| 16-10-2008 16:37:58 | #1 | |
| okhin | Bon, je crée ce thread tout simplement parce que je me paluche pas mal de sites de sécurité en informatique assez pointu et que, je pense, que tous ces articles peuvent permettre à des MJ qui n'y connaissent rien de trouver des infos pour utiliser et rendre un poil plus crédible la matrice à SR4. Même qu'un jour j'en ferait des condensés pour le cyberespace. Donc, première salve: “Never attribute to malice that which can adequately be explained by Stupidity.” En gros, l'article explique que, non, veriSign (une des grosses boîtes de sécu en info) n'as pas été la première victime déclarée de click-jacking. Il mets en évidence le fait que nous autres, administrateur systèmes (et sécurité) sommes de gros paranoïaques, et que l'on a toujours tendance à privilégier la solution pas forcément la plus simple dans ce genre de cas: on nous en veut. Pourtant le rasoir d'Occam dit, en gros, que le cas le plus probable est souvent le plus simple. Et que, dans pas mal d'affaire un peu obscure et fumeuse, il y a souvent une maladresse non intentionnelle, et non une attaque délibérée pour faire chuter la réputation de telle ou telle boîte. Pour conclure: "Humans introduce risk, and not all mail storms are the work of the Unimailer.". L'Utilisateur EST un risque, mais pas forcément une menace. Pour l'inspi? Bah, ça peut toujours être à l'origine d'une ou deux rumeurs, voire de quelques runs de renseignements. Il n'y a qu'à voir le nombre d'article qui ont été posté sur cet incident malheureux (en plus, c'est bête, c'est l'utilisation d'un Cc: au lieu d'un Bcc: dans un mail), et la perte de réputation temporaire de Verisign (qui peut avoir des répercussions sur le cours de l'action et avoir des conséquences malheureuse hein). Il n'y a qu'à voir le Crash de 2029 hein. Echo a bêtement cru que la matrice était l'ennemi, alors que la matrice était un risque de panne. Mauvaise réaction, et vous savez tous où ça nous a mené. Ajoutez un peu de "bêtises" dans vos utilisateurs, et vous verrez des runenrs partir chasser le Dahut  Un "état" de la cybercriminalité par le patron de Kaspersky. En gros, il dit que la cyberciminalité est une industrie organisée. Mais pas organisé comme une mafia, plus comme une entreprise, avec des notions de rentabilité, d'intérêts commerciaux et autre. Il annonce quand même 100 milliards de $US volé cette année (un tiers du renflouement des banques donc). Et des nombres assez impressionnant de nombre de malware (autant en 2008 que sur la période 97-2007) Donc, c'est du tout bon pour les gangs matriciels SR4. Et pour finir Dix étapes pour construire un réseau matriciel d'entreprise Je résume et vulgarise ici, et c'est adaptable aux technologie de 207X: 1°) Etablir des équipes de sécurité de l'information. Des spiders quoi. Et oui, on commence par choisir l'équipe AVANT de choisir les outils. Comme dans tout boulot de mercenariat notez. 2°) Déterminer les périmètre d'information existants. Serveurs, logiciels, nodes, chan, boîte mails etc. Il faut les recencer et affecter à chacune un référent et/ou un gestionnaire. Quelqu'un qui s'occupera de ce périmètre, qui le connaîtra par cœur et saura identifier les problème et gérer les mises à jours. 3°) Choisissez les standards, et déterminer les normes à respecter. Et oui, on ne fait pas n'importe quoi, les lois (corpo ou nationales) en vigueur peuvent exiger certaines choses (notament au niveau de la gestion et de la sécurisation des informations personnelles), et il est toujours plus simple que tout le monde utilises les mêmes standards pour communiquer. Choisissez entre Exchange ou Postfix, entre Apache ou IIS, entre Windows, Mac ou Linux. Toutes ont des avantages et des inconvénients, mais réfléchissez-y et surtout, STICK TO THE PLAN!. Nan mais. 4°) Recensez les Menaces, les Vulnérabilités et les Risques. Les Menaces sont les cibles potentielles, les endroits qui seront, à priori, attaqués en premier ou au moins la cible des attaques. Fichiers clients, projets de R&D, etc. Les Vulnérabilités, sont les failles connues (ben oui, les autres, ont peu pas trop les recenser) et encore active. Elles ne sont pas dangereuse en elle, mais ouvre des brèches dans votre système de sécurité. Le Risque c'est la combinaison de la menace et de la vulnérabilité. C'est le fait que, apr exemple, l'utilisateur va ouvrir une pièce jointe inconnue d'un mail reçue et que, par l'intermédiaire de la vulnérabilité, le hacker pourra menacer les données. Typiquement, c'est comme cela que fonctionnent tous les malwares moderne (ou presque). Après, si vous savez où sont ces éléments, vous savez comment orienter votre sécurité. 5°) Gestion des risques. Maintenant, il va falloir prioriser les risques précédemment recensés. Selon deux axes: leur probabilité (fréquence) d'apparition, et l'impact que le risque peut avoir sur le fonctionnement de la structure. Une fois cette priorisation effectuée, il faut juste trouver une réponse adaptée à chaque risque. Par exemple, pour éviter le cas précédent, il suffit d'utiliser un autre système de messagerie, qui ne possède pas cette vulnérabilité (il en possède d'autres, mais elles ont probablement un impact moindre). 6°) Prévoyez des plans d'urgence et de remise en route. Si votre salle serveur est bombardée pendant 24h par l'ensemble des forces corpos, combien de temps vous faudra-t-il pour repartir, et comment? Planifiez tout ce qui est prévisible, gestion d'incident, documentation, mises en place de niveaux de traitements des incidents (et phénomène d'escalade). Comme des mercenaires, vos spiders doivent pouvoir gérer les 95% de situation normale qu'ils affronterons sans même réfléchir. 7°) Gérer les tierces-parties. Car le sysadmin n'est pas seul au monde, il va falloir gérer les autres. De l'éditeur de logiciel au client qui veut suivre sa commande, tout ce qui touche de manière légale au système doit être pris en compte. De quel niveau d'information a besoin cet éditeur pour faire son boulot, quelle est la criticité de cet opérateur? Formez et sensibiliser régulièrement le personnel, testez les, faites faire des audits, des tests de pénétration. 8°) Implémentez des mesures de contrôle. Ces mesures de contrôle ont pour but de réduire les risques. Ils peuvent être logiciels (gestion des droits, compte utilisateurs compartimentés), matériels (il faut une carte à puce pour utiliser un poste, il faut un badge pour rentrer dans un sas), managériales (politiques de sécurité, protocoles d'opérations) et personnels (gardes). 9°) Lancez des formations. Sensibilisez vos utilisateurs à la sécurité, expliquez leur le pourquoi du comment, ils ne sont pas nécessairement plus stupides que d'autres et, de toutes façon, c'est eux qui seront le plus souvent confrontés aux mesures de sécurités. Mais formez aussi votre équipe de spider 10°) lancez des audits internes. Pour vérifiez que votre système construit avec amour remplit effectivement ses fonctions. Ca peut paraître un poil théorique, mais dans un monde où tout tourne autour de l'info, ce genre de guide est plus ou moins appliqués partout, et conditionne donc fortement la gestion de l'information à ShadowRun. Les systèmes ont de grandes chances d'êtres uniformes, et les spiders connaissent tous ou presque le terrain (homeground de série). Les utilisateurs deviennent de plus en plus acteurs de la sécurité, surtout à une époque ou le corporatisme (à défaut de nationalisme) est quelque chose d'encouragé. Et tout ce que vous appliquez sur le terrain (avec des mercenaires par exemple) est applicables dans la matrice. Bon, j'espère que vous trouverez des réponses à quelques questions, je vais essayer de tenir une revue de presse. SI vous avez des infos (ou que vous en voulez), allez-y balancez Okhin | |
