Journal Un ver s'attaque à la Marine française

Posté par (page perso) .
Tags :
34
5
fév.
2009
Conficker est le nom d'un ver qui infecte les machines sous Microsoft Windows. Il s'attaque au processus SVCHOST.EXE et il permet d'exécuter du code à distance.
Un truc sérieux donc mais, hélas, pas inhabituel dans le monde merveilleux de Windows.

Ce qui est plus inhabituel en revanche c'est qu'il semble que ce ver a réussi a se propager au sein du réseau informatique de la Marine Nationale (Intramar). L'isolation du réseau a été décidée mais elle a été trop tardive et des ordinateurs de la base aérienne de Villacoublay et du 8ème régiment de transmissions ont été infectés par la bestiole.

Sur ce lien on peut même lire que le 15 et le 16 janvier les chasseurs Rafale de la Marine Nationale qui devaient exécuter une mission n'ont pas pu décoller car ils étaient dans l'incapacité de télécharger les données de leur vol !

A priori Microsoft n'est pas coupable de négligence car un correctif pour la faille de SVCHOST.EXE avait été mis à disposition le 23 octobre 2008.
Cette infection est donc entièrement la faute des administrateurs du réseau Intramar qui n'ont pas appliqué les correctifs et qui ont donc indirectement provoqué un gros "couac" dans la capacité de défense du pays.

Les questions qui se posent à la suite de cet épisode sont bien entendu les suivantes :
- Comment est-il possible qu'une fonction aussi critique que le réseau informatique de la Marine nationale dépende d'un système d'exploitation propriétaire fourni par une firme étrangère ?
- Comment est-il possible de choisir un système d'exploitation à la réputation sécuritaire plus que douteuse et dont il est impossible de relire le code source pour le vérifier ou l'améliorer ?
- Comment les administrateurs d'un réseau militaire sensible peuvent-ils laisser leurs serveurs non patchés pendant des mois alors que le danger a été signalé et le que le correctif a été mis à disposition ?

Il y a quelque chose de pourri au royaume de la Royale....
  • # Encore une fois ...

    Posté par . Évalué à 10.

    Ces questions sont plus que légitime d'autant plus que ce n'est pas la première fois que ce genre de chose arrive , pour mémoire , Le virus Slammer avait fait un crash du réseau de surveillance d'une centrale nucléaire (pc sous windows aussi ) : http://linuxfr.org/~yannforget/4802.html

    N'est pas en droit en tant que citoyen d'exiger un minimum de sécurité informatique à l'état ? (qui est une de ses missions ) .
    • [^] # Re: Encore une fois ...

      Posté par . Évalué à 10.

      Ce qui me fait le plus peur , c'est que j'imagine déjà certains parler de "trusted computing" pour garantir la sécurité informatique.
      • [^] # Re: Encore une fois ...

        Posté par . Évalué à 4.

        En réalité, des TPM, correctement déployés, n'auraient pas pu empêcher l'infection des machines par le ver mais auraient permis de le détecter rapidement (ou au moins voir qu'il se passe quelque chose de louche).
    • [^] # Re: Encore une fois ...

      Posté par (page perso) . Évalué à 10.

      J'allais poster un journal équivalent, grilled :)

      Bon, ce grave incident technologique ayant trait au pré-carré de notre cher président, il serait de bon ton d'écraser les plates bandes propriétaires. Que font les grandes associations du libre ? J'espère que l'APRIL notamment s'emparera du problème poue relayer encore une fois la bonne parole du libre.

      La France doit s'équiper de logiciels connus, maîtrisés, documentés et modifiables. La Chine l'a ait, la Russie s'y met. Allons-nous être bons derniers à faire ce choix ?

      T'as le bonjour de JavaScript !

      • [^] # Re: Encore une fois ...

        Posté par (page perso) . Évalué à 10.

        La Chine l'a ait, la Russie s'y met.

        Je te vois venir, avec tes gros sabots, à vouloir refourguer du logiciel communiste !
      • [^] # Re: Encore une fois ...

        Posté par . Évalué à 4.

        Elle est zarb ta signature.

        Comment dire...

        - L'usage d'une référence explicitement nazie est toujours délicat à manier. Sans accompagnement ou explication, c'est limite.
        - L'usage de notions qui évoquent la domination, la territorialité, la nation ou le royaume, le sang et la descendance fermée est toujours délicat à manier, c'est limite.

        Ça "pourrait" être amusant, en privé, avec des gens qui te connaissent. En signature sur un forum, c'est moins évident.
        Je peux te demander ce que tu veux dire ?
        Je te le demande.
        • [^] # Re: Encore une fois ...

          Posté par . Évalué à 4.

          ah moi je trouve pas.
          Je connaissais pas cette expression, j'ai fait un coup de google, j'ai compris, et sa signature m'a bien fait marrer.

          Ensuite elle est "explicitement" nazie dans le seul cas qu'elle a été utilisé par les nazie comme devise de leur état. Elle n'implique en soit aucune domination d'aucune sorte.

          Ensuite le fait de remplacer fuhrer par penguin montre juste le coté humoristique. Bref, si tu préfère, amha, tu peux lire "Le pengouin dominera le monde! MUWAHAHAHA [rire sadique]"

          L'usage de notions qui évoquent la domination,
          Un peuple, un empire, un pingouin ca évoque la domination ???
          la territorialité,
          le terme "France" évoque aussi la territorialité.
          la nation ou le royaume,
          Idem que plus haut

          le sang et la descendance fermée est toujours délicat à manier, c'est limite.
          La par contre je vois pas du tout ou tu as réussi à voir ça!
          Y'a pas de sang, y'a pas de descendance fermé dans cette devise.

          Pour terminée, ca fait plus d'un demi siècle que la seconde est terminé. Il serait peut être temps de prendre du recul!

          (et puis c'est drole, quand on parle du communisme qui a fait bien plus de mort, de nombreux généocides (cambodge, rwanda pour ne citer que les plus connus)tout le monde s'en fout, mais dés que c'est hitler, ahlalala non faut surtout pas prendre du recul etc...).
          • [^] # Re: Encore une fois ...

            Posté par . Évalué à 1.

            Ensuite elle est "explicitement" nazie dans le seul cas qu'elle a été utilisé par les nazie comme devise de leur état. Elle n'implique en soit aucune domination d'aucune sorte.

            En elle-même, peut-être. C'est juste que l'histoire en a fait autre chose. Comme travail famille patrie, si tu préfères.

            Ensuite le fait de remplacer fuhrer par penguin montre juste le coté humoristique. Bref, si tu préfère, amha, tu peux lire "Le pengouin dominera le monde! MUWAHAHAHA [rire sadique]"

            Oui je peux comprendre. Mais c'est que je n'ai pas lu ça, justement. D'où le fait que je m'étonne.

            Un peuple, un empire, un pingouin ca évoque la domination ???
            la territorialité,
            le terme "France" évoque aussi la territorialité.
            la nation ou le royaume,
            Idem que plus haut


            Comme tu l'as écrit toi-même, on "peut" lire : "le pingouin dominera le monde". Donc oui, ça évoque la domination. De même, l'idée de territoire, pour les nazis, embarquait l'idée d''espace vital' (lebensraum). Toute la propagande initiale était basée sur cette idée d'espace, de territoire, d'empire à reconstituer, protégé du reste du monde.

            La par contre je vois pas du tout ou tu as réussi à voir ça!
            Y'a pas de sang, y'a pas de descendance fermé dans cette devise.


            Comme je viens de l'écrire juste au-dessus, un territoire se protège. Et il ne s'agirait pas que son peuple devienne "impur". Donc exit le droit du sol... et dehors les ..., les ...., les ...., les ...., les ...., enfin les pas comme nous.
            Oui il y a bien du sang dans cette devise. Ou alors "quelques" morts t'auront échappé.

            Pour terminée, ca fait plus d'un demi siècle que la seconde est terminé. Il serait peut être temps de prendre du recul!

            Je ne vois pas en quoi je ne prends pas de recul. Et en quoi le fait que ce soit terminé change quoique ce soit ? Tant que la seconde guerre sera enseignée (et donc dans les têtes) en détail, ça pourrait bien faire 6000 ans, ça ne changerait rien.

            (et puis c'est drole, quand on parle du communisme qui a fait bien plus de mort, de nombreux généocides (cambodge, rwanda pour ne citer que les plus connus)tout le monde s'en fout, mais dés que c'est hitler, ahlalala non faut surtout pas prendre du recul etc...).

