Eric Razny wrote:Il est largement suffisant, amha, de punir l'utilisation frauduleuse -et
les
textes le permettent- de ces outils (entre autre).
Oui mais pas seulement et IMHO c'est là que nous ne sommes pas d'accord.
La loi n'est pas là uniquement pour sanctionner mais encadrer et
réglementer sinon c'est le far west.
Une analogie serait l'interdiction de l'automobile aux non
professionnels de
la route sous prétexte que l'on peut faire des délis avec!
lol un peu grosse ton analogie.
Mais je partage l'avis de bon nombre de pilotes et de professionnels de
l'automobile qui se battent depuis des années pour faire évoluer
l'examen du permis de conduire afin d'enseigner la conduite dans toutes
les situations. De telle sorte que les conducteurs seraient plus
sensibilisés aux risques qu'ils peuvent rencontrer quand ils sont
derrière un volant.
Pour revenir à toi, c'est l'accessibilité des malwares qui me
dérangent.
Pourquoi ne pas mettre dans une zone privée tes fameux codes comme le
font certaines teams ou groupes ? Ainsi tu peux contrôler et filtrer
qui
les utilise. De cette manière tu t'évites tout problème et limites
toute
propagation voire exploitation de ton code par des personnes
malintentionnées.
Et qui décrète que intel ou intel est digne d'accès?
Le "propriétaire" de la zone.
Pour ma part prévenir l'editeur + délai + diffusion de la faille avec
patch
ou workaround + delai + exploit est raisonnable.
Soit mais le processus demande encore à être améliorer.
Cf les différents problèmes de communication/publication des
exploits/failles/vulnérabilités.
IMHO il y a trop de sources d'infos aujourd'hui dans ce domaine.
il y a une différence parfois sensible entre un
"vrai" expert et un expert reconnu devant les tribunaux.
Je parle ici d'experts reconnus devant les tribunaux.Certains sont parfaitement compétant mais d'autres ne comprennent même
pas
un discours purement technique dans leur domaine (ça ne vaut pas que
pour la
sécurité).
Il y a des incompétents partout.
Maintenant à chacun son domaine de compétences.
Explique moi comment une instance -sans connaissance dans un domaine-
peut
*réellement* juger les compétance d'un expert qui se présente pour
agrément?
(sans la passer devant d'autres experts, malheureusement).
Je ne peut t'en parler. Je ne sais pas comment cela se déroule.
En revanche, je peux te renvoyer vers la DCSSI qui IMHO sera en mesure
de t'éclairer dans ce domaine.
Eric Razny wrote:
Il est largement suffisant, amha, de punir l'utilisation frauduleuse -et
les
textes le permettent- de ces outils (entre autre).
Oui mais pas seulement et IMHO c'est là que nous ne sommes pas d'accord.
La loi n'est pas là uniquement pour sanctionner mais encadrer et
réglementer sinon c'est le far west.
Une analogie serait l'interdiction de l'automobile aux non
professionnels de
la route sous prétexte que l'on peut faire des délis avec!
lol un peu grosse ton analogie.
Mais je partage l'avis de bon nombre de pilotes et de professionnels de
l'automobile qui se battent depuis des années pour faire évoluer
l'examen du permis de conduire afin d'enseigner la conduite dans toutes
les situations. De telle sorte que les conducteurs seraient plus
sensibilisés aux risques qu'ils peuvent rencontrer quand ils sont
derrière un volant.
Pour revenir à toi, c'est l'accessibilité des malwares qui me
dérangent.
Pourquoi ne pas mettre dans une zone privée tes fameux codes comme le
font certaines teams ou groupes ? Ainsi tu peux contrôler et filtrer
qui
les utilise. De cette manière tu t'évites tout problème et limites
toute
propagation voire exploitation de ton code par des personnes
malintentionnées.
Et qui décrète que intel ou intel est digne d'accès?
Le "propriétaire" de la zone.
Pour ma part prévenir l'editeur + délai + diffusion de la faille avec
patch
ou workaround + delai + exploit est raisonnable.
Soit mais le processus demande encore à être améliorer.
Cf les différents problèmes de communication/publication des
exploits/failles/vulnérabilités.
IMHO il y a trop de sources d'infos aujourd'hui dans ce domaine.
il y a une différence parfois sensible entre un
"vrai" expert et un expert reconnu devant les tribunaux.
Je parle ici d'experts reconnus devant les tribunaux.
Certains sont parfaitement compétant mais d'autres ne comprennent même
pas
un discours purement technique dans leur domaine (ça ne vaut pas que
pour la
sécurité).
Il y a des incompétents partout.
Maintenant à chacun son domaine de compétences.
Explique moi comment une instance -sans connaissance dans un domaine-
peut
*réellement* juger les compétance d'un expert qui se présente pour
agrément?
(sans la passer devant d'autres experts, malheureusement).
Je ne peut t'en parler. Je ne sais pas comment cela se déroule.
En revanche, je peux te renvoyer vers la DCSSI qui IMHO sera en mesure
de t'éclairer dans ce domaine.
Eric Razny wrote:Il est largement suffisant, amha, de punir l'utilisation frauduleuse -et
les
textes le permettent- de ces outils (entre autre).
Oui mais pas seulement et IMHO c'est là que nous ne sommes pas d'accord.
La loi n'est pas là uniquement pour sanctionner mais encadrer et
réglementer sinon c'est le far west.
Une analogie serait l'interdiction de l'automobile aux non
professionnels de
la route sous prétexte que l'on peut faire des délis avec!
lol un peu grosse ton analogie.
Mais je partage l'avis de bon nombre de pilotes et de professionnels de
l'automobile qui se battent depuis des années pour faire évoluer
l'examen du permis de conduire afin d'enseigner la conduite dans toutes
les situations. De telle sorte que les conducteurs seraient plus
sensibilisés aux risques qu'ils peuvent rencontrer quand ils sont
derrière un volant.
Pour revenir à toi, c'est l'accessibilité des malwares qui me
dérangent.
Pourquoi ne pas mettre dans une zone privée tes fameux codes comme le
font certaines teams ou groupes ? Ainsi tu peux contrôler et filtrer
qui
les utilise. De cette manière tu t'évites tout problème et limites
toute
propagation voire exploitation de ton code par des personnes
malintentionnées.
Et qui décrète que intel ou intel est digne d'accès?
Le "propriétaire" de la zone.
Pour ma part prévenir l'editeur + délai + diffusion de la faille avec
patch
ou workaround + delai + exploit est raisonnable.
Soit mais le processus demande encore à être améliorer.
Cf les différents problèmes de communication/publication des
exploits/failles/vulnérabilités.
IMHO il y a trop de sources d'infos aujourd'hui dans ce domaine.
il y a une différence parfois sensible entre un
"vrai" expert et un expert reconnu devant les tribunaux.
Je parle ici d'experts reconnus devant les tribunaux.Certains sont parfaitement compétant mais d'autres ne comprennent même
pas
un discours purement technique dans leur domaine (ça ne vaut pas que
pour la
sécurité).
Il y a des incompétents partout.
Maintenant à chacun son domaine de compétences.
Explique moi comment une instance -sans connaissance dans un domaine-
peut
*réellement* juger les compétance d'un expert qui se présente pour
agrément?
(sans la passer devant d'autres experts, malheureusement).
Je ne peut t'en parler. Je ne sais pas comment cela se déroule.
En revanche, je peux te renvoyer vers la DCSSI qui IMHO sera en mesure
de t'éclairer dans ce domaine.
On Fri, 05 Sep 2003 16:30:53 +0000, LaDDL wrote:Nicob wrote:Un exemple ? Regardes le pauvre mec qui s'est fait arrêter par le FBI
pour avoir écrit un nvlle variante de blaster et propagé.
Et alors ? Cet exemple est censé défendre ton point de vue ?
Non pas du tout juste pour te faire comprendre que s'il n'avait pas
retrouver le code binaire ou source du virus en question. Il n'aurait
peut être pas agit ainsi.
Pfff ...
Pour "trouver" Blaster, il suffisait de connecter un Win2K ou un XP "à
poil" sur Internet pendant 5 minutes.
Oui merci. lol
C'est pas des nouvelles lois qui
vont empêcher ceci.
Mais non qui te parle de lois ici. On ne pourra jamais rien faire contre
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
- Alors seulement tu pourras lui fournir un login + pass afin d'accèder
à la fameuse zone.Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
Contenu & démarche : non significatif (tout le monde me dira que c'est à
but professionnel ou éducatif, et personne que c'est pour pirater la NSA)
Si c'est déjà une étape mm si comme tu le soulignes ce n'est pas
Identité : t'as un moyen fiable de vérifier l'identité de quelqu'un à partir
de son adresse email, sans contact physique et sans avoir de moyens
"gouvernementaux" ?
J'suis curieux ...
En préambule pour des raisons évidentes de sécurité et personnelles
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Et pas forcément besoin d'attendre l'IPV6.
Je veux bien quelques explications techniques sur ce point (cf. mes
interrogations un poil plus haut)
Sur l'architecture technique du serveur ?
Ainsi avec une plateforme commune sécurisée et un système de
contrôle on peut donc limiter certains risques : notamment que du code
dangereux tombe dans des mains malveillantes.
Je dois être fatigué ce soir, mais je ne vois pas comment un "système de
contrôle" et une "plateforme sécurisée" m'empêcheront de filer le code
ainsi récupéré et présent sur mon disque à qui je veux ...
Je ne dis pas que cela va t'empêcher de diffuser n'importe quel code ?!
Même avec un système de watermarking comme "snowdrop"
(cf. http://lcamtuf.coredump.cx/)
IMHO y a beaucoup de possibilités pour tracer. Snowdrop en est une.
On Fri, 05 Sep 2003 16:30:53 +0000, LaDDL wrote:
Nicob wrote:
Un exemple ? Regardes le pauvre mec qui s'est fait arrêter par le FBI
pour avoir écrit un nvlle variante de blaster et propagé.
Et alors ? Cet exemple est censé défendre ton point de vue ?
Non pas du tout juste pour te faire comprendre que s'il n'avait pas
retrouver le code binaire ou source du virus en question. Il n'aurait
peut être pas agit ainsi.
Pfff ...
Pour "trouver" Blaster, il suffisait de connecter un Win2K ou un XP "à
poil" sur Internet pendant 5 minutes.
Oui merci. lol
C'est pas des nouvelles lois qui
vont empêcher ceci.
Mais non qui te parle de lois ici. On ne pourra jamais rien faire contre
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
- Alors seulement tu pourras lui fournir un login + pass afin d'accèder
à la fameuse zone.
Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
Contenu & démarche : non significatif (tout le monde me dira que c'est à
but professionnel ou éducatif, et personne que c'est pour pirater la NSA)
Si c'est déjà une étape mm si comme tu le soulignes ce n'est pas
Identité : t'as un moyen fiable de vérifier l'identité de quelqu'un à partir
de son adresse email, sans contact physique et sans avoir de moyens
"gouvernementaux" ?
J'suis curieux ...
En préambule pour des raisons évidentes de sécurité et personnelles
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Et pas forcément besoin d'attendre l'IPV6.
Je veux bien quelques explications techniques sur ce point (cf. mes
interrogations un poil plus haut)
Sur l'architecture technique du serveur ?
Ainsi avec une plateforme commune sécurisée et un système de
contrôle on peut donc limiter certains risques : notamment que du code
dangereux tombe dans des mains malveillantes.
Je dois être fatigué ce soir, mais je ne vois pas comment un "système de
contrôle" et une "plateforme sécurisée" m'empêcheront de filer le code
ainsi récupéré et présent sur mon disque à qui je veux ...
Je ne dis pas que cela va t'empêcher de diffuser n'importe quel code ?!
Même avec un système de watermarking comme "snowdrop"
(cf. http://lcamtuf.coredump.cx/)
IMHO y a beaucoup de possibilités pour tracer. Snowdrop en est une.
On Fri, 05 Sep 2003 16:30:53 +0000, LaDDL wrote:Nicob wrote:Un exemple ? Regardes le pauvre mec qui s'est fait arrêter par le FBI
pour avoir écrit un nvlle variante de blaster et propagé.
Et alors ? Cet exemple est censé défendre ton point de vue ?
Non pas du tout juste pour te faire comprendre que s'il n'avait pas
retrouver le code binaire ou source du virus en question. Il n'aurait
peut être pas agit ainsi.
