reponses a une intrusion

Stephane Catteau <stephane@sc4x.net> wrote in message

Mais, nous nous entendons bien, ce que tu qualifies "d'armes" c'est ce
dont parlait Nicob, à savoir :
|> [...] retirer mes codes offensifs (comme par exemple JAB ou
|> evade_ftp.pl) [...]
C'est parfait alors.

Il est vrai que je l'ai trouvé bien sage sur ce coup.
Je ne sais pas.

Mais j'ai été surpris par son point de vue.

J'ai des centaines de liens vers des backdoor, trojan, virus, et
autres joyeusetés du genre.
Oui moi aussi.

Et si d'aventure j'en voulais d'autres, je
n'aurais qu'à demander à Google...
Ah notre bon vieux copain Google tjrs là qd on a besoin de lui.

Tout cela est en libre service sur la toile, personnellement je dis
tant mieux !
Moi non c'est pour ça que j'ai réagi au propos de Nicob.

Attention ! Car je te vois venir avec tes grands sabots ! Je ne dis
pas qu'il faille interdire le fait de détenir, d'offrir, de céder ou
de mettre à disposition un équipement, un instrument, un programme
informatique, etc... qu'il soit dangereux ou non.
IMHO je considère que toute personne bienveillante qui a écrit un
malware et le met à disposition sur le réseau doit prendre qq
précautions afin d'éviter que le fameux malware ne tombe entre les
mains de personnes inexpérimentées ou malveillantes.
Et pourquoi je pense ainsi parce que j'ai vu par le passé (et ce n'est
pas si vieux que ça) des copains avoir des problèmes judiciaires parce
qu'ils étaient les auteurs de ce malware. Et ce dernier avait entraîné
de multiples problèmes même s'ils n'étaient pas à l'origine des
conséquences de l'utilisation de leur malware.

Certes, c'est un problème pour ma voisine, car elle a la
facheuse tendance à ne pas sortir couvert, mais cela ne démontre qu'une
chose, *nous* avons encore du travail à faire pour lui expliquer en
quoi c'est un tord. Une fois qu'elle aura compris et pris les mesures
qui s'impose, elle ne risquera plus rien.
Si ta voisine rencontre des problèmes avec ce genre de malware, c'est

qu'elle l'a cherché. Car on ne tombe pas sur ce type de malware sur le
réseau ss le vouloir.
Sinon pour la sensibilisation, je suis entièrement d'accord avec toi.

D'une part ses anti-virus et
anti-trojan la protègeront efficacement puisque les neuneus utiliseront
ces outils
Qu'as-tu contre les users lambda que tu qualifies de "neuneus".

Ces outils sont très bien pour eux.

que tu décries tant mais qui présentent l'avantage d'être
archi-connus et donc détecté même par l'anti-truc le plus nul que l'on
puisse trouver[1].
Ils ne sont pas tous connus, détectés ou encore traités par ses

logiciels non désolé encore d'être en désaccord avec toi.
Et beaucoup de techniques permettent de bypasser ou killer un AV ou FW
personnel.

Tant que ces malwares sont en libre service, n'importe quel admin
ayant deux neurones capables de s'interconnecter sait à quoi s'attendre
de la part des kiddies et peut donc s'en prémunir comme qui rigole.
Cela me paraît tellement évident.

Et pourtant tu leur refuses le droit de se les procurer...
Entièrement faux. Encore de l'extrapolation & interprétation de mon

propos.
Où ai-je dit cela ???

Désolé [veuillez mettre votre prénom vous-mêmes] de te détromper, j'ai
parfaitement compris ce que tu as exprimé.
Non je ne crois pas sinon nous ne serions pas encore là à débattre.

Maintenant, il n'est pas
impossible que tu te sois mal exprimé.
MDR Certainement pas.

En outre, ce n'est pas la mauvaise foi qui t'étouffe.

Primo je n'ai cité aucun nom "d'armes"/outils. (cf mes posts
précédents + précisions ci-dessus, merci)

C'est bien là le problème de *toutes* tes interventions dans cette
discussion, tu ne fais que tenir un discours de de pseudo-expert, pour
ne pas dire technocrate.
Change ta technique de communication stp. Tu ne me feras pas

abandonner la discussion avec ce genre de bassesses qui n'apportent
rien à notre échange.
Encore une fois tu parles beaucoup et juges ton interlocuteur ss me
connaître. Mets à la poubelle tes à priori. Et attaches-toi uniquement
au propos.
Pour ma part, je m'interesse à ce que tu me dit et non à ce qu tu es.

Tu parles de plein de choses "'achement bien",
mais te garde toujours de rentrer dans les détails,
Ah bon ? Où est-ce que je suis loin de notre sujet et de ses détails

?!
Avec toi comme avec mes autres interlocuteurs dans ce thread, on
confronte nos points de vues. D'ailleurs avec Eric par exemple on
poursuit par mail notre discussion.

préférant tenir des
propos généralistes qui ne servent à pas grand chose et ne veulent rien
dire, tout en disant tout le contraire si nécessaire.
Tu ne juges tjrs pas ton interlocuteur là ?!

Fais-moi rire Stéphane. J'ai parlé très clairement des recours légaux
liés à une intrusion. Ensuite j'ai apporté des détails sur la LEN. Et
je réagis aux propos de Nicob, en expliquant pourquoi.
Alors maintenant que tu ne sois pas d'accord avec moi sur le fond
comme sur la forme. Ok pas de problèmes pour moi. Mais j'en demande
autant de ta part.
Cela s'appelle tout simplement du respect, de la tolérance.

Et ce n'est d'ailleurs pas la première fois.
Tiens ! Tu vas encore m'en apprendre de bien bonnes là.

Simple question : quel est ton objectif ?

Oui, nmap, satan, saint, nessus et john the ripper, pour ne parler que
des plus connus et efficaces des outils permettant une analyse sécurité
d'un réseau.
Il y en a d'autres parmi les scanneurs open source mm si ceux là sont

très bons.

Cependant, je ne vais pas attendre que Renaud ait inclut telle ou
telle faille à son bébé pour savoir si mon réseau est ou non
vulnérable. La sécurité est une chose qui se vie au présent et non pas
au futur simple, aussi proche que soit ce futur.
Je nuancerai ton appréciation car la SSI ça se pilote. En d'autres

termes, pour maîtriser sa SSI on la gère en tenant compte du passé, du
présent et de demain. Pour finir ça s'appelle de la gestion des
risques.

