Voilà une magnifique réponse à ma question.
Beaucoup d'arguments, une bonne dose de références.
Un peu trop de lyrisme, peut-être ....
Désolé Nico, mais je viens de le préciser à Eric dans le post que je
Voilà une magnifique réponse à ma question.
Beaucoup d'arguments, une bonne dose de références.
Un peu trop de lyrisme, peut-être ....
Désolé Nico, mais je viens de le préciser à Eric dans le post que je
Voilà une magnifique réponse à ma question.
Beaucoup d'arguments, une bonne dose de références.
Un peu trop de lyrisme, peut-être ....
Désolé Nico, mais je viens de le préciser à Eric dans le post que je
On Thu, 04 Sep 2003 13:32:54 +0000, Stephane Catteau wrote:
Or, sur Internet (en tout cas pour l'instant), on n'arrive même
pas à faire condamner en justice les sociétés gérant à la légère
les données personnelles. [...]La seule chose qui pouvait poser problème était l'accès à des
données sans intrusion (l'affaire "kitetoa"). Et la réponse de la
justice est parfaite en tout point.
Bof. Même si le jugement en appel m'apporta un soulagement,
j'aurais préféré voir Tati poursuivi pour négligences.
On Thu, 04 Sep 2003 13:32:54 +0000, Stephane Catteau wrote:
Or, sur Internet (en tout cas pour l'instant), on n'arrive même
pas à faire condamner en justice les sociétés gérant à la légère
les données personnelles. [...]
La seule chose qui pouvait poser problème était l'accès à des
données sans intrusion (l'affaire "kitetoa"). Et la réponse de la
justice est parfaite en tout point.
Bof. Même si le jugement en appel m'apporta un soulagement,
j'aurais préféré voir Tati poursuivi pour négligences.
On Thu, 04 Sep 2003 13:32:54 +0000, Stephane Catteau wrote:
Or, sur Internet (en tout cas pour l'instant), on n'arrive même
pas à faire condamner en justice les sociétés gérant à la légère
les données personnelles. [...]La seule chose qui pouvait poser problème était l'accès à des
données sans intrusion (l'affaire "kitetoa"). Et la réponse de la
justice est parfaite en tout point.
Bof. Même si le jugement en appel m'apporta un soulagement,
j'aurais préféré voir Tati poursuivi pour négligences.
On Thu, 04 Sep 2003 13:32:54 +0000, Stephane Catteau wrote:
[..]
Bof. Même si le jugement en appel m'apporta un soulagement, j'aurais
préféré voir Tati poursuivi pour négligences.
Négligences relevant du civil. Dans ce cas seules les victimes (clients)
pouvaient se prévaloir d'une faute par négligence dans la gestion de
leur compte.
Roland Garcia
On Thu, 04 Sep 2003 13:32:54 +0000, Stephane Catteau wrote:
[..]
Bof. Même si le jugement en appel m'apporta un soulagement, j'aurais
préféré voir Tati poursuivi pour négligences.
Négligences relevant du civil. Dans ce cas seules les victimes (clients)
pouvaient se prévaloir d'une faute par négligence dans la gestion de
leur compte.
Roland Garcia
On Thu, 04 Sep 2003 13:32:54 +0000, Stephane Catteau wrote:
[..]
Bof. Même si le jugement en appel m'apporta un soulagement, j'aurais
préféré voir Tati poursuivi pour négligences.
Négligences relevant du civil. Dans ce cas seules les victimes (clients)
pouvaient se prévaloir d'une faute par négligence dans la gestion de
leur compte.
Roland Garcia
Un exemple ? Regardes le pauvre mec qui s'est fait arrêter par le FBI
pour avoir écrit un nvlle variante de blaster et propagé.
Et alors ? Cet exemple est censé défendre ton point de vue ?
Non pas du tout juste pour te faire comprendre que s'il n'avait pas
[...] pas besoin de nouvelles lois ...
Aux USA, je ne sais pas.
Donc je dit oui à la diffusion sur une zone privée permettant de
vérifier qui entre/sort, télécharge, etc. Mais je suis contre une
diffusion publique et accessible facilement.
Pu*ain !
lol relax inutile de t'énerver.
Et je fais comment pour vérifier ?
Ok je t'explique et t'expose brièvement le principe & le fond de ma
Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
On monte un cartel
de boîtes de sécu à l'image de celui de diffusion de failles aux USA ?
Il y a déjà assez de d'associations, clubs comme ça.
Ces contrôles seront le début de la mise en place d'une classe de
privilégés ayant les moyens de *payer* les exploits, la fin de la
recherche gratuite (à la connexion Internet près) de connaissances.
Ah non ! IMHO au contraire, ces contrôles permettront une plus grande
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Tu ne serais pas de ceux qui vont aux key-signing parties sans pièce
d'identité mais avec un ordi, par hasard ?
lol non désolé de te decevoir.
Et l'ONG ou
l'admin de fac qui a *besoin* de ce code ne pourra l'avoir.
Si mais après te l'avoir demandé par exemple.
Je me tue à te dire que non, vu qu'il faudra que je fasse payer les
demandes d'accès, afin d'avoir les moyens de les traiter !
Pas forcément mais IMHO c'est une démarche de groupe que nous devons
Là, ils parlent de punir la *FOURNITURE DE MOYENS* !!!
Oui en matière de fourniture de moyens et prestations de cryptologie.
Mais en l'état ça ne passera jamais. C'est la raison pour laquelle la
LEN est toujours à l'étude.
Ils vont qd mm pas compliquer la tâche des professionnels ?!
Pas seulement la crypto !
C'est quand même le sujet le plus difficile à appréhender au plan
"Le fait de détenir, d'offrir, de céder ou de mettre à disposition un
équipement, un instrument, un programme informatique ou toute donnée
conçus ou spécialement adaptés pour commettre les faits prévus par
les articles 323-1 à 323-3 est puni des peines prévues respectivement
pour l'infraction elle-même ou pour l'infraction la plus sévèrement
réprimée."
Oui ça c'est en ce qui concerne la fraude informatique.
<sarcasme="on">
Bof, rien de grave ...
K. avait piqué un slip, et il s'est fait chopé.
<sarcasme="off">
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml
lol oui merci pr le lien mais depuis que tu m'en as parlé j'ai pris
Un exemple ? Regardes le pauvre mec qui s'est fait arrêter par le FBI
pour avoir écrit un nvlle variante de blaster et propagé.
Et alors ? Cet exemple est censé défendre ton point de vue ?
Non pas du tout juste pour te faire comprendre que s'il n'avait pas
[...] pas besoin de nouvelles lois ...
Aux USA, je ne sais pas.
Donc je dit oui à la diffusion sur une zone privée permettant de
vérifier qui entre/sort, télécharge, etc. Mais je suis contre une
diffusion publique et accessible facilement.
Pu*ain !
lol relax inutile de t'énerver.
Et je fais comment pour vérifier ?
Ok je t'explique et t'expose brièvement le principe & le fond de ma
Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
On monte un cartel
de boîtes de sécu à l'image de celui de diffusion de failles aux USA ?
Il y a déjà assez de d'associations, clubs comme ça.
Ces contrôles seront le début de la mise en place d'une classe de
privilégés ayant les moyens de *payer* les exploits, la fin de la
recherche gratuite (à la connexion Internet près) de connaissances.
Ah non ! IMHO au contraire, ces contrôles permettront une plus grande
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Tu ne serais pas de ceux qui vont aux key-signing parties sans pièce
d'identité mais avec un ordi, par hasard ?
lol non désolé de te decevoir.
Et l'ONG ou
l'admin de fac qui a *besoin* de ce code ne pourra l'avoir.
Si mais après te l'avoir demandé par exemple.
Je me tue à te dire que non, vu qu'il faudra que je fasse payer les
demandes d'accès, afin d'avoir les moyens de les traiter !
Pas forcément mais IMHO c'est une démarche de groupe que nous devons
Là, ils parlent de punir la *FOURNITURE DE MOYENS* !!!
Oui en matière de fourniture de moyens et prestations de cryptologie.
Mais en l'état ça ne passera jamais. C'est la raison pour laquelle la
LEN est toujours à l'étude.
Ils vont qd mm pas compliquer la tâche des professionnels ?!
Pas seulement la crypto !
C'est quand même le sujet le plus difficile à appréhender au plan
"Le fait de détenir, d'offrir, de céder ou de mettre à disposition un
équipement, un instrument, un programme informatique ou toute donnée
conçus ou spécialement adaptés pour commettre les faits prévus par
les articles 323-1 à 323-3 est puni des peines prévues respectivement
pour l'infraction elle-même ou pour l'infraction la plus sévèrement
réprimée."
Oui ça c'est en ce qui concerne la fraude informatique.
<sarcasme="on">
Bof, rien de grave ...
