Etant toujours en cours de test des différentes CERT français, voici une
expérience vécue avec le CERTA : j'ai fait cette nuit (vers 1h00) un
mail (signé et crypté) à l'adresse de contact du CERTA, à propos d'une
faille sur un site gouvernemental. A 10h ce matin, appel téléphonique
de leur part et demande de précisions. Et là (14h00), la faille n'est
plus présente (le script a été carrément viré) et les développeurs
ont été informés (ce script étant développé en interne et utilisé sur
plusieurs sites gouvernementaux).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
tchelaviek
Etant toujours en cours de test des différentes CERT français
Dis voir, c'est gentil de monter à l'assaut des XSS de *.fr, peut-être faute de moulins à vent dans ton coin, pardonne mon cynisme :( mais il s'agirait de ne pas déraper sur une évaluation des CERTs les uns par rapport aux autres. Si tu en classes un premier, tu dois en classer un dernier. Tu n'oseras pas attribuer de bonnet d'âne, hein?
[snip]
Donc réaction très rapide ... Chapeau bas !
OK, z'ont fait leur boulot et l'admin aussi. Les conditions étaient favorables.
-- tchelaviek
Etant toujours en cours de test des différentes CERT français
Dis voir, c'est gentil de monter à l'assaut des XSS de *.fr, peut-être
faute de moulins à vent dans ton coin, pardonne mon cynisme :(
mais il s'agirait de ne pas déraper sur une évaluation des CERTs les uns
par rapport aux autres. Si tu en classes un premier, tu dois en classer
un dernier. Tu n'oseras pas attribuer de bonnet d'âne, hein?
[snip]
Donc réaction très rapide ...
Chapeau bas !
OK, z'ont fait leur boulot et l'admin aussi. Les conditions étaient
favorables.
Etant toujours en cours de test des différentes CERT français
Dis voir, c'est gentil de monter à l'assaut des XSS de *.fr, peut-être faute de moulins à vent dans ton coin, pardonne mon cynisme :( mais il s'agirait de ne pas déraper sur une évaluation des CERTs les uns par rapport aux autres. Si tu en classes un premier, tu dois en classer un dernier. Tu n'oseras pas attribuer de bonnet d'âne, hein?
[snip]
Donc réaction très rapide ... Chapeau bas !
OK, z'ont fait leur boulot et l'admin aussi. Les conditions étaient favorables.
-- tchelaviek
Roland Garcia
Donc réaction très rapide ... Chapeau bas !
OK, z'ont fait leur boulot et l'admin aussi. Les conditions étaient favorables.
Dans les deux cas, un privé très récalcitrant puis une administration, Nicob ne pouvait visiblement pas s'en sortir tout seul et en aucun cas dans ces temps records.
CQFD
Roland Garcia
Donc réaction très rapide ...
Chapeau bas !
OK, z'ont fait leur boulot et l'admin aussi. Les conditions étaient
favorables.
Dans les deux cas, un privé très récalcitrant puis une administration,
Nicob ne pouvait visiblement pas s'en sortir tout seul et en aucun cas
dans ces temps records.
OK, z'ont fait leur boulot et l'admin aussi. Les conditions étaient favorables.
Dans les deux cas, un privé très récalcitrant puis une administration, Nicob ne pouvait visiblement pas s'en sortir tout seul et en aucun cas dans ces temps records.
CQFD
Roland Garcia
Roland Garcia
Hello !
Etant toujours en cours de test des différentes CERT français, voici une expérience vécue avec le CERTA : j'ai fait cette nuit (vers 1h00) un mail (signé et crypté) à l'adresse de contact du CERTA, à propos d'une faille sur un site gouvernemental. A 10h ce matin, appel téléphonique de leur part et demande de précisions. Et là (14h00), la faille n'est plus présente (le script a été carrément viré) et les développeurs ont été informés (ce script étant développé en interne et utilisé sur plusieurs sites gouvernementaux).
Donc réaction très rapide ...
"alors qu'un seul coup de téléphone du CERTA résoudra définitivement le problème" http://www.google.fr/groups?selm=bno9ji%24hmv%241%40news-reader4.wanadoo.fr&oe=UTF-8&output=gplain
Si tu écoutais un peu, hein ? :-)
Roland Garcia
Hello !
Etant toujours en cours de test des différentes CERT français, voici une
expérience vécue avec le CERTA : j'ai fait cette nuit (vers 1h00) un
mail (signé et crypté) à l'adresse de contact du CERTA, à propos d'une
faille sur un site gouvernemental. A 10h ce matin, appel téléphonique
de leur part et demande de précisions. Et là (14h00), la faille n'est
plus présente (le script a été carrément viré) et les développeurs
ont été informés (ce script étant développé en interne et utilisé sur
plusieurs sites gouvernementaux).
Donc réaction très rapide ...
