média et wifi :-(

Cedric Blancher devait dire quelque chose comme ceci :

J'ai beau retourner ça dans tous les sens, je n'arrive pas à ne pas leur
en vouloir... Même après deux nuits pour laisser retomber le soufflet :)

D'un autre côté, si maintenant elle active la clé WEP, cela fera déjà
moins de petits cons qui squatent allègrement le réseau du voisin pour
faire leurs anneries, simplement parce qu'ils peuvent le faire. Même si
je suis d'accord avec toi pour ce qui concerne les problèmes que cela
pose, c'est déjà mieux que le rien qu'il avait avant.
De plus, même si on sort du reportage avec l'impression d'avoir fait
un bon d'une année dans le passé, pour une fois ce n'est qu'une seule
année, et on a parlé de sécurité dans un JT sans se la jouer "Matrix"
et "Traque sur Internet", ce qui n'est pas si mal. Il reste juste à
espérer que c'est un début de responsabilisation des médias.
D'un autre côté, ce qui ressort, tant de ton message que ce celui
d'Eric, c'est que la faute n'incombe pas uniquement aux médias, mais
aussi à une partie des professionnels. Les éditeurs veulent du grand
public et pour cela visent la simplicité maximale au détriment de la
sécurité, ce qui aboutit à une plus grande complexité, tandis que les
autres intervenants ont eux, dans l'ensemble, beaucoup de mal à
s'adresser au grand public en des termes simples.
Lorsque les médias finissent par s'intéresser au problème, à moins
d'une émission d'une heure (ce qui ne serait pas forcément idiot), ils
ne peuvent que faire dans la généralisation simpliste. Tu l'as dis
toi-même, actuellement pour utiliser le WPA, il faut commencer par
mettre à jour. Comment aborder cela dans un reportage de quelques
minutes ? C'est trop peu pour expliquer comment mettre à jour et
surtout faire comprendre que ce n'est pas une opération réservée aux
petits génies de l'informatique. Quant au fait de mentionner le WPA au
lieu du WEP, cela aurait l'effet contraire à celui désiré. Madame Michu
n'arrivant pas à activer cette clé n'ira pas d'elle-même au WEP, elle
restera avec sa connexion non sécurisée, se disant que si c'était
vraiment aussi important que cela, et bien elle pourrait le faire sans
problème, car personne ne vendrait du matériel qui n'est pas
sécurisé...

Son argument est qu'elle s'adresse au grand public particulier, qu'elle
a peut de temps et qu'une entreprise fera appel de toute façon a un
professionnel :(

Alors pourquoi parler des entreprises de la Défense ? Parce que ça fait
sexy de montrer du wardriving et faire monter la sauce ?

Parce que c'est un JT et qu'il faut du sensationnel si on veut vendre
le reportage au responsable de la rédaction.

Eric Razny <news_01@razny.net> écrivait
news:pan.2006.03.14.15.55.51.573376@razny.net:

[1] tiens j'ai jamais cherché, quelqu'un à testé? :)

Le hasard fait que j'ai testé un hotpost ce W.E., hotspot sans "Ap-
isolationning"[1] et qu'il est facile de trouver des paires MAC/IP qu'il
suffirait (j'avais pas le matos adéquat) de spoofer pour passer la page
d'authentification.

Quel sont les solutions pour identifier un client sans se baser ni sur l'@
MAC ni sur l'IP et sans imposer de cryptage ?

[1] ca facilite mais il suffirait d'une carte WiFi permettant le sniff au
niveau physique (sous Nunux ou en achetant le logciel adéquat pour
Windows) pour avoir le même résultat.

On 16 Mar 2006 16:21:43 GMT, Thierry <yarglah@com.invalid>:

Quel sont les solutions pour identifier un client sans se baser ni sur l'@
MAC ni sur l'IP et sans imposer de cryptage ?

Ben... aucune.

Toute donnée d'identification (IP, MAC, clé quelconque) qui passe en
clair peut être interceptée et utilisée pour jouer les imposteurs.

Pour identifier une machine, il faut une forme ou une autre de
cryptage. WPA a l'avantage d'être, pour l'instant, considéré comme
fiable, tout en étant raisonnablement facile à utiliser (du moins, si
on a du matériel récent).

Le Thu, 16 Mar 2006 17:21:34 +0000, Fabien LE LEZ a écrit :

WPA a l'avantage d'être, pour l'instant, considéré comme fiable, tout
en étant raisonnablement facile à utiliser (du moins, si on a du
matériel récent).

Non, à condition que le constructeur se soit sorti les doigts du cul. Le
WPA est en effet fait pour marcher au-dessus d'une carte qui sait faire du
WEP 128bits, compatibilité oblige. Le coeur de WPA est TKIP qui n'est
rien qu'une système de scheduling pour assurer la rotation complète des
clés sur 128 bits et leur non-réutilisation. L'étape de chiffrement
consiste à prendre la clé de 128 bits rendue par TKIP pour le paquet
courant, le couper en 24bits + 104bits et fournir au moteur WEP les 24
premiers bits comme IV, les 104 suivants comme clé WEP et les données à
chiffrer constituées du payload et de la somme Michael. Ça demande
juste la reconfiguration du moteur de chiffrement (i.e. changement de
clé) à chaque paquet. Le reste, le driver peut gérer.