K. avait piqué un slip, et il s'est fait chopé.
<sarcasme="off">
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml
lol oui merci pr le lien mais depuis que tu m'en as parlé j'ai pris
Un exemple ? Regardes le pauvre mec qui s'est fait arrêter par le FBI
pour avoir écrit un nvlle variante de blaster et propagé.
Et alors ? Cet exemple est censé défendre ton point de vue ?
Non pas du tout juste pour te faire comprendre que s'il n'avait pas
[...] pas besoin de nouvelles lois ...
Aux USA, je ne sais pas.
Donc je dit oui à la diffusion sur une zone privée permettant de
vérifier qui entre/sort, télécharge, etc. Mais je suis contre une
diffusion publique et accessible facilement.
Pu*ain !
lol relax inutile de t'énerver.
Et je fais comment pour vérifier ?
Ok je t'explique et t'expose brièvement le principe & le fond de ma
Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
On monte un cartel
de boîtes de sécu à l'image de celui de diffusion de failles aux USA ?
Il y a déjà assez de d'associations, clubs comme ça.
Ces contrôles seront le début de la mise en place d'une classe de
privilégés ayant les moyens de *payer* les exploits, la fin de la
recherche gratuite (à la connexion Internet près) de connaissances.
Ah non ! IMHO au contraire, ces contrôles permettront une plus grande
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Tu ne serais pas de ceux qui vont aux key-signing parties sans pièce
d'identité mais avec un ordi, par hasard ?
lol non désolé de te decevoir.
Et l'ONG ou
l'admin de fac qui a *besoin* de ce code ne pourra l'avoir.
Si mais après te l'avoir demandé par exemple.
Je me tue à te dire que non, vu qu'il faudra que je fasse payer les
demandes d'accès, afin d'avoir les moyens de les traiter !
Pas forcément mais IMHO c'est une démarche de groupe que nous devons
Là, ils parlent de punir la *FOURNITURE DE MOYENS* !!!
Oui en matière de fourniture de moyens et prestations de cryptologie.
Mais en l'état ça ne passera jamais. C'est la raison pour laquelle la
LEN est toujours à l'étude.
Ils vont qd mm pas compliquer la tâche des professionnels ?!
Pas seulement la crypto !
C'est quand même le sujet le plus difficile à appréhender au plan
"Le fait de détenir, d'offrir, de céder ou de mettre à disposition un
équipement, un instrument, un programme informatique ou toute donnée
conçus ou spécialement adaptés pour commettre les faits prévus par
les articles 323-1 à 323-3 est puni des peines prévues respectivement
pour l'infraction elle-même ou pour l'infraction la plus sévèrement
réprimée."
Oui ça c'est en ce qui concerne la fraude informatique.
<sarcasme="on">
Bof, rien de grave ...
K. avait piqué un slip, et il s'est fait chopé.
<sarcasme="off">
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml
lol oui merci pr le lien mais depuis que tu m'en as parlé j'ai pris
Je diffuse mon code à 50 professionnels de ma sécurité dûment identifiés.
15 jours plus tard, le code est sur IRC.
On ne peut pas tout canaliser, contrôler, et tu connais bien les
Et là, on fait comment ?
Seuls les sk et les black-hats (et 50 professionnels) auront le code.
lol dans ce cas là, on est pas dans la merde.
Exemple récent : leak de CANVAS
http://packetstorm.linuxsecurity.com/0308-advisories/aitel.html
lol l'un de mes collaborateurs m'en a parlé et envoyé ce lien aussi la
Je diffuse mon code à 50 professionnels de ma sécurité dûment identifiés.
15 jours plus tard, le code est sur IRC.
On ne peut pas tout canaliser, contrôler, et tu connais bien les
Et là, on fait comment ?
Seuls les sk et les black-hats (et 50 professionnels) auront le code.
lol dans ce cas là, on est pas dans la merde.
Exemple récent : leak de CANVAS
http://packetstorm.linuxsecurity.com/0308-advisories/aitel.html
lol l'un de mes collaborateurs m'en a parlé et envoyé ce lien aussi la
Je diffuse mon code à 50 professionnels de ma sécurité dûment identifiés.
15 jours plus tard, le code est sur IRC.
On ne peut pas tout canaliser, contrôler, et tu connais bien les
Et là, on fait comment ?
Seuls les sk et les black-hats (et 50 professionnels) auront le code.
lol dans ce cas là, on est pas dans la merde.
Exemple récent : leak de CANVAS
http://packetstorm.linuxsecurity.com/0308-advisories/aitel.html
lol l'un de mes collaborateurs m'en a parlé et envoyé ce lien aussi la
Nicob wrote:Un exemple ? Regardes le pauvre mec qui s'est fait arrêter par le FBI
pour avoir écrit un nvlle variante de blaster et propagé.
Et alors ? Cet exemple est censé défendre ton point de vue ?
Non pas du tout juste pour te faire comprendre que s'il n'avait pas
retrouver le code binaire ou source du virus en question. Il n'aurait
peut être pas agit ainsi.
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
- Alors seulement tu pourras lui fournir un login + pass afin d'accèder
à la fameuse zone.Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Et pas forcément besoin d'attendre l'IPV6.
Ainsi avec une plateforme commune sécurisée et un système de
contrôle on peut donc limiter certains risques : notamment que du code
dangereux tombe dans des mains malveillantes.
Nicob wrote:
Un exemple ? Regardes le pauvre mec qui s'est fait arrêter par le FBI
pour avoir écrit un nvlle variante de blaster et propagé.
Et alors ? Cet exemple est censé défendre ton point de vue ?
Non pas du tout juste pour te faire comprendre que s'il n'avait pas
retrouver le code binaire ou source du virus en question. Il n'aurait
peut être pas agit ainsi.
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
- Alors seulement tu pourras lui fournir un login + pass afin d'accèder
à la fameuse zone.
Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Et pas forcément besoin d'attendre l'IPV6.
Ainsi avec une plateforme commune sécurisée et un système de
contrôle on peut donc limiter certains risques : notamment que du code
dangereux tombe dans des mains malveillantes.
Nicob wrote:Un exemple ? Regardes le pauvre mec qui s'est fait arrêter par le FBI
pour avoir écrit un nvlle variante de blaster et propagé.
Et alors ? Cet exemple est censé défendre ton point de vue ?
Non pas du tout juste pour te faire comprendre que s'il n'avait pas
retrouver le code binaire ou source du virus en question. Il n'aurait
peut être pas agit ainsi.
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
- Alors seulement tu pourras lui fournir un login + pass afin d'accèder
à la fameuse zone.Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Et pas forcément besoin d'attendre l'IPV6.
Ainsi avec une plateforme commune sécurisée et un système de
contrôle on peut donc limiter certains risques : notamment que du code
dangereux tombe dans des mains malveillantes.
Donc je dit oui à la diffusion sur une zone privée permettant de
vérifier qui entre/sort, télécharge, etc. Mais je suis contre une
diffusion publique et accessible facilement.
Pu*ain !
lol relax inutile de t'énerver.Et je fais comment pour vérifier ?
Ok je t'explique et t'expose brièvement le principe & le fond de ma
pensée à ce sujet. Pour l'architecture & la solution technique nous
sommes en train d'y réfléchir (je dis "nous" car mes collaborateurs et
moi-même réfléchissons là-dessus depuis qq temps) donc je ne rentrerai
pas dans le détail.
Par exemple :
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
- Alors seulement tu pourras lui fournir un login + pass afin
d'accèder
à la fameuse zone.Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
Donc je dit oui à la diffusion sur une zone privée permettant de
vérifier qui entre/sort, télécharge, etc. Mais je suis contre une
diffusion publique et accessible facilement.
Pu*ain !
lol relax inutile de t'énerver.
Et je fais comment pour vérifier ?
Ok je t'explique et t'expose brièvement le principe & le fond de ma
pensée à ce sujet. Pour l'architecture & la solution technique nous
sommes en train d'y réfléchir (je dis "nous" car mes collaborateurs et
moi-même réfléchissons là-dessus depuis qq temps) donc je ne rentrerai
pas dans le détail.
Par exemple :
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
- Alors seulement tu pourras lui fournir un login + pass afin
d'accèder
à la fameuse zone.
Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
Donc je dit oui à la diffusion sur une zone privée permettant de
vérifier qui entre/sort, télécharge, etc. Mais je suis contre une
diffusion publique et accessible facilement.
Pu*ain !
lol relax inutile de t'énerver.Et je fais comment pour vérifier ?
Ok je t'explique et t'expose brièvement le principe & le fond de ma
pensée à ce sujet. Pour l'architecture & la solution technique nous
sommes en train d'y réfléchir (je dis "nous" car mes collaborateurs et
moi-même réfléchissons là-dessus depuis qq temps) donc je ne rentrerai
pas dans le détail.
Par exemple :
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
- Alors seulement tu pourras lui fournir un login + pass afin
d'accèder
à la fameuse zone.Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
Nicob wrote:Je diffuse mon code à 50 professionnels de ma sécurité dûment
identifiés.
