reponses a une intrusion

"LaDDL" <alamaison@noos.fr> a écrit dans le message de
news:3f6c456b$0$22789$79c14f64@nan-newsreader-01.noos.net...

Eric Razny wrote:

Toutes mes excuses, ce n'est ni discours de marketeux, ni de technico
mais

de poète. On dirait un inventaire à la Prévert :(
Bref un charabia fourre tout.
Il suffit de reprendre quelque posts précédent pour remarquer qu'en
début de

thread tu annonce A pour conclure en fin du même thread qu'il est
évident

que non-A! (en le présentant comme une évidence en plus!).
Faux.

Regarde le post concernant la sécurisation des exploits ou tu conclus à la
fin que c'est impossible.

[...]

Notes aussi qu'Internet est avant tout un outil de travail en réseau.

Non,
Si dans le cadre de l'espace dont je te parle.

Faux.
Tu definis un espace (plus exactement tu le nomme, internet) E puis tu
annonce une propriété qui est fausse dans cet espace. Et comme justification
tu viens dire que tu parles en fait du sous espace F inclus dans E?
Le langage a cette particularité qu'il permet la communication en permettant
un échange d'information. Si, et c'est particulièrement vrai dans les
domaines techniques -au sens large-, tu utilise un mot qui a une
signification précise à contre sens ou de façon impropre il est évident que
les personnes "en face" ne vont pas comprendre.
Maintenant, et c'est un avis personnel, je pense qu'en ce qui te concerne
c'est une technique -classique- du "non non, j'ai bel et bien raison, mais
je ne voulais pas dire ça". Pire tu dis "je n'ai pas dis ça". N'importe qui
ici peut remonter un peu les thread pour voir que tu as bien énoncé soit des
contre-vérité, soit ce qui est, amha, pire des contradictions entre
différentes parties de ton propos (quand tu présente une évidence puis
finalement, non, l'évidence n'est qu'un idéal!!!)

Il existe
un nombre considérable de façon de l'utiliser.
Oui et ici je parle d'un usage particulier.

Non tu l'a désigné de façon générale, sans le restreindre à un sous
ensemble. Tu change sans arrêt d'angle d'approche, donc tu n'a même pas
l'excuse d'une restriction implicite.

Et ce n'est pas "avant tout
un outil de travail en réseau."
Au contraire il l'est complétement dans le cadre de notre projet.

Errare humanum est, perseverare diabolicum... :)
lis au dessus

Donc toute implémentation de procédures implique une remise en cause
des

compétences, des modes de travail, de la culture d'organisation.

Et c'est repartit, les grands discours creux, bien générique et sans
rien de

concret. C'est de la politique qu'il te faut faire
lol eh bien justement mon cher l'approche, la démarche à suivre dans

tout projet d'espace de confiance s'appuie sur le process reingeneering.

La différence avec un ingénieur digne de ce non, c'est que dans son cas on
pourrait suivre de façon formel un raisonnement, une argumentation solide et
scientifique[1].
Accessoirement :
a) process reingeneering est un terme générique fourre tout. C'est un joli
titre à mettre au début d'un chapitre. Mais ça ne prend de valeur que
lorsque le texte qui est dessous est précis, détaillé et applicable.
b) tu affirme, arbitrairement pour changer, que c'est LA démarche à suivre.
Aucun justification, preuve ou autre. Encore une fois le fameux "tout le
monde sait que". Du commercial pur beurre, mais du type mieux vaut s'agiter
des fois que le prospect s'aperçoive que c'est du vent derrière :(
Non, mon cher, ce n'est pas A PRIORI *LA* démarche à suivre.
Accessoirement quand on prentend inventer quelque chose je préfère
l'ingeneering que le re-ingeneering, comprenne qui pourra.

Et je t'invite aussi à te replonger dans l'évolution de nos systèmes
d'information afin de mieux comprendre que de nos jours et dans l'avenir

Tiens tu fais dans le "madame soleil" maintenant? de mieux en mieux!

l'intégration de la notion de service replace l'humain au coeur du SI et
fait donc évoluer le rôle du système d'information.

Encore une fois un raccourci foireux. Un remplacement n'implique pas (ton
"donc") une évolution de rôle. Dommage qu'il n'existe pas le pendant
newsgroup du tampon "truandage" de mon copain prof de math (voir posts
précédents).
Une implication se démontre. Sinon c'est au mieux une probabilité, parfois
dure à quantifier. La rigueur est un minima dans ce métier.

Non car il me semble que tu n'as pas bien observé le cadre légal de la
preuve électronique. Je me trompe peut-être à ton égard mais ici c'est
l'impression que tu me donnes.

Tu te trompe. Accessoirement le cadre légal de la preuve électronique est
peut être posé mais, et je ne te l'apprendrais pas, une loi vaut[2] par les
jurisprudences établies au fil du temps. On en est encore au balbutiements
en ce qui concerne l'application réelle. Et aller en justice en ce moment, a
de rare exception près (email privés en entreprise par exemple) c'est aimer
jouer à la lotterie[3].

Je m'inquiétais à la fois des nouvelles lois à venir et de leurs
conséquences effectives, avec des arguments *concrets*. Ca doit être une
déformation sécuritaire, je suis naturellement plus méfiant dans ce
domaine

qu'optimiste béat. Et c'est malheureusement a posteriori, après quelques
conneries effectives, que j'adopte ce comportement.
Je te comprends je suis comme ça aussi.

Mais IMHO le fait que tu ne reconnaisses pas que la LEN - dont on parle
depuis un moment ici -, est dorénavant plus claire dans de nombreux
domaines m'interpelle vraiment.

Le LEN, sous sa forme actuelle, est encore largement sujet à
l'interprétation et les décrets qui peuvent être appliqué dessus peuvent
être aussi bien raisonnables que catastrophiques. La *potentialité* inscrite
dans les lois de m'empêcher d'utiliser un outil qui m'est indispensable me
pousse, à fortiori, à m'opposer à son passage.

La n'est pas le problème.
Si justement ! Car si l'on veut développer les échanges/services sur

Aucun rapport avec la discution. Tu recommence sur des généralité, moi je
parlais clairement du service d'échange que tu voulais mettre en place de
façon *gratuite*

Internet il faut pouvoir offrir une "vraie" preuve électronique.
Ainsi on verra alors se développer des services pour les entreprises,
les citoyens, l'administration, etc.
Par exemple :
Les chantiers en cours pour le développement d'une administration
électronique en sont une illustration par exemple :
- http://www.adae.pm.gouv.fr/spip/breve.php3?id_breve=6
- le vote électronique
- etc.
La dématérialisation des échanges :
http://www.laposte.fr/postecs/

Une fois de plus tous les moyens légaux et techniques existent déjà. Il
suffit de la volonté d'une entité (et des moyens mis en place derrière) pour
qu'elle se dote de telles possibilités.

