prenons un salaire brute de 5000 euro pour englober tous les frais
5000EUR bruts par mois, c'est environ deux fois le salaire brut moyen français en 2003[1]. Et je ne pense pas qu'il ait explosé dans ces proportions en deux ans (ou alors, on m'a oublié en chemin. En outre, comme précisé plus tôt, une moyenne c'est ridicule si ce n'est pas accompagné d'une donnée comme l'écart-type pour juger de sa répartition. La médiane est nettement plus parlante amha.
une contribution mensuelle de 10 euro, soit 120 euro par ans
La part de la contribution dans le salaire de quelqu'un dépend évidemment du montant de ce salaire, emputé de toutes les charges courantes. Je pense qu'il y a pleins de gens qui touchent le SMIC qui ont objectivement vachement mieux à faire que de filer 120EUR/an que de financer du logiciel libre... Avis personnel cependant.
(60M*120)/(5k*12) = 120 000 salaires!
La France compte dans les 60 millions d'habitants, pour autant, ils ne sont pas tous actifs. Il parait par exemple qu'il est interdit de faire travailler les enfants et que certaines personnes d'un age avancé seraient à la retraite. Remarque 5000EUR/mois pour un collégien ou un retraité, ça doit être cool (en tout cas, ça ferait plaisir à mon grand-père). Sinon, pour info, la population active en 2004[2], c'est 27,5 millions de personnes.
Ensuite, considérer les ménages plutôt que les individus est sûrement plus représentatif. Revenu disponible moyen d'un ménage en 2002[3] : 27kEUR/an nets d'impôt. La médiane, c'est 23kEUR. Là encore, on est loin des 5000EUR/an bruts par personne.
À l'échelle de la terre, ça devrait être jouable.
Ouais, sauf que sur Terre, dans pas mal de pays, le salaire moyen a tendance à descendre très bas, que pas mal de gens ne gagne rien du tout, que certains meurent de faim, de maladie, de la guerre ou je ne sais quoi, que beaucoup n'ont jamais touché d'ordinateur, et que même si c'était le cas, ils auraient mieux à faire de 120EUR/an, comme nourrir leurs enfants par exemple.
Au lieu de fumer, financer des logiciels.
Ou donner à la croix-rouge, médecins du monde, parrainer des enfants, etc. Ou reposer les pieds sur Terre, au choix.
Ah ouais mais je suis con, c'était du second degré, c'est ça ? ;))))
Ce qui est proposé, c'est que si le logiciel libre d'origine dispose d'une commande permettant aux « utilisateurs » du logiciel de télécharger le code source de ce logiciel, alors tout utilisateur, donc les boîtes aussi, doivent conserver cette commande.
Et si je fais un fork, je dois conserver la commande placée par le projet d'origine ? Et je place la mienne en dessous ? Et si j'utilise le software avec ma propre UI, je dois répéter cette commande ? À première vue, je trouve ça étrange comme restriction...
Cependant il suffit qu'un contributeur n'accepte pas et l'auteur ne doit plus pouvoir changer la license sans retirer le dit code laissé en GPL par ce tiers
Le choix de passer Nessus 3 sous licence propriétaire est évidemment une mauvaise nouvelle, mais d'un autre côté, j'ai tendance, même si je n'adhère pas, à en comprendre certaines raisons. Contrairement à ce qui a pu être écrit ici, Renaud ne s'en cache pas vraiment sur le thread qui en a découlé sur la liste Nessus[1] :
A number of companies are _using_ the source code against us, by selling or renting appliances, thus exploiting a loophole in the GPL. So in that regard, we have been fueling our own competition and we want to put an end to that. Nessus3 contains an improved engine, and we don't want our competition to claim to have improved "their" scanner.
Comprendre en gros "les autres utilisent notre travail contre nous, on en a marre de leur fournir des munitions pour cela et on passe au propriétaire". Je peux comprendre ce type de raisonnement, d'autant que Nessus 2 reste maintenu sous GPL. Ce qui veut dire que, le jeu du logiciel libre, les hypothétiques contributeurs peuvent continuer à contribuer, d'autres peuvent venir, et n'importe qui peut forker un nouveau scanner à partir de là si l'envie lui en prend. C'est aussi un des aspects sympa de la GPL. Et si effectivement, comme certains l'avancent, il y a autant de contributeurs que ça, il n'y aura pas de soucis à se faire pour l'avenir de la version GPL de Nessus...