15 jours plus tard, le code est sur IRC.
On ne peut pas tout canaliser, contrôler, et tu connais bien les
possibilités d'IRC. Donc...
Mais pour rester sur ton exemple si le code se retrouve sur IRC cela
signifie que l'un des 50 l'a diffusé ou propagé et qqun par ex l'a
exploité et l'a diffusé sur un channel via IRC. Donc là, IMHO l'enquête
me semble pr le moins pas trop compliqué pour les autorités compétentes
en la matière pour remonter à la source.
Nicob wrote:
Je diffuse mon code à 50 professionnels de ma sécurité dûment
identifiés.
15 jours plus tard, le code est sur IRC.
On ne peut pas tout canaliser, contrôler, et tu connais bien les
possibilités d'IRC. Donc...
Mais pour rester sur ton exemple si le code se retrouve sur IRC cela
signifie que l'un des 50 l'a diffusé ou propagé et qqun par ex l'a
exploité et l'a diffusé sur un channel via IRC. Donc là, IMHO l'enquête
me semble pr le moins pas trop compliqué pour les autorités compétentes
en la matière pour remonter à la source.
Nicob wrote:Je diffuse mon code à 50 professionnels de ma sécurité dûment
identifiés.
15 jours plus tard, le code est sur IRC.
On ne peut pas tout canaliser, contrôler, et tu connais bien les
possibilités d'IRC. Donc...
Mais pour rester sur ton exemple si le code se retrouve sur IRC cela
signifie que l'un des 50 l'a diffusé ou propagé et qqun par ex l'a
exploité et l'a diffusé sur un channel via IRC. Donc là, IMHO l'enquête
me semble pr le moins pas trop compliqué pour les autorités compétentes
en la matière pour remonter à la source.
Je trouverai complétement imbécile pour ne pas dire fou de sanctionner
les professionnels d'utiliser les outils qui leur permettent de
sécuriser les SI.
Au moins on est d'accord la dessus.
Bonjour, ouf ! ;)
Moi j'étends l'accès à ces outils à tous pour une simple raison :
Oui moi aussi mais je penche pour un contrôle au moment de l'accès à ces
je ne veux pas d'un état qui contrôle qui a le droit ou pas de ce servir de
tels outils pour, de facto, aboutir à une censure à volonté.
Moi non plus je ne veux pas de dérives gouvernementale ou marchande.
De plus pas mal de hobbystes rendent de réels services en entreprise,
parfois plus que de pseudo professionnels.
Entièrement d'accord et d'ailleurs petite anecdote en passant c'est
Il est largement suffisant, amha, de punir l'utilisation frauduleuse -et les
textes le permettent- de ces outils (entre autre).
Oui mais pas seulement et IMHO c'est là que nous ne sommes pas d'accord.
Une analogie serait l'interdiction de l'automobile aux non professionnels de
la route sous prétexte que l'on peut faire des délis avec!
lol un peu grosse ton analogie.
Pour revenir à toi, c'est l'accessibilité des malwares qui me dérangent.
Pourquoi ne pas mettre dans une zone privée tes fameux codes comme le
font certaines teams ou groupes ? Ainsi tu peux contrôler et filtrer qui
les utilise. De cette manière tu t'évites tout problème et limites toute
propagation voire exploitation de ton code par des personnes
malintentionnées.
Et qui décrète que intel ou intel est digne d'accès?
Le "propriétaire" de la zone.
Pour ma part prévenir l'editeur + délai + diffusion de la faille avec patch
ou workaround + delai + exploit est raisonnable.
Soit mais le processus demande encore à être améliorer.
Si à ce moment l'exploit
passe, l'admin n'a pas fait son job.
Ok
C'est bizzare, mais les experts crédibles que je connais, je ne les vois
jamais dans un tribunal,
Pour être expert auprès d'un tribunal il faut être agréé par la cour de
cassation.
C'est une confirmation :
Oui.
il y a une différence parfois sensible entre un
"vrai" expert et un expert reconnu devant les tribunaux.
Je parle ici d'experts reconnus devant les tribunaux.
Certains sont parfaitement compétant mais d'autres ne comprennent même pas
un discours purement technique dans leur domaine (ça ne vaut pas que pour la
sécurité).
Il y a des incompétents partout.
Explique moi comment une instance -sans connaissance dans un domaine- peut
*réellement* juger les compétance d'un expert qui se présente pour agrément?
(sans la passer devant d'autres experts, malheureusement).
Je ne peut t'en parler. Je ne sais pas comment cela se déroule.
Je trouverai complétement imbécile pour ne pas dire fou de sanctionner
les professionnels d'utiliser les outils qui leur permettent de
sécuriser les SI.
Au moins on est d'accord la dessus.
Bonjour, ouf ! ;)
Moi j'étends l'accès à ces outils à tous pour une simple raison :
Oui moi aussi mais je penche pour un contrôle au moment de l'accès à ces
je ne veux pas d'un état qui contrôle qui a le droit ou pas de ce servir de
tels outils pour, de facto, aboutir à une censure à volonté.
Moi non plus je ne veux pas de dérives gouvernementale ou marchande.
De plus pas mal de hobbystes rendent de réels services en entreprise,
parfois plus que de pseudo professionnels.
Entièrement d'accord et d'ailleurs petite anecdote en passant c'est
Il est largement suffisant, amha, de punir l'utilisation frauduleuse -et les
textes le permettent- de ces outils (entre autre).
Oui mais pas seulement et IMHO c'est là que nous ne sommes pas d'accord.
Une analogie serait l'interdiction de l'automobile aux non professionnels de
la route sous prétexte que l'on peut faire des délis avec!
lol un peu grosse ton analogie.
Pour revenir à toi, c'est l'accessibilité des malwares qui me dérangent.
Pourquoi ne pas mettre dans une zone privée tes fameux codes comme le
font certaines teams ou groupes ? Ainsi tu peux contrôler et filtrer qui
les utilise. De cette manière tu t'évites tout problème et limites toute
propagation voire exploitation de ton code par des personnes
malintentionnées.
Et qui décrète que intel ou intel est digne d'accès?
Le "propriétaire" de la zone.
Pour ma part prévenir l'editeur + délai + diffusion de la faille avec patch
ou workaround + delai + exploit est raisonnable.
Soit mais le processus demande encore à être améliorer.
Si à ce moment l'exploit
passe, l'admin n'a pas fait son job.
Ok
C'est bizzare, mais les experts crédibles que je connais, je ne les vois
jamais dans un tribunal,
Pour être expert auprès d'un tribunal il faut être agréé par la cour de
cassation.
C'est une confirmation :
Oui.
il y a une différence parfois sensible entre un
"vrai" expert et un expert reconnu devant les tribunaux.
Je parle ici d'experts reconnus devant les tribunaux.
Certains sont parfaitement compétant mais d'autres ne comprennent même pas
un discours purement technique dans leur domaine (ça ne vaut pas que pour la
sécurité).
Il y a des incompétents partout.
Explique moi comment une instance -sans connaissance dans un domaine- peut
*réellement* juger les compétance d'un expert qui se présente pour agrément?
(sans la passer devant d'autres experts, malheureusement).
Je ne peut t'en parler. Je ne sais pas comment cela se déroule.
Je trouverai complétement imbécile pour ne pas dire fou de sanctionner
les professionnels d'utiliser les outils qui leur permettent de
sécuriser les SI.
Au moins on est d'accord la dessus.
Bonjour, ouf ! ;)
Moi j'étends l'accès à ces outils à tous pour une simple raison :
Oui moi aussi mais je penche pour un contrôle au moment de l'accès à ces
je ne veux pas d'un état qui contrôle qui a le droit ou pas de ce servir de
tels outils pour, de facto, aboutir à une censure à volonté.
Moi non plus je ne veux pas de dérives gouvernementale ou marchande.
De plus pas mal de hobbystes rendent de réels services en entreprise,
parfois plus que de pseudo professionnels.
Entièrement d'accord et d'ailleurs petite anecdote en passant c'est
Il est largement suffisant, amha, de punir l'utilisation frauduleuse -et les
textes le permettent- de ces outils (entre autre).
Oui mais pas seulement et IMHO c'est là que nous ne sommes pas d'accord.
Une analogie serait l'interdiction de l'automobile aux non professionnels de
la route sous prétexte que l'on peut faire des délis avec!
lol un peu grosse ton analogie.
Pour revenir à toi, c'est l'accessibilité des malwares qui me dérangent.
Pourquoi ne pas mettre dans une zone privée tes fameux codes comme le
font certaines teams ou groupes ? Ainsi tu peux contrôler et filtrer qui
les utilise. De cette manière tu t'évites tout problème et limites toute
propagation voire exploitation de ton code par des personnes
malintentionnées.
Et qui décrète que intel ou intel est digne d'accès?
Le "propriétaire" de la zone.