| 21-10-2008 11:37:57 | #2 | |
| okhin | Bien, une "petite" news en passant, chez nos amis anglais (les rois de la vidéosurveillance qui ont même placés des micros pour détecter les cris et éclats de voix). Donc, l'article original est ici. En gros, le gouvernement anglais veut, pour lutter contre le terrorisme, mettre fin au système des téléphones ]pay-as-you-go, des téléphones genre le Bic, récemment arrivé ici, que tu achètes en cash sans pièces d'identité et qui, tous les runners le savent, permettent donc de conserver un anonymat relatif. Il faut quand même savoir, que ces téléphones représentent 71% des ventes de Vodafone (un des gros opérateurs UK donc), et qu'il y en aurait en circulation 40 millions de téléphone prépayés sur un marché de 72 millions de téléphone. Oui, ça fait beaucoup. Donc, pour contrer ce phénomène et pour pouvoir espionner le terroriste qui sommeille en chaque londonien, le gouvernement est donc en train de préparer une loi et un financement qui va avec (1 milliard de £) pour créer une base de donnée Big Brother et qui imposera à chaque acheteur de téléphone de fournir un papier d'identité officiel (passeport, CI, etc). Bon, je vous "rassure", ce n'est que pour combler une faille dans leur base d'espionnage téléphones/web déjà mise en place. Alors, que pensez-vous que vont faire les gens qui voudront quand même acheter ces téléphones prépayés pour conserver leur anonymat? Je voit grosso modo trois options. la première, qui est une réponse technologique, va consister à développer la VoIP. On sort du circuit classique de la communication GSM, mais cela nécessite une couverture WiFi décente. L'avantage c'ets qu'onn a même plus besoin ded télpéhone, un netbook/PDA peut suffire. Sinon, c'est le développement des faux papiers de qualité faible, suffisante pour blouser rapidement el commerçant qui vends le téléphone (de toutes façon, il est payé en cash). Enfin, c'est la création d'un marché parallèle avec des téléphones tombés du camion, un peu plus cher, mais pas déclarés. A moins qu'ils ne limitent l'usage du téléphone avec l'enregistrement de l'ID dans la base. De toutes façon, avec le vol de plus en plus important d'identités (voir cet article sur Rue89.com pour un exemple concret en France, ou le vol de l'identité de notre bien aimé président bienfaiteur Sarkosy), n'importe qui pourra avoir un passeport au nom de n'importe qui d'autre et avoir ce téléphone. Mais n'empêche, c'est dommage que le BG de SR4 ne prenne pas en compte le 11/09/01, ce genre de dérive peut avoir un impact trés fort sur le quotidien des runners je pense. Okhin | |
| 21-10-2008 12:09:53 | #3 | |
| Blade | Puisque cybercriminalité et social engineering vont souvent de pair, je me permets de vous proposer cet article plutôt intéressant sur le sujet trouvé par l'intermédiaire de Bruce Schneier dont je vous conseille l'excellent blog sur la sécurité. | |
| 21-10-2008 13:46:45 | #4 | |
| Blade | Et on repart dans l'informatique avec la lecture de clavier à distance, y compris à travers les murs. Raison de plus pour utiliser une IND. | |
| 21-10-2008 14:05:08 | #5 | |
| okhin | Ah oui quand même. Autant le coup de la "rémanence magnétique" sur les disques c'était du flan [voir le Great Zero Challenge] car inutilisable de manière efficace, là va falloir que j'embarque une cage de faraday dans mes claviers Okhin | |
| 21-10-2008 14:18:05 | #6 | |
| Robin des Ombres | okhin a écrit: Ah oui quand même. Autant le coup de la "rémanence magnétique" sur les disques c'était du flan [voir le Great Zero Challenge] car inutilisable de manière efficace, là va falloir que j'embarque une cage de faraday dans mes claviers Okhin J'ai dicusté l'autre jour avec un pote chercheur en crypto du "great zero challenge", et il m'a donné un argument très simple : personne n'a relevé le challenge parce que le gain (500$) est ridicule face aux moyens nécessaire pour effectuer l'opération. Je ne connais pas le détail de la procédure, mais si ça utilise des techniques similaires à celles utilisées dans le domaine de l'imagerie médicale (Imagerie par Résonance Magnétique), il s'agit effectivement d'un procédé qui coûte des masses de pognon. | |
| 21-10-2008 14:49:51 | #7 | |
| M. Jonson | http://www.droit-ntic.com/rss/aff_ap.php?Adresse=http://www.theinquirer.fr/2008/10/20/microsoft-possede-le-brevet-de-censure-de-la-parole.html&Num_rev=16046 hecker la platefrome comemrciale d'une corpo et introduire quelques mots clés interdits... | |
| 21-10-2008 14:54:54 | #8 | |
| okhin | Robin des Ombres a écrit: okhin a écrit: Ah oui quand même. Autant le coup de la "rémanence magnétique" sur les disques c'était du flan [voir le Great Zero Challenge] car inutilisable de manière efficace, là va falloir que j'embarque une cage de faraday dans mes claviers Okhin J'ai dicusté l'autre jour avec un pote chercheur en crypto du "great zero challenge", et il m'a donné un argument très simple : personne n'a relevé le challenge parce que le gain (500$) est ridicule face aux moyens nécessaire pour effectuer l'opération. Je ne connais pas le détail de la procédure, mais si ça utilise des techniques similaires à celles utilisées dans le domaine de l'imagerie médicale (Imagerie par Résonance Magnétique), il s'agit effectivement d'un procédé qui coûte des masses de pognon. Oui, dons, trop cher par rapport au gain au final, donc inutilisé en pratique. Sauf dans le cas d'affaires assez importante, je penses à des enquêtes financières avec des transactions monstrueuses ou des infos valant réellement énormément d'argent. Je pense que, même pour 20000$ ce n'est pas forcément rentable. Et en plus, c'est un processus long (enfin, je suppose, quand on voit le temps que ca prend à blanchir un disque de 500Go de nos jours....), donc il y a des chances que l'info ne soit plus valable. Bref, expérimentalement, ça fonctionne. Ce n'est juste que très rarement utilisable en pratique (et puis bon, pareil, les gens qui peuvent le faire ne sont pas nombreux et donc la filière est simple à remonter). Okhin - le temps c'est de l'argent... | |
| 22-10-2008 15:35:43 | #9 | |