Même ma vieille D-Linux DWL650 supporte le WPA, elle date de fin 2001. Et
si le constructeur n'a rien produit, tu peux encore trouver des drivers
génériques pour le chipset utilisé, ce qui tombe particulièrement
bien puisqu'il n'y a pas pléthore de modèles sur le marché. À part si tu
as un très vieille carte qui ne fait que du WEP 64bits, ça doit marcher.
En tout cas pour le moment, j'ai peut-être de la chance, mais je n'ai
jamais trouvé un carte sachant faire du WEP 128bits que je n'arrive pas
à utiliser en WPA.

Pour les AP et routeurs c'est un peu plus compliqué parce que certains
étaient tellement limités qu'ils ne peuvent pas embarquer le code
nécessaire. Genre mon AP Dlink DWL-1000AP (en tout cas, c'est l'excuse
invoqué par DLink). Là, forcément, c'est mort. Et si le constructeur ne
fait rien, il est difficile de trouver des choses génériques, hormis
pour des plate-formes très connues et largement utilisées pour
lesquelles on peut trouver des firmwares alternatifs genre OpenWRT.

Tout ça pour dire que côté station, c'est super rare que ça ne marche
pas, c'est donc plus un problème de driver/OS pas à jour que de
matériel.


--
BOFH excuse #315:

The recent proliferation of Nuclear Testing

"Cedric Blancher" <blancher@cartel-securite.fr> a écrit

Le problème que j'y vois, c'est qu'il n'y a nulle part dans ce reportage
une incitation à aller voir plus loin. Le discours est définitif : le
WEP est, je cite, "la seule solution".

Ceci a au moins pour avantage de nous rappeler une fois de plus (nous le
savions déja n'est ce pas, mais avons une tendance naturelle, très
exploitée, à l'oublier) combien les journaux télévisés sont réduits au stade
de la niaiserie télévisuelle supplémentaire ayant pour principal but de
capter le plus d'audience possible... afin de lui faire avaler les spots
publicitaires qui suivent.
Money...money...

Le Sat, 18 Mar 2006 16:19:37 +0000, Arthur a écrit :

Ceci a au moins pour avantage de nous rappeler une fois de plus (nous le
savions déja n'est ce pas, mais avons une tendance naturelle, très
exploitée, à l'oublier) combien les journaux télévisés sont réduits au stade
de la niaiserie télévisuelle supplémentaire ayant pour principal but de
capter le plus d'audience possible... afin de lui faire avaler les spots
publicitaires qui suivent.

Il ne faut pas exagérer non plus. L'effet "on doit faire court et
compréhensible pour la ménagère" a dû jouer de manière non
négligeable (cf. message précédent d'Éric).


--
#if 0
2.2.16 /usr/src/linux/fs/buffer.c

On 2006-03-14, Eric Razny <news_01@razny.net> wrote:

Le Mon, 13 Mar 2006 23:05:08 +0000, Cedric Blancher a écrit :

Moi ce qui me fait plus chier dans l'histoire, c'est qu'ils s'appuient sur
le discours de professionnels reconnus dont les propos ont dû être
"soigneusement" sélectionnés, vu la teneur de leurs interventions
passées en conférence par exemple.
[...]

Elle avait compris que le wep n'était pas sur, mais que pas mal
d'équipements ne "parlaient pas" le wpa ("chez moi je suis en wep parce
que mon G3 ne fonctionne pas en WPA"), que la livebox ne fait pas wpa
(c'est toujours vrai ça?) etc. Donc pour ne pas entrer dans les détails
on conseille le wep et les gens qui seront mis au courant des problèmes
de sécu seront aptes à chercher d'avantage!!!

Lors du reportage, on lui a bien dit que le WEP était cassable en moins de
10 minutes. C'est vrai que moi aussi ça m'a choqué dans le reportage quand
elle a dit que la seule solution était la clé WEP (comme si rien d'autre
existait) mais je pense que c'est déjà pas mal d'avoir sensibilisé un
minimum les gens sur les dangers d'avoir du Wi-Fi ouvert chez eux.
On a passé 3h avec eux pour ~1 minutes de reportage, donc il y a eu
beaucoup de sélection de leur part (et on a pas pu voir le reportage avant
sa diffusion sinon vous pensez bien qu'on lui aurait fait la remarque pour
le WEP).

[...]
Mouettes et sea comme dirait l'autre mais j'ai peur que le mal soit déjà
fait et irréversible.

Si déjà ça a poussé quelques personnes a mettre une pauvre clé WEP c'est
déjà pas si mal au vu du nombre de bornes configurées par défaut que tu
trouves. Même si c'est loin d'être parfait, c'est le "minimum syndical" à
faire.