Maintenant, ça me fait beaucoup penser à tous les messages qu'on a pu lire autour de la création de Sourcefire à propos d'une hypothétique disparition de Snort suite à la création d'une version propriétaire "plus efficace". Pour autant, Snort est encore là, sous GPL, et personne n'a vraiment senti le besoin de forker... La seule différence entre Nessus et Sourcefire sur ce coup là, c'est amha que Sourcefire ne s'appelle pas Snort 3...
C'est bizarre comme les gens ont tendance à très vite oublier que la bande passante a un coût (accès, infrastructure, maintenance) dès lors que ce n'est pas eux qui la paie...
Je te trouve dur dans ton commentaire. D'autant plus que tu emploies allègrement les méthodes que tu décries. Le expressions auto-congratulation stupide et imméritée et informer le lecteur au lieu de déformer en sont les deux exemples parfaits, que tu n'étayes en aucun point. Bref, tu contredis de manière purement gratuite (et violente) l'enthousiasme certes excessif, mais pour le moins excusable, de Pierre en insinuant (euphémisme) que ce qu'il avance est totalement faux.
Pour autant, s'il est vrai qu'on ne peut pas dire de but en blanc que les pays du sud on choisi le logiciel libre, des exemples montrant que certains de ces pays ont clairement choisi cette voie, existent (sans être légion certes) en Afrique, Amérique du Sud ou Asie. Quelques uns ont refusé publiquement des offres propriétaires ou déclaré officiellement leur préférence pour les logiciels libre. D'autres ont intégré des éléments législatifs favorables, typiquement la préférence pour les formats ouverts. D'autres enfin ont largement dépassé le stade de la réflexion et mis en route le processus législatif. Pelle-mêle, dans tout ça, on pourra citer le Maroc, la Tunisie, la Côte d'Ivoire, l'Afrique du Sud, le Brésil, le Vénézuela, l'Inde. Pour finir par les exemples les plus marquant à mon sens, on pourra citer la Commission Économique pour l'Afrique des Nations Unies d'une part qui a publié des recommandations dans ce sens lors des deux derniers CODI (Comité pour le Développement de l'Information) en 2003 et 2005, le NEPAD (New Partnership for Africa Develoment) d'autre part exprime des prises de positions clairement dans le sens des formats ouverts et du logiciel libre dans son soutient à la FOSSFA (Free and Open Source Software Foundation for Africa) et, enfin, de nombreux pays dits "du Sud" qui ont défendu ses engagements dans ce sens (obtention de la préférence pour les formats ouverts en particulier) lors du Sommet Mondial sur la Société de l'Information à Genève en 2003 (et les défendront à nouveau à Tunis le mois prochain comme le montre les résolutions du sommet de préparation d'Accra et du CODI4).
Ce n'est certes pas l'immense majorité de ces pays qui se lancent individuellement et officiellement sur cette voie, mais les instances représentatives manifestent clairement leur soutient à l'informatique "ouverte" et/ou libre, et montrent, me semble-t-il l'existence d'un mouvement fort, loin d'être anodin, et qui n'a rien à mon sens de sensationaliste.
Pour ce qui est des RALLs en particulier, l'évènement me semble être une expression forte traduisant l'intérêt(et souvent plus) des pays africains francophones pour le logiciel libre. Je crois pas que tout cela puisse se résumer à juste quelques dizaines de personnes se sont déplacées à un rendez-vous commun sur les logiciels libres. C'est faux, c'est bas, et c'est surtout insultant pour tous ceux qui se sont impliqués dans la création et l'organisation de ces rencontres certes, mais également de tout le réseau associatif (AAUL et les LUGs participants) et politique (ministères, instances représentatives) sur lesquelles elles s'appuient. Les RALLs, n'étant certainement pas l'expression fort et unanime des pays du Sud, tout comme les RMLLs ne sont pas l'expression unanime des informaticiens de la planète, n'en reste pas moins un évènement fort si on le remet dans le contexte. En effet, si pas mal d'entre nous (français, européen, voire de plus loin) peuvent se fendre d'un billet de train ou d'avion pour assister aux RMLLs, il n'en va pas de même des africains, quel que soit leur degré de motivation. Je suis peut-être naïf, mais parvenir à déplacer une 100e de personnes avec les coûts et les démarchent administratives (obtention de visa en particulier) que cela implique pour les participants (dont la plupart doivent être financés à 100%) est loin d'être anodin et demande clairement une implication des instances politiques de certains pays participant et des instances associatives et représentatives (AAUL et AIF en l'occurence).