| okhin | Alors, rapidement, un point intéressant sur l'artcile sur la crypto quantique posté par Blade, c'est que la crypto ne protège qu'une partie de la chaîne de sécurité et que, actuellement, le maillon sur lequel il agît est déjà un des maillons les plus forts. En gros, pas la peine de trouver de meilleur protocole de crypto, ce n'est pas le point faible de la chaîne de communication. (car, comme toutes les chaînes, c'est le maillon faible qui permet de péter toute la chaîne). Bon, sinon, sur le même blog, on a un article "marrant" sur la la peur du terrorisme. En gros, les autorités US commencent à ne plus sortir à tout bout de champ le drapeau terroriste pour classer des incidents de vandalisme. Cela dit, dans ce même article, ce genre de passage me fait assez peur quand à l'avenir des londoniens: Transport Secretary Geoff Hoon has said the government is prepared to go "quite a long way" with civil liberties to "stop terrorists killing people". He was responding to criticism of plans for a database of mobile and web records, saying it was needed because terrorists used such communications. By not monitoring this traffic, it would be "giving a licence to terrorists to kill people", he said. Sans parler des gens qui veulent empêcher les passagers des trains de voir les rails ou la signalisation Okhin | |
| 22-10-2008 17:23:51 | #10 | |
| okhin | Bien, un truc intéressant ici. Le Nebraska, et d'autres états à suivre, ont votés une loi locale pour imposer un chiffrement minimal des informations personnelles récupérées sur le net. C'est la deuxième loi de ce genre, la première étant une loi de notification (en gros, il y avait une obligation de signaler à l'utilisateur que ses données avaient été volées) et qui était inefficace (à peine 2% de réduction des vols d'ID). Une avancée donc qui pourra avoir plusieurs conséquences, interessantes. Les fournisseurs de services internet pourraient, si ils sont flemmard, quitter le Nebraska, mais, à priori, ce genre de loi peu s'étendre au niveau fédéral assez rapidement, ce qui rend les solutions de ce genre pas, ou peu, viable. Donc, la sécurité des informations récoltées par les FSI (Fournisseurs de Service Internet) va être augmentée. Déjà, les boîtes qui font de la crypto vont s'en mettre plein les poches, ensuite les hackers vont probablement changer d'approche. LE garnd téhorème de la sécurité de l'information c'est que l'information est une chaîne (émetteur/codage/chiffrement/transport/stockage/transport/déchiffrement/décodage/récepteur), et que la solidité d'une chaîne est égale à la solidité du maillon le plus faible. Là, on va augmenter la sécurité du stockage, et le transport, chiffrement et déchiffrement sont très fort. Reste le codage (saisie de l'information) et les émetteurs/récepteurs (des humains). Avec ce genre de loi, je pense que les hackers vont de plus en plus utiliser des memes, des keyloggers, du social engineering et autres pour délaisser les attaques de techniques brutes (du moins, dans le cadre du vol d'ID et de données). Okhin - bocollini inside | |
| 23-10-2008 12:46:09 | #11 | |
| okhin | Bien, continuons donc sur la paranoïa (et la bêtise donc) de nos chers "reporters" américains, et autres juristes cherchant à faire passer des lois liberticides. Donc, les Terroristes islamistes utiliseraient des photos pédophiles pour planquer des messages. Bien, effectivement, les "terroristes" cachent leurs messages dans des vidéos, des images, des fichiers audios. C'est ce qu'on appelle de la stéganographie, et ça existe en gros depuis Jules César (ou même avant, faudrait jeter un œil en Chine, Egypte et autre pour s'en assurer). Non, là le problème c'est de cacher quelque chose d'illégal dans quelque chose d'illégal. Vous iriez cacher 1 tonne de cocaïçne dans 2 tonnes de shit vous? Ca apraît stupide comme ça hein, et en plus ça l'est. Ben, là c'est pareil. Je pense juste que le télégraph (et d'autres personnes aux états unis) est parti du fait que des personnes qui possédaient des connexions avec les réseaux terroristes d'un côté et ayant une sexualité pervertie d'un autre se sont retrouvées sous les "feux de la rampe". Les enquêteurs (quoique) ont donc signalé une coïncidence, que le télégraph a établit en tant que fait. Tout ça parce que divers mots clef sont susceptible d'attirer l'audience. Ca n'enlève rein au fait que AlQuaïda possède des hackers de plus en plus performant et qu'ils cachent des choses dasn des photos, des vidéos, du son ou du texte, mais dans de la pédopornographie, j'ai un peu de mal à y croire là. Okhin | |
| 23-10-2008 12:53:45 | #12 | |
| Robin des Ombres | c'est génial ! il ne leur reste plus qu'à ajouter qu'ils ont des tendances d'extrême droite, et on va enfin avoir nos "dangereux terroristes pédonazis" ... | |
| 23-10-2008 13:25:06 | #13 | |
| okhin | ^^ Ah, et m$ est le plus grand hacker de Chine. Ce qui me fait doucement rigoler, c'est que les chinois (et gouvernement en tête), se plaignent d'atteintes à leur liberté faites par M$ pour consolider son produit (vérification matérielle à l'insu de l'utilisateur entre autres). Pas que j'approuve l'attitude de M$, mais je trouve qu'il y a une certaine ironie dans cette histoire moi. Okhin | |
| 23-10-2008 13:44:45 | #14 | |
| ManyNames | Robin des Ombres a écrit: c'est génial ! il ne leur reste plus qu'à ajouter qu'ils ont des tendances d'extrême droite, et on va enfin avoir nos "dangereux terroristes pédonazis" ... et en plus ils sont juifs, noirs et homosexuels. encore un coup de Mog et de la campagne SAS ça..... | |
| 23-10-2008 13:50:32 | #15 | |
| mog | C'est pas moi mais les joueurs qui font de la discrimination : Le groupe doit braquer un concessionnaire auto : Les persos blancs désignent pour cela d'office les persos noirs... C'est pas moi, c'est vous.  | |
| 23-10-2008 14:00:03 | #16 | |
| Blade | Remarque, ça se comprend... ... Les blancs savent pas braquer. | |
| 23-10-2008 14:02:23 | #17 | |
| ManyNames | En attendant, braquer, c'était l'idée des noirs. Na. | |
| 23-10-2008 14:15:02 | #18 | |
| M. Jonson | nos chers "reporters" américains, et autres juristes cherchant à faire passer des lois liberticides. je proteste énergiquement. et d'abord, les lois, c'est les députés et sénateurs qui les votent, donc les représentants démocratiquement élus... non mais... | |
| 23-10-2008 14:25:34 | #19 | |
| Kyomi | mog a écrit: C'est pas moi mais les joueurs qui font de la discrimination : Le groupe doit braquer un concessionnaire auto : Les persos blancs désignent pour cela d'office les persos noirs... C'est pas moi, c'est vous. Par contre ça leur pose un problème moral de faire passer une suédoise pour une allemande néo-nazie afin de débusquer le grand méchant. Ces runners, j'vous jure... z'ont une morale bizarre. | |
| 23-10-2008 14:43:43 | #20 | |
| Blade | Bon, on va peut-être revenir au sujet principal du sujet. | |
| 23-10-2008 14:45:59 | #21 | |
| okhin | @Jonson: Bah, aux états unis aussi ils ont députés et sénateurs pour voter les lois? Je demande hein, j'ai jamais rien pigé à leur système étrange (déjà que, pour le vote, c'est fun*) @Kyomi: Oui, z"ont vraiment une morale bizarre hein. Faire passer une suédoise pour une néo-nazie... Elle est suédoise, elle est déjà néo-nazie de naissance, pas besoin de "la faire passer pour" Okhin * et histoire de pas être complètement inutile: Hack the vote Un petit article qui montre quelques "préoccupations" des autoritsé chargées des votes aux états unis, avec les problèmes que peuvent générer les attaques et les hacking des sites censés informer les gens sur les modalités des scrutins. Plusieurs mode opératoire: Faire courir des runners, par téléphone ou par social networking du genre: "Si vous avez perdus la propriété de votre maison, vous avez été automatiquement radiés", en bidouillant les pages d'acceuil des sites du comté (et non de La Comté) local qui gère les élections ("Bon, les bureaux de votes seront ouvert de telle heure à telle heure (heure fausse bien entendues)) ou carréemnt, en les attaquants à grand coup de DoS et de DDoS. Le but? Faire en sorte qu'une certaine catégorie d'électeur, plus ou moins acquis à la cause de tel ou tel candidat, ne puisse pas voter car mal informés. Une bonne petite idée de scénarios et de motivation de Shadowrun en perspective. Okhin | |
