Nicob wrote:Font ch*er, ces législateurs qui n'ont rien compris à la sécu !
Non il est important d'encadrer & légiférer dans notre pays dans le
domaine de la sécurité numérique.
Sinon c'est l'anarchie.
Et j'ajouterais que c'est le cas actuellement sur le réseau.
Nicob wrote:
Font ch*er, ces législateurs qui n'ont rien compris à la sécu !
Non il est important d'encadrer & légiférer dans notre pays dans le
domaine de la sécurité numérique.
Sinon c'est l'anarchie.
Et j'ajouterais que c'est le cas actuellement sur le réseau.
Nicob wrote:Font ch*er, ces législateurs qui n'ont rien compris à la sécu !
Non il est important d'encadrer & légiférer dans notre pays dans le
domaine de la sécurité numérique.
Sinon c'est l'anarchie.
Et j'ajouterais que c'est le cas actuellement sur le réseau.
Dans article ,
disait...Le scan de port est une tentative d'intrusion. Mais si tu lis les
lois Gofdfrain (articles 323-1 à 7 du nouveau code pénal), tu
constateras que la tentative est punie de la même façon que
l'intrusion effective.
C'est scandaleux, j'ai scanné des tas d'IP pour des raisons diverses mais
jamais en préparation d'une intrusion, plutôt en contrôle après des
connexions bizarres.
Dans article <p2rhkvcqu5q5gj8tgdhsvicc1gro37k9ks@4ax.com>,
thierry.evangelista@turpial.net disait...
Le scan de port est une tentative d'intrusion. Mais si tu lis les
lois Gofdfrain (articles 323-1 à 7 du nouveau code pénal), tu
constateras que la tentative est punie de la même façon que
l'intrusion effective.
C'est scandaleux, j'ai scanné des tas d'IP pour des raisons diverses mais
jamais en préparation d'une intrusion, plutôt en contrôle après des
connexions bizarres.
Dans article ,
disait...Le scan de port est une tentative d'intrusion. Mais si tu lis les
lois Gofdfrain (articles 323-1 à 7 du nouveau code pénal), tu
constateras que la tentative est punie de la même façon que
l'intrusion effective.
C'est scandaleux, j'ai scanné des tas d'IP pour des raisons diverses mais
jamais en préparation d'une intrusion, plutôt en contrôle après des
connexions bizarres.
La situation risque de changer radicalement si notre petit monde de la
SI français & international avec nos gouvernements en tête ne prennent
pas conscience qu'il faut appliquer des règles de fonctionnement et
d'éthique dans la fourniture d'outils, la publication d'exploits, etc.
Mais je tiens à te rassurer ainsi que les lecteurs de ce message un
certain nombre d'actions, projets, réflexions sont en cours afin
d'apporter des réponses aux problèmes sus-cités et d'améliorer la
sécurité numérique sous toutes ses formes. ;)
La situation risque de changer radicalement si notre petit monde de la
SI français & international avec nos gouvernements en tête ne prennent
pas conscience qu'il faut appliquer des règles de fonctionnement et
d'éthique dans la fourniture d'outils, la publication d'exploits, etc.
Mais je tiens à te rassurer ainsi que les lecteurs de ce message un
certain nombre d'actions, projets, réflexions sont en cours afin
d'apporter des réponses aux problèmes sus-cités et d'améliorer la
sécurité numérique sous toutes ses formes. ;)
La situation risque de changer radicalement si notre petit monde de la
SI français & international avec nos gouvernements en tête ne prennent
pas conscience qu'il faut appliquer des règles de fonctionnement et
d'éthique dans la fourniture d'outils, la publication d'exploits, etc.
Mais je tiens à te rassurer ainsi que les lecteurs de ce message un
certain nombre d'actions, projets, réflexions sont en cours afin
d'apporter des réponses aux problèmes sus-cités et d'améliorer la
sécurité numérique sous toutes ses formes. ;)
La situation risque de changer radicalement si notre petit monde de la
SI français & international avec nos gouvernements en tête ne prennent
pas conscience qu'il faut appliquer des règles de fonctionnement et
d'éthique dans la fourniture d'outils, la publication d'exploits, etc.
Notre gouvernement a très bien pris conscience:
Merci de le répéter mais pour votre gouverne je l'ai déjà signalé.
1) Que son budget doit être réduit.
C'est conjoncturel donc passagé.
2) Qu'il ne peut pas tout faire.
C'est un fait et il était temps que cela change
En conséquence il évite d'empoisonner la vie des gens consiencieux.
Je ne vois pas en quoi le gouvernement à travers son PLEN nous pose
Mais je tiens à te rassurer ainsi que les lecteurs de ce message un
certain nombre d'actions, projets, réflexions sont en cours afin
d'apporter des réponses aux problèmes sus-cités et d'améliorer la
sécurité numérique sous toutes ses formes. ;)
Il n'y a d'états d'âmes que chez les lobbyistes qui veulent caser leur
marchandise.
Vous faites erreur sur la personne.
La situation risque de changer radicalement si notre petit monde de la
SI français & international avec nos gouvernements en tête ne prennent
pas conscience qu'il faut appliquer des règles de fonctionnement et
d'éthique dans la fourniture d'outils, la publication d'exploits, etc.
Notre gouvernement a très bien pris conscience:
Merci de le répéter mais pour votre gouverne je l'ai déjà signalé.
1) Que son budget doit être réduit.
C'est conjoncturel donc passagé.
2) Qu'il ne peut pas tout faire.
C'est un fait et il était temps que cela change
En conséquence il évite d'empoisonner la vie des gens consiencieux.
Je ne vois pas en quoi le gouvernement à travers son PLEN nous pose
Mais je tiens à te rassurer ainsi que les lecteurs de ce message un
certain nombre d'actions, projets, réflexions sont en cours afin
d'apporter des réponses aux problèmes sus-cités et d'améliorer la
sécurité numérique sous toutes ses formes. ;)
Il n'y a d'états d'âmes que chez les lobbyistes qui veulent caser leur
marchandise.
Vous faites erreur sur la personne.
La situation risque de changer radicalement si notre petit monde de la
SI français & international avec nos gouvernements en tête ne prennent
pas conscience qu'il faut appliquer des règles de fonctionnement et
d'éthique dans la fourniture d'outils, la publication d'exploits, etc.
Notre gouvernement a très bien pris conscience:
Merci de le répéter mais pour votre gouverne je l'ai déjà signalé.
1) Que son budget doit être réduit.
C'est conjoncturel donc passagé.
2) Qu'il ne peut pas tout faire.
C'est un fait et il était temps que cela change
En conséquence il évite d'empoisonner la vie des gens consiencieux.
Je ne vois pas en quoi le gouvernement à travers son PLEN nous pose
Mais je tiens à te rassurer ainsi que les lecteurs de ce message un
certain nombre d'actions, projets, réflexions sont en cours afin
d'apporter des réponses aux problèmes sus-cités et d'améliorer la
sécurité numérique sous toutes ses formes. ;)
Il n'y a d'états d'âmes que chez les lobbyistes qui veulent caser leur
marchandise.
Vous faites erreur sur la personne.
En sécurité le "faites moi confiance" est une bêtise (je reste poli!).
Vous avez tort.
C'est ici que se trouve le problème avec LaDDL. Même en supposant que ce
soit un immense expert en (sécurité) informatique j'ai parlé d'expert
*et*
de débat *contradictoire*.
