Pour un bon mot de passe, il est d'usage de dire qu'il faut au moins
une minuscule, une majuscule, un chiffre et un caractère spécial.
Ça semble logique, mais finalement peut-être pas : un logiciel qui
cherche un mot de passe ne sais pas comment il est conçu, il ignore si
ce ne sont que des lettres minuscules par exemple, donc il cherche sur
la totalité des possibilités, non ?
Ou alors c'est parce que la recherche se fait dans un ordre ? Par
exemple d'abord les minuscules, puis les majuscules, puis les chiffres,
puis un mélange de 2, puis un mélange de 3... ?
On Wed, 02 Mar 2011 23:05:05 +0100, Bruno Tréguier :
que pensez-vous des politiques de gestion des mots de passe imposant un changement régulier de ce dernier ?
Pour moi, ça fait partie des habitudes dont plus personne ne connaît la source. En anglais, ça s'appelle "cargo cult", mais je ne sais pas s'il y a un équivalent en français.
Je n'en vois pas, ou alors très éloigné de l'expression idiomatique. Ca pourrait être un truc genre "pseudo-science" ?
Cordialement,
-- Bruno Tréguier
Le 04/03/2011 à 4:11, Fabien LE LEZ a écrit :
On Wed, 02 Mar 2011 23:05:05 +0100, Bruno Tréguier
<bruno.treguier_at_shom.fr@nullepart.invalid>:
que
pensez-vous des politiques de gestion des mots de passe imposant un
changement régulier de ce dernier ?
Pour moi, ça fait partie des habitudes dont plus personne ne connaît
la source. En anglais, ça s'appelle "cargo cult", mais je ne sais pas
s'il y a un équivalent en français.
Je n'en vois pas, ou alors très éloigné de l'expression idiomatique. Ca
pourrait être un truc genre "pseudo-science" ?
On Wed, 02 Mar 2011 23:05:05 +0100, Bruno Tréguier :
que pensez-vous des politiques de gestion des mots de passe imposant un changement régulier de ce dernier ?
Pour moi, ça fait partie des habitudes dont plus personne ne connaît la source. En anglais, ça s'appelle "cargo cult", mais je ne sais pas s'il y a un équivalent en français.
Je n'en vois pas, ou alors très éloigné de l'expression idiomatique. Ca pourrait être un truc genre "pseudo-science" ?
Cordialement,
-- Bruno Tréguier
Kevin Denis
Le 04-03-2011, Bruno Tréguier a écrit :
Pour moi, ça fait partie des habitudes dont plus personne ne connaît la source. En anglais, ça s'appelle "cargo cult", mais je ne sais pas s'il y a un équivalent en français.
Je n'en vois pas, ou alors très éloigné de l'expression idiomatique. Ca pourrait être un truc genre "pseudo-science" ?
Légende urbaine? -- Kevin
Le 04-03-2011, Bruno Tréguier a écrit :
Pour moi, ça fait partie des habitudes dont plus personne ne connaît
la source. En anglais, ça s'appelle "cargo cult", mais je ne sais pas
s'il y a un équivalent en français.
Je n'en vois pas, ou alors très éloigné de l'expression idiomatique. Ca
pourrait être un truc genre "pseudo-science" ?
Pour moi, ça fait partie des habitudes dont plus personne ne connaît la source. En anglais, ça s'appelle "cargo cult", mais je ne sais pas s'il y a un équivalent en français.
Je n'en vois pas, ou alors très éloigné de l'expression idiomatique. Ca pourrait être un truc genre "pseudo-science" ?
Légende urbaine? -- Kevin
Benoit Izac
Bonjour,
le 04/03/2011 à 11:33, Bruno Tréguier a écrit dans le message <4d70bfec$0$5395$ :
Du coup la question devient plutôt: qu'est-ce qui peut pousser des RSSI à perpétuer (voire à recommander à d'autres) une pratique de plus en plus controversée, dont on voit clairement les limites et les aspects néfastes, en tout cas de la manière dont elle est appliquée la plupart du temps ?
