Firewall en Open Source

[...]

Nicob
PS : Parmi les cauchemars du DSI, il y a aussi l'appli Web faite par un
stagiaire et donnant à l'attaquant un accès complet à la DMZ voire au
LAN (SQL-Injection, toussa ...).
Euh, d'une part il paraît surprenant que l'on continue à employer des

stagiaires de ce style (ie non encadré) dans un secteur sensible comme
un SI (certainement pour des raisons d'économie je suppose [*]),
d'autre part le rôle d'un stagiaire est d'apprendre pas de faire
n'importe quoi (voir l'article de Didier Cuidet ci-dessus à ce sujet).



[*] Là encore question de bon sens qui fait totalement partie de la
démarche sécurité : se lancer dans une politique de sécurité ambitieuse
avec force réunions, consultants, développements et tutti quanti et
négliger l'aspect stagiaire simplement pour une raison de coûts (ou
d'oubli) c'est d'une part ne pas suivre les méthodologies et standards
de management en vigueur (qui pilote cette stratégie ?) et d'autre part
c'est comme blinder sa porte d'entrée et laisser les fenêtres ouvertes
(ou, en se replaçant dans les années 90, installer un FW et laisser le
serveur de terminaux ouvert).

Même chose pour le WiFi : ce n'est pas parce que le DSI voisin en a
installé qu'il faut faire de même sans discernement et sans réfléchir !
Pourquoi ne pas installer une banderolle sur le fronton de l'entreprise
indiquant << le SI est ouvert tout l'été, bienvenu ! >>.
Groumpf !

--

Courriel : usenet blas net

Dominique Blas wrote:

Euh, d'une part c'est plus simple d'amener son Pc perso et d'empoisonner
le switch hein ?

Le Trusted Computing Group publie aussi un whitepaper
"Trusted Network Connect". J'imagine que ça revient en gros
à protéger une clé IPSEC avec le TPM dans le but d'exclure
tout PC qui n'a pas la bénédiction de l'administrateur.

Le risque: Un jour, AOL obligera ses clients à utiliser des PC
TCPA avec Windows XP Neuneu Edition ("C'est pour votre bien,
ça va réduire le problème du spam sur Internet").
Les autres FAI en feront autant un peu plus tard.

Ce n'est déjà pas le cas depuis 13 ans avec la carte bancaire et depuis
la même époque avec la SIM.

Comme tu le fais remarquer, je peux toujours payer en espèces
presque partout et téléphoner depuis des publiphones (il en reste
quelques uns).

De même, il faut que la CNIL ou une autre institution s'assure
que j'aurai toujours la possibilité de relire mes documents Word
et d'accéder à Internet sur un PC non TCPA.

AC

A. Caspis wrote:

De même, il faut que la CNIL ou une autre institution s'assure
que j'aurai toujours la possibilité de relire mes documents Word
et d'accéder à Internet sur un PC non TCPA.

Déja, la répression des fraudes. On ne le répète pas assez, mais TCPA ne
résoudra pas les problèmes de sécurité. Il ne fera qu'accentuer les
problèmes de monopoles de quelques gros éditeurs/constructeurs.

Voici ce qu'en dit par exemple Bruce Schneier (au sujet de Palladium
/TCPA) (<http://www.schneier.com/crypto-gram-0208.html>):

"Like everything else Microsoft produces, Pd [note: Palladium] will have
security holes large enough to drive a truck through. Lots of them. And
the ones that are in hardware will be much harder to fix." (..)

"Pay attention to the antitrust angle. I guarantee you that Microsoft
believes Pd is a way to extend its market share, not to increase
competition. "

C'est d'ailleurs l'un de ses seuls avantages: premettre d'introduire en
force des systèmes de contrôles (DRM) empêchant des concurrents
d'interférer, et ce dans plusieurs domaines (interdiction de lecture de
fichiers audio/vidéo sur du matériel non "certifié", par exemple, mais
aussi sur des documents bureautique, et pourquoi pas interdire à des
cartes réseau de communiquer avec du matériel non certifié ?)

On 12 Aug 2005 12:20:52 GMT, "A. Caspis" <a_caspis@yahoo.com>:

Le risque: Un jour, AOL obligera ses clients à utiliser des PC
TCPA avec Windows XP Neuneu Edition

C'est épatant, ce qu'AOL arrive à faire faire à ses clients. Le patron
d'AOL a dû prendre des cours au Vatican.

