firewall sous linux - debutant

On 11 Sep 2003 12:36:38 GMT, Stephane Catteau wrote:

Sur la passerelle tournent quelques services ainsi que le pare-feu.

Et évidement tu es sûr à mille pourcent que ton filte IP ne tombera
jamais à cause, par exemple, d'une faiblesse face à certains paquets
malformés.

Et toi, es-tu sûr à cent-pour-cent de la fiabilité des logiciels,
systèmes et réseaux que tu installes et configures ? Si tu me réponds
non, je ne vois pas l'intérêt de ta question. Je n'ose imaginer le cas
contraire.
Même si le firewall est séparé des services, on peut imaginer la
possibilité de flux Internet->DMZ par les faiblesses que tu cites, et
de là trouer les services de la DMZ. En prenant le contrôle de certains
services, même sans prendre le contrôle du firewall en lui-même, on peut
imaginer plein de trucs drôles, genre changer la config DNS pour
rediriger les mise-à-jour automatiques de Windows, Debian ou autre vers
une autre machine, histoire d'installer un bon vieux trojan sur quelques
machines du réseau interne.

Le pare-feu refuse tout flux entrant venant d'Internet.

Ce qui ne l'empèche pas d'être obligé de traité tout le flux entrant,
et d'être donc potentiellement vulnérable.

Certes. C'est bien d'être parano en sécurité, mais comme le risque 0
n'existe pas, il faut bien faire à un moment confiance à quelque chose,
ou du moins accepter le risque associé, sinon on n'implemente jamais
rien.

Si l'on fait confiance aux utilisateurs ( ce qui est à priori le
cas d'un reseau domestique ), je trouve la sécurité suffisante.

Voilà... Votre problème, à deadcow et à toi, c'est que vous raisonnez
en partant de la situation idéale.

Euh... Entre faire confiance à des utilisateurs très bien connus dans un
environnement très restreint et mettre en pature un service ( HTTP ou
autre ) sur Internet, il y a une marge quand même. Je dirai même que
cela n'a rien à voir.

Pour lui c'était "Les failles d'un serveur HTTP ne sont pas
dangeureuse pour le système", oubliant que ce n'est pas le cas des
scripts qui tourneront sur ce serveur, qu'il suffit d'une mauvaise
configuration pour qu'un serveur HTTP puisse être nefaste

Entierement d'accord.

Quant à toi, tes deux utopies sont dans ce message. Le filtre IP
resistera à tout, et les utilisateurs sont de confiance. Evidement
qu'ils sont de confiance les utilisateurs d'un réseau domestique,
jamais, au grand jamais, mon fils n'attrapera le virus de

Le tien, je sais pas, mais le mien ça ne risque pas - je n'en ai pas :)
Tu extrapoles de toute manière. Tu prends un exemple typiquement à
risque.
Et je dis que les utilisateurs en question sont mes grands-parents de 80
ans s'initiant à l'informatique et habitant une chambre de mon appart,
j'extrapole dans l'autre sens, on voit que le risque change complétement
et que cela n'a aucun sens.
De plus, si ton fils de 15 ans arrive à pirater directement tes serveurs
configurés correctement sans signe avant coureurs ( activité et
comportements bizarres, logs, plantages, reboots... ), hé bien chapeau,
il a un grand avenir.

l'informatique et jamais, au grand jamais, il ne lui viendra à l'idée
de tester la sécurité de ma passerelle-filtrante en essayant de la
trouer ou, pire, d'essayer d'améliorer sa configuration parce qu'à
quinze ans[1] il s'y connait forcément mieux que moi...

Euh... Je suppose que si tu devais faire un réseau domestique, tu
mettrais les 2 machines ( minimum : firewall+services) dans un endroit
verrouillé, avec un code changeant à chaque ouverture selon une séquence
connue par toi seul et qui n'est que dans ta propre tête.
Une clé est si vite volée, surtout quand on abrite les pirates sous son
propre toit ! Et ne parlons pas d'un simple code.

Il y a certes sur ce groupe des participants pour lesquels la sécurité
informatique est avant tout professionelle, mais il y a aussi des
particuliers.

Tout comme les professionels font des compromis [1], les particuliers en
font aussi. Les mesures de chacun sont en proportion avec les risques.

Il y a toujours dans le monde quelqu'un de plus parano que toi qui
considerera inacceptables les compromis que tu fais. [2]


[1] car la sécurité 100% n'existe pas et qu'il faut bien néanmoins
mettre à disposition des machines et des réseaux

[2] sûrement car son environnement n'est pas le même : défence, armée,
nucléaire, ...