| 23-10-2008 15:47:52 | #22 | |
| okhin | Bon, je remercierait jamais assez Blade pour ce blog sur la sécurité. Mais ce mec (pas Blade, le gars du blog) est génial. Il a réussi à prendre l'avion dans un aéroport américain avec une fausse carte d'embarquement. Un test de pénétration donc, et réussi, et ce en dépit des nombreuses mesures mises en place pour traquer le méchant terroriste barbu (ou, comme le dit le mec interviewer, le "Jame's Bond Terrorist"). Son Pen test à engendré des réaction du secrétaire je sait plus trop qui, et il commente donc la réponse dans son blog. Alors, on passe sur le coup des "dizaines de passager possiblement liés à des terroristes détectés chaque semaine" qui ne sont jamais arrêté et qui ne laisse aucune trace dans la presse ou les médias (alors qu'il y aurait une raison de se gargariser de l'exploit), ni sur les listes qui contiennent, en gros 15000 personnes à arrété (faites le calcul. Combien de passager prennent l'avion chaque jour sur le sol US? Et ils en trouvent plusieurs dizaines par jour qui sont sur ces deux listes de 20000 personnes en tout? Non, le plus fun c'est la conclusion de l'article: "Schneier" a écrit: And if all this focus on airports, even assuming it starts working, shifts the terrorists to other targets, we haven't gotten a whole lot of security for our money. Okhin - ca ferait une belle signature ça | |
| 30-10-2008 15:29:35 | #23 | |
| okhin | Bien, je suis tombé sur ça. un document du renseignement US qui dit que les terroristes d'Al Quaïda utilisent les fonctions avancées d'un téléphone (caméra, GPS) ou du web 2.0 (Twitter notamment) pour se synchroniser dans leurs attaques. Ce qui est intéressant c'est de voir que, visiblement, ils sont "étonnés" que les méchants utilisent les technologies récentes et divers moyens de contre mesure. Ce qui est aberrant, c'est de supposer que les terroristes n'utiliseraient pas tous les moyens de communications à leur portée pour se synchroniser. Ce qui est dangereux, c'est que ce genre de rapport peut amener des juristes US paranoïaques à vouloir contrôler et sécuriser le net (vouloir hein, 'jai jamais dit que c'était faisable, mais la seule volonté de vouloir contrôler tous les moyens de surveillance m'inquiète et m'énerve au plus haut point). Okhin - Ya quelques noms de groupes islamistes assez rigolo dasn le document | |
| 14-11-2008 11:28:04 | #24 | |
| Blade | Un gros réseau de SPAM est tombé... Il devrait revenir d'ici une semaine. En tout cas l'article contient des infos intéressantes sur le fonctionnement de ces réseaux. | |
| 14-11-2008 12:08:14 | #25 | |
| M. Jonson | Ce qui est dangereux, c'est que ce genre de rapport peut amener des juristes US paranoïaques à vouloir contrôler et sécuriser le net (vouloir hein, 'jai jamais dit que c'était faisable, mais la seule volonté de vouloir contrôler tous les moyens de surveillance m'inquiète et m'énerve au plus haut point). Mais ARRETEZ avec les juristes. c'est pas eux qui font les lois (elles seraient moins nombreuses et peut etre mieux rédigées...). C'est les élus....-sénateur US etc...- c'est comme dire que les informaiciens font les spams: c'est plus du ressort d'un créa marketing... | |
| 14-11-2008 14:18:18 | #26 | |
| okhin | Hop, suite à la discussion dans le fil d'info, j'ai recherché dasn mes liens, et j'ai trouvé ça: http://www.schneier.com/blog/archives/2008/11/the_economics_o.html Donc, en gros, le spam ne coute pas grand chose et, même si il touche une personne sur dix mille, ca rapporte pas mal de thunes pour financer autre chose. Okhin | |
| 25-11-2008 11:08:26 | #27 | |
| okhin | Décidément, j'adore B.Schneier, ce mec est un dieu. Bref, il a posté sur son blog récemment un billet sur "la fin des conversations éphémères". En gros, le point clef du constat est ici: We know [that everithing we use to communicate such as IM, SMS, twiter and facebook is archived somewhere and accessible by everyone] intellectually, but we haven't truly internalized it. We type on, engrossed in conversation, forgetting we're being recorded and those recordings might come back to haunt us later. On sait depuis longtemps (les premières affaires à ce sujet commencent en 1986) que tout ce que nous disons sur le net, par SMS, par mail ou autre, est archivé et sera réutilisé plus tard à mauvais escient. Cela n'empêche personne de le faire quand même (regardez la Palin qui s'est fait hacker son compte Yahoo mail par exemple). S'ensuit le fait que les lois ont récemment renforcé les obligation d'archiver TOUT ce qui se dit (et donc, y compris ce qui se dit sous le coup de la colère par exemple) et a supprimé la tendance qu'ont les conversations a disparaître avec le temps. Okhin | |
| 25-11-2008 11:15:46 | #28 | |
| okhin | Ah, et aprceque je sait pas si c'ets un argh (parceque, malheureusement, certaiones personne vont penser que internet c'ets le mal), un dzzt (parceque, au fond, ce n'est pas forcément complètement faux) ou un youpi (parceque j'ai quand même bien ri). Mais voici la dernière trouvaille de Nadine "Mort au Web" Morano, secrétaire d'état de la famille. Ce clip sera donc diffusé sur les chaines du service public pendant les fêtes. Ca m'a fait fichtrement pensé à Celui-ci de la RIAA. Okhin | |
| 25-11-2008 13:40:56 | #29 | |
| Robin des Ombres | C'est sidérant. Quand on parle de terroristes pédonazis ... | |
| 11-12-2008 15:35:07 | #30 | |
| Blade | Pour se prémunir des vols d'ordinateur, Ericsson et Intel veulent mettre une puce GPS/SMS permettant de détecter un PC volé et de le désactiver à distance. A première vue, c'est sympa. Mais quand on y réfléchit bien, on commence à se demander si c'est pas une grosse connerie : les voleurs auront tôt fait d'apprendre à griller le système et le GPS intégré pourra servir à tracer l'utilisateur légitime... N'empêche, ça laisse imaginer ce que peuvent donner les sécurités des commlinks à Shadowrun. | |
| 18-12-2008 10:22:26 | #31 | |
| okhin | Bien, il y a toujours des failles qui me font hurler de rire. Par exemple, celle-ci, trouvée sur le site du ministère de la défense. Une bonne vielle faille XSS (Corss Site Scripting donc), liée à une erreur de syntaxe (il manque une balise fermante je suppose, ou alors les données passées en argument à une URL ne sont jamais effective... Bref, il s'agît d'une preuve de concept pour le moment, mais il pourrait être faisable assez simplement d'exécuter des scripts directement sur le serveur (en incluant, par exemple, du code php) afin de modifier une page. Quand je vous dit que je n'aime aps les développeurs, etq ue c'ets toujours par eux que le mal arrive... L'URL compplète de l'edxploit (avec la preuve en direct) est ici: http://www.defense.gouv.fr/defense_es/dicodsearch/dicodbrevesearch?LesBrevesDe=260h&limit_breve=%27/%3E%3Cscript%3Ealert(%22Hello%20The%20Rat%22);%3C/script Okhin EDIT: A priori, il y a pas mal de sites du gouvernement (.gouv.fr) qui sont impactés par ce genre de failles...., j'ai noté http://recherche.application.equipement.gouv.fr/securiteroutiere.mno et d'autres du même genre.... Okhin | |