Pour ma part prévenir l'editeur + délai + diffusion de la faille avec patch
ou workaround + delai + exploit est raisonnable.
Soit mais le processus demande encore à être améliorer.
Si à ce moment l'exploit
passe, l'admin n'a pas fait son job.
Ok
C'est bizzare, mais les experts crédibles que je connais, je ne les vois
jamais dans un tribunal,
Pour être expert auprès d'un tribunal il faut être agréé par la cour de
cassation.
C'est une confirmation :
Oui.
il y a une différence parfois sensible entre un
"vrai" expert et un expert reconnu devant les tribunaux.
Je parle ici d'experts reconnus devant les tribunaux.
Certains sont parfaitement compétant mais d'autres ne comprennent même pas
un discours purement technique dans leur domaine (ça ne vaut pas que pour la
sécurité).
Il y a des incompétents partout.
Explique moi comment une instance -sans connaissance dans un domaine- peut
*réellement* juger les compétance d'un expert qui se présente pour agrément?
(sans la passer devant d'autres experts, malheureusement).
Je ne peut t'en parler. Je ne sais pas comment cela se déroule.
Certes, c'est un problème pour ma voisine, car elle a la facheuse
tendance à ne pas sortir couvert, mais cela ne démontre qu'une
chose, *nous* avons encore du travail à faire pour lui expliquer en
quoi c'est un tord. Une fois qu'elle aura compris et pris les
mesures qui s'impose, elle ne risquera plus rien.
Si ta voisine rencontre des problèmes avec ce genre de malware,
c'est qu'elle l'a cherché.
Oui, en ne sortant pas couvert... Où es-tu allé pécher que c'était
pour l'avoir utilisé qu'elle a eu des problèmes ma voisine ?
Bon on va bientôt finir dans la cuisine de ta voisine à ce rythme ! lol
Rien, et ça tombe bien puisque ce n'est clairement pas eux que je
qualifies de "neuneus" ici. Pas plus que "ces outils" ne faisait
référence aux anti-trucs...
MDR
Et pourtant cela ne t'empèche pas de soutenir mordicus dans un autre
message que ces malwares sont une menace sérieuse pour les admins ! :-/
Je n'ai jamais dit que c'était une menace pour les admins.
Désolé, ce soir j'ai piscine, demain peut-être.
lol
Quelque soit le futur de l'informatique, la seule possibilité
d'empécher n'importe qui d'utiliser un malware revient à empécher les
gens de faire ce qu'ils veulent avec leur ordinateur.
Je n'ai jamais parler d'interdire d'utiliser des malwares mais plutôt
Tout autre moyen
n'est que poudre aux yeux.
IMHO je ne crois pas. La solution viendra d'une initiative collective.
Ca me fait penser aux débats sans fin d'il y a une quinzaine d'années
sur la protection des logiciels, ou le débat actuel sur la protection
des CD audio.
Non cela n'a rien à voir car ici on ne parle pas de propriété
Une solution qui consiste à limiter les libertés
individuelles n'est pas une solution mais un suicide.
Je ne parle pas de limiter les libertés. Il n'est pas question dans mon
Simple question comme ça : es-tu partisan de l'enseignement de
l'écriture de virus ?
C'est une question que je ne me suis jamais posée.
Va jeter un oeil ici : http://www.avien.org/publicletter.htm
Et même le verrouillage total du réseau, et le controle par
authentification cryptée efficacement ne changera rien à l'affaire.
Qui te parle de "verrouillage totale du réseau" ?!
Personne, j'explique juste que même la solution la plus extrème ne
servirait à rien.
Tout dépend de l'angle sous lequel tu te places.
Il est bien évident que l'on ne peut pas tt contrôler !
Heureusement d'ailleurs. IMHO je tiens à ma liberté sur le réseau
et encore plus demain.
Et pourtant tu refuses aux autres le droit d'exercer leur propre
libertée.
Pardonnes-moi mais tu délires là ?! Où ai-je dit cela.
Comme par exemple lorsque tu demandes à Nicob de mettre ses
codes offensifs dans une zone protégée. Ce faisant, tu brides la
liberté de Nicob et la liberté de toutes personnes voulant accéder à
ces codes, quelque soit leur raison.
Non je n'interdis pas à Nicob de publier ses codes ou à quiconque
Qui plus est, tu ne règles aucunement le problème, puisque Nicob
pourrait parfaitement m'offrir un accès à cette zone "protégée", pour
la simple raison qu'il me connait et considère (du moins il me semble)
que l'on peut me faire confiance sur ce point là. Et pourtant, cela ne
m'empèchera pas de pêter les plombs et d'utiliser l'un ou plusieurs de
ces codes pour exploser (virtuellement évidement) la tête d'un imbécile
qui m'aurait marché (virtuellement là aussi) sur les pieds.
lol oui mais dans ce cas Nicob disposera d'informations et de logs te
De même, il pourrait offrir un accès à un admin de sa connaissance,
admin qui pourrait se faire "voler" le code par l'un des utilisateurs
de son réseau parce qu'il n'aurait pas jugé nécessaire de protéger ce
code, ou par son fils parce qu'il aurait rammené quelques scripts à la
maison. Il faudrait donc que Nicob impose à chaque personne autorisée à
accéder à ces codes de les stocker d'une façon sécurisé, ce qui limite
encore un peu plus la liberté des gens.
Je t'ai déjà répondu à ce sujet. Impossible de tout contrôler, encadrer,
or ce sont les être humains et les données dynamiques qui sont
sources d'insécurité.
Eh ben voilà, quand tu veux tu dis des choses qui nous rapprochent
qq peu.
Pourtant c'était sous-entendu dans chacun de mes messages...
Mouais...
Tu vas être derrière l'utilisateur pour lui dire "ce n'est pas
bien, tu ne le connais pas n'ouvre pas la pièce jointe" ?
Non mais je suis pour une identification numérique des users sur
les réseaux.
Rha zut ! Je ne pourrais plus aller sur www.jeveuxduQ.com sans que ma
femme ne soit au courant ! pff...
lol
Même si cela te déplaît c'est mon avis. J'en ai marre d'entendre
dire, depuis qu'on a rendu Internet public, que le réseau est
complétement libre et qu'il faille le laisser en l'état.
Personne n'a dit cela.
Tu me rassures car je commençais à douter de la bonne foi de mon
Et moi encore moins que les autres,
Tant mieux si tu te sens concerné. Nous sommes en phase alors.
puisque je
vie (enfin j'essais) grace à l'une des choses les plus bafouée sur le
réseau, les droits d'auteur.
A qui le dis-tu...
Pour autant, je ne juge pas utile de
changer quoi que ce soit aux "règles" (au sens large) du réseau, il est
parfait tel qu'il est,
Non certainement pas.
il suffirait juste que les particuliers
(auteurs/interprêtes/etc)
Ce ne sont pas les seuls acteurs concernés.
décident de prendre une part active à la
résolution des problèmes qui les concernent, au lieu de laisser faire
des organismes institutionnels qui bien trop souvent ne raisonnent
qu'en terme de revenus perdus/supplémentaires.
Ah le fameux problème de l'engagement des français d'une manière
Mais bon, là on s'éloigne vraiment trop de la charte.
Je suis d'accord avec toi. ;)
Ou alors tu vas faire en sorte que son Windows ne puisse pas ouvrir
la pièce jointe, sous le simple prétexte qu'elle n'est pas signée
par une autorité certifiée, obligeant ainsi chaque utilisateur à
dépenser des milles et des cents pour : [...]
IMHO je vois plutôt une informatique plus sûre dans les années à
venir et moins contraignante pour le user.
Ouaip :-/
Si si je confirme.
J'ai offert un nouvel ordinateur à ma chère et tendre, et me
suis retrouvé avec Windows XP sous les yeux, le trackball et le
clavier...
C'est bien charmante attention ;)
J'ai des doutes sur le "plus sûre" vue le nombre de services
inutiles et potentiellement dangeureux que j'ai dû desactiver,
XP est sans aucun doute la 1ère vs de MS a enfin pouvoir offrir un
tout
comme j'ai des doutes sur le "moins contraignante" vue le mal que j'ai
à m'y retrouver et à lui imposer mes désirs, pourtant simple vue que
j'en suis encore à sa configuration. Et tout cela justement à cause des
petits plus "'achement sécure".
Objectivement sécuriser (à tous les niveaux systèmes & réseaux) un poste
A côté de cela l'installation de FreeBSD sur son ancien ordinateur me
prendra une heure, j'aurais un ordinateur qui m'obéit au doigt et à
l'oeil, et seules mes erreurs pourrons compromettre sa sécurité.
Je suis d'accord avec toi. Moi-même je l'utilise. Ainsi qu'une Debian et
Je ne dis pas que Microsoft est un satan moderne, ce sont juste les
voies suivient par Windows qui ne sont absolument pas en accord avec
une informatique plus sûre et moins contraignante.