Ces outils ne sont là
que pour les audits mensuels et la vérification globale.
Ok sur ce point. Mais dans d'autres types d'audits de sécurité logique

ils peuvent aussi apporter beaucoup.

Pour vérifier
en cinq minutes si mes serveurs sont vulnérables à la dernière faille
en date, et s'ils ont été correctement patchés, rien ne vaut un script
Perl dédié à une seule vulnérabilité.
Oui pourquoi pas c'est aussi une très bonne approche.

Désolé d'être direct, mais les deux seules lacunes du réseau, ce sont
les personnes comme toi et les utilisateurs peu au fait en matière de
sécurité.
Au risque de me répéter tu juges trop ton interlocuteur. Mets tes à

priori au placard.

Or, s'il y avait moins (voire pas du tout, un rêve) de
personnes comme toi, les utilisateurs ne seraient pas bercé par la
fausse sécurité que vous avez érigées en fer de lance.
Encore une fois tu fais erreur sur la personne.

Toutes les propositions qui pourront être faite ne changeront
strictement rien à la réalité des faits,
IMHO je ne suis pas du tout d'accord avec toi sur ce point.

Je suis pour améliorer les choses. Et si l'on peut agir alors je
n'hésite pas une seconde. Maintenant le bon sens et le pragmatisme
n'appartient pas à tt le monde.

n'importe qui peu et pourra
*toujours* trouver un malware et l'utiliser.
Aujourd'hui oui comme tu le dis "n'importe qui".

Demain il faut éviter justement que "n'importe qui" puisse utiliser un
malware.
Simple question comme ça : es-tu partisan de l'enseignement de
l'écriture de virus ?

Et même le verrouillage
total du réseau, et le controle par authentification cryptée
efficacement ne changera rien à l'affaire.
Qui te parle de "verrouillage totale du réseau" ?!

Il est bien évident que l'on ne peut pas tt contrôler ! Heureusement
d'ailleurs. IMHO je tiens à ma liberté sur le réseau et encore plus
demain.

Vous ne pouvez controler que
les données statiques,
Je ne me sens pas concerné par ton "vous".

Mais oui on peut les contrôler.

or ce sont les être humains et les données
dynamiques qui sont sources d'insécurité.
Eh ben voilà, quand tu veux tu dis des choses qui nous rapprochent qq

peu.

Ah bon ?
Oui même si cela ne te plaît pas.

Et comment feras-tu pour m'empécher d'utiliser un *BSD pour
prendre le controle d'un poste sous Windows après avoir envoyé un
exécutable Flash contenant une carte de bonne année et une backdoor de
ma conception ?
Tu es libre de faire ce que tu veux Stéphane aujourd'hui ou demain.

Tu vas être derrière l'utilisateur pour lui dire "ce n'est pas bien,
tu ne le connais pas n'ouvre pas la pièce jointe" ?
Non mais je suis pour une identification numérique des users sur les

réseaux. Même si cela te déplaît c'est mon avis. J'en ai marre
d'entendre dire, depuis qu'on a rendu Internet public, que le réseau
est complétement libre et qu'il faille le laisser en l'état.

Ou alors tu vas
faire en sorte que son Windows ne puisse pas ouvrir la pièce jointe,
sous le simple prétexte qu'elle n'est pas signée par une autorité
certifiée, obligeant ainsi chaque utilisateur à dépenser des milles et
des cents pour :
1) mettre à jour ses logiciels car sinon il ne pourra plus rien faire
sur le réseau.
2) Disposer d'un certificat contre-signé par une autorité certifiée.
3) Apprendre à se servir de tout ce [beeep] qui fait que chaque jour
l'informatique s'éloigne un peu plus de son but réel, obligeant
l'utilisateur à se plier à son système d'exploitation alors que ce
devrait être l'inverse.
IMHO je vois plutôt une informatique plus sûre dans les années à venir

et moins contraignante pour le user.
Tous les acteurs y travaillent. C'est dans notre intérêt !
Je t'invite à suivre les travaux de l'IETF ou d'aller jeter un oeil du
côté du groupe IPV6. Et pour voir d'un peu plus prêt comment on peut
vraiment sécuriser les réseaux numériques afin d'offrir une meilleure
productivité va voir le réseau GEANT (le plus innovant actuellement).

Non, pas vraiment.
Tu devrais pourtant. Libre à toi.

Pour être un peu plus sérieux la sécurité numérique, je tiens encore
à le rappeler ici est un véritable enjeu pour les politiques dans les
années à venir. Comme pour nous tous d'ailleurs. ;)

Ne mélange pas tout s'il te plait !
Je ne mélange rien.

La sécurité numérique n'est un
véritable enjeu que pour certaines sociétés qui croient encore que
c'est un moyen de gagner plein d'argent en en faisant le moins
possible.
Je ne dis pas qu'il n'y en a pas parmi les acteurs de la SI. Mais tu

fais fausse route. Sors la tête de ton guidon et tu verras la réalité.

Au passage, je te prierais de ne pas tout mélanger, et d'éviter de
"nous" inclure dans le tableau.
Arrêtes avec ta susceptibilité mal placée stp ça devient puéril.

Au passage, je n'inclus personne.

PS Vas pas me sortir le bout de phrase sorti de son contexte stp. Tu
sais très bien ce que je veux dire

Il n'est pas question d'enjeu dans ce
forum mais d'une réalité quotidienne.
Excuses-moi mais nous avons tous des enjeux ici que nous soyons

débutant ou expérimenté, professionnel ou simple utilisateur.
Et la SI est une réalité pour nous tous sinon nous ne viendrions pas.

Et pour les participants les plus
actifs, cette réalité passe par une vulgarisation de la sécurité
Ok sur ce point.

Mais alors j'ai une question : la SI/SSI vécue par les professionnels
a-t-elle sa place aujourd'hui sur fcs ? Si tu me réponds non cela a
bien changé. Et dans ce cas pas de problèmes j'éviterai à l'avenir de
rentrer dans le coeur du métier. (en tt dans ce thread dans l'un de
ces aspects)

et non
de grandes phrases pleines de promesses mais vide de sens.
Pour toi seulement. Ne parle pas au nom des autres.