"alors qu'un seul coup de téléphone du CERTA résoudra définitivement le
problème"
http://www.google.fr/groups?selm=bno9ji%24hmv%241%40news-reader4.wanadoo.fr&oe=UTF-8&output=gplain
Etant toujours en cours de test des différentes CERT français, voici une expérience vécue avec le CERTA : j'ai fait cette nuit (vers 1h00) un mail (signé et crypté) à l'adresse de contact du CERTA, à propos d'une faille sur un site gouvernemental. A 10h ce matin, appel téléphonique de leur part et demande de précisions. Et là (14h00), la faille n'est plus présente (le script a été carrément viré) et les développeurs ont été informés (ce script étant développé en interne et utilisé sur plusieurs sites gouvernementaux).
Donc réaction très rapide ...
"alors qu'un seul coup de téléphone du CERTA résoudra définitivement le problème" http://www.google.fr/groups?selm=bno9ji%24hmv%241%40news-reader4.wanadoo.fr&oe=UTF-8&output=gplain
Si tu écoutais un peu, hein ? :-)
Roland Garcia
Eric Razny
"Roland Garcia" a écrit dans le message de news:bpfvp1$bn2$
Etant toujours en cours de test des différentes CERT français, voici une expérience vécue avec le CERTA : j'ai fait cette nuit (vers 1h00) un mail (signé et crypté) à l'adresse de contact du CERTA, à propos d'une faille sur un site gouvernemental. A 10h ce matin, appel téléphonique de leur part et demande de précisions. Et là (14h00), la faille n'est plus présente (le script a été carrément viré) et les développeurs ont été informés (ce script étant développé en interne et utilisé sur plusieurs sites gouvernementaux). Donc réaction très rapide ...
"alors qu'un seul coup de téléphone du CERTA résoudra définitivement le problème"
De plus, même si c'était le cas et suivant la personne que tu as au téléphone, tu risque de recommencer l'explication. Ou alors le téléphone arabe risque de déformer un peu tes propos quand la conversation aura été retransmise à la personne apte à agir.
Un email a ceci de pratique qu'il peut être transmis sans déformation et autant de fois que nécessaire... Et quand ce sont eux qui t'appelent tu as déjà la personne chargée du dossier au bout du fil. Un email prend certe du temps à écrire mais comme généralement on a la faille sous le nez quelques cut&paste font l'affaire et c'est (assez) vite expédié.
Eric.
"Roland Garcia" <roland-garcia@wanadoo.fr> a écrit dans le message de
news:bpfvp1$bn2$1@news-reader4.wanadoo.fr...
Etant toujours en cours de test des différentes CERT français, voici une
expérience vécue avec le CERTA : j'ai fait cette nuit (vers 1h00) un
mail (signé et crypté) à l'adresse de contact du CERTA, à propos d'une
faille sur un site gouvernemental. A 10h ce matin, appel téléphonique
de leur part et demande de précisions. Et là (14h00), la faille n'est
plus présente (le script a été carrément viré) et les développeurs
ont été informés (ce script étant développé en interne et utilisé sur
plusieurs sites gouvernementaux).
Donc réaction très rapide ...
"alors qu'un seul coup de téléphone du CERTA résoudra définitivement le
problème"
De plus, même si c'était le cas et suivant la personne que tu as au
téléphone, tu risque de recommencer l'explication. Ou alors le téléphone
arabe risque de déformer un peu tes propos quand la conversation aura été
retransmise à la personne apte à agir.
Un email a ceci de pratique qu'il peut être transmis sans déformation et
autant de fois que nécessaire...
Et quand ce sont eux qui t'appelent tu as déjà la personne chargée du
dossier au bout du fil. Un email prend certe du temps à écrire mais comme
généralement on a la faille sous le nez quelques cut&paste font l'affaire et
c'est (assez) vite expédié.
"Roland Garcia" a écrit dans le message de news:bpfvp1$bn2$
Etant toujours en cours de test des différentes CERT français, voici une expérience vécue avec le CERTA : j'ai fait cette nuit (vers 1h00) un mail (signé et crypté) à l'adresse de contact du CERTA, à propos d'une faille sur un site gouvernemental. A 10h ce matin, appel téléphonique de leur part et demande de précisions. Et là (14h00), la faille n'est plus présente (le script a été carrément viré) et les développeurs ont été informés (ce script étant développé en interne et utilisé sur plusieurs sites gouvernementaux). Donc réaction très rapide ...
"alors qu'un seul coup de téléphone du CERTA résoudra définitivement le problème"
De plus, même si c'était le cas et suivant la personne que tu as au téléphone, tu risque de recommencer l'explication. Ou alors le téléphone arabe risque de déformer un peu tes propos quand la conversation aura été retransmise à la personne apte à agir.
Un email a ceci de pratique qu'il peut être transmis sans déformation et autant de fois que nécessaire... Et quand ce sont eux qui t'appelent tu as déjà la personne chargée du dossier au bout du fil. Un email prend certe du temps à écrire mais comme généralement on a la faille sous le nez quelques cut&paste font l'affaire et c'est (assez) vite expédié.