--
Olivier

Bonjour,

Tu dis toi-même pas de serveur, donc pas de serveur NFS non plus :)
En entreprise, tu risques d'avoir en plus des problèmes de
disponibilité. Si la machine tombe en carafe, tu perds à la fois le
disque de partage et la connexion, gênant doublement les utilisateurs.

Je crois que j'ai bien compris le mot de la fin de ce thread
tres interessant, du moins pour moi.
Tout est affaire de compromis.
Et evidemment, securiser un petit reseau domestique avec peu de moyen
financier, ne se compare pas avec la securisation d'un grand reseau
d'une entreprise avec plus de besoin, plus de moyen aussi ......

Merci dans tous les cas de vos divers avis.
J.C

(http://blabla.tld/../../../../../../../etc/ipf.rules),
Un peu caricatural mais je vois le principe =)

Pas tant que ça. Il y a eu un moment où une société (qui a tenu a
conserver l'anonymat) permettait un accès à sa racine (avec des
privilèges limités, genre user nobody, mais accès à pas mal de logs
quand même), et une URL du style http://www.conforama.com/etc/passwd
renvoyait le /etc/passwd de la machine. Joli, non ? Je ne sais pas, par
contre, comment ils ont pu en arriver là (je crois que le serveur était
un OneWeb).

pierre

--
Pierre LALET
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E

Olivier Croquette nous disait récement dans fr.comp.securite
<news:9384140330747388.NC-1.48.ocroquette@news.free.fr> :

On 11 Sep 2003 12:36:38 GMT, Stephane Catteau wrote:

Sur la passerelle tournent quelques services ainsi que le
pare-feu.
Et évidement tu es sûr à mille pourcent que ton filte IP ne tombera

jamais à cause, par exemple, d'une faiblesse face à certains paquets
malformés.

Et toi, es-tu sûr à cent-pour-cent de la fiabilité des logiciels,
systèmes et réseaux que tu installes et configures ?

Non, personne ne peut en être sûr à cent pourcents

Si tu me réponds non, je ne vois pas l'intérêt de ta question.

C'est pourtant simple, comme je n'en suis pas sûr à cent pourcents
j'évite de tenter le sort en multipliant les risques. Un poste un (type
de) service. De cette façon s'il y a effectivement une faille sur tel
ou tel logiciel (ce qui arrivera un jour ou l'autre), et qu'elle est
exploitée, seul la machine faisant tourné ce logiciel sera impactée, et
seul ce logiciel en fera les frais, puisque les autres sont à l'abris
ailleurs.
Seul cas particulier, la passerelle-filtrante qui, de part sa position
centrale, ouvre l'accès à tous le réseau. D'où l'importance de ne pas
faire tourner d'autres services, ce qui impliquerait d'autoriser les
connexions de/vers la passerelle, et offrirait une porte de sortie à
l'attaquant. Certes, dans la mesure où il a pris la passerelle, il
pourra modifier les règles de filtrage pour en sortir, mais cela ne se
fera pas sans trace, et comme tu as pensé à faire un controle régulier
des règles de filtrage, tu t'en rendras compte dans l'heure qui suit et
pourra prendre les mesures qui s'imposent.

[...] En prenant le contrôle de certains services, même sans prendre
le contrôle du firewall en lui-même, on peut imaginer plein de trucs
drôles, genre changer la config DNS [...]

La sécurisation d'une réseau ne se résume pas à la mise en place d'un
filtre IP et à une bonne configuration des services qui tournent sur
telle ou telle machine. Il faut aussi controler les logs et
l'intégritées des binaires et fichiers de configurations. Dans le cas
présent, un controle journalier des enregistrements sensibles du DNS
(windowsupdate dans ton exemple) me semble le minimum vital. Ca
n'empèchera pas la compromission des postes ayant utilisé Windows
Update dans la période située entre la modification de l'enregistrement
et sa correction, mais en recoupant avec les logs on trouvera les
machines concernées, et l'on sera donc en mesure de juguler l'attaque,
en commençant par isoler les machines concernées.
Qui plus est, l'attaque que tu décris ne vise pas un petit réseau,
puisqu'elle nécessite la compromission préalable d'une autre machine
située dans le vaste monde, pour servir de faux serveur WindowsUpdate.

[...] histoire d'installer un bon vieux trojan sur quelques machines
du réseau interne.