Pardon ? :-/ Le PLEN ne fait qu'institutionnaliser ce qui existait
déjà,
C'est juste.

en y ajoutant un nombre important de contraintes.
En matière de moyens et prestations de cryptologie oui. Mais les

débats se poursuivent. Donc il y a bon espoir.

Pire encore,
l'arsenal juridique qui l'accompagne ne fait parfois que compliquer les
choses,
Non IMHO je trouve qu'il clarifie enfin les choses dans le domaine de

la SSI. Il est encore en pleine évolution.

alors même que la loi actuelle se suffit largement à elle-même,
Absolument pas d'accord. Suis l'actualité juridique et tu verras qu'il

était temps d'agir en apportant enfin des propositions.

il suffit juste de l'appliquer.
Elle l'est mon cher.

Pour mémoire, l'intrusion sur un
système informatique est déjà qualifiée et constitue un délit pénal
passible de dix ans de prison et d'une amende qui tourne autour de 150
000 francs (faites la conversion merci).
Justement en matière d'accès frauduleux cela a beaucoup évolué que ce

soit du côté du type d'intrusion ou de la sanction pénale.
Si tu veux je peux t'apporter des précisions sur ce point.

De même que tout FAI garde
suffisement de log et suffisement longtemps pour que quiconque portant
plainte à la constatation du délit puisse demander à la justice de
saisir ces derniers en qualité de preuves.
Oui et tant mieux. Mais cela n'est pas suffisant.

Que faut-il de plus au juste ? :-/
Rien en l'état actuel des choses si ce n'est clarifier certains points

dont :
l'enquête numérique, la correspondance privée, le contrôle des
connexions internet, de la messagerie, les logs, la conservation de la
preuve et surtout l'utilisation de la crypto.

Venant de toi, une telle phrase ne peut que faire sourire...
Je te retourne le compliment.

Les politiques (parlementaires et d'autres) sont entourés
d'avocats spécialisés, d'experts en informatique/SSI.
Quels experts ?

Tu ne m'en voudras pas mais nous sommes sur un NG public donc je
ne citerai aucuns noms.

Attends que je me rappelle les bases d'un régime démocratique... Ah
oui, les débats politiques ainsi que leurs compte-rendus y sont
publiques et accessibles à tous.
Oui

Toute interventions sous couvert du
secret n'est alors qu'une atteinte au caractère démocratique du-dit
régime et se voit désigner sous le doux anglicisme de lobbying...
Non tu m'as mal compris. Je ne citerai pas de noms d'experts ici sans

leur accord. En outre si tu veux en avoir. Contactes-moi par mail et
on verra.

De deux choses l'une, où ces experts défendent les intérêts des
citoyens,
Oui je te le confirme.

ici les utilisateurs lambda qui voudraient arriver à
configurer leur Look'n'Stop pour pouvoir jouer à counter-strike, et
aimeraient bien que l'ouverture de 500 ports ne constitue pas une
faille béante dans leur sécurité,
Tu mélanges tout ici. Ce n'est pas le rôle des politiques et encore

moins du législateur de vérifier le code d'un programme de jeux ou
d'un FW. C'est plutôt aux concepteurs/éditeurs de s'en soucier. Et
quand on leur signale des problèmes de prendre des mesures afin de
garantir une sécurité convenable aux joueurs en ligne.

auquel cas ils méritent un quelconque
intérêt,
Pourquoi pas mais ce n'est pas le sujet.

soit ils ne défendent que leurs propres intérêts, et ne
méritent que mépris !
Dans ce cas je suis d'accord avec toi

Il y a d'autres ouvrages oui, mais moins vendus et médiatisés, hélas.
Entièrement d'accord et qui mériteraient plus d'attention. Mais que

veux-tu le monde de l'édition fonctionne comme tous les autres. Offre
vs Demande et stratégie marketing, etc.

Tout comme il existe d'autres sources d'informations, bien plus fiable
puisque totalement indépendante et destinés aux seuls utilisateurs...
Complétement d'accord. Et c'est la force du réseau. Donc à préserver.

S'ils ne sont pas "pseudos" et sont aussi compétents que tu le dis,
pourquoi n'ont-ils toujours pas compris que la base de la sécurité des
gros réseau passe par la sécurisation des postes personnels ?
C'est une approche mais là pardonne-moi mais je ne vois pas en quoi

sont-ils concernés.
Adresses-toi plutôt à MS et demande lui pourquoi ?

Tu/vous
voulez sécuriser le réseau, communiquez sur le caractère indispensable
des firewalls et autres anti-trucs.
N'emploies pas le vous. Je ne représente personne ici. J'interviens

comme personne physique dans un cadre privé pour la énième fois.
Sinon IHMO as-tu d'autres alternatives à offrir aujourd'hui à
l'utilisateur que de lui expliquer que pour sécuriser sa machine il
faut qu'il agisse & adopte des mesures de sécurité qui s'accompagnent
de contre-mesuresainsi :
- http://www.cert.org/homeusers/ ça c'est l'index
- http://www.cert.org/homeusers/HomeComputerSecurity/ ça c'est le
guide pour l'utilisateur qui veut comprendre comment sécuriser sa
machine

En moins d'un an de communication
efficace vous aurez supprimés 99% des zombies et autre machine-relais
du monde francophone, compliquant d'autant la tache des pirates.
Un an peut être ? Plus ou moins je ne sais pas mais je suis

complètement de ton avis. Il y a aussi tu sais, les gens donc les
acteurs eux-mêmes qui peuvent agir, se prendre en main, dire non à
certaines pratiques, etc.

En prime vous pourrez même en profiter pour vendre des produits grand
public.
Repeat after me : N'emploies pas le vous. Je ne représente personne

ici. J'interviens comme personne physique dans un cadre privé pour la
énième fois.

No comment...
Bah si tu devrais justement. Elle en manque.

Mouarf... Oup's, désolé, j'étais entrain d'imaginer un chevelu entrain
de témoigner... :-ppp
Je ne vois rien de drôle là dedans. Pour ma part, je ne serai

absolument pas déranger que l'on fasse appel à moi pour une affaire.

Trop de paradis informatique existent actuellement.
Le problème étant qu'ils ne se situent absolument pas à l'endroit

où tu sembles les placer.

Entendons-nous bien sur ce point.
Ce que j'appelle paradis informatique est une métaphore de paradis
fiscaux.
Tu me suis ou bien faut-il que je développe sur ce point ?