("C'est pour votre bien,

ça va réduire le problème du spam sur Internet").

Au point où ils en sont, ils feraient aussi bien d'interdire carrément
le courrier électronique. J'ai renoncé depuis un moment à mes
tentatives d'envoyer des emails à des adresses @aol.com.

Les autres

AOL n'est pas vraiment un FAI, même s'il y a des liens entre le réseau
AOL et Internet.

FAI en feront autant un peu plus tard.

Wanadoo, il y a des chances, effectivement.

Pour les autres, je suis plus dubitatif. Imposer ce genre de choses,
ça risque de faire perdre des clients. Il faudrait que Palladium leur
rapporte beaucoup plus que ce que ça peut leur faire perdre.

L'évolution actuelle de Free serait plutôt dans l'autre sens : on peut
brancher à peu près n'importe quelle machine sur la Freebox, du moment
qu'elle soit pourvue d'un port Ethernet et d'une couche IP.

Fabien LE LEZ wrote:

Ouais mais bon, dans cette catégorie, on n'est plus à quelques
milliers d'exemples près...

Exactement.
Mon point était que ce n'est pas parce que c'est l'Aéronautique et qu'ils
utilisent du BCPL ou du COBOL sur cartes perforées que leur choix de langage est
LE bon choix à suivre.

Ce qui fait que ça fonctionne, c'est la redondance, et la quantité énorme de
tests. Quand ces tests sont écourtés pour économie ou transférés à un copain par
politique, ça merde, comme dans n'importe quel domaine.

Laurent

Erwann Abalea wrote:

avec à tout moment la
possibilité pour le "propriétaire" de la machine (comprendre celui qui
peut la faire rebooter et activer une séquence de touches au boot) de
supprimer toutes les clés qui y sont contenues pour générer les siennes
(la fonction de l'API s'appelle takeOwnership, si je me souviens bien).

En lisant les specs, on voit que même TPM_ForceClear n'efface pas
*toutes* les clés. EK (Endorsement Key) est indélébile.

"The clear functionality performs the following tasks: (...)
All TPM volatile and non-volatile data is set to default value
except the endorsement key pair."
(TCPA Main Specification version 1.1b)

"The TPM has the EK generated before the end customer receives
the platform. The entity that causes EK generation is also the
entity that will create a credential attesting to the validity of
the TPM and the EK."
(TPM Design Principles version 1.2)

En bref, EK n'est contrôlé ni par l'utilisateur physique, ni par
le propriétaire légal. Et le TPM ne sert pas à grand chose sans
son Endorsement Certificate (c'est à dire PubEK signé par le
constructeur).

Soit dit en passant, PubEK peut être utilisé comme un identifiant
unique de la machine, comme le défunt PSN d'Intel. Sauf si tous
les TPM du monde, ou d'un même lot de fabrication, contiennent la
même clé EK, mais c'est peu probable.

TCPA serait parfaitement acceptable si le propriétaire légal du
PC avait le contrôle de EK. Le DSI pourrait alors acheter un PC,
utiliser le Endorsement Certificate d'origine pour s'assurer que
son TPM n'est pas contrefait ou révoqué, puis générer un nouveau
EK et le déclarer dans son infrastructure réseau.
Pourquoi TCPA ne permet-il pas cela ?

Mme Michu mérite peut-être d'être mise sous tutelle numérique
avec TCPA parce qu'elle n'est pas capable de protéger ses clés
elle-même. TCPA dit que le DSI d'une grande entreprise ne vaut
pas mieux. A cause des seules applications de DRM, évidemment.

AC

A. Caspis wrote:
[snip informations intéressantes]

En bref, EK n'est contrôlé ni par l'utilisateur physique, ni par
le propriétaire légal. Et le TPM ne sert pas à grand chose sans
son Endorsement Certificate (c'est à dire PubEK signé par le
constructeur).

Je ne veux pas tomber trop dans le légalisme, mais:
s'il s'agit d'un logiciel, même intégrée en firmware, est-ce que le propriétaire
légal n'est pas effectivement l'éditeur du logiciel, qui a simplement accordé
une licence d'utilisation, soumise à un contrat et bien entendu, révocable?

Si c'est le cas, c'est logique: la seule partie réellement achetée est le tas de
silicium impur et métaux divers.

