Bien sur que mon raisonnement n'est pas de dire, si j'ai envie de m'arreter où bon me semble sans tenir compte de mon environnement, je le fais.
Je voulais dire, si j'ai un doute sur la nature du croisement (priorité, stop, feu ,etc...), je préfère choisir l'option la plus sure qui est de ralentir voire de marquer l'arret quitte à pêcher par excès de prudence et à embêter légèrement la personne derrière plutot de de m'encastrer dans une bagnole... Je ne pense pas que ce comportement soit répréhensible mais je suis prêt à entendre le contraire.
Au permis, on m'a appris que quelle que soit l'intersection (prioritaire ou non), il était recommandé (obligatoire ?) de ralentir pour mieux anticiper le comportement des autres. C'est ce que je fais systématiquement et j'ai l'impression que çà en énerve pas mal...
Manifestement la personne derrière moi était du style, je connais par coeur le chemin, je suis sur que j'ai la priorité, quel est l'abruti qui ose ralentir à cet endroit.
En fait le seul endroit où il y a une vitesse minimale imposée, si je me souviens bien, c'est sur autoroute (70 ou 90 km/h je sais plus).
Moi, çà me fais bien marrer toutes ces fashion victim de la grosse bagnole... Sous pretexte qu'ils ont été assez c... pour foutre une grande quantité d'argent dans leur voiture, ils veulent avoir tous les droits alors que sur la route, je pense que ce sont les personnes les plus inciviques : 1 personne dans une grosse voiture qui consomme à mort et en plus ils veulent rouler à tombeau ouvert (je ne leur souhaite que la fermeture de ce dernier tombeau :) )
<a prendre avec des pincettes>
Pour rebondir sur l'argument que les cadres en grosses bagnoles sont inciviques, je crois avoir entendu une statistique à un moment d'une association qui disait d'arrêter de stigmatiser les jeunes dans les accidents. En effet, les jeunes quand ils se plantent, ils ne le font pas à moitié et sont en général 4 dans la voiture. La statistique montrait qu'en ramenant au nombre d'accidents ayant entrainé un ou plusieurs décès, les personnes les plus impliquées étaient les 40-50 ans...
<a prendre avec des pincettes car je n'ai jamais réussi à retrouver la source>
Moi je suis conducteur de 2CV (enfin j'étais parce que j'en ai marre de me sentir en insécurité sur la route). Mon sentiment d'insécurité provient en partie de la nature du véhicule mais surtout de la peur de me faire cartonner par les autres :
- queues de poisson alors qu'une 2CV çà freine pas comme une porsche et surtout que çà n'a pas de reprise
- forte tendance des berlines à te cramer la priorité
- sentiment de danger lorsque tu es OBLIGE de prendre l'autoroute (essaie de trouver la route de Mantes à Paris sans passer par l'autoroute, je suis peut être polio mais même avec un plan, je n'ai pas réussi) parce que tu te cales entre les camions sur la voie de droite et que les rares fois où tu veux doubler (eh oui çà arrive) tu vois les gars débouler à bien plus que 130 alors que tu es à 100 (compteur 2CV)...
Une dernière anecdote, à Paris, j'arrive à une priorité à droite, je ralentis et laisse passer une voiture. Puis la voiture derrière moi, me klaxonne, double en me serrant contre le trottoir au risque de me casser la voiture, le mec descend et veux me casser la gueule parce que j'ai eu le culot de ralentir alors que ce n'était, d'après lui, pas une priorité à droite. Heureusement un autre conducteur l'a calmé mais je trouvais çà le comble de la connerie : si j'ai envie de m'arrêter, je le fais...
Le principe d'une autorité de certification, ce n'est pas de te faire payer la génération du certificat.
Si je ne dit pas de bétise, tu es libre de tirer ton certificat (ton biclé) et de le faire signer par une autorité. C'est même mieux car si l'autorité te génère tout de A à Z, elle a ton biclé et c'est pas terrible çà...
Par contre des AC gratuites je sais pas si çà existe car c'est une responsabilité importante suivant le niveau de confiance des certificats... Verisign (pas taper, pas taper :)) fournit, il me semble, des certificats clients gratuits...
Le problème des AC c'est l'infrastructure importante qui est nécessaire. En effet, la clé privée racine de l'AC doit être protégée de manière draconienne. Il ne faut pas stocker çà sur un truc connecté à l'Internet. Mais si la notoriété devient importante, il faut se protéger contre des malversations plus importantes (vol physique de la clé, TEMPEST, etc...)
Donc tu peux trouver, je pense des AC locales gratuites mais pour un truc de plus grande envergure, y a des moyens importants à mettre en oeuvre qui malheureusement, se payent...
Et la CCI, elle a son certificat racine livré d'office avec tous les navigateurs ?
Y'a une société en France qui s'appelle(ait) Certinomis qui délivrait des certificats. Son certificat n'étant pas livré dans les navigateurs à son début, et bien tous les certificats qu'elle émettait paraissaient comme invalide chez les gens qui ne s'y connaissaient pas trop et ne savaient pas qu'il fallait télécharger le certificat racine pour l'ajouter (je passe sur le niveau de sécurité du téléchargement d'un certificat) au navigateur.
Malheureusement, en terme de PKI, les petites initiatives locales sont intéressantes car cela montre que çà marche mais c'est en général pas très "user-friendly".
Il faudrait donc une (ou mieux plusieurs) bonne grosse Autorité française mais pour cela il faut un marché (et on se mange la queue)...