Et je maintiens
mes propos, les vrais paradis informatiques ne se situent absolument
pas là où tu le penses. Ceux-ci ne font que fournir la machine finale.
IMHO sur ce point, je pense pouvoir dire que nous sommes d'accord.

Mais ce sont les termes employés qui nous séparent. Et nous donnent à
chacun notre propre interprétation.

Lequel,
Celui-là : sc4x.net

je suis loin de n'en avoir qu'un...
Les autres je ne les connais pas.

Stephane Catteau <stephane@sc4x.net> wrote in message news:<biprth.3vvdc6p.1@sc4x.org>...

Pour reprendre ton
parallèle avec la vraie vie, ces pseudo-experts me font penser aux
généraux qui dirigent leurs armées le cul bien au chaud dans leur
bureau.

T'es dur envers les experts informatique que la justice sollicite pour
les besoins de l'expertise. Je n'ai pas le plaisir de tous les
connaître mais j'en connais deux très compétents. Il y a des caves
partout. ;)

Seraient-ils nos connaissances communes auxquelles vous faisiez
allusion ?
Leur avez vous exposé votre programme de "révolution culturelle" ?

Roland Garcia

Mais là aussi on se mobilise. ;)

C'est qui ce "on" qui en fait tant et plus ?

Toi par exemple:
http://www.transfert.net/d58

Roland Garcia

Stephane Catteau wrote:

Ta première réponse à ce message[1] ne te plaisait plus ? :-/
MDR

Je me suis planté de post.
J'ai crashé la base de mon reader hier soir donc j'ai utilisé gg et me
suis complètement loupé dans le post auquel je voulais répondre. lol
Aussi laissons tomber celui-là si ça ne te dérange pas.
Je voulais répondre à ce/ton post du Date :2003-08-31 02:55:13 PST. Je
vais le faire tout à l'heure. ;)

On Tue, 02 Sep 2003 21:42:49 +0000, Roland Garcia wrote:

Mais là aussi on se mobilise. ;)

C'est qui ce "on" qui en fait tant et plus ?

Toi par exemple:
http://www.transfert.net/d58

C'est bizzare, mais je ne me sentais pas inclus dans ce "on" là ...


Nicob

Nicob wrote:

Mais le projet de loi actuel parle de punir la "fourniture de moyens".
Sur ce point pour ma part j'ai compris que ce n'était que la fourniture

de moyens et prestations de cryptologie qui étaient sanctionnées. Mais
il y a aussi l'article concernant la fraude informatique qui me semble
qq peu flou.
Et IMHO heureusement que ces sujets sont encore étudiés.

Donc l'admin, même s'il peut faire ce qu'il peut de l'outil (ce que tu
sembles souhaiter) ne pourrait ni :
- trouver le code de l'outil ("fourniture de moyens")
- trouver de la doc sur l'outil ("fourniture de moyens")
- se documenter afin d'écrire son propre exploit ("fourniture
de moyens")
Non Nicob je n'ai absolument pas dit ça et je m'en suis déjà longuement

expliqué avec Eric Razny et Stéphane Catteau dans ce thread.
Je trouverai complétement imbécile pour ne pas dire fou de sanctionner
les professionnels d'utiliser les outils qui leur permettent de
sécuriser les SI.
Pour revenir à toi, c'est l'accessibilité des malwares qui me dérangent.
Pourquoi ne pas mettre dans une zone privée tes fameux codes comme le
font certaines teams ou groupes ? Ainsi tu peux contrôler et filtrer qui
les utilise. De cette manière tu t'évites tout problème et limites toute
propagation voire exploitation de ton code par des personnes
malintentionnées.

C'est bizzare, mais les experts crédibles que je connais, je ne les vois
jamais dans un tribunal,
Pour être expert auprès d'un tribunal il faut être agréé par la cour de

cassation.

au Parlement
ou dans d'autres émicycles j'en connais qui sont intervenus pour

sensibiliser ou débattre autour de la SI/SSI

ou à la télé.
Ce n'est pas leur place IMHO.

Mais il y a ss doute qqch à faire en termes de contenu/programme à la TV
et sur Internet en matière de SI et plus largement au plan informatique
pour éduquer/sensibiliser. On entend la presse mm spécialisée criée
qu'il n'y a pas de contenu pr les users en HD. Eh bien qu'ils se bougent
un peu les groupes de communication spécialisés dans
l'informatique/NTIC.
Exemple du portail US de CNET.com :
http://www.cnet.com/broadband/0-7057175.html?tag=vid

Absence de costard ou
non-adaptation à la demande ?
Ss doute un peu des deux ;)

("Bonjour, c'est TF1. Pouvez-vous dire au 20H
que la diffusion de bombes numériques (exploits) facilitent le travail des
pédo-nazi-terroristes de El-Quado ? Non, mais vous devriez conseillez à
vos spectateurs de virer Outlook et de ne pas ouvrir de PJ d'inconnus.
Quoi, vous rigolez : pas assez accrocheur ! Bip bip bip ...")
lol

Assez juste.
C'est vrai par exemple qu'en matière de virii ces derniers temps c'est
tt de mm incroyable qu'aucuns experts français connus n'aient été
sollicité par les mass médias pour en parler & sensibiliser par la mm
occasion.

C'est qui ce "on" qui en fait tant et plus ?
Toi moi nous tous appartenant à notre petite monde de l'informatique.

Je pense qu'on avait tous compris.
Tu me rassures ;)

Mais tu penses à quel type de paradis ? Sealand ou fac en Corée ?
lol

Et puis, même Caméléon s'est fait choper.
Oui.

Nicob wrote:

On Thu, 28 Aug 2003 16:22:11 +0000, LaDDL wrote:

Ceci incluant un article punissant la fourniture de moyens, un juriste
spécialisé dans le droit de l'Internet m'ayant conseillé de retirer
mes codes offensifs (comme par exemple JAB ou evade_ftp.pl) d'ici le 22
Octobre 2003.

Actuellement IMHO trop d'outils sont à la disposition de n'importe qui
sur le réseau donc les risques sont accrus.

Ben voyons ...
Un exemple ? Regardes le pauvre mec qui s'est fait arrêter par le FBI

pour avoir écrit un nvlle variante de blaster et propagé.