Comme tu n'as pas pris le controle du firewall, ton trojan ne te
serviras pas à grand chose. Si tu l'installe sur une poste de travail
tu ne pourras jamais y accéder, car le firewall bloque l'accès aux
ports de cette machine, *même* depuis la DMZ (sinon à quoi bon mettre
une DMZ ?). Si tu l'installe sur une machine serveur, il faudra que tu
le fasse en lieu et place d'un service légitime dont le trafic est
autorisé à traverser le firewall. Il faudra donc que tu écrives
toi-même le trojan pour qu'il commence par arrêter le-dit service
légitime, et que tu ais la chance que personne ne veuille l'utiliser
avant que tu n'es fini l'attaque. Autrement le trojan sera découvert et
on revient au point de départ.
De plus, pour l'installer sur une machine serveur, il faut que tu
tombes sur un admin' qui fait confiance à son DNS pour fournir
l'adresse de windowsupdate (avec tous les risques que cela implique, et
dont tu viens de faire une courte description), et que cet admin fasse
les mises à jours à l'aveugle sans vérifier ce qui a été fait et que
cela n'a pas compromis la sécurité de la machine.

Le pare-feu refuse tout flux entrant venant d'Internet.
Ce qui ne l'empèche pas d'être obligé de traité tout le flux

entrant, et d'être donc potentiellement vulnérable.

Certes. C'est bien d'être parano en sécurité, mais comme le risque
0 n'existe pas, il faut bien faire à un moment confiance à quelque
chose, ou du moins accepter le risque associé, sinon on n'implemente
jamais rien.

Oui et non. Comme l'on ne peut jamais être sûr, on met une ceinture à
son pantalon (un IDS), et on y rajoute une paire de bretelle (des
scripts/logiciels, perso ou non qui surveilleront ceci ou cela).

Voilà... Votre problème, à deadcow et à toi, c'est que vous
raisonnez en partant de la situation idéale.

Euh... Entre faire confiance à des utilisateurs très bien connus
dans un environnement très restreint et mettre en pature un
service ( HTTP ou autre ) sur Internet, il y a une marge quand
même. Je dirai même que cela n'a rien à voir.

Cela n'a rien à voir, c'est clair. Le serveur HTTP je le controle de
part sa configuration et une lecture quotidienne de sa mailing-list de
sécurité. Je ne suis pas à l'abris d'un exploit "zero day", mais
j'assume et surveille. Des utilisateurs, aussi bien connus soient-ils,
je ne les controle en aucune façon et je suis obligé de composer chaque
jour avec leurs réactions imprévisibles.

Quant à toi, tes deux utopies sont dans ce message. Le filtre IP
resistera à tout, et les utilisateurs sont de confiance. Evidement
qu'ils sont de confiance les utilisateurs d'un réseau domestique,
jamais, au grand jamais, mon fils n'attrapera le virus de

Le tien, je sais pas, mais le mien ça ne risque pas - je n'en ai
pas :)

Heureux homme ;-)

Tu extrapoles de toute manière. Tu prends un exemple typiquement à
risque.

Parce que c'est ça la sécurité, qu'elle soit informatique ou non
d'ailleurs. Et s'il se passe ceci, qu'ai-je prévu ? Et si c'est plutôt
cela, comment le système réagira-t-il ? C'est ce qu'on essayé
d'expliquer les autres intervenants. Tu pars d'une solution totalement
inutilisable tellement elle est sécurisée, puis tu laisses faire ce que
tu ne peux vraiment pas empécher. A partir de là les risques sont
limités et, dans une certaine mesure, connus, ce qui permet de
permettre une surveillance adaptée.

Et je dis que les utilisateurs en question sont mes grands-parents
de 80 ans s'initiant à l'informatique et habitant une chambre de
mon appart, j'extrapole dans l'autre sens, on voit que le risque
change complétement et que cela n'a aucun sens.

Au contraire. Les utilisateurs en question étant des personnes qui ne
connaissent rien à l'informatique, les risques de récupérer un virus
viennent de grimper en flèche. Mon fils l'aurait volontairement ammené
des malware sur le réseau, tes grands-parents les ammèneront à leur
insu.

De plus, si ton fils de 15 ans arrive à pirater directement tes
serveurs configurés correctement sans signe avant coureurs (
activité et comportements bizarres, logs, plantages, reboots... ),
hé bien chapeau, il a un grand avenir.

Je te dirais ça dans sept ans ;-) Il arrive déjà à trouver mes mots de
passe en regardant le clavier, il arrivera bien à passer root un jour.