            1- La signature évoque la doctrine nazie, pas autre chose.
            2- Le communisme n'est pas en lui-même une idéologie martiale et raciste.

            A part ça, j'aime beaucoup la chanson "California über alles". Mais je sais pourquoi : ).

            Ça m'a fait une drôle de sensation, cette signature, c'est tout. Et tu viens de corroborer cette sensation.
            • [^] # Re: Encore une fois ...

              Posté par . Évalué à 5.

              Comme je viens de l'écrire juste au-dessus, un territoire se protège. Et il ne s'agirait pas que son peuple devienne "impur".
              La c'est carrément un procés d'intention.

              Oui il y a bien du sang dans cette devise. Ou alors "quelques" morts t'auront échappé.
              Moi ce qui m'a échappé c'est que TOUS Les pays ont fait des morts. La france bien après la seconde, avec des actes de barbarie d'ailleurs (algérie). Actes que la france a toujours pas assumé complètement, et a beaucoup de mal à assumer ses Harkis.
              Mais la devise "liberté, égalité, fraternité" ne te rappelles pas du tout ça pourtant.
              Une mémoire sélective...

              Et en quoi le fait que ce soit terminé change quoique ce soit ?
              Peut être que les choses n'existent plus par définition, si elles sont terminées.
              Non il n'y a plus de régime nazi en Allemagne! (je dis pas qu'il n'y a plus de racistes (où que ce soit dans le monde), ca serait bien, mais doucement utopique).


              1- La signature évoque la doctrine nazie, pas autre chose.
              Oui mais tu trouves que elle évoque le sang etc... Tu oublie toutes les autres idéologies, tels que le communisme (partage des richesses, et donc des connaissances), que l'on retrouve en tant idéologie dans le LLqui peuvent tout autant évoquer le sang d'après ton raisonnement.


              Toi tu trouve que c'est d'un gout malsain d'utiliser et de modifier une devise du nazisme, moi je trouve que c'est d'un gout malsain de monter au créneau QUE pour le nazisme, et oublier et ne rien faire pour tous les autres génocides.
              Ça la showa on en a entendu parler, reparler, rereparler. Des qu'un juif se fait aggresser on (le gouvernement) agite le spectre de l'antisémitisme.
              Mais qu'on parle un peu des autres aussi, merde!
              Tu veux qu'on reprenne l'ensemble des propos sur linuxfr et voir ceux qui pourraient se rapprocher d'autres (pseudo)-idéologies (ou ayant sevi de prétexte) fasciste ayant entrainé des morts (dont entre le partage des richesses) ?
    • [^] # Re: Encore une fois ...

      Posté par . Évalué à 10.

      Quand on construit une centrale nucléaire, on peut se permettre de concevoir le système d'information qui va avec, quand même. Il n'y a donc plus aucun programmeur qui sache travailler sans Windows sur le marché, voire même - ose-je rêver - sans système d'exploitation ?
  • # Relecture du code

    Posté par . Évalué à 10.

    - Comment est-il possible de choisir un système d'exploitation à la réputation sécuritaire plus que douteuse et dont il est impossible de relire le code source pour le vérifier ou l'améliorer ?

    L'armée doit (au moins pouvoir) avoir accès au code, c'était entre autre pour ça qu'il y avait le programme "shared source" si j'ai bien compris ...
    • [^] # Re: Relecture du code

      Posté par . Évalué à 8.

      En effet : les administrations, grands groupes, multinationales... ont accès au code-source (de certaines parties) de Windows, mais leurs droits sont très limités (on est très loin des 4 libertés fondamentales, vous vous en doutez bien).
      Je suis même pas sûr qu'il soit possible de patcher soi-même le code (soit parce que MS l'interdit, soit parce qu'il manque trop de "briques" de code pour pouvoir recompiler derrière)
      • [^] # Re: Relecture du code

        Posté par (page perso) . Évalué à 10.

        Mais alors, si ils ne peuvent pas recompiler le code, qu'est ce qui garantit que le code source donné par Microsoft correspond réellement au binaire qu'ils utilisent ?
        • [^] # Re: Relecture du code

          Posté par (page perso) . Évalué à 7.

          c'est bien le souci avec le non-libre et particulièrement avec le shared-source...
        • [^] # Re: Relecture du code

          Posté par . Évalué à 3.

          Même avec du libre. Qui te prouve que le compilo est réglo? Le fait d'avoir ses sources. Mais qui te prouve que ces sources sont bien celles qui ont construit son binaire? Le fait d'avoir ses sour
          • [^] # Re: Relecture du code

            Posté par . Évalué à 6.

            c'est vrai , c'est d'ailleur sur cela que repose la démonstration du Ken Thompson Hack à propos du compilateur vicié , et de la recompilation du code source en binaire infecté ( http://c2.com/cgi/wiki?TheKenThompsonHack ) . Mais il est quand meme plus judicieux d'avoir un code source pour vérification que de ne pas en avoir . En outre on peut effectivement imaginer vérifier l'ensemble du code source de toute la chaine (quand on a les moyens financiers , mais si c'est l'état .-) . Mais c'est effectivement la preuve diabolica de l'informatique :)
            • [^] # Re: Relecture du code

              Posté par (page perso) . Évalué à 6.

              C'est un problème auquel je pense souvent. Imaginons que les USA veullent déclarer une guerre à un pays, pour désactiver les défenses du pays et mettre la pagaille, il suffirait d'un windows-update contenant un beau virus, vers ou trojan !!!

              Heureusement, que les données Confidentielles sont gérés sur des RH (Red Hat pas Ressources Humaines (heureusement !) )
              • [^] # Re: Relecture du code

                Posté par . Évalué à 3.

                Ca me rappel l'affaire des NSA key dans la base de registre windows :
                http://linuxfr.org/2002/11/30/10479.html
                http://www.uzine.net/article1891.html
              • [^] # Regarde par là si j'y suis

                Posté par . Évalué à 5.

                Malheureusement RedHat sur un cpu Core de première génération (avec son bug), ou avec de la mémoire sans parité ne sera pas d'un grand secours.
                L'avantage de certains équipements unix proprio, c'est que le matos est hyper testé, (fermé héhé) et validé pour les situations critiques. Les admins linux installent un peu sur n'importe quoi :(
                • [^] # Re: Regarde par là si j'y suis

                  Posté par . Évalué à 3.

                  En quoi le fait de pouvoir installer sur n'importe quoi pose problème ?
                  • [^] # Re: Regarde par là si j'y suis

                    Posté par . Évalué à 4.

                    Je crois que tu n'as pas saisi mes propos.
                    Je dis, plus simplement, qu'il ne suffit pas de dire qu'en environnement critique c'est stupide de mettre du windows et qu'un linux est plus indiqué, mais qu'il faut prendre en compte aussi la couche du dessous: le matériel. Linux peut être installé sur du matériel robuste... ou pas.
                    • [^] # Re: Regarde par là si j'y suis

                      Posté par (page perso) . Évalué à 10.

                      En fait c'est l'histoire du maillon le plus faible de la chaîne:

                      Un linux sur du matos pas robuste = fragile
                      Un linux sur du matos robuste = solide
                      Un Windows sur du matos pas robuste = très fragile
                      Un Windows sur du matos robuste = fragile

                      J'ai bon ?
          • [^] # Re: Relecture du code

            Posté par . Évalué à 5.

            Tu peux aussi désassembler le binaire, et lire le code résultant.
            C'est long, fastidieux, etc. mais c'est un moyen infaillible de vérifier que le binaire n'agit pas différemment de ce que disent ses sources.
            Sauf si le désassembleur ne correspond pas à ses sources, bien sur. ;)
        • [^] # Re: Relecture du code

          Posté par . Évalué à 4.

          Le truc c'est qu'ils peuvent recompiler le code, donc c'est pas un probleme.
          Aucun gouvernement ne serait assez stupide pour se faire avoir par une proposition differente.
          • [^] # Re: Relecture du code

            Posté par . Évalué à 4.

            C'est parce que ça casse le concensus général que son post est à 0 ?


            J'ai fait une remarque de ce style sur la tribune l'autre jour, a propos du clic sur le popup de l'équivalent sudo sans mot de passe sous windows, genre "un clic émulé ça passerait pas ?", et je me suis fait rembarrer, ils avaient bien évidemment prévu le coup chez ms..

