"Peut-on mourir de rire ?" ou "Le ridicule tue-t-il ?"

Le Thu, 03 Feb 2005 06:31:51 +0000, Jean-Marie Delapierre a écrit :

Vu hier en page 76 du numéro de février 2005 du magazine L'informaticien
un article de l'ineffable Eric Charton dont l'objet résumé est d'essayer
de nous faire croire que le wifi est aussi sûr (voire plus) qu'un réseau
filaire. A lire absolument ! ;o)))

À part le fait qu'on ne pourra jamais atteindre le niveau de sécurité
d'un réseau filaire, ne serait-ce qu'en raison des problèmes de dénis
de service, on arrive à atteindre des niveau très raisonnable en
WPA ou 802.11i avec authentification 802.1x.

Maintenant, s'il tient son discours en s'appuyant sur WEP, ben en fait,
c'est même pas drôle, c'est presque criminel...


--
C'est pas avec la censure que tu vas censurer les censeurs.
-+- JL in GNU : Las, censeurs pour l'échafaud -+-

On Thu, 03 Feb 2005 06:31:51 +0000, Jean-Marie Delapierre wrote:

A lire absolument ! ;o)))

Pour ceux qui auront entre leurs mains ce magazine, je préfère
recommander la lecture de la chronique de Cédric Ingrand, "Irritation",
sur le "chilling effect".


Nicob

OoO En cette soirée bien amorcée du jeudi 03 février 2005, vers 22:08,
Cedric Blancher <blancher@cartel-securite.fr> disait:

Vu hier en page 76 du numéro de février 2005 du magazine L'informaticien
un article de l'ineffable Eric Charton dont l'objet résumé est d'essayer
de nous faire croire que le wifi est aussi sûr (voire plus) qu'un réseau
filaire. A lire absolument ! ;o)))

À part le fait qu'on ne pourra jamais atteindre le niveau de sécurité
d'un réseau filaire, ne serait-ce qu'en raison des problèmes de dénis
de service, on arrive à atteindre des niveau très raisonnable en
WPA ou 802.11i avec authentification 802.1x.

Maintenant, s'il tient son discours en s'appuyant sur WEP, ben en fait,
c'est même pas drôle, c'est presque criminel...

Ben, si tu coupes le câble réseau, c'est aussi un déni de service. :)

Plus sérieusement, les deux ne sont pas entièrement comparables, mais
l'arsenal de sécurité déployé pour le wifi dépasse, à mon avis, la
sécurité filaire simple (pas de chiffrement, pas d'authentification).
--
HILLBILLIES ARE PEOPLE TOO
HILLBILLIES ARE PEOPLE TOO
HILLBILLIES ARE PEOPLE TOO
-+- Bart Simpson on chalkboard in episode AABF11

Le Fri, 04 Feb 2005 00:03:14 +0000, Vincent Bernat a écrit :

OoO En cette soirée bien amorcée du jeudi 03 février 2005, vers 22:08,
Cedric Blancher <blancher@cartel-securite.fr> disait:

Vu hier en page 76 du numéro de février 2005 du magazine L'informaticien
un article de l'ineffable Eric Charton dont l'objet résumé est d'essayer
de nous faire croire que le wifi est aussi sûr (voire plus) qu'un réseau
filaire. A lire absolument ! ;o)))

À part le fait qu'on ne pourra jamais atteindre le niveau de sécurité
d'un réseau filaire, ne serait-ce qu'en raison des problèmes de dénis
de service, on arrive à atteindre des niveau très raisonnable en
WPA ou 802.11i avec authentification 802.1x.

Maintenant, s'il tient son discours en s'appuyant sur WEP, ben en fait,
c'est même pas drôle, c'est presque criminel...

Ben, si tu coupes le câble réseau, c'est aussi un déni de service. :)

Plus sérieusement, les deux ne sont pas entièrement comparables, mais
l'arsenal de sécurité déployé pour le wifi dépasse, à mon avis, la
sécurité filaire simple (pas de chiffrement, pas d'authentification).

Bonjour,

Je te cite : "dépasse, à mon avis, la sécurité filaire simple (pas de
chiffrement, pas d'authentification).".
Il ne faudrait quand-même pas déconner. Sur les réseaux filaires, ipsec
(pour ne citer que lui) n'existe pas ?.
"L'énorme" différence entre les réseaux filaires et le wifi est que le
chiffrement et l'authentification ne sont pas intégrés dans la norme de
base (ancienne) des réseaux filaires, alors qu'ils le sont dans celle,
plus récente, du wifi (même si on peut, et c'est souvent le cas, ne pas
les utiliser).
Quant au déni de service, pour le réaliser sur mon réseau filaire, il
faut rentrer chez moi, et cela s'appelle une effraction. C'est compliqué
et risqué (punissable par la loi).