Euh... Je suppose que si tu devais faire un réseau domestique, tu
mettrais les 2 machines ( minimum : firewall+services) dans un
endroit verrouillé, avec un code changeant à chaque ouverture
selon une séquence connue par toi seul et qui n'est que dans ta
propre tête. Une clé est si vite volée, surtout quand on abrite
les pirates sous son propre toit ! Et ne parlons pas d'un simple
code.

Non, les machines sont à la queue-leuleu dans la salle à manger, pire
encore elles ont encore toutes un clavier et un écran. Mais pour
l'instant mon fils ne s'intéressent qu'aux jeux sous Windows, j'ai le
temps de voir venir.
Cela dit, lorsque j'aurais de la place les machines seront
effectivement dans une autre pièce, probablement un placard ou un truc
dans le style, vu qu'en elle-même elles ne servent à rien.

Tout comme les professionels font des compromis [1], les
particuliers en font aussi. Les mesures de chacun sont en
proportion avec les risques.

Je ne le sais que trop bien, mais il y a compromis et compromis. Je ne
conseillerais jamais à un particulier de mettre ses serveurs en DMZ.
Ces serveurs et son réseau seront un peu plus vulnérables, mais tant
pis. Par contre, je ne le laisserais jamais mettre un serveur sur son
firewall.

Il y a toujours dans le monde quelqu'un de plus parano que toi qui
considerera inacceptables les compromis que tu fais. [2]

C'est clair, n'importe quel professionnel me considèrerait comme un
homme à abattre.


--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry

On 13 Sep 2003 10:22:33 GMT, Stephane Catteau wrote:

controle régulier des règles de filtrage
[...]

[...] En prenant le contrôle de certains services, même sans prendre
le contrôle du firewall en lui-même, on peut imaginer plein de trucs
drôles, genre changer la config DNS [...]
[...]

Qui plus est, l'attaque que tu décris ne vise pas un petit réseau,
puisqu'elle nécessite la compromission préalable d'une autre machine
située dans le vaste monde, pour servir de faux serveur WindowsUpdate.

Euh ? Je n'ai pas du bien te comprendre : je ne vois pas en quoi le fait
que l'attaquant ait la main sur une machine sur le net a une influence
sur la taille du 'réseau' ( = "LAN" pour moi dans ce cas ).
J'ai l'impression que tu considères que l'attaquant est à l'intérieur
alors que dans ma tête il peut être partout.

[...] histoire d'installer un bon vieux trojan sur quelques machines
du réseau interne.

Comme tu n'as pas pris le controle du firewall, ton trojan ne te
serviras pas à grand chose. Si tu l'installe sur une poste de travail
tu ne pourras jamais y accéder, car le firewall bloque l'accès aux
ports de cette machine, *même* depuis la DMZ (sinon à quoi bon mettre
une DMZ ?). Si tu l'installe sur une machine serveur, il faudra que tu
le fasse en lieu et place d'un service légitime dont le trafic est
autorisé à traverser le firewall.

Un troyen peut très bien fonctionner rien qu'avec des flux sortants
autorisés, par exemple en allant chercher ses ordres réguliérement en
HTTP.

De plus, pour l'installer sur une machine serveur, il faut que tu
tombes sur un admin' qui fait confiance à son DNS pour fournir
l'adresse de windowsupdate (avec tous les risques que cela implique, et
dont tu viens de faire une courte description),

On parle d'un réseau domestique, où chaque utilisateur fait plus ou
moins ce qu'il veut avec sa machine.
Car contrairement à l'environnement professionel, les ordinateurs
appartienent à leurs propriétaires respectifs.

j'assume et surveille. Des utilisateurs, aussi bien connus soient-ils,
je ne les controle en aucune façon et je suis obligé de composer chaque
jour avec leurs réactions imprévisibles.

Considérons les différents cas de problèmes de sécurité sur le réseau :
1) interne volontaire ( attaque venant des utilisateurs )
2) interne involontaire ( infection par un virus par exemple )
3) externe

De mon côté, j'exclue le 1). Peut-être considères-tu que ton fils est un
pirate en herbe, mais je considère que ma grand-mère ne l'est pas.

Pour le 2), ça a de grande chance de créer une montagne d'indices :
logs, couinage des anti-virus, comportements de la machine bizarres (
dont la grand-mère se plaidra ), ... Car qui dit involontaire dit non
manuel, et qui dit non manuel dit pas très fin.