Bah écoute IMHO je trouve qu'enfin MS se bouge dans ce domaine. Il était
Tous les acteurs y travaillent. C'est dans notre intérêt !
"Tous" ? :-/
Ok je nuance presque tous. ;)
Je t'invite à suivre les travaux de l'IETF ou d'aller jeter un
oeil du côté du groupe IPV6.
Quel système d'exploitation *grand public* supporte IPv6 en natif ?
XP
Il n'est pas question d'enjeu dans ce forum mais d'une réalité
quotidienne.
Excuses-moi mais nous avons tous des enjeux ici que nous soyons
débutant ou expérimenté, professionnel ou simple utilisateur.
Non, regarde mieux le forum, la majorité des messages n'y parlent pas
d'enjeux mais de problèmes.
Soit mais tout dépend du sens que l'on donne au mot "enjeu".
C'est l'autre face de la sécurité, celle
qui se vie au quotidien.
Seuls les "acteurs" du monde de la sécurité ont des enjeux, remplir
leur contrat. Et ce n'est pas péjoratif, toute société qui fait de la
sécurisation se doit de remplir son contrat.
Oui je sais ce que sait que d'avoir des engagements de moyens et/ou de
Pour autant, a moins de
gérer eux-mêmes quelques réseaux, ils vivent plus dans un monde
théorique que dans un monde pratique (ce qui n'est toujours pas
péjoratif).
Ok la sécurité est une affaire de spécialistes mais regardes bien les
Cela est simplement dû à leur travail. Ils interviennent
avant le problème, pour construire le réseau et sa sécurité, ou après
le problème, pour faire un état des lieux et réparer les dégats.
Oui.
Cela ne retire rien à leur connaissance et à leur compétence, mais ils
ne sont pas à la place de l'admin sécurité qui va devoir accorder sa
politique de sécurité au fait que le big boss à soudain décidé que la
visio-conférence était un bon moyen de garder le contact avec ses
directeurs d'agences, fut-ce pour parler de tout et de rien juste pour
rappeler qu'il existe, et que pour cela netmeeting était largement
suffisant.
Je comprends ton point de vue mais c'est pour cela que depuis qq années
Evidement, un spécialiste de la sécurité a étudié ce problème, et sait
comment le résoudre au moins pire, mais cela reste plus théorique que
pratique.
IMHO un problème de sécurité aujourd'hui comme celui par ex du
A moins évidement qu'il n'ai un patron qui adore
netmeeting ;-) Seul point sur lequel ils sont très calés côté pratique,
la sécurisation des jeux en réseau :-p
lol
Mais alors j'ai une question : la SI/SSI vécue par les professionnels
a-t-elle sa place aujourd'hui sur fcs ?
La réponse est dans la charte :
Je le sais et merci de le rappeler car à un moment donné j'ai eu un
Pour mémoire, l'intrusion sur un système informatique est déjà
qualifiée et constitue un délit pénal passible de dix ans de prison
et d'une amende qui tourne autour de 150 000 francs (faites la
conversion merci).
Justement en matière d'accès frauduleux cela a beaucoup évolué que
ce soit du côté du type d'intrusion ou de la sanction pénale.
Le seul type "d'intrusion" qui prêtait à discussion était le scan.
Certes mais il y a une clarification concernant les différents types
Et
encore, la discussion prêtait sur le fait de savoir s'il s'agissait ou
non d'une intrusion. Je n'ai plus les termes exactes en tête, mais le
nom même "d'intrusion" est explicite. Que tu ais utilisé un service
sans l'autorisation de son "propriétaire", ou placé un virus sur un
ordinateur, il y a intrusion.
Oui c'est juste mais il y a justement plusieurs niveaux d'appréciation.
La seule chose qui pouvait poser problème était l'accès à des données
sans intrusion (l'affaire "kitetoa").
Oui et je me suis mis à jour sur cette info ;)
Et la réponse de la justice est
parfaite en tout point.
Sur ce plan je suis moi même satisfait. Au moins c'est clair.
Ce n'est pas à la justice de sécuriser un
réseau à la place de son admin.
Cela va de soi mais je ne crois pas qu'il y est eu ou aurait des envies
S'il en avait été autrement (i.e.
condamnation de kitetoa), imagine un peu les conséquences pour tout un
chacun ? De nombreux hébergeurs propose l'auto-index sur leurs serveurs
HTTP.
Evident. On est d'accord.
Considérer que l'accès à des données non présentées
volontairement est un délit revient à faire condamner tout personne qui
tomberait sur l'auto-index d'un site mal foutu, et circulerait dedans
en croyant légitimement qu'il s'agit d'une partie du site.
[Note: évidement ce n'est qu'un exemple]
On est d'accord. C'est la raison pour laquelle il y a eu des évolutions
De même que tout FAI garde suffisement de log et suffisement
longtemps pour que quiconque portant plainte à la constatation du
délit puisse demander à la justice de saisir ces derniers en qualité
de preuves.
Oui et tant mieux. Mais cela n'est pas suffisant.
En quoi ?
En ce qui concerne la durée de conservation des logs.
Pourquoi ?
Parce que je ne comprends pas bien les cas où la CNIL demande de faire
Pour quoi ?
La conservation de la preuve.
Que faut-il de plus au juste ? :-/
Rien en l'état actuel des choses si ce n'est clarifier certains
points dont :
l'enquête numérique,
Certes.la correspondance privée,
En quoi a-t-elle à être clarifiée ?
En terme d'interception de correspondances.
La jurisprudence la considère, à
raison, au même titre que la correspondance IRL (le courrier), et c'est
parfait comme ça.
Oui c'est juste et tant mieux.
Si d'aventure un service de police doit espionner la
correspondance numérique privée d'une personne, il demandera au service
concerné (procureur ou juge d'instruction, je sais plus), comme pour la
correspondance papier.
Oui idem rien à ajouter. On est d'accord ici.
le contrôle des connexions internet, de la messagerie, les logs, la
conservation de la preuve
En quoi n'est-ce pas satisfaisant à l'heure actuelle ?
Là encore Stéphane je vais avoir des précisions par les avocats que nous
et surtout l'utilisation de la crypto.
Ca se discute.
Oui pour des raisons évidentes de confiance.
Je n'ai pas dit cela, j'ai juste explicité ce qu'était un utilisateur
lambda, et ce que "sécurité informatique" signifiait pour lui.
Ok c'est mieux ainsi.
A qui le dis-tu ;-)
lol
Mouarf... Oup's, désolé, j'étais entrain d'imaginer un chevelu
entrain de témoigner... :-ppp
Je ne vois rien de drôle là dedans.
C'est un pur private joke. Je sais, c'est mal...
lol
Certes, c'est un problème pour ma voisine, car elle a la facheuse
tendance à ne pas sortir couvert, mais cela ne démontre qu'une
chose, *nous* avons encore du travail à faire pour lui expliquer en
quoi c'est un tord. Une fois qu'elle aura compris et pris les
mesures qui s'impose, elle ne risquera plus rien.
Si ta voisine rencontre des problèmes avec ce genre de malware,
c'est qu'elle l'a cherché.
Oui, en ne sortant pas couvert... Où es-tu allé pécher que c'était
pour l'avoir utilisé qu'elle a eu des problèmes ma voisine ?
Bon on va bientôt finir dans la cuisine de ta voisine à ce rythme ! lol
Rien, et ça tombe bien puisque ce n'est clairement pas eux que je
qualifies de "neuneus" ici. Pas plus que "ces outils" ne faisait
référence aux anti-trucs...
MDR
Et pourtant cela ne t'empèche pas de soutenir mordicus dans un autre
message que ces malwares sont une menace sérieuse pour les admins ! :-/
Je n'ai jamais dit que c'était une menace pour les admins.
Désolé, ce soir j'ai piscine, demain peut-être.
lol
Quelque soit le futur de l'informatique, la seule possibilité
d'empécher n'importe qui d'utiliser un malware revient à empécher les
gens de faire ce qu'ils veulent avec leur ordinateur.
Je n'ai jamais parler d'interdire d'utiliser des malwares mais plutôt
Tout autre moyen
n'est que poudre aux yeux.
IMHO je ne crois pas. La solution viendra d'une initiative collective.
Ca me fait penser aux débats sans fin d'il y a une quinzaine d'années
sur la protection des logiciels, ou le débat actuel sur la protection
des CD audio.
Non cela n'a rien à voir car ici on ne parle pas de propriété
Une solution qui consiste à limiter les libertés
individuelles n'est pas une solution mais un suicide.
Je ne parle pas de limiter les libertés. Il n'est pas question dans mon
Simple question comme ça : es-tu partisan de l'enseignement de
l'écriture de virus ?
C'est une question que je ne me suis jamais posée.
Va jeter un oeil ici : http://www.avien.org/publicletter.htm
Et même le verrouillage total du réseau, et le controle par
authentification cryptée efficacement ne changera rien à l'affaire.