En fait, c'est plutot des histoires d'héritage militaire : la crypto était surtout utilisée par ces derniers et était donc considéré comme une arme de guerre.
Donc la législation a évolué lentement (voire pas du tout) jusqu'à l'explosion d'Internet et la nécessité que tout le monde utilise de la crypto.
Pour les assouplissements, sans faire de politique, tous se sont effectués sous le gouvernement Jospin.
Pour la reglementation, qui est bien passée au JO, il y a une synthèse à l'adresse http://www.ssi.gouv.fr/fr/reglementation/regl_crypto.html(...) . Vous pouvez voir un truc intéressant : Clé de chiffrement strictement supérieure à 128 bits autorisée (avec une astérisque qui stipule à condition que lesdits matériels ou logiciels aient fait l'objet d'une autorisation de fourniture en vue d'une utilisation générale. Sinon, une demande d'autorisation d'utilisation personnelle doit être adressée à la DCSSI). Or OpenSSL et GnuPG ont fait l'objet de cette autorisation http://www.ssi.gouv.fr/fr/reglementation/liste_entr/f28.html(...)
Il a pas fallu longtemps : dès la certification accordée, la cible d'évaluation ainsi que le rapport de certification sont publics. Donc les conditions d'emploi que tu cites le sont aussi car contenues dans le rapport de certification.
Les gens qui achètent des produits certifiés (défense, secteurs sensibles) le savaient donc. Par contre, savoir ce qu'il en ferait c'est autre chose...
Il s'agissait peut être d'une statégie de MS. En effet, comme je le dis plus bas, la certification çà ne s'improvise pas. Suse a fait le choix de monter progressivement les niveaux pour moduler la difficulté.
MS avait peut être fait le choix de partir sur un niveau qu'il se fixait comme objectif mais pour faciliter le travail il a joué sur la cible d'évaluation. Comme çà il a, pour NT, un beau certificat pour un produit inutilisable. Pour Win2K la cible s'est élargie mais il y a encore pas mal de coupe je crois.
mon argumentaire n'avait rien contre le contenu même de la dépêche mais contre les remarques du style : quel organisme a eu le culot de donner une évaluation supérieure à Win2k qu'à Linux ? ( je caricature un peu).
Je voulais juste indiquer que ce n'était pas comme çà qu'on lit une certification. Je rajoute que, en dehors de problème de programmation et de celui indiqué autour des interfaces graphiques, le modèle de sécurité de windows 2000 tient à peu près la route.
Tous les annonces de failles sont souvent liées à des erreurs de prog. qui peuvent être contournés par des correctifs mais ne viennent pas remettre complètement en cause le modèle de sécurité.
Le problème de Win2k, c'est que bien configuré, cela peut être un très bon produit en terme de sécurité mais par défaut, c'est quasiment une horreur. De leur côté, les distributions linux sont souvent plus robustes de base mais la mise en place de barrières encore plus solides demande des compétences (comme sur Win2k).
Un exemple, l'authentification sur windows. Autant sur NT, le HashLM et NTLMv1 c'était tout pourri, autant win2k avec NTLMv2 et Kerberos, y'a pas grand chose à redire (sauf des bugs d'implémentation :) ). Le problème est que Win2K (pour compatibilité ascendante) accepte les authentifiants pourris par défaut et l'administrateur doit, à la main, modifier ces paramètres.
A propos de l'authentification, sur une Debian, qd vous passez en stockage des password MD5, vous avez remarqué que la longueur maximale d'un mot de passe reste à 8, ce qui est un comble pour du MD5 (y a déjà un bug report où les gens disent qu'il faut le changer à la main mais aucun avertissement visible n'indique cette astuce).
Je ne suis en aucun cas un partisan de microsoft et l'avantage principal que je vois au libre par rapport au propriétaire pour la sécurité c'est une plus forte réactivité (microsoft améliore sensiblement son image de ce côté mais pas d'autres éditeurs) et surtout la disponibilité du code qui n'est pas en soit une garantie contre la présence de failles. Cependant, je pense (supputation), que les projets libres (les plus critiques, pas ceux fait sur un coin de table) ont sans doute une meilleur qualité dans l'écriture du code en terme de rigueur (on code moins avec les pieds). En effet, si qqun n'est pas satisfait d'une implémentation, il peut proposer une alternative...
Par contre c'est clair que tous les marketeux passent sous silence ces subtilités.
Les communiqués de presse et les publicités des sites attirent toujours le chaland en signalant que le produit a été certificié. Le petit mensonge par omission est le fait que le produit est rarement certifié dans sa globalité mais une sous-partie seulement.
Par exemple, je dit peut être des conneries n'ayant pas regarder les cibles d'évaluation de Win2k ou de Suse, mais vous pouvez imaginer que Windows Media Player ou Mplayer sur Suse ne font pas partie de la cible hors ces derniers peuvent avoir des buffers overflows mettant à mal le système...
Les professionnels de la sécurité ou plutot les utilisateurs avertis en sécurité (défense, systèmes sensibles), sont les vrais demandeurs de produits certifiés et eux savent lire un PP, une cible d'évaluation et un rapport de certification. Les autres néophytes ne voient en général que le discours marketing qui consiste à dire je suis certifié à tel niveau (sous entendu j'écrase tous les autres) alors que le niveau n'est pas directement lié à la qualité du produit en terme de sécurité mais plutot à la finesse de l'analyse qui a été effectuée. Plus l'analyse est poussée, plus la confiance peut être grande et donc indirectement plus le produit peut être considéré comme robuste. Tout est dans la notion de considération et de confiance mais il ne s'agit pas d'une mesure brute du niveau de sécurité d'un produit...
c'est un organisme indépendant qui effectue l'évaluation.