Pour le 3), oui, j'accepte le risque en bloquant tout flux entrant et en
lisant les logs tous les jours.

Tu extrapoles de toute manière. Tu prends un exemple typiquement à
risque.

Parce que c'est ça la sécurité, qu'elle soit informatique ou non

Oui, mais il y a des facteurs fixes et des facteurs variables.
Ma grand-mère ne vas pas se tranformer en garçon de 15 ans une nuit de
pleine lune et tenter frénetiquement de pirater ma passerelle sans
laisser de traces.

Au contraire. Les utilisateurs en question étant des personnes qui ne
connaissent rien à l'informatique, les risques de récupérer un virus
viennent de grimper en flèche. Mon fils l'aurait volontairement ammené
des malware sur le réseau, tes grands-parents les ammèneront à leur
insu.

Et qui seront aussi discrets qu'un éléphant dans un magasin de
porcelaine. Je ne vois qu'une intervention humaine qui permette un
minimum de discretion.
Je n'ai pas peur d'une infection, car je n'ai pas à assurer beaucoup de
disponibilité.
Par contre, j'ai peur des intrusions et des maintiens non detectés, et
ça ça ne viendra clairement pas de la volonté de mes utilisateurs.
Pour résument, je n'ai peur ni de la compétence des utilisateurs, ni de
leur incompétence, mais de la compétences des gens de l'extérieur.

Non, les machines sont à la queue-leuleu dans la salle à manger, pire
encore elles ont encore toutes un clavier et un écran.

Je t'y prends :)

Mais pour
l'instant mon fils ne s'intéressent qu'aux jeux sous Windows, j'ai le
temps de voir venir.

Halala, grossière erreur ! :)
Si ça tombe, il va découvrir cette nuit que accès physique => accès à
tout le système en lecture ET modification. Laisse lui 2 jours pour
faire ses rootkits, et tu es cuit ! :)

Voilà où je voulais en venir : on fait TOUS des concessions dans la
sécurité, en fonction des risques, de l'environnement, du temps, du
matériel à disposition,...
AMHA dans la sécurité, il n'y a pas le "bien" et le "mal" [1], mais des
mesures qui aménent à des risques négligeables, acceptables ou trop
élevés. Et cela dépend de beaucoup de facteurs.

Mon seul but est de modérer ton propos initial "on ne met jamais de
services sur un firewall" (Règle 1).
Car je pourrais te dire aussi "on ne donne jamais l'accès physique à une
machine sensible à ses utilisateurs" (Règle 2)... Et pourtant tu le
fais. Et ce n'est qu'un exemple.

[1] D'ailleurs, il n'y a pas beaucoup de domaines où c'est le cas, à
part peut-être les films américains.

Cela dit, lorsque j'aurais de la place les machines seront
effectivement dans une autre pièce, probablement un placard ou un truc
dans le style, vu qu'en elle-même elles ne servent à rien.

Dans ton cas, le facteur place a conduit à la suppression de la "Règle
2".
Tout comme d'autre facteurs pour d'autres peuvent conduire à la
suppression de la "Règle 1", dont la justification était le sujet.

Voilà, il ne reste plus que le problème principal; à savoir soigner
notre parano, car se faire autant de soucis alors que beaucoup d'admins
prennent du bon temps au lieu de papoter sécurité sur les newsgroups, ça
doit pas être normal :)

--
Olivier

dans (in) fr.comp.securite, "Olivier Croquette" <ocroquette@free.fr>
ecrivait (wrote) :

Bonsoir Olivier,

Tu ne fais pas confiance à tes utilisateurs.

Non. C'est d'ailleurs la base en matière de sécurité informatique, du
moins pour les utilisateurs utilisant MsWindows.

Je suppose donc que tu ne fais pas non plus confiance aux développeurs
de logiciels ?

Exact, sauf si je suis responsable de ces développeurs et que je peux de
ce fait vérifier ce qu'ils ont écrit avant de mettre leurs oeuvres en
production.

Donc tu as développé toi-même ta chaine logiciele, de ton
propre compilateur fait en langage-machine aux bibliothèques, jusqu'aux
outils ?

Non.

Donc tu fais un peu confiance aux auteurs des logiciels ?

Non.

La sécurité n'est qu'une question de confiance.

--
Eric

On 14 Sep 2003 20:42:09 GMT, Eric Demeester wrote:

Tu ne fais pas confiance à tes utilisateurs.

Non. C'est d'ailleurs la base en matière de sécurité informatique, du
moins pour les utilisateurs utilisant MsWindows.