Il ne peut ignorer que des experts différents n'ont pas forcement le
même
avis sur la sécurité. Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur. Si on
met
en place un collège de pseudo experts autoproclamés avec pour mission
d'aboutir à des conclusions prédéfinie on obtient comme d'habitude un
merdier infame dont les effets de bord sont catastrophiques (3).
Un vrai "collège" ne se mettrait pas à dos la communauté.
Et le politique moyen, conseillé par un obsédé du contrôle -sans rapport
avec la sécurité(4)-, qui ne voit dans les exploits qu'une oeuvre
nuisible
ne va pénaliser, aux deux sens du terme, réellement que les
professionnels
du secteur.
Il est donc urgent d'attendre, dont acte.
En sécurité le "faites moi confiance" est une bêtise (je reste poli!).
Vous avez tort.
C'est ici que se trouve le problème avec LaDDL. Même en supposant que ce
soit un immense expert en (sécurité) informatique j'ai parlé d'expert
*et*
de débat *contradictoire*.
Il ne peut ignorer que des experts différents n'ont pas forcement le
même
avis sur la sécurité. Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur. Si on
met
en place un collège de pseudo experts autoproclamés avec pour mission
d'aboutir à des conclusions prédéfinie on obtient comme d'habitude un
merdier infame dont les effets de bord sont catastrophiques (3).
Un vrai "collège" ne se mettrait pas à dos la communauté.
Et le politique moyen, conseillé par un obsédé du contrôle -sans rapport
avec la sécurité(4)-, qui ne voit dans les exploits qu'une oeuvre
nuisible
ne va pénaliser, aux deux sens du terme, réellement que les
professionnels
du secteur.
Il est donc urgent d'attendre, dont acte.
En sécurité le "faites moi confiance" est une bêtise (je reste poli!).
Vous avez tort.
C'est ici que se trouve le problème avec LaDDL. Même en supposant que ce
soit un immense expert en (sécurité) informatique j'ai parlé d'expert
*et*
de débat *contradictoire*.
Il ne peut ignorer que des experts différents n'ont pas forcement le
même
avis sur la sécurité. Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur. Si on
met
en place un collège de pseudo experts autoproclamés avec pour mission
d'aboutir à des conclusions prédéfinie on obtient comme d'habitude un
merdier infame dont les effets de bord sont catastrophiques (3).
Un vrai "collège" ne se mettrait pas à dos la communauté.
Et le politique moyen, conseillé par un obsédé du contrôle -sans rapport
avec la sécurité(4)-, qui ne voit dans les exploits qu'une oeuvre
nuisible
ne va pénaliser, aux deux sens du terme, réellement que les
professionnels
du secteur.
Il est donc urgent d'attendre, dont acte.
J'avais compris qu'il était plutôt "politique".
Non désolé de vous décevoir, je ne fais pas de politique sur fcs. ;)
Nulle part mais n'êtes vous pas un commercial ?
Non, mais si ça vous chante. lol
Je ne suis pas sérieusement à cataloguer comme anarchiste.
MDR
Le problème est que être à la fois défenseur de la "liberté" et contre
le "libéralisme" est contradictoire.
Personne n'est parfait. ;)
Les dispositions pénales de la loi LEN ne visent que de vrais
délinquants informatiques,
Les sanctions pénales sont plus étendues que cela.
il n'est nullement question de tout contrôler
pour des motifs de sécurité largement exagérés.
C'est vous qui employez les termes "tout contrôler" ou "motifs de
J'avais compris qu'il était plutôt "politique".
Non désolé de vous décevoir, je ne fais pas de politique sur fcs. ;)
Nulle part mais n'êtes vous pas un commercial ?
Non, mais si ça vous chante. lol
Je ne suis pas sérieusement à cataloguer comme anarchiste.
MDR
Le problème est que être à la fois défenseur de la "liberté" et contre
le "libéralisme" est contradictoire.
Personne n'est parfait. ;)
Les dispositions pénales de la loi LEN ne visent que de vrais
délinquants informatiques,
Les sanctions pénales sont plus étendues que cela.
il n'est nullement question de tout contrôler
pour des motifs de sécurité largement exagérés.
C'est vous qui employez les termes "tout contrôler" ou "motifs de
J'avais compris qu'il était plutôt "politique".
Non désolé de vous décevoir, je ne fais pas de politique sur fcs. ;)
Nulle part mais n'êtes vous pas un commercial ?
Non, mais si ça vous chante. lol
Je ne suis pas sérieusement à cataloguer comme anarchiste.
MDR
Le problème est que être à la fois défenseur de la "liberté" et contre
le "libéralisme" est contradictoire.
Personne n'est parfait. ;)
Les dispositions pénales de la loi LEN ne visent que de vrais
délinquants informatiques,
Les sanctions pénales sont plus étendues que cela.
il n'est nullement question de tout contrôler
pour des motifs de sécurité largement exagérés.
C'est vous qui employez les termes "tout contrôler" ou "motifs de
Et le scanner de vulnérabilité, il est écrit comment? Sans savoir comment
accéder à la vulnérabilité? Avec simplement une banière ou un numéro de
port(berk!)? De plus il y a parfois un délai avant que ledit scanner
puisse... scanner la vulnérabilité.
Oui certes on est d'accord.
Ensuite, pour la x-ième fois, c'est une (petite) partie de la sécurité.
Oui le test de vulnérabilité n'est qu'une technique parmi d'autres dans
Enfin si je dois gérer un admin sécurité et que celui ci m'assure qu'on ne
risque rien car le scanner a dit que tout est ok je le vire sur le champ!
Je te comprends. ;) On ne peut pas se reposer uniquement sur des
Un scanner positif indique, généralement (1), une faille.
Même un scan après l'application d'un correctif peut engendrer un faux.
L'inverse ne
prouve *absolument pas* qu'on est hors danger (et je ne parle même pas de
l'humain qui va désactiver son AV pour lancer la pièce jointe d'un email!).
Entièrement d'accord.
Si le gars se limite au scanner et un outil d'admin à distance (les
mailing-lists de sécurité ne sont pas faite pour les chiens) il ferait mieux
de changer de métier (du moins s'il a un minimum de respect pour lui même ou
ses employeurs), au moins selon moi et je ne pense pas être le seul ici.
Moi aussi donc où est le problème. ;)
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
Entièrement d'accord. Même le smiley après le "toutes ses formes" montre
AMHA soit un dieu de l'info qui connait tout -pour ma part, suivant la
formule typique, j'échangerais sans hésiter l'intégralité de mes
connaissances contre 1% de ce que je ne connais pas- soit une personne
quin'a pas conscience de l'étendue du problème.
Attention ne me prends pas pour ce que je ne suis pas ! Merci ;)
Peux-tu être plus explicite?
Tu vas encore le prendre mal si je te dit de relire ton précédent post
Et pardon d'être un professionnel de la SI qui aime son métier, essaie
de suivre tt ce qui se passe et s'investit beaucoup.
Une fois de plus la sécurité informatique est un domaine extrêment vaste où
je pense que chacun a ses points fort et ses faiblesses.
Très juste. Et la SI comporte plusieurs métiers qui font appellent à des
Je m'investis
beaucoup également et j'aime aussi mon métier.
Heureux de le constater cher confrère. ;)
Permets moi simplement de ne pas être d'accord avec toi.
J'en conviens.
Il est a noter que
j'argumente généralement mes opinions et je maintiens que dans le domaine
sécuritaire il y a des avis d'experts qui divergent et que LA solution
n'existe pas (sauf peut être dans certains systèmes dictatoriaux, et
encore).
Entièrement d'accord.