Il y a plusieurs modes de certification (ITSEC, CC) et chaque pays à un organisme chargé de délivré des certifications (en France la DCSSI).
Le demandeur choisi un niveau de certification souhaité (EAL2+ pour Linux chez Suse par ex) et plus le niveau est élevé, plus la rigueur d'analyse des mécanismes de sécurité sera importante : c'est l'évaluation qui n'est pas réalisé par l'organisme certificateur mais par un tiers indépendant (en France , les CESTI cf http://www.ssi.gouv.fr(...)). De plus, la certification porte souvent sur une sous-partie du produit : c'est la cible d'évaluation. Cela regroupe ce qui est analysé et en regardant ce document qui est public, on peut voir que des coupes sont souvent effectuées. Ensuite dans le certificat, il y a des conditions d'emploi nécessaire au fonctionnement en mode "certifié" : par exemple Windows NT4 était certifié mais en standalone (sans réseau). Pour Win2K ce n'est plus le cas, mais tout çà pour dire que la certification en elle-même c'est bien mais il y a des détails à regarder pour évaluer la confiance que l'on peut avoir en un produit (cible et contraintes d'utilisation).
En schématisant, pour un bas niveau, une simple doc commerciale pourrait suffire et pour les niveaux élevés, il faut des preuves formelles (modèle mathématique, etc...). Pour le logiciel, les hauts niveaux sont très difficiles car on tire bcp de dépendances qu'on ne maîtrise pas (librairie C par exemple) et qu'on ne sait modéliser.
Bref, plus on monte dans les niveaux, plus on doit affiner la présentation des dispositifs de sécurité en énumérant les risques auxquelles ils peuvent être confrontés et les contre mesures mises en oeuvre. Et si tout çà est cohérent et que le produit résiste aux attaques "état de l'art", on le certifie.
Mais le certificat est valable un jour et il ne prémunit pas contre la découverte de nouvelles failles. Pour le logiciel, une analyse rigoureuse du code source peut être effectuée dans des niveaux élevés de certification. Or, Win2k n'est pas certifié à un tel niveau, donc on ne peut garantir l'absence de failles type buffer overflow par exemple. Par contre, on sait que l'authentification çà marche comme çà et que c'est robuste (syskey par exemple), pareil pour d'autres éléments de sécurité.
Le fait que Linux soit à un niveau inférieur à Win2k ne veut pas dire qu'il est moins bon. Mais la certification c'est compliqué et on ne se lance pas bille en tête dans une évaluation haut niveau (çà coûte cher). Donc Suse commence EAL2 puis il vont monter les niveaux
(cf. http://www.suse.com/en/company/press/press_releases/archive03/secur(...))
vers EAL3 et on verra après.
Au fait, ils font çà parce qu'une loi ou directive est passée aux Etats Unis qui oblige à présenter des produits certifiés pour fournir la défense ou tout les ministères (je sais plus trop bien).
Sans vouloir polémiquer, les autres avantages que je vois à l'archos :
- le disque est un disque de portable donc tout a fait interchangeable pour un disque plus important
- les nouvelles gammes (recorder, multimedia) offre beaucoup plus de formats qu'un Ipod : Divx (sur un timbre poste je l'accorde), JPEG, etc... Sur le design et l'ergonomie, ils ont sans doute un train de retard sur Apple (réputé pour sa finition) mais sur le fonctionnel, y'a pas photo...
La fonctionnalité qui tue, je trouve : on achète un petit module capable de lire Memory card et compagnie et comme çà on peut, sans l'aide d'un ordi, vider régulièrement son appareil photo numérique sur un disque dur...
Dire que le produit n'était pas fini est peu être un peu fort.
J'ai acheté un Archos Jukebox avant la naissance du projet rockbox et le produit était tout à fait fonctionnel. Par contre, c'est clair que rockbox a ajouté pas mal de fonctionnalité et d'améliorations (gestion de l'alim) mais le produit était fonctionnel et ne plantait pas à tout bout de champ.
De plus archos sort(ait) fréquemment des mises à jour de leur BIOS avec des ajouts fonctionnels ce qui est assez rare pour le faire remarquer.
Donc je dis chapeau à la société archos pour avoir sorti un produit innovant (non SDMI, stockage de tout type de fichiers) face à la coucurrence (Apple Ipod : plus cher, plus classe mais disque moins gros et limité aux seuls MP3 et Creative Jukemachin : moins bien que l'archos). Et chapeau, aux développeurs rockbox pour toutes les nouvelles fonctionnalités apportées...
Je ne suis pas juriste mais je ne crois pas que la loi interdise formellement le stockage des numéros de CB ...
Par contre il est sur que la personne (ooshop ou autre...) qui stocke ces numéros dans une base de données à une obligation de résultat sur la protection de cette information à caractère personnel :
Si tu apprends que ta CB a été volé chez X par Y, tu peux attaquer aussi bien Y pour le vol en lui-même (c'est d'ailleurs plutot X qui le fera) que X pour avoir manquer à son obligation de résultat.
Contrairement à ce que tout le monde pense, le BSA et consorts sont effectivement habilités à procéder à des inventaires de licences. Ils font assermenter et agréer leurs agents par le ministère de la Culture de manière à contrôler le respect du droit d'auteur, de la propriété intellectuelle, etc...