Le côté "mouton" doit jouer: "d'autres font la même chose, donc ça ne doit pas être mauvais, et si jamais ça l'est, je n'aurai fait que suivre une pratique répandue"... Comme en cas de sinistre, le RSSI est souvent sur un siège éjectable, ça doit avoir un côté rassurant de penser qu'on s'est planté en faisant la même connerie de les autres, tel le lemming moyen... ;-)
Effectivement, mais ce n'est pas spécifique à la sécurité. Il n'y a qu'à voir comment les gens envoient/répondent aux mails dans le milieu professionnel classique : HTML only, réponses au dessus, vingt personnes en copie, etc. J'ai bien essayé de les éduquer mais 90% (et je suis gentil car c'est plus proche de 100%) de mes interlocuteurs ne comprennent pas mon message lorsque je réponds en dessous à tel point que j'en suis rendu à me dire que c'est à moi d'écrire mal pour être conforme et compréhensible par mes interlocuteurs. Au passage, merci à MS Outlook qui ne laisse pas le choix aux utilisateurs.
Il ne reste qu'à espérer que la prise de conscience ne va plus tarder...
On peut toujours rêver...
Bonne journée !
Également.
-- Benoit Izac
Bonjour,
le 04/03/2011 à 11:33, Bruno Tréguier a écrit dans le message
<4d70bfec$0$5395$ba4acef3@reader.news.orange.fr> :
Du coup la question devient plutôt: qu'est-ce qui peut pousser des
RSSI à perpétuer (voire à recommander à d'autres) une pratique de plus
en plus controversée, dont on voit clairement les limites et les
aspects néfastes, en tout cas de la manière dont elle est appliquée la
plupart du temps ?
Le côté "mouton" doit jouer: "d'autres font la même chose, donc ça ne
doit pas être mauvais, et si jamais ça l'est, je n'aurai fait que
suivre une pratique répandue"... Comme en cas de sinistre, le RSSI est
souvent sur un siège éjectable, ça doit avoir un côté rassurant de
penser qu'on s'est planté en faisant la même connerie de les autres,
tel le lemming moyen... ;-)
Effectivement, mais ce n'est pas spécifique à la sécurité. Il n'y a qu'à
voir comment les gens envoient/répondent aux mails dans le milieu
professionnel classique : HTML only, réponses au dessus, vingt personnes
en copie, etc. J'ai bien essayé de les éduquer mais 90% (et je suis
gentil car c'est plus proche de 100%) de mes interlocuteurs ne
comprennent pas mon message lorsque je réponds en dessous à tel point
que j'en suis rendu à me dire que c'est à moi d'écrire mal pour être
conforme et compréhensible par mes interlocuteurs. Au passage, merci
à MS Outlook qui ne laisse pas le choix aux utilisateurs.
Il ne reste qu'à espérer que la prise de conscience ne va plus
tarder...
le 04/03/2011 à 11:33, Bruno Tréguier a écrit dans le message <4d70bfec$0$5395$ :
Du coup la question devient plutôt: qu'est-ce qui peut pousser des RSSI à perpétuer (voire à recommander à d'autres) une pratique de plus en plus controversée, dont on voit clairement les limites et les aspects néfastes, en tout cas de la manière dont elle est appliquée la plupart du temps ?
Le côté "mouton" doit jouer: "d'autres font la même chose, donc ça ne doit pas être mauvais, et si jamais ça l'est, je n'aurai fait que suivre une pratique répandue"... Comme en cas de sinistre, le RSSI est souvent sur un siège éjectable, ça doit avoir un côté rassurant de penser qu'on s'est planté en faisant la même connerie de les autres, tel le lemming moyen... ;-)
Effectivement, mais ce n'est pas spécifique à la sécurité. Il n'y a qu'à voir comment les gens envoient/répondent aux mails dans le milieu professionnel classique : HTML only, réponses au dessus, vingt personnes en copie, etc. J'ai bien essayé de les éduquer mais 90% (et je suis gentil car c'est plus proche de 100%) de mes interlocuteurs ne comprennent pas mon message lorsque je réponds en dessous à tel point que j'en suis rendu à me dire que c'est à moi d'écrire mal pour être conforme et compréhensible par mes interlocuteurs. Au passage, merci à MS Outlook qui ne laisse pas le choix aux utilisateurs.