Pfff ...
Pour "trouver" Blaster, il suffisait de connecter un Win2K ou un XP "à
poil" sur Internet pendant 5 minutes.
Oui merci. lol
C'est pas des nouvelles lois qui
vont empêcher ceci.
Mais non qui te parle de lois ici. On ne pourra jamais rien faire contre
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
- Alors seulement tu pourras lui fournir un login + pass afin d'accèder
à la fameuse zone.Je fais des rencontres physiques avec chacun des gars ?
Non inutile lol.
Contenu & démarche : non significatif (tout le monde me dira que c'est à
but professionnel ou éducatif, et personne que c'est pour pirater la NSA)
Si c'est déjà une étape mm si comme tu le soulignes ce n'est pas
Identité : t'as un moyen fiable de vérifier l'identité de quelqu'un à partir
de son adresse email, sans contact physique et sans avoir de moyens
"gouvernementaux" ?
J'suis curieux ...
En préambule pour des raisons évidentes de sécurité et personnelles
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Et pas forcément besoin d'attendre l'IPV6.
Je veux bien quelques explications techniques sur ce point (cf. mes
interrogations un poil plus haut)
Sur l'architecture technique du serveur ?
Ainsi avec une plateforme commune sécurisée et un système de
contrôle on peut donc limiter certains risques : notamment que du code
dangereux tombe dans des mains malveillantes.
Je dois être fatigué ce soir, mais je ne vois pas comment un "système de
contrôle" et une "plateforme sécurisée" m'empêcheront de filer le code
ainsi récupéré et présent sur mon disque à qui je veux ...
Je ne dis pas que cela va t'empêcher de diffuser n'importe quel code ?!
Même avec un système de watermarking comme "snowdrop"
(cf. http://lcamtuf.coredump.cx/)
IMHO y a beaucoup de possibilités pour tracer. Snowdrop en est une.
Dans la news:3f58942c$0$10748$,
LaDDL a écrit:
[...]Donc je dit oui à la diffusion sur une zone privée permettant de
vérifier qui entre/sort, télécharge, etc. Mais je suis contre une
diffusion publique et accessible facilement.
Pu*ain !
lol relax inutile de t'énerver.Et je fais comment pour vérifier ?
Ok je t'explique et t'expose brièvement le principe & le fond de ma
pensée à ce sujet. Pour l'architecture & la solution technique nous
sommes en train d'y réfléchir (je dis "nous" car mes collaborateurs et
moi-même réfléchissons là-dessus depuis qq temps) donc je ne rentrerai
pas dans le détail.
Par exemple :
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
Si j'ai bien compris, "mes collaborateurs et moi-même", vous
réflechissez à la solution technique des échanges par e-mail ?
lol je vous arrête tout de suite vous êtes complètement HS.
Ce n'est peut-être pas la peine, je vous avoue que je suis plusieurs
listes de discussion (pas mal des listes d'échanges de recettes de
cuisine) qui ont adopté ce principe d'identification.
Je peux vous en communiquer les coordonnés.
Merci de votre contribution mais j'étais au courant. ;)
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
Question N° 1. Que faitez vous si votre visiteur se présente en tant que
"Jacques Chirac" ?
Question N° 2. Que faitez vous si votre visiteur se présente en tant que
"Jacques Dupont" ?
Vous avez oublié qq éléments.
Dans la news:3f58942c$0$10748$79c14f64@nan-newsreader-01.noos.net,
LaDDL <alamaison@noos.fr> a écrit:
[...]
Donc je dit oui à la diffusion sur une zone privée permettant de
vérifier qui entre/sort, télécharge, etc. Mais je suis contre une
diffusion publique et accessible facilement.
Pu*ain !
lol relax inutile de t'énerver.
Et je fais comment pour vérifier ?
Ok je t'explique et t'expose brièvement le principe & le fond de ma
pensée à ce sujet. Pour l'architecture & la solution technique nous
sommes en train d'y réfléchir (je dis "nous" car mes collaborateurs et
moi-même réfléchissons là-dessus depuis qq temps) donc je ne rentrerai
pas dans le détail.
Par exemple :
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
Si j'ai bien compris, "mes collaborateurs et moi-même", vous
réflechissez à la solution technique des échanges par e-mail ?
lol je vous arrête tout de suite vous êtes complètement HS.
Ce n'est peut-être pas la peine, je vous avoue que je suis plusieurs
listes de discussion (pas mal des listes d'échanges de recettes de
cuisine) qui ont adopté ce principe d'identification.
Je peux vous en communiquer les coordonnés.
Merci de votre contribution mais j'étais au courant. ;)
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
Question N° 1. Que faitez vous si votre visiteur se présente en tant que
"Jacques Chirac" ?
Question N° 2. Que faitez vous si votre visiteur se présente en tant que
"Jacques Dupont" ?
Vous avez oublié qq éléments.
Dans la news:3f58942c$0$10748$,
LaDDL a écrit:
[...]Donc je dit oui à la diffusion sur une zone privée permettant de
vérifier qui entre/sort, télécharge, etc. Mais je suis contre une
diffusion publique et accessible facilement.
Pu*ain !
lol relax inutile de t'énerver.Et je fais comment pour vérifier ?
Ok je t'explique et t'expose brièvement le principe & le fond de ma
pensée à ce sujet. Pour l'architecture & la solution technique nous
sommes en train d'y réfléchir (je dis "nous" car mes collaborateurs et
moi-même réfléchissons là-dessus depuis qq temps) donc je ne rentrerai
pas dans le détail.
Par exemple :
- Pour accèder à ta zone privée, le visiteur (appelons-le ainsi car on
ne sait pas qui sait) va devoir t'en faire la demande par mail et
décliner son identité
Si j'ai bien compris, "mes collaborateurs et moi-même", vous
réflechissez à la solution technique des échanges par e-mail ?
lol je vous arrête tout de suite vous êtes complètement HS.
Ce n'est peut-être pas la peine, je vous avoue que je suis plusieurs
listes de discussion (pas mal des listes d'échanges de recettes de
cuisine) qui ont adopté ce principe d'identification.
Je peux vous en communiquer les coordonnés.
Merci de votre contribution mais j'étais au courant. ;)
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
Question N° 1. Que faitez vous si votre visiteur se présente en tant que
"Jacques Chirac" ?
Question N° 2. Que faitez vous si votre visiteur se présente en tant que
"Jacques Dupont" ?
Vous avez oublié qq éléments.
Nicob wrote:Je diffuse mon code à 50 professionnels de ma sécurité dûment
identifiés.15 jours plus tard, le code est sur IRC.
On ne peut pas tout canaliser, contrôler, et tu connais bien les
possibilités d'IRC. Donc...
Mais pour rester sur ton exemple si le code se retrouve sur IRC cela
signifie que l'un des 50 l'a diffusé ou propagé et qqun par ex l'a
exploité et l'a diffusé sur un channel via IRC. Donc là, IMHO l'enquête
me semble pr le moins pas trop compliqué pour les autorités compétentes
en la matière pour remonter à la source.
C'est une blague?
Non mais ok j'ai oublié de mettre des "etc" et de préciser qu'il y avait
Il me suffit d'aller faire quelques hop par des proxy configurés avec les
pieds à l'étranger (il y en a bien quelques un qui ne conservent pas les
logs) en partant d'un cyber café ou autre. Tu m'explique comment tes
autorités compétantes me retrouvent?
On est d'accord. Mais là nous sommes dans un cas classique soit : de
De plus tu suppose que c'est un des cinquante qui passe sur irc. Il peut
très bien remettre le code à un pote qui le remet... qui l'envoit via irc.
Oui.
Donc là, IMHO, l'enquête me semble pour le moins très complexe même pour des
autorités compétantes en la matière pour remonter la source.
Oui complétement d'accord.
Bon maintenant si le "professionnel" -qui prouverait ne pas l'être!- est
assez con pour chatter en irc à partir de l'ordi de sa boite...
(et encore, il faut déjà remonter au serveur irc, et donc que quelqu'un
indique avoir vu le message. Le gars peut très bien avoir discuté de
l'impact des solvants utilisés en électronique sur les flatulences des
employés qui augmentent le niveau des gaz à effet de serre :) ).
MDR
Nicob wrote:
Je diffuse mon code à 50 professionnels de ma sécurité dûment
identifiés.
15 jours plus tard, le code est sur IRC.
On ne peut pas tout canaliser, contrôler, et tu connais bien les
possibilités d'IRC. Donc...
Mais pour rester sur ton exemple si le code se retrouve sur IRC cela
signifie que l'un des 50 l'a diffusé ou propagé et qqun par ex l'a
exploité et l'a diffusé sur un channel via IRC. Donc là, IMHO l'enquête
me semble pr le moins pas trop compliqué pour les autorités compétentes
en la matière pour remonter à la source.
C'est une blague?
Non mais ok j'ai oublié de mettre des "etc" et de préciser qu'il y avait
Il me suffit d'aller faire quelques hop par des proxy configurés avec les
pieds à l'étranger (il y en a bien quelques un qui ne conservent pas les
logs) en partant d'un cyber café ou autre. Tu m'explique comment tes
autorités compétantes me retrouvent?
On est d'accord. Mais là nous sommes dans un cas classique soit : de
De plus tu suppose que c'est un des cinquante qui passe sur irc. Il peut
très bien remettre le code à un pote qui le remet... qui l'envoit via irc.
Oui.
Donc là, IMHO, l'enquête me semble pour le moins très complexe même pour des
autorités compétantes en la matière pour remonter la source.
Oui complétement d'accord.
Bon maintenant si le "professionnel" -qui prouverait ne pas l'être!- est
assez con pour chatter en irc à partir de l'ordi de sa boite...
(et encore, il faut déjà remonter au serveur irc, et donc que quelqu'un
indique avoir vu le message. Le gars peut très bien avoir discuté de
l'impact des solvants utilisés en électronique sur les flatulences des
employés qui augmentent le niveau des gaz à effet de serre :) ).
MDR
Nicob wrote:Je diffuse mon code à 50 professionnels de ma sécurité dûment
identifiés.15 jours plus tard, le code est sur IRC.
On ne peut pas tout canaliser, contrôler, et tu connais bien les
possibilités d'IRC. Donc...
Mais pour rester sur ton exemple si le code se retrouve sur IRC cela
signifie que l'un des 50 l'a diffusé ou propagé et qqun par ex l'a
exploité et l'a diffusé sur un channel via IRC. Donc là, IMHO l'enquête
me semble pr le moins pas trop compliqué pour les autorités compétentes
en la matière pour remonter à la source.
C'est une blague?
Non mais ok j'ai oublié de mettre des "etc" et de préciser qu'il y avait
Il me suffit d'aller faire quelques hop par des proxy configurés avec les
pieds à l'étranger (il y en a bien quelques un qui ne conservent pas les
logs) en partant d'un cyber café ou autre. Tu m'explique comment tes
autorités compétantes me retrouvent?
On est d'accord. Mais là nous sommes dans un cas classique soit : de
De plus tu suppose que c'est un des cinquante qui passe sur irc. Il peut
très bien remettre le code à un pote qui le remet... qui l'envoit via irc.
Oui.
Donc là, IMHO, l'enquête me semble pour le moins très complexe même pour des
autorités compétantes en la matière pour remonter la source.
Oui complétement d'accord.
Bon maintenant si le "professionnel" -qui prouverait ne pas l'être!- est
assez con pour chatter en irc à partir de l'ordi de sa boite...
(et encore, il faut déjà remonter au serveur irc, et donc que quelqu'un
indique avoir vu le message. Le gars peut très bien avoir discuté de
l'impact des solvants utilisés en électronique sur les flatulences des
employés qui augmentent le niveau des gaz à effet de serre :) ).
MDR
Nicob wrote:Contenu & démarche : non significatif (tout le monde me dira que c'est à
but professionnel ou éducatif, et personne que c'est pour pirater la
NSA)
Si c'est déjà une étape mm si comme tu le soulignes ce n'est pas
forcément "significatif".
IMHO une bonne maîtrise des risques permet d'en limiter les effets.
De plus les logs sont d'une grande utilité. Ainsi qu'un login+pwd. Tu
disposes alors de traces.
Identité : t'as un moyen fiable de vérifier l'identité de quelqu'un à
partir
de son adresse email, sans contact physique et sans avoir de moyens
"gouvernementaux" ?