Par contre, aucun pouvoir de perquisition ne leur est attribué donc il est possible de leur refuser l'accès : il dresse alors un procès verbal de refus et communique éventuellement le fait au procureur de la république. Enfin de là à ce qu'une suite officielle ait lieu...
Tant qu'on est dans une utilisation personnelle ou sans besoin fort de confidentialité, le WEP sera effectivement très bien : il devient une sorte de moyen d'authentification (alors que normalement c'est de la confidentialité) car les personnes n'ayant pas la clé WEP ne pourront se connecter au réseau.
Mais dès qu'un besoin de confidentialité existe, je ne pense pas que l'on puisse faire confiance (actuellement) uniquement au WEP dont certaines implémentations sont foireuses.
Sans vouloir faire l'apologie de Microsoft, il faut reconnaitre que IPSec n'est pas trivial à configurer sous linux (installation de FreeSWAN, paramètrage, gestion des incompatibilités mineures si le réseau est hétérogène) mais sous Win2000 avec un secret prépartagé, çà peut être fait en 2mn...
Oui mais le décideur pressé qui signe, il se moque des fils (au contraire moins il y en a mieux il se porte)... Tout ce qui l'intéresse c'est d'avoir un réseau pour le meilleur prix possible. A charge des administrateurs réseaux, d'assurer la sécurité de ces choix dont ils ne sont pas responsables...
Je ne sais pas si les lenteurs de l'IETF sont plus à mettre en cause que l'appat du gain des constructeurs. Par exemple, un constructeur dont je ne me souviens plus du nom a très vite sorti un WiFi WEP mais leur implémentation du WEP avait une faiblesse sur certaines clés de chiffrement. Ces dernières pouvaient etre décryptées (j'ai bien dit "décryptées") moyennant une écoute de qq heures du réseau...
Du coup, dans la version suivante, un certain nombre de clés dites faibles ont été écartées (pas possible de les utiliser) et on ne pouvait plus alors parler de 128 bits...
Discours de puriste mais bon, on ne dit pas encryption qui est de l'anglais ni cryptage qui n'est pas français mais chiffrement...
Les dernières cartes DLINK propose du WEP 256. Je ne sais pas si c'est légal, si une déclaration a été faite à la DCSSI mais çà existe.
IPSEC peut etre une bonne solution mais (cf post plus bas), rajouter encore un stunnel par dessus le couple wep+ipsec bonjour l'overhead et les temps de chiffrement/déchiffrement pour un gain de sécurité nul.
Il y a aussi des sociétés qui veulent refaire le cablage de leurs locaux et prenant le moins cher, se rendent compte, une fois installé, qu'aucun lien filaire n'est en place mais tout est en WiFi. Et ces sociétés peuvent avoir des besoins de confidentialité.
Le certificat et la cible d'évaluation peuvent etre consulté à l'adresse : http://niap.nist.gov/cc-scheme/ValidatedProducts.html#operatingsystem
Les critères communs et ITSEC se voient adopter un peu partout à travers le monde. En France, c'est la DCSSI qui s'en occupe (http://www.ssi.gouv.fr/fr/confiance/certificats.html). Les évaluations ne sont pas en général menées par le NIAP ou la DCSSI mais par des CESTI, organismes indépendants.
A noter que Windows NT4 avait déjà fait l'objet d'une certification (http://www.cesg.gov.uk/assurance/iacs/itsec/cpl/prodres.cfm) mais la cible d'évaluation consistait, si je ne dis pas de bétise, en un NT4 server en standalone, cas qui devait se rencontrait très souvent :)
Il est vrai que le certificat n'est valable qu'à un instant t et ne garantit pas l'absence totale de vulnérabilité. Par contre, les parties du produit évaluées (définies dans la cible d'évaluation) ont fait l'objet d'une analyse de résistance des mécanismes (théorique, techniques) ainsi qu'éventuellement d'une analyse de la qualité de l'environnement de développement. En résumé approximatif, çà garantie sur le plus ou moins long terme que les mécanismes de sécurité choisis sont robustes mais çà n'exclue pas une faille (involontaire) introduite par la programmation qui ne serait pas encore découverte.
>Pourquoi une société aussi [('"sérieuse"')] fait elle appel à des jeunes ingés qui se précipitent toujours sur le côté technique, tout en écartant le côté "social engineering" qui finalement représente le plus gros risque ?
C'est paradoxal, mais en général, ce sont les clients qui ne souhaitent pas de manipulations de social engineering. De plus déontologiquement, c'est un peu limite : l'objectif reste de piéger personnellement la personne "la plus faible" afin de lui soutirer des renseignements. Cela est en général très mal perçu...
>Que penser du service de veille de sécurité proposé ? Copie des avis diffusés sur d'autres sites ? Je ne vois pas souvent une personne de chez HSC poster sur bugtrack ?!
C'est un service commercial. Leurs clients n'ont pas forcement le temps de collecter l'ensemble des avis du web, ils demandent une synthèse...
Trouver un fichier binaire ayant le meme MD5 qu'un autre relève de l'exploit mais que ce binaire crée est un sens proche de l'original, çà devient mission impossible...
Mea culpa, j'ai été un peu vite. L'utilisation de clés symétriques > 128 bits est libre si les logiciels/matériels ont fait l'objet d'une autorisation de fourniture en vue d'une utilisation générale ou une demande d'utilisation personnelle auprès de la DCSSI (ou gestion des clés par un tiers de confiance).