            C'est du même ordre comme concensus je trouve, genre il n'y aurait que des incompétents partout ...
      • [^] # Re: Relecture du code

        Posté par . Évalué à 5.

        Je confirme MS interdit explicitement de corriger un bug si on en voit un mais nous invite à leur signaler et attendre qu'un correctif soit disponible.
        C'était comme ça à l'époque de la sortie de XPe en shared source en tout cas je ne me suis plus intéresser au problème depuis.
        • [^] # Re: Relecture du code

          Posté par . Évalué à 10.

          et attendre qu'un correctif soit disponible.

          HAAA, c'est ça la blague du squelette d'admin dans une salle réseau ? Moi qui pensait qu'il avait gagné à cache-cache ...
    • [^] # Re: Relecture du code

      Posté par . Évalué à 1.

      Heu non non non
      Le programme prévoit la mise à disposition des documentations complètes des versions de windows utilisées.
      Ils n' ont jamais fournis le code source, le vrai, une pure copie de la branche de gestionnaire de versionning.

      A ce compte là on pourrait dire que Microsoft fait de l' open-source, parcequ' il dispense invisible.microsoft.com à quasi tous ? hum je crois pas.

      D' ailleurs lorsque l' Europe leur demande le code source, MS répond "à quoi bon ? on fourni déjà la documentaiton complète qui jsuqu' à présent restait en interne ou pour les partenaires privilégiés"...
      Ben ouaih, mais il y a certainement des gens compétents en Europe aussi, pour vérifier que la doc correspond bien au code... et que le code n' a rien de plus que la doc fournie.

      Flageller moi s' ils ont Vraiment reçus les sources...



      /humour/ mode mauvaise fois totale : il fourniront le code source complet quant ils auront suffisamment obfusqué certaines fonctions... ils y travaillent fort en ce moment.
      • [^] # Re: Relecture du code

        Posté par . Évalué à 7.

        http://news.cnet.com/Australia-to-see-Windows-source-code/21(...)
        http://management.silicon.com/government/0,39024677,10002701(...)

        Under Microsoft's new programme, governments may visit Microsoft's campus, see the millions of lines of source code that make up Windows, run analysis tools on the source code and build versions of Windows for themselves from the raw materials.

        D' ailleurs lorsque l' Europe leur demande le code source, MS répond "à quoi bon ? on fourni déjà la documentaiton complète qui jsuqu' à présent restait en interne ou pour les partenaires privilégiés"...

        Perdu c'est l'inverse : http://www.microsoft.com/presspass/press/2006/jan06/01-25EUS(...)
        • [^] # Re: Relecture du code

          Posté par . Évalué à 3.

          Merci de la précision. J' étais resté sur l' affaire des le doc des api et des bouts de codes, mais pas sur la totalité du code.

          Les personnes ayant accès au code source peuvent elles rendre publique la license (juste la license) de la pile réseau de windows 2003 par exemple ? Merci encore.
      • [^] # Re: Relecture du code

        Posté par . Évalué à 2.

        Tu peut lire la license ici, une fois signé par un gouvernement ce dernier obtient l'acces au source de windows, office et autre chose marrante.
        http://www.microsoft.com/resources/sharedsource/gsp.mspx
        • [^] # Re: Relecture du code

          Posté par . Évalué à 10.

          Through the GSP, Microsoft offers participating governments zero-cost, online smart-card access to source code for the most current versions, beta releases, and service packs of Windows (client and server), Windows Embedded CE, and Office.

          [...]

          Governments may read and reference the source code but may not modify it.


          Bref c'est une belle blague ce truc. "L'indépendance nationale" a été remisée au placard depuis fort longtemps et c'est complètement irresponsable de faire dépendre un réseau de l'armée d'OS MS à ces conditions...
          • [^] # Re: Relecture du code

            Posté par . Évalué à 0.

            Le but de ce programme depuis le debut a ete de pouvoir donner aux gouvernements la preuve que les sources sont sans backdoor, ca n'a jamais ete de pouvoir les modifier et ils le savent tres bien.

            Quand a etre irresponsable, perso je trouves legerement arrogant la maniere dont sont juges les departements informatiques de l'armee, a mon avis ils sont au courant des conditions, de l'existence de Linux, ... si ils font ce choix, c'est qu'ils ont leurs raisons, et a mon avis ils connaissent le probleme legerement mieux que a peu pres tout le monde sur ce site.
            • [^] # Re: Relecture du code

              Posté par . Évalué à 10.

              En belgique j'avais plusieurs copains à l'armé qui m'ont dit qu'il codaient en VB . Bon Ben moi je vais me faire un abris anti atomique .
              • [^] # Re: Relecture du code

                Posté par . Évalué à 1.

                Déjà, la Belgique n'a pas d'arme nucléaire. Ensuite, à l'armée, ils faut qu'ils payent leurs hommes (et femmes). Je ne vois pas de problème à ce que ce genre d'application soit en VB...

                Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

              • [^] # Re: Relecture du code

                Posté par . Évalué à 4.

                Bofff, l'armée belge, je m'en inquiète pas trop[1]


                1 http://www.bashfr.org/?5322
            • [^] # Re: Relecture du code

              Posté par . Évalué à -1.

              Tiens, ce poste est bien en negatif...

              J'imagines que si ce post est inutile, c'est qu'il y a donc des gens qui ont des arguments convaincants qui montrent que les departements informatiques de l'armee ne savent absolument pas ce qu'ils font hein ?

              Ou alors certains (les memes oserais-je dire) ont du mal a accepter un point de vue qui remet en cause leurs prejuges.
              • [^] # Re: Relecture du code

                Posté par . Évalué à 9.

                Je ne comprend pas le pourquoi du passage en negatif du post a moins que cette phrase si ils font ce choix, c'est qu'ils ont leurs raisons ne soit au coeur de la réaction épidermique.
                et a mon avis ils connaissent le probleme legerement mieux que a peu pres tout le monde sur ce site. sur ce point tu as raison.

                Le problème est que le choix, le technique ne l'as pas, ce n'est pas la direction technique qui choisit son OS mais des politiquards, des accords commerciaux douteux, des vieux indéboulonnable au coeur de la DCN (devenu DCNS) qui refuse le moindre changement remettant en cause leurs (maigre?) connaissances technique et toute une mafia qui gravite autour du microcosme économique militaro-industrielle. L'important pour ces gens la est de décroché des bugets (quelque fois absurde) pour pérénisé une situation acquise au fils du temps.

                C'est étonnant le nombre de gradé de l'armé qui finisse a des postes important dans des sociétés de droit privé qui son fournisseur de l'armée non ?
              • [^] # Commentaire supprimé

                Posté par . Évalué à 4.

                Ce commentaire a été supprimé par l'équipe de modération.

            • [^] # Re: Relecture du code

              Posté par (page perso) . Évalué à 10.

              > si ils font ce choix, c'est qu'ils ont leurs raisons, et a mon avis ils connaissent le probleme legerement mieux que a peu pres tout le monde sur ce site.

              Ben non, la preuve...
            • [^] # Re: Relecture du code

              Posté par . Évalué à 2.

              Si il y a aussi les sources du compilo et la possibilité de tout reconstruire offline alors c'est en effet mieux que rien. Sinon ça vaut pas un clou.
  • # Grand ver ... marine

    Posté par (page perso) . Évalué à -1.

    Ils cherchent "Celle qui se souvient"


    ----------->
  • # Mise en application

    Posté par (page perso) . Évalué à 1.


    Il s'attaque au processus SVCHOST.EXE et il permet d'exécuter du code à distance.



    from dissuasion.nucleaire import missile
    from politique.exterieure import conflits, allies

    target ="paysAuchoix"

    if (target in conflits):
    coords(target)
    launch()
    else:
    print "tans pis, on tire comme même! de toute façon c'est un ver..."
    missile.coords(target)
    missile.launch()
  • # ancien militaire

    Posté par . Évalué à 4.

    effectivement, la plupart des postes sont sous windows, en remplacement des teletype

    http://www.kerleo.net/computers/teletype33asr.jpg

    non ne riez pas c'est presque exactement les memes, enregistrement sur bande perforé. Quand je suis arrivé ce genre de machine me faisais rigoler MAIS a force de constater que cela ne tombaient jamais en panne, ou simplement une partie a changer en 3 minute, je me suis mis a les préférer à windows. Papier chimique à 4 feuille pour avoir des copies de ce qui sort.

    la bande perforée est une sauvegarde vraiment fiable :) mais encombrant.

    par contre pour la gestion tactique ce sont des postes Sun sous solaris, c'est domage qu ils n'ai pas choisi la meme chose pour la gestion des messages.
    • [^] # Re: ancien militaire

      Posté par (page perso) . Évalué à 1.