Accessoirement, puisque tu évoque souvent " l'humain " je te suggère de lire
les commentaires sur l'impact social du vote électronique, en particulier la
disparition du phénomène de "tous égaux dans le bureau de vote *physique*".
Mais c'est un autre sujet (le fait de pouvoir n'implique pas le fait de
devoir).

Ca veut dire quoi? On annonce au peuple : vous êtes vulnérables! Je vous
l'annonce gratuitement. Maintenant si vous voulez savoir ce que c'est ou
comment le tester veuillez continuer votre chemin, vous passerez par la
boutique (très anglo-saxon, ça, la boutique souvenir en fin de
parcours!).

Mais non ?!
Regardes les CERT.

Je suis contre le fait que certains certs communiquent à des clients payant
les infos avant les autres. C'est une pente, amha, dangereuse, même si pour
l'instant la plupart des infos arrivent à temps au public.
Il existe bien d'autre moyens de faire de l'argent, par exemple en
continuant à donner les infos mais en proposant ses services pour résoudre
(de façon payante) les problèmes (MAJ, mesure proactives etc.)

Reprends les posts précédents ou tu as admis qu'on ne peut exercer un
vrai

contrôle sur la diffusion de malware.
Oui dans l'exemple que nous donnait Cédric.

Mais dans le cadre d'un espace de confiance où une communauté de users
authentifiée/identifiée, il est possible de mieux contrôler les
échanges/flux d'information et donc de limiter les risques.

La *majeure* partie de l'info échangée est TEXTUELLE. On se retrouve donc
dans le cas de Cédric.
Hypothèse : la probabilité d'avoir une brebis galeuse dans ce petit monde
est très proche de 1 [4]
Si tu accepte cette hypothèse la limitation des risque est quasi nulle.

Et encore, je suppose que ce petit monde soit seul détenteur des infos, ce
qui est, amha, impossible. (Le amha est uniquement pour éviter le "il est
évident que"!).

aujourd'hui un espace de confiance peut être la solution. Et bien
entendu le modèle économique reste à définir.

"Bien entendu" :(. S'il n'y avait que le modèle économique à définir ce
serait déjà pas mal. La notion même d'espace de confiance est problèmatique
dans son implémentation hors de tout soucis éco.

Bien entendu. TOUT reste à définir, comme d'habitude avec toi :(
Non notre architecture est définie. En outre, le modèle économique n'est

pas encore défini pour les raisons que je t'ai déjà fourni.

Dont acte. Peut-on avoir la définition de l'infrastructure?
Ah non, c'est vrai, pas d'exemple concret surtout. Prétexte
hyper-ultra-top-secret?

Eric.

[1] au sens rigueur, mise en avant de ce qui est connu, hypothétique, les
axiomes utilisés etc.

[2] Valoir dans le sens ou on peut s'en servir de façon relativement fiable,
en pouvant prédire -avec de bonne chance de réalisation- le résultat d'une
affaire quand tous les éléments en sont connus.

[3] ce n'est pas une critique mais un constatation. Est c'est "normal" dans
le sens ou tout texte doit être éprouvé face aux réalités du terrain, avec
des champs d'application souvent plus large que prévus par le législateur.

[4] brebis galeuse volontaire ou pas (sic). Le gars de bonne foi qui parle à
son collègue de la faille critique qui traine divulgue l'info sans même y
faire attention. C'est le "syndrome de la machine à café". Et plus tu
augmente le nombre de participant légitimes plus tu augmente les risques.

Dans la news:3f6b0f39$0$15448$79c14f64@nan-newsreader-01.noos.net,
LaDDL <alamaison@noos.fr> a écrit:

Nicob wrote:
[...]

mais de problèmes dans le partage de
l'info et du code, aucun.
Je rêve ou tu le fais exprès. Là je suis sérieux.

L'accès aux exploits par n'importe qui ça donne :
- des virus/worms/trojans/etc (cf la vague de cet été et qui se
poursuit actuellement)
- de la guerre économique/électronique
- etc.

Permettez moi de remarquer que la "guerre économique" sur Internet se
fait essentiellement à l'aide des simples moteurs de recherche, le
concept de le "guerre économique" étant le prolongement "offensif" de la
veille concurrentielle et stratégique, tout simplement. Attaquer un
serveur revient à attaquer un serveur, et non pas à faire de la "guerre
économique", qui elle n'a rien à voir avec les exploits.
En vous exprimant comme vous le faites vous créez une confusion
terminologique certaine, je tiens à vous le signaler.

Ewcia

--
Niesz !

djehuti wrote:

ben tiens !
le "grand public",
Le terme "grand public" englobe tous les types d'utilisateurs : des

débutants aux plus expérimentés.

qui sait tout juste configurer son PC pour jouer à quake,
est responsable de tous ces maux... c'est bien connu 8-)
Comme je viens de te le préciser ci-dessus on trouve différents niveaux

chez les utilisateurs. Donc on ne peut pas tous les mettre au même
niveau.
Les codes dangereux (je le précise à nouveau), exploits, malwares, hacks
tools, etc n'ont pas à être rendu public.
Pourquoi ? Pour limiter les risques de : fraudes informatiques,
intrusions, piratage, vols de données, etc...
Un exemple récent : la publication par le groupe chinois XFocus d'un
programme exploitant la faille RPCDCOM et qui a été utilisé ! Alors que
9 jours avant MS avait informé d'une faille dans Windows !
Tu comprends mieux maintenant ? Ou bien faut-il poursuivre ?

Une raison valable ?
Un exemple : pour posséder une arme à feu tu dois avoir un permis de

port d'armes n'est-ce pas ?

ben nan, je crois pas... un permis de chasse (une fois les diverses *taxes*
acquittées) doit suffire
et je suis (presque) sûr qu'on te le délivre sans même te demander quel
gibier tu vas chasser *eg*

(le port d'arme c'est autre chose que la simple détention d'arme)
J'aurais dû encore développer mon exemple aie aie aie

T'es vraiment un cas Djehuti.
Le fait de détenir une arme à feu doit être déclaré auprès des
autorités. Est-ce plus clair dans ton esprit ou bien faut-il encore
argumenter ?
Sinon comme c'est HS et que je n'ai pas du tout envie de troller
là-dessus je te renvoie ici :
http://vosdroits.service-public.fr/ARBO/1414-NXJUS500.html

ça tourne en rond "ton bazard"
Certainement pas.

Et pour ta gouverne de nombreuses démarches/recherches aux US, en
France, en UE, etc... vont dans le sens de notre initiative/projet.