Il ne reste qu'à espérer que la prise de conscience ne va plus tarder...
On peut toujours rêver...
Bonne journée !
Également.
-- Benoit Izac
Stephane Catteau
Baton Rouge devait dire quelque chose comme ceci :
Il y a des machines qui laisse même le choix de booter sur cd ou usb. Alors les admin, hein...
N'est-ce pas au final la plus grande faille ? A l'exception des grandes et très grandes sociétés (parce qu'elles ont les moyens), ainsi évidement que les sociétées dont l'activité est directement liées aux "nouvelles technologies", l'admin a tendance à être un informaticien de base, lorsque ce n'est pas tout simplement l'employé qui dépanne le plus ses collègues lorsqu'ils ont un problème avec leur ordinateur. Du coup la sécurité ça lui passe largement au-dessus de la tête.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Baton Rouge devait dire quelque chose comme ceci :
Il y a des machines qui laisse même le choix de booter sur cd ou usb.
Alors les admin, hein...
N'est-ce pas au final la plus grande faille ? A l'exception des
grandes et très grandes sociétés (parce qu'elles ont les moyens), ainsi
évidement que les sociétées dont l'activité est directement liées aux
"nouvelles technologies", l'admin a tendance à être un informaticien de
base, lorsque ce n'est pas tout simplement l'employé qui dépanne le
plus ses collègues lorsqu'ils ont un problème avec leur ordinateur. Du
coup la sécurité ça lui passe largement au-dessus de la tête.
Baton Rouge devait dire quelque chose comme ceci :
Il y a des machines qui laisse même le choix de booter sur cd ou usb. Alors les admin, hein...
N'est-ce pas au final la plus grande faille ? A l'exception des grandes et très grandes sociétés (parce qu'elles ont les moyens), ainsi évidement que les sociétées dont l'activité est directement liées aux "nouvelles technologies", l'admin a tendance à être un informaticien de base, lorsque ce n'est pas tout simplement l'employé qui dépanne le plus ses collègues lorsqu'ils ont un problème avec leur ordinateur. Du coup la sécurité ça lui passe largement au-dessus de la tête.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Stephane Catteau
Fabien LE LEZ devait dire quelque chose comme ceci :
Pour moi, ça fait partie des habitudes dont plus personne ne connaît la source. En anglais, ça s'appelle "cargo cult", mais je ne sais pas s'il y a un équivalent en français.
Autres trucs du même style :
- On ne doit pas se connecter via SSH sous le compte "root" ; il faut se connecter en tant qu'utilisateur puis utiliser "su".
A moi ça me semble évident. L'on ne doit pas se connecter à l'ordinateur en face de soit avec le compte administrateur[1], non par mesure de sécurité mais pour éviter de faire des conneries. Je ne vois pas pourquoi cela différent au motif que l'ordinateur est distant. Au contraire même, il est plus facile de réparer certaines conneries en étant face à l'ordinateur que sur un ordinateur distant.
- La taille de la partition de swap doit être égale à deux fois la taille de la RAM.
Ca, ça doit venir de l'époque où la taille de la RAM se comptait en dizaine de Mo[2]. Il est vrai que maintenant cela n'a plus vraiment de sens.
[1] Vu que windows en a un même en édition personnelle maintenant. [2] Epoque où l'on ne parlait même pas de Mio.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Fabien LE LEZ devait dire quelque chose comme ceci :
Pour moi, ça fait partie des habitudes dont plus personne ne connaît
la source. En anglais, ça s'appelle "cargo cult", mais je ne sais pas
s'il y a un équivalent en français.
Autres trucs du même style :
- On ne doit pas se connecter via SSH sous le compte "root" ; il faut
se connecter en tant qu'utilisateur puis utiliser "su".
A moi ça me semble évident. L'on ne doit pas se connecter à
l'ordinateur en face de soit avec le compte administrateur[1], non par
mesure de sécurité mais pour éviter de faire des conneries. Je ne vois
pas pourquoi cela différent au motif que l'ordinateur est distant. Au
contraire même, il est plus facile de réparer certaines conneries en
étant face à l'ordinateur que sur un ordinateur distant.