| 18-12-2008 14:36:00 | #32 | |
| mog | okhin a écrit: Quand je vous dit que je n'aime aps les développeurs, etq ue c'ets toujours par eux que le mal arrive... Okhin Parle des mauvais développeurs, si on s'y connaît, y a plein de failles qui sont facilement évitées. | |
| 18-12-2008 14:42:19 | #33 | |
| ManyNames | mog a écrit: Parle des mauvais développeurs, si on s'y connaît, y a plein de failles qui sont facilement évitées. "- au fait, quelle est la différence entre un bon développeur et un mauvais développeur?" | |
| 18-12-2008 15:45:25 | #34 | |
| Robin des Ombres | c'est sur que c'est par les développeurs que le mal arrive. pour la bonne et simple raison que si il n'y avait que des admins systèmes et pas de devs, bah ... y aurait pas de système à administrer ! c'est un peu comme de dire "'tain j'aime pas l'atmosphère, c'est par là que transitent toutes les maladies" | |
| 02-01-2009 15:43:27 | #35 | |
| Blade | Pour le fun des geeks de la sécurité informatique : Bruce Schneier facts | |
| 09-01-2009 16:25:38 | #36 | |
| okhin | Tiens, des Drônes en vente au grand public. Un hovercraft (qui a dit dalmataina) ou un "eyeball" sont disponible par exemple. le plus fun, c'ets que Wowwee vends ça comme de sjouets  Okhin | |
| 09-01-2009 21:52:02 | #37 | |
| Hush | Et personne ne m'en a offert pour noël. C'est une honte. | |
| 15-01-2009 10:18:01 | #38 | |
| okhin | Pfou, une update, ça faisait un bail. Bon, on commence par le worm du moment: Downapdup qui a infecté plus de 2000000 de machines, principalement en Chine, en Russie et au Brésil, en exploitant une faille RPC de Windows XP et antérieurs. L'impact de ce ver est assez colossal puisque il met en évidence que la politique de M$ (de refuser la mise à jouor des clients piratés) en matières de licences pose de sérieux soucis. Ils pourront toujours patcher Windows, si les clients Chinois, Russe et Brésilien dans une moindre mesure ont des versions crackées de Windows,, ils ne peuvent pas installer les mises à jour de sécurité et restent donc vulnérable à cette faille, offrant ainsi aux bot herders une réserve monstrueuses de zombies exploitables. Le plus joli c'est qu'il est virtuellement impossible de faire fermer le botnet. Le ver génère aléatoirement une liste de 250 domaines possibles sur lequel il tente de se connecter pour récupérer son command center. Il suffit que le hacker en possède un seul, et il pourra transmettre ses ordres. Bien sûr, la liste change tous les jours, et l'algorithme de génération ne doit pas permettre de fermer une plage de domaine en particulier (pour peu que le domaine soit du genre http://[a-z]+.com, ie, composé d'une suite aléatoire de lettre, on ne peut pas faire grand chose. A noter, dans l'article, que les mecs de Symantec (donc de Security Focus), ont la possibilité de désinfecter les postes clients (en effet, il "suffit" de posséder un des domaines potentiels de C&C pour pouvoir prendre le contrôle du botnet visiblement), mais qu'ils n'en ont pas le droit. Bon, et parce que la lutte "antiterroriste" aux USA me fait toujours autant rigoler, je vous fait suivre un petit article qui essaye d'analyser quand aura lieu le "prochain" 11/09. De manière tout à fait sérieuse (et, je pense, a des vues de prises de conscience massive des autorités et des populations), lors d'une conférence à la maison blanche, un responsable en sécurité, à dit qu'il est fort probable que le prochain attenta n'aura pas lieu le 11/09, mais plus vraisemblablement le [insérer ici l'ensemble des jours de l'année]. Le rapport précise également qu'il est peu probable que le "prochain" attentat vise les tours Nord et Sud du WTC. Le rapport est annexé de 4000 date possible (dont le 34/10 ou le 04/03/04) d'attentats, et doit être assorti d'un addendum pour les années bisextiles. Voilà, j'aime beaucoup ce genre de textes Okhin Okhin | |
| 15-01-2009 10:24:38 | #39 | |
| Blade | A une époque, la politique de Microsoft était justement de proposer uniquement les mises à jour de sécurité aux clients piratés. | |
| 15-01-2009 17:31:26 | #40 | |
| murdoch | C'est pas la politique de licence qui pose problème, ce sont les mecs qui ont des versions piratées, on va pas reprocher à un codeur le fruit de son travail, pour crosoft, ça devrait être pareiL. | |
| 16-01-2009 11:02:01 | #41 | |
| okhin | Peut-être, mais quand le produit piraté n'est pas mis à jour et est à la source de botnet monstrueux (et donc d'attaque de DDoS, de ransomware, de spams massifs et autre vecteur de cybercriminalité), je pense qu'il faut se poser la question. Je ne dis pas qu'il faut que M$ donne son OS, ni qu'il faut qu'ils mettent à jour les clients piratés hein. Je n'ai pas de solutions (en fait si, GPL/BSD powaaaaaa), mais dans un cas comme celui-ci l'attitude de M$ n'est pas acceptable. Mais ils devraient se poser la question de savoir pourquoi un OS est piraté, de permettre aux utilisateurs de bonne foi (et qui ont acheté une version contrefaite par exemple, sans forcément le savoir) d'acquérir une licence pour se mettre à jour, ou d'arréter de menacer tout le monde de prisons et d'amendes et de considérer l'ensemble des gens comme des voleurs et des terroristes, permettraient trés probablement de réduire l'impact de ce genre d'attaque. Okhin | |
| 16-01-2009 11:16:07 | #42 | |
| Blade | Bon, ça date de 2005 donc ils ont peut-être changé de politique après (même si j'en doute) mais c'est bien ce que je disais : les mises à jour de sécurité critique restent dispo pour les windows piratés et contrefaits. Après, reste le problème des utilisateurs qui ne vont pas mettre leur système à jour. | |
| 16-01-2009 11:32:32 | #43 | |
| okhin | Ben, ca a changé depuis il me semble: http://www.microsoft.com/belux/fr/athome/security/update/genuine.mspx Et je cite: Accès plus rapide aux mises à jour. À partir de 2005, seuls les utilisateurs détenteurs de produits Microsoft certifiés pourront recevoir les dernières mises à jour de sécurité, les améliorations et l'assistance Microsoft. Okhin | |
| 16-01-2009 11:36:41 | #44 | |
| Blade | Je contre avec une autre citation : "la F.A.Q sur le même site" a écrit: Q : Do security updates require validation? A:Security updates are not part of WGA or OGA. You can install security updates using the Windows Automatic Updates feature or download them from the Download Center. [...] Q : Will users of non-genuine Windows be blocked from receiving security updates? A: No. Regardless of genuine status, users will not be denied access to critical security updates. Users who have not validated their computers as genuine, however, will not be able to install many updates, including Windows Defender. Microsoft strongly recommends that users of non-genuine systems correct their problem immediately. | |