Le meilleur tableau synthétique de la législation actuelle est disponible à l'adresse: http://www.ssi.gouv.fr/fr/reglementation/regl_crypto.html
L'utilisation d'algorithmes de chiffrement symétrique (DES, 3DES, ...), utilisés pour la confidentialité, reste limitée à 128 bits.
Pour les algos asymétriques (RSA, ...), utilisés principalement pour l'authentification, on trouve des tailles de clés de 1024 voire 2048 bits mais qui ne sont en rien comparable à un 128 bits de DES : c'est comparer des patates et des poireaux. La liberté d'utilisation de gpg concerne ces clés asymétriques mais pour les algos symétriques, on reste à 128 bits.
De toute façon, je ne connais pas de produit fournissant un algo symétrique avec des tailles de clés supérieures à 128 bits : c'est actuellement la référence en matière de taille de clé. Donc dire que c'est un peu léger est une affirmation un peu légère :)
[^] # Re: Pour répondre à tous les commentaires au dessus
Posté par jojo2002 . En réponse au journal La France à 2 vitesses. Évalué à 1.
Bien sur que mon raisonnement n'est pas de dire, si j'ai envie de m'arreter où bon me semble sans tenir compte de mon environnement, je le fais.
Je voulais dire, si j'ai un doute sur la nature du croisement (priorité, stop, feu ,etc...), je préfère choisir l'option la plus sure qui est de ralentir voire de marquer l'arret quitte à pêcher par excès de prudence et à embêter légèrement la personne derrière plutot de de m'encastrer dans une bagnole... Je ne pense pas que ce comportement soit répréhensible mais je suis prêt à entendre le contraire.
Au permis, on m'a appris que quelle que soit l'intersection (prioritaire ou non), il était recommandé (obligatoire ?) de ralentir pour mieux anticiper le comportement des autres. C'est ce que je fais systématiquement et j'ai l'impression que çà en énerve pas mal...
Manifestement la personne derrière moi était du style, je connais par coeur le chemin, je suis sur que j'ai la priorité, quel est l'abruti qui ose ralentir à cet endroit.
[^] # Re: Pour répondre à tous les commentaires au dessus
Posté par jojo2002 . En réponse au journal La France à 2 vitesses. Évalué à 2.
Moi, çà me fais bien marrer toutes ces fashion victim de la grosse bagnole... Sous pretexte qu'ils ont été assez c... pour foutre une grande quantité d'argent dans leur voiture, ils veulent avoir tous les droits alors que sur la route, je pense que ce sont les personnes les plus inciviques : 1 personne dans une grosse voiture qui consomme à mort et en plus ils veulent rouler à tombeau ouvert (je ne leur souhaite que la fermeture de ce dernier tombeau :) )
<a prendre avec des pincettes>
Pour rebondir sur l'argument que les cadres en grosses bagnoles sont inciviques, je crois avoir entendu une statistique à un moment d'une association qui disait d'arrêter de stigmatiser les jeunes dans les accidents. En effet, les jeunes quand ils se plantent, ils ne le font pas à moitié et sont en général 4 dans la voiture. La statistique montrait qu'en ramenant au nombre d'accidents ayant entrainé un ou plusieurs décès, les personnes les plus impliquées étaient les 40-50 ans...
<a prendre avec des pincettes car je n'ai jamais réussi à retrouver la source>
Moi je suis conducteur de 2CV (enfin j'étais parce que j'en ai marre de me sentir en insécurité sur la route). Mon sentiment d'insécurité provient en partie de la nature du véhicule mais surtout de la peur de me faire cartonner par les autres :
- queues de poisson alors qu'une 2CV çà freine pas comme une porsche et surtout que çà n'a pas de reprise
- forte tendance des berlines à te cramer la priorité
- sentiment de danger lorsque tu es OBLIGE de prendre l'autoroute (essaie de trouver la route de Mantes à Paris sans passer par l'autoroute, je suis peut être polio mais même avec un plan, je n'ai pas réussi) parce que tu te cales entre les camions sur la voie de droite et que les rares fois où tu veux doubler (eh oui çà arrive) tu vois les gars débouler à bien plus que 130 alors que tu es à 100 (compteur 2CV)...
Une dernière anecdote, à Paris, j'arrive à une priorité à droite, je ralentis et laisse passer une voiture. Puis la voiture derrière moi, me klaxonne, double en me serrant contre le trottoir au risque de me casser la voiture, le mec descend et veux me casser la gueule parce que j'ai eu le culot de ralentir alors que ce n'était, d'après lui, pas une priorité à droite. Heureusement un autre conducteur l'a calmé mais je trouvais çà le comble de la connerie : si j'ai envie de m'arrêter, je le fais...
[^] # Re: Revue de Presse - Novembre 2003
Posté par jojo2002 . En réponse à la dépêche Revue de Presse - Novembre 2003. Évalué à 2.
[^] # Re: Sécurité Wifi
Posté par jojo2002 . En réponse au journal Sécurité Wifi. Évalué à 1.
Pour tous les renseignements pour sécuriser un réseau Wifi avec IPSec, le dernier MISC sorti chez tous les bons marchands de journaux est ton ami.
# Re: Autorité de CA SSL ?
Posté par jojo2002 . En réponse au journal Autorité de CA SSL ?. Évalué à 2.
Si je ne dit pas de bétise, tu es libre de tirer ton certificat (ton biclé) et de le faire signer par une autorité. C'est même mieux car si l'autorité te génère tout de A à Z, elle a ton biclé et c'est pas terrible çà...
Par contre des AC gratuites je sais pas si çà existe car c'est une responsabilité importante suivant le niveau de confiance des certificats... Verisign (pas taper, pas taper :)) fournit, il me semble, des certificats clients gratuits...