(c'est toujours : faire peur
Qui parle de peur ? Toi pas moi.

pour mieux vendre *la solution* )
Je n'ai rien à vendre sur Usenet je te l'ai déjà signalé. Donc merci

d'en prendre acte une fois pour toute.
Et juste pour toi vas lire cela ça ne te fera pas de mal (alinéas droit
& devoirs des contributeurs) :
http://www.foruminternet.org/telechargement/documents/charte-forums-20030708.htm

Merci. ;)

Eric Razny wrote:

Ok, donc un "méchant" n'a qu'à s'incrire à un cours d'info!
lol ridicule ton exemple.

En général le profil d'un "méchant" correspond plus à qqun qui dispose
déjà des bases qui lui permettent d'agir !
Maintenant un étudiant peut devenir qqun de malintentionné mais ça c'est
une question d'environnement personnel dans lequel il évolue, de son
profil psychologique, de ses motivations personnelles, etc.

Waou, géniale la
protection :(
Authentification/identification du user = on sait qui il est et ce qu'il

fait.

Bien entendu dans ton super système il va falloir une enquète de la DST sur
chaque candidat étudiant!
La DST n'intervient qu'en cas de doutes/problèmes/suspicions liés à la

sûreté du territoire et des systèmes d'information.
Un fichier répondant a tous les critères demandés + les
accréditations/habilitations est suffisant.
Maintenant oui la DST peut remonter jusqu'à un utilisateur
malintentionné. Autrement non.

Outre le fait que je suis *pour* une diffusion libre *à tous* de
l'information[1]
Oui moi aussi mais nous sommes sur un réseau mondial avec tous types

d'utilisateurs : bienveillants en majorité mais avec aussi des personnes
malintentionnées !

c'est encore une preuve,
Non car tu ne prouves rien.

s'il en est besoin, que ton
système ne tiens pas la route,
Mensonges et dénigrements.

sauf si tu est hyper contraignant[2]
Si c'est ta vision... soit.

Mais je te parle d'une communauté d'utilisateurs, identifiée utilisant
un même système pour collaborer.

C'est
toi qui donne l'exemple de l'étudiant, pas moi...
Oui. Nous les incluons dans la communauté car mon expérience personnelle

et celle de mes confrères et collègues nous montrent tous les jours que
nous aurions tort de les exclure du système.

(et c'est bien connu, je
n'ai jamais vu un étudiant hacker la console de son voisin pour quelque
manips par rebond).
Tu donnes ici l'illustration de ce que je viens te dire ci-dessus.

Un étudiant n'est pas à exclure du système bien au contraire !

Donc toute personne n'étant pas professionnelle devra être accréditée
afin d'avoir accès à l'espace.

et hop je reprends sur [2].
Oui si tu veux.

Pourquoi y aurais-tu accès (puisque tu dis que tu
es un professionnel de la sécurité), et pas moi (qui n'en suis pas un) ?
Je suis accrédité et pas toi. Mais comme je viens de te le dire tu peux

l'être.

et je viens de dire [2]
Oui si tu veux.

Je n'ai pas le droit de vouloir protéger *ma* machine, *mon* réseau ?
Si bien entendu.

Ben non, puisque s'il n'a pas un accès possible dans tous les cas de figure
il l'a dans <biiip>.
Ben si... :

1/ Il suit les conseils officiels ou de professionnels ou de users
largement publiés sur le réseau ou dans des ouvrages pour protéger sa
machine et son réseau.
2/ ou S'il veut aller plus loin il demande un accès à "l'espace"
(appelons-le ainsi). Il remplit un formulaire. Accepte les conditions
d'utilisations. Accède à "l'espace".

Tu saisis maintenant ?

Pour la Xième (et X commence à être "grand") nous sommes plusieurs à t'avoir
démontré que :
Les intervenants avec qui j'échange ici (toi inclus) sur ce sujet n'ont

rien démontré du tout.

a) cette contention de l'information est "poreuse".
Faux. Mais je veux bien que tu m'apportes des éléments d'information

nouveaux que nous aurions pu omettre.

b) il n'y a pas moyen de tracer qui a diffusé l'info après download.
Faux. Idem ce que j'ai dit ci-dessus.

En tout cas dans notre infrastructure on peut tout suivre/tracer.

Faux. Tout comme les professionnels tu pourras et devras être accrédité.
Donc l'accès à l'information est possible mais encadré.

Tu as dit toi même dans un post précédent que l'accès à une zone de
confiance serait données de manière discretionnaire. Donc, définitivement,
[2]
Oui si tu veux.

Il y a quand même un "mais" et des exceptions et nous aurons l'occasion
d'en reparler.

Pourquoi ?
La publication publique de codes, exploits, malwares, hacks tools

multiplie les risques à des fins illégales & malfaisantes.
Regardes l'actualité avec l'exploitation de certaines failles...

N'importe quoi.
Eric tu commences vraiment à me faire marrer.

Exemple que je viens déjà d'adresser à Djehuti :
la publication par le groupe chinois XFocus d'un programme exploitant la
faille RPCDCOM et qui a été utilisé ! Alors que 9 jours avant MS avait
informé d'une faille dans Windows !

Le risque n'est pas qu'un SK ponde un nouveau virus avec un
Virus toolkit quelconque parce que c'est accessible.
Ne confonds pas tout.

Une personne malintentionnée quelque soit son âge peut être dangereuse
et néfaste. Tout dépend de ses capacités et compétences.
Les exemples sont nombreux pourtant : auteurs de virus/worms/trojans...

N'importe quel étudiant
un peu débrouillard est apte à en faire autant!
Oui nous sommes d'accord mais je t'ai déjà donné des explications à ce

sujet. CF au début de ce message.

(et je dis ça alors qu'un
virus frappe à ma porte toutes les 75s sur mon adresse e-mail en ce moment.
Ce qui serait interressant c'est que les utilisateurs finissent par
apprendre avec les répétitions...)
Le Swen en question sur mon adresse attrape merde en est à sa 607

apparitions à cette heure-ci depuis jeudi à 15h52 !
Un vrai record de spam sur cette adresse email.
Habituellement j'oscille entre 80 et 150 spam par semaine.
Tous mes autres comptes personnels & professionnels ne sont pas
affectés.
Au bureau d'ailleurs pas trop de Swen à l'horizon.
Le constat : toutes mes/nos adresses/comptes mails affectés sont
ceux/celles publiées sur Usenet.

Non.
La publication d'une faille/vulnérabilité est toujours accompagnée d'une
description technique.

A partir de ça il est en général pas trop compliqué de trouver comment faire
un exploit...
Oui cf mon exemple RPCDCOM plus haut.

L'exploit ou le code source ne sont pas nécessaires pour tout le monde.
Exemple :
à l'apparition d'un nouveau virus, l'AV va mettre à jour sa table de
signatures et communiquer/publier une information permettant d'aider le
user quel qu'il soit à protèger au mieux son environnement. Les éditeurs
ne communiquent jamais le code source.