- La taille de la partition de swap doit être égale à deux fois la
taille de la RAM.
Ca, ça doit venir de l'époque où la taille de la RAM se comptait en
dizaine de Mo[2]. Il est vrai que maintenant cela n'a plus vraiment de
sens.
[1]
Vu que windows en a un même en édition personnelle maintenant.
[2]
Epoque où l'on ne parlait même pas de Mio.
Fabien LE LEZ devait dire quelque chose comme ceci :
Pour moi, ça fait partie des habitudes dont plus personne ne connaît la source. En anglais, ça s'appelle "cargo cult", mais je ne sais pas s'il y a un équivalent en français.
Autres trucs du même style :
- On ne doit pas se connecter via SSH sous le compte "root" ; il faut se connecter en tant qu'utilisateur puis utiliser "su".
A moi ça me semble évident. L'on ne doit pas se connecter à l'ordinateur en face de soit avec le compte administrateur[1], non par mesure de sécurité mais pour éviter de faire des conneries. Je ne vois pas pourquoi cela différent au motif que l'ordinateur est distant. Au contraire même, il est plus facile de réparer certaines conneries en étant face à l'ordinateur que sur un ordinateur distant.
- La taille de la partition de swap doit être égale à deux fois la taille de la RAM.
Ca, ça doit venir de l'époque où la taille de la RAM se comptait en dizaine de Mo[2]. Il est vrai que maintenant cela n'a plus vraiment de sens.
[1] Vu que windows en a un même en édition personnelle maintenant. [2] Epoque où l'on ne parlait même pas de Mio.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Benoit Izac
Bonjour,
le 04/03/2011 à 12:11, Stephane Catteau a écrit dans le message :
Il y a des machines qui laisse même le choix de booter sur cd ou usb. Alors les admin, hein...
N'est-ce pas au final la plus grande faille ? A l'exception des grandes et très grandes sociétés (parce qu'elles ont les moyens), ainsi évidement que les sociétées dont l'activité est directement liées aux "nouvelles technologies", l'admin a tendance à être un informaticien de base, lorsque ce n'est pas tout simplement l'employé qui dépanne le plus ses collègues lorsqu'ils ont un problème avec leur ordinateur. Du coup la sécurité ça lui passe largement au-dessus de la tête.
De toute manière à partir du moment où on a un accès physique à la machine et que le disque n'est pas chiffré, qu'on puisse booter sur n'importe quoi ne change pas grand chose. Si ce sont les données qui sont intéressantes, il suffit de mettre le disque sur une autre machine pour y avoir accès.
-- Benoit Izac
Bonjour,
le 04/03/2011 à 12:11, Stephane Catteau a écrit dans le message
<mn.22db7db3a7eed5af.30736@sc4x.org> :
Il y a des machines qui laisse même le choix de booter sur cd ou usb.
Alors les admin, hein...
N'est-ce pas au final la plus grande faille ? A l'exception des
grandes et très grandes sociétés (parce qu'elles ont les moyens), ainsi
évidement que les sociétées dont l'activité est directement liées aux
"nouvelles technologies", l'admin a tendance à être un informaticien de
base, lorsque ce n'est pas tout simplement l'employé qui dépanne le
plus ses collègues lorsqu'ils ont un problème avec leur ordinateur. Du
coup la sécurité ça lui passe largement au-dessus de la tête.
De toute manière à partir du moment où on a un accès physique à la
machine et que le disque n'est pas chiffré, qu'on puisse booter sur
n'importe quoi ne change pas grand chose. Si ce sont les données qui
sont intéressantes, il suffit de mettre le disque sur une autre
machine pour y avoir accès.
le 04/03/2011 à 12:11, Stephane Catteau a écrit dans le message :
Il y a des machines qui laisse même le choix de booter sur cd ou usb. Alors les admin, hein...