      Heula !!!
      T'as le droit de révéler tout ça comme ça ?
      On parle de défense nationale quand même.
      Où est ton droit de réserve ?
      :D
      • [^] # Re: ancien militaire

        Posté par (page perso) . Évalué à -2.

        Bien sûr, par droit, je voulais dire devoir.
      • [^] # Re: ancien militaire

        Posté par . Évalué à 10.

        Son message ne contient pas d'informations susceptibles de nuire à la Défense ou de lui porter atteinte. À moins que des terroristes utilisent l'information pour dresser des souris à manger les archives sur bandes papier et neutraliser tout le système. :)

        Autre scoop : il y a des fils électriques pour alimenter tout ça.

        Une attaque de rongeurs kamikazes est d'une efficacité incroyable contre le système. Méfiez-vous de ceux qui ont plusieurs cochons d'Inde ou lapins nains, des terroristes en puissance qui ont accès aux informations de plus haut niveau sur la Défense. :)

        The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

        • [^] # Re: ancien militaire

          Posté par (page perso) . Évalué à -1.

          Si on peut plus rigoler... :-/
          N'empêche que maintenant, je sais que la gestion des données tactiques se fait sur Solaris ;-)
  • # Hum Hum

    Posté par . Évalué à 7.

    Moi la question que je me pose, c'est comment le vers est arrivé jusque là.
    Un général a utilisé une fois de trop sa clé USB ?
    Un colonnel est allé avec son ie7 sur un site internet ne finissant pas par .gouv.fr ?

    La verité est ailleurs moi je dis..
    • [^] # Re: Hum Hum

      Posté par (page perso) . Évalué à 5.

      Il me semblait que l'armée utilise deux physique réseaux séparés. Le réseau sécurité n'est utilisé qu'avec des machines qui n'ont aucun moyen d'injecter des données (pas de lecteur de carte / CD / DVD / USB / ...). Il faut toute une procédure pour rentrer ou sortir des données.

      Je suppose que ce n'était pas le cas dans la Marine française.
  • # Education Nationale

    Posté par . Évalué à 3.

    Le ministère de l'Éducation Nationale a fait passer une demande très officiellement au moins à mon établissement (école d'ingénieur) (pour les autres je ne sais pas) pour mettre tout en oeuvre pour l'éradication de la propagation de ce virus.

    Ils en parlent également sur le portail gouvernemental de la sécurité informatique : http://www.securite-informatique.gouv.fr/
    • [^] # Re: Education Nationale

      Posté par . Évalué à 2.

      faites ce que je dis , pas ce que je fais ? :)
      • [^] # Re: Education Nationale

        Posté par (page perso) . Évalué à 10.

        Ce qui serait marrant ce serait des vers qui font du simili p2p pour se faire griller devant les radars hadopi :p
        • [^] # Re: Education Nationale

          Posté par (page perso) . Évalué à 2.

          ah, flûte, ça me fait penser que je n'ai pas creusé cette histoire d'analyse réseau d'une appli au taf' sous Solaris qui a des flux edonkey :/ (en même temps c'est une appli de gestion des échanges mais bon... je soupçonne une blague dans le rapport pour vérifier qu'il est lu, mais okazou...).
    • [^] # Re: Education Nationale

      Posté par (page perso) . Évalué à 5.

      Et pendant ce temps, tout ce passe normalement (si j'ose dire) du cotés des admins un*x.

      Envoyé depuis mon lapin.

      • [^] # Re: Education Nationale

        Posté par . Évalué à 2.

        D'un autre côté, celui qui s'est payé le virus, il n'avait pas installé une mise à jour de sécurité d'octobre.

        Nos PCs clients sont configurés pour se mettre à jour automatiquement. Le mardi patch day, notre serveur wsus se met à jour. Le mercredi matin qui suit, tous les clients se mettent à jour (ils sont éteints la nuit).

        Donc tout se passe normalement du côtés des admins windows qui ont une stratégie de mise à jour de sécurité qui tient la route. Vu ce qui arrive avec ce système, le contraire est très risqué !
        • [^] # Re: Education Nationale

          Posté par (page perso) . Évalué à 0.

          Vu ce qui arrive avec ce système, le contraire est très risqué !

          L'éradication du virus ne devrait-elle pas passer par l'éradication de la cause principale ? Un pansement sur une jambe de bois est-il vraiment utile ?
        • [^] # Re: Education Nationale

          Posté par (page perso) . Évalué à 2.

          Petite question
          Si j'ai bien compris l'intérêt de WSUS, outre le fait de pouvoir vérifier quel poste est à jour et lequel ne l'est pas, c'est aussi de tester qu'une mise à jour ne casse pas tout non ?
          Si oui, comment vous faites la vérification en déployant dès le lendemain matin ?
          Bon c'est vrai qu'il y a déjà un mois de délai minimum avant la correction d'une brèche potentielle et qu'il vaut mieux patcher au plus vite, mais peut être qu'une journée de tests sur un poste de travail vide ou un désigné volontaire serait plus sûr non ?

          Et pour des postes linux même question, est-ce qu'on considère que la distrib a suffisament été testée par la communauté et la société qui l'édite ou on met en place un miroir qui fait office de station de test ?
          (Je m'interroge au cas où j'aurai ce genre de choses à gérer dans mon boulot un jour)
          • [^] # Re: Education Nationale

            Posté par . Évalué à 2.

            Concernant les postes Windows, vu le peu de mise à jour qui ont posé des problèmes (à ma connaissance, il n'y en a eu qu'une environ mais pour certains postes pas tous), je ne suis pas inquiets en appliquant les mises à jour rapidement. Pour les tests, il faudrait des tests poussés car en cas de défaillance d'une mise à jour, cela n'arrivera pas à la connexion mais si l'utilisateur fait ceci et s'il a truc d'installé et à telle heure.....
            Au final, pour moi l'intérêt de Wsus est de pouvoir contrôler que tous les clients sont à jours, et que les téléchargements des clients se fassent en local.
            Si y'a vraiment un problème, on peut dévalider une mise à jour, et les postes non mis à jour (y'en a qui ne marchent pas tous les jours) n'auront pas la mise à jour problématique.

            La question peut aussi se poser pour linux. Est-ce risqué de mettre à jour aussitôt ? je pense que c'est la même question. Mais pas forcément la même réponse.
            • [^] # Re: Education Nationale

              Posté par . Évalué à 1.

              La question peut aussi se poser pour linux. Est-ce risqué de mettre à jour aussitôt ? je pense que c'est la même question. Mais pas forcément la même réponse.

              Je n'ai eu en 10 ans connaissance que de deux problèmes dans une mise à jour pour linux un était sous debian sur une version unstable avec un bug qui empêchait le login autre que root (problème avec PAM) et cela a été réglé à l'upgrade suivant. L'autre ce sont les célèbres problèmes de l'upgrade de Ubuntu qui a cassé le X11 pour les drivers proprios et la aussi cela a été réglé avec l'update suivant. Les deux n'ont demandé strictement aucun ré-installation et strictement aucune données n'a été perdu.
              • [^] # Re: Education Nationale

                Posté par . Évalué à 1.

                Le truc que les gens craignent avec les patchs c'est pas trop la perte de donnees / reinstallation mais plutot le temps perdu. Si tu deploies le patch sur les 200 PCs de l'entreprise et 100 plantent pendant toute la journee, ca fait 100 personnes qui n'ont pas pu bosser pendant une journee, si un serveur important fait partie du lot, c'est tout le monde qui casque...
                • [^] # Re: Education Nationale

                  Posté par . Évalué à 2.

                  Donc on résume:

                  D'un coté : 2 distributions différentes dont une en version de développement 2 problèmes en 13 ans que je suit l'actualité linuxienne : perte de temps 2 jours c'est à dire 0.04% du temps. Un vrai désastre.