J'suis curieux ...
En préambule pour des raisons évidentes de sécurité et personnelles
d'éthique je ne rentrerai pas dans le détail ici.
En outre je reste à ta disposition pour poursuivre cette conversation en
privé ou convenir d'un rdv et approfondir ensemble le sujet.
Je précise un peu quand même.
Le visiteur de bonne foi ou non, sachant qu'il va devoir s'authentifier
cela fait office de filtre psychologique. Donc cela élimine tous les
visiteurs "lamerz".
S'il se logge sur ton serveur avec login+pwd il s'identifie donc dans
tes logs tu auras des traces de sa visite.
Enfin IMHO la personne malintentionnée ne prendra pas ce risque là. Au
contraire elle attaquera ton serveur pour s'introduire et tenter de
récupèrer les data qui l'interesse.
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Et pas forcément besoin d'attendre l'IPV6.
Je veux bien quelques explications techniques sur ce point (cf. mes
interrogations un poil plus haut)
Sur l'architecture technique du serveur ?
Ou bien sur la biométrie, IPV6 ?
Ainsi avec une plateforme commune sécurisée et un système de
contrôle on peut donc limiter certains risques : notamment que du code
dangereux tombe dans des mains malveillantes.
Je dois être fatigué ce soir, mais je ne vois pas comment un "système de
contrôle" et une "plateforme sécurisée" m'empêcheront de filer le code
ainsi récupéré et présent sur mon disque à qui je veux ...
Je ne dis pas que cela va t'empêcher de diffuser n'importe quel code ?!
OK
Je te dis qu'il est tt à fait possible d'encadrer et maîtriser sa
diffusion. Et d'en limiter les risques.
C'est contradictoire avec la phrase du dessus!!! Sauf si tu considère que ta
Même avec un système de watermarking comme "snowdrop"
(cf. http://lcamtuf.coredump.cx/)
IMHO y a beaucoup de possibilités pour tracer. Snowdrop en est une.
Nicob wrote:
Contenu & démarche : non significatif (tout le monde me dira que c'est à
but professionnel ou éducatif, et personne que c'est pour pirater la
NSA)
Si c'est déjà une étape mm si comme tu le soulignes ce n'est pas
forcément "significatif".
IMHO une bonne maîtrise des risques permet d'en limiter les effets.
De plus les logs sont d'une grande utilité. Ainsi qu'un login+pwd. Tu
disposes alors de traces.
Identité : t'as un moyen fiable de vérifier l'identité de quelqu'un à
partir
de son adresse email, sans contact physique et sans avoir de moyens
"gouvernementaux" ?
J'suis curieux ...
En préambule pour des raisons évidentes de sécurité et personnelles
d'éthique je ne rentrerai pas dans le détail ici.
En outre je reste à ta disposition pour poursuivre cette conversation en
privé ou convenir d'un rdv et approfondir ensemble le sujet.
Je précise un peu quand même.
Le visiteur de bonne foi ou non, sachant qu'il va devoir s'authentifier
cela fait office de filtre psychologique. Donc cela élimine tous les
visiteurs "lamerz".
S'il se logge sur ton serveur avec login+pwd il s'identifie donc dans
tes logs tu auras des traces de sa visite.
Enfin IMHO la personne malintentionnée ne prendra pas ce risque là. Au
contraire elle attaquera ton serveur pour s'introduire et tenter de
récupèrer les data qui l'interesse.
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Et pas forcément besoin d'attendre l'IPV6.
Je veux bien quelques explications techniques sur ce point (cf. mes
interrogations un poil plus haut)
Sur l'architecture technique du serveur ?
Ou bien sur la biométrie, IPV6 ?
Ainsi avec une plateforme commune sécurisée et un système de
contrôle on peut donc limiter certains risques : notamment que du code
dangereux tombe dans des mains malveillantes.
Je dois être fatigué ce soir, mais je ne vois pas comment un "système de
contrôle" et une "plateforme sécurisée" m'empêcheront de filer le code
ainsi récupéré et présent sur mon disque à qui je veux ...
Je ne dis pas que cela va t'empêcher de diffuser n'importe quel code ?!
OK
Je te dis qu'il est tt à fait possible d'encadrer et maîtriser sa
diffusion. Et d'en limiter les risques.
C'est contradictoire avec la phrase du dessus!!! Sauf si tu considère que ta
Même avec un système de watermarking comme "snowdrop"
(cf. http://lcamtuf.coredump.cx/)
IMHO y a beaucoup de possibilités pour tracer. Snowdrop en est une.
Nicob wrote:Contenu & démarche : non significatif (tout le monde me dira que c'est à
but professionnel ou éducatif, et personne que c'est pour pirater la
NSA)
Si c'est déjà une étape mm si comme tu le soulignes ce n'est pas
forcément "significatif".
IMHO une bonne maîtrise des risques permet d'en limiter les effets.
De plus les logs sont d'une grande utilité. Ainsi qu'un login+pwd. Tu
disposes alors de traces.
Identité : t'as un moyen fiable de vérifier l'identité de quelqu'un à
partir
de son adresse email, sans contact physique et sans avoir de moyens
"gouvernementaux" ?
J'suis curieux ...
En préambule pour des raisons évidentes de sécurité et personnelles
d'éthique je ne rentrerai pas dans le détail ici.
En outre je reste à ta disposition pour poursuivre cette conversation en
privé ou convenir d'un rdv et approfondir ensemble le sujet.
Je précise un peu quand même.
Le visiteur de bonne foi ou non, sachant qu'il va devoir s'authentifier
cela fait office de filtre psychologique. Donc cela élimine tous les
visiteurs "lamerz".
S'il se logge sur ton serveur avec login+pwd il s'identifie donc dans
tes logs tu auras des traces de sa visite.
Enfin IMHO la personne malintentionnée ne prendra pas ce risque là. Au
contraire elle attaquera ton serveur pour s'introduire et tenter de
récupèrer les data qui l'interesse.
Sans contact physique ?
Oui ss contact physique pas besoin de biométrie.
Et pas forcément besoin d'attendre l'IPV6.
Je veux bien quelques explications techniques sur ce point (cf. mes
interrogations un poil plus haut)
Sur l'architecture technique du serveur ?
Ou bien sur la biométrie, IPV6 ?
Ainsi avec une plateforme commune sécurisée et un système de
contrôle on peut donc limiter certains risques : notamment que du code
dangereux tombe dans des mains malveillantes.
Je dois être fatigué ce soir, mais je ne vois pas comment un "système de
contrôle" et une "plateforme sécurisée" m'empêcheront de filer le code
ainsi récupéré et présent sur mon disque à qui je veux ...
Je ne dis pas que cela va t'empêcher de diffuser n'importe quel code ?!
OK
Je te dis qu'il est tt à fait possible d'encadrer et maîtriser sa
diffusion. Et d'en limiter les risques.
C'est contradictoire avec la phrase du dessus!!! Sauf si tu considère que ta
Même avec un système de watermarking comme "snowdrop"
(cf. http://lcamtuf.coredump.cx/)
IMHO y a beaucoup de possibilités pour tracer. Snowdrop en est une.
Je dois être fatigué ce soir, mais je ne vois pas comment un "système
de contrôle" et une "plateforme sécurisée" m'empêcheront de filer le
code ainsi récupéré et présent sur mon disque à qui je veux ...
Même avec un système de watermarking comme "snowdrop" (cf.
http://lcamtuf.coredump.cx/)
Je dois être fatigué ce soir, mais je ne vois pas comment un "système
de contrôle" et une "plateforme sécurisée" m'empêcheront de filer le
code ainsi récupéré et présent sur mon disque à qui je veux ...
Même avec un système de watermarking comme "snowdrop" (cf.
http://lcamtuf.coredump.cx/)
Je dois être fatigué ce soir, mais je ne vois pas comment un "système
de contrôle" et une "plateforme sécurisée" m'empêcheront de filer le
code ainsi récupéré et présent sur mon disque à qui je veux ...
Même avec un système de watermarking comme "snowdrop" (cf.
http://lcamtuf.coredump.cx/)
Si j'ai bien compris, "mes collaborateurs et moi-même", vous
réflechissez à la solution technique des échanges par e-mail ?
lol je vous arrête tout de suite vous êtes complètement HS.
Je parle d'une architecture technique pour un serveur contenant des
malwares. Donc d'une solution pour en maîtriser le contenant bien sûr
mais l'accès ainsi que leur diffusion (cf traçabilité). Et pour vous
aiguiller sur le sujet aborder ici, reportez-vous à l'intermédiation de
la confiance & à la certification.
Bonne lecture.
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
Question N° 1. Que faitez vous si votre visiteur se présente en tant que
"Jacques Chirac" ?
Question N° 2. Que faitez vous si votre visiteur se présente en tant que
"Jacques Dupont" ?
Vous avez oublié qq éléments.
Dans le cas présent on se trouve dans une phase de découverte.
L'admin et/ou bien son serveur (tt dépend de la solution choisie) peut
apprécier ou non la requête et accepter ou refuser la demande.
A ce niveau-là, IMHO il n'y a aucun risque à communiquer un login+pwd
par exemple. Que nous soyons face à qqun de bienveillant ou
malintentionné.
En outre au moment où le user se loggue et accède au contenu c'est là
qu'il peut y avoir des risques s'il n'y a aucun dispositifs pour tracer
le user et le malware et conserver les logs.
Si j'ai bien compris, "mes collaborateurs et moi-même", vous
réflechissez à la solution technique des échanges par e-mail ?
lol je vous arrête tout de suite vous êtes complètement HS.
Je parle d'une architecture technique pour un serveur contenant des
malwares. Donc d'une solution pour en maîtriser le contenant bien sûr
mais l'accès ainsi que leur diffusion (cf traçabilité). Et pour vous
aiguiller sur le sujet aborder ici, reportez-vous à l'intermédiation de
la confiance & à la certification.
Bonne lecture.
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
Question N° 1. Que faitez vous si votre visiteur se présente en tant que
"Jacques Chirac" ?
Question N° 2. Que faitez vous si votre visiteur se présente en tant que
"Jacques Dupont" ?
Vous avez oublié qq éléments.
Dans le cas présent on se trouve dans une phase de découverte.
L'admin et/ou bien son serveur (tt dépend de la solution choisie) peut
apprécier ou non la requête et accepter ou refuser la demande.
A ce niveau-là, IMHO il n'y a aucun risque à communiquer un login+pwd
par exemple. Que nous soyons face à qqun de bienveillant ou
malintentionné.
En outre au moment où le user se loggue et accède au contenu c'est là
qu'il peut y avoir des risques s'il n'y a aucun dispositifs pour tracer
le user et le malware et conserver les logs.
Si j'ai bien compris, "mes collaborateurs et moi-même", vous
réflechissez à la solution technique des échanges par e-mail ?
lol je vous arrête tout de suite vous êtes complètement HS.
Je parle d'une architecture technique pour un serveur contenant des
malwares. Donc d'une solution pour en maîtriser le contenant bien sûr
mais l'accès ainsi que leur diffusion (cf traçabilité). Et pour vous
aiguiller sur le sujet aborder ici, reportez-vous à l'intermédiation de
la confiance & à la certification.
Bonne lecture.
- Tu reçois son mail. Si son contenu, le fond de sa démarche,
l'identité, etc sont fiables dirons-nous ici
Question N° 1. Que faitez vous si votre visiteur se présente en tant que
"Jacques Chirac" ?
Question N° 2. Que faitez vous si votre visiteur se présente en tant que
"Jacques Dupont" ?
Vous avez oublié qq éléments.
Dans le cas présent on se trouve dans une phase de découverte.
L'admin et/ou bien son serveur (tt dépend de la solution choisie) peut
apprécier ou non la requête et accepter ou refuser la demande.
A ce niveau-là, IMHO il n'y a aucun risque à communiquer un login+pwd
par exemple. Que nous soyons face à qqun de bienveillant ou
malintentionné.
En outre au moment où le user se loggue et accède au contenu c'est là
qu'il peut y avoir des risques s'il n'y a aucun dispositifs pour tracer
le user et le malware et conserver les logs.
Stephane Catteau wrote:Et même le verrouillage total du réseau, et le controle par
authentification cryptée efficacement ne changera rien à l'affaire.
Qui te parle de "verrouillage totale du réseau" ?!
Personne, j'explique juste que même la solution la plus extrème ne
servirait à rien.