Le problème des AC c'est l'infrastructure importante qui est nécessaire. En effet, la clé privée racine de l'AC doit être protégée de manière draconienne. Il ne faut pas stocker çà sur un truc connecté à l'Internet. Mais si la notoriété devient importante, il faut se protéger contre des malversations plus importantes (vol physique de la clé, TEMPEST, etc...)
Donc tu peux trouver, je pense des AC locales gratuites mais pour un truc de plus grande envergure, y a des moyens importants à mettre en oeuvre qui malheureusement, se payent...
[^] # Re: Transférez vos noms de domaine !
Posté par jojo2002 . En réponse à la dépêche VeriSign refuse d'obtempérer. Évalué à 4.
Y'a une société en France qui s'appelle(ait) Certinomis qui délivrait des certificats. Son certificat n'étant pas livré dans les navigateurs à son début, et bien tous les certificats qu'elle émettait paraissaient comme invalide chez les gens qui ne s'y connaissaient pas trop et ne savaient pas qu'il fallait télécharger le certificat racine pour l'ajouter (je passe sur le niveau de sécurité du téléchargement d'un certificat) au navigateur.
Malheureusement, en terme de PKI, les petites initiatives locales sont intéressantes car cela montre que çà marche mais c'est en général pas très "user-friendly".
Il faudrait donc une (ou mieux plusieurs) bonne grosse Autorité française mais pour cela il faut un marché (et on se mange la queue)...
[^] # Re: La france quel beau pays
Posté par jojo2002 . En réponse au journal La france quel beau pays. Évalué à 6.
Donc la législation a évolué lentement (voire pas du tout) jusqu'à l'explosion d'Internet et la nécessité que tout le monde utilise de la crypto.
Pour les assouplissements, sans faire de politique, tous se sont effectués sous le gouvernement Jospin.
Pour la reglementation, qui est bien passée au JO, il y a une synthèse à l'adresse http://www.ssi.gouv.fr/fr/reglementation/regl_crypto.html(...) . Vous pouvez voir un truc intéressant : Clé de chiffrement strictement supérieure à 128 bits autorisée (avec une astérisque qui stipule à condition que lesdits matériels ou logiciels aient fait l'objet d'une autorisation de fourniture en vue d'une utilisation générale. Sinon, une demande d'autorisation d'utilisation personnelle doit être adressée à la DCSSI). Or OpenSSL et GnuPG ont fait l'objet de cette autorisation http://www.ssi.gouv.fr/fr/reglementation/liste_entr/f28.html(...)
Donc arrêtez de vous prendre la tête
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par jojo2002 . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 1.
Les gens qui achètent des produits certifiés (défense, secteurs sensibles) le savaient donc. Par contre, savoir ce qu'il en ferait c'est autre chose...
Il s'agissait peut être d'une statégie de MS. En effet, comme je le dis plus bas, la certification çà ne s'improvise pas. Suse a fait le choix de monter progressivement les niveaux pour moduler la difficulté.
MS avait peut être fait le choix de partir sur un niveau qu'il se fixait comme objectif mais pour faciliter le travail il a joué sur la cible d'évaluation. Comme çà il a, pour NT, un beau certificat pour un produit inutilisable. Pour Win2K la cible s'est élargie mais il y a encore pas mal de coupe je crois.
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par jojo2002 . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 3.
Je voulais juste indiquer que ce n'était pas comme çà qu'on lit une certification. Je rajoute que, en dehors de problème de programmation et de celui indiqué autour des interfaces graphiques, le modèle de sécurité de windows 2000 tient à peu près la route.
Tous les annonces de failles sont souvent liées à des erreurs de prog. qui peuvent être contournés par des correctifs mais ne viennent pas remettre complètement en cause le modèle de sécurité.
Le problème de Win2k, c'est que bien configuré, cela peut être un très bon produit en terme de sécurité mais par défaut, c'est quasiment une horreur. De leur côté, les distributions linux sont souvent plus robustes de base mais la mise en place de barrières encore plus solides demande des compétences (comme sur Win2k).
Un exemple, l'authentification sur windows. Autant sur NT, le HashLM et NTLMv1 c'était tout pourri, autant win2k avec NTLMv2 et Kerberos, y'a pas grand chose à redire (sauf des bugs d'implémentation :) ). Le problème est que Win2K (pour compatibilité ascendante) accepte les authentifiants pourris par défaut et l'administrateur doit, à la main, modifier ces paramètres.
A propos de l'authentification, sur une Debian, qd vous passez en stockage des password MD5, vous avez remarqué que la longueur maximale d'un mot de passe reste à 8, ce qui est un comble pour du MD5 (y a déjà un bug report où les gens disent qu'il faut le changer à la main mais aucun avertissement visible n'indique cette astuce).
Je ne suis en aucun cas un partisan de microsoft et l'avantage principal que je vois au libre par rapport au propriétaire pour la sécurité c'est une plus forte réactivité (microsoft améliore sensiblement son image de ce côté mais pas d'autres éditeurs) et surtout la disponibilité du code qui n'est pas en soit une garantie contre la présence de failles. Cependant, je pense (supputation), que les projets libres (les plus critiques, pas ceux fait sur un coin de table) ont sans doute une meilleur qualité dans l'écriture du code en terme de rigueur (on code moins avec les pieds). En effet, si qqun n'est pas satisfait d'une implémentation, il peut proposer une alternative...