                  De l'autre: Windows c'est combien de temps et d'argent qui ont été perdu avec tous les virus/vers/trojan qui ont touché le système depuis ce temps la? Dont certains à l'échelle mondiale il y a quoi 4 ou 5 ans maximum (je ne me souviens pas du nom mais il avait été assez sympa celui). Dois-je prendre en compte la béta de windows 7 qui faisait aussi des trucs assez bizarre dernièrement avec les fichiers mp3? Parce-que quitte à comparer avec debian unstable autant comparer avec le même style de version c'est à dire de développement. Voir même dans les 13 ans en question on devrait inclure Windows Millenium et la c'est pas fini le décomptage des jours de problèmes!
                  • [^] # Re: Education Nationale

                    Posté par . Évalué à -1.

                    D'un coté : 2 distributions différentes dont une en version de développement 2 problèmes en 13 ans que je suit l'actualité linuxienne : perte de temps 2 jours c'est à dire 0.04% du temps. Un vrai désastre.

                    Haha, 13 ans ? Ubuntu n'existait pas a l'epoque, idem pour Fedora et a peu pres personne n'utilisait Linux en entreprise. Je te proposes d'avoir un minimum d'honnetete intellectuelle dans tes comparaisons.

                    De l'autre: Windows c'est combien de temps et d'argent qui ont été perdu avec tous les virus/vers/trojan qui ont touché le système depuis ce temps la? Dont certains à l'échelle mondiale il y a quoi 4 ou 5 ans maximum (je ne me souviens pas du nom mais il avait été assez sympa celui).

                    C'est bien, tu dois remonter a 4-5 ans pour trouver qqe chose. Les exemples du cote Linux eux par contre ils sont recents, et il ne s'agit meme pas de vulnerabilites hein, mais de regressions enormes dues a un clair manque de QA sur les produits qu'ils sortent. Point de vue vulnerabilites si Linux avait ete la plateforme repandue a l'epoque, il aurait coute tout autant d'argent en problemes. Les vulnerabilites par lesquelles ces worms se sont propages avaient ete patchees des mois avant. Les gens si ils ne patchent pas leur Windows, ils vont pas patcher leur Linux non plus.

                    Suffit de regarder Firefox aujourd'hui et le nombre de failles qu'il a pour voir a quel point il est tout autant une passoire qu'IE si ce n'est plus. Comme par hasard, plus il se repand et plus on voit d'exploits tirant parti des vuln. dans Firefox et plus il coute en maintenance...

                    Dois-je prendre en compte la béta de windows 7 qui faisait aussi des trucs assez bizarre dernièrement avec les fichiers mp3? Parce-que quitte à comparer avec debian unstable autant comparer avec le même style de version c'est à dire de développement.

                    La difference entre les 2 c'est que si t'es sur Vista ou XP t'as pas besoin d'attendre 3 siecles pour installer les softs recents alors que ta Debian, ben la version stable est presque plus vieille qu'Emacs et tu as le choix entre utiliser des versions prehistoriques des softs du depot stable ou mettre un bordel enorme dans le systeme en installant des paquets non-stable.

                    Et je ne parles meme pas de la duree du support des releases...
                    • [^] # Re: Education Nationale

                      Posté par . Évalué à 6.

                      "Suffit de regarder Firefox aujourd'hui et le nombre de failles qu'il a pour voir a quel point il est tout autant une passoire qu'IE si ce n'est plus. Comme par hasard, plus il se repand et plus on voit d'exploits tirant parti des vuln. dans Firefox et plus il coute en maintenance..."
                      Euh... Autant je n'irai pas nier que Fx a eu, a et aura des failles (la version 3 en est déjà à la 5° révision depuis sa sortie), autant je n'ai jamais entendu parler d'exploits tirant partie de ses vulnérabilités. O_o
                      • [^] # Re: Education Nationale

                        Posté par . Évalué à 3.

                        Surtout de faille faisant tomber le système. Car le sujet premier étaient la disponibilité de l'ordinateur. Vu que 1) firefox, en tout cas sous Unix, tournent en espace utilisateur, C'est assez difficile (je n'ai pas dit impossible) de casser le système dessous 2) même si firefox se fait bouloter par un virus (vu que d'après la personne au dessus les données on ne s'en occupe pas et ce n'est pas très important) il reste toujours opera/konqueror/dillo/lynx/etc prenait le navigateur que vous préférez et les utilisateurs peuvent encore aller voir des sites de culs... Donc l'impact sur le système il est nul, enfin lorsque tu utilises pas ton ordinateur en mode administrateur et je crois que toutes les distributions qui avaient mis cela par defaut (login en mode root par défaut) ont soit disparu soit elles sont revenus en arrière.
                        • [^] # Re: Education Nationale

                          Posté par . Évalué à 4.

                          Euh t'as quelques années de retards dans le débat sur la sécurité là ... Maintenant windows demande confirmation "à la sudo" avant d'effectuer une opération demandant les droits d'administration.

                          Et l'impact d'un virus sur les données d'un utilisateur est important.

                          J'en dis pas plus.
                          • [^] # Re: Education Nationale

                            Posté par . Évalué à 3.

                            Ah ils ont changé le comportement de XP? Parceque des XP cela se vend encore pas mal (à cause des notebooks).
                          • [^] # Re: Education Nationale

                            Posté par . Évalué à 1.

                            Et l'impact d'un virus sur les données d'un utilisateur est important.

                            Ca je suis 100% d'accord c'est pasBill pasGates qui dit Le truc que les gens craignent avec les patchs c'est pas trop la perte de donnees.
                    • [^] # Re: Education Nationale

                      Posté par . Évalué à 0.

                      Haha, 13 ans ? Ubuntu n'existait pas a l'epoque, idem pour Fedora et a peu pres personne n'utilisait Linux en entreprise. Je te proposes d'avoir un minimum d'honnetete intellectuelle dans tes comparaisons.

                      Comme dit plus haut, je ne connais que deux problèmes toutes distributions confondus et un était sous ubuntu l'autre sur debian unstable qui s'est produit lors d'une mise à jour de sécurité. Si tu as d'autres exemples ne te gène surtout pas pour nous en faire profiter.

                      Le fait que peu d'entreprises utilisaient linux il y a 13 ans n'enlève rien au fait que les upgrades de l'époque se déroulaient bien, encore une fois si tu as un contre exemple ne te gène surtout pas.

                      Unix cela a 40 ans d'age à peu prés, utilisé un peu partout dans le monde et il n'y a pas eu autant de problèmes sur les updates et/ou les virus que sur le systèmes fait par Microsoft... Maintenant encore une fois tu peux t'empresser d'apporter des contre-exemples et des chiffres prouvant la haute disponibilité de Microsoft Windows par rapport aux autre systèmes d'exploitation que ce soit en terme d'update et/ou de virus et autres cochonneries de ce style. Et encore une fois je parle en nombre d'incidents pas en nombre d'ordinateurs touchés sur le sujet vous avez forcément plusieurs ordres de grandeurs d'avance vu la vente forcée.

                      C'est bien, tu dois remonter a 4-5 ans pour trouver qqe chose.

                      Heureusement que en 4 ou 5 ans vous avez un peu améliorer les choses et que avoir rendus inutilisable quelques millions d'ordinateurs dans le monde à fait bouger un peu les choses mais donne nous un exemple ou des ordinateurs sous Unix (je prend très large) ont subit quelques choses de semblables (proportionnellement aux nombres de machines avec le système cela va de soit, regarder en absolu est totalement ridicule).

                      Suffit de regarder Firefox aujourd'hui et le nombre de failles qu'il a pour voir a quel point il est tout autant une passoire qu'IE si ce n'est plus. Comme par hasard, plus il se repand et plus on voit d'exploits tirant parti des vuln. dans Firefox et plus il coute en maintenance...

                      On passe du système à un logiciel particulier qui plus est absolument pas limité à Unix donc strictement aucun rapport. De même que ton attaque envers Debian. Qui est "légèrement" HS et une jolie tentative pour détourner le sujet, de même par rapport à Firefox, d'ailleurs sous linux/macosX/BSD/unix.
                      • [^] # Re: Education Nationale

                        Posté par . Évalué à 1.

                        Le fait que peu d'entreprises utilisaient linux il y a 13 ans n'enlève rien au fait que les upgrades de l'époque se déroulaient bien, encore une fois si tu as un contre exemple ne te gène surtout pas.