Si ce domaine était une science exacte nous ne serions pas
confrontés à la floppée de problèmes qui arrivent tous les jours.
Roger !
Il existe par contre des règles de bon sens qui *semblent* acceptées par
tous les experts.
Oui et alors ?
Je vais le préciser ici et répèterai plus bas si nécessaire mais pour ta
gouverne j'interviens de manière anonyme ici comme sur n'importe quel NG
public depuis que je pratique les réseaux.
Pourquoi ? Je fais ce choix car j'interviens comme personne physique et
non représentant d'une personne morale ou comme personne morale.
Est-ce assez clair ou bien dois-je encore expliciter ?
C'est ce que j'appelle de la langue de bois.
Ma position. Respecte la comme je le fais à ton égard.
J'interviens ici comme personne physique qui assume ses propos
Moi aussi. Sinon je ne prendrai pas la peine de discuter et répondre.
et je ne vois
pas en quoi cela m'empêche de ne pas être anonyme!
Pour te le répèter, c'est un choix, une décision personnelle ok ?
D'autres ici font partie
de sociétés reconnues, elles, dans le domaine de la sécurité.
Oui moi aussi.
Ca ne les
empêche pas de s'exprimer a titre personnel, non anonyme, sans mettre en
cause la politique de leur entreprise (qui peut parfois être contraire aux
idées exprimées) ou leur réputation.
C'est leur choix. Pas le mien.
Dans le pire des cas, à moins d'une clause contraire explicite dans leur
contrat, il suffit d'ajouter le classique "ce message ne reflète que MES
opinions et n'engage pas etc."
Ils ont raison de prendre cette précaution.
Ceci est d'autant plus évident quand on laisse entendre qu'on est
professionnel de "la" SI et qu'on a raison.
Tu es professionnel toi aussi donc où est encore une fois le problème ?
Si c'est LA vérité (j'assume
l'ironie du LA) elle s'impose a tous sans avoir besoin de se cacher.
lol
Personnellement j'apprends tous les jours.
Moi aussi. ;)
Et quand je dis une connerie je
suis bien content que quelqu'un la relève et me corrige.
Qui dit le contraire.
Au moins je
progresse(même si c'est parfois vexant :) ). Et peut importe si je laisse
une trace d'une bêtise que j'ai dite. Je suis humain, simplement.
Bonne posture intellectuelle. Rien à ajouter.
Merci d'abonder dans mon sens : une loi hyper précise dans ce domaine
mouvant -par essence bien plus rapidement que ce que des lois, voire des
décrets peuvent suivre- ne peut qu'être rapidement inefficace, dépassée et
peut être nocive.
Un exemple : la notion de tentative d'intrusion ou d'intrusion n'est pas
encore réglée (problème des scans notament). Comment alors prétendre créer
une loi complète?
Attention le PLEN n'entend pas fixer de nouvelles règles mais assurer un
Il faut simplement essayer de limiter les ambiguités, dans la mesure du
possible, du texte de façon a au moins bien circonscrire son domaine
d'application. Le reste est affaire de juges et d'expert.
Oui et dans bon nombre de cas de pragmatisme.
Qu'on l'aime ou non la justice reste une affaire humaine, parfois distincte
de ce qui est juste (sic), et non une série de prédicats alimentant un
juge-système expert! De plus ce qui est acceptable et ce qui ne l'ai pas
change parfois avec l'évolution de la société (et je pense que c'est heureux
finalement).
Oui.
Il y a une *forte* différence entre comprendre -ou percevoir- des enjeux et
comprendre la technique sous-jacente pour savoir ce qu'il est possible (au
sens politique du terme, c'est a dire en prenant en compte les coûts, les
impacts sociaux etc., pas seulement les possibilités théoriques) de faire.
Complétement d'accord.
Si on ne se decide pas à prendre des décisions efficaces le temps ne fera
que montrer que le problème persiste!
Oui il faut ss aucun doute un plan de communication auprès des
Merci je lis suffisament ce groupe pour ça.
Maintenant essaye de représenter une micro-entreprise voire une entreprise
unipersonnelle devant ces services. Au mieux on te fait comprendre qu'ils
n'en ont rien à faire (et ils ne sont pas dimensionnés pour faire face à une
grande quantité de problèmes), au pire on te répond "on s'en occupe" (sans
réaction derrière).
A ma connaissance la BEFTI ou l'O.C.L.C.T.I.C sont complètement
Il ne peut ignorer que des experts différents n'ont pas forcement le
mêmeavis sur la sécurité.
Heureusement et ce n'est pas propre à la SI. ;)Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur.
Oui et en d'autres termes cela s'appelle du lobbying.
Non. Le lobbying n'est pas un échange d'arguement d'expert. C'est la
pression exercée par une entité pour défendre ses propres intérêts. Au
besoin d'ailleurs en déformant la réalité, en exagérent certains éléments et
j'en passe.
Soit.
Ma crainte c'est qu'il existe effectivement ce lobbying.
Je te le confirme. Des lobbies dans tous les domaines/secteurs.
A mon sens un collège d'expert devrait comprendre des spécialistes de la
sécurité informatique venant des entreprises *et* des universités, peut être
des "comportementalistes", et globalement les acteurs des différents métiers
ou savoirs liés à la sécurité.
Même avis.
De façon a éviter un biais il devrait regrouper plusieurs nationalités (une
bonne idée pour l'europe, non) et quelques spécialistes controversés (2)
Enfin les travaux préliminaires devraient être disponibles sur internet avec
un vecteur de retour d'information et qu'on puisse acceder aux réponses des
éventuelles questions retenues.
Je n'ai pas le nom sous la main mais si ma mémoire ne me fait pas défaut
Il est *extrêmement* difficile de créer une loi sur ce domaine en prenant en
compte les effets de bord.
Je te rassure tt de suite c'est impossible de légifèrer sur l'usage des
Maintenant essaye d'expliquer à ton député
pourquoi un article est "mal" : il comprendra autant que moi si on me parle
de l'importance de la découverte d'un boson pour la validité de la théorie
des cordes(3)
lol oui pas de physique.
Mais comme "nous" l'avons déjà signalé, si le droit est mal fait cela risque
de contraindre un "bon" admin à devoir choisir entre mal faire son
métier -et souvent sa passion- ou se mettre hors la loi.
Sur quel(s) point(s) stp te bases-tu ?
Pénalisé dans le sens ou certains outils ou méthodes ne devraient plus être
utilisés. (ex le NAT avec les conneries US, les tests d'intrusions etc)
Ah non ce n'est pas vrai. Désinformation totale là.
Pénalisé dans le sens ou les actions mettrait l'admin en défaut au niveau
pénal.
IMHO il faut étendre le niveau de responsabilité à l'ensemble des
Quand j'ai un problème avec un serveur smtp (recemment j'en ai vu
un, -"secondaire" au niveau MX- paramétré avec les pieds et qui refusait les
adresses sur un domaine et le DNS était "bon') je me connecte "manuellement"
et je jette un oeil. Ca m'a déjà valu des observations de soit disant admins
du type "pourquoi vous avez été sur *mon* serveur"!!! Imagine un politique
qui est informé par ce type de personne et les lois qui vont sortir!
Oui c'est vraisemblable.
C'est la où je suis moins optimiste que toi.
Je t'invite à suivre l'actualité juridique et d'interpeller les
Et le scanner de vulnérabilité, il est écrit comment? Sans savoir comment
accéder à la vulnérabilité? Avec simplement une banière ou un numéro de
port(berk!)? De plus il y a parfois un délai avant que ledit scanner
puisse... scanner la vulnérabilité.