Tout dépend de l'angle sous lequel tu te places.
Bien entendu il faut éviter tout dérapage gouvernemental ou des
entreprises.
Mais IMHO une sécurité accrue et un meilleur contrôle du réseau
favoriseront de nombreuses pratiques, usages des réseaux : services
publics en ligne, travail collaboratif, commerce électronique bien
entendu et j'en passe...
Comme par exemple lorsque tu demandes à Nicob de mettre ses
codes offensifs dans une zone protégée. Ce faisant, tu brides la
liberté de Nicob et la liberté de toutes personnes voulant accéder à
ces codes, quelque soit leur raison.
Non je n'interdis pas à Nicob de publier ses codes ou à quiconque
d'accèder à ces derniers. Je demande simplement que lui comme d'autres
prennent conscience qu'il y a des risques et que pour mieux les
maitriser une zone privée peut être la solution. Encore une fois
responsabilisons-nous les uns et les autres. Prenons en main le réseau
et là on tendra vers une sécurité vraiment proactive.
Qui plus est, tu ne règles aucunement le problème, puisque Nicob
pourrait parfaitement m'offrir un accès à cette zone "protégée", pour
la simple raison qu'il me connait et considère (du moins il me semble)
que l'on peut me faire confiance sur ce point là. Et pourtant, cela ne
m'empèchera pas de pêter les plombs et d'utiliser l'un ou plusieurs de
ces codes pour exploser (virtuellement évidement) la tête d'un imbécile
qui m'aurait marché (virtuellement là aussi) sur les pieds.
lol oui mais dans ce cas Nicob disposera d'informations et de logs te
concernant donc si tu commets un acte condamnable. Les autorités
compétentes auront moins de difficulté pour t'appréhender. Et Nicob ne
sera pas importuné par la justice.
Tu vas être derrière l'utilisateur pour lui dire "ce n'est pas
bien, tu ne le connais pas n'ouvre pas la pièce jointe" ?
Non mais je suis pour une identification numérique des users sur
les réseaux.
Rha zut ! Je ne pourrais plus aller sur www.jeveuxduQ.com sans que ma
femme ne soit au courant ! pff...
lol
Qui te parle de ne pas préserver ta vie privée.
Authentification, contrôle ne signifient pas forcément moins de respect
de l'anonymat et de la vie privée ?!
Pour autant, je ne juge pas utile de
changer quoi que ce soit aux "règles" (au sens large) du réseau, il est
parfait tel qu'il est,
Non certainement pas.
Mais c'est un autre débat.
tout
comme j'ai des doutes sur le "moins contraignante" vue le mal que j'ai
à m'y retrouver et à lui imposer mes désirs, pourtant simple vue que
j'en suis encore à sa configuration. Et tout cela justement à cause des
petits plus "'achement sécure".
Objectivement sécuriser (à tous les niveaux systèmes & réseaux) un poste
isolé d'un particulier ss XP oui ça prendra du temps. Mais au final le
user disposera d'une machine productive et "secure" pour faire ce qu'il
veut.
Je ne dis pas que Microsoft est un satan moderne, ce sont juste les
voies suivient par Windows qui ne sont absolument pas en accord avec
une informatique plus sûre et moins contraignante.
Bah écoute IMHO je trouve qu'enfin MS se bouge dans ce domaine. Il était
temps.
Vas jeter un coup d'oeil d'ailleurs du côté de NDIS6 pour approfondir.
Mais IMHO nous avons à présent des alternatives importantes à MS dans de
nombreux domaines notamment au plan de la sécurité. Et c'est tant mieux.
Non, regarde mieux le forum, la majorité des messages n'y parlent pas
d'enjeux mais de problèmes.
Soit mais tout dépend du sens que l'on donne au mot "enjeu".
Ok allez on va pas pinailler
Le seul type "d'intrusion" qui prêtait à discussion était le scan.
Certes mais il y a une clarification concernant les différents types
d'accès frauduleux. Et ça c'est quand même très bien.
Car on ne peut pas traiter au mm plan qqun qui s'introduit
volontairement dans un SI et un SK qui parfois n'a pas conscience de son
acte.
Et la réponse de la justice est
parfaite en tout point.
Sur ce plan je suis moi même satisfait. Au moins c'est clair.De même que tout FAI garde suffisement de log et suffisement
longtemps pour que quiconque portant plainte à la constatation du
délit puisse demander à la justice de saisir ces derniers en qualité
de preuves.
Oui et tant mieux. Mais cela n'est pas suffisant.
En quoi ?
En ce qui concerne la durée de conservation des logs.
la correspondance privée,
En quoi a-t-elle à être clarifiée ?
En terme d'interception de correspondances.
C'est peut-être déjà clair.
Mais je n'ai pas encore eu la réponse sur les conséquences.
PS des avocats là aussi doivent me fournir la réponseLa jurisprudence la considère, à
raison, au même titre que la correspondance IRL (le courrier), et c'est
parfait comme ça.
Oui c'est juste et tant mieux.
Je rappelerai non pas pour toi Stéphane mais pour ceux qui nous liraient
que :
- l'article 9 du code civil nous dit : "chacun a le droit au respect de
sa vie privée"
- l'article 1er de la loi du 10/07/1991 nous dit : "le secret des
correspondances émises par la voie des télécommunications est garanti
par la loi"
Il resterait, amha, à écrire un chapitre sur : les ressources de
Stephane Catteau wrote:
Et même le verrouillage total du réseau, et le controle par
authentification cryptée efficacement ne changera rien à l'affaire.
Qui te parle de "verrouillage totale du réseau" ?!
Personne, j'explique juste que même la solution la plus extrème ne
servirait à rien.
Tout dépend de l'angle sous lequel tu te places.
Bien entendu il faut éviter tout dérapage gouvernemental ou des
entreprises.
Mais IMHO une sécurité accrue et un meilleur contrôle du réseau
favoriseront de nombreuses pratiques, usages des réseaux : services
publics en ligne, travail collaboratif, commerce électronique bien
entendu et j'en passe...
Comme par exemple lorsque tu demandes à Nicob de mettre ses
codes offensifs dans une zone protégée. Ce faisant, tu brides la
liberté de Nicob et la liberté de toutes personnes voulant accéder à
ces codes, quelque soit leur raison.
Non je n'interdis pas à Nicob de publier ses codes ou à quiconque
d'accèder à ces derniers. Je demande simplement que lui comme d'autres
prennent conscience qu'il y a des risques et que pour mieux les
maitriser une zone privée peut être la solution. Encore une fois
responsabilisons-nous les uns et les autres. Prenons en main le réseau
et là on tendra vers une sécurité vraiment proactive.
Qui plus est, tu ne règles aucunement le problème, puisque Nicob
pourrait parfaitement m'offrir un accès à cette zone "protégée", pour
la simple raison qu'il me connait et considère (du moins il me semble)
que l'on peut me faire confiance sur ce point là. Et pourtant, cela ne
m'empèchera pas de pêter les plombs et d'utiliser l'un ou plusieurs de
ces codes pour exploser (virtuellement évidement) la tête d'un imbécile
qui m'aurait marché (virtuellement là aussi) sur les pieds.
lol oui mais dans ce cas Nicob disposera d'informations et de logs te
concernant donc si tu commets un acte condamnable. Les autorités
compétentes auront moins de difficulté pour t'appréhender. Et Nicob ne
sera pas importuné par la justice.
Tu vas être derrière l'utilisateur pour lui dire "ce n'est pas
bien, tu ne le connais pas n'ouvre pas la pièce jointe" ?
Non mais je suis pour une identification numérique des users sur
les réseaux.
Rha zut ! Je ne pourrais plus aller sur www.jeveuxduQ.com sans que ma
femme ne soit au courant ! pff...
lol
Qui te parle de ne pas préserver ta vie privée.
Authentification, contrôle ne signifient pas forcément moins de respect
de l'anonymat et de la vie privée ?!
Pour autant, je ne juge pas utile de
changer quoi que ce soit aux "règles" (au sens large) du réseau, il est
parfait tel qu'il est,
Non certainement pas.
Mais c'est un autre débat.
tout
comme j'ai des doutes sur le "moins contraignante" vue le mal que j'ai
à m'y retrouver et à lui imposer mes désirs, pourtant simple vue que
j'en suis encore à sa configuration. Et tout cela justement à cause des
petits plus "'achement sécure".
Objectivement sécuriser (à tous les niveaux systèmes & réseaux) un poste
isolé d'un particulier ss XP oui ça prendra du temps. Mais au final le
user disposera d'une machine productive et "secure" pour faire ce qu'il
veut.
Je ne dis pas que Microsoft est un satan moderne, ce sont juste les
voies suivient par Windows qui ne sont absolument pas en accord avec
une informatique plus sûre et moins contraignante.
Bah écoute IMHO je trouve qu'enfin MS se bouge dans ce domaine. Il était
temps.
Vas jeter un coup d'oeil d'ailleurs du côté de NDIS6 pour approfondir.
Mais IMHO nous avons à présent des alternatives importantes à MS dans de
nombreux domaines notamment au plan de la sécurité. Et c'est tant mieux.
Non, regarde mieux le forum, la majorité des messages n'y parlent pas
d'enjeux mais de problèmes.
Soit mais tout dépend du sens que l'on donne au mot "enjeu".
Ok allez on va pas pinailler
Le seul type "d'intrusion" qui prêtait à discussion était le scan.
Certes mais il y a une clarification concernant les différents types
d'accès frauduleux. Et ça c'est quand même très bien.
Car on ne peut pas traiter au mm plan qqun qui s'introduit
volontairement dans un SI et un SK qui parfois n'a pas conscience de son
acte.
Et la réponse de la justice est
parfaite en tout point.
Sur ce plan je suis moi même satisfait. Au moins c'est clair.
De même que tout FAI garde suffisement de log et suffisement
longtemps pour que quiconque portant plainte à la constatation du
délit puisse demander à la justice de saisir ces derniers en qualité
de preuves.
Oui et tant mieux. Mais cela n'est pas suffisant.
En quoi ?
En ce qui concerne la durée de conservation des logs.
la correspondance privée,
En quoi a-t-elle à être clarifiée ?
En terme d'interception de correspondances.
C'est peut-être déjà clair.
Mais je n'ai pas encore eu la réponse sur les conséquences.
PS des avocats là aussi doivent me fournir la réponse
La jurisprudence la considère, à
raison, au même titre que la correspondance IRL (le courrier), et c'est
parfait comme ça.
Oui c'est juste et tant mieux.
Je rappelerai non pas pour toi Stéphane mais pour ceux qui nous liraient
que :
- l'article 9 du code civil nous dit : "chacun a le droit au respect de
sa vie privée"
- l'article 1er de la loi du 10/07/1991 nous dit : "le secret des
correspondances émises par la voie des télécommunications est garanti
par la loi"
Il resterait, amha, à écrire un chapitre sur : les ressources de
Stephane Catteau wrote:Et même le verrouillage total du réseau, et le controle par
authentification cryptée efficacement ne changera rien à l'affaire.
Qui te parle de "verrouillage totale du réseau" ?!
Personne, j'explique juste que même la solution la plus extrème ne
servirait à rien.
Tout dépend de l'angle sous lequel tu te places.
Bien entendu il faut éviter tout dérapage gouvernemental ou des
entreprises.
Mais IMHO une sécurité accrue et un meilleur contrôle du réseau
favoriseront de nombreuses pratiques, usages des réseaux : services
publics en ligne, travail collaboratif, commerce électronique bien
entendu et j'en passe...
Comme par exemple lorsque tu demandes à Nicob de mettre ses
codes offensifs dans une zone protégée. Ce faisant, tu brides la
liberté de Nicob et la liberté de toutes personnes voulant accéder à
ces codes, quelque soit leur raison.
Non je n'interdis pas à Nicob de publier ses codes ou à quiconque
d'accèder à ces derniers. Je demande simplement que lui comme d'autres
prennent conscience qu'il y a des risques et que pour mieux les
maitriser une zone privée peut être la solution. Encore une fois
responsabilisons-nous les uns et les autres. Prenons en main le réseau
et là on tendra vers une sécurité vraiment proactive.