Eric.
Roland Garcia
"Roland Garcia" a écrit dans le message de
"alors qu'un seul coup de téléphone du CERTA résoudra définitivement le problème"
De plus, même si c'était le cas et suivant la personne que tu as au téléphone, tu risque de recommencer l'explication. Ou alors le téléphone arabe risque de déformer un peu tes propos quand la conversation aura été retransmise à la personne apte à agir.
Un email a ceci de pratique qu'il peut être transmis sans déformation et autant de fois que nécessaire... Et quand ce sont eux qui t'appelent tu as déjà la personne chargée du dossier au bout du fil. Un email prend certe du temps à écrire mais comme généralement on a la faille sous le nez quelques cut&paste font l'affaire et c'est (assez) vite expédié.
Ils doivent évidemment être contactés par email explicatif et un motif sérieux.
Dans le cas exposé par Nicob où apparemment il a été rapidement estimé que ce script méritait d'être viré avant analyse détaillée, un coup de fil du CERTA à l'admin concerné suffit (en principe) puisque l'administration suit (en principe) les ordres de la hiérarchie.
Qu'une administration suive directement les conseils d'un particulier (Nicob) me paraît plus difficile....
Roland Garcia
"Roland Garcia" <roland-garcia@wanadoo.fr> a écrit dans le message de
"alors qu'un seul coup de téléphone du CERTA résoudra définitivement le
problème"
De plus, même si c'était le cas et suivant la personne que tu as au
téléphone, tu risque de recommencer l'explication. Ou alors le téléphone
arabe risque de déformer un peu tes propos quand la conversation aura été
retransmise à la personne apte à agir.
Un email a ceci de pratique qu'il peut être transmis sans déformation et
autant de fois que nécessaire...
Et quand ce sont eux qui t'appelent tu as déjà la personne chargée du
dossier au bout du fil. Un email prend certe du temps à écrire mais comme
généralement on a la faille sous le nez quelques cut&paste font l'affaire et
c'est (assez) vite expédié.
Ils doivent évidemment être contactés par email explicatif et un motif
sérieux.
Dans le cas exposé par Nicob où apparemment il a été rapidement estimé
que ce script méritait d'être viré avant analyse détaillée, un coup de
fil du CERTA à l'admin concerné suffit (en principe) puisque
l'administration suit (en principe) les ordres de la hiérarchie.
Qu'une administration suive directement les conseils d'un particulier
(Nicob) me paraît plus difficile....
De plus, même si c'était le cas et suivant la personne que tu as au téléphone, tu risque de recommencer l'explication. Ou alors le téléphone arabe risque de déformer un peu tes propos quand la conversation aura été retransmise à la personne apte à agir.
Un email a ceci de pratique qu'il peut être transmis sans déformation et autant de fois que nécessaire... Et quand ce sont eux qui t'appelent tu as déjà la personne chargée du dossier au bout du fil. Un email prend certe du temps à écrire mais comme généralement on a la faille sous le nez quelques cut&paste font l'affaire et c'est (assez) vite expédié.
Ils doivent évidemment être contactés par email explicatif et un motif sérieux.
Dans le cas exposé par Nicob où apparemment il a été rapidement estimé que ce script méritait d'être viré avant analyse détaillée, un coup de fil du CERTA à l'admin concerné suffit (en principe) puisque l'administration suit (en principe) les ordres de la hiérarchie.
Qu'une administration suive directement les conseils d'un particulier (Nicob) me paraît plus difficile....
Roland Garcia
Nicob
On Thu, 20 Nov 2003 22:35:46 +0000, Roland Garcia wrote:
Qu'une administration suive directement les conseils d'un particulier (Nicob) me paraît plus difficile....
Sans compter qu'un admin lambda a plus de chances de se faire des films sur les raisons de mon intervention qu'un gars du CERTA habitué à ce type de retour ...
Donc, c'est apparemment plus rapide, et moins dangereux pour celui qui remonte la faille, d'utiliser ce type d'intermédiaires.
Nicob
On Thu, 20 Nov 2003 22:35:46 +0000, Roland Garcia wrote:
Qu'une administration suive directement les conseils d'un particulier
(Nicob) me paraît plus difficile....
Sans compter qu'un admin lambda a plus de chances de se faire des films
sur les raisons de mon intervention qu'un gars du CERTA habitué à ce
type de retour ...
Donc, c'est apparemment plus rapide, et moins dangereux pour celui qui
remonte la faille, d'utiliser ce type d'intermédiaires.
On Thu, 20 Nov 2003 22:35:46 +0000, Roland Garcia wrote:
Qu'une administration suive directement les conseils d'un particulier (Nicob) me paraît plus difficile....
Sans compter qu'un admin lambda a plus de chances de se faire des films sur les raisons de mon intervention qu'un gars du CERTA habitué à ce type de retour ...
Donc, c'est apparemment plus rapide, et moins dangereux pour celui qui remonte la faille, d'utiliser ce type d'intermédiaires.