Oui certes on est d'accord.
Ensuite, pour la x-ième fois, c'est une (petite) partie de la sécurité.
Oui le test de vulnérabilité n'est qu'une technique parmi d'autres dans
Enfin si je dois gérer un admin sécurité et que celui ci m'assure qu'on ne
risque rien car le scanner a dit que tout est ok je le vire sur le champ!
Je te comprends. ;) On ne peut pas se reposer uniquement sur des
Un scanner positif indique, généralement (1), une faille.
Même un scan après l'application d'un correctif peut engendrer un faux.
L'inverse ne
prouve *absolument pas* qu'on est hors danger (et je ne parle même pas de
l'humain qui va désactiver son AV pour lancer la pièce jointe d'un email!).
Entièrement d'accord.
Si le gars se limite au scanner et un outil d'admin à distance (les
mailing-lists de sécurité ne sont pas faite pour les chiens) il ferait mieux
de changer de métier (du moins s'il a un minimum de respect pour lui même ou
ses employeurs), au moins selon moi et je ne pense pas être le seul ici.
Moi aussi donc où est le problème. ;)
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
Entièrement d'accord. Même le smiley après le "toutes ses formes" montre
AMHA soit un dieu de l'info qui connait tout -pour ma part, suivant la
formule typique, j'échangerais sans hésiter l'intégralité de mes
connaissances contre 1% de ce que je ne connais pas- soit une personne
qui
n'a pas conscience de l'étendue du problème.
Attention ne me prends pas pour ce que je ne suis pas ! Merci ;)
Peux-tu être plus explicite?
Tu vas encore le prendre mal si je te dit de relire ton précédent post
Et pardon d'être un professionnel de la SI qui aime son métier, essaie
de suivre tt ce qui se passe et s'investit beaucoup.
Une fois de plus la sécurité informatique est un domaine extrêment vaste où
je pense que chacun a ses points fort et ses faiblesses.
Très juste. Et la SI comporte plusieurs métiers qui font appellent à des
Je m'investis
beaucoup également et j'aime aussi mon métier.
Heureux de le constater cher confrère. ;)
Permets moi simplement de ne pas être d'accord avec toi.
J'en conviens.
Il est a noter que
j'argumente généralement mes opinions et je maintiens que dans le domaine
sécuritaire il y a des avis d'experts qui divergent et que LA solution
n'existe pas (sauf peut être dans certains systèmes dictatoriaux, et
encore).
Entièrement d'accord.
Si ce domaine était une science exacte nous ne serions pas
confrontés à la floppée de problèmes qui arrivent tous les jours.
Roger !
Il existe par contre des règles de bon sens qui *semblent* acceptées par
tous les experts.
Oui et alors ?
Je vais le préciser ici et répèterai plus bas si nécessaire mais pour ta
gouverne j'interviens de manière anonyme ici comme sur n'importe quel NG
public depuis que je pratique les réseaux.
Pourquoi ? Je fais ce choix car j'interviens comme personne physique et
non représentant d'une personne morale ou comme personne morale.
Est-ce assez clair ou bien dois-je encore expliciter ?
C'est ce que j'appelle de la langue de bois.
Ma position. Respecte la comme je le fais à ton égard.
J'interviens ici comme personne physique qui assume ses propos
Moi aussi. Sinon je ne prendrai pas la peine de discuter et répondre.
et je ne vois
pas en quoi cela m'empêche de ne pas être anonyme!
Pour te le répèter, c'est un choix, une décision personnelle ok ?
D'autres ici font partie
de sociétés reconnues, elles, dans le domaine de la sécurité.
Oui moi aussi.
Ca ne les
empêche pas de s'exprimer a titre personnel, non anonyme, sans mettre en
cause la politique de leur entreprise (qui peut parfois être contraire aux
idées exprimées) ou leur réputation.
C'est leur choix. Pas le mien.
Dans le pire des cas, à moins d'une clause contraire explicite dans leur
contrat, il suffit d'ajouter le classique "ce message ne reflète que MES
opinions et n'engage pas etc."
Ils ont raison de prendre cette précaution.
Ceci est d'autant plus évident quand on laisse entendre qu'on est
professionnel de "la" SI et qu'on a raison.
Tu es professionnel toi aussi donc où est encore une fois le problème ?
Si c'est LA vérité (j'assume
l'ironie du LA) elle s'impose a tous sans avoir besoin de se cacher.
lol
Personnellement j'apprends tous les jours.
Moi aussi. ;)
Et quand je dis une connerie je
suis bien content que quelqu'un la relève et me corrige.
Qui dit le contraire.
Au moins je
progresse(même si c'est parfois vexant :) ). Et peut importe si je laisse
une trace d'une bêtise que j'ai dite. Je suis humain, simplement.
Bonne posture intellectuelle. Rien à ajouter.
Merci d'abonder dans mon sens : une loi hyper précise dans ce domaine
mouvant -par essence bien plus rapidement que ce que des lois, voire des
décrets peuvent suivre- ne peut qu'être rapidement inefficace, dépassée et
peut être nocive.
Un exemple : la notion de tentative d'intrusion ou d'intrusion n'est pas
encore réglée (problème des scans notament). Comment alors prétendre créer
une loi complète?
Attention le PLEN n'entend pas fixer de nouvelles règles mais assurer un
Il faut simplement essayer de limiter les ambiguités, dans la mesure du
possible, du texte de façon a au moins bien circonscrire son domaine
d'application. Le reste est affaire de juges et d'expert.
Oui et dans bon nombre de cas de pragmatisme.
Qu'on l'aime ou non la justice reste une affaire humaine, parfois distincte
de ce qui est juste (sic), et non une série de prédicats alimentant un
juge-système expert! De plus ce qui est acceptable et ce qui ne l'ai pas
change parfois avec l'évolution de la société (et je pense que c'est heureux
finalement).
Oui.
Il y a une *forte* différence entre comprendre -ou percevoir- des enjeux et
comprendre la technique sous-jacente pour savoir ce qu'il est possible (au
sens politique du terme, c'est a dire en prenant en compte les coûts, les
impacts sociaux etc., pas seulement les possibilités théoriques) de faire.
Complétement d'accord.
Si on ne se decide pas à prendre des décisions efficaces le temps ne fera
que montrer que le problème persiste!
Oui il faut ss aucun doute un plan de communication auprès des
Merci je lis suffisament ce groupe pour ça.
Maintenant essaye de représenter une micro-entreprise voire une entreprise
unipersonnelle devant ces services. Au mieux on te fait comprendre qu'ils
n'en ont rien à faire (et ils ne sont pas dimensionnés pour faire face à une
grande quantité de problèmes), au pire on te répond "on s'en occupe" (sans
réaction derrière).
A ma connaissance la BEFTI ou l'O.C.L.C.T.I.C sont complètement
Il ne peut ignorer que des experts différents n'ont pas forcement le
même
avis sur la sécurité.
Heureusement et ce n'est pas propre à la SI. ;)
Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur.
Oui et en d'autres termes cela s'appelle du lobbying.
Non. Le lobbying n'est pas un échange d'arguement d'expert. C'est la
pression exercée par une entité pour défendre ses propres intérêts. Au
besoin d'ailleurs en déformant la réalité, en exagérent certains éléments et
j'en passe.
Soit.
Ma crainte c'est qu'il existe effectivement ce lobbying.
Je te le confirme. Des lobbies dans tous les domaines/secteurs.