| 16-01-2009 11:49:04 | #45 | |
| M. Jonson | je coinche: il y a des faille de secu dite critiques (accessibles) et des non critiques (accessibles àaux pas pirates). | |
| 16-01-2009 11:58:28 | #46 | |
| okhin | Ok, mais le Windows Update depuis une version piratée ne fonctionnes pas correctement (il me semble, ca remonte peut-être a avant 2005 hein). Ca et le fait que M$ "traque" les utilisateurs qui n'ont pas le programme "genuine" pour leur proposer une version légale a instaurer la peur chez les gens qui utilisent une version crackée, et qui donc n'ont pas le Windows Updater. A ajouter au fait qu'il est difficile de descendre les Service pack, et que certaines mises à jour de sécurité nécessite un SP particulier (il me semble), on se retrouve bloqué avec des màj certes disponibles, mais non-installable. Je concluerait en citant une référence commune: http://www.schneier.com/blog/archives/2006/06/microsoft_windo_1.html "Schneier" a écrit: The stupidity of this idea is amazing. Not just the inevitability of false positives, but the potential for a hacker to co-opt the controls. I hope this rumor ends up not being true. Although if they actually do it, the backlash could do more for non-Windows OSs than anything those OSs could do for themselves. Cela dit, que M$ est mis un killswitch ou pas n'est pas l'objet du débat. Le fait est que c'ets ce qu'ils disent, et que les utilisateurs craignent. Ils ne vont donc pas connecter Windows Update, et ne recevront donc pas les màj de sécurité, transformant donc les millions de postes piratés en zombies. Et vous savez quel est le plus funs? Ceux qui réalisent et vendent de la contrefaçon de Windows doivent, à priori, faire parti des mêmes groupes mafieux qui utilisent et vendent les botnets. C'est fantastique je trouve. Tant que M$ essayera de forcer les utilisateurs à acheter des licences en utilisant la peur comme argument (car, bien entendu, le killswitch est prétendu et n'est probablement qu'une rumeur lancée par eux), des groupes mafieux en profiteront pour vendre, à bas coup, des plateformes zombies. Il suffirait d'essayer d'éduquer, de trouver un compromis, de vouloir chercher à faire de la sécurité, de réagir de manière globale et concertée, quitte à perdre quelques millions ou milliards de dollars (par rapport à un bénéfice hein, ils ne feront pas de la perte non plus) pour pouvoir ralentir la cybercriminalité (qui coûte, au final, bien plus cher à tout le monde). Des licences utilisateurs abordables pour le commun des mortels, pas forcément liées à un poste de travail (car, théoriquement, si tu changes de PC, tu doit racheter une licence OEM hein) et des licences globales et plus chère pour les entreprises par exemple, il y aurait effectivement moins de rentrée d'argent, mais globalement le CA de la cybercriminalité serait réduit. Okhin | |
| 16-01-2009 16:23:22 | #47 | |
| murdoch | Mais putain, si on veut pas payer, il y a des OS gratuits, nom de nom! Là, c'est marrant, tous les apôtres du libre oublient que les Nux existent... Quel intérêt alors d'employer une version craquée? En plus, c'est quand même légitime de proposer aux gens qui ont des versions crack une version sous licence, ils arnaquent personne en faisant ça. ET ils font ça plutôt que d'envoyer les flics direct, ce que je trouve plutôt cool de la part d'une corpo dont le but est censé être de se faire un max de pognon, et qui gagnerait justement à jouer la terreur, ce qui n'est finalement pas le cas. Puis l'impact des botnets, au final, j'aimerais bien savoir ce que ça donne en vrais chiffres. Si des cons se font voler du temps et des données sur leur machine pour avoir voulu jouer au radin, dans une certaine mesure, c'est pas un mal. | |
| 16-01-2009 16:25:02 | #48 | |
| okhin | http://en.wikipedia.org/wiki/Botnet Pour commencer. L'article date un peu, mais je ne pense pas que les botnets ait réduit. Ensuite, tu me fait dire ce que je n'ai pas dit. Être une machine zombie ne te coute, au final, pas grand chose. Le but d'un zombie est e rester indétectable. Si il te bouffe toutes tes ressources CPU, tu t'en rends compte, donc tu le cherche et tu le détruit. Un bon ver, est très léger, et génère peu de traffic. Je n'essaye absolument pas de défendre les mecs qui ont un OS cracké hein. C'ets mal, illégal, et j'aimerai effectivement bien qu'ils aient un OS Libre et à jour. Cela reste cependant une réalité, et il n'est pas bon, pour moi, d'interdire (ou de faire croire que c'est interdit) à l'utilisateur de mettre à jour son OS. Pourquoi? Parce que ce n'est pas le mec qui a une licence cracké installé sur son PC qui sera pénalisé par le fait d'être membre d'un botnet, mais c'est l'ensemble des autres utilisateurs qui le payent. Que ce soit en recevant des spams, en voyant leur bande passante limitée par le traffic de spam, en perdant des mails importants dans le flots de spam ou en recevant de plein une attaque de DDoS et de racket numérique. Ok, les mecs qui ont un poste de travail sous Windows XP et qui n'ont pas payé de licence sont dans l'illégalité. Mais ce n'est pas une raison pour fournir au crime organisé un moyen de pression supplémentaire, en interdisant (ou en faisant croire que c'est interdit) les mises à jours de sécurité, qui pourraient ralentir/réduire la taille des botnets. Voilà pourquoi c'est une bêtise. Certes, ils pourraient mettre autre chose, mais ils ne le font pas (principalement parce que les utilisateurs ne sont pas éduqués, parcequ'ils ne savent pas qu'ils ont un OS pirate, parce que pour beaucoup de monde, un OS est un concept étrange et indissociable de "l'écran"). Okhin | |
| 16-01-2009 16:54:42 | #49 | |
| neko.miaou | Et pour les ceussent qui savent un peu, ben ils ont été élevé au windows, et tout les logiciels qu'ils ont (et particulièrement les jeux) tournent bien dessus, et le pack office, ça reste ce sur quoi tout le monde ou presque a appri le traitement de texte ou le tableur, passer à Open Oficce est un putain d'effort pour nombre de gens, j'en ai un exemple à la maison, qui refuse de bosser sous autre chose qu'Office qu'elle connait bien, même si Open Ofice fait exactement la même chose, les icones et menus sont pas les mêmes, c'est trop galère). Maintenant, entre une machine sans OS et une machine avec Windows et le pack Office, y a une différence de 100 à 200 €. Sachant (et on le sai très facilementt) que tu peut sans problème chopper un windows et un Office qui marche nickel, mais gratos, et qu'en plus tu as très peu de chances de te faire jamais emmerder par Microsoft, ben faire le pas du cracké est très facile.... | |
| 16-01-2009 16:57:03 | #50 | |
| okhin | Certes, mais le débat n'est même pas là en fait Okhin | |
| 16-01-2009 16:59:53 | #51 | |
| M. Jonson | il faut mettre au pilori les crakers qui font courir un risque à tout le monde par leur incompétence et leur radinerie. Avec du fil de fer barbelé et de la harissa | |
| 16-01-2009 17:07:16 | #52 | |
| Blade | Enfin après, même avec un OS libre et gratuit, c'est pas pour autant que l'utilisateur le maintiendra à jour, à moins que la mise à jour ne soit automatique (voire faite sans l'avertir). | |