Qui te parle de "verrouillage totale du réseau" ?!
Personne, j'explique juste que même la solution la plus extrème ne
servirait à rien.
Tout dépend de l'angle sous lequel tu te places.
Il est bien évident que l'on ne peut pas tt contrôler !
Heureusement d'ailleurs. IMHO je tiens à ma liberté sur le réseau
et encore plus demain.
Et pourtant tu refuses aux autres le droit d'exercer leur propre
libertée.
Pardonnes-moi mais tu délires là ?! Où ai-je dit cela.
Comme par exemple lorsque tu demandes à Nicob de mettre ses
codes offensifs dans une zone protégée. Ce faisant, tu brides la
liberté de Nicob et la liberté de toutes personnes voulant accéder à
ces codes, quelque soit leur raison.
Non je n'interdis pas à Nicob de publier ses codes ou à quiconque
Qui plus est, tu ne règles aucunement le problème, puisque Nicob
pourrait parfaitement m'offrir un accès à cette zone "protégée", pour
la simple raison qu'il me connait et considère (du moins il me semble)
que l'on peut me faire confiance sur ce point là. Et pourtant, cela ne
m'empèchera pas de pêter les plombs et d'utiliser l'un ou plusieurs de
ces codes pour exploser (virtuellement évidement) la tête d'un imbécile
qui m'aurait marché (virtuellement là aussi) sur les pieds.
lol oui mais dans ce cas Nicob disposera d'informations et de logs te
De même, il pourrait offrir un accès à un admin de sa connaissance,
admin qui pourrait se faire "voler" le code par l'un des utilisateurs
de son réseau parce qu'il n'aurait pas jugé nécessaire de protéger ce
code, ou par son fils parce qu'il aurait rammené quelques scripts à la
maison. Il faudrait donc que Nicob impose à chaque personne autorisée à
accéder à ces codes de les stocker d'une façon sécurisé, ce qui limite
encore un peu plus la liberté des gens.
Je t'ai déjà répondu à ce sujet. Impossible de tout contrôler, encadrer,
or ce sont les être humains et les données dynamiques qui sont
sources d'insécurité.
Eh ben voilà, quand tu veux tu dis des choses qui nous rapprochent
qq peu.
Pourtant c'était sous-entendu dans chacun de mes messages...
Mouais...
Tu vas être derrière l'utilisateur pour lui dire "ce n'est pas
bien, tu ne le connais pas n'ouvre pas la pièce jointe" ?
Non mais je suis pour une identification numérique des users sur
les réseaux.
Rha zut ! Je ne pourrais plus aller sur www.jeveuxduQ.com sans que ma
femme ne soit au courant ! pff...
lol
Même si cela te déplaît c'est mon avis. J'en ai marre d'entendre
dire, depuis qu'on a rendu Internet public, que le réseau est
complétement libre et qu'il faille le laisser en l'état.
Personne n'a dit cela.
Tu me rassures car je commençais à douter de la bonne foi de mon
Et moi encore moins que les autres,
Tant mieux si tu te sens concerné. Nous sommes en phase alors.
puisque je
vie (enfin j'essais) grace à l'une des choses les plus bafouée sur le
réseau, les droits d'auteur.
A qui le dis-tu...
Pour autant, je ne juge pas utile de
changer quoi que ce soit aux "règles" (au sens large) du réseau, il est
parfait tel qu'il est,
Non certainement pas.
il suffirait juste que les particuliers
(auteurs/interprêtes/etc)
Ce ne sont pas les seuls acteurs concernés.
décident de prendre une part active à la
résolution des problèmes qui les concernent, au lieu de laisser faire
des organismes institutionnels qui bien trop souvent ne raisonnent
qu'en terme de revenus perdus/supplémentaires.
Ah le fameux problème de l'engagement des français d'une manière
Mais bon, là on s'éloigne vraiment trop de la charte.
Je suis d'accord avec toi. ;)
Ou alors tu vas faire en sorte que son Windows ne puisse pas ouvrir
la pièce jointe, sous le simple prétexte qu'elle n'est pas signée
par une autorité certifiée, obligeant ainsi chaque utilisateur à
dépenser des milles et des cents pour : [...]
IMHO je vois plutôt une informatique plus sûre dans les années à
venir et moins contraignante pour le user.
Ouaip :-/
Si si je confirme.
J'ai offert un nouvel ordinateur à ma chère et tendre, et me
suis retrouvé avec Windows XP sous les yeux, le trackball et le
clavier...
C'est bien charmante attention ;)
J'ai des doutes sur le "plus sûre" vue le nombre de services
inutiles et potentiellement dangeureux que j'ai dû desactiver,
XP est sans aucun doute la 1ère vs de MS a enfin pouvoir offrir un
tout
comme j'ai des doutes sur le "moins contraignante" vue le mal que j'ai
à m'y retrouver et à lui imposer mes désirs, pourtant simple vue que
j'en suis encore à sa configuration. Et tout cela justement à cause des
petits plus "'achement sécure".
Objectivement sécuriser (à tous les niveaux systèmes & réseaux) un poste
A côté de cela l'installation de FreeBSD sur son ancien ordinateur me
prendra une heure, j'aurais un ordinateur qui m'obéit au doigt et à
l'oeil, et seules mes erreurs pourrons compromettre sa sécurité.
Je suis d'accord avec toi. Moi-même je l'utilise. Ainsi qu'une Debian et
Je ne dis pas que Microsoft est un satan moderne, ce sont juste les
voies suivient par Windows qui ne sont absolument pas en accord avec
une informatique plus sûre et moins contraignante.
Bah écoute IMHO je trouve qu'enfin MS se bouge dans ce domaine. Il était
Tous les acteurs y travaillent. C'est dans notre intérêt !
"Tous" ? :-/
Ok je nuance presque tous. ;)
Je t'invite à suivre les travaux de l'IETF ou d'aller jeter un
oeil du côté du groupe IPV6.
Quel système d'exploitation *grand public* supporte IPv6 en natif ?
XP
Il n'est pas question d'enjeu dans ce forum mais d'une réalité
quotidienne.
Excuses-moi mais nous avons tous des enjeux ici que nous soyons
débutant ou expérimenté, professionnel ou simple utilisateur.
Non, regarde mieux le forum, la majorité des messages n'y parlent pas
d'enjeux mais de problèmes.
Soit mais tout dépend du sens que l'on donne au mot "enjeu".
C'est l'autre face de la sécurité, celle
qui se vie au quotidien.
Seuls les "acteurs" du monde de la sécurité ont des enjeux, remplir
leur contrat. Et ce n'est pas péjoratif, toute société qui fait de la
sécurisation se doit de remplir son contrat.
Oui je sais ce que sait que d'avoir des engagements de moyens et/ou de
Pour autant, a moins de
gérer eux-mêmes quelques réseaux, ils vivent plus dans un monde
théorique que dans un monde pratique (ce qui n'est toujours pas
péjoratif).
Ok la sécurité est une affaire de spécialistes mais regardes bien les
Cela est simplement dû à leur travail. Ils interviennent
avant le problème, pour construire le réseau et sa sécurité, ou après
le problème, pour faire un état des lieux et réparer les dégats.
Oui.
Cela ne retire rien à leur connaissance et à leur compétence, mais ils
ne sont pas à la place de l'admin sécurité qui va devoir accorder sa
politique de sécurité au fait que le big boss à soudain décidé que la
visio-conférence était un bon moyen de garder le contact avec ses
directeurs d'agences, fut-ce pour parler de tout et de rien juste pour
rappeler qu'il existe, et que pour cela netmeeting était largement
suffisant.
Je comprends ton point de vue mais c'est pour cela que depuis qq années
Evidement, un spécialiste de la sécurité a étudié ce problème, et sait
comment le résoudre au moins pire, mais cela reste plus théorique que
pratique.
IMHO un problème de sécurité aujourd'hui comme celui par ex du
A moins évidement qu'il n'ai un patron qui adore
netmeeting ;-) Seul point sur lequel ils sont très calés côté pratique,
la sécurisation des jeux en réseau :-p
lol
Mais alors j'ai une question : la SI/SSI vécue par les professionnels
a-t-elle sa place aujourd'hui sur fcs ?
La réponse est dans la charte :
Je le sais et merci de le rappeler car à un moment donné j'ai eu un
Pour mémoire, l'intrusion sur un système informatique est déjà
qualifiée et constitue un délit pénal passible de dix ans de prison
et d'une amende qui tourne autour de 150 000 francs (faites la
conversion merci).
Justement en matière d'accès frauduleux cela a beaucoup évolué que
ce soit du côté du type d'intrusion ou de la sanction pénale.
Le seul type "d'intrusion" qui prêtait à discussion était le scan.