                        On peut parler des intrusions sur les serveurs Fedora/Redhat et la signature de certains packages OpenSSH si tu veux : http://cyberinsecure.com/red-hat-releases-critical-openssh-u(...)
                        Ca donne confiance dans leurs patchs ce genre de choses, c'est sur...

                        Heureusement que en 4 ou 5 ans vous avez un peu améliorer les choses et que avoir rendus inutilisable quelques millions d'ordinateurs dans le monde à fait bouger un peu les choses mais donne nous un exemple ou des ordinateurs sous Unix (je prend très large) ont subit quelques choses de semblables (proportionnellement aux nombres de machines avec le système cela va de soit, regarder en absolu est totalement ridicule).

                        Slapper, un joli worm qui passait par une faille dans OpenSSL et qui a infecte des milliers de serveurs Linux en son temps : http://news.zdnet.com/2100-1009_22-125415.html
                        Avant Slapper il y avait Ramen aussi (ainsi que Lion) : http://www.linuxdevcenter.com/pub/a/linux/2001/01/22/insecur(...)

                        On passe du système à un logiciel particulier qui plus est absolument pas limité à Unix donc strictement aucun rapport. De même que ton attaque envers Debian. Qui est "légèrement" HS et une jolie tentative pour détourner le sujet, de même par rapport à Firefox, d'ailleurs sous linux/macosX/BSD/unix.

                        Legerement "HS" l'attaque contre Debian ? Mais au contraire, elle est pile poil dessus vu que tu parlais des versions stable/instable. Windows te permet de rester pendant longtemps sur une version stable, car il est totalement decouple des applications, bref, aucune raison d'utiliser une version instable, c'est pas le cas de Debian, car si tu veux des softs recents t'es oblige de passer en instable.
                        • [^] # Re: Education Nationale

                          Posté par . Évalué à 1.

                          > c'est pas le cas de Debian, car si tu veux des softs recents t'es oblige de passer en instable

                          Outre le fait que, rapport à ce que tu disais au-dessus, passer en Unstable ne fout absolument pas le moindre bordel dans le système (je ne dirais pas la même chose d'Experimental... m'enfin, il n'y a même pas tous les paquets, dans cette saveur), là, tu te plantes encore...

                          Bienvenue dans le merveilleux monde de l'apt-pinning : on peut installer juste des bouts d'Unstable dans Testing ou Stable, pour ce qui nous suffit... Et oui : c'est fou, ce qu'on peut faire, avec un gestionnaire de paquets (tout autant que c'est fou de ne même pas en avoir, ou alors, un ersatz, pour quelques correctifs)...

                          En plus, Testing va bientôt gagner un support de sécurité, donc, au prix d'un peu de maintenance en plus (gérer les changements dans les fichiers de conf... m'enfin, ce serait pareil pour les applis qu'on met par-dessus un os redmondien), il sera bientôt une pratique relativement saine d'avoir de la Testing sur un serveur (voire des bouts de Testing avec pinning, dans une Stable)...

                          Perso, je ne connais que très peu les OS redmondiens (la dernière fois que j'en ai installé un, ça remonte à 5 ans... et il ne doit m'arriver qu'une ou deux fois par an d'en utiliser)... du coup, j'évite d'en parler : ça m'évite au passage de raconter des inepties...
                          • [^] # Re: Education Nationale

                            Posté par . Évalué à 1.

                            Outre le fait que, rapport à ce que tu disais au-dessus, passer en Unstable ne fout absolument pas le moindre bordel dans le système (je ne dirais pas la même chose d'Experimental... m'enfin, il n'y a même pas tous les paquets, dans cette saveur), là, tu te plantes encore...

                            Voyons voir quel genre de bugs on peut trouver dans Unstable...

                            http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=155873

                            apt-get --purge remove lg-issue67

                            That producted this output:

                            Removing lg-issue67 ...
                            /usr/share/lg/scripts/install-issue: line 73: cd: /usr/share/doc/lg/issue67:
                            No such file or directory

                            Followed by what I believe is "rm -r" from the root directory. My bin
                            directory got deleted and the one directory I had that preceded it
                            alphabetically. After some hard disk swapping I was able to copy a bin
                            directory from a backup.


                            Bref, dans le genre bug, on peut difficilement faire pire qu'un rm -r / ...

                            Voyons ce que Debian lui-meme dit de unstable : http://www.debian.org/releases/unstable/

                            Please note that security updates for "unstable" distribution are not managed by the security team. Hence, "unstable" does not get security updates in a timely manner. For more information please see the Security Team's FAQ.

                            "sid" is subject to massive changes and in-place library updates. This can result in a very "unstable" system which contains packages that cannot be installed due to missing libraries, dependencies that cannot be fulfilled etc. Use it at your own risk!


                            Voila, je crois que ca dit tout...
                            • [^] # Re: Education Nationale

                              Posté par . Évalué à 3.

                              > Voyons voir quel genre de bugs on peut trouver dans Unstable...

                              Bug de 2002... En deux ans de Sid, le truc le plus proche que j'ai vu est une mise à jour de grub, qui cassait le MBR : corrigée dans la journée (et puis, quand on est sous Sid, apt-listbugs n'est pas fait pour les chiens)... nul n'est parfait, mais mon expérience me dicte que ce genre de trucs est rarissime.


                              > Voyons ce que Debian lui-meme dit de unstable

                              Et si tu la connaissais un peu mieux, tu saurais que c'est la première du trio Stable/Testing/Unstable à voir les mises à jour des paquets... dont, ô surprise, les mises à jour de sécurité. Ça fait aussi que c'est la première dans laquelle rentrent des paquets avec des problèmes de sécu (c'est le principe : c'est celle par laquelle tout rentre)... maintenant, quand une faille ou chose du genre est identifiée, Sid est en général la première sur laquelle c'est résolu... bref, en pratique, cet avertissement n'est pas très représentatif des faits.

                              Quant aux problèmes de dépendances, c'est extrêmement rare, et s'il y a un problème, il y a juste à connaître la différence entre "aptitude safe-upgrade" et "aptitude full-upgrade" (le premier ne met à jour que ce qui ne nécessite d'enlever aucun paquet, le second, qui est censé se lancer à la suite, en ouvrant les mirettes, peut supprimer des choses, et requière un peu plus d'attention... maintenant, 99,9% des mises à jour se satisfont d'un simple safe-upgrade ; et en général, le full-upgrade ne fait rien de méchant, même sous Sid)...

                              Et puis, arrête ta fixette sur Unstable : si tu veux du très utilisable, Testing (que je n'ai jamais vue cassée) suffit déjà amplement (Stable, c'est même du hardcore-rock-utilisable, mais en effet : les choses y sont plus vieilles... et tu sais quoi ? C'est même le but !)... les seuls points à y surveiller sont la reconfiguration des choses mises à jour (exactement comme sous un OS redmondien sur lequel on met à jour ce qui est au-dessus du système... 'fin, "exactement : on a un gestionnaire de paquets pour nous y aider, quand même : et pas n'importe lequel - un des meilleurs), et les mises à jour de sécu (qui vont commencer à exister pour la prochaine Testing, quelque temps après la sortie de Lenny, la nouvelle stable)...


                              > Voila, je crois que ca dit tout

                              Oui : ça confirme que tu déblatères des inepties sans rien y connaître...

                              ... autant j'apprécie certaines de tes interventions pondérées, autant, là, tu dis de la merde, et en aveugle : point.

                              Installe des Debian, apprends à les utiliser (pas très dur : je l'ai appris à plein de gens qui en avaient marre de leur truc redmondien, et qui voulaient autre chose - je n'ai pour ainsi dire jamais à repasser derrière eux ; ils gèrent leur Testing aux petits oignons, sans pourtant y connaître moult), et tu verras en quoi, sur ce coup, tu te lourdes en long, en large, et en travers.

                              Tout n'est pas parfait sous Linux ; je suis dans les premiers à le reconnaître... mais ce n'est pas en FUDant qu'on le démontre.
                              • [^] # Re: Education Nationale

                                Posté par . Évalué à 2.

                                Bug de 2002... En deux ans de Sid, le truc le plus proche que j'ai vu est une mise à jour de grub, qui cassait le MBR : corrigée dans la journée (et puis, quand on est sous Sid, apt-listbugs n'est pas fait pour les chiens)... nul n'est parfait, mais mon expérience me dicte que ce genre de trucs est rarissime.