[^] # Re: Linux et IBM reçoivent un satisfecit de Washington
Posté par jojo2002 . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 2.
Les communiqués de presse et les publicités des sites attirent toujours le chaland en signalant que le produit a été certificié. Le petit mensonge par omission est le fait que le produit est rarement certifié dans sa globalité mais une sous-partie seulement.
Par exemple, je dit peut être des conneries n'ayant pas regarder les cibles d'évaluation de Win2k ou de Suse, mais vous pouvez imaginer que Windows Media Player ou Mplayer sur Suse ne font pas partie de la cible hors ces derniers peuvent avoir des buffers overflows mettant à mal le système...
Les professionnels de la sécurité ou plutot les utilisateurs avertis en sécurité (défense, systèmes sensibles), sont les vrais demandeurs de produits certifiés et eux savent lire un PP, une cible d'évaluation et un rapport de certification. Les autres néophytes ne voient en général que le discours marketing qui consiste à dire je suis certifié à tel niveau (sous entendu j'écrase tous les autres) alors que le niveau n'est pas directement lié à la qualité du produit en terme de sécurité mais plutot à la finesse de l'analyse qui a été effectuée. Plus l'analyse est poussée, plus la confiance peut être grande et donc indirectement plus le produit peut être considéré comme robuste. Tout est dans la notion de considération et de confiance mais il ne s'agit pas d'une mesure brute du niveau de sécurité d'un produit...
[^] # Re: Linux et IBM recoivent un satisfecit de Washington
Posté par jojo2002 . En réponse à la dépêche Linux et IBM reçoivent un satisfecit de Washington. Évalué à 6.
Il y a plusieurs modes de certification (ITSEC, CC) et chaque pays à un organisme chargé de délivré des certifications (en France la DCSSI).
Le demandeur choisi un niveau de certification souhaité (EAL2+ pour Linux chez Suse par ex) et plus le niveau est élevé, plus la rigueur d'analyse des mécanismes de sécurité sera importante : c'est l'évaluation qui n'est pas réalisé par l'organisme certificateur mais par un tiers indépendant (en France , les CESTI cf http://www.ssi.gouv.fr(...)). De plus, la certification porte souvent sur une sous-partie du produit : c'est la cible d'évaluation. Cela regroupe ce qui est analysé et en regardant ce document qui est public, on peut voir que des coupes sont souvent effectuées. Ensuite dans le certificat, il y a des conditions d'emploi nécessaire au fonctionnement en mode "certifié" : par exemple Windows NT4 était certifié mais en standalone (sans réseau). Pour Win2K ce n'est plus le cas, mais tout çà pour dire que la certification en elle-même c'est bien mais il y a des détails à regarder pour évaluer la confiance que l'on peut avoir en un produit (cible et contraintes d'utilisation).
En schématisant, pour un bas niveau, une simple doc commerciale pourrait suffire et pour les niveaux élevés, il faut des preuves formelles (modèle mathématique, etc...). Pour le logiciel, les hauts niveaux sont très difficiles car on tire bcp de dépendances qu'on ne maîtrise pas (librairie C par exemple) et qu'on ne sait modéliser.
Bref, plus on monte dans les niveaux, plus on doit affiner la présentation des dispositifs de sécurité en énumérant les risques auxquelles ils peuvent être confrontés et les contre mesures mises en oeuvre. Et si tout çà est cohérent et que le produit résiste aux attaques "état de l'art", on le certifie.
Mais le certificat est valable un jour et il ne prémunit pas contre la découverte de nouvelles failles. Pour le logiciel, une analyse rigoureuse du code source peut être effectuée dans des niveaux élevés de certification. Or, Win2k n'est pas certifié à un tel niveau, donc on ne peut garantir l'absence de failles type buffer overflow par exemple. Par contre, on sait que l'authentification çà marche comme çà et que c'est robuste (syskey par exemple), pareil pour d'autres éléments de sécurité.
Le fait que Linux soit à un niveau inférieur à Win2k ne veut pas dire qu'il est moins bon. Mais la certification c'est compliqué et on ne se lance pas bille en tête dans une évaluation haut niveau (çà coûte cher). Donc Suse commence EAL2 puis il vont monter les niveaux
(cf. http://www.suse.com/en/company/press/press_releases/archive03/secur(...))
vers EAL3 et on verra après.
Au fait, ils font çà parce qu'une loi ou directive est passée aux Etats Unis qui oblige à présenter des produits certifiés pour fournir la défense ou tout les ministères (je sais plus trop bien).
[^] # Re: Une belle histoire 8)
Posté par jojo2002 . En réponse à la dépêche Nouveau BIOS Rockbox (archos Jukebox). Évalué à 3.
- le disque est un disque de portable donc tout a fait interchangeable pour un disque plus important
- les nouvelles gammes (recorder, multimedia) offre beaucoup plus de formats qu'un Ipod : Divx (sur un timbre poste je l'accorde), JPEG, etc... Sur le design et l'ergonomie, ils ont sans doute un train de retard sur Apple (réputé pour sa finition) mais sur le fonctionnel, y'a pas photo...
La fonctionnalité qui tue, je trouve : on achète un petit module capable de lire Memory card et compagnie et comme çà on peut, sans l'aide d'un ordi, vider régulièrement son appareil photo numérique sur un disque dur...
[^] # Re: Une belle histoire 8)
Posté par jojo2002 . En réponse à la dépêche Nouveau BIOS Rockbox (archos Jukebox). Évalué à 10.