Certes mais il y a une clarification concernant les différents types
Et
encore, la discussion prêtait sur le fait de savoir s'il s'agissait ou
non d'une intrusion. Je n'ai plus les termes exactes en tête, mais le
nom même "d'intrusion" est explicite. Que tu ais utilisé un service
sans l'autorisation de son "propriétaire", ou placé un virus sur un
ordinateur, il y a intrusion.
Oui c'est juste mais il y a justement plusieurs niveaux d'appréciation.
La seule chose qui pouvait poser problème était l'accès à des données
sans intrusion (l'affaire "kitetoa").
Oui et je me suis mis à jour sur cette info ;)
Et la réponse de la justice est
parfaite en tout point.
Sur ce plan je suis moi même satisfait. Au moins c'est clair.
Ce n'est pas à la justice de sécuriser un
réseau à la place de son admin.
Cela va de soi mais je ne crois pas qu'il y est eu ou aurait des envies
S'il en avait été autrement (i.e.
condamnation de kitetoa), imagine un peu les conséquences pour tout un
chacun ? De nombreux hébergeurs propose l'auto-index sur leurs serveurs
HTTP.
Evident. On est d'accord.
Considérer que l'accès à des données non présentées
volontairement est un délit revient à faire condamner tout personne qui
tomberait sur l'auto-index d'un site mal foutu, et circulerait dedans
en croyant légitimement qu'il s'agit d'une partie du site.
[Note: évidement ce n'est qu'un exemple]
On est d'accord. C'est la raison pour laquelle il y a eu des évolutions
De même que tout FAI garde suffisement de log et suffisement
longtemps pour que quiconque portant plainte à la constatation du
délit puisse demander à la justice de saisir ces derniers en qualité
de preuves.
Oui et tant mieux. Mais cela n'est pas suffisant.
En quoi ?
En ce qui concerne la durée de conservation des logs.
Pourquoi ?
Parce que je ne comprends pas bien les cas où la CNIL demande de faire
Pour quoi ?
La conservation de la preuve.
Que faut-il de plus au juste ? :-/
Rien en l'état actuel des choses si ce n'est clarifier certains
points dont :
l'enquête numérique,
Certes.
la correspondance privée,
En quoi a-t-elle à être clarifiée ?
En terme d'interception de correspondances.
La jurisprudence la considère, à
raison, au même titre que la correspondance IRL (le courrier), et c'est
parfait comme ça.
Oui c'est juste et tant mieux.
Si d'aventure un service de police doit espionner la
correspondance numérique privée d'une personne, il demandera au service
concerné (procureur ou juge d'instruction, je sais plus), comme pour la
correspondance papier.
Oui idem rien à ajouter. On est d'accord ici.
le contrôle des connexions internet, de la messagerie, les logs, la
conservation de la preuve
En quoi n'est-ce pas satisfaisant à l'heure actuelle ?
Là encore Stéphane je vais avoir des précisions par les avocats que nous
et surtout l'utilisation de la crypto.
Ca se discute.
Oui pour des raisons évidentes de confiance.
Je n'ai pas dit cela, j'ai juste explicité ce qu'était un utilisateur
lambda, et ce que "sécurité informatique" signifiait pour lui.
Ok c'est mieux ainsi.
A qui le dis-tu ;-)
lol
Mouarf... Oup's, désolé, j'étais entrain d'imaginer un chevelu
entrain de témoigner... :-ppp
Je ne vois rien de drôle là dedans.
C'est un pur private joke. Je sais, c'est mal...
lol
Certes, c'est un problème pour ma voisine, car elle a la facheuse
tendance à ne pas sortir couvert, mais cela ne démontre qu'une
chose, *nous* avons encore du travail à faire pour lui expliquer en
quoi c'est un tord. Une fois qu'elle aura compris et pris les
mesures qui s'impose, elle ne risquera plus rien.
Si ta voisine rencontre des problèmes avec ce genre de malware,
c'est qu'elle l'a cherché.
Oui, en ne sortant pas couvert... Où es-tu allé pécher que c'était
pour l'avoir utilisé qu'elle a eu des problèmes ma voisine ?
Bon on va bientôt finir dans la cuisine de ta voisine à ce rythme ! lol
Rien, et ça tombe bien puisque ce n'est clairement pas eux que je
qualifies de "neuneus" ici. Pas plus que "ces outils" ne faisait
référence aux anti-trucs...
MDR
Et pourtant cela ne t'empèche pas de soutenir mordicus dans un autre
message que ces malwares sont une menace sérieuse pour les admins ! :-/
Je n'ai jamais dit que c'était une menace pour les admins.
Désolé, ce soir j'ai piscine, demain peut-être.
lol
Quelque soit le futur de l'informatique, la seule possibilité
d'empécher n'importe qui d'utiliser un malware revient à empécher les
gens de faire ce qu'ils veulent avec leur ordinateur.
Je n'ai jamais parler d'interdire d'utiliser des malwares mais plutôt
Tout autre moyen
n'est que poudre aux yeux.
IMHO je ne crois pas. La solution viendra d'une initiative collective.
Ca me fait penser aux débats sans fin d'il y a une quinzaine d'années
sur la protection des logiciels, ou le débat actuel sur la protection
des CD audio.
Non cela n'a rien à voir car ici on ne parle pas de propriété
Une solution qui consiste à limiter les libertés
individuelles n'est pas une solution mais un suicide.
Je ne parle pas de limiter les libertés. Il n'est pas question dans mon
Simple question comme ça : es-tu partisan de l'enseignement de
l'écriture de virus ?
C'est une question que je ne me suis jamais posée.
Va jeter un oeil ici : http://www.avien.org/publicletter.htm
Et même le verrouillage total du réseau, et le controle par
authentification cryptée efficacement ne changera rien à l'affaire.
Qui te parle de "verrouillage totale du réseau" ?!
Personne, j'explique juste que même la solution la plus extrème ne
servirait à rien.
Tout dépend de l'angle sous lequel tu te places.
Il est bien évident que l'on ne peut pas tt contrôler !
Heureusement d'ailleurs. IMHO je tiens à ma liberté sur le réseau
et encore plus demain.
Et pourtant tu refuses aux autres le droit d'exercer leur propre
libertée.
Pardonnes-moi mais tu délires là ?! Où ai-je dit cela.
Comme par exemple lorsque tu demandes à Nicob de mettre ses
codes offensifs dans une zone protégée. Ce faisant, tu brides la
liberté de Nicob et la liberté de toutes personnes voulant accéder à
ces codes, quelque soit leur raison.
Non je n'interdis pas à Nicob de publier ses codes ou à quiconque
Qui plus est, tu ne règles aucunement le problème, puisque Nicob
pourrait parfaitement m'offrir un accès à cette zone "protégée", pour
la simple raison qu'il me connait et considère (du moins il me semble)
que l'on peut me faire confiance sur ce point là. Et pourtant, cela ne
m'empèchera pas de pêter les plombs et d'utiliser l'un ou plusieurs de
ces codes pour exploser (virtuellement évidement) la tête d'un imbécile
qui m'aurait marché (virtuellement là aussi) sur les pieds.
lol oui mais dans ce cas Nicob disposera d'informations et de logs te
De même, il pourrait offrir un accès à un admin de sa connaissance,
admin qui pourrait se faire "voler" le code par l'un des utilisateurs
de son réseau parce qu'il n'aurait pas jugé nécessaire de protéger ce
code, ou par son fils parce qu'il aurait rammené quelques scripts à la
maison. Il faudrait donc que Nicob impose à chaque personne autorisée à
accéder à ces codes de les stocker d'une façon sécurisé, ce qui limite
encore un peu plus la liberté des gens.
Je t'ai déjà répondu à ce sujet. Impossible de tout contrôler, encadrer,
or ce sont les être humains et les données dynamiques qui sont
sources d'insécurité.
Eh ben voilà, quand tu veux tu dis des choses qui nous rapprochent
qq peu.
Pourtant c'était sous-entendu dans chacun de mes messages...
Mouais...
Tu vas être derrière l'utilisateur pour lui dire "ce n'est pas
bien, tu ne le connais pas n'ouvre pas la pièce jointe" ?
Non mais je suis pour une identification numérique des users sur
les réseaux.
Rha zut ! Je ne pourrais plus aller sur www.jeveuxduQ.com sans que ma
femme ne soit au courant ! pff...
lol
Même si cela te déplaît c'est mon avis. J'en ai marre d'entendre
dire, depuis qu'on a rendu Internet public, que le réseau est
complétement libre et qu'il faille le laisser en l'état.
Personne n'a dit cela.
Tu me rassures car je commençais à douter de la bonne foi de mon
Et moi encore moins que les autres,
Tant mieux si tu te sens concerné. Nous sommes en phase alors.
puisque je
vie (enfin j'essais) grace à l'une des choses les plus bafouée sur le
réseau, les droits d'auteur.
A qui le dis-tu...