                                Ah mais j'esperes bien qu'un truc aussi grave est rarissime, c'etait un exemple extreme. La realite c'est qu'unstable va contenir tout un tas de bugs, qui si ils n'affectent pas le systeme entier vont affecter son utilisation. Il est franchement impossible pour une entreprise d'utiliser ca comme desktop et le maintenir a jour, ils vont se choper des regressions aleatoirement ici et la constamment.
                                Faut etre realiste hein, si unstable etait si stable, testing n'existerait pas.

                                Et si tu la connaissais un peu mieux, tu saurais que c'est la première du trio Stable/Testing/Unstable à voir les mises à jour des paquets... dont, ô surprise, les mises à jour de sécurité. Ça fait aussi que c'est la première dans laquelle rentrent des paquets avec des problèmes de sécu (c'est le principe : c'est celle par laquelle tout rentre)... maintenant, quand une faille ou chose du genre est identifiée, Sid est en général la première sur laquelle c'est résolu... bref, en pratique, cet avertissement n'est pas très représentatif des faits.

                                Oui, et c'est aussi la premiere a recevoir des regressions, parce qu'apres tout c'est le but : l'utiliser comme une "beta" pour trouver les bugs, les corriger et releaser une version stable plus tard.
                                Ce qui fait sa "fraicheur" est ce qui cree son probleme: pas stable, et c'est normal, ils l'ont pas appelee unstable pour rien.

                                Et puis, arrête ta fixette sur Unstable : si tu veux du très utilisable, Testing (que je n'ai jamais vue cassée) suffit déjà amplement (Stable, c'est même du hardcore-rock-utilisable, mais en effet : les choses y sont plus vieilles... et tu sais quoi ? C'est même le but !)... les seuls points à y surveiller sont la reconfiguration des choses mises à jour (exactement comme sous un OS redmondien sur lequel on met à jour ce qui est au-dessus du système... 'fin, "exactement : on a un gestionnaire de paquets pour nous y aider, quand même : et pas n'importe lequel - un des meilleurs), et les mises à jour de sécu (qui vont commencer à exister pour la prochaine Testing, quelque temps après la sortie de Lenny, la nouvelle stable)...

                                Le probleme avec tout ca c'est qu'autant c'est faisable sur ton desktop a la maison quand tu es un geek, autant c'est ingerable quans t'es en enterprise ou que t'es la grand-mere qui ne vit que par l'auto-update.

                                > Voila, je crois que ca dit tout

                                Oui : ça confirme que tu déblatères des inepties sans rien y connaître...


                                Nope, ca confirme que je fais la difference entre ce qu'un geek est capable de faire chez lui, et la maintenance d'un systeme dans un environnement "normal".

                                Installe des Debian, apprends à les utiliser (pas très dur : je l'ai appris à plein de gens qui en avaient marre de leur truc redmondien, et qui voulaient autre chose - je n'ai pour ainsi dire jamais à repasser derrière eux ; ils gèrent leur Testing aux petits oignons, sans pourtant y connaître moult), et tu verras en quoi, sur ce coup, tu te lourdes en long, en large, et en travers.

                                Deja fait, j'ai eu aucun probleme, et ca n'a pas change mon opinion d'un iota, pour la simple raison que je ne suis pas un admin qui a 500 machines a gerer, et que je sais ce que je fais.
                                • [^] # Re: Education Nationale

                                  Posté par . Évalué à 5.

                                  > je ne suis pas un admin qui a 500 machines a gerer, et que je sais ce que je fais

                                  Oui, enfin, confier 500 machines à un admin qui ne sait pas ce qu'il fait... peu importe le système... euh :p
    • [^] # Re: Education Nationale

      Posté par . Évalué à 4.

      mettre tout en oeuvre :), comme le formattage puis l'installation de linux. Franchement faut y aller si le ministre lui meme le dit !

      oui, je suit les directives du ministre desolé. mmmh il reste encore des PC sous windows ? la bas dans le fond ?
  • # Et pourtant ...

    Posté par (page perso) . Évalué à 6.

    L'apparition de ce ver est d'autant plus surprenante que Intramar est sensé être complètement déconnecté de l'extérieur ... du moins c'est ce que mon père, marin de son état et qui utilise ce "machin" tout les jours, me souffle à l'oreille ...

    Il y a donc fort à parier que le souci relève d'une interface chaise-clavier en plus de la défaillance des admins pour l'application du correctif sécurité.

    <mode statut="mauvaise_foi__ou_pas">
    heu ... un peu comme d'hab quand il s'agit de Win quoi ...
    </mode>
    • [^] # Re: Et pourtant ...

      Posté par . Évalué à 5.

      > Intramar est sensé être complètement déconnecté de l'extérieur.

      Il peut partager le même réseau physique que le réseau interne de la garnison/régiment (je ne connais pas les termes pour l'Armée de Mer), C'est ce qu'il se passait pour mon cas pour l'Intraterre à ses débuts. Le ver peut donc se propager au travers du réseau local et s'étendre bien au delà.

      Le matériel réseau était assez vétuste, il fallait assez souvent intervenir pour relancer des baies de brassages, pas de possibilité de mettre des VLAN sur le vieux matos (principalement des hubs et quelques switchs) qu'on gardait pour des raisons qui nous échappait. Le réseau était merdique, c'était souvent sapin de noël à cause des collisions mais toutes les machines étaient équipées d'un antivirus à jour et leurs utilisateurs avaient pour consigne de vérifier les supports avant de faire quoi que ce soit. De toute façon l'AV était tellement gueulard que la moindre alerte nous envoyait un message et les cas suspects déclenchaient l'envoi de gros bras pour taper à coups de clavier sur l'utilisateur. La dictature a du bon pour la gestion d'un parc informatique. :)

      Plusieurs fois nous avions reçu d'organismes militaires des disquettes avec virus, cela se faisait par vagues et par familles. Assez marrant à voir, mais assez préoccupant.

      Ce qui me préoccupe le plus dans ce cas, c'est que ça n'a pas l'air d'avoir beaucoup changé et que l'on retrouve des systèmes d'armes sensibles impactés par un problème sur un réseau qui devrait être différencié du réseau local par un système de passerelles, filtres...

      The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

      • [^] # Re: Et pourtant ...

        Posté par (page perso) . Évalué à 2.

        Ce qui me préoccupe le plus dans ce cas, c'est que ça n'a pas l'air d'avoir beaucoup changé et que l'on retrouve des systèmes d'armes sensibles impactés par un problème sur un réseau qui devrait être différencié du réseau local par un système de passerelles, filtres...
        Ce qui démontre que la séciruté d'un réseau ne peut être assuré, au moins au niveau de la Marine, sur un plan matériel et qu'il faut aussi se poser des questions sur le niveau OS et applicatif. Et c'est là qu'une solution qui ne serait pas basée sur le système d'exploitation le plus attaqué est certainement favorable.
    • [^] # Re: Et pourtant ...

      Posté par . Évalué à 9.

      Le problème des réseaux fermés, c'est que les admins (et surtout les (ir)responsables) se croient plus protégés et n'ont donc pas forcément une politique de mise à jour régulière - d'ailleurs il vaut mieux être connecté pour mettre à jour tout un parc (Firewall/DMZ toussa...), sauf à récupérer un à un les correctifs -. Ensuite ça oblige un minimum à utiliser les clefs USB, ne serait-ce que pour mettre la photo du p'tit dernier sur le fond d'écran, et Conficker se propage également par USB...
      Bref, se croire protégé parce qu'on est déconnecté, c'est se croire à l'abri d'un accident de voiture quand on est sur un circuit fermé : Senna porte quoi !
      • [^] # Re: Et pourtant ...

        Posté par (page perso) . Évalué à 3.

        ce n'est pas forcément qu'ils se croient plus protégés, c'est que pour bien faire ils devraient dupliquer l'infrastructure de mise à jour et de déploiement automatique et ce volet est bien souvent oublié (d'autant qu'il ouvrirait une brêche, propageant des éléments extérieurs dans le réseau "protégé", bref, mauvais ingé sécu, changer ingé sécu, tout découle d'une analyse de risque et de la capacité à y pallier : sans moyen, c'est mort ou manuel, donc pire).
  • # Faq :D

    Posté par (page perso) . Évalué à 3.