Bien entendu seul les bases de virus sont importantes pour la sécu :(
lol c'était un exemple.

Mon exemple RPCDCOM te satisfait plus ou bien en veux-tu encore ???

Tu ne te rappelle pas d'un petit gag Cisco il y a peu? Les acls fournies
indiquent à elles seule comment attaquer (en cherchant un peu).
Je travaille avec eux et reçois tout merci ! ;)

Deux alertes viennent de paraitre pour sendmail et sshd.
Je suis comme toi bien informé merci encore !

Jette un oeil aux
patches. Oh, merde, ça indique où et quelle vulnérabilité se trouve dans le
code.
lol

C'est une honte de rendre ça public.
Comme tu as pu le constater je ne partage pas du tout ton point de vue

sur le partage/publication de l'information dans notre domaine.

[1] il est de la responsabilité de la personne qui découvre la faille
d'avertir l'éditeur et de lui donner les délais suffisants pour agir. Et de
celle de l'éditeur... d'agir!

[2] et donc on reparts sur une elite auto-proclamée qui déclare qu'une
sous-élite à accès à l'info :-((

Eric Razny wrote:

Toutes mes excuses, ce n'est ni discours de marketeux, ni de technico
mais

de poète. On dirait un inventaire à la Prévert :(
Bref un charabia fourre tout.
Il suffit de reprendre quelque posts précédent pour remarquer qu'en
début de

thread tu annonce A pour conclure en fin du même thread qu'il est
évident

que non-A! (en le présentant comme une évidence en plus!).
Faux.

Regarde le post concernant la sécurisation des exploits ou tu conclus à la
fin que c'est impossible.
Tu ne m'as pas compris alors. Là je ne peux rien faire pour toi.

Notes aussi qu'Internet est avant tout un outil de travail en réseau.

Non,
Si dans le cadre de l'espace dont je te parle.

Faux.
Que tu ne sois pas d'accord sur la philosophie du projet soit.

Mais tu ne sais rien du projet juste qq infos c'est tt.
Alors comment peux-tu me contredire quand je t'affirme que notre espace
est bien un outil de travail en réseau !!!

Tu definis un espace (plus exactement tu le nomme, internet) E puis tu
annonce une propriété qui est fausse dans cet espace.
Soit tu es d'une mauvaise foi incroyable ou bien désolé de te le dire

ainsi mais tu ne m'as pas compris.

Et comme justification
tu viens dire que tu parles en fait du sous espace F inclus dans E?
Idem cf ci-dessus

Le langage a cette particularité qu'il permet la communication en permettant
un échange d'information. Si, et c'est particulièrement vrai dans les
domaines techniques -au sens large-, tu utilise un mot qui a une
signification précise à contre sens ou de façon impropre il est évident que
les personnes "en face" ne vont pas comprendre.
J'ai été très clair et le plus concis possible. Maintenant que tu ne me

comprennes pas je n'y crois pas une seconde. En outre que tu ne veuilles
pas me comprendre par postulat je le constate.

Maintenant, et c'est un avis personnel, je pense qu'en ce qui te concerne
c'est une technique -classique- du "non non, j'ai bel et bien raison, mais
je ne voulais pas dire ça".
Tu te trompes complètement sur ma personne et j'en suis navré pour toi.

Pire tu dis "je n'ai pas dis ça". N'importe qui
ici peut remonter un peu les thread pour voir que tu as bien énoncé soit des
contre-vérité, soit ce qui est, amha, pire des contradictions entre
différentes parties de ton propos (quand tu présente une évidence puis
finalement, non, l'évidence n'est qu'un idéal!!!)
Mensonges et dénigrements. Pas d'autres commentaires.

Nota bene : tu devrais toi aussi lire ceci (alinéas Droits et devoirs du
contributeur) :
http://www.foruminternet.org/telechargement/documents/charte-forums-20030708.htm

Oui et ici je parle d'un usage particulier.

Non tu l'a désigné de façon générale, sans le restreindre à un sous
ensemble. Tu change sans arrêt d'angle d'approche, donc tu n'a même pas
l'excuse d'une restriction implicite.
J'ai été très clair sur ce qu'est cet "espace".

Et ce n'est pas "avant tout
un outil de travail en réseau."
Au contraire il l'est complétement dans le cadre de notre projet.

Errare humanum est, perseverare diabolicum... :)
lis au dessus
Et ça continue...

Pourquoi ne me réponds-tu pas simplement que tu n'es pas d'accord avec
moi et notre projet ? Au moins la discussion en reste là.
Sinon cesses de dire de mentir ou dénigrer !
Tu deviens limite diffamatoire.

lol eh bien justement mon cher l'approche, la démarche à suivre dans
tout projet d'espace de confiance s'appuie sur le process reingeneering.

La différence avec un ingénieur digne de ce non, c'est que dans son cas on
pourrait suivre de façon formel un raisonnement, une argumentation solide et
scientifique[1].
Nous sommes sur un forum de discussion public ici ! Et certainement pas

sur un forum ou liste ou groupe privé.

Que je sache je réponds à toutes tes questions/remarques. Et je ne suis
pas en train de te faire un CR technique ou encore moins un exposé dans
le cadre d'une conférence ou d'un séminaire.

Accessoirement :
a) process reingeneering est un terme générique fourre tout.
Oui et approprié dans mon explication et la problèmatique des espaces de

confiance.

C'est un joli
titre à mettre au début d'un chapitre.
Si tu le penses...

Mais ça ne prend de valeur que
lorsque le texte qui est dessous est précis, détaillé et applicable.
Mon propos est clair et une nouvelle fois je sais de quoi je parle.

Simplement tu n'es pas satisfait pour je ne sais quelle raison.

Autrement démontres-moi que l'approche à avoir quand on parle d'espace
de confiance doit se situer ailleurs alors tu seras crédible à mes yeux.
Car tes critiques et autres remarques sans fondements ici ne
m'impressionnent pas ni ceux qui savent exactement de quoi je parle.

b) tu affirme, arbitrairement pour changer, que c'est LA démarche à suivre.
Aucun justification, preuve ou autre.
J'ai justifié mon propos et la démarche en t'expliquant justement que :

"la dématérialisation des échanges est une démarche pragmatique de
réorganisation des activités de l'entreprise fondée sur l'identification
et l'analyse des processus ayant un impact sur les objectifs
stratégiques à atteindre ; les changements radicaux dans les habitudes
de travail, changements qu'il convient d'accompagner, notamment par la
formation continue ; etc. "

et j'ai précisé dans mon dernier post comment cela s'appelait soit
process reingeneering.

Après cela tu penses ce que tu veux mais les arguments sont là et pour
reprendre certains de tes termes il y a bien : justification et preuve.