Une sécurité minimale et bien appliquée (et ça peut-être gratuit, ou
presque) protège de 98% des problèmes.
Entièrement d'accord. Mais il y a encore du boulot pour éduquer &

sensibiliser. La faille est humaine bien plus que côté réseaux et
systèmes.

Dans ton cas particulier, la solution est toute trouvée :
- tu changes d'hébergeur

Pas possible,
Ah c'est bien tu réagis. ;)

je deviendrais un hors-la-loi, ne pourrait plus m'afficher
comme auteur de tel ou tel soft et deviendrait un de ces "terroristes
anonymes", de ceux qu'on a vu sur fcsv :)
Mais objectivement je pense que tout personne écrivant du code qq soit

ses intentions a besoin de le tester.
Donc je dit oui à la diffusion sur une zone privée permettant de
vérifier qui entre/sort, télécharge, etc. Mais je suis contre une
diffusion publique et accessible facilement.

- tu crées une zone privée/sécurisée dans laquelle on pourra
retrouver tes codes et autres backdoors. En gros le user voulant
accèder à tes outils devra t'en faire la demande et s'authentifier. ;)

Pb 1 : pas de mirror possible des softs, donc plus de packetstorm
Pb 2 : pour authentifier les utilisateurs et vérifier le bien-fondé de
leur requête (deux choses distinctes), il faut du temps.
Il y a des contraintes ok mais l'utilisation ici de la crypto pourrait

être une solution.

Et du temps,
c'est de l'argent. Donc si je prends à ma charge ce travail
supplémentaire, je dois faire payer l'accès à ces softs.
<Humour>

Pourquoi pas ? Car j'en connais qui regrettent aujourd'hui de ne pas
avoir fait payer l'usage de leur backdoors ou trojans.
<Humour>

Et l'ONG ou
l'admin de fac qui a *besoin* de ce code ne pourra l'avoir.
Si mais après te l'avoir demandé par exemple.

Ceci n'est que mon humble vision du problème des malwares. J'espère que
nous sommes en phase maintenant.

Pourquoi ne pas se limiter à la punition des infractions existantes,
telles que le vol de données ou de ressources, le vandalisme, ... ?
C'est le cas je te le rappelle simplement il y a une clarification sur

un certain nombre de points.

Là, ils parlent de punir la *FOURNITURE DE MOYENS* !!!
Oui en matière de fourniture de moyens et prestations de cryptologie.

Mais en l'état ça ne passera jamais. C'est la raison pour laquelle la
LEN est toujours à l'étude.
Ils vont qd mm pas compliquer la tâche des professionnels ?!

Et au fait, dans l'histoire Tati vs Kitetoa, pourquoi le gouvernement ne
s'est-il pas porté partie civile, afin de faire respecter l'obligation de
moyens minimums de sécurité, afin de protéger les données personnelles.
J'ai pas suivi cette affaire.

C'était quoi ?

Franchement, quand ma mutuelle me permet de lister les remboursements des
autres clients, ou que ma banque me permet de pendre des sous chez le
voisin, je suis horrifié et je rapporte le pb. Dans 5 ans, avec des lois
pareilles, j'irais en taule.
lol

IMHO je ne pense pas une seconde que la LEN dans l'état actuel des
choses passera. Il y a encore beaucoup de travail avant que tt le monde
soit ok.

Nicob wrote:

On Sat, 30 Aug 2003 14:57:26 +0000, LaDDL wrote:

En sécurité le "faites moi confiance" est une bêtise (je reste
poli!). Un exploit publié est également pratique pour un admin
pressé de vérifier qu'il a bien patché la faille concernée(1)

Soit, mais l'admin réseau n'aurait-il pas mieux fait d'utiliser un
scanner de vulnérabilités et d'utiliser un outil d'administration qui
lui permette de gérer son parc et par là-même de maintenir à jour
son parc.

Non.
Je te trouve bien sûr de toi. Mais je reconnais qu'il y a d'autres

approches/démarches pour traiter les vulnérabilités.

Un scanner ne remplace pas toujours un exploit.
Pardonnes moi mais là je ne comprend pas bien le sens de ta phrase.

Sans définir un scanner et une exploit, à un moment donné on va avoir
besoin de balayer/sonder le réseau ou la machine ou le service sur
lequel on pense qu'il peut y avoir utilisation de l'exploit.
L'utilisation de scripts est aussi une solution pour exécuter le code
sur la machine client qui remonte ensuite la réponse vers le serveur.

Que faire quand :
- l'éditeur sort un patch mais ré-introduit le bug 10 mois plus tard
- on fait un pen-test pour un de ses clients
- on veut *sensibiliser* la direction d'une boite
(le "voici l'ensemble de vos mails" marchant très bien)
- on veut écrire des signatures pour un (H/N)-IDS
- on veut exploiter la faille pour la patcher [1]
- l'outil de l'éditeur (ex: HFNetchk) fait des faux *négatifs*
- ...
lol tu veux pas aussi que je t'envoie mes "livres blanc" sur le

traitement des vulnérabilités, audits de sécurité logique, etc.

"LaDDL" <alamaison@noos.fr> a écrit dans le message de
news:73eaf5e8.0309020848.6e722e16@posting.google.com...

Stephane Catteau <stephane@sc4x.net> wrote in message

[snap]

Tout cela est en libre service sur la toile, personnellement je dis
tant mieux !
Moi non c'est pour ça que j'ai réagi au propos de Nicob.

C'est je crois la base du problème (voir plus bas)

[Re-snap]

Certes, c'est un problème pour ma voisine, car elle a la
facheuse tendance à ne pas sortir couvert, mais cela ne démontre qu'une
chose, *nous* avons encore du travail à faire pour lui expliquer en
quoi c'est un tord. Une fois qu'elle aura compris et pris les mesures
qui s'impose, elle ne risquera plus rien.
Si ta voisine rencontre des problèmes avec ce genre de malware, c'est

qu'elle l'a cherché. Car on ne tombe pas sur ce type de malware sur le
réseau ss le vouloir.

Ou je ne comprends plus le français ou il y a un problème.
Le "c'est un problème pour ma voisine" fait CLAIREMENT, amha, référence au
fait que sa "voisine", ignorante des *bases* de la sécurité, est -elle-
vulnérable aux différents scripts disponibles sur le net. Il n'est
absolument pas supposé qu'elle fasse mumuse avec un tel outil!!!

[Re-re-snap, bon je coupe parfois, j'arrête les re-re !]