Qui plus est, tu ne règles aucunement le problème, puisque Nicob
pourrait parfaitement m'offrir un accès à cette zone "protégée", pour
la simple raison qu'il me connait et considère (du moins il me semble)
que l'on peut me faire confiance sur ce point là. Et pourtant, cela ne
m'empèchera pas de pêter les plombs et d'utiliser l'un ou plusieurs de
ces codes pour exploser (virtuellement évidement) la tête d'un imbécile
qui m'aurait marché (virtuellement là aussi) sur les pieds.
lol oui mais dans ce cas Nicob disposera d'informations et de logs te
concernant donc si tu commets un acte condamnable. Les autorités
compétentes auront moins de difficulté pour t'appréhender. Et Nicob ne
sera pas importuné par la justice.
Tu vas être derrière l'utilisateur pour lui dire "ce n'est pas
bien, tu ne le connais pas n'ouvre pas la pièce jointe" ?
Non mais je suis pour une identification numérique des users sur
les réseaux.
Rha zut ! Je ne pourrais plus aller sur www.jeveuxduQ.com sans que ma
femme ne soit au courant ! pff...
lol
Qui te parle de ne pas préserver ta vie privée.
Authentification, contrôle ne signifient pas forcément moins de respect
de l'anonymat et de la vie privée ?!
Pour autant, je ne juge pas utile de
changer quoi que ce soit aux "règles" (au sens large) du réseau, il est
parfait tel qu'il est,
Non certainement pas.
Mais c'est un autre débat.
tout
comme j'ai des doutes sur le "moins contraignante" vue le mal que j'ai
à m'y retrouver et à lui imposer mes désirs, pourtant simple vue que
j'en suis encore à sa configuration. Et tout cela justement à cause des
petits plus "'achement sécure".
Objectivement sécuriser (à tous les niveaux systèmes & réseaux) un poste
isolé d'un particulier ss XP oui ça prendra du temps. Mais au final le
user disposera d'une machine productive et "secure" pour faire ce qu'il
veut.
Je ne dis pas que Microsoft est un satan moderne, ce sont juste les
voies suivient par Windows qui ne sont absolument pas en accord avec
une informatique plus sûre et moins contraignante.
Bah écoute IMHO je trouve qu'enfin MS se bouge dans ce domaine. Il était
temps.
Vas jeter un coup d'oeil d'ailleurs du côté de NDIS6 pour approfondir.
Mais IMHO nous avons à présent des alternatives importantes à MS dans de
nombreux domaines notamment au plan de la sécurité. Et c'est tant mieux.
Non, regarde mieux le forum, la majorité des messages n'y parlent pas
d'enjeux mais de problèmes.
Soit mais tout dépend du sens que l'on donne au mot "enjeu".
Ok allez on va pas pinailler
Le seul type "d'intrusion" qui prêtait à discussion était le scan.
Certes mais il y a une clarification concernant les différents types
d'accès frauduleux. Et ça c'est quand même très bien.
Car on ne peut pas traiter au mm plan qqun qui s'introduit
volontairement dans un SI et un SK qui parfois n'a pas conscience de son
acte.
Et la réponse de la justice est
parfaite en tout point.
Sur ce plan je suis moi même satisfait. Au moins c'est clair.De même que tout FAI garde suffisement de log et suffisement
longtemps pour que quiconque portant plainte à la constatation du
délit puisse demander à la justice de saisir ces derniers en qualité
de preuves.
Oui et tant mieux. Mais cela n'est pas suffisant.
En quoi ?
En ce qui concerne la durée de conservation des logs.
la correspondance privée,
En quoi a-t-elle à être clarifiée ?
En terme d'interception de correspondances.
C'est peut-être déjà clair.
Mais je n'ai pas encore eu la réponse sur les conséquences.
PS des avocats là aussi doivent me fournir la réponseLa jurisprudence la considère, à
raison, au même titre que la correspondance IRL (le courrier), et c'est
parfait comme ça.
Oui c'est juste et tant mieux.
Je rappelerai non pas pour toi Stéphane mais pour ceux qui nous liraient
que :
- l'article 9 du code civil nous dit : "chacun a le droit au respect de
sa vie privée"
- l'article 1er de la loi du 10/07/1991 nous dit : "le secret des
correspondances émises par la voie des télécommunications est garanti
par la loi"
Il resterait, amha, à écrire un chapitre sur : les ressources de
bonjour a tous,
j'aurai aimé votre avis sur les reponses possibles à une intrusion.
mon reseau comporte une DMZ sur laquelle sont installés un serveur http et
ftp.
Quelles mesures sont envisageables lorsque une intrusion sur le reseau et
/
ou sur le serveur?.
qu'authorise la legislation française et internationale dans ces cas.
merci d'avance de partager votre experience
Cordialement,
bonjour a tous,
j'aurai aimé votre avis sur les reponses possibles à une intrusion.
mon reseau comporte une DMZ sur laquelle sont installés un serveur http et
ftp.
Quelles mesures sont envisageables lorsque une intrusion sur le reseau et
/
ou sur le serveur?.
qu'authorise la legislation française et internationale dans ces cas.
merci d'avance de partager votre experience
Cordialement,
bonjour a tous,
j'aurai aimé votre avis sur les reponses possibles à une intrusion.
mon reseau comporte une DMZ sur laquelle sont installés un serveur http et
ftp.
Quelles mesures sont envisageables lorsque une intrusion sur le reseau et
/
ou sur le serveur?.
qu'authorise la legislation française et internationale dans ces cas.
merci d'avance de partager votre experience
Cordialement,
Tout cela est en libre service sur la toile, personnellement je dis
tant mieux !
Moi non c'est pour ça que j'ai réagi au propos de Nicob.
C'est je crois la base du problème (voir plus bas)
Ce n'est pas un problème grave en tout cas en ce qui concerne Nicob je
Certes, c'est un problème pour ma voisine, car elle a la
facheuse tendance à ne pas sortir couvert, mais cela ne démontre qu'une
chose, *nous* avons encore du travail à faire pour lui expliquer en
quoi c'est un tord. Une fois qu'elle aura compris et pris les mesures
qui s'impose, elle ne risquera plus rien.
Si ta voisine rencontre des problèmes avec ce genre de malware, c'est
qu'elle l'a cherché. Car on ne tombe pas sur ce type de malware sur le
réseau ss le vouloir.
Ou je ne comprends plus le français ou il y a un problème.
Le "c'est un problème pour ma voisine" fait CLAIREMENT, amha, référence au
fait que sa "voisine", ignorante des *bases* de la sécurité, est -elle-
vulnérable aux différents scripts disponibles sur le net. Il n'est
absolument pas supposé qu'elle fasse mumuse avec un tel outil!!!
Tu le fais exprès Eric ou bien c'est naturel chez toi de déformer les
[Re-re-snap, bon je coupe parfois, j'arrête les re-re !]Primo je n'ai cité aucun nom "d'armes"/outils. (cf mes posts
précédents + précisions ci-dessus, merci)
C'est bien là le problème de *toutes* tes interventions dans cette
discussion, tu ne fais que tenir un discours de de pseudo-expert, pour
ne pas dire technocrate.
Change ta technique de communication stp. Tu ne me feras pas
abandonner la discussion avec ce genre de bassesses qui n'apportent
rien à notre échange.
Je suis entièrement d'accord avec Stéphane. Une recherche sur google
(dejanews) permet de vérifier que généralement tes posts se placent sur un
terrain essentiellement idéologique et que lorsque tu fais des allusions à
la technique tu ne donne ni exemple ni justification.
Que tu ne sois pas de mon avis, je te le concède. Mais de là à dire que
Une fois de
plus -puisque l'anonymat ne permet pas d'accorder à priori un capital
confiance- tu n'as pas de crédibilité a priori.
Entièrement d'accord et libre à chacun justement de se faire sa propre
Est-ce bien la personne qui parle de "tu remontera dans mon estime"?
Oui et avec Stéphane on s'est compris depuis (enfin je pense).
Si ce
n'est pas une remarque personnelle je reprends mes cours de français!
lol
Tu parles de plein de choses "'achement bien",
mais te garde toujours de rentrer dans les détails,
Ah bon ? Où est-ce que je suis loin de notre sujet et de ses détails
?!
Avec toi comme avec mes autres interlocuteurs dans ce thread, on
confronte nos points de vues. D'ailleurs avec Eric par exemple on
poursuit par mail notre discussion.
Accessoirement ce que je t'ai envoyé c'est un post de réponse suite à une
fausse manip de ma part après une longue période de boulot car tes
réponses -pour moi à côté du sujet ou de mauvaise foi- m'avaient enervées-.
Eric serais-tu intolérant ?
Il ne s'agit pas de "discussion privée".
Ok c'est noté.
J'ai simplement jugé inutile de la
reposter ici car entre temps les réactions d'autres personnes ont repris en
partie le type d'argument que j'ai utilisé.
Je respecte ton choix.
Du coup je replace ma réponse à
la fin de cette contribution que les acteurs de ce groupe puissent voir.
Eh bien j'en ferai autant (car je t'ai répondu)
Tu
conviendra ici même qu'a part ma demande de ne pas utiliser une autre
adresse e-mail que celle dispo ici, s'il devait y avoir échange, il n'y a
pas eu d'autre email de ma part!!!
Tout à fait, alors que j'ai pris la peine de te répondre longuement et
Je ne peux également que dénoncer ici même :
a) le non respect d'une étique élémentaire : si tu pensais que la
conversation est privée tu n'as pas à en faire état ici.
Eric je n'ai rien dit si ce n'est exprimé le fait que je poursuivais un
Ca prouve, s'il en
était besoin, que tu aime les grands principes (façon de parler, ils ne sont
certainement pas "grand" en ce qui me concerne) en t'asseyant dessus dès que
tu en as l'intérêt.
No comment
b) le processus qui consiste à dire je discute avec intel -sous entendu qui
semble "correctement compétant"- afin d'assoir tes propos,
lol c'est vraiment d'un puéril et stérile...
propos avec
lesquels je ne suis pas d'accord ainsi que le montre mes posts précédent.
Je t'ai bien lu ;)
Finalement je suis content de ma fausse manip (pour les autres : bon ok,
erreur de débutant, j'ai honte! :) ),
Merci à toi comme ça je vais pouvoir apporter les précisions ici même.
elle permet de mettre bas les masques.
No comment
Désolé d'être direct, mais les deux seules lacunes du réseau, ce sont
les personnes comme toi et les utilisateurs peu au fait en matière de
sécurité.
Au risque de me répéter tu juges trop ton interlocuteur. Mets tes à
priori au placard.
On croit rêver!
Non. Mais je suis qq peu interloqué rêve parfois en lisant tes réactions
Toutes les propositions qui pourront être faite ne changeront
strictement rien à la réalité des faits,
IMHO je ne suis pas du tout d'accord avec toi sur ce point.
Je suis pour améliorer les choses. Et si l'on peut agir alors je
n'hésite pas une seconde. Maintenant le bon sens et le pragmatisme
n'appartient pas à tt le monde.
C'est justement ce qu'on t'oppose ici :
Non c'est faux.
le pragmatisme par opposition à des
décisions idéologiques qui ne font que bloquer les acteurs compétants du
milieu.
Je ne le pense pas.
n'importe qui peu et pourra
*toujours* trouver un malware et l'utiliser.
Aujourd'hui oui comme tu le dis "n'importe qui".
Demain il faut éviter justement que "n'importe qui" puisse utiliser un
malware.
Simple question comme ça : es-tu partisan de l'enseignement de
l'écriture de virus ?
N'importe quel étudiant -compétant- qui s'interresse à la sécurité peut,
éventuellement à partir d'un exploit publié, écrire un virus.
Oui c'est pas nouveau.
Certes il y a
de petits chef d'oeuvre -avis perso- mais la plupart des virus/vers/trojans
actuels sont loin d'être renversant.
Tiens ! Nous sommes d'accord. lol
Dernière précision : l'assembleur
n'est même pas obligatoire dans certains cas.
Oui c'est juste.
Au passage, je te prierais de ne pas tout mélanger, et d'éviter de
"nous" inclure dans le tableau.
Arrêtes avec ta susceptibilité mal placée stp ça devient puéril.
Au passage, je n'inclus personne.
Puisque tu es un expert dans la sécurité,
Je suis un professionnel de la SI/SSI. Je n'aime pas ce terme "expert".
tu es mieux placé que quiconque
Non.
pour connaitre l'importance de la précision du vocabulaire.
