La sécurité par l'obscurité

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 02/10/2011 15:33, JKB a écrit :

Et tu te retrouves dans la situation suivante (arrivée chez un
client) : ta clef oubliée sur une machine compromise !

En même temps, on peut se demander ce que fait une clef privée sur un
serveur =)

Perso chez moi, ma clef SSH reste sur une clef USB, avec une passphrase
stockée sur un token de sécurité (Yubikey). Et les 2 ne voyagent jamais
au même endroit =)
Je me tate même à passer carrément le SSH en authentification OTP via
Yubikey, mais ça impose de patcher SSH et je ne suis pas trop fan.

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOiGqxAAoJEK8zQvxDY4P9KFMIAIEQ4YKOQxaVgswVP0UrJIOz
zftEd6bUyM9CU+azOZBiShBN8HP/IpxF69GyPCP1GEEJoZgcW/umKuH9QUnT3dOB
C+o0jW03yRPofTlRwg1TQ0nZutVCrFBYs+Ovbz+0kpdswlTSdCl+WAbxM22w16+Y
5bKbK1xzq8pCyuRLok3OVqjbmu3/H/X57/FXf372duItC5u74kWz2bn6fnfnz7df
/JazIOVjqVcK/Am/qfZlMj7M71vx+tG0W6Evc+/jPj7xzoD+R1a1r+T1afLIcPKt
/rfnSriTiUeSIEBsTBQy6s3KVVPzlt8BN3CA5cpRtPxnPBImzagUYpcA7Nu0klQ =Hc
-----END PGP SIGNATURE-----

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 02/10/2011 15:32, Gloops a écrit :

Les pare-feu, y compris gratuits, ont fait de gros progrès en matière
d'installation automatique.

Est-ce qu'il n'y a rien de bon à en attendre ?

Automatique = non fiable

Comment veux-tu qu'un pare-feu soit efficace avec des règles génériques ?

Le seul pare-feu efficace est un pare-feu « tout ce qui n'est pas
autorisé explicitement est interdit ».
Alors qu'un pare-feu « utilisable par Madame Michu » est forcément «
tout ce qui n'est pas interdit explicitement est autorisé ».
Sinon Madame Michu devrait intervenir sur le pare-feu à chaque nouveau
besoin pour ouvrir les ports adéquats, et surtout comprendre la pile
TCP/IP (adresse IP, adresse MAC, workflow TCP
(http://www.ssfnet.org/Exchange/tcp/Graphics/tcpStateDiagram1.gif)…).
Pas très vendeur…

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOiGvCAAoJEK8zQvxDY4P94vMH/1GOOntr0DjqAkflm2lLeltO
/Aecjnps/dk/UD9AIcviLpROs7psbZI0tGwnsBi/LQKkW9Mdgl+IFDZSCPd8x/GQ
kiIb/ME661nR/exCxF4IJC+SRLJBZIgef21IMt7GqLR5rNZWDWD9/DvVsoBLWvVJ
ZDVL8sV5W12WiBF0dTooMQeoa3MkW8Lv7fXyf6GGVSQnUGofDPpbowSoNNconGQu
7KGcz6Rey0dV3v7NPeKtjiByaFytKPC2gohoIJi52zI/LFGZFbNExy4vPiVyNM8p
DHMYkPTVmd6MEmfh59nH8vA+JLXyLM0NfRNKjM5NaSFTmITSdbB4hxRhVoKY6nU =7WhY
-----END PGP SIGNATURE-----

Qu'est ce qu'elle a ma gueule ? wrote:

Donc pour avoir une machine sécurisée, il faut un bagage. Ce qui n'est
pas donnée à la majorité des utilisateurs de machines connectées à
internet.

A part RTFM incomprehensible, pour Mme Michu, quelle solution ?

Soit apprendre, soit demander à quelqu'un qui sait faire. Mais faire croire
à madame Michu que l'informatique est simple, iakacliker, est un mensonge.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 02/10/2011 15:35, JKB a écrit :

D'autres te feraient remarquer qu'un REJECT à la place du DROP, ce
n'est pas plus mal...

Je suis preneur d'une justification =)

Personne n'est sensé venir de là, je ne vois pas pourquoi je prendrais
la peine de répondre.
Et puis ça emmerde aussi pas mal les bots, qui partent en timeout au
lieu de se faire envoyer paître directement.