Pour "terminer" sur le titre de mon message initial, ce n'était pas tant
le fond sur lequel vous réagissez que je critiquais, mais plutôt la
forme. Un exemple :
Dans la section "Une porte ouverte sur la rue... ou sur le monde",
deuxième paragraphe, le monsieur nous explique qu'une interface réseau
filaire reliée à internet est à la merci d'environ 812 millions de
pirates potentiels (ce qui, en l'absence de moyens de protections
supplémentaires, est vrai). Par opposition, il nous explique que, la
portée étant limitée à quelques dizaines de mètres, une interface
wifi n'est à la merci QUE de l'environnement immédiat. Il est "évident"
que personne n'utilise d'interface wifi pour se connecter à internet...
Donc, si on compare des choses comparables, les deux types d'interfaces
sont identiquement à la merci des 812 millions de pirates potentiels et
en plus, l'interface wifi est ouverte sur l'environnement immédiat sans
que l'attaquant n'ait à prendre le risque d'une effraction.
Vous noterez
que cette conclusion est juste légèrement différente de celle
présentée dans l'article. Si ça vous amuse, il y en a d'autres du même
tonneau. On pourrait organiser un concours...

Cordialement.

Jean-Marie

Pour me répondre, remplacer "jm" par "jean-marie"

OoO En ce doux début de matinée du vendredi 04 février 2005, vers
08:50, Jean-Marie Delapierre <jm.delapierre@9online.fr> disait:

Plus sérieusement, les deux ne sont pas entièrement comparables, mais
l'arsenal de sécurité déployé pour le wifi dépasse, à mon avis, la
sécurité filaire simple (pas de chiffrement, pas d'authentification).

Je te cite : "dépasse, à mon avis, la sécurité filaire simple (pas de
chiffrement, pas d'authentification).".
Il ne faudrait quand-même pas déconner. Sur les réseaux filaires, ipsec
(pour ne citer que lui) n'existe pas ?.

Mon propos était simplement de dire que quand tu installes un réseau
wifi, tu y colles WPA et compagnie alors que quand tu installes un
réseau filaire, on ne le fait généralement pas. Je ne conteste pas que
si on pousse la sécurité au maximum dans les deux domaines, le fil
arrive gagnant du fait de la différence au niveau de la couche 1.
--
Make input easy to prepare and output self-explanatory.
- The Elements of Programming Style (Kernighan & Plaugher)

Le Fri, 04 Feb 2005 07:50:25 +0000, Jean-Marie Delapierre a écrit :

Je te cite : "dépasse, à mon avis, la sécurité filaire simple (pas de
chiffrement, pas d'authentification).".
Il ne faudrait quand-même pas déconner. Sur les réseaux filaires, ipsec
(pour ne citer que lui) n'existe pas ?.

Un chose que j'ai déjà évoquée sur un autre groupe... On a tendance à
confondre les couches et les services. IPSEC, ça marche sur IP. Si
aujoud'hui je veux faire autre chose qu'IP (même si ce n'est pas
courant), je fais quoi ?!

L'IEEE définit des standards de niveau 1 et 2, indépendamment de ce
qu'on fait passer dessus au niveau 3. Ils se sont gauffrés, c'est clair,
mais aujourd'hui, on a un niveau tout à fait acceptable. Et si tu ne
considères _que_ le niveau 2 (domaine IEEE), on n'a pas de chiffrement
filaire de disponible. Le réel soucis est le DoS, mais il est
_inévitable_.

Maintenant, si tu fais de l'IP par dessus, tu vas avoir pleins de trucs
sous la main dans le monde du VPN, pour sécuriser le bordel, c'est clair.
Mais tu sors du domaine IEEE, et de fait (et même si c'est lié dans la
pratique) de la distinction filaire/sans-fil.

Sinon, pour l'article, je ne l'ai pas sous la main, donc je ne vais pas
argumenter dessus, mais il y a une petite tendance en ce moment à cracher
sur WPA/WPA2 qui me semble quelque peu injustifée, surtout quand le seul
point mis en avant est le fameux "ah ben ouais, en WPA-PSK, on peut
attaquer la PSK par dictionnaire", en oubliant que c'est générique à
tous les systèmes d'authentification par PSK, IPSEC compris...


--
salut , peut etre pourras tu répondre à ma question : je cherche à
annuler un abonnement contracté auprès d'un site X "adultmembers.net".
Connais-tu unmoyen efficace, à part l'opposition sur ma visa? merci
-+- Guide du Neuneu Usenet - Neuneu apprend à configurer sa visa -+-

OoO En cette matinée pluvieuse du vendredi 04 février 2005, vers
10:35, Cedric Blancher <blancher@cartel-securite.fr> disait:

Je te cite : "dépasse, à mon avis, la sécurité filaire simple (pas de
chiffrement, pas d'authentification).".
Il ne faudrait quand-même pas déconner. Sur les réseaux filaires, ipsec
(pour ne citer que lui) n'existe pas ?.

Un chose que j'ai déjà évoquée sur un autre groupe... On a tendance à
confondre les couches et les services. IPSEC, ça marche sur IP. Si
aujoud'hui je veux faire autre chose qu'IP (même si ce n'est pas
courant), je fais quoi ?!