| 16-01-2009 17:07:36 | #53 | |
| okhin | OUi, aussi. Ce qui revient à mener des enquètes de police correcteme nt menée en synchronisant les services de différents états qui refusent de collaborer entre eux, sans a priori sur les populations rencontrées et avec des connaissances avancées du fonctionnement de l'informatique en général. Ou alors une ou deux EMP bien placées pour éteindre le net.... Okhin | |
| 16-01-2009 17:52:17 | #54 | |
| neko.miaou | Mais putain, si on veut pas payer, il y a des OS gratuits, nom de nom! Certe, je réagissais juste à ça... | |
| 19-01-2009 12:16:22 | #55 | |
| okhin | J'ai trouvé un article qui me fait tiquer sur la rue89. Le mec explique, dans son article, le fonctionnement de Tor (et c'est relativement bien fait, pour ceux que ça intéresse allez le lire). Le problème n'est pas là. Le problème est qu'il présente l'anonymat sur Internet comme un danger, au motif que les terroristes s'en servent pour planifier leurs attaques. Certes, ils s'en servent, c'est indéniable. De même qu'ils se servaient de téléphone satellite il y a quelques années, de bipeur pour s'appeler de cabine téléphonique à cabines téléphoniques, d'adresse "postes restantes" ou de boîte aux lettres mortes pour communiquer. Sans parler du fait que tout cela permet l'échange de messages codés (ah, les "sanglots longs des violons de l'automne" utilisé par un groupe de terroriste pour brouiller les pistes). Donc, le monsieur, écrit en conclusion que l'anonymat sur le net est dangereux. Je ne débattrait pas la dessus plus en avant, d'autant que le ton général de l'article est flou et que vous connaissez déjà m position là-dessus. J'ajouterais juste que c'est la première fois que je voit un article de ce genre sur un média à forte diffusion français (disont que je le lit souvent ce genre de discours, de la prt de membre/représentant/experts du gouvernement US). Okhin | |
| 19-01-2009 14:48:41 | #56 | |
| burning-bones | Enfin quelqu'un qui s'attaque au vrai problème ! Je vous conseille de lire le fantastique discours de M. Lefebvre au sujet d'Internet, ca remettra vos pendules de hippies à l'heure. | |
| 19-01-2009 14:59:08 | #57 | |
| okhin | Tu parles de cette émission là? En même temps, t'attendais quoi d'un mec de l'UMP, qui a été "propulsé" à ce poste par son maître? Qu'il disent que les internautes ne sont pas tous des vils pédophiles terroriste négationniste mangeur de chat et violeur d'enfant? T'es pas crédible | |
| 19-01-2009 15:23:33 | #58 | |
| burning-bones | http://www.marianne2.fr/Frederic-Lefebvre-violeurs,-drogues,-prostitues-bienvenue-chez-les-Internautes!-_a94468.html Je pensais plus à ce discours là, tant qu"à rester dans le terrorisme et pas dans le pitoyable | |
| 19-01-2009 15:33:57 | #59 | |
| okhin | Bon, donc je lis l'article, mais le plus instructifs sont les pièces jointes en fait, les débats de l'assemblée nationale, et les amendements. Donc, le sieur Lefèbvre a proposé l'amendement suivant: http://www.assemblee-nationale.fr/13/amendements/1209/120900844.asp. Et j'apprécie particulièrement l'exposé sommaire. Autant je suis d'accord avec son premier paragraphe: Un nombre important de services de communication au public en ligne propose des contenus audiovisuels. Néanmoins, seuls les services de télévision et de radio ainsi que, grâce à la présente loi, les services de médias audiovisuels à la demande, offrent de réelles garanties en matière de protection de l’enfance et de respect de la dignité de la personne, grâce à la régulation du Conseil supérieur de l‘audiovisuel (CSA), qui dispose d’une vaste expérience dans ce domaine. Or la présence des images qui défilent sur les écrans les plus divers n’a jamais été aussi importante dans notre environnement. Ce déferlement visuel va de pair avec une grande facilité d’accès aux images alors même que certains contenus audiovisuels véhiculent un climat de violence, d’agression et banalisent la sexualité et la pornographie. Les jeunes, grands utilisateurs d’écran, sont ainsi régulièrement exposés à ces images et gèrent cette consommation d’autant plus seuls qu’ils circulent dans ce flot d’images avec beaucoup plus d’aisance que leurs parents, souvent démunis face aux nouvelles technologies. Autant je ne voit pas en quoi l'ajout d'une taxe sur tout ce qui peut diffuser de la vidéo (y compris si ce n'est qu'une activité secondaire et purement bénévole) va lutter contre ça. A la limite, ajouter un logo sur un site/video du genre de ce que fait la PEGI pour les jeux vidéos ou ce que fait déjà le CSA pour les films, permettra de donner un repère aux parents pour guider leurs enfants. Après, légiférer pour mettre une mesure, au lieu de se dire qu'il faudrait éduquer parents et jeunes sur l'utilisation d'Internet.... Bon, passons ensuite aux débats de l'assemblée nationale (j'adore lire ça, on dirait lire du Astérix). Je ne mettrais pas toute sa tirade sur l'article 22 de url=http://www.assemblee-nationale.fr/13/cri/2008-2009/20090103.asp]ce débat, mais je récupèrerait juste quelques morceaux choisit: - Internet favorise le viol des jeunes filles: "L’absence de régulation financière a provoqué des faillites. L’absence de régulation du Net provoque chaque jour des victimes ! Combien faudra-t-il de jeunes filles violées pour que les autorités réagissent ?" - M. Lefèbvre a inventé Internet: "Il y a plus de dix ans, j’ai passé quelques bouts de nuits à ses côtés dans certaines caves du 18e arrondissement – peut-être y étiez-vous aussi, monsieur Bloche ? – pour mettre en route des serveurs. Je connais donc parfaitement Internet." C'ets probablement vrai. Sauf qu'il ne s'est pas mis à jour, que l'Internet pré 1995 n'est pas le même que celui de maintenant (oui, moi aussi j'ai eu une page sur mygalle.fr). - Et mon préféré: "Par la concertation, il doit pouvoir développer une charte à laquelle les sites seraient adhérents et faire la chasse aux contenus dangereux pour les plus jeunes.". C'est quoi un contenu dangereux pour le splus jeunes? Certes, ce n'est pas un texte de loi, mais un débat, cela dit, ne pas définir la notion de danger pour du contenu, j'aime pas trop. - Je termine par le: "Il est temps, mes chers collègues, que se réunisse un G20 du Net qui décide de réguler ce mode de communication moderne envahi par toutes les mafias du monde". Il a raison. Toutes les mafias du monde envahissent internet. Mais elles envahissent à peu près tout et n'importe quoi (la mafia a une histoire plus longue que l'informatique moderne). Sauf que dans son discours, il réduit Internet à ça. Bref, même si je suis d'accord avec lui sur une grande partie des constats qui sont faits (exagérés ici, mais il s'agît là de convaincre les gens de voter pour un maendement), je ne pense pas qu'ajouter une taxe sur le net résoudra le problème. Je ne voit même pas comment. Le CSA se contentera de demander la mise en place de sigle et de système de validation d'âge (déjà existant, que le premier qui n'a jamais cliqué sur un "18 years or more" à 16 ans me jette la première souris) inutile et qui ne gêneront pas la cybercriminalité. Le mec fait du social engineering (et il n'est pas bon). Il essaye d'utiliser les moteurs émotifs classiques afin de provoquer des failles cognitives et d'obtenir ce qu'il veut. Pas mal tenté l'attaque de spoof sur l'Assemblée nationale. Heureusement que les députés ont une meilleures défenses que son attaque (toute moisie). Okhin | |