Encore une fois le fameux "tout le
monde sait que". Du commercial pur beurre, mais du type mieux vaut s'agiter
des fois que le prospect s'aperçoive que c'est du vent derrière :(
Non, mon cher, ce n'est pas A PRIORI *LA* démarche à suivre.
Accessoirement quand on prentend inventer quelque chose je préfère
l'ingeneering que le re-ingeneering, comprenne qui pourra.
L'ingénierie et les process de reingeneering cohabitent parfaitement

dans des projets d'espaces de confiance.
Et pour être le plus simple qui soit si tu n'as qu'une approche
technique et non organisationnelle ce type de projet est voué à l'échec.
Car il faut penser les processus.

Et je t'invite aussi à te replonger dans l'évolution de nos systèmes
d'information afin de mieux comprendre que de nos jours et dans l'avenir

Tiens tu fais dans le "madame soleil" maintenant? de mieux en mieux!
lol

En tant que chercheur/consultant/développeur/programmeur et j'en passe
sur ce que je suis et fait je regarde souvent dans le passé, j'observe
le présent et je me projette dans le futur.
Sinon je ne pourrais pas travailler sur des projets quels qu'ils soient.

l'intégration de la notion de service replace l'humain au coeur du SI et
fait donc évoluer le rôle du système d'information.

Encore une fois un raccourci foireux.
Ton intervention devient comique.

Un remplacement n'implique pas (ton
"donc") une évolution de rôle.
Si car l'impact a de profonde conséquence sur l'organisation du SI.

Penches toi un peu plus sur les fonctions/métiers d'un SI et tu
comprendras mieux (enfin j'espère).

Une implication se démontre.
Les arguments, les exemples ne te suffisent pas.

Mais j'attends de te lire. Eclaire-moi alors, au lieu de critiquer sans
arguments.

Sinon c'est au mieux une probabilité, parfois
dure à quantifier. La rigueur est un minima dans ce métier.
Es-tu rigoureux ici dans ce post précisement ? Non aucun argument de ta

part sinon des critiques ou remarques ou mensonges.

Non car il me semble que tu n'as pas bien observé le cadre légal de la
preuve électronique. Je me trompe peut-être à ton égard mais ici c'est
l'impression que tu me donnes.

Tu te trompe.
Sincèrement j'espère car tu commences à m'inquièter sérieusement.

Accessoirement le cadre légal de la preuve électronique est
peut être posé mais, et je ne te l'apprendrais pas, une loi vaut[2] par les
jurisprudences établies au fil du temps. On en est encore au balbutiements
en ce qui concerne l'application réelle. Et aller en justice en ce moment, a
de rare exception près (email privés en entreprise par exemple) c'est aimer
jouer à la lotterie[3].
Entièrement d'accord avec toi ici.

Le LEN, sous sa forme actuelle, est encore largement sujet à
l'interprétation et les décrets qui peuvent être appliqué dessus peuvent
être aussi bien raisonnables que catastrophiques. La *potentialité* inscrite
dans les lois de m'empêcher d'utiliser un outil qui m'est indispensable me
pousse, à fortiori, à m'opposer à son passage.
Je te l'ai déjà dit on consulte beaucoup dans notre pays avant de

prendre des décisions donc visites le site de la DCSSI ainsi que celui
du CSTI qui font part de tous les derniers commentaires et
recommandations à ce sujet.

Et un lieu incontournable pour tout ce qui touche au droit sur
internet :
http://www.foruminternet.org/

La n'est pas le problème.
Si justement ! Car si l'on veut développer les échanges/services sur

Aucun rapport avec la discution.
Si complètement.

Tu recommence sur des généralité, moi je
parlais clairement du service d'échange que tu voulais mettre en place de
façon *gratuite*
Moi aussi je te parle de notre "espace" et je t'apporte un complément

d'information en justifiant le besoin d'avoir une "vraie" preuve
numérique. Et on l'a.

Une fois de plus tous les moyens légaux et techniques existent déjà.
Oui on est d'accord.

Il
suffit de la volonté d'une entité (et des moyens mis en place derrière) pour
qu'elle se dote de telles possibilités.
Pas seulement il faut lancer surtout des initiatives/projets afin de

développer les services/usages. Sensibiliser les utilisateurs.

Accessoirement, puisque tu évoque souvent " l'humain " je te suggère de lire
les commentaires sur l'impact social du vote électronique, en particulier la
disparition du phénomène de "tous égaux dans le bureau de vote *physique*".
Mais c'est un autre sujet (le fait de pouvoir n'implique pas le fait de
devoir).
Oui je suis aussi de très près les contraintes et possibilités du vote

électonique.

Je suis contre le fait que certains certs communiquent à des clients payant
les infos avant les autres.
C'est une pente, amha, dangereuse, même si pour
l'instant la plupart des infos arrivent à temps au public.
Je n'ai pas eu de remontées de ce genre. Ca me surprend ce que tu dis

là. Tu parles de nos CERT gouvernementaux français ou d'autres ?

Il existe bien d'autre moyens de faire de l'argent, par exemple en
continuant à donner les infos mais en proposant ses services pour résoudre
(de façon payante) les problèmes (MAJ, mesure proactives etc.)
Entièrement d'accord avec toi.

Oui dans l'exemple que nous donnait Cédric.
Mais dans le cadre d'un espace de confiance où une communauté de users
authentifiée/identifiée, il est possible de mieux contrôler les
échanges/flux d'information et donc de limiter les risques.

La *majeure* partie de l'info échangée est TEXTUELLE. On se retrouve donc
dans le cas de Cédric.
Non car je te l'ai dit nous sommes dans un espace privé et contrôlé.

Hypothèse : la probabilité d'avoir une brebis galeuse dans ce petit monde
est très proche de 1 [4]
Je suis d'accord avec toi. Mais l'espace contrôle uniquement les flux

d'informations échangés et les traçent. Les individus ensuite sont
libres et responsables...

Si tu accepte cette hypothèse la limitation des risque est quasi nulle.
On circonscrit les codes dangereux, malwares, hacks tools, etc.

Après les dérives, dérapages, erreurs, malveillances comme tu le sais
sont incontrôlables.

Et encore, je suppose que ce petit monde soit seul détenteur des infos, ce
qui est, amha, impossible. (Le amha est uniquement pour éviter le "il est
évident que"!).
Après je viens déjà de te le dire cela dépend du comportement de chacun.

aujourd'hui un espace de confiance peut être la solution. Et bien
entendu le modèle économique reste à définir.