A mon sens un collège d'expert devrait comprendre des spécialistes de la
sécurité informatique venant des entreprises *et* des universités, peut être
des "comportementalistes", et globalement les acteurs des différents métiers
ou savoirs liés à la sécurité.
Même avis.
De façon a éviter un biais il devrait regrouper plusieurs nationalités (une
bonne idée pour l'europe, non) et quelques spécialistes controversés (2)
Enfin les travaux préliminaires devraient être disponibles sur internet avec
un vecteur de retour d'information et qu'on puisse acceder aux réponses des
éventuelles questions retenues.
Je n'ai pas le nom sous la main mais si ma mémoire ne me fait pas défaut
Il est *extrêmement* difficile de créer une loi sur ce domaine en prenant en
compte les effets de bord.
Je te rassure tt de suite c'est impossible de légifèrer sur l'usage des
Maintenant essaye d'expliquer à ton député
pourquoi un article est "mal" : il comprendra autant que moi si on me parle
de l'importance de la découverte d'un boson pour la validité de la théorie
des cordes(3)
lol oui pas de physique.
Mais comme "nous" l'avons déjà signalé, si le droit est mal fait cela risque
de contraindre un "bon" admin à devoir choisir entre mal faire son
métier -et souvent sa passion- ou se mettre hors la loi.
Sur quel(s) point(s) stp te bases-tu ?
Pénalisé dans le sens ou certains outils ou méthodes ne devraient plus être
utilisés. (ex le NAT avec les conneries US, les tests d'intrusions etc)
Ah non ce n'est pas vrai. Désinformation totale là.
Pénalisé dans le sens ou les actions mettrait l'admin en défaut au niveau
pénal.
IMHO il faut étendre le niveau de responsabilité à l'ensemble des
Quand j'ai un problème avec un serveur smtp (recemment j'en ai vu
un, -"secondaire" au niveau MX- paramétré avec les pieds et qui refusait les
adresses sur un domaine et le DNS était "bon') je me connecte "manuellement"
et je jette un oeil. Ca m'a déjà valu des observations de soit disant admins
du type "pourquoi vous avez été sur *mon* serveur"!!! Imagine un politique
qui est informé par ce type de personne et les lois qui vont sortir!
Oui c'est vraisemblable.
C'est la où je suis moins optimiste que toi.
Je t'invite à suivre l'actualité juridique et d'interpeller les
Et le scanner de vulnérabilité, il est écrit comment? Sans savoir comment
accéder à la vulnérabilité? Avec simplement une banière ou un numéro de
port(berk!)? De plus il y a parfois un délai avant que ledit scanner
puisse... scanner la vulnérabilité.
Oui certes on est d'accord.
Ensuite, pour la x-ième fois, c'est une (petite) partie de la sécurité.
Oui le test de vulnérabilité n'est qu'une technique parmi d'autres dans
Enfin si je dois gérer un admin sécurité et que celui ci m'assure qu'on ne
risque rien car le scanner a dit que tout est ok je le vire sur le champ!
Je te comprends. ;) On ne peut pas se reposer uniquement sur des
Un scanner positif indique, généralement (1), une faille.
Même un scan après l'application d'un correctif peut engendrer un faux.
L'inverse ne
prouve *absolument pas* qu'on est hors danger (et je ne parle même pas de
l'humain qui va désactiver son AV pour lancer la pièce jointe d'un email!).
Entièrement d'accord.
Si le gars se limite au scanner et un outil d'admin à distance (les
mailing-lists de sécurité ne sont pas faite pour les chiens) il ferait mieux
de changer de métier (du moins s'il a un minimum de respect pour lui même ou
ses employeurs), au moins selon moi et je ne pense pas être le seul ici.
Moi aussi donc où est le problème. ;)
Mais je tiens à te rassurer ainsi que les lecteurs de ce message
un certain nombre d'actions, projets, réflexions sont en cours
afin d'apporter des réponses aux problèmes sus-cités et
d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
Entièrement d'accord. Même le smiley après le "toutes ses formes" montre
AMHA soit un dieu de l'info qui connait tout -pour ma part, suivant la
formule typique, j'échangerais sans hésiter l'intégralité de mes
connaissances contre 1% de ce que je ne connais pas- soit une personne
quin'a pas conscience de l'étendue du problème.
Attention ne me prends pas pour ce que je ne suis pas ! Merci ;)
Peux-tu être plus explicite?
Tu vas encore le prendre mal si je te dit de relire ton précédent post
Et pardon d'être un professionnel de la SI qui aime son métier, essaie
de suivre tt ce qui se passe et s'investit beaucoup.
Une fois de plus la sécurité informatique est un domaine extrêment vaste où
je pense que chacun a ses points fort et ses faiblesses.
Très juste. Et la SI comporte plusieurs métiers qui font appellent à des
Je m'investis
beaucoup également et j'aime aussi mon métier.
Heureux de le constater cher confrère. ;)
Permets moi simplement de ne pas être d'accord avec toi.
J'en conviens.
Il est a noter que
j'argumente généralement mes opinions et je maintiens que dans le domaine
sécuritaire il y a des avis d'experts qui divergent et que LA solution
n'existe pas (sauf peut être dans certains systèmes dictatoriaux, et
encore).
Entièrement d'accord.
Si ce domaine était une science exacte nous ne serions pas
confrontés à la floppée de problèmes qui arrivent tous les jours.
Roger !
Il existe par contre des règles de bon sens qui *semblent* acceptées par
tous les experts.
Oui et alors ?
Je vais le préciser ici et répèterai plus bas si nécessaire mais pour ta
gouverne j'interviens de manière anonyme ici comme sur n'importe quel NG
public depuis que je pratique les réseaux.
Pourquoi ? Je fais ce choix car j'interviens comme personne physique et
non représentant d'une personne morale ou comme personne morale.
Est-ce assez clair ou bien dois-je encore expliciter ?
C'est ce que j'appelle de la langue de bois.
Ma position. Respecte la comme je le fais à ton égard.
J'interviens ici comme personne physique qui assume ses propos
Moi aussi. Sinon je ne prendrai pas la peine de discuter et répondre.
et je ne vois
pas en quoi cela m'empêche de ne pas être anonyme!
Pour te le répèter, c'est un choix, une décision personnelle ok ?
D'autres ici font partie
de sociétés reconnues, elles, dans le domaine de la sécurité.
Oui moi aussi.
Ca ne les
empêche pas de s'exprimer a titre personnel, non anonyme, sans mettre en
cause la politique de leur entreprise (qui peut parfois être contraire aux
idées exprimées) ou leur réputation.
C'est leur choix. Pas le mien.
Dans le pire des cas, à moins d'une clause contraire explicite dans leur
contrat, il suffit d'ajouter le classique "ce message ne reflète que MES
opinions et n'engage pas etc."
Ils ont raison de prendre cette précaution.
Ceci est d'autant plus évident quand on laisse entendre qu'on est
professionnel de "la" SI et qu'on a raison.
Tu es professionnel toi aussi donc où est encore une fois le problème ?
Si c'est LA vérité (j'assume
l'ironie du LA) elle s'impose a tous sans avoir besoin de se cacher.
lol
Personnellement j'apprends tous les jours.
Moi aussi. ;)
Et quand je dis une connerie je
suis bien content que quelqu'un la relève et me corrige.
Qui dit le contraire.
Au moins je
progresse(même si c'est parfois vexant :) ). Et peut importe si je laisse
une trace d'une bêtise que j'ai dite. Je suis humain, simplement.
Bonne posture intellectuelle. Rien à ajouter.