Tu l'encapsules dans IP. :)
Un autre problème d'IPsec, c'est qu'en attendant, les couches
inférieures ne sont pas protégées. Cela se concrétise par des sources
supplémentaires pour les dénis de service et par le fait qu'on peut
exploiter sans autorisation les couches inférieures.

L'IEEE définit des standards de niveau 1 et 2, indépendamment de ce
qu'on fait passer dessus au niveau 3. Ils se sont gauffrés, c'est clair,
mais aujourd'hui, on a un niveau tout à fait acceptable. Et si tu ne
considères _que_ le niveau 2 (domaine IEEE), on n'a pas de chiffrement
filaire de disponible.

Du moins, pas de standard. Il y a quelques solutions anecdotiques :
<URL:http://www.arnor.net/encryptingbridge/>
--
BOFH excuse #433:
error: one bad user found in front of screen

Nicob wrote:

On Thu, 03 Feb 2005 06:31:51 +0000, Jean-Marie Delapierre wrote:

A lire absolument ! ;o)))

Pour ceux qui auront entre leurs mains ce magazine, je préfère
recommander la lecture de la chronique de Cédric Ingrand, "Irritation",
sur le "chilling effect".

En effet. Viguard a un passé lourd : entre le flic qui tombe amoureux de la
mère du concepteur et qui décrie le produit publiquement et le syndrôme
Tati ... y'a de la << charge >>.

Bref, pour ma part j'ai apprécié de voir que Plone réussisait à séduireede
gros clients (L'AP de Paris) et que l'électronique faisait son apparition
dans ce magazine.

db

--
email : usenet blas net

Vincent Bernat wrote:

[...]

Mon propos était simplement de dire que quand tu installes un réseau
wifi, tu y colles WPA et compagnie alors que quand tu installes un
réseau filaire, on ne le fait généralement pas.

Et pourquoi ne le fait-on pas ?
Parce qu'il n'existe pas de standard (ouvert) de chiffrement au niveau 2.
Et pourquoi n'en existe-t-il pas (d'ouvert) ?
Parce que le besoin ne se fait pas sentir dans l'immense majorité des cas
sur un réseau filaire.
Le risque d'écoute d'un réseau filaire est bien plus faible (mais pas nul)
que celui d'un réseau sans-fil.

Maintenant un individu, un groupe, une entreprise jugeant qu'il ne peut pas
se permettre le moindre risque d'écoute investira davantage.
A quel niveau ? Au niveau 2 il existe des produits mais on se doute bien
qu'équiper un boîte entière avec de tels boîtiers revient à une fortune
sans compter la maintenance.
Au niveau 3 il n'y a pas grand chose à investir si ce n'est équiper tous les
postes de travail et les serveurs d'un logiciel de chiffrement et
accessoirement de gérer les certificats qui vont avec ainsi que les
incompatibilités. Là encore cela a un coût mais probablement moins élevé
que le précédent. Du moins le coût est ailleurs.
Mais cela n'empêchera pas l'écoute des postes de travail à 150 mètres de
là !
Eh oui, les postes de travail cathodiques rayonnent comme un réseau
sans-fil.

En fait, aujourd'hui, au niveau 2, la fibre représente un investissement
intéressant : pérenne, sécurisée (couper une fibre monomode et rabouter les
2 extrêmités ne se fait pas en 5 secondes comme les films d'espionnage
voudraient nous le faire croire et c'est donc détectable) et transparente
au sein de l'infrastructure. Les switches fibre ete ls adaptateurs fibre
reviennent certes plus cher que les switches cuivre mais là encore c'est un
choix.

La principale faiblesse des réseaux sans-fil de type WiFi (802.11 donc)
reste leur faible disponibilité et non leur confidentialité !

Ceci ne vaut pas pour le WiMAX (802.16d) qui alloue, lui, des tranches de
temps.

Pour terminer j'ai lu l'article en question. l est << standard >> sur le
sujet comme se veut être un article de cette revue qui n'est pas une revue
(trop) spécialisée : ni trop général ni trop détaillé.
Il y a un article sur les BSD dans ce même numéro. Je regrette que l'auteur
n'ait pas évoqué IPF dans les points forts mais bon c'est certainement un
peu trop fouillé pour le lectorat de ce canard.

db

--
email : usenet blas net

Jean-Marie Delapierre wrote:

Bonsoir,

Vu hier en page 76 du numéro de février 2005 du magazine L'informaticien
un article de l'ineffable Eric Charton dont l'objet résumé est d'essayer
de nous faire croire que le wifi est aussi sûr (voire plus) qu'un réseau
filaire. A lire absolument ! ;o)))

Il ne faut pas confondre confidentialité et disponibilité !
Un niveau de connfidentialité comparable à ce qui existe sur les réseaux
filaires existe sur un réseau sans-fil, pourquoi pas ? C'est l econtraire
qui serait surprenant !

Een revanche, et ça on n'y peut rien (c'est intrinsèque à la méthode
d'accès) la disponibilité c'est pas ça en sans-fil : facile de pourrir un
hotspot.

db
--
email : usenet blas net