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOiGxLAAoJEK8zQvxDY4P9mlIIAJLCL0EgqZOlO3rxWsI/sYYx
RPm/Vq7pWpIsw6qK/1GxxgKzAzqMkLmISuTaFPSD7ebWjUidfnIEFIU5ePPVTB2o
K4dI/URv280rwR3dH3euXRv31G363DytoiA/AEZiYAdvAOp2z7E3oBW2+aJXHBMI
mJ3bVXJpygyJLBZDPCmD3HloV1kNh4G086A2GObR8AJXOQyo54SESdmO7r+fKhKQ
nHumXo7FGidBvFaDqFZoe4iur6GxHLX4c1DfCTUa9WPcauZt6OcJOdt+zUSKqLlB
HKgeeFtAgVOratOiym1MCwWfiTEYgfF46xE603KD5CdvHJ9F2AR3wWTMps2uros =n9Y/
-----END PGP SIGNATURE-----

Gloops wrote:

Stephane CARPENTIER a écrit, le 02/10/2011 13:57 :

Voilà, merci de ton soutien. C'est exactement le problème de la sécurité
par l'obscurité. Les gens qui font de la sécurité par l'obscurité
considèrent un attaquant professionnel pour attaquer leur système
traditionnel et prennent un guignol pour contourner l'obscurité apportée.
Alors évidemment, le conclusion va en leur faveur.

Le raisonnement qui peut venir à l'appui de ça, c'est que l'attaque
n'est pas nécessairement homogène, donc avoir quelque chose qui masque
l'entrée aux "petites frappes" n'empêche pas d'avoir quelque chose de
plus costaud derrière contre les pros.

Si le système résiste aux pros, ne t'inquiètes pas, il résistera aussi aux
petites frappes. Ce n'est pas la peine de leur rajouter un truc en plus.

Par contre, avec ta sécurité par l'obscurité, je jour où tu as un problème,
ton obscurité se retournera contre toi. Ce que tu masques aux agresseurs te
sera aussi masqué et tu ne pourras rien analyser pour pouvoir corriger. Tu
seras obligé de chercher où tu auras fait une erreur sans aide.

L'aspect dissuasif des réponses montrant qu'on a un système costaud et
que l'agresseur perd son temps à l'attaquer paraît plus convaincant.

L'agresseur qui voit un firewall configuré avec les pieds aura au contraire
plus tendance à poursuivre son attaque.

Aéris a écrit, le 02/10/2011 15:40 :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 02/10/2011 14:44, Qu'est ce qu'elle a ma gueule ? a écrit :

Bon maintenant c'est limpide.
Donc pour avoir une machine sécurisée, il faut un bagage. Ce qui n'est
pas donnée à la majorité des utilisateurs de machines c onnectées à
internet.

C'est tout le problème de l'informatique « grand public » d'aujourd'hui.
Les constructeurs n'ont aucun intérêt à vendre à Ma dame Michu un
ordinateur en le présentant comme ce qu'il est réellement : u n danger
pour Internet, qui nécessite des compétences et des connaissa nces
poussées, une maintenance hebdomadaire (voire quotidienne ou horai re
sous Windows)…
Alors ils vendent ça comme un truc accessible, « plug-and-for get ».
Autant dire qu'ils ne vendent pas des PC, mais des botnets en séri e (90%
des machines Michu sont infectées et contribuent à la crimina lité
informatique, spam, warez, scam, phising…).

Et cela ne touche pas que la vente de PC, mais aussi l'utilisation
courante :
— Michuisation des firewall / antivirus (i.e. tout ouvert par d éfaut)
sinon Madame Michu ne comprend pas « pourquoi MSN/IE/WMP ne marche pas »
— Michuisation de SSL (i.e. « sisi, le petit cadenas en ba s indique que
c'est sécurisé »), sinon Madame Michu ne comprend pas ce qu'est une
chaîne de confiance, une autorité de certification, un certif icat X.509
— Michuisation des concepts d'Internet (i.e. le « tout, to ut de suite »)
avec les réseaux sociaux (MSN, FaceBook), les systèmes centra lisés («
cloud »), véritable ramassis et vecteurs de conneries en tout genre
— …
Bref, Michuisation de l'informatique au grand complet.