Il faut bien garder à l'esprit que l'immense majorité des gens ne voit
pas le danger des réseaux sans fils ouverts ... combien de fois on m'
a dit "de toute façon j'ai pas d'informations confidentielles sur mon
ordinateur" ... "ah oui ... et si me sers de votre connexion pour
attaquer un site X ou Y à votre avis qui sera poursuivi ?". Et je vous
fait grâce des personnes ne connaissant rien en informatique qui on déjà
du mal à faire fonctionner leur connexion et qui ne veulent rien changer
par la suite de peur de plus accéder à Internet :)


Pour info le rip du reportage est disponible sur notre Web :
http://www.hsc.fr/presse/france2/france2_wifi.avi

On 19 Mar 2006 18:12:00 GMT, Guillaume.Lehembre@hsc.fr:

Si déjà ça a poussé quelques personnes a mettre une pauvre clé WEP c'est
déjà pas si mal

Mais est-ce que ça ne donne pas un faux sentiment de sécurité ?

Fabien LE LEZ wrote:

Mais est-ce que ça ne donne pas un faux sentiment de sécurité ?

Est-ce que ce n'est pas justement ce que désire le Grand Public? Un
sentiment de sécurité? Vrai ou faux importe peu, c'est l'avoir qui compte.
Ce n'est pas limité au domaine informatique, d'ailleurs.

On peut reprocher tout ce qu'on veut aux journalistes, c'est
probablement vrai, mais ils *répondent* à une demande. S'ils le
faisaient différemment, de toute manière, ils ne seraient pas écoutés.

Laurent

Le Sun, 19 Mar 2006 18:12:00 +0000, Guillaume.Lehembre a écrit :

Si déjà ça a poussé quelques personnes a mettre une pauvre clé WEP
c'est déjà pas si mal au vu du nombre de bornes configurées par défaut
que tu trouves. Même si c'est loin d'être parfait, c'est le "minimum
syndical" à faire.

Pour avoir parlé à la journaliste après que le reportage soit passé à
l'antenne je pense (et ça, ça m'a agréablement surpris) qu'elle a perçu,
voire compris, pas mal de choses et qu'elle les a parfaitement retenu.

Ce qui me mets en rogne c'est le côté désinvolte des réponses que j'ai
eu, du genre -si j'ai bien suivi- si les gens ne sont pas con ils ne vont
pas croire le JT! Je croyais naivement que le métier de journaliste
consistait à informer :( C'est d'autant plus dommage que la simple
présence de ce type de sujet au 20:00 augurait du meilleur.
Qu'un journaliste TV n'ai pas conscience du fait qu'une bonne partie de la
population ne fait pas la distinction entre ce qui est vrai et ce qui est
annoncé me parait ou catastrophique ou du foutage de gueule[1]

Accessoirement, même dans le temps du sujet, ça ne coûtait pas plus
cher d'annoncer que la macounette commet un grave déli (la journaliste
connaissait même mieux que moi la peine encourue!). Alors même pour la
ménagère de moins de 50 ans je trouve qu'il y a un problème (ben oui
Mme michu, quand la porte de votre voisin n'est pas fermée à clef ça ne
reste pas moins illégal d'entrer et de fouiller dans la commode!).

De part le contenu -insistant sur le wardriving à la défense-, ce
reportage cible aussi (surtout?) les petites entreprises qui mettent du
wifi "parce que c'est pratique". Et là je maintiens que c'est
parfaitement irresponsable (et amha non professionnel) de présenter le
wep comme *LA* solution.

Résultat ces petites entreprises, en toute bonne foi, vont croire se
protégées. Et ce sentiment de fausse sécurité est, je pense,
particulièrement néfaste voire dangereux. Car non seulement ces gens ne
seront pas protégés, mais croyant l'inverse ils ne feront pas appel à
des professionnels pour ce faire.

La journaliste m'a dis que pendant ce reportage elle a cru être dans un
autre monde. Amha il eu été préfèrable qu'elle comprenne qu'elle
était ensuite revenu dans le monde réel :(

Ce qui me rend un peu triste c'est qu'elle avait l'air de bonne foi (mais
je ne partage pas du tout sa conception du journalisme d'info télévisé)
et je pense qu'elle commençait à comprendre pourquoi je parlais de
boulette et que je m'étais démerdé pour passer les filtrages successifs
afin de laisser un message (et je rappelle qu'elle m'a rappelé, ce qui
implique malgré tout un certains sens du devoir). Elle annonce d'autres
reportages probables sur le sujet de la sécu, et je pense qu'elle ne
commettra pas deux fois la même boulette (en particulier ça peut être
utile de recontacter les professionnels pour "vérifier" le montage -et le
professionnel doit à l'inverse accepter qu'en si peut de temps il manque
de l'info-)

Eric

[1] c'est au moins l'avantage d'avoir des connaissances dans des sujets
abordés au JT. Avec un sou de jugeotte tu te dis qui s'ils disent tant de
conneries (je ne parle pas que de ce reportage, on a ici en mémoire les
"journalistes" qui sont partis interviwer un vendeur de surcouf pour un
problème de virus ; au moins pour le wifi ils ont su trouver des
professionnels) il n'y a pas de raison qu'ils n'en disent pas autant pour
les sujets que tu ne connais/maitrise pas! :)