Primo je n'ai cité aucun nom "d'armes"/outils. (cf mes posts
précédents + précisions ci-dessus, merci)

C'est bien là le problème de *toutes* tes interventions dans cette
discussion, tu ne fais que tenir un discours de de pseudo-expert, pour
ne pas dire technocrate.
Change ta technique de communication stp. Tu ne me feras pas

abandonner la discussion avec ce genre de bassesses qui n'apportent
rien à notre échange.

Je suis entièrement d'accord avec Stéphane. Une recherche sur google
(dejanews) permet de vérifier que généralement tes posts se placent sur un
terrain essentiellement idéologique et que lorsque tu fais des allusions à
la technique tu ne donne ni exemple ni justification. Une fois de
plus -puisque l'anonymat ne permet pas d'accorder à priori un capital
confiance- tu n'as pas de crédibilité a priori.

Encore une fois tu parles beaucoup et juges ton interlocuteur ss me
connaître. Mets à la poubelle tes à priori. Et attaches-toi uniquement
au propos.
Pour ma part, je m'interesse à ce que tu me dit et non à ce qu tu es.

Est-ce bien la personne qui parle de "tu remontera dans mon estime"? Si ce
n'est pas une remarque personnelle je reprends mes cours de français!

Tu parles de plein de choses "'achement bien",
mais te garde toujours de rentrer dans les détails,
Ah bon ? Où est-ce que je suis loin de notre sujet et de ses détails

?!
Avec toi comme avec mes autres interlocuteurs dans ce thread, on
confronte nos points de vues. D'ailleurs avec Eric par exemple on
poursuit par mail notre discussion.

Accessoirement ce que je t'ai envoyé c'est un post de réponse suite à une
fausse manip de ma part après une longue période de boulot car tes
réponses -pour moi à côté du sujet ou de mauvaise foi- m'avaient enervées-.
Il ne s'agit pas de "discussion privée". J'ai simplement jugé inutile de la
reposter ici car entre temps les réactions d'autres personnes ont repris en
partie le type d'argument que j'ai utilisé. Du coup je replace ma réponse à
la fin de cette contribution que les acteurs de ce groupe puissent voir. Tu
conviendra ici même qu'a part ma demande de ne pas utiliser une autre
adresse e-mail que celle dispo ici, s'il devait y avoir échange, il n'y a
pas eu d'autre email de ma part!!!

Je ne peux également que dénoncer ici même :
a) le non respect d'une étique élémentaire : si tu pensais que la
conversation est privée tu n'as pas à en faire état ici. Ca prouve, s'il en
était besoin, que tu aime les grands principes (façon de parler, ils ne sont
certainement pas "grand" en ce qui me concerne) en t'asseyant dessus dès que
tu en as l'intérêt.

b) le processus qui consiste à dire je discute avec intel -sous entendu qui
semble "correctement compétant"- afin d'assoir tes propos, propos avec
lesquels je ne suis pas d'accord ainsi que le montre mes posts précédent.

Finalement je suis content de ma fausse manip (pour les autres : bon ok,
erreur de débutant, j'ai honte! :) ), elle permet de mettre bas les masques.

Désolé d'être direct, mais les deux seules lacunes du réseau, ce sont
les personnes comme toi et les utilisateurs peu au fait en matière de
sécurité.
Au risque de me répéter tu juges trop ton interlocuteur. Mets tes à

priori au placard.

On croit rêver!

Lorsqu'un texte repose sur une série de constatations, d'argumentation sur
des bases solides, bases acceptées apparement par la plupart des intervenant
de ce groupe, je n'appelle pas ça un a priori. C'est plutôt a posteriori!

Toutes les propositions qui pourront être faite ne changeront
strictement rien à la réalité des faits,
IMHO je ne suis pas du tout d'accord avec toi sur ce point.

Je suis pour améliorer les choses. Et si l'on peut agir alors je
n'hésite pas une seconde. Maintenant le bon sens et le pragmatisme
n'appartient pas à tt le monde.

C'est justement ce qu'on t'oppose ici : le pragmatisme par opposition à des
décisions idéologiques qui ne font que bloquer les acteurs compétants du
milieu.

n'importe qui peu et pourra
*toujours* trouver un malware et l'utiliser.
Aujourd'hui oui comme tu le dis "n'importe qui".

Demain il faut éviter justement que "n'importe qui" puisse utiliser un
malware.
Simple question comme ça : es-tu partisan de l'enseignement de
l'écriture de virus ?

N'importe quel étudiant -compétant- qui s'interresse à la sécurité peut,
éventuellement à partir d'un exploit publié, écrire un virus. Certes il y a
de petits chef d'oeuvre -avis perso- mais la plupart des virus/vers/trojans
actuels sont loin d'être renversant. Dernière précision : l'assembleur
n'est même pas obligatoire dans certains cas.

Et même le verrouillage
total du réseau, et le controle par authentification cryptée
efficacement ne changera rien à l'affaire.
Qui te parle de "verrouillage totale du réseau" ?!

Il est bien évident que l'on ne peut pas tt contrôler ! Heureusement
d'ailleurs. IMHO je tiens à ma liberté sur le réseau et encore plus
demain.

Ce qui est contradictoire avec la tirade qui faisait
l'appologie -involontaire?- du futur bidule de MS (ce qui corespond le plus
à ce que tu indiquais- quand au certifs, cryptage etc.

Vous ne pouvez controler que
les données statiques,
Je ne me sens pas concerné par ton "vous".

Mais oui on peut les contrôler.

Le fait de pouvoir n'implique en rien que ce soit à faire!!!

Et comment feras-tu pour m'empécher d'utiliser un *BSD pour
prendre le controle d'un poste sous Windows après avoir envoyé un
exécutable Flash contenant une carte de bonne année et une backdoor de
ma conception ?
Tu es libre de faire ce que tu veux Stéphane aujourd'hui ou demain.

Et encore une pirouette pour éviter soigneusement de répondre à tout
argument technique concret :(

Tu vas être derrière l'utilisateur pour lui dire "ce n'est pas bien,
tu ne le connais pas n'ouvre pas la pièce jointe" ?
Non mais je suis pour une identification numérique des users sur les

réseaux. Même si cela te déplaît c'est mon avis. J'en ai marre
d'entendre dire, depuis qu'on a rendu Internet public, que le réseau
est complétement libre et qu'il faille le laisser en l'état.