Accessoirement les "il est évident que", "tout le monde sait que", "vous
conviendrez avec moi" etc. sont des expressions classiques des commerciaux
qui veulent placer quelque chose ou des politiques qui ne connaissent pas
leur domaine.
Je ne le pense pas mais c'est une "injure" IMHO envers ces deux
En ce qui *me* concerne ce sont des phrases qui me mettent en alerte.
Tu ne serais pas un peu parano ?
Je les
utilise parfois -je dois aussi assumer le côté business- mais si on me
demande une justification je peux l'appuyer généralement par un solide
argumentaire technique (dans ce cas mon interlocuteur fait généralement
appel à des tiers, techniques, pour validation s'il n'a pas un minimum de
compétance -toute vulgarisation a ses limites-).
Idem mais la nature des propos dans ce thread ne l'exige pas. Donc
Il n'est pas question d'enjeu dans ce
forum mais d'une réalité quotidienne.
Excuses-moi mais nous avons tous des enjeux ici que nous soyons
débutant ou expérimenté, professionnel ou simple utilisateur.
Pas d'accord.
Il y a des enjeux quand je suis au taf -encore que la notion
de travail est particulière dans le cadre d'une passion-. Ici je ne vois
qu'un groupe d'entraide et d'échange de point de vue pour, in fine, enrichir
les connaissances -au sens large- de chacun.
Tout dépend des enjeux individuels de chacun ici.
Et pour les participants les plus
actifs, cette réalité passe par une vulgarisation de la sécurité
Ok sur ce point.
Mais alors j'ai une question : la SI/SSI vécue par les professionnels
a-t-elle sa place aujourd'hui sur fcs ? Si tu me réponds non cela a
bien changé. Et dans ce cas pas de problèmes j'éviterai à l'avenir de
rentrer dans le coeur du métier. (en tt dans ce thread dans l'un de
ces aspects)
Quand es tu entré dans le coeur du métier ici? Je précise avec des arguments
accessible à la logique, pas un concept flou.
Aie aie mais tu en tiens une sacré couche ... de mauvaise foi !
en y ajoutant un nombre important de contraintes.
En matière de moyens et prestations de cryptologie oui. Mais les
débats se poursuivent. Donc il y a bon espoir.
Certains ici trouvent que ça dégénère au contraire.
C'est leur avis. Mais IMHO il y a un net progrès par rapport à la
Enfin ce n'est pas
limité à la crypto.
Oui pour moi aussi.
alors même que la loi actuelle se suffit largement à elle-même,
Absolument pas d'accord. Suis l'actualité juridique et tu verras qu'il
était temps d'agir en apportant enfin des propositions.il suffit juste de l'appliquer.
Elle l'est mon cher.
Dans les deux cas des exemples concrets?
J'ai répondu dans un autre post donc merci de t'y reporter.
De même que tout FAI garde
suffisement de log et suffisement longtemps pour que quiconque portant
plainte à la constatation du délit puisse demander à la justice de
saisir ces derniers en qualité de preuves.
Oui et tant mieux. Mais cela n'est pas suffisant.
Bien sur! Il faut les garder à vie
N'exagères pas quand même mais pourquoi ne pas appliquer le fameux délai
-déjà le délai actuel pose des problèmes
de stockage- ainsi que le détails des e-mails.
Je ne te le fais pas dire.
Aucun problème avec ça.
Un choix perso n'a pas a être remis en cause par autrui. Ce qui me
surprennais c'est le paragraphe justification qui, pour moi, n'était pas
convainquant.
Ouf ! Merci ;) Je suis rassuré sur le niveau de mon interlocuteur.
Si c'est simplement le cas je trouve qu'il serait nécessaire, avant, de
former les acteurs du terrains afin qu'ils aient au moins une comprehension
basique des problèmes et qu'ils sachent où avoir de l'aide (doc, experts).
L'idée n'est pas de tout savoir mais de savoir ou trouver l'info. Et sans
les bases c'est impossible (ou alors qu'on m'explique comment)
Certains forums/séminaires français sur la SSI abordent tout de même
Il est *extrêmement* difficile de créer une loi sur ce domaine en
prenant en
compte les effets de bord.
Je te rassure tt de suite c'est impossible de légifèrer sur l'usage des
scanners.
En outre définir le degré de l'acte de pénétration ou d'intrusion et le
niveau de conscience de l'acte de l'agresseur c'est possible par
exemple.
AMHA, c'est le boulot du juge avec une loi cadre, pas celle du legislateur.
Je te rejoins complétement.
Mais comme "nous" l'avons déjà signalé, si le droit est mal fait cela
risque
de contraindre un "bon" admin à devoir choisir entre mal faire son
métier -et souvent sa passion- ou se mettre hors la loi.
Sur quel(s) point(s) stp te bases-tu ?
La fonction de l'admin est claire et je ne vois pas en quoi la LEN le
met en situation de risques.
Il a une obligation de secret ok bon et après (en + c'est pas nouveau
depuis 2001).
Les seuls aspects délicats sont pour lui : l'interception des
correspondances, le contrôle des connexions internet, le contrôle de la
messagerie, les fichiers de journalisation.
J'adore l'expression "les seuls aspects délicats".
lol
Outre que je pense qu'il
y en a d'autre, ceux ci sont déjà largement suffisant pour montrer qu'il y a
un problème avec la législation, problème qui risque de s'aggraver si on
modifie à la va vite ladite législation.
J'insiste mais je ne vois pas en quoi la LEN peut nous poser des
Pénalisé dans le sens ou certains outils ou méthodes ne devraient plus
être
utilisés. (ex le NAT avec les conneries US, les tests d'intrusions etc)
Ah non ce n'est pas vrai. Désinformation totale là.
Ah non ce n'est pas vrai. Désinformation totale là.
Pour évaluer le niveau de risque/sécurité d'une application, d'un réseau
ou bien d'un service je ne vois pas comment on pourrait se passer des
audits de sécurité logique comme les tests d'intrusion.
Par exemple : une société obligée de démontrer à son assureur le niveau
de sécurité (je parle bien entendu d'une grande entreprise).
On est d'accord alors?
Sur ce point à 100%
C'est nécessaire pour un admin.
Oui comme pour n'importe quel consultant/ingénieur en sécurité et
Et ma crainte c'est
qu'il ne puisse plus le faire *légalement* dans le futur.
Non IMHO je ne pense pas comment peuvent-ils envisager de mettre qqch en
Pénalisé dans le sens ou les actions mettrait l'admin en défaut au
niveau
pénal.
IMHO il faut étendre le niveau de responsabilité à l'ensemble des
Essaye aussi de raisonner avec de petites entreprises qui, au mieux, ont un
consultant extérieur, au pire un admin improvisé.
Oui mais avec la LEN pour les TPE, PME/PMI s'avère justement très
Le principe de précaution est, pour moi, une connerie prétexte à ne rien
faire. Il y a une différente entre la prudence et le principe de précaution
tel qu'il a été errigé en france.
Je suis de ton avis mais malheureusement c'est une attitude qui s'est
Un juge ne peut qu'appliquer la loi (sinon la décision sera changée ou
cassée en appel ou en cassation).
Je le répète j'ai déjà, personnellement, eu affaire aux conneries des lois
Pasqua -impossible d'avoir légalement une nouvelle CNI-, alors je me mefie
du tout sécuritaire sans la réflexion sur les conséquences...
Je suis comme toi très méfiant & prudent. C'est pourquoi je suis ça
Mais avec l'ambiance actuelle beaucoup sont réceptifs aux faucon lobbyiste!
La conjoncture et la hype paranoia n'arrangent rien oui ! ;)
Ce qui donne, à mon avis, un contrôle excessif et, in fine, une sécurité
moindre.
IMHO je retiens uniquement les bonnes choses dans la LEN. Le reste je
Tout cela est en libre service sur la toile, personnellement je dis
tant mieux !
Moi non c'est pour ça que j'ai réagi au propos de Nicob.
C'est je crois la base du problème (voir plus bas)
Ce n'est pas un problème grave en tout cas en ce qui concerne Nicob je
Certes, c'est un problème pour ma voisine, car elle a la
facheuse tendance à ne pas sortir couvert, mais cela ne démontre qu'une
chose, *nous* avons encore du travail à faire pour lui expliquer en
quoi c'est un tord. Une fois qu'elle aura compris et pris les mesures
qui s'impose, elle ne risquera plus rien.
Si ta voisine rencontre des problèmes avec ce genre de malware, c'est
qu'elle l'a cherché. Car on ne tombe pas sur ce type de malware sur le
réseau ss le vouloir.
Ou je ne comprends plus le français ou il y a un problème.
Le "c'est un problème pour ma voisine" fait CLAIREMENT, amha, référence au
fait que sa "voisine", ignorante des *bases* de la sécurité, est -elle-
vulnérable aux différents scripts disponibles sur le net. Il n'est
absolument pas supposé qu'elle fasse mumuse avec un tel outil!!!
Tu le fais exprès Eric ou bien c'est naturel chez toi de déformer les
[Re-re-snap, bon je coupe parfois, j'arrête les re-re !]
Primo je n'ai cité aucun nom "d'armes"/outils. (cf mes posts
précédents + précisions ci-dessus, merci)
C'est bien là le problème de *toutes* tes interventions dans cette
discussion, tu ne fais que tenir un discours de de pseudo-expert, pour
ne pas dire technocrate.
Change ta technique de communication stp. Tu ne me feras pas
abandonner la discussion avec ce genre de bassesses qui n'apportent
rien à notre échange.
Je suis entièrement d'accord avec Stéphane. Une recherche sur google
(dejanews) permet de vérifier que généralement tes posts se placent sur un
terrain essentiellement idéologique et que lorsque tu fais des allusions à
la technique tu ne donne ni exemple ni justification.
Que tu ne sois pas de mon avis, je te le concède. Mais de là à dire que
Une fois de
plus -puisque l'anonymat ne permet pas d'accorder à priori un capital
confiance- tu n'as pas de crédibilité a priori.
Entièrement d'accord et libre à chacun justement de se faire sa propre
Est-ce bien la personne qui parle de "tu remontera dans mon estime"?
Oui et avec Stéphane on s'est compris depuis (enfin je pense).
Si ce
n'est pas une remarque personnelle je reprends mes cours de français!
lol
Tu parles de plein de choses "'achement bien",
mais te garde toujours de rentrer dans les détails,
Ah bon ? Où est-ce que je suis loin de notre sujet et de ses détails
?!
Avec toi comme avec mes autres interlocuteurs dans ce thread, on
confronte nos points de vues. D'ailleurs avec Eric par exemple on
poursuit par mail notre discussion.
Accessoirement ce que je t'ai envoyé c'est un post de réponse suite à une
fausse manip de ma part après une longue période de boulot car tes
réponses -pour moi à côté du sujet ou de mauvaise foi- m'avaient enervées-.
Eric serais-tu intolérant ?
Il ne s'agit pas de "discussion privée".
Ok c'est noté.
J'ai simplement jugé inutile de la
reposter ici car entre temps les réactions d'autres personnes ont repris en
partie le type d'argument que j'ai utilisé.
Je respecte ton choix.
Du coup je replace ma réponse à
la fin de cette contribution que les acteurs de ce groupe puissent voir.
Eh bien j'en ferai autant (car je t'ai répondu)
Tu
conviendra ici même qu'a part ma demande de ne pas utiliser une autre
adresse e-mail que celle dispo ici, s'il devait y avoir échange, il n'y a
pas eu d'autre email de ma part!!!
Tout à fait, alors que j'ai pris la peine de te répondre longuement et
Je ne peux également que dénoncer ici même :
a) le non respect d'une étique élémentaire : si tu pensais que la
conversation est privée tu n'as pas à en faire état ici.
Eric je n'ai rien dit si ce n'est exprimé le fait que je poursuivais un
Ca prouve, s'il en
était besoin, que tu aime les grands principes (façon de parler, ils ne sont
certainement pas "grand" en ce qui me concerne) en t'asseyant dessus dès que
tu en as l'intérêt.
No comment
b) le processus qui consiste à dire je discute avec intel -sous entendu qui
semble "correctement compétant"- afin d'assoir tes propos,
lol c'est vraiment d'un puéril et stérile...
propos avec
lesquels je ne suis pas d'accord ainsi que le montre mes posts précédent.
Je t'ai bien lu ;)
Finalement je suis content de ma fausse manip (pour les autres : bon ok,
erreur de débutant, j'ai honte! :) ),
Merci à toi comme ça je vais pouvoir apporter les précisions ici même.
elle permet de mettre bas les masques.