Merci d'abonder dans mon sens : une loi hyper précise dans ce domaine
mouvant -par essence bien plus rapidement que ce que des lois, voire des
décrets peuvent suivre- ne peut qu'être rapidement inefficace, dépassée et
peut être nocive.
Un exemple : la notion de tentative d'intrusion ou d'intrusion n'est pas
encore réglée (problème des scans notament). Comment alors prétendre créer
une loi complète?
Attention le PLEN n'entend pas fixer de nouvelles règles mais assurer un
Il faut simplement essayer de limiter les ambiguités, dans la mesure du
possible, du texte de façon a au moins bien circonscrire son domaine
d'application. Le reste est affaire de juges et d'expert.
Oui et dans bon nombre de cas de pragmatisme.
Qu'on l'aime ou non la justice reste une affaire humaine, parfois distincte
de ce qui est juste (sic), et non une série de prédicats alimentant un
juge-système expert! De plus ce qui est acceptable et ce qui ne l'ai pas
change parfois avec l'évolution de la société (et je pense que c'est heureux
finalement).
Oui.
Il y a une *forte* différence entre comprendre -ou percevoir- des enjeux et
comprendre la technique sous-jacente pour savoir ce qu'il est possible (au
sens politique du terme, c'est a dire en prenant en compte les coûts, les
impacts sociaux etc., pas seulement les possibilités théoriques) de faire.
Complétement d'accord.
Si on ne se decide pas à prendre des décisions efficaces le temps ne fera
que montrer que le problème persiste!
Oui il faut ss aucun doute un plan de communication auprès des
Merci je lis suffisament ce groupe pour ça.
Maintenant essaye de représenter une micro-entreprise voire une entreprise
unipersonnelle devant ces services. Au mieux on te fait comprendre qu'ils
n'en ont rien à faire (et ils ne sont pas dimensionnés pour faire face à une
grande quantité de problèmes), au pire on te répond "on s'en occupe" (sans
réaction derrière).
A ma connaissance la BEFTI ou l'O.C.L.C.T.I.C sont complètement
Il ne peut ignorer que des experts différents n'ont pas forcement le
mêmeavis sur la sécurité.
Heureusement et ce n'est pas propre à la SI. ;)Chaques "camps" garde une certaine part de
subjectivité et doit convaincre par ses arguments le législateur.
Oui et en d'autres termes cela s'appelle du lobbying.
Non. Le lobbying n'est pas un échange d'arguement d'expert. C'est la
pression exercée par une entité pour défendre ses propres intérêts. Au
besoin d'ailleurs en déformant la réalité, en exagérent certains éléments et
j'en passe.
Soit.
Ma crainte c'est qu'il existe effectivement ce lobbying.
Je te le confirme. Des lobbies dans tous les domaines/secteurs.
A mon sens un collège d'expert devrait comprendre des spécialistes de la
sécurité informatique venant des entreprises *et* des universités, peut être
des "comportementalistes", et globalement les acteurs des différents métiers
ou savoirs liés à la sécurité.
Même avis.
De façon a éviter un biais il devrait regrouper plusieurs nationalités (une
bonne idée pour l'europe, non) et quelques spécialistes controversés (2)
Enfin les travaux préliminaires devraient être disponibles sur internet avec
un vecteur de retour d'information et qu'on puisse acceder aux réponses des
éventuelles questions retenues.
Je n'ai pas le nom sous la main mais si ma mémoire ne me fait pas défaut
Il est *extrêmement* difficile de créer une loi sur ce domaine en prenant en
compte les effets de bord.
Je te rassure tt de suite c'est impossible de légifèrer sur l'usage des
Maintenant essaye d'expliquer à ton député
pourquoi un article est "mal" : il comprendra autant que moi si on me parle
de l'importance de la découverte d'un boson pour la validité de la théorie
des cordes(3)
lol oui pas de physique.
Mais comme "nous" l'avons déjà signalé, si le droit est mal fait cela risque
de contraindre un "bon" admin à devoir choisir entre mal faire son
métier -et souvent sa passion- ou se mettre hors la loi.
Sur quel(s) point(s) stp te bases-tu ?
Pénalisé dans le sens ou certains outils ou méthodes ne devraient plus être
utilisés. (ex le NAT avec les conneries US, les tests d'intrusions etc)
Ah non ce n'est pas vrai. Désinformation totale là.
Pénalisé dans le sens ou les actions mettrait l'admin en défaut au niveau
pénal.
IMHO il faut étendre le niveau de responsabilité à l'ensemble des
Quand j'ai un problème avec un serveur smtp (recemment j'en ai vu
un, -"secondaire" au niveau MX- paramétré avec les pieds et qui refusait les
adresses sur un domaine et le DNS était "bon') je me connecte "manuellement"
et je jette un oeil. Ca m'a déjà valu des observations de soit disant admins
du type "pourquoi vous avez été sur *mon* serveur"!!! Imagine un politique
qui est informé par ce type de personne et les lois qui vont sortir!
Oui c'est vraisemblable.
C'est la où je suis moins optimiste que toi.
Je t'invite à suivre l'actualité juridique et d'interpeller les
[...] Si on met en place un collège de pseudo experts autoproclamés
avec pour mission d'aboutir à des conclusions prédéfinie on obtient
comme d'habitude un merdier infame dont les effets de bord sont
catastrophiques (3).
Un vrai "collège" ne se mettrait pas à dos la communauté.
[...] Si on met en place un collège de pseudo experts autoproclamés
avec pour mission d'aboutir à des conclusions prédéfinie on obtient
comme d'habitude un merdier infame dont les effets de bord sont
catastrophiques (3).
Un vrai "collège" ne se mettrait pas à dos la communauté.
[...] Si on met en place un collège de pseudo experts autoproclamés
avec pour mission d'aboutir à des conclusions prédéfinie on obtient
comme d'habitude un merdier infame dont les effets de bord sont
catastrophiques (3).
Un vrai "collège" ne se mettrait pas à dos la communauté.
Eric Razny wrote:[...] Un exploit publié est également pratique pour un admin pressé
de vérifier qu'il a bien patché la faille concernée(1)
Soit, mais l'admin réseau n'aurait-il pas mieux fait d'utiliser un
scanner de vulnérabilités
et d'utiliser un outil d'administration qui lui permette de gérer son
parc et par là-même de maintenir à jour son parc.
[...] Et pardon d'être un professionnel de la SI qui aime son métier,
essaie de suivre tt ce qui se passe et s'investit beaucoup.
Je vais le préciser ici et répèterai plus bas si nécessaire mais
pour ta gouverne j'interviens de manière anonyme ici comme sur
n'importe quel NG public depuis que je pratique les réseaux.
Pourquoi ? Je fais ce choix car j'interviens comme personne
physique et non représentant d'une personne morale ou comme
personne morale. Est-ce assez clair ou bien dois-je encore
expliciter ?
Ce qu'il manque c'est une volonté de s'attaquer au problème.
Politiquement je ne crois pas en tout cas plus.
Car sans vouloir prendre parti ou faire de la politique ici le
gouvernement actuel comme le précédent d'ailleurs a bien compris
les enjeux des réseaux numériques.
Eric Razny wrote:
[...] Un exploit publié est également pratique pour un admin pressé
de vérifier qu'il a bien patché la faille concernée(1)
Soit, mais l'admin réseau n'aurait-il pas mieux fait d'utiliser un
scanner de vulnérabilités
et d'utiliser un outil d'administration qui lui permette de gérer son
parc et par là-même de maintenir à jour son parc.