"Bien entendu" :(. S'il n'y avait que le modèle économique à définir ce
serait déjà pas mal. La notion même d'espace de confiance est problèmatique
dans son implémentation hors de tout soucis éco.
Oui parce que nous en sommes au début. Mais de nombreux projets sont en

cours un peu partout dans le monde. Certains sont déjà opérationnels et
fonctionnent. Beaucoup sont liés à l'administration mais cela bouge
depuis 2ans.

Non notre architecture est définie. En outre, le modèle économique n'est
pas encore défini pour les raisons que je t'ai déjà fourni.

Dont acte. Peut-on avoir la définition de l'infrastructure?
J'ai déjà répondu. Nous publierons bientôt nos travaux en ligne.

Ah non, c'est vrai, pas d'exemple concret surtout.
Bientôt. Sinon j'ai communiqué déjà pas mal des renseignements sur le

sujet. Après rien ne t'empêche d'approfondir le sujet en attendant nos
publications.

Prétexte
hyper-ultra-top-secret?
Si tu veux.

Dans mon métier on appelle ça engagement de confidentialité.

[1] au sens rigueur, mise en avant de ce qui est connu, hypothétique, les
axiomes utilisés etc.

[2] Valoir dans le sens ou on peut s'en servir de façon relativement fiable,
en pouvant prédire -avec de bonne chance de réalisation- le résultat d'une
affaire quand tous les éléments en sont connus.

[3] ce n'est pas une critique mais un constatation. Est c'est "normal" dans
le sens ou tout texte doit être éprouvé face aux réalités du terrain, avec
des champs d'application souvent plus large que prévus par le législateur.

[4] brebis galeuse volontaire ou pas (sic). Le gars de bonne foi qui parle à
son collègue de la faille critique qui traine divulgue l'info sans même y
faire attention. C'est le "syndrome de la machine à café". Et plus tu
augmente le nombre de participant légitimes plus tu augmente les risques.

Dans sa prose, LaDDL nous ecrivait :

Les codes dangereux (je le précise à nouveau), exploits, malwares, hacks
tools, etc n'ont pas à être rendu public. Pourquoi ? Pour limiter les
risques de : fraudes informatiques, intrusions, piratage, vols de
données, etc... Un exemple récent : la publication par le groupe chinois
XFocus d'un programme exploitant la faille RPCDCOM et qui a été utilisé
! Alors que 9 jours avant MS avait informé d'une faille dans Windows ! Tu
comprends mieux maintenant ? Ou bien faut-il poursuivre ?

J'avais dit que j'arrêtais, mais là, c'est trop gros.

1. Microsoft publie un advisory de failles
2. 9 jours plus tard, un groupe chinois publie un exploit

Comment ton système peut empêcher le groupe de chinois* de publier son
exploit ? En outre, dans la mesure où le correctif est disponible,
pourquoi Blaster a-t-il eu l'impact qu'on lui a connu ? Manifestement, le
problème n'est pas dans la diffusion de cet exploit, mais dans
l'application du correctif d'une part et dans l'existence d'une politique
de filtrage de paquets d'autre part (les ports RPC n'ont pas à être
accessibles depuis le net). Idem pour Slammer, mais en pire (6 mois entre
le correctif et le ver, utilité du port ouvert nulle depuis Internet,
application professionnelle), et, le filtrage en moins, idem pour Code Red
et Nimda.
Bref, en quoi cet exemple peut servir à apporter la moindre légitimité
à ton système ?

Pour conclure, je vais te dire comment je vois ton système. C'est un
système qui :

. mets l'information pertinente à disposition d'un groupe
restreint et privilégié de personnes (ceux qui peuvent payer ou sont
dans les petits papiers des admins)
. laisse les autres dans une situation de dépendance vis-à-vis des éditeurs
qui est contradictoire avec la notion même de sécurité : la
sécurité suppose en effet l'indépendance, en particulier face à des
entreprises aux intérêts contradictoires.
. ne garantit absolument pas que les informations qu'il distribue à ses
abonnés ne peuvent transpirer et se retrouver dans la nature (cf.
exemple soumis par moi)
. ne garantit absolument pas que des informations aussi sensibles soient
de toute manière publiées sur le net (cf. au dessus)

Donc l'effet recherché, à savoir la non prolifération des informations
que tu veux contrôler, est loin d'être atteint. De plus, un effet super
pervers qu'on rencontre à tout va sur le net, à savoir le trading
d'exploits, sera favorisé par les membres mêmes de ton cercle de
confiance pour lui assurer un bon approvisionnement en
exploits/malwares/etc. comme c'est déjà le cas avec certaines sociétés
dont on taira le nom. La prolifération dans les cercles dits Underground
ne sera donc en rien arrêtée (tout au plus stoppée), mais en même
temps, on aura rendu _encore_ plus vulnérables le "grand public"** en lui
fermant l'accès à toute l'information.

Alors dans un monde genre DisneyLand où tout le monde est gentil, ton
système pourra marcher. Seulement, si tout le monde est gentil, quel est
son intérêt ? Mais dans la vraie vie, celle où le CERT se fait piquer
des infos, celle où des sociétés de sécurité achètent des exploits
ou les échanges contre d'autres pour accroître leur base de
connaissance (et donc la valeur marchande de leurs services), celle où
les relations whitehat/blackhat sont loin d'être anecdotiques, etc.,
bref, celle de l'Internet qu'on pratique tous les jours, non seulement il
n'accroît pas le niveau de sécurité général, mais il rend les gens
dépendants et (donc) vulnérables par manque d'information.

Voilà pourquoi ton système ne me plaît pas du tout. Et tes
contradictions (cf. ci-dessous pour un exemple) n'arrangent rien au
malaise. Je préfère de loin les cercles informels genre mailing lists
privées. Au moins, ça annonce la couleur tout de suite, et ça n'a pas
prétention à sauver le monde.




* En plus, tu n'as pas fini de te faire des cheveux blancs, ils viennent
de remettre ça avec un papier fort intéressant et instructif sur
Bugtraq et Full Disclo.

** Finallement, le "grand public", qui, selon tes dires, n'a pas à avoir
accès aux exploits et assimilé[1], c'est l'ensemble des
utilisateurs maintenant[2] ? Intéressant comme point du vue au regard
de ce que tu as pu écrire précédemment.

[1] <3f6aa9de$0$5227$79c14f64@nan-newsreader-02.noos.net>
"On considère que le grand public n'a pas à avoir accès à ce type
d'information (codes, exploits, malwares, hacks tools, etc)."
[2] <3f6c7529$0$24245$79c14f64@nan-newsreader-01.noos.net>
"Le terme "grand public" englobe tous les types d'utilisateurs : des
débutants aux plus expérimentés."

--
BC> je ne fais rire que les dinos
Mais vous faites gerber tous les autres.
-+-AC in <http://neuneu.mine.nu> : Dépôt de gerbe -+-

Dans sa prose, Cedric Blancher nous ecrivait :

La prolifération dans les cercles dits Underground ne sera donc en rien
arrêtée (tout au plus stoppée)

Ooops, pas stoppée, mais _freinée_.

