une bréve introduction, le
site traite de thèmes tels que les anti-virus, les mots de passe, les
browsers Web...La sécurité, c'est tellement plus vaste. En tant que
RSSI, tu n'as peut être pas à être un expert dans chacun des domaines,
mais j'ai l'impression que ta vision de la sécurité informatique est
relativement réductrice, comme moulée par le discours marketing de tas
de sociétés d'edition ou de services (et je sais de quoi je parle).
Pour un site qui se veut didactique, je pense que le recadrement doit
être plus efficace, pour qu'on sache simplement que "ce site est
destiné à monsieur lambda qui veut quelques notions de base et
quelques manips pratiques pour l'aider à sécuriser un peu plus son
poste utilisateur".

Quant au contenu technique, je choisis un passage au hasard :

Ce passage se trouve dans une rubrique intitulée "Durcissement noyau".
En réalite, ce que tu écris est, même si je comprends le besoin de
simplification, source d'erreur d'appréciation.

"Sous Linux, une installation à la carte du noyau et des modules est
tout à fait réalisable, sans fioritures, ce qui permet de fermer le
système vis à vis des possiblités d'exploitation de failles."

Je ne pense pas que quand on installe un lkm pour son driver Ethernet,
la considération première est la sécurité, mais il s'agit d'une
_fonctionnalité_ (même si toute fonctionnalité peut avoir son
corrollaire sécuritaire). En revanche, définir un noyau monolithique
(ne permettant pas de définition des modules, incluant la compilation
des modules nécessaire dans le noyau) pour se protéger (quoique pas
suffisant, cf phrack 58 - texte 7), peut être une étape dans
l'"anti-backdooring LKM"

Le durcissement à proprement parler du noyau serait plus l'application
de patchs tels que OpenWall,Pax ou GrSecurity, qui renforce le noyau
de plusieurs façons,entre autres:

- renforcement des mises en cage (chroot)
- protection des zones mémoires
- modification de certains syscalls
- "randomizations" diverses (PID,TTL,mmap)
- ...

PaX est peut être une des modifications les plus "brutales", ce qui
donne amha un exemple de ce que peut être une mesure de durcissement
noyau : les pages mémoires x86 en lecture n'ont plus implicitement le
droit en éxécution.

Je vois d'ici la réponse : c'est un site grand public, et des
informations techniques d'un certain niveau n'ont rien à y faire. Mais
pour pouvoir simplifier, il faut que tu fasses derriere le travail
d'approfondissement technique, qui te permette d'éviter les eccueils
dans tes simplifications.

Publicité
Poster une réponse
Anonyme