N'est-ce pas au final la plus grande faille ? A l'exception des grandes et très grandes sociétés (parce qu'elles ont les moyens), ainsi évidement que les sociétées dont l'activité est directement liées aux "nouvelles technologies", l'admin a tendance à être un informaticien de base, lorsque ce n'est pas tout simplement l'employé qui dépanne le plus ses collègues lorsqu'ils ont un problème avec leur ordinateur. Du coup la sécurité ça lui passe largement au-dessus de la tête.
De toute manière à partir du moment où on a un accès physique à la machine et que le disque n'est pas chiffré, qu'on puisse booter sur n'importe quoi ne change pas grand chose. Si ce sont les données qui sont intéressantes, il suffit de mettre le disque sur une autre machine pour y avoir accès.
-- Benoit Izac
Stephane Catteau
Benoit Izac devait dire quelque chose comme ceci :
De toute manière à partir du moment où on a un accès physique à la machine et que le disque n'est pas chiffré, qu'on puisse booter sur n'importe quoi ne change pas grand chose. Si ce sont les données qui sont intéressantes, il suffit de mettre le disque sur une autre machine pour y avoir accès.
Disons que c'est quand même plus discrêt de booter sur un CD que de démonter la machine devant tout le monde. Sans parler du fait, déjà évoqué, que les grandes sociétés en reviennent maintenant au schéma de la mini-informatique, à savoir des PC en guise de terminaux et les données centralisées ailleurs. Du coup récupérer directement le disque dur n'apportera rien, que les données soient ou non chiffrées.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Benoit Izac devait dire quelque chose comme ceci :
De toute manière à partir du moment où on a un accès physique à la
machine et que le disque n'est pas chiffré, qu'on puisse booter sur
n'importe quoi ne change pas grand chose. Si ce sont les données qui
sont intéressantes, il suffit de mettre le disque sur une autre
machine pour y avoir accès.
Disons que c'est quand même plus discrêt de booter sur un CD que de
démonter la machine devant tout le monde. Sans parler du fait, déjà
évoqué, que les grandes sociétés en reviennent maintenant au schéma de
la mini-informatique, à savoir des PC en guise de terminaux et les
données centralisées ailleurs. Du coup récupérer directement le disque
dur n'apportera rien, que les données soient ou non chiffrées.
Benoit Izac devait dire quelque chose comme ceci :
De toute manière à partir du moment où on a un accès physique à la machine et que le disque n'est pas chiffré, qu'on puisse booter sur n'importe quoi ne change pas grand chose. Si ce sont les données qui sont intéressantes, il suffit de mettre le disque sur une autre machine pour y avoir accès.
Disons que c'est quand même plus discrêt de booter sur un CD que de démonter la machine devant tout le monde. Sans parler du fait, déjà évoqué, que les grandes sociétés en reviennent maintenant au schéma de la mini-informatique, à savoir des PC en guise de terminaux et les données centralisées ailleurs. Du coup récupérer directement le disque dur n'apportera rien, que les données soient ou non chiffrées.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Kevin Denis
Le 04-03-2011, Benoit Izac a écrit :
De toute manière à partir du moment où on a un accès physique à la machine et que le disque n'est pas chiffré,
et s'il est chiffré, c'est pareil. Il suffit de modifier le bootloader pour faire un peu ce que l'on souhaite: ajouter une clé LUKS dans un slot sous linux, logger le mot de passe n'importe où, ajouter une clé RSA dans le .ssh/authorized_keys de root. Puis attendre que la victime se reconnecte à sa machine.
Le chiffrement de disque ne protège que lorsque l'attaquant à accès à ta machine ET que tu le sais. Sinon, le chiffrement est useless.. -- Kevin
Le 04-03-2011, Benoit Izac <use.reply.to@INVALID.ADDRESS> a écrit :
De toute manière à partir du moment où on a un accès physique à la
machine et que le disque n'est pas chiffré,
et s'il est chiffré, c'est pareil. Il suffit de modifier le bootloader
pour faire un peu ce que l'on souhaite: ajouter une clé LUKS dans un
slot sous linux, logger le mot de passe n'importe où, ajouter une
clé RSA dans le .ssh/authorized_keys de root.
Puis attendre que la victime se reconnecte à sa machine.
Le chiffrement de disque ne protège que lorsque l'attaquant à accès
à ta machine ET que tu le sais. Sinon, le chiffrement est useless..