J'ai acheté un Archos Jukebox avant la naissance du projet rockbox et le produit était tout à fait fonctionnel. Par contre, c'est clair que rockbox a ajouté pas mal de fonctionnalité et d'améliorations (gestion de l'alim) mais le produit était fonctionnel et ne plantait pas à tout bout de champ.
De plus archos sort(ait) fréquemment des mises à jour de leur BIOS avec des ajouts fonctionnels ce qui est assez rare pour le faire remarquer.
Donc je dis chapeau à la société archos pour avoir sorti un produit innovant (non SDMI, stockage de tout type de fichiers) face à la coucurrence (Apple Ipod : plus cher, plus classe mais disque moins gros et limité aux seuls MP3 et Creative Jukemachin : moins bien que l'archos). Et chapeau, aux développeurs rockbox pour toutes les nouvelles fonctionnalités apportées...
[^] # Re: Questionnaire de la CNIL sur la carte bancaire et Internet
Posté par jojo2002 . En réponse à la dépêche Questionnaire de la CNIL sur la carte bancaire et Internet. Évalué à 3.
Par contre il est sur que la personne (ooshop ou autre...) qui stocke ces numéros dans une base de données à une obligation de résultat sur la protection de cette information à caractère personnel :
Si tu apprends que ta CB a été volé chez X par Y, tu peux attaquer aussi bien Y pour le vol en lui-même (c'est d'ailleurs plutot X qui le fera) que X pour avoir manquer à son obligation de résultat.
[^] # Re: Droit de réponse : « AXA ne migre pas vers Linux »
Posté par jojo2002 . En réponse à la dépêche Droit de réponse : « AXA ne migre pas vers Linux ». Évalué à 5.
[^] # Re: Posons des questions à Luc Ferry sur les logiciels libres !
Posté par jojo2002 . En réponse à la dépêche Posons des questions à Luc Ferry sur les logiciels libres !. Évalué à 4.
Par contre, aucun pouvoir de perquisition ne leur est attribué donc il est possible de leur refuser l'accès : il dresse alors un procès verbal de refus et communique éventuellement le fait au procureur de la république. Enfin de là à ce qu'une suite officielle ait lieu...
Un exposé des droits des agents assermentés du bsa est disponible à l'adresse http://www.avodroits-ntic.com/news.cgi?serial=9(...)
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par jojo2002 . En réponse à la dépêche MISC 6 : (in)sécurité du wireless. Évalué à 3.
Mais dès qu'un besoin de confidentialité existe, je ne pense pas que l'on puisse faire confiance (actuellement) uniquement au WEP dont certaines implémentations sont foireuses.
Sans vouloir faire l'apologie de Microsoft, il faut reconnaitre que IPSec n'est pas trivial à configurer sous linux (installation de FreeSWAN, paramètrage, gestion des incompatibilités mineures si le réseau est hétérogène) mais sous Win2000 avec un secret prépartagé, çà peut être fait en 2mn...
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par jojo2002 . En réponse à la dépêche MISC 6 : (in)sécurité du wireless. Évalué à 2.
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par jojo2002 . En réponse à la dépêche MISC 6 : (in)sécurité du wireless. Évalué à 0.
Du coup, dans la version suivante, un certain nombre de clés dites faibles ont été écartées (pas possible de les utiliser) et on ne pouvait plus alors parler de 128 bits...
[^] # Re: MISC 6 : (in)sécurité du wireless
Posté par jojo2002 . En réponse à la dépêche MISC 6 : (in)sécurité du wireless. Évalué à 8.
[^] # Re: C est pas pour lancer un troll
Posté par jojo2002 . En réponse à la dépêche IBM, Oracle et Red Hat planchent sur la sécurité de Linux. Évalué à 3.
[^] # Re: La sécurité en question...
Posté par jojo2002 . En réponse à la dépêche La sécurité en question.... Évalué à 3.
C'est paradoxal, mais en général, ce sont les clients qui ne souhaitent pas de manipulations de social engineering. De plus déontologiquement, c'est un peu limite : l'objectif reste de piéger personnellement la personne "la plus faible" afin de lui soutirer des renseignements. Cela est en général très mal perçu...
>Que penser du service de veille de sécurité proposé ? Copie des avis diffusés sur d'autres sites ? Je ne vois pas souvent une personne de chez HSC poster sur bugtrack ?!
C'est un service commercial. Leurs clients n'ont pas forcement le temps de collecter l'ensemble des avis du web, ils demandent une synthèse...
[^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux
Posté par jojo2002 . En réponse à la dépêche La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux. Évalué à 9.
[^] # Re: Projet de loi concernant le SPAM et la cryptographie
Posté par jojo2002 . En réponse à la dépêche Projet de loi concernant le SPAM et la cryptographie. Évalué à 1.
[^] # Re: Projet de loi concernant le SPAM et la cryptographie
Posté par jojo2002 . En réponse à la dépêche Projet de loi concernant le SPAM et la cryptographie. Évalué à 6.
Pour les algos asymétriques (RSA, ...), utilisés principalement pour l'authentification, on trouve des tailles de clés de 1024 voire 2048 bits mais qui ne sont en rien comparable à un 128 bits de DES : c'est comparer des patates et des poireaux. La liberté d'utilisation de gpg concerne ces clés asymétriques mais pour les algos symétriques, on reste à 128 bits.
De toute façon, je ne connais pas de produit fournissant un algo symétrique avec des tailles de clés supérieures à 128 bits : c'est actuellement la référence en matière de taille de clé. Donc dire que c'est un peu léger est une affirmation un peu légère :)