Au final, Madame Michu voit l'informatique comme un bon vieux livre
qu'une fois acheter, tu n'avais qu'à le lire sans te soucier de ri en
d'autre, alors que c'est tout l'inverse et que brancher un câble R J45 à
un PC est tout sauf un acte anodin, qui implique un suivi à trè s long terme.

On peut difficilement dire le contraire.
Mais alors si on ouvre les yeux là-dessus, est-ce que la destruction de
la poste va aussi bien passer ... "comme une lettre à la poste" ?

Il y aurait sûrement moyen, si ce n'est d'arriver à une bonne
protection, au moins de limiter les dégâts.

Lire un livre qui présente Internet avant de s'y connecter semblerai t
une évidence, pourtant, certaines choses qu'on entend ou lit laissen t
penser que ce n'est pas une généralité.

A part ça, la sensibilisation de la chaîne de commercialisation pourrait
apporter un grand plus. On pourrait ainsi éviter de délivrer un e machine
avec une connexion dénommée "Utilisateur", qu'il faut être un peu averti
pour se rendre compte qu'il ne s'agit pas d'un utilisateur, mais au
contraire d'un administrateur.

Sans parler du recyclage du matériel usager.

A part RTFM incomprehensible, pour Mme Michu, quelle solution ?

L'instauration d'un permis de naviguer préalablement à tout a chat d'un
matériel se connectant à un réseau quelconque.
On l'impose bien pour les voitures qui sont un danger pour autrui,
pourquoi pas en faire de même pour les ordinateurs qui sont aussi un
danger pour leurs congénères ?

Etant donné le mal qu'on se donne pour faire acheter un ordinateur à  
Madame Michu, il semble qu'on ne s'oriente pas vers ça.

Note bien qu'aujourd'hui, il serait dangereux d'embaucher une femme de
ménage qui ne sache pas lire et écrire couramment (et faire un résumé
correct de ce qu'elle vient de lire), étant donné la sophistica tion des
produits chimiques utilisés.

Regardons voir un peu la société comme elle est. Penses-tu que je puisse
maintenir le conditionnel dans le paragraphe précédent ?

J'ai vu des épiciers s'exprimer dans un Français approximatif, autorisés
à vendre des bouteilles de produits dangereux. Lors d'une rupture de
stock d'eau distillée pour mettre dans le fer à repasser, je me suis vu
proposer du kerdane à la place.

En toute bonne foi, si j'en juge par la tête du gars quand je lui ai
expliqué ce qui se passerait si il faisait le coup à un illettr é.

Le Sun, 02 Oct 2011 15:51:07 +0200,
Aéris <aeris@imirhil.fr> écrivait :

Le 02/10/2011 15:35, JKB a écrit :

D'autres te feraient remarquer qu'un REJECT à la place du DROP, ce
n'est pas plus mal...

Je suis preneur d'une justification =)

Personne n'est sensé venir de là, je ne vois pas pourquoi je prendrais
la peine de répondre.
Et puis ça emmerde aussi pas mal les bots, qui partent en timeout au
lieu de se faire envoyer paître directement.

C'est justement le problème, ça emmerde _aussi_ tous les routeurs
intermédiaires. Lorsque c'est ton modem chez toi, ce n'est pas un
problème, mais lorsque c'est la mémoire de ton gros routeur Cisco au
centre de ton infrastructure, c'est un autre débat. Le fait
d'envoyer un REJECT à la place d'un DROP libère immédiatement la
liaison TCP et la mémoire des routeurs intermédiaires.

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr

Aéris a écrit, le 02/10/2011 15:48 :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 02/10/2011 15:32, Gloops a écrit :

Les pare-feu, y compris gratuits, ont fait de gros progrès en mat ière
d'installation automatique.

Est-ce qu'il n'y a rien de bon à en attendre ?

Automatique = non fiable

Comment veux-tu qu'un pare-feu soit efficace avec des règles gé nériques ?