Oua! Commence par renoncer à ton anonymat avant un tel discours! Ce sera
plus crédible.
Pour préciser, je respecte les gens qui décident de rester anonyme. Encore
faut-il que ça reste compatible avec les propos qu'ils tiennent. Nicob ne
pose pas ce problèeme, amha, par exemple (même s'il n'est pas nécessairement
anonyme pour tous les intervenant ici).

Ou alors tu vas
faire en sorte que son Windows ne puisse pas ouvrir la pièce jointe,
sous le simple prétexte qu'elle n'est pas signée par une autorité
certifiée, obligeant ainsi chaque utilisateur à dépenser des milles et
des cents pour :
1) mettre à jour ses logiciels car sinon il ne pourra plus rien faire
sur le réseau.
2) Disposer d'un certificat contre-signé par une autorité certifiée.
3) Apprendre à se servir de tout ce [beeep] qui fait que chaque jour
l'informatique s'éloigne un peu plus de son but réel, obligeant
l'utilisateur à se plier à son système d'exploitation alors que ce
devrait être l'inverse.
IMHO je vois plutôt une informatique plus sûre dans les années à venir

et moins contraignante pour le user.

Ouf des progrès. A partir du moment où l'implication des usagers dans la
sécurité représente, au sens éthymologique, une contrainte, je suis content
de voir que les progrès théoriques sont tels que demain on aura une
meilleure sécurité sans leur participation!!! Des liens vers cette
merveille?

Tous les acteurs y travaillent. C'est dans notre intérêt !
Je t'invite à suivre les travaux de l'IETF ou d'aller jeter un oeil du
côté du groupe IPV6. Et pour voir d'un peu plus prêt comment on peut
vraiment sécuriser les réseaux numériques afin d'offrir une meilleure
productivité va voir le réseau GEANT (le plus innovant actuellement).

Outre que "le plus innovant actuellement" implique que :
a) c'est un fait
b) tu connaisse tous les projets
il me semble que Stéphane est un minimum au courant d'IPv6, entre autres...
-désolé Stéphane, peut être fais-je une fausse supposition! :)) -

Non, pas vraiment.
Tu devrais pourtant. Libre à toi.

Une fois de plus : "tu devrais". Quels sont les arguments en faveur de ce
devoir? (hors idéologie pure bien entendu)

Au passage, je te prierais de ne pas tout mélanger, et d'éviter de
"nous" inclure dans le tableau.
Arrêtes avec ta susceptibilité mal placée stp ça devient puéril.

Au passage, je n'inclus personne.

Puisque tu es un expert dans la sécurité, tu es mieux placé que quiconque
pour connaitre l'importance de la précision du vocabulaire.
Accessoirement les "il est évident que", "tout le monde sait que", "vous
conviendrez avec moi" etc. sont des expressions classiques des commerciaux
qui veulent placer quelque chose ou des politiques qui ne connaissent pas
leur domaine.
En ce qui *me* concerne ce sont des phrases qui me mettent en alerte. Je les
utilise parfois -je dois aussi assumer le côté business- mais si on me
demande une justification je peux l'appuyer généralement par un solide
argumentaire technique (dans ce cas mon interlocuteur fait généralement
appel à des tiers, techniques, pour validation s'il n'a pas un minimum de
compétance -toute vulgarisation a ses limites-).

Il n'est pas question d'enjeu dans ce
forum mais d'une réalité quotidienne.
Excuses-moi mais nous avons tous des enjeux ici que nous soyons

débutant ou expérimenté, professionnel ou simple utilisateur.

Pas d'accord. Il y a des enjeux quand je suis au taf -encore que la notion
de travail est particulière dans le cadre d'une passion-. Ici je ne vois
qu'un groupe d'entraide et d'échange de point de vue pour, in fine, enrichir
les connaissances -au sens large- de chacun.

Et pour les participants les plus
actifs, cette réalité passe par une vulgarisation de la sécurité
Ok sur ce point.

Mais alors j'ai une question : la SI/SSI vécue par les professionnels
a-t-elle sa place aujourd'hui sur fcs ? Si tu me réponds non cela a
bien changé. Et dans ce cas pas de problèmes j'éviterai à l'avenir de
rentrer dans le coeur du métier. (en tt dans ce thread dans l'un de
ces aspects)

Quand es tu entré dans le coeur du métier ici? Je précise avec des arguments
accessible à la logique, pas un concept flou.

en y ajoutant un nombre important de contraintes.
En matière de moyens et prestations de cryptologie oui. Mais les

débats se poursuivent. Donc il y a bon espoir.

Certains ici trouvent que ça dégénère au contraire. Enfin ce n'est pas
limité à la crypto.

alors même que la loi actuelle se suffit largement à elle-même,
Absolument pas d'accord. Suis l'actualité juridique et tu verras qu'il

était temps d'agir en apportant enfin des propositions.

il suffit juste de l'appliquer.
Elle l'est mon cher.

Dans les deux cas des exemples concrets?

De même que tout FAI garde
suffisement de log et suffisement longtemps pour que quiconque portant
plainte à la constatation du délit puisse demander à la justice de
saisir ces derniers en qualité de preuves.
Oui et tant mieux. Mais cela n'est pas suffisant.

Bien sur! Il faut les garder à vie -déjà le délai actuel pose des problèmes
de stockage- ainsi que le détails des e-mails.
Et une modification de l'OS des routeurs pour s'assurer de l'origine d'une
connexion, ça ne saturera pas la BP. Le tout bien entendu imposé au monde
entier pour contrer le spam "coréen".

Tu/vous
voulez sécuriser le réseau, communiquez sur le caractère indispensable
des firewalls et autres anti-trucs.
N'emploies pas le vous. Je ne représente personne ici.

J'ai bien peur d'être entièrement d'accord! (comprenne qui pourra :) )

No comment...
Bah si tu devrais justement. Elle en manque.

Ben, sur cette réponse, vraiement... no comment!

Mouarf... Oup's, désolé, j'étais entrain d'imaginer un chevelu entrain
de témoigner... :-ppp
Je ne vois rien de drôle là dedans. Pour ma part, je ne serai

absolument pas déranger que l'on fasse appel à moi pour une affaire.

Ca on l'a bien compris!