La partie logicielle, même profondément implantée dans ce silicium, sera
probablement soumise à un contrat de licence.
Lequel accordera explicitement à une dex deux parties et ses partenaires un
accès complet à ce logiciel.
Si l'autre partie n'est pas satisfaite de ce contrat, elle sera certainement
libre de le refuser, en détruisant toutes les copies du logiciel concerné, et
restera propriétaire d'un tas de silicium un peu moins utile.

Un exemple de ce type d'accord, que j'utilise: les modems des opérateurs de
câble, même achetés par l'utilisateur, restent sous le contrôle exclusif de
l'opérateur. C'est lui qui contrôle leur configuration logicielle, pas le
propriétaire du boîtier (qui n'en a d'ailleurs pas les moyens techniques, sauf à
acheter un bidule fabriqué en Russie pour accéder à la console du modem).

Laurent

Fabien LE LEZ wrote:

Mais ADA est-il "sûr" en termes de réduction des possibilités
d'erreurs de bonne foi ?

Bof franchement à part dans sa gestion des pointeurs (très strict), et
l'absence d'alloc dynamique (ramasse-miettes) ça m'as pas semblé
beaucoup plus sûr que du c++ utilisé avec les tableaux de la STL
(std::vector quoi).

En gros si tu veux faire des bêtises tu peux les faire, par contre c'est
assez chiant : il y a plein de mots clés à ajouter pour faire sauter les
protections.

Par contre si tu bricoles pas trop, que tu codes avec tes mains et pas
avec tes pieds, quelques petites erreurs d'inattention (genre indice de
tableau dépassé, dereferencage(?) de pointeur pas alloué....) te seront
peut-être évitées.
Dernier truc positif, les compilos Ada (du moin gnat) sont très très
précis au niveau de la nature des erreurs de compil'. C'est assez agréable.

Laurent Blume wrote:

La partie logicielle, même profondément implantée dans ce silicium, sera
probablement soumise à un contrat de licence.

Je n'ai jamais signé de contrat pour le fimware de mon
processeur, de ma carte graphique ou de mon freinage ABS.
Et ça ne dérange personne, parce que les licences correspondantes
sont probablement très raisonnables.

Mais si l'on commence à parler de licences à durée limitée,
ou révocables à distance par une infrastructure de DRM, les
juristes vont devoir préciser les conditions de validité des
contrats non signés. Et dans tous les domaines, dès qu'il y a
risque d'abus ou de monopoles, la loi réglemente la forme des
contrats, et définit des droits positifs qui ne peuvent pas
être enlevés au client (d'où la notion de clauses abusives).

Un exemple de ce type d'accord, que j'utilise: les modems des opérateurs de
câble, même achetés par l'utilisateur, restent sous le contrôle exclusif de
l'opérateur.

De même les cartes SIM et bancaires restent la propriété des
banques et opérateurs GSM, et leur usage est soumis à des
clauses détaillées dans des contrats signés.

Mais il ne faudrait pas que, sous prétexte que l'on intègre
maintenant le token crypto à la carte mère, les éditeurs de
logiciels et de contenus puissent eux aussi imposer, par un
moyen technique (TCPA), des conditions d'utilisation arbitraires
que les pouvoirs publics auraient jugées abusives si elles
étaient formalisées dans un contrat signé.

Si votre contrat de porteur de carte bancaire est équilibré,
c'est probablement parce que les banques ne sont pas libres
d'y mettre tout ce qu'elles voudraient.

Une proposision: Si Microsoft et Disney demandent à avoir un
contrôle total sur les logiciels que j'utilise, et m'empêchent
par des moyens cryptographiques d'examiner le fonctionnement et
la sécurité de ces logiciels (alors que la loi m'y autorise),
ne devraient-ils pas, en contrepartie, être responsables de ce
que mon ordinateur fait sur Internet, dans certaines
circonstances ?

AC

On 14 Aug 2005 14:09:42 GMT, "A. Caspis" <a_caspis@yahoo.com>:

Mais si l'on commence à parler de licences à durée limitée,
ou révocables à distance par une infrastructure de DRM,

Ça me fait vaguement penser au système "anti-piratage" de Windows XP,
ça...

Une proposision: Si Microsoft et Disney demandent à avoir un
contrôle total sur les logiciels que j'utilise, [...]
ne devraient-ils pas, en contrepartie, être responsables de ce
que mon ordinateur fait sur Internet, dans certaines
circonstances ?

Hé hé... ça serait effectivement marrant de voir les tonnes de procès
contre Microsoft dès que les premières failles de Palladium seront
exploitées pour tenter un DDoS.