No comment
Désolé d'être direct, mais les deux seules lacunes du réseau, ce sont
les personnes comme toi et les utilisateurs peu au fait en matière de
sécurité.
Au risque de me répéter tu juges trop ton interlocuteur. Mets tes à
priori au placard.
On croit rêver!
Non. Mais je suis qq peu interloqué rêve parfois en lisant tes réactions
Toutes les propositions qui pourront être faite ne changeront
strictement rien à la réalité des faits,
IMHO je ne suis pas du tout d'accord avec toi sur ce point.
Je suis pour améliorer les choses. Et si l'on peut agir alors je
n'hésite pas une seconde. Maintenant le bon sens et le pragmatisme
n'appartient pas à tt le monde.
C'est justement ce qu'on t'oppose ici :
Non c'est faux.
le pragmatisme par opposition à des
décisions idéologiques qui ne font que bloquer les acteurs compétants du
milieu.
Je ne le pense pas.
n'importe qui peu et pourra
*toujours* trouver un malware et l'utiliser.
Aujourd'hui oui comme tu le dis "n'importe qui".
Demain il faut éviter justement que "n'importe qui" puisse utiliser un
malware.
Simple question comme ça : es-tu partisan de l'enseignement de
l'écriture de virus ?
N'importe quel étudiant -compétant- qui s'interresse à la sécurité peut,
éventuellement à partir d'un exploit publié, écrire un virus.
Oui c'est pas nouveau.
Certes il y a
de petits chef d'oeuvre -avis perso- mais la plupart des virus/vers/trojans
actuels sont loin d'être renversant.
Tiens ! Nous sommes d'accord. lol
Dernière précision : l'assembleur
n'est même pas obligatoire dans certains cas.
Oui c'est juste.
Au passage, je te prierais de ne pas tout mélanger, et d'éviter de
"nous" inclure dans le tableau.
Arrêtes avec ta susceptibilité mal placée stp ça devient puéril.
Au passage, je n'inclus personne.
Puisque tu es un expert dans la sécurité,
Je suis un professionnel de la SI/SSI. Je n'aime pas ce terme "expert".
tu es mieux placé que quiconque
Non.
pour connaitre l'importance de la précision du vocabulaire.
Accessoirement les "il est évident que", "tout le monde sait que", "vous
conviendrez avec moi" etc. sont des expressions classiques des commerciaux
qui veulent placer quelque chose ou des politiques qui ne connaissent pas
leur domaine.
Je ne le pense pas mais c'est une "injure" IMHO envers ces deux
En ce qui *me* concerne ce sont des phrases qui me mettent en alerte.
Tu ne serais pas un peu parano ?
Je les
utilise parfois -je dois aussi assumer le côté business- mais si on me
demande une justification je peux l'appuyer généralement par un solide
argumentaire technique (dans ce cas mon interlocuteur fait généralement
appel à des tiers, techniques, pour validation s'il n'a pas un minimum de
compétance -toute vulgarisation a ses limites-).
Idem mais la nature des propos dans ce thread ne l'exige pas. Donc
Il n'est pas question d'enjeu dans ce
forum mais d'une réalité quotidienne.
Excuses-moi mais nous avons tous des enjeux ici que nous soyons
débutant ou expérimenté, professionnel ou simple utilisateur.
Pas d'accord.
Il y a des enjeux quand je suis au taf -encore que la notion
de travail est particulière dans le cadre d'une passion-. Ici je ne vois
qu'un groupe d'entraide et d'échange de point de vue pour, in fine, enrichir
les connaissances -au sens large- de chacun.
Tout dépend des enjeux individuels de chacun ici.
Et pour les participants les plus
actifs, cette réalité passe par une vulgarisation de la sécurité
Ok sur ce point.
Mais alors j'ai une question : la SI/SSI vécue par les professionnels
a-t-elle sa place aujourd'hui sur fcs ? Si tu me réponds non cela a
bien changé. Et dans ce cas pas de problèmes j'éviterai à l'avenir de
rentrer dans le coeur du métier. (en tt dans ce thread dans l'un de
ces aspects)
Quand es tu entré dans le coeur du métier ici? Je précise avec des arguments
accessible à la logique, pas un concept flou.
Aie aie mais tu en tiens une sacré couche ... de mauvaise foi !
en y ajoutant un nombre important de contraintes.
En matière de moyens et prestations de cryptologie oui. Mais les
débats se poursuivent. Donc il y a bon espoir.
Certains ici trouvent que ça dégénère au contraire.
C'est leur avis. Mais IMHO il y a un net progrès par rapport à la
Enfin ce n'est pas
limité à la crypto.
Oui pour moi aussi.
alors même que la loi actuelle se suffit largement à elle-même,
Absolument pas d'accord. Suis l'actualité juridique et tu verras qu'il
était temps d'agir en apportant enfin des propositions.
il suffit juste de l'appliquer.
Elle l'est mon cher.
Dans les deux cas des exemples concrets?
J'ai répondu dans un autre post donc merci de t'y reporter.
De même que tout FAI garde
suffisement de log et suffisement longtemps pour que quiconque portant
plainte à la constatation du délit puisse demander à la justice de
saisir ces derniers en qualité de preuves.
Oui et tant mieux. Mais cela n'est pas suffisant.
Bien sur! Il faut les garder à vie
N'exagères pas quand même mais pourquoi ne pas appliquer le fameux délai
-déjà le délai actuel pose des problèmes
de stockage- ainsi que le détails des e-mails.
Je ne te le fais pas dire.
Aucun problème avec ça.
Un choix perso n'a pas a être remis en cause par autrui. Ce qui me
surprennais c'est le paragraphe justification qui, pour moi, n'était pas
convainquant.
Ouf ! Merci ;) Je suis rassuré sur le niveau de mon interlocuteur.
Si c'est simplement le cas je trouve qu'il serait nécessaire, avant, de
former les acteurs du terrains afin qu'ils aient au moins une comprehension
basique des problèmes et qu'ils sachent où avoir de l'aide (doc, experts).
L'idée n'est pas de tout savoir mais de savoir ou trouver l'info. Et sans
les bases c'est impossible (ou alors qu'on m'explique comment)
Certains forums/séminaires français sur la SSI abordent tout de même
Il est *extrêmement* difficile de créer une loi sur ce domaine en
prenant en
compte les effets de bord.
Je te rassure tt de suite c'est impossible de légifèrer sur l'usage des
scanners.
En outre définir le degré de l'acte de pénétration ou d'intrusion et le
niveau de conscience de l'acte de l'agresseur c'est possible par
exemple.
AMHA, c'est le boulot du juge avec une loi cadre, pas celle du legislateur.
Je te rejoins complétement.
Mais comme "nous" l'avons déjà signalé, si le droit est mal fait cela
risque
de contraindre un "bon" admin à devoir choisir entre mal faire son
métier -et souvent sa passion- ou se mettre hors la loi.
Sur quel(s) point(s) stp te bases-tu ?
La fonction de l'admin est claire et je ne vois pas en quoi la LEN le
met en situation de risques.
Il a une obligation de secret ok bon et après (en + c'est pas nouveau
depuis 2001).
Les seuls aspects délicats sont pour lui : l'interception des
correspondances, le contrôle des connexions internet, le contrôle de la
messagerie, les fichiers de journalisation.
J'adore l'expression "les seuls aspects délicats".
lol
Outre que je pense qu'il
y en a d'autre, ceux ci sont déjà largement suffisant pour montrer qu'il y a
un problème avec la législation, problème qui risque de s'aggraver si on
modifie à la va vite ladite législation.
J'insiste mais je ne vois pas en quoi la LEN peut nous poser des
Pénalisé dans le sens ou certains outils ou méthodes ne devraient plus
être
utilisés. (ex le NAT avec les conneries US, les tests d'intrusions etc)
Ah non ce n'est pas vrai. Désinformation totale là.
Ah non ce n'est pas vrai. Désinformation totale là.
Pour évaluer le niveau de risque/sécurité d'une application, d'un réseau
ou bien d'un service je ne vois pas comment on pourrait se passer des
audits de sécurité logique comme les tests d'intrusion.
Par exemple : une société obligée de démontrer à son assureur le niveau
de sécurité (je parle bien entendu d'une grande entreprise).
On est d'accord alors?
Sur ce point à 100%
C'est nécessaire pour un admin.
Oui comme pour n'importe quel consultant/ingénieur en sécurité et
Et ma crainte c'est
qu'il ne puisse plus le faire *légalement* dans le futur.
Non IMHO je ne pense pas comment peuvent-ils envisager de mettre qqch en
Pénalisé dans le sens ou les actions mettrait l'admin en défaut au
niveau
pénal.
IMHO il faut étendre le niveau de responsabilité à l'ensemble des
Essaye aussi de raisonner avec de petites entreprises qui, au mieux, ont un
consultant extérieur, au pire un admin improvisé.
Oui mais avec la LEN pour les TPE, PME/PMI s'avère justement très
Le principe de précaution est, pour moi, une connerie prétexte à ne rien
faire. Il y a une différente entre la prudence et le principe de précaution
tel qu'il a été errigé en france.
Je suis de ton avis mais malheureusement c'est une attitude qui s'est
Un juge ne peut qu'appliquer la loi (sinon la décision sera changée ou
cassée en appel ou en cassation).
Je le répète j'ai déjà, personnellement, eu affaire aux conneries des lois
Pasqua -impossible d'avoir légalement une nouvelle CNI-, alors je me mefie
du tout sécuritaire sans la réflexion sur les conséquences...
Je suis comme toi très méfiant & prudent. C'est pourquoi je suis ça
Mais avec l'ambiance actuelle beaucoup sont réceptifs aux faucon lobbyiste!
La conjoncture et la hype paranoia n'arrangent rien oui ! ;)
Ce qui donne, à mon avis, un contrôle excessif et, in fine, une sécurité
moindre.
IMHO je retiens uniquement les bonnes choses dans la LEN. Le reste je
Tout cela est en libre service sur la toile, personnellement je dis
tant mieux !
Moi non c'est pour ça que j'ai réagi au propos de Nicob.
C'est je crois la base du problème (voir plus bas)
Ce n'est pas un problème grave en tout cas en ce qui concerne Nicob je
Certes, c'est un problème pour ma voisine, car elle a la
facheuse tendance à ne pas sortir couvert, mais cela ne démontre qu'une
chose, *nous* avons encore du travail à faire pour lui expliquer en
quoi c'est un tord. Une fois qu'elle aura compris et pris les mesures
qui s'impose, elle ne risquera plus rien.
Si ta voisine rencontre des problèmes avec ce genre de malware, c'est
qu'elle l'a cherché. Car on ne tombe pas sur ce type de malware sur le
réseau ss le vouloir.
Ou je ne comprends plus le français ou il y a un problème.
Le "c'est un problème pour ma voisine" fait CLAIREMENT, amha, référence au
fait que sa "voisine", ignorante des *bases* de la sécurité, est -elle-
vulnérable aux différents scripts disponibles sur le net. Il n'est
absolument pas supposé qu'elle fasse mumuse avec un tel outil!!!
Tu le fais exprès Eric ou bien c'est naturel chez toi de déformer les
[Re-re-snap, bon je coupe parfois, j'arrête les re-re !]Primo je n'ai cité aucun nom "d'armes"/outils. (cf mes posts
précédents + précisions ci-dessus, merci)
C'est bien là le problème de *toutes* tes interventions dans cette
discussion, tu ne fais que tenir un discours de de pseudo-expert, pour
ne pas dire technocrate.
Change ta technique de communication stp. Tu ne me feras pas
abandonner la discussion avec ce genre de bassesses qui n'apportent
rien à notre échange.
Je suis entièrement d'accord avec Stéphane. Une recherche sur google
(dejanews) permet de vérifier que généralement tes posts se placent sur un
terrain essentiellement idéologique et que lorsque tu fais des allusions à
la technique tu ne donne ni exemple ni justification.
Que tu ne sois pas de mon avis, je te le concède. Mais de là à dire que
Une fois de
plus -puisque l'anonymat ne permet pas d'accorder à priori un capital
confiance- tu n'as pas de crédibilité a priori.
Entièrement d'accord et libre à chacun justement de se faire sa propre
Est-ce bien la personne qui parle de "tu remontera dans mon estime"?