Pour autant, je ne juge pas utile de
changer quoi que ce soit aux "règles" (au sens large) du réseau, il est
parfait tel qu'il est,
Non certainement pas.
il suffirait juste que les particuliers
(auteurs/interprêtes/etc)
Ce ne sont pas les seuls acteurs concernés.
décident de prendre une part active à la
résolution des problèmes qui les concernent, au lieu de laisser faire
des organismes institutionnels qui bien trop souvent ne raisonnent
qu'en terme de revenus perdus/supplémentaires.
Ah le fameux problème de l'engagement des français d'une manière
Mais bon, là on s'éloigne vraiment trop de la charte.
Je suis d'accord avec toi. ;)
Ou alors tu vas faire en sorte que son Windows ne puisse pas ouvrir
la pièce jointe, sous le simple prétexte qu'elle n'est pas signée
par une autorité certifiée, obligeant ainsi chaque utilisateur à
dépenser des milles et des cents pour : [...]
IMHO je vois plutôt une informatique plus sûre dans les années à
venir et moins contraignante pour le user.
Ouaip :-/
Si si je confirme.
J'ai offert un nouvel ordinateur à ma chère et tendre, et me
suis retrouvé avec Windows XP sous les yeux, le trackball et le
clavier...
C'est bien charmante attention ;)
J'ai des doutes sur le "plus sûre" vue le nombre de services
inutiles et potentiellement dangeureux que j'ai dû desactiver,
XP est sans aucun doute la 1ère vs de MS a enfin pouvoir offrir un
tout
comme j'ai des doutes sur le "moins contraignante" vue le mal que j'ai
à m'y retrouver et à lui imposer mes désirs, pourtant simple vue que
j'en suis encore à sa configuration. Et tout cela justement à cause des
petits plus "'achement sécure".
Objectivement sécuriser (à tous les niveaux systèmes & réseaux) un poste
A côté de cela l'installation de FreeBSD sur son ancien ordinateur me
prendra une heure, j'aurais un ordinateur qui m'obéit au doigt et à
l'oeil, et seules mes erreurs pourrons compromettre sa sécurité.
Je suis d'accord avec toi. Moi-même je l'utilise. Ainsi qu'une Debian et
Je ne dis pas que Microsoft est un satan moderne, ce sont juste les
voies suivient par Windows qui ne sont absolument pas en accord avec
une informatique plus sûre et moins contraignante.
Bah écoute IMHO je trouve qu'enfin MS se bouge dans ce domaine. Il était
Tous les acteurs y travaillent. C'est dans notre intérêt !
"Tous" ? :-/
Ok je nuance presque tous. ;)
Je t'invite à suivre les travaux de l'IETF ou d'aller jeter un
oeil du côté du groupe IPV6.
Quel système d'exploitation *grand public* supporte IPv6 en natif ?
XP
Il n'est pas question d'enjeu dans ce forum mais d'une réalité
quotidienne.
Excuses-moi mais nous avons tous des enjeux ici que nous soyons
débutant ou expérimenté, professionnel ou simple utilisateur.
Non, regarde mieux le forum, la majorité des messages n'y parlent pas
d'enjeux mais de problèmes.
Soit mais tout dépend du sens que l'on donne au mot "enjeu".
C'est l'autre face de la sécurité, celle
qui se vie au quotidien.
Seuls les "acteurs" du monde de la sécurité ont des enjeux, remplir
leur contrat. Et ce n'est pas péjoratif, toute société qui fait de la
sécurisation se doit de remplir son contrat.
Oui je sais ce que sait que d'avoir des engagements de moyens et/ou de
Pour autant, a moins de
gérer eux-mêmes quelques réseaux, ils vivent plus dans un monde
théorique que dans un monde pratique (ce qui n'est toujours pas
péjoratif).
Ok la sécurité est une affaire de spécialistes mais regardes bien les
Cela est simplement dû à leur travail. Ils interviennent
avant le problème, pour construire le réseau et sa sécurité, ou après
le problème, pour faire un état des lieux et réparer les dégats.
Oui.
Cela ne retire rien à leur connaissance et à leur compétence, mais ils
ne sont pas à la place de l'admin sécurité qui va devoir accorder sa
politique de sécurité au fait que le big boss à soudain décidé que la
visio-conférence était un bon moyen de garder le contact avec ses
directeurs d'agences, fut-ce pour parler de tout et de rien juste pour
rappeler qu'il existe, et que pour cela netmeeting était largement
suffisant.
Je comprends ton point de vue mais c'est pour cela que depuis qq années
Evidement, un spécialiste de la sécurité a étudié ce problème, et sait
comment le résoudre au moins pire, mais cela reste plus théorique que
pratique.
IMHO un problème de sécurité aujourd'hui comme celui par ex du
A moins évidement qu'il n'ai un patron qui adore
netmeeting ;-) Seul point sur lequel ils sont très calés côté pratique,
la sécurisation des jeux en réseau :-p
lol
Mais alors j'ai une question : la SI/SSI vécue par les professionnels
a-t-elle sa place aujourd'hui sur fcs ?
La réponse est dans la charte :
Je le sais et merci de le rappeler car à un moment donné j'ai eu un
Pour mémoire, l'intrusion sur un système informatique est déjà
qualifiée et constitue un délit pénal passible de dix ans de prison
et d'une amende qui tourne autour de 150 000 francs (faites la
conversion merci).
Justement en matière d'accès frauduleux cela a beaucoup évolué que
ce soit du côté du type d'intrusion ou de la sanction pénale.
Le seul type "d'intrusion" qui prêtait à discussion était le scan.
Certes mais il y a une clarification concernant les différents types
Et
encore, la discussion prêtait sur le fait de savoir s'il s'agissait ou
non d'une intrusion. Je n'ai plus les termes exactes en tête, mais le
nom même "d'intrusion" est explicite. Que tu ais utilisé un service
sans l'autorisation de son "propriétaire", ou placé un virus sur un
ordinateur, il y a intrusion.
Oui c'est juste mais il y a justement plusieurs niveaux d'appréciation.
La seule chose qui pouvait poser problème était l'accès à des données
sans intrusion (l'affaire "kitetoa").
Oui et je me suis mis à jour sur cette info ;)
Et la réponse de la justice est
parfaite en tout point.
Sur ce plan je suis moi même satisfait. Au moins c'est clair.
Ce n'est pas à la justice de sécuriser un
réseau à la place de son admin.
Cela va de soi mais je ne crois pas qu'il y est eu ou aurait des envies
S'il en avait été autrement (i.e.
condamnation de kitetoa), imagine un peu les conséquences pour tout un
chacun ? De nombreux hébergeurs propose l'auto-index sur leurs serveurs
HTTP.
Evident. On est d'accord.
Considérer que l'accès à des données non présentées
volontairement est un délit revient à faire condamner tout personne qui
tomberait sur l'auto-index d'un site mal foutu, et circulerait dedans
en croyant légitimement qu'il s'agit d'une partie du site.
[Note: évidement ce n'est qu'un exemple]
On est d'accord. C'est la raison pour laquelle il y a eu des évolutions
De même que tout FAI garde suffisement de log et suffisement
longtemps pour que quiconque portant plainte à la constatation du
délit puisse demander à la justice de saisir ces derniers en qualité
de preuves.
Oui et tant mieux. Mais cela n'est pas suffisant.
En quoi ?
En ce qui concerne la durée de conservation des logs.
Pourquoi ?
Parce que je ne comprends pas bien les cas où la CNIL demande de faire
Pour quoi ?
La conservation de la preuve.
Que faut-il de plus au juste ? :-/
Rien en l'état actuel des choses si ce n'est clarifier certains
points dont :
l'enquête numérique,
Certes.la correspondance privée,
En quoi a-t-elle à être clarifiée ?
En terme d'interception de correspondances.
La jurisprudence la considère, à
raison, au même titre que la correspondance IRL (le courrier), et c'est
parfait comme ça.
Oui c'est juste et tant mieux.
Si d'aventure un service de police doit espionner la
correspondance numérique privée d'une personne, il demandera au service
concerné (procureur ou juge d'instruction, je sais plus), comme pour la
correspondance papier.
Oui idem rien à ajouter. On est d'accord ici.
le contrôle des connexions internet, de la messagerie, les logs, la
conservation de la preuve
En quoi n'est-ce pas satisfaisant à l'heure actuelle ?
Là encore Stéphane je vais avoir des précisions par les avocats que nous
et surtout l'utilisation de la crypto.
Ca se discute.
Oui pour des raisons évidentes de confiance.
Je n'ai pas dit cela, j'ai juste explicité ce qu'était un utilisateur
lambda, et ce que "sécurité informatique" signifiait pour lui.
Ok c'est mieux ainsi.
A qui le dis-tu ;-)
lol
Mouarf... Oup's, désolé, j'étais entrain d'imaginer un chevelu
entrain de témoigner... :-ppp
Je ne vois rien de drôle là dedans.
C'est un pur private joke. Je sais, c'est mal...
lol