--
Kevin
De toute manière à partir du moment où on a un accès physique à la machine et que le disque n'est pas chiffré,
et s'il est chiffré, c'est pareil. Il suffit de modifier le bootloader pour faire un peu ce que l'on souhaite: ajouter une clé LUKS dans un slot sous linux, logger le mot de passe n'importe où, ajouter une clé RSA dans le .ssh/authorized_keys de root. Puis attendre que la victime se reconnecte à sa machine.
Le chiffrement de disque ne protège que lorsque l'attaquant à accès à ta machine ET que tu le sais. Sinon, le chiffrement est useless.. -- Kevin
Fabien LE LEZ
On Fri, 04 Mar 2011 12:16:27 +0100, Stephane Catteau :
L'on ne doit pas se connecter à l'ordinateur en face de soit avec le compte administrateur
Je veux bien. Mais, dans ce cas, il ne faut pas utiliser su.
On Fri, 04 Mar 2011 12:16:27 +0100, Stephane Catteau
<steph.nospam@sc4x.net>:
L'on ne doit pas se connecter à
l'ordinateur en face de soit avec le compte administrateur
Je veux bien. Mais, dans ce cas, il ne faut pas utiliser su.
On Fri, 04 Mar 2011 12:16:27 +0100, Stephane Catteau :
L'on ne doit pas se connecter à l'ordinateur en face de soit avec le compte administrateur
Je veux bien. Mais, dans ce cas, il ne faut pas utiliser su.
J.P. Kuypers
In article (Dans l'article) <4d6f9954$0$20810$, Eric Belhomme <rico-{nntp}@ricozome.net> wrote (écrivait) :
Le Thu, 03 Mar 2011 09:02:26 +0100, Stephane Catteau a écrit :
> D'un autre côté cela soulève un problème rarement, si ce n'est jamais, > pris en compte pour les particuliers. Lorsqu'ils renvoient la machine au > SAV, ils le font tel quel... ce qui est loin d'être quelque chose de > sur. ... Sinon, il reste toujours l'option "marteau" avant de rendre le disque...
Il y a des SAV qui considèrent que de telles pratiques annulent la garantie. N'est-ce pas en contradiction avec l'une ou l'autre directives européennes ?...
-- Jean-Pierre Kuypers
Veuillez rendre les phrases dans leur con- texte avant de marteler sciemment.
In article (Dans l'article) <4d6f9954$0$20810$426a74cc@news.free.fr>,
Eric Belhomme <rico-{nntp}@ricozome.net> wrote (écrivait) :
Le Thu, 03 Mar 2011 09:02:26 +0100, Stephane Catteau a écrit :
> D'un autre côté cela soulève un problème rarement, si ce n'est jamais,
> pris en compte pour les particuliers. Lorsqu'ils renvoient la machine au
> SAV, ils le font tel quel... ce qui est loin d'être quelque chose de
> sur.
...
Sinon, il reste toujours l'option "marteau" avant de rendre le disque...
Il y a des SAV qui considèrent que de telles pratiques annulent la
garantie. N'est-ce pas en contradiction avec l'une ou l'autre
directives européennes ?...
--
Jean-Pierre Kuypers
Veuillez rendre les phrases dans leur con-
texte avant de marteler sciemment.
In article (Dans l'article) <4d6f9954$0$20810$, Eric Belhomme <rico-{nntp}@ricozome.net> wrote (écrivait) :
Le Thu, 03 Mar 2011 09:02:26 +0100, Stephane Catteau a écrit :
> D'un autre côté cela soulève un problème rarement, si ce n'est jamais, > pris en compte pour les particuliers. Lorsqu'ils renvoient la machine au > SAV, ils le font tel quel... ce qui est loin d'être quelque chose de > sur. ... Sinon, il reste toujours l'option "marteau" avant de rendre le disque...
Il y a des SAV qui considèrent que de telles pratiques annulent la garantie. N'est-ce pas en contradiction avec l'une ou l'autre directives européennes ?...
-- Jean-Pierre Kuypers
Veuillez rendre les phrases dans leur con- texte avant de marteler sciemment.