Oui et avec Stéphane on s'est compris depuis (enfin je pense).
Si ce
n'est pas une remarque personnelle je reprends mes cours de français!
lol
Tu parles de plein de choses "'achement bien",
mais te garde toujours de rentrer dans les détails,
Ah bon ? Où est-ce que je suis loin de notre sujet et de ses détails
?!
Avec toi comme avec mes autres interlocuteurs dans ce thread, on
confronte nos points de vues. D'ailleurs avec Eric par exemple on
poursuit par mail notre discussion.
Accessoirement ce que je t'ai envoyé c'est un post de réponse suite à une
fausse manip de ma part après une longue période de boulot car tes
réponses -pour moi à côté du sujet ou de mauvaise foi- m'avaient enervées-.
Eric serais-tu intolérant ?
Il ne s'agit pas de "discussion privée".
Ok c'est noté.
J'ai simplement jugé inutile de la
reposter ici car entre temps les réactions d'autres personnes ont repris en
partie le type d'argument que j'ai utilisé.
Je respecte ton choix.
Du coup je replace ma réponse à
la fin de cette contribution que les acteurs de ce groupe puissent voir.
Eh bien j'en ferai autant (car je t'ai répondu)
Tu
conviendra ici même qu'a part ma demande de ne pas utiliser une autre
adresse e-mail que celle dispo ici, s'il devait y avoir échange, il n'y a
pas eu d'autre email de ma part!!!
Tout à fait, alors que j'ai pris la peine de te répondre longuement et
Je ne peux également que dénoncer ici même :
a) le non respect d'une étique élémentaire : si tu pensais que la
conversation est privée tu n'as pas à en faire état ici.
Eric je n'ai rien dit si ce n'est exprimé le fait que je poursuivais un
Ca prouve, s'il en
était besoin, que tu aime les grands principes (façon de parler, ils ne sont
certainement pas "grand" en ce qui me concerne) en t'asseyant dessus dès que
tu en as l'intérêt.
No comment
b) le processus qui consiste à dire je discute avec intel -sous entendu qui
semble "correctement compétant"- afin d'assoir tes propos,
lol c'est vraiment d'un puéril et stérile...
propos avec
lesquels je ne suis pas d'accord ainsi que le montre mes posts précédent.
Je t'ai bien lu ;)
Finalement je suis content de ma fausse manip (pour les autres : bon ok,
erreur de débutant, j'ai honte! :) ),
Merci à toi comme ça je vais pouvoir apporter les précisions ici même.
elle permet de mettre bas les masques.
No comment
Désolé d'être direct, mais les deux seules lacunes du réseau, ce sont
les personnes comme toi et les utilisateurs peu au fait en matière de
sécurité.
Au risque de me répéter tu juges trop ton interlocuteur. Mets tes à
priori au placard.
On croit rêver!
Non. Mais je suis qq peu interloqué rêve parfois en lisant tes réactions
Toutes les propositions qui pourront être faite ne changeront
strictement rien à la réalité des faits,
IMHO je ne suis pas du tout d'accord avec toi sur ce point.
Je suis pour améliorer les choses. Et si l'on peut agir alors je
n'hésite pas une seconde. Maintenant le bon sens et le pragmatisme
n'appartient pas à tt le monde.
C'est justement ce qu'on t'oppose ici :
Non c'est faux.
le pragmatisme par opposition à des
décisions idéologiques qui ne font que bloquer les acteurs compétants du
milieu.
Je ne le pense pas.
n'importe qui peu et pourra
*toujours* trouver un malware et l'utiliser.
Aujourd'hui oui comme tu le dis "n'importe qui".
Demain il faut éviter justement que "n'importe qui" puisse utiliser un
malware.
Simple question comme ça : es-tu partisan de l'enseignement de
l'écriture de virus ?
N'importe quel étudiant -compétant- qui s'interresse à la sécurité peut,
éventuellement à partir d'un exploit publié, écrire un virus.
Oui c'est pas nouveau.
Certes il y a
de petits chef d'oeuvre -avis perso- mais la plupart des virus/vers/trojans
actuels sont loin d'être renversant.
Tiens ! Nous sommes d'accord. lol
Dernière précision : l'assembleur
n'est même pas obligatoire dans certains cas.
Oui c'est juste.
Au passage, je te prierais de ne pas tout mélanger, et d'éviter de
"nous" inclure dans le tableau.
Arrêtes avec ta susceptibilité mal placée stp ça devient puéril.
Au passage, je n'inclus personne.
Puisque tu es un expert dans la sécurité,
Je suis un professionnel de la SI/SSI. Je n'aime pas ce terme "expert".
tu es mieux placé que quiconque
Non.
pour connaitre l'importance de la précision du vocabulaire.
Accessoirement les "il est évident que", "tout le monde sait que", "vous
conviendrez avec moi" etc. sont des expressions classiques des commerciaux
qui veulent placer quelque chose ou des politiques qui ne connaissent pas
leur domaine.
Je ne le pense pas mais c'est une "injure" IMHO envers ces deux
En ce qui *me* concerne ce sont des phrases qui me mettent en alerte.
Tu ne serais pas un peu parano ?
Je les
utilise parfois -je dois aussi assumer le côté business- mais si on me
demande une justification je peux l'appuyer généralement par un solide
argumentaire technique (dans ce cas mon interlocuteur fait généralement
appel à des tiers, techniques, pour validation s'il n'a pas un minimum de
compétance -toute vulgarisation a ses limites-).
Idem mais la nature des propos dans ce thread ne l'exige pas. Donc
Il n'est pas question d'enjeu dans ce
forum mais d'une réalité quotidienne.
Excuses-moi mais nous avons tous des enjeux ici que nous soyons
débutant ou expérimenté, professionnel ou simple utilisateur.
Pas d'accord.
Il y a des enjeux quand je suis au taf -encore que la notion
de travail est particulière dans le cadre d'une passion-. Ici je ne vois
qu'un groupe d'entraide et d'échange de point de vue pour, in fine, enrichir
les connaissances -au sens large- de chacun.
Tout dépend des enjeux individuels de chacun ici.
Et pour les participants les plus
actifs, cette réalité passe par une vulgarisation de la sécurité
Ok sur ce point.
Mais alors j'ai une question : la SI/SSI vécue par les professionnels
a-t-elle sa place aujourd'hui sur fcs ? Si tu me réponds non cela a
bien changé. Et dans ce cas pas de problèmes j'éviterai à l'avenir de
rentrer dans le coeur du métier. (en tt dans ce thread dans l'un de
ces aspects)
Quand es tu entré dans le coeur du métier ici? Je précise avec des arguments
accessible à la logique, pas un concept flou.
Aie aie mais tu en tiens une sacré couche ... de mauvaise foi !
en y ajoutant un nombre important de contraintes.
En matière de moyens et prestations de cryptologie oui. Mais les
débats se poursuivent. Donc il y a bon espoir.
Certains ici trouvent que ça dégénère au contraire.
C'est leur avis. Mais IMHO il y a un net progrès par rapport à la
Enfin ce n'est pas
limité à la crypto.
Oui pour moi aussi.
alors même que la loi actuelle se suffit largement à elle-même,
Absolument pas d'accord. Suis l'actualité juridique et tu verras qu'il
était temps d'agir en apportant enfin des propositions.il suffit juste de l'appliquer.
Elle l'est mon cher.
Dans les deux cas des exemples concrets?
J'ai répondu dans un autre post donc merci de t'y reporter.
De même que tout FAI garde
suffisement de log et suffisement longtemps pour que quiconque portant
plainte à la constatation du délit puisse demander à la justice de
saisir ces derniers en qualité de preuves.
Oui et tant mieux. Mais cela n'est pas suffisant.
Bien sur! Il faut les garder à vie
N'exagères pas quand même mais pourquoi ne pas appliquer le fameux délai
-déjà le délai actuel pose des problèmes
de stockage- ainsi que le détails des e-mails.
Je ne te le fais pas dire.
Aucun problème avec ça.
Un choix perso n'a pas a être remis en cause par autrui. Ce qui me
surprennais c'est le paragraphe justification qui, pour moi, n'était pas
convainquant.
Ouf ! Merci ;) Je suis rassuré sur le niveau de mon interlocuteur.
Si c'est simplement le cas je trouve qu'il serait nécessaire, avant, de
former les acteurs du terrains afin qu'ils aient au moins une comprehension
basique des problèmes et qu'ils sachent où avoir de l'aide (doc, experts).
L'idée n'est pas de tout savoir mais de savoir ou trouver l'info. Et sans
les bases c'est impossible (ou alors qu'on m'explique comment)
Certains forums/séminaires français sur la SSI abordent tout de même
Il est *extrêmement* difficile de créer une loi sur ce domaine en
prenant en
compte les effets de bord.
Je te rassure tt de suite c'est impossible de légifèrer sur l'usage des
scanners.
En outre définir le degré de l'acte de pénétration ou d'intrusion et le
niveau de conscience de l'acte de l'agresseur c'est possible par
exemple.
AMHA, c'est le boulot du juge avec une loi cadre, pas celle du legislateur.
Je te rejoins complétement.
Mais comme "nous" l'avons déjà signalé, si le droit est mal fait cela
risque
de contraindre un "bon" admin à devoir choisir entre mal faire son
métier -et souvent sa passion- ou se mettre hors la loi.
Sur quel(s) point(s) stp te bases-tu ?
La fonction de l'admin est claire et je ne vois pas en quoi la LEN le
met en situation de risques.
Il a une obligation de secret ok bon et après (en + c'est pas nouveau
depuis 2001).
Les seuls aspects délicats sont pour lui : l'interception des
correspondances, le contrôle des connexions internet, le contrôle de la
messagerie, les fichiers de journalisation.
J'adore l'expression "les seuls aspects délicats".
lol
Outre que je pense qu'il
y en a d'autre, ceux ci sont déjà largement suffisant pour montrer qu'il y a
un problème avec la législation, problème qui risque de s'aggraver si on
modifie à la va vite ladite législation.
J'insiste mais je ne vois pas en quoi la LEN peut nous poser des
Pénalisé dans le sens ou certains outils ou méthodes ne devraient plus
être
utilisés. (ex le NAT avec les conneries US, les tests d'intrusions etc)
Ah non ce n'est pas vrai. Désinformation totale là.
Ah non ce n'est pas vrai. Désinformation totale là.
Pour évaluer le niveau de risque/sécurité d'une application, d'un réseau
ou bien d'un service je ne vois pas comment on pourrait se passer des
audits de sécurité logique comme les tests d'intrusion.
Par exemple : une société obligée de démontrer à son assureur le niveau
de sécurité (je parle bien entendu d'une grande entreprise).
On est d'accord alors?
Sur ce point à 100%
C'est nécessaire pour un admin.
Oui comme pour n'importe quel consultant/ingénieur en sécurité et
Et ma crainte c'est
qu'il ne puisse plus le faire *légalement* dans le futur.
Non IMHO je ne pense pas comment peuvent-ils envisager de mettre qqch en
Pénalisé dans le sens ou les actions mettrait l'admin en défaut au
niveau
pénal.
IMHO il faut étendre le niveau de responsabilité à l'ensemble des
Essaye aussi de raisonner avec de petites entreprises qui, au mieux, ont un
consultant extérieur, au pire un admin improvisé.
Oui mais avec la LEN pour les TPE, PME/PMI s'avère justement très
Le principe de précaution est, pour moi, une connerie prétexte à ne rien
faire. Il y a une différente entre la prudence et le principe de précaution
tel qu'il a été errigé en france.
Je suis de ton avis mais malheureusement c'est une attitude qui s'est
Un juge ne peut qu'appliquer la loi (sinon la décision sera changée ou
cassée en appel ou en cassation).
Je le répète j'ai déjà, personnellement, eu affaire aux conneries des lois
Pasqua -impossible d'avoir légalement une nouvelle CNI-, alors je me mefie
du tout sécuritaire sans la réflexion sur les conséquences...
Je suis comme toi très méfiant & prudent. C'est pourquoi je suis ça
Mais avec l'ambiance actuelle beaucoup sont réceptifs aux faucon lobbyiste!
La conjoncture et la hype paranoia n'arrangent rien oui ! ;)
Ce qui donne, à mon avis, un contrôle excessif et, in fine, une sécurité
moindre.
IMHO je retiens uniquement les bonnes choses dans la LEN. Le reste je