Tu l'as déjà dit. Visiblement tu te complais à répéter la même chose
sans prendre la peine et/ou le temps de comprendre le fil.
Ca s'appelle un dialogue de sourd.

Je suppose donc que tu ne fais pas non plus confiance aux développeurs
de logiciels ?

Exact, sauf si je suis responsable de ces développeurs et que je peux de
ce fait vérifier ce qu'ils ont écrit avant de mettre leurs oeuvres en
production.

Il faut aussi que tu aies le contrôle du compilateur, des bibliothèques
et de l'OS, entre parenthèses. Car dans le cas le plus courant, le
travail des développeurs sera compilé, puis lié à du code extérieur,
puis utilisera éventuellement encore des bibliothèques partagées, le
tout en utilisant des fonctions de l'OS.

De tout façon, même en ayant les sources, il est très difficile de
s'assurer qu'il n'y a aucune faille ni porte dérobée dans un projet de
taille moyenne ou plus gros.

Donc tu fais un peu confiance aux auteurs des logiciels ?

Non.

Donc tu n'utilises pas de logiciels !?
Ou bien tu utilises des logiciels dans lesquels tu n'as pas confiance !?

La sécurité n'est qu'une question de confiance.

Euh... Certes, mais je ne vois pas trop le fil directeur de ton propos.

--
Olivier

dans (in) fr.comp.securite, "Olivier Croquette" <ocroquette@free.fr>
ecrivait (wrote) :

Bonsoir Olivier,

La sécurité n'est qu'une question de confiance.

Euh... Certes, mais je ne vois pas trop le fil directeur de ton propos.

Mon clavier a fourché. Je voulais dire « la sécurité n'est pas qu'une
question de confiance ». Je te présente mes plus plates excuses pour ce
contresens.

Pour développer un peu, je pense (je peux me tromper mais c'est comme ça
que je vois les choses) que la sécurité informatique est l'affaire de
spécialistes dont la seule préoccupation doit être de protéger les
machines qui sont confiées à leur surveillance.

Leur mission est de surveiller ces machines, de monitorer les firewalls,
de se tenir au courant des nouvelles failles et d'appliquer des patchs
permettant de les combler ; mais certainement pas de faire confiance aux
utilisateurs, aussi sympathiques et compétents soient-ils.

A mon avis toujours.

--
Eric

On 15 Sep 2003 19:36:53 GMT, Eric Demeester wrote:

Mon clavier a fourché. Je voulais dire « la sécurité n'est pas qu'une
question de confiance ».

Je comprends mieux !

Pour développer un peu, je pense (je peux me tromper mais c'est comme ça
que je vois les choses) que la sécurité informatique est l'affaire de
spécialistes dont la seule préoccupation doit être de protéger les
machines qui sont confiées à leur surveillance.

Là ou le bât blesse, c'est que la sécurité concerne aussi les
particuliers, même ceux qui ne sont pas interessés et/ou motivés. En
effet, un appareil électronique ayant une faille peut devenir
"dangereux" pour les autres. Par exemple les gêner, ou bien pire servir
de plate-forme à un pirate.

Tout comme les automobilistes (privés) sont responsables de l'entretien
de leur voiture, les utilisateurs (privés) d'ordinateurs sont
responsable de l'entretien de leur machine.

Leur mission est de surveiller ces machines, de monitorer les firewalls,
de se tenir au courant des nouvelles failles et d'appliquer des patchs
permettant de les combler ; mais certainement pas de faire confiance aux
utilisateurs, aussi sympathiques et compétents soient-ils.

Si tu dis ça à tes utilisateurs, j'ai bien peur qu'ils ne comprenent
jamais le danger d'envoyer des .exe en pièce jointe, de scotcher leur
password sur l'écran, de "sécuriser" des fichiers confidentiels par un
mot de passe dans Word, d'être roulé par du social-engineering, etc.

"J'ai désactivé l'antivirus car je n'arrivais pas à lancer le programme
que m'a envoyé mon fils, mais de toute façon l'administrateur surveille
et sécurise les machines, donc pas de danger !"

La sécurité est obtenue ( à mon avis ) par un travail d'équipe, et la
vigilance des utilisateurs, même si difficile à acquérir, est un atout
indéniable.

A mon avis toujours.

Si je peux me permettre, c'est un avis beaucoup trop réducteur : la
technique n'est pas tout.
Elle est un peu à la sécurité informatique ce que l'ABS et les airbags
sont à la sécurité sur les routes...

--
Olivier