Le seul pare-feu efficace est un pare-feu « tout ce qui n'est pas
autorisé explicitement est interdit ».
Alors qu'un pare-feu « utilisable par Madame Michu » est forc ément «
tout ce qui n'est pas interdit explicitement est autorisé ».
Sinon Madame Michu devrait intervenir sur le pare-feu à chaque nou veau
besoin pour ouvrir les ports adéquats, et surtout comprendre la pi le
TCP/IP (adresse IP, adresse MAC, workflow TCP
(http://www.ssfnet.org/Exchange/tcp/Graphics/tcpStateDiagram1.gif)†¦).
Pas très vendeur…

Il existe aussi un compromis entre les deux (même dans les gratuits) .

Quand tu viens d'installer ton pare-feu, il existe effectivement un
certain nombre d'applications connues qui sont autorisées par dé faut, à
part ça à chaque fois qu'une application veut passer, l'utilisa teur en
est informé et invité à donner son autorisation.

Il y a des cas où c'est un peu abscons, mais ce n'est pas le cas le plus
fréquent. En général, on voit à peu près le pour quoi de chaque message.
Et si on ne voit pas, on répond non et ensuite on voit ce qui se pas se.

C'est grâce à ça que j'ai interdit la mise à jour de Realplayer, et qu'à
en juger par des interventions sur les newsgroups quelques mois plus
tard, ça m'a évité pas mal de désagréments. Moye nnant quoi, bien
entendu, je fais attention à ce que je refile à moudre à R ealPlayer.

Je me rappelle les logiciels proposés il y a une dizaine d'anné es. Déjà
si il fallait réinstaller on ne savait pas faire. Et puis il fallait
tout définir soi-même. On y passait deux semaines, et comme on n'avait
pas les compétences pour, on se demandait toujours si on avait bien répondu.

Il y a d'ailleurs eu des applications que j'ai eu du mal à connecter à
Internet.



Oui alors c'est vrai que je ne suis pas tout-à-fait Madame Michu, et que
répondre à une quarantaine de questions après l'installati on d'un
pare-feu me paraît normal. ça m'aide à apprécier le p rogrès depuis dix ans.

Stephane CARPENTIER a écrit, le 02/10/2011 15:50 :

Qu'est ce qu'elle a ma gueule ? wrote:

Donc pour avoir une machine sécurisée, il faut un bagage. Ce qui n 'est
pas donnée à la majorité des utilisateurs de machines connecté es à
internet.

A part RTFM incomprehensible, pour Mme Michu, quelle solution ?

Soit apprendre, soit demander à quelqu'un qui sait faire. Mais faire croire
à madame Michu que l'informatique est simple, iakacliker, est un mens onge.

ça dépend de quoi on parle.
Il est vrai que pour se pointer à la boutique, rentrer chez soi avec un
portable, et dix minutes plus tard lire ses mails avec, ça marche trè s
bien (tant qu'on ne le reproche pas trop au fournisseur), mais ça
suppose de savoir ensuite paramétrer sa machine à peu près correcte ment,
notamment créer un utilisateur limité.

Pour Madame Michu, je verrais bien généraliser des sociétés de se rvice
qui lui installent et paramètrent les logiciels qu'elle a choisis, lui
expliquent ce qu'il y a à savoir, et lui fournissent ensuite tout clef
en main, au besoin en intervenant à domicile. Ensuite, tant que Madame
Michu ne cherche pas à modifier la config, il n'y a pas de raison
qu'elle ne puisse pas lire et écrire ses mails, taper sa liste de
courses en piochant dans une liste toute prête pour ne pas en oublier,
taper une lettre à une administration si elle s'exprime dans un Franç ais
suffisamment correct pour ça, et peut-être aussi faire un peu de musi que
avec sa machine.

Ce qu'il reste à définir, c'est combien ça peut coûter, si on veu t que
ça crée des emplois. Pour ce qu'on serait prêt à mettre aujourd'h ui,
vraisemblablement on n'aurait pas le niveau de service requis.

Il existe d'ailleurs des associations qui font ça bénévolement. J'i gnore
si c'est un modèle à généraliser. De toute manière pour le bé névolat il
y a toujours du grain à moudre.

Stephane CARPENTIER a écrit, le 02/10/2011 15:55 :

L'aspect dissuasif des réponses montrant qu'on a un système costau d et
que l'agresseur perd son temps à l'attaquer paraît plus convaincan t.

L'agresseur qui voit un firewall configuré avec les pieds aura au con traire
plus tendance à poursuivre son attaque.

Peut-être faut-il mettre des chaussures de sécurité pour paramétr er un
pare-feu :)