En tout cas, comme on dit, la critique est toujours aisée, et c'est particulièrement le cas quand elle est gratuite... Et puis je vais m'arrêter là, parce que je sens que je vais rapidement tomber dedans aussi et sombrer dans les remarques hautement constructives sur les balais, les paillassons et les culs vissés sur leur chaise. Du coup, je vais laisser par pure feignantise le soin au lecteur de chercher les documents auxquels je fais référence et se faire sa propre idée, et vais m'en retourner à la préparation de ce petit rendez-vous commun.
And, since the Tor network is still relatively small, it's possible that a powerful attacker could trace users. Even in its current state, though, we believe Tor is much safer than direct connections.
Tor est censé pouvoir encore apporter un niveau de confiance élevé avec la moitié de ses noeuds corrompus. Toujours ce problème du nombre de noeuds :)
Sinon, juste un remarque. Héberger un noeud de sortie Tor n'est pas anodin en termes de responsabilité. Si un utilisateur du réseau fait des conneries en sortant de chez toi, c'est pour ta pomme.
Aider ce projet est d'intêret public, multiplier les noeuds si vous êtes en capacité de le faire.
100% agree.
Puisqu'on est dans le déballage de liens, voilà les slides qu'une excellente conférence d'Adam Shostack à laquelle j'ai pu assister sur justement la publication anonyme de blogs (désolé, PPT inside) :
Euh, peut-être, mais j'ai du mal a comprendre ce qui pourrait empecher le gouvernement Chinois d'imposer aux FAI de filtrer les paquets émis depuis et vers tous les noeuds Tor?
C'est amha un problème structurel de Tor.
Pour être efficace, la système doit proposer un grand nombre de noeud à l'utilisateur. Ainsi, on réduit les chances de voir le trafic analysé et de se faire remonter. Or, une grosse infrastructure est d'une part difficile à diffuser de manière privée, et d'autre difficile à maîtriser en terme de confiance.
Et là, on un gros problème. Si un utilisateur, dans un pays dont le gouvernement surveille le trafic, veulent sortir en utilisant un système comme Tor (ou similaire), ils doivent utiliser des noeuds privés, en externe comme en interne. Mais comment diffuser cette information de manière secrête ? Comment diffuser des révocations efficaces de manière secrête ? Etc.
De plus, qu'est-ce qui empêchera les autorités suscitées de proposer elles-même une infrastructure par les mêmes moyens. Comme cela se fait secrêtement, il y aura moins de monde pour vérifier les bonnes intentions des propriétaires des noeuds. Et comme l'entité est puissante, elle peut proposer énormément plus de noeuds que les gens de bonne foi. On ne perdra certes pas la confidentialité des échanges, mais on y perdra énormément en anonymisation. Or, c'est super important, parce que...
certes ils ne peuvent pas casser le chiffrage, mais bon courage pour leur dire que c'était juste par curiosité et que tu n'as rien fait de "mal"
Dans les pays à régime autoritaire, on n'a que faire de savoir ce que tu faisais vraiment. On ne s'embarasse pas de détail : tu es louche, tu vas en tôle. Point. En outre, la fait de proposer une infrastructure permet de tracer les noeuds utilisés, en externe pour les filtrer et en interne pour les "descendre".
D'ailleurs, c'est un réflexion rigolote sur tous les services anonymisants commerciaux ou plus ou moins privés qu'on trouve sur la toile : quelle confiance peut-on accorder à un système anonymisant non communautaire sous le contrôle d'un individu ou d'une entité ? Perso, je me suis déjà fait une bonne idée sur la question ;)
Enfin, comme précisé dans la documentation de Tor, le système ne protège pas de l'analyse des messages qui sont postés avec (mots utilisés, tournure des phrases, etc.). Et contrairement à ce que beaucoup de gens pensent, c'est terriblement efficace.