| 19-01-2009 16:19:26 | #60 | |
| M. Jonson | ben on fait on te prépare gentiment à officialiser (faut pas rever ca se fait déja) le filtrage: cf allemange, australie, chine etc.... y' ades violeurs sur internet: sauf à me prouver qu'on peut sod***er sa voisine via oui-faï je crois que les violeurs c'est dans la vraie vie. Y'avait un débat assez interssant hier sur LCP (rediffusé ?) sur la cybercriminalité et pas -trop- mal fait. | |
| 19-01-2009 16:28:56 | #61 | |
| okhin | Sinon, le dernier MISC est assez bien foutu (enfin, le dossier surtout). Ca traite de cybercriminalité au sens large (et donc, avec les opératiosn classiques des mafias: racket, prostitution et blanchiment via des casinos par exemple) et c'ets accessible pour le commun des mortels (sisi, je vous assure). En plus, ça peut être une source d'info intéressante pour SR4. Bon, ok, faut claquer ses 8€, mais c'est moins cher qu'Unwired, et probablement plus complet sur cette partie là Okhin | |
| 19-01-2009 19:08:32 | #62 | |
| Robin des Ombres | Si ca intéresse des gens, j'ai un vieil enregistrement d'un épisode de l'émission "Rendez vous avec X". Cet épisode par le "cyber-terrorisme" en général, et plus précisément d'une affaire impliquant les fondateurs du Chaos Computer Club durant les années 80 - ainsi que de la création du CCC-Fr par les services français pour se mettre à la page niveau guerre électronique. Si ca intéresse des gens, faites le moi savoir ! | |
| 19-01-2009 20:41:34 | #63 | |
| Darfeld | Ouaip, ça m'intéresse! | |
| 19-01-2009 21:49:12 | #64 | |
| Robin des Ombres | http://fourbissime.free.fr/Rendez-vous%20avec%20X%20-%20Le%20Cyberterrorisme.mp3 EDIT : je ne sais pas précisément de quand date cette émission - je peux seulement dire que c'est avant 2000, étant donné qu'elle n'apparait pas dans les archives de l'émission sur le site de france inter. | |
| 19-01-2009 21:53:32 | #65 | |
| burning-bones | Merci pour le fichier ! | |
| 19-01-2009 22:00:16 | #66 | |
| Robin des Ombres | Pour info, je suis en train de faire la transcription de cette interview, en vue de la traduire en anglais et de la refiler à des potes allemands - histoire que ca intègre la revue de presse du CCC ... Si il y a des gens motivés pour participer à cette tache ingrate ... | |
| 20-01-2009 21:12:45 | #67 | |
| Darfeld | Merci pour le fichier! On sent quand même que X à appris son texte sur l'aspect technique. L'histoire du CCC est très intéressante par contre. Pour la transcription et la trad, je ne me propose pas, je n'arrive déjà pas à gérer mes propres projet perso... | |
| 20-01-2009 22:51:38 | #68 | |
| Robin des Ombres | De fait, toutes les interview de monsieur X sont "jouées". C'est clairement un acteur qui prête sa voix pour retranscrire la véritable interview, histoire d'avoir quelque chose de plus accrocheur - et peut être aussi pour protéger l'anonymat du gars. Ce que j'ai trouvé particulièrement fascinant, c'est que le gars parle d'interception des signaux émis par le clavier, alors que l'émission date visiblement de la fin des années 90. Or, c'est un sujet qui a fait pas mal de bruit il y a moins d'un an si ma mémoire est bonne ... ce qui dénote une certaine avance ! | |
| 20-01-2009 23:21:59 | #69 | |
| Darfeld | L'écoute de clavier, ça existe depuis que le clavier existe... enfin depuis longtemps quoi. (je parle de l'écoute des signaux, pas de key-logging) Le truc c'est que comme X dit, c'est très dur de s'en protéger. Par contre, le monsieur X ne parle pas de la practicité de la chose. Un clavier, ça n'émet pas à des kilomètres. C'est une des raisons qui me font dire que X n'est pas un technicien, et qu'il récite ce qu'on lui a appris. ( Truc marrant : je n'ai pas trouvé le nom de la voix de X sur le site de france Inter.) Autre source intéressante : wikipedia à propos du CCC (si vous lisez l'allemand vous en saurez sans doute plus que moi... les articles français et anglais ne donne pas les mêmes détails) et le site officiel du CCC. (qui existe toujours, contrairement à ce qu'on pourrait croire en écoutant l'émission) Font des trucs marrant ces gars là... Je me demande du coup quel serait la viabilité d'une organisation comme celle là dans le sixième monde. | |
| 21-01-2009 09:52:58 | #70 | |
| Blade | Vous n'y êtes pas, c'est monsieur Hicks en fait. | |
| 21-01-2009 10:17:51 | #71 | |
| Robin des Ombres | Darfeld a écrit: Autre source intéressante : wikipedia à propos du CCC (si vous lisez l'allemand vous en saurez sans doute plus que moi... les articles français et anglais ne donne pas les mêmes détails) et le site officiel du CCC. (qui existe toujours, contrairement à ce qu'on pourrait croire en écoutant l'émission) Font des trucs marrant ces gars là... Je me demande du coup quel serait la viabilité d'une organisation comme celle là dans le sixième monde. J'en sais quelque chose, j'ai passé mon nouvel an à Berlin pour assister au 25e congrès du CCC | |
| 21-01-2009 10:50:05 | #72 | |
| M. Jonson | c'est là ou t'étais à la rue ??  | |
| 23-01-2009 15:14:32 | #73 | |
| Blade | Vous pensiez que vous étiez bien couverts par vos pseudos ? Pipl peut vous prouver le contraire. On peut par exemple obtenir le vrai nom d'Okhin (que je sais chatouilleux sur le sujet du lien pseudo<->vrai nom) par ce moyen. Par contre avec Blade, je me noie plutôt bien dans la masse | |
| 23-01-2009 15:23:12 | #74 | |
| mog | globalement, moi aussi ça va, y a 39 autres personnes qui ont le même pseudo. Et les autres pseudo que j'utilise se noie dans la masse... Manque d'originalité ..... je crois bien que oui | |
| 23-01-2009 15:23:27 | #75 | |
| okhin | Tiens, c'est rigolo, je vais pouvoir en profiter pour réduire mon datatrail, mais je suis tombé sur un homonyme ukrainien: http://okhin.livejournal.com/profile Bon, pour mon prénom, ça va être compliqué, c'est dans un pdf sur la cjdra (mais bon, c'est cool, je vais pouvoir reprendre cette version du jeu moi ). Et je voit pas bien comment faire pour réduire ça... Vais les mailer tiens Okhin | |
| 23-01-2009 16:11:17 | #76 | |
| Robin des Ombres | M. Jonson a écrit: c'est là ou t'étais à la rue ?? Oui, mais c'est cool, ca a géré. Gecko style, quoi. | |
| 28-01-2009 16:58:34 | #77 | |
| okhin | Vous aimez MySpace? les hackers aussi. Encore une faille de CrossSiteScripting (XSS) découverte sur myspace. Le principe est simple, les sites sociaux (comme myspace, mais aussi facebook, iGoogle, etc) vont récupérer du contenu situés sur d'autre sites (et donc non maîtrisés par eux), afin d'y inclure des supers infos de tes sites amis par exemple. Bien entendu, pas mal de garde fous ont été mis en place, notamment la désactivation des balises scripts ou la surpression des liens externes du contenu chargé, afin de ne pas véroler complètement le navigateur web de l'utilisateur (entre autres). Bon, ben là, myspace à merder, mais c'est rigolo: En gros, ils analysent le contenu à afficher, et en dégage les balises | |