--
ha bon donc dés qu'on ose faire la promotion de l'annonymitée on
deviens un criminel
et un filtre de plus
-+- Y63 in: GNU - Faf, con, trouillard et fier de l'être -+-

"LaDDL" <alamaisonNOSPAM@noos.NOSPAM.fr> a écrit dans le message news:
3f6c7529$0$24245$79c14f64@nan-newsreader-01.noos.net

je réponds une dernière fois pour ne pas polluer plus ce groupe

Le terme "grand public" englobe tous les types d'utilisateurs : des
débutants aux plus expérimentés.

ah bon ? donc le "grand public" peut être simplifié en "public" ?
(et seulement pour marquer une différence d'avec les "experts" comme toi)

Les codes dangereux (je le précise à nouveau), exploits, malwares,
hacks
tools, etc n'ont pas à être rendu public.
Pourquoi ?

je ne veux pas de ta version "totalitariste" !

Un exemple : pour posséder une arme à feu tu dois avoir un permis de
[...]

J'aurais dû encore développer mon exemple aie aie aie

tu pourras toujours développer ce que tu voudras...
en partant de prémices fausses, le résultat sera invariablement *faux*

Le fait de détenir une arme à feu doit être déclaré auprès des
autorités. Est-ce plus clair dans ton esprit ou bien faut-il encore
argumenter ?

ce qui n'empêche pas les "méchants" de s'en procurer sans faire de demande
et d'oublier négligemment la déclaration *eg*

Sinon comme c'est HS et que je n'ai pas du tout envie de troller

c'est toi qui l'a introduit le HS

pour le reste, je suis encore libre de mes choix/opinions et me passe de tes
recommandations/conseils/ordres

amha, si tu cherchais une "reconnaissance" de la part de tes pairs... c'est
définitivement râpé

@tchao

"LaDDL" <alamaisonNOSPAM@noos.NOSPAM.fr> a écrit dans le message de
news:3f6c83b5$0$17044$79c14f64@nan-newsreader-02.noos.net...

Eric Razny wrote:

Ok, donc un "méchant" n'a qu'à s'incrire à un cours d'info!
lol ridicule ton exemple.

Aussi ridicule que ton assertion, c'est pour bien mettre son intérêt en
valeur.

En général le profil d'un "méchant" correspond plus à qqun qui dispose
déjà des bases qui lui permettent d'agir !

Je ne crois pas qu'un SK dispose vraiement de "bases" solide, ce n'est pas
pour autant que je le classe dans les gentils.

Waou, géniale la
protection :(
Authentification/identification du user = on sait qui il est et ce qu'il

fait.

Apprend à lire. Plusieurs personnes t'ont démontrées que ton système est
poreux. Et qu'on ne peut PAS remonter à celui qui fait fuire l'info.

Outre le fait que je suis *pour* une diffusion libre *à tous* de
l'information
Oui moi aussi mais nous sommes sur un réseau mondial avec tous types

d'utilisateurs : bienveillants en majorité mais avec aussi des personnes
malintentionnées !

Et alors? Tu devrais prendre un dico et regarder au mot TOUS.
Et tu me répond oui je suis pour une diffusion à tous, mais pas à tous (sic,
malheureusement).

s'il en est besoin, que ton
système ne tiens pas la route,
Mensonges et dénigrements.

Dénigrement certainement. Mensonge? Prends un cours de logique formelle
(c'est une discipline scientifique, pas de marketeux) et reviens me voir
quand tu saura ce qu'est une démonstration.

C'est
toi qui donne l'exemple de l'étudiant, pas moi...
Oui. Nous les incluons dans la communauté car mon expérience personnelle

et celle de mes confrères et collègues nous montrent tous les jours que
nous aurions tort de les exclure du système.

OK, no problem... et l'expérience de pas mal ici montre que ce serait en
tord d'en exclure d'autre du système.

(et c'est bien connu, je
n'ai jamais vu un étudiant hacker la console de son voisin pour quelque
manips par rebond).
Tu donnes ici l'illustration de ce que je viens te dire ci-dessus.

Un étudiant n'est pas à exclure du système bien au contraire !

Oops autant pour moi, j'aurais du mettre un smiley pour indiquer l'ironie.
Tu ne dois pas fréquenter beaucoup d'étudiant, ou alors seulement ceux de
ton monde idéal. Il y a peu j'ai encore vu des trojans sur l'ordi (en salle
de cours) d'un prof de C pas trop au fait des problèmes de sécu.[1]

2/ ou S'il veut aller plus loin il demande un accès à "l'espace"
(appelons-le ainsi). Il remplit un formulaire. Accepte les conditions
d'utilisations. Accède à "l'espace".

Soit c'est un espace réservé et alors certains n'auront, de toute façon pas
accès à cet espace.
Soit tout le monde peut y avoir accès et on t'a *démontré* que l'on ne peut
remonter à celui qui organise la fuite d'un document ascii et dans ce cas
ton système ne sert à rien, autant donner accès à tous de suite.

Dans les deux cas on abouti à un système soit absurde soit qui nuit, in
fine, à la sécurité.

Tu saisis maintenant ?

Ca oui, que je perds mon temps. J'espère seulement que ton comportement est
aussi volontaire que celui d'un certain l'heureux dans un autre groupe.
Pour info ce lheureux c'est un mec qui pond un système de crypto avec des
règles non précisement définie. Et chaque fois que quelqu'un lui *demontre*
que c'est cassé en très peu de temps on a droit à un : "non mais en fait,
finalement, ma règle il faut l'interpréter comme ça". Ou parfois à un "ok,
mais alors si je fais comme ça (evidement ça reste cassable puisque la
*base* est plus que douteuse mais c'est reparti pour un tour). La différence
c'est que ça a servi à quelque chose la bas (ils ont implémenté son système
puis l'ont cassé).

Pour la Xième (et X commence à être "grand") nous sommes plusieurs à
t'avoir

démontré que :
Les intervenants avec qui j'échange ici (toi inclus) sur ce sujet n'ont

rien démontré du tout.

Tu semble bien être un des rares, sinon le seul, à le penser.

a) cette contention de l'information est "poreuse".
Faux. Mais je veux bien que tu m'apportes des éléments d'information

nouveaux que nous aurions pu omettre.

De nouveau :
à partir du moment ou un "méchant" est inscrit légitimement au système (et
le "méchant" fait partie de la vie réelle, ce n'est pas nécessairement
marqué sur son front ou sur son casier judiciaire) il peut rediffuser les
informations textuelles sans risque d'être découvert[2]

b) il n'y a pas moyen de tracer qui a diffusé l'info après download.
Faux. Idem ce que j'ai dit ci-dessus.