[...] Et pardon d'être un professionnel de la SI qui aime son métier,
essaie de suivre tt ce qui se passe et s'investit beaucoup.
Je vais le préciser ici et répèterai plus bas si nécessaire mais
pour ta gouverne j'interviens de manière anonyme ici comme sur
n'importe quel NG public depuis que je pratique les réseaux.
Pourquoi ? Je fais ce choix car j'interviens comme personne
physique et non représentant d'une personne morale ou comme
personne morale. Est-ce assez clair ou bien dois-je encore
expliciter ?
Ce qu'il manque c'est une volonté de s'attaquer au problème.
Politiquement je ne crois pas en tout cas plus.
Car sans vouloir prendre parti ou faire de la politique ici le
gouvernement actuel comme le précédent d'ailleurs a bien compris
les enjeux des réseaux numériques.
Eric Razny wrote:[...] Un exploit publié est également pratique pour un admin pressé
de vérifier qu'il a bien patché la faille concernée(1)
Soit, mais l'admin réseau n'aurait-il pas mieux fait d'utiliser un
scanner de vulnérabilités
et d'utiliser un outil d'administration qui lui permette de gérer son
parc et par là-même de maintenir à jour son parc.
[...] Et pardon d'être un professionnel de la SI qui aime son métier,
essaie de suivre tt ce qui se passe et s'investit beaucoup.
Je vais le préciser ici et répèterai plus bas si nécessaire mais
pour ta gouverne j'interviens de manière anonyme ici comme sur
n'importe quel NG public depuis que je pratique les réseaux.
Pourquoi ? Je fais ce choix car j'interviens comme personne
physique et non représentant d'une personne morale ou comme
personne morale. Est-ce assez clair ou bien dois-je encore
expliciter ?
Ce qu'il manque c'est une volonté de s'attaquer au problème.
Politiquement je ne crois pas en tout cas plus.
Car sans vouloir prendre parti ou faire de la politique ici le
gouvernement actuel comme le précédent d'ailleurs a bien compris
les enjeux des réseaux numériques.
Stephane Catteau wrote:
Entendons-nous bien sur ce que je qualifie "d'armes".
[...] suite au propos de Nicob - qui m'a qd surpris par sa réponse -
car je pense IMHO qu'une backdoor comme n'importe quel autre type de
malware [malicious software] n'a pas à se trouver en libre acccès à
la portée de n'importe qui sur le réseau. [...]
En ce qui concerne les admins je ne vois aucunes restrictions
quant à l'utilisation de tel ou tel type "d'armes"/outils tant
qu'ils respectent les règles régissant leur profession.
En partant de ton raisonnement des logiciels tel que Nessus sont de
véritables bombes atomiques ! [...]
Désolé Stéphane de te contredire mais tu as mal compris mon
propos.
Primo je n'ai cité aucun nom "d'armes"/outils. (cf mes posts
précédents + précisions ci-dessus, merci)
Ca, c'est clair. Si une telle chose arrive les admins devront
suivre toutes les ML liés de prêt ou de loin à la sécurité, et
patcher d'office tous leurs logiciels, puisqu'ils n'auront aucun
moyen simple de savoir si ceux qu'ils utilisent sont réellement
vulnérables ou non.
Détrompes-toi. ;)
Il existe plusieurs outils d'administration et d'analyse systèmes.
Tandis qu'à l'inverse les kiddies continueront à trouver des
scripts, plus bancals qu'actuellement ce qui engendrera plus de
bruit de fond. Et ne parlons pas des vrais pirates qui, de toute
façon, continueront tranquillement à écrire leurs propres outils,
et à les utiliser.
Sans aller jusqu'à dire qu'il s'agit là de la pire solution, l'on
en est pas très loin.
Je ne suis pas aussi pessimiste car beaucoup de propositions sont
à l'étude actuellement pour pallier aux lacunes du réseau.
Maintenant il y aura toujours des personnes malintentionnées mais il
est possible de limiter certains actes. Et demain encore plus.
;)
Mais je tiens à te rassurer ainsi que les lecteurs de ce
message un certain nombre d'actions, projets, réflexions sont
en cours afin d'apporter des réponses aux problèmes sus-cités
et d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
lol
Pour être un peu plus sérieux la sécurité numérique, je tiens encore
à le rappeler ici est un véritable enjeu pour les politiques dans les
années à venir. Comme pour nous tous d'ailleurs. ;)
Excuses-moi mais je trouve que le PLEN aborde très clairement les
différents problèmes jurisprudentiels et législatifs dans le
domaine de la SSI.
As-tu un exemple de décision à communiquer pour illustrer ton
propos ?
Les politiques (parlementaires et d'autres) sont entourés
d'avocats spécialisés, d'experts en informatique/SSI.
Quels experts ?
Tu ne m'en voudras pas mais nous sommes sur un NG public donc je
ne citerai aucuns noms.
Lorsque l'on voit que l'un des best-sellers en matière
de sécurité informatique s'appelle "halte aux hackers", on a de
quoi s'inquiéter. Tout intéressant que soit son contenu, il
démontre, et son titre aussi, une vision biaisée du problème.
Il y a bien d'autres ouvrages ou sources d'informations sur ce
sujet. Donc je n'ai aucun commentaire à faire en plus sur cet
ouvrage.
Pour reprendre ton parallèle avec la vraie vie, ces pseudo-experts
me font penser aux généraux qui dirigent leurs armées le cul bien au
chaud dans leur bureau. Ils prennent de grandes décisions qui sont
certes en accord avec le manuel du parfait petit général, mais qui
n'ont rien à voir avec la réalité du terrain.
Encore une fois ne juge pas trop vite. ;)
Ces experts ne sont pas des "pseudos" comme tu le dis. J'en connais
qq uns de très compétents.
Mais il est vrai que sur ce point la justice française manque
cruellement d'experts.
Alors que nous avons un "vivier" de professionnels en SI & SSI ayant
ttes les compétences, expériences, habilitations nécessaires pour
faire appel à leur service quand cela est nécessaire.
Trop de paradis informatique existent actuellement.
Le problème étant qu'ils ne se situent absolument pas à l'endroit
où tu sembles les placer.
Entendons-nous bien sur ce point.
Ce que j'appelle paradis informatique est une métaphore de paradis
fiscaux.
Tu me suis ou bien faut-il que je développe sur ce point ?
PS sympa ton site ;)
Stephane Catteau wrote:
Entendons-nous bien sur ce que je qualifie "d'armes".
[...] suite au propos de Nicob - qui m'a qd surpris par sa réponse -
car je pense IMHO qu'une backdoor comme n'importe quel autre type de
malware [malicious software] n'a pas à se trouver en libre acccès à
la portée de n'importe qui sur le réseau. [...]
En ce qui concerne les admins je ne vois aucunes restrictions
quant à l'utilisation de tel ou tel type "d'armes"/outils tant
qu'ils respectent les règles régissant leur profession.
En partant de ton raisonnement des logiciels tel que Nessus sont de
véritables bombes atomiques ! [...]
Désolé Stéphane de te contredire mais tu as mal compris mon
propos.
Primo je n'ai cité aucun nom "d'armes"/outils. (cf mes posts
précédents + précisions ci-dessus, merci)
Ca, c'est clair. Si une telle chose arrive les admins devront
suivre toutes les ML liés de prêt ou de loin à la sécurité, et
patcher d'office tous leurs logiciels, puisqu'ils n'auront aucun
moyen simple de savoir si ceux qu'ils utilisent sont réellement
vulnérables ou non.
Détrompes-toi. ;)
Il existe plusieurs outils d'administration et d'analyse systèmes.