    - Comment les administrateurs d'un réseau militaire sensible peuvent-ils laisser leurs serveurs non patchés pendant des mois alors que le danger a été signalé et le que le correctif a été mis à disposition ?

    J'ai pas la réponse à cette question, mais elle répond bien aux deux interrogations précédentes.
  • # Question subsidiaire

    Posté par (page perso) . Évalué à 3.

    Allez c'est pas encore vendredi mais j'ai trop envie de le dire :

    On devrait reverser le pognon que nous a fait gagner ce ver en empechant deux rafales de voler au budget de la santé ou de l'éducation tiens.

    La question que je me pose c'est "comment on peut encore payer 40 milliards d'euros par ans pour entretenir une armada quelconque quand on raconte a longueur de journée qu'on a pas assez de pognon pour le reste des activités de l'état"
    • [^] # Re: Question subsidiaire

      Posté par (page perso) . Évalué à 3.

      on a pas assez de pognon pour le reste des activités de l'état
      De l'état si, pas de problème. Par contre de la société, tu peux te le... enfin... tu comprends.
  • # « critique »

    Posté par (page perso) . Évalué à 6.

    Les réseaux tels que l'Intramar, relié à l'Intradef sont des réseaux dont le contenu est certes confidentiels mais qui sont classés Diffusion Restreinte. On est loin des réseaux opérationnels et donc critiques.
    Par contre, ce réseau est de plus en plus utilisé par des applications qui nécessitent une certaine disponibilité (ne pas confondre avec opérationnel).
    Les réseaux CD et SD (si il en existe un) sont complètement séparés du réseau DR. Cependant, sur le réseau DR, les utilisateurs (et administrateurs), pour casser le mythe, restent des êtres humains comme tout le monde et sont plus proches des utilisateurs des grands groupes et entreprises privés et publics que l'on ne pourrait croire. Les risques sont donc plus élevés mais acceptés par le niveau même de confidentialité requis pour ce réseau.
    On retrouve exactement les mêmes problèmes que dans des groupes comme FT, EDF, etc..
    Pour finir : oui, il y a des logiciels propriétaires au sein du Ministère de la Défense, comme dans les autres ministères d'ailleurs, mais également de très nombreux Logiciels Libres. Je suis même surpris que cela t'étonne quand on sait que les Gendarmes (même s'ils ne font plus partie de la Défense maintenant) ont migré, certes, sur Firefox, Thunderbird et OpenOffice.org mais ont conservé l'usage de Microsoft Windows. Là aussi, il faut tenir une politique d'application des mises de sécurité et c'est plus facile à dire qu'à faire.
    Et je confirme, pour avoir vu les fameux « procédés curatifs » à l'oeuvre, les propos de Laurent Teisseire : l'outil utilisé requiert de démarrer le poste de travail en mode sans échec et le processus peut prendre jusqu'à trois jours si ce dernier dispose de nombreuses archives car leur outil ne fait pas dans la dentelle (comprendre : ne s'occupe pas seulement du virus dont il était question).
    D'ailleurs, les Rafales opérationnels pouvaient toujours décoller.
    • [^] # Re: « critique »

      Posté par (page perso) . Évalué à 3.

      >>> D'ailleurs, les Rafales opérationnels pouvaient toujours décoller.

      Tiens c'est marrant mais le dernier paragraphe de l'article sur le blog de Jean-Dominique Merchet a été rajouté après-coup (sans que cela soit indiqué).
      Avant l'article se terminait sur la phrase "Ce n'est pas forcément plus rassurant...".
    • [^] # Re: « critique »

      Posté par . Évalué à 5.

      Une précision cependant : la gendarmerie est en cours de migration sur Linux.
  • # April

    Posté par . Évalué à 4.

    L'April pourrait contacter un député pour que mercredi prochain il pose une question au gouvernement à ce sujet ...
    • [^] # Re: April

      Posté par . Évalué à -1.

      Qu'est ce que l'April a a voir avec des admins qui n'installent pas des patchs de securite ?
      • [^] # Re: April

        Posté par . Évalué à 5.

        Peut-être que cela coûte moins chère d'avoir un autre OS qu'un système windows à jour ?

        "La première sécurité est la liberté"

      • [^] # Re: April

        Posté par . Évalué à -5.

        Le problème n'est pas que les admins n aient pas fait de mise à jour de sécurité,. Par nature le fait même de faire tourner des serveurs Windows implique l'incompétence des sois disant admin. J'attends des employés de l'état (payés par mes impots) un comportement responsable et professionel. Un 'admin' Windows n'est qu'un amateur en admin, ne pas patcher ses serveurs en est révélateur au plus haut point.
        • [^] # Re: April

          Posté par . Évalué à 0.

          A part sortir des prejuges idiots sur Windows et les gens qui l'utilisent, t'as un truc intelligent a dire ?
          • [^] # Re: April

            Posté par . Évalué à -2.

            1) Intelligent comme un pseudo admin Windows, je crois pas
            2) Pas préjugé -> Postjugé et constaté dans la vraie vie, celle de l'industrie, du vrai monde qui bosse.
            3) Je dis tout haut ce que tout le monde pense tout bas, et suis le premier à faire virer des boites les incompétents qui ont enfermé les sociétés où j'intervient dans le système mafieux microsoft, et j'en suis fier (on a la fierté qu'on peut hein PBPG ...). Et en plus je me fais du pognon avec ça.
            • [^] # Re: April

              Posté par . Évalué à 1.

              1) Oh non, tu sembles l'etre beaucoup moins qu'eux
              2) Tu parles de l'industrie dont les serveurs tournent a 70% sous Windows ? Ah oui merci pour ce grand moment d'humour
              3) Tu crois que tout le monde pense tout bas tes prejuges, la realite c'est que les parts de marche de Windows sur les serveurs augmentent constamment depuis plus de 10 ans, et il n'y a pas de vente liee sur les serveurs, les gens choisissent d'avoir des serveurs Windows, faudra donc penser a sortir de ta bulle.
            • [^] # Re: April

              Posté par . Évalué à 4.

              Quelle honte, être fier de faire renvoyer des gens pour gagner de l'argent, et par dessus tout s'en vanter sur un forum.
            • [^] # Re: April

              Posté par (page perso) . Évalué à 1.

              1) Et toi tu es bien plus malin bien sûr ?
              2) Celui des winners ? Des vrais durs, des tatoués ? Bizarre moi j'ai déjà rencontré des bons admins Microsoft (même si je ne suis pas souvent d'accord avec eux ...) sur des gros réseaux de la vrai vie du monde qui bosse comme tu l'indiques si finement.
              3) Tu dis tout haut ce que tu penses tout bas, quand au reste de ce passage, sans commentaires, il suffit de te lire ...

              Tu es la caricature même, je dois dire que ça fait un paquet d'années que je n'entend plus ce type de discours, et pourtant moi aussi j'ai poussé pour faire enlever des paquets de serveurs sous Windows. (tout simplement pour être tranquille après ;-) )
  • # Linux / Windows

    Posté par (page perso) . Évalué à 1.

    Ha là là, je reconnais bien le troll caché dans les bois quand même,
    qu'un système soit open-source ou pas, quand il n'est pas
    mis à jour cela ne change absolument rien Linux, Bsd, Windows, TartenpionOs(tm) sont tous aussi vulnérables.

    A ce propos il n'y a eu qu'un an de continuité des màj debian 3.1 lors
    de la sortie de la 4.0, qui dit pire ?


    Nicolas
    • [^] # Re: Linux / Windows

      Posté par . Évalué à 4.

      Non, pas MultiDeskOS :)
    • [^] # Re: Linux / Windows

      Posté par . Évalué à 6.

      A ce propos il n'y a eu qu'un an de continuité des màj debian 3.1 lors
      de la sortie de la 4.0, qui dit pire ?


      Oui enfin il y a en moyenne 2 ans entre chaque sortie de debian stable, plus un an de maj de sécurité ça te fais 3 ans de tranquillité. Ce qui je te l'accorde n'est pas beaucoup pour un serveur, mais bon si cela ne convient pas il suffit de se retourner vers une RHEL par exemple. Et puis bon il y a aussi la possibilité d'upgrader en version suivante assez simplement avec debian, bien qu'il soit préférable de tester quand même avant de migrer tout ses serveurs...

      Pour ma part, j'ai migré de sarge vers etch plusieurs serveurs avec juste quelques fichiers de conf par ci par la à modifier...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.