En tout cas dans notre infrastructure on peut tout suivre/tracer.

DEMONTRE le. Donne accès aux mêmes infos textuelles à trois personne de ce
groupe (je pense en connaitre deux qui accepteraient). Une quatrième
personne, n'ayant pas d'accès direct à l'information poste ici une des infos
(on suppose un certain délai qui fait que les trois personnes ont eu le
temps de lire l'info et l'ait fait). Et tu nous dis lequel de nous trois est
à l'origine de la fuite. OK?

Si ce n'est pas le cas c'est bien que ton système est du vent. (et si
c'était le cas ça me ferait encore plus peur, toi qui faisait allusion à un
certain George (sans 's'). Mais ça ne risque pas)

Faux. Tout comme les professionnels tu pourras et devras être
accrédité.

Donc l'accès à l'information est possible mais encadré.

Tu as dit toi même dans un post précédent que l'accès à une zone de
confiance serait données de manière discretionnaire. Donc,
définitivement,

[2]
Oui si tu veux.

Je ne veux pas justement. Accessoirement l'argument étant difficilement
parable tu tente encore une pirouette :(

Il y a quand même un "mais" et des exceptions et nous aurons l'occasion
d'en reparler.

Avant que mes atomes ne se soient dispersés? Parce que les "on verra plus
tard", pour moi c'est surtout une manière (pas très habile) de cacher une
incapacité à répondre.

Pourquoi ?
La publication publique de codes, exploits, malwares, hacks tools

multiplie les risques à des fins illégales & malfaisantes.
Regardes l'actualité avec l'exploitation de certaines failles...

N'importe quoi.
Eric tu commences vraiment à me faire marrer.

Exemple que je viens déjà d'adresser à Djehuti :
la publication par le groupe chinois XFocus d'un programme exploitant la
faille RPCDCOM et qui a été utilisé ! Alors que 9 jours avant MS avait
informé d'une faille dans Windows !

Et la réponse des autres est sans appel : en quoi ton système aurait empèché
la publication de ce groupe???
La différence c'est que la faille étant confidentielle pour beaucoup (ceux
n'ayant pas accès à ton système), "ils" vont s'en prendre plein la tronche
pour pas un rond. Et ensuite les pseudo élites à deux balles qui vont se
faire DoSer par les zombies qu'ils ont contribués à faire fleurir.
Ouais super ton idée. Enfin celle la oui, tu montre toi même que ton système
est, in fine, nuisible à la sécurité.

Alors au lieu de railler Djehuti sur le mode de "tu ne comprends rien" tu
devrais relire tes écrits. Avec un peu de chance, si tu oublie que tu les as
pondu, ça va te faire marrer.

N'importe quel étudiant
un peu débrouillard est apte à en faire autant!
Oui nous sommes d'accord mais je t'ai déjà donné des explications à ce

sujet. CF au début de ce message.

Et donc la rétention d'info n'empèchera pas des exploits de circuler. Juste
de s'en prévenir :(
Petit rappel : nous sommes dans un monde *réel*, où il n'y a pas que les
"gentils" qui trouvent des failles et où les "méchants" peuvent faire
circuler l'info sans gros problème. (et encore, je suis manichéen, c'est
encore pire avec les nuances de gris!).

Non.
La publication d'une faille/vulnérabilité est toujours accompagnée
d'une

description technique.

A partir de ça il est en général pas trop compliqué de trouver comment
faire

un exploit...
Oui cf mon exemple RPCDCOM plus haut.

Donc autant laisser passer les exploits de toute façon! (en divulgation, je
ne veux pas dire qu'il ne faut pas se protéger de leurs effets!)

Jette un oeil aux
patches. Oh, merde, ça indique où et quelle vulnérabilité se trouve dans
le

code.
lol

lol? Ca veut dire quoi ici? Que mon argument est valide et que tu n'as rien
d'autre qu'un rire tonitruant à y opposer? Ca fait un peu léger!
C'est comme Lheureux et ses smiley ":))))" à tout va. Encore qu'il me semble
qu'il y a un passage dans un bouquin avec les mots esprits et heureux ou
bien-heureux...

C'est une honte de rendre ça public.
Comme tu as pu le constater je ne partage pas du tout ton point de vue

sur le partage/publication de l'information dans notre domaine.

Ca c'est clair et ça ne me gêne pas. Le problème est que non content de ne
pas répondre aux critiques concernant ton "modèle" tu enchaine les
contradictions internes.

Eric.


[1] je ne désepère pas de leur faire comprendre qu'un étudiant, surtout en
info, est une menace potentielle pour leurs machines. Heureusement
l'administratif est isolé!

[2] sauf le vieux classique de l'info différente distribuée à chacun. Dans
le cadre de l'utilisationde ton système la diffusion de fausse information
te fait perdre immédiatement toute crédibilité quand bien même ça te
permettrait de mettre la main sur l'auteur de la fuite. Et si ce n'est pas
une fausse info, ça signifie que certains inscrit légitimes n'ont pas accès
à toute l'info, ce qui est contraire aux préceptes de base. CQFD

siostra Ani wrote:

mais de problèmes dans le partage de
l'info et du code, aucun.
Je rêve ou tu le fais exprès. Là je suis sérieux.

L'accès aux exploits par n'importe qui ça donne :
- des virus/worms/trojans/etc (cf la vague de cet été et qui se
poursuit actuellement)
- de la guerre économique/électronique
- etc.

Permettez moi de remarquer que la "guerre économique" sur Internet se
fait essentiellement à l'aide des simples moteurs de recherche, le
concept de le "guerre économique" étant le prolongement "offensif" de la
veille concurrentielle et stratégique, tout simplement. Attaquer un
serveur revient à attaquer un serveur, et non pas à faire de la "guerre
économique", qui elle n'a rien à voir avec les exploits.
J'emploie ce terme de guerre économique/électronique car lorsqu'un

assaillant (quel qu'il soit) attaque (quel que soit l'objectif visé), il
pratique le renseignement soit : la collecte d'informations (en tout
genre), la détection et l'identification des vulnérabilités (donc
exploits, etc). Ce n'est qu'à partir de la combinaison de ces résultats
qu'il enchaînera sur son scénario d'attaque.
Voilà.

En vous exprimant comme vous le faites vous créez une confusion
terminologique certaine, je tiens à vous le signaler.
Je suis donc navré si cela a pu prêter à confusion dans votre esprit.

Mais j'ai commencé ma carrière professionnelle en pratiquant les tests
d'intrusion et le renseignement est la base de toute approche. Vous
comprendrez peut être mieux pourquoi le partage de l'information en SI
me pose un problème d'éthique et de responsabilité (pas qu'à moi
heureusement).