Tandis qu'à l'inverse les kiddies continueront à trouver des
scripts, plus bancals qu'actuellement ce qui engendrera plus de
bruit de fond. Et ne parlons pas des vrais pirates qui, de toute
façon, continueront tranquillement à écrire leurs propres outils,
et à les utiliser.
Sans aller jusqu'à dire qu'il s'agit là de la pire solution, l'on
en est pas très loin.
Je ne suis pas aussi pessimiste car beaucoup de propositions sont
à l'étude actuellement pour pallier aux lacunes du réseau.
Maintenant il y aura toujours des personnes malintentionnées mais il
est possible de limiter certains actes. Et demain encore plus.
;)
Mais je tiens à te rassurer ainsi que les lecteurs de ce
message un certain nombre d'actions, projets, réflexions sont
en cours afin d'apporter des réponses aux problèmes sus-cités
et d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
lol
Pour être un peu plus sérieux la sécurité numérique, je tiens encore
à le rappeler ici est un véritable enjeu pour les politiques dans les
années à venir. Comme pour nous tous d'ailleurs. ;)
Excuses-moi mais je trouve que le PLEN aborde très clairement les
différents problèmes jurisprudentiels et législatifs dans le
domaine de la SSI.
As-tu un exemple de décision à communiquer pour illustrer ton
propos ?
Les politiques (parlementaires et d'autres) sont entourés
d'avocats spécialisés, d'experts en informatique/SSI.
Quels experts ?
Tu ne m'en voudras pas mais nous sommes sur un NG public donc je
ne citerai aucuns noms.
Lorsque l'on voit que l'un des best-sellers en matière
de sécurité informatique s'appelle "halte aux hackers", on a de
quoi s'inquiéter. Tout intéressant que soit son contenu, il
démontre, et son titre aussi, une vision biaisée du problème.
Il y a bien d'autres ouvrages ou sources d'informations sur ce
sujet. Donc je n'ai aucun commentaire à faire en plus sur cet
ouvrage.
Pour reprendre ton parallèle avec la vraie vie, ces pseudo-experts
me font penser aux généraux qui dirigent leurs armées le cul bien au
chaud dans leur bureau. Ils prennent de grandes décisions qui sont
certes en accord avec le manuel du parfait petit général, mais qui
n'ont rien à voir avec la réalité du terrain.
Encore une fois ne juge pas trop vite. ;)
Ces experts ne sont pas des "pseudos" comme tu le dis. J'en connais
qq uns de très compétents.
Mais il est vrai que sur ce point la justice française manque
cruellement d'experts.
Alors que nous avons un "vivier" de professionnels en SI & SSI ayant
ttes les compétences, expériences, habilitations nécessaires pour
faire appel à leur service quand cela est nécessaire.
Trop de paradis informatique existent actuellement.
Le problème étant qu'ils ne se situent absolument pas à l'endroit
où tu sembles les placer.
Entendons-nous bien sur ce point.
Ce que j'appelle paradis informatique est une métaphore de paradis
fiscaux.
Tu me suis ou bien faut-il que je développe sur ce point ?
PS sympa ton site ;)
Stephane Catteau wrote:
Entendons-nous bien sur ce que je qualifie "d'armes".
[...] suite au propos de Nicob - qui m'a qd surpris par sa réponse -
car je pense IMHO qu'une backdoor comme n'importe quel autre type de
malware [malicious software] n'a pas à se trouver en libre acccès à
la portée de n'importe qui sur le réseau. [...]
En ce qui concerne les admins je ne vois aucunes restrictions
quant à l'utilisation de tel ou tel type "d'armes"/outils tant
qu'ils respectent les règles régissant leur profession.
En partant de ton raisonnement des logiciels tel que Nessus sont de
véritables bombes atomiques ! [...]
Désolé Stéphane de te contredire mais tu as mal compris mon
propos.
Primo je n'ai cité aucun nom "d'armes"/outils. (cf mes posts
précédents + précisions ci-dessus, merci)
Ca, c'est clair. Si une telle chose arrive les admins devront
suivre toutes les ML liés de prêt ou de loin à la sécurité, et
patcher d'office tous leurs logiciels, puisqu'ils n'auront aucun
moyen simple de savoir si ceux qu'ils utilisent sont réellement
vulnérables ou non.
Détrompes-toi. ;)
Il existe plusieurs outils d'administration et d'analyse systèmes.
Tandis qu'à l'inverse les kiddies continueront à trouver des
scripts, plus bancals qu'actuellement ce qui engendrera plus de
bruit de fond. Et ne parlons pas des vrais pirates qui, de toute
façon, continueront tranquillement à écrire leurs propres outils,
et à les utiliser.
Sans aller jusqu'à dire qu'il s'agit là de la pire solution, l'on
en est pas très loin.
Je ne suis pas aussi pessimiste car beaucoup de propositions sont
à l'étude actuellement pour pallier aux lacunes du réseau.
Maintenant il y aura toujours des personnes malintentionnées mais il
est possible de limiter certains actes. Et demain encore plus.
;)
Mais je tiens à te rassurer ainsi que les lecteurs de ce
message un certain nombre d'actions, projets, réflexions sont
en cours afin d'apporter des réponses aux problèmes sus-cités
et d'améliorer la sécurité numérique sous toutes ses formes. ;)
Ca fout la trouille (c)
lol
Pour être un peu plus sérieux la sécurité numérique, je tiens encore
à le rappeler ici est un véritable enjeu pour les politiques dans les
années à venir. Comme pour nous tous d'ailleurs. ;)
Excuses-moi mais je trouve que le PLEN aborde très clairement les
différents problèmes jurisprudentiels et législatifs dans le
domaine de la SSI.
As-tu un exemple de décision à communiquer pour illustrer ton
propos ?
Les politiques (parlementaires et d'autres) sont entourés
d'avocats spécialisés, d'experts en informatique/SSI.
Quels experts ?
Tu ne m'en voudras pas mais nous sommes sur un NG public donc je
ne citerai aucuns noms.
Lorsque l'on voit que l'un des best-sellers en matière
de sécurité informatique s'appelle "halte aux hackers", on a de
quoi s'inquiéter. Tout intéressant que soit son contenu, il
démontre, et son titre aussi, une vision biaisée du problème.
Il y a bien d'autres ouvrages ou sources d'informations sur ce
sujet. Donc je n'ai aucun commentaire à faire en plus sur cet
ouvrage.
Pour reprendre ton parallèle avec la vraie vie, ces pseudo-experts
me font penser aux généraux qui dirigent leurs armées le cul bien au
chaud dans leur bureau. Ils prennent de grandes décisions qui sont
certes en accord avec le manuel du parfait petit général, mais qui
n'ont rien à voir avec la réalité du terrain.
Encore une fois ne juge pas trop vite. ;)
Ces experts ne sont pas des "pseudos" comme tu le dis. J'en connais
qq uns de très compétents.
Mais il est vrai que sur ce point la justice française manque
cruellement d'experts.
Alors que nous avons un "vivier" de professionnels en SI & SSI ayant
ttes les compétences, expériences, habilitations nécessaires pour
faire appel à leur service quand cela est nécessaire.
Trop de paradis informatique existent actuellement.
Le problème étant qu'ils ne se situent absolument pas à l'endroit
où tu sembles les placer.
Entendons-nous bien sur ce point.
Ce que j'appelle paradis informatique est une métaphore de paradis
fiscaux.
Tu me suis ou bien faut-il que je développe sur ce point ?
PS sympa ton site ;)