Eric

PS : ci après le "post" partit par email!
================================
----- Original Message -----
From: "LaDDL" <alamaison@noos.fr>
Newsgroups: fr.comp.securite
Sent: Sunday, August 31, 2003 7:34 AM
Subject: Re: reponses a une intrusion

Eric Razny wrote:

[Gros snap, la plupart des points sont ok]

et je ne vois
pas en quoi cela m'empêche de ne pas être anonyme!
Pour te le répèter, c'est un choix, une décision personnelle ok ?

Aucun problème avec ça.
Un choix perso n'a pas a être remis en cause par autrui. Ce qui me
surprennais c'est le paragraphe justification qui, pour moi, n'était pas
convainquant.

Attention le PLEN n'entend pas fixer de nouvelles règles mais assurer un
meilleur fonctionnement de la justice en matière SI.

Si c'est simplement le cas je trouve qu'il serait nécessaire, avant, de
former les acteurs du terrains afin qu'ils aient au moins une comprehension
basique des problèmes et qu'ils sachent où avoir de l'aide (doc, experts).
L'idée n'est pas de tout savoir mais de savoir ou trouver l'info. Et sans
les bases c'est impossible (ou alors qu'on m'explique comment)

Il est *extrêmement* difficile de créer une loi sur ce domaine en
prenant en

compte les effets de bord.
Je te rassure tt de suite c'est impossible de légifèrer sur l'usage des

scanners.
En outre définir le degré de l'acte de pénétration ou d'intrusion et le
niveau de conscience de l'acte de l'agresseur c'est possible par
exemple.

AMHA, c'est le boulot du juge avec une loi cadre, pas celle du legislateur.

Mais comme "nous" l'avons déjà signalé, si le droit est mal fait cela
risque

de contraindre un "bon" admin à devoir choisir entre mal faire son
métier -et souvent sa passion- ou se mettre hors la loi.
Sur quel(s) point(s) stp te bases-tu ?

La fonction de l'admin est claire et je ne vois pas en quoi la LEN le
met en situation de risques.
Il a une obligation de secret ok bon et après (en + c'est pas nouveau
depuis 2001).
Les seuls aspects délicats sont pour lui : l'interception des
correspondances, le contrôle des connexions internet, le contrôle de la
messagerie, les fichiers de journalisation.

J'adore l'expression "les seuls aspects délicats". Outre que je pense qu'il
y en a d'autre, ceux ci sont déjà largement suffisant pour montrer qu'il y a
un problème avec la législation, problème qui risque de s'aggraver si on
modifie à la va vite ladite législation.

Pénalisé dans le sens ou certains outils ou méthodes ne devraient plus
être

utilisés. (ex le NAT avec les conneries US, les tests d'intrusions etc)

Ah non ce n'est pas vrai. Désinformation totale là.
Pour évaluer le niveau de risque/sécurité d'une application, d'un réseau
ou bien d'un service je ne vois pas comment on pourrait se passer des
audits de sécurité logique comme les tests d'intrusion.
Par exemple : une société obligée de démontrer à son assureur le niveau
de sécurité (je parle bien entendu d'une grande entreprise).

On est d'accord alors? C'est nécessaire pour un admin. Et ma crainte c'est
qu'il ne puisse plus le faire *légalement* dans le futur.

Pénalisé dans le sens ou les actions mettrait l'admin en défaut au
niveau

pénal.
IMHO il faut étendre le niveau de responsabilité à l'ensemble des

acteurs concernés par la SI & SSI en entreprise : du chef d'entreprise
en passant par le RM, RSSI, etc.

Essaye aussi de raisonner avec de petites entreprises qui, au mieux, ont un
consultant extérieur, au pire un admin improvisé.

Quand j'ai un problème avec un serveur smtp (recemment j'en ai vu
un, -"secondaire" au niveau MX- paramétré avec les pieds et qui refusait
les

adresses sur un domaine et le DNS était "bon') je me connecte
"manuellement"

et je jette un oeil. Ca m'a déjà valu des observations de soit disant
admins

du type "pourquoi vous avez été sur *mon* serveur"!!! Imagine un
politique

qui est informé par ce type de personne et les lois qui vont sortir!

Oui c'est vraisemblable.
Mais un politique prend toujours des conseils et des contre avis avant
d'agir de nos jours. Principe de précaution.

Le principe de précaution est, pour moi, une connerie prétexte à ne rien
faire. Il y a une différente entre la prudence et le principe de précaution
tel qu'il a été errigé en france.

Les hommes de lois concernés par ces affaires/dossiers font preuves de
pragmatisme.

Un juge ne peut qu'appliquer la loi (sinon la décision sera changée ou
cassée en appel ou en cassation).
Je le répète j'ai déjà, personnellement, eu affaire aux conneries des lois
Pasqua -impossible d'avoir légalement une nouvelle CNI-, alors je me mefie
du tout sécuritaire sans la réflexion sur les conséquences...

C'est la où je suis moins optimiste que toi.
Je t'invite à suivre l'actualité juridique et d'interpeller les

politiques sur les sujets qui t'interpellent.
Ils écoutent quand on est plusieurs à réagir. ;)
D'autre part certains sont très réceptifs sur le sujet de la SI.

Mais avec l'ambiance actuelle beaucoup sont réceptifs aux faucon lobbyiste!
Ce qui donne, à mon avis, un contrôle excessif et, in fine, une sécurité
moindre.

Eric.

On Thu, 04 Sep 2003 08:10:05 +0000, Eric Razny wrote:

Pour préciser, je respecte les gens qui décident de rester anonyme. Encore
faut-il que ça reste compatible avec les propos qu'ils tiennent. Nicob ne
pose pas ce problèeme, amha, par exemple (même s'il n'est pas nécessairement
anonyme pour tous les intervenant ici).

Petite précision : je ne suis pas anonyme, mais sous pseudo.

La nuance est IMO de taille (pas de proxys anonymisants, pas de rebond via
la Corée, facilité pour les forces de l'ordre de remonter jusqu'à mon vrai
nom, NNTP-Posting-Host très parlant, ...).

Il faudra bien 2 minutes à qui que soit pour percer mon pseudo, mais ce
dernier n'est pas là pour "cacher" quoi que ce soit, mais bel et ben pour
faciliter la distinction entre les propos que je tiens au nom de mon
employeur et ceux faits en mon nom propre.

Voilà, c'était juste pour être précis ...


Nicob