La liste des noeuds Tor est publique. Il suffit de la parcourir pour identifier tous les noeuds de sortie et les filtrer. Et personne ne viendra chez toi depuis un noeud Tor public.
C'est bizarre car moi justement ce que je trouve vraiment ch***t sous windows c'est que je n'ai pas trouvé de firewall non applicatif.
Un truc comme le système de filtrage de paquet intégré ? C'est con, tu l'avais sous le nez... C'est un truc fourni en standard sous 2000/XP/2003 qu'on peut configurer avec des outils en ligne de commande comme ça :
Perso, je suis moyennement convaincu parce qu'il existe un point pourtant fondamental à mon sens qui n'est pas présenté, à savoir que le rapport de confiance ne concerne pas l'utilisateur.
Je m'explique. Lorsqu'un Microsoft propose de faire du Trusted Computing, il n'essaye pas de faire en sorte que l'utilisateur ait confiance en sa plate-forme. Loin de là. Il veut faire en sorte que les éditeurs de logiciels, de contenu, etc. aient confiance en sa plate-forme. C'est à dire qu'il produise pour sa plate-forme en échange d'une promesse que celle-ci sera capable de "protéger" leurs produits contre _l'utilisateur_ de la plate-forme.
Il y a bien relation de confiance, effectivement, mais pas envers l'utilisateur. Du tout.
En réalité, ce qui apparaît lorsqu’on lit soigneusement la GPL, c’est que cette contrainte n’est valable qu’à partir du moment où l’application est diffusée à des tiers.
Sinon, j'aime bien également le graphique coûts/risques[1] sans échelle et surtout sans aucune référence ni source de données, bref sorti de nul part, si ce n'est de l'imagination de l'auteur...
Et puis c'est pas comme si on repassait par des clichés classiques et récurrents qui ont décidemment la vie dure, OpenSource = Libre en tête...
la dénomination "open" me laisse perplexe quand à la sécurisation du réseaux
Il y a deux choses nécessaire pour arriver à se connecter à un réseau WEP :
1. s'authentifier
2. être capable de chiffrer/déchiffrer
Pour l'authentification, on a deux modes, à savoir le mode shared et le mode open. Le mode shared vérifier que la personne qui s'associe possède bien la clé WEP avec un challenge/réponse. Problème, cette authentification nous livre un joli cleartext qui est rédibitoire sur tout ce qui est à base de XOR (donc RC4). En mode open, on ne vérifie pas.
Mais ce qui est drôle, c'est que finallement, vérifier ne sert à rien, puisque même si le gars est associé (mode open), s'il n'a pas la clé, il ne peut ni lire, ni émettre. Non seulement, c'est inutile, mais en plus, ça introduit une faille de sécurité qu'on pourra utiliser comme point de départ pour péter la clé WEP. Donc finallement, dans le doute, tu as choisi la bonne solution au niveau de l'authentification :)
Ceci dit, le WEP, ça fait 5 ans (premier papier en 2000) qu'on sait que ça ne vaut pas le début d'une tête de clou...
Sinon, les filtres d'adresses MAC, c'est bon pour contrer les gens qui ne savent pas encore changer leur adresse avec ifconfig hw ether (si un mec s'associe, alors on peut utiliser son adresse MAC, et en même temps que lui), et la non-diffusion du BSSID ne sert, ici encore, tant que personne ne s'associe (auquel cas, le probe du client contient le SSID), mais ça permet toujours de refouler les utilisateurs de Netstumbler.
Recette :
1. Récupérer le driver sur le site, make make install, sinon il est en package sur pratiquement toutes les distribs. À noter que cette étape est nécessaire pour faire marcher la carte tout court, et que le support WPA est inclus de base, sans patch, depuis 5 mois (version 1.0.1). Sur la Debian, toutes les versions disponibles supportent le WPA, même en stable.
2. Récupérer la version stable de wpa_supplicant, make, make install, sinon, là encore, c'est inclus dans les distributions. Sur une Knoppix "Out of the box", ça marche. Sur la Debian, toutes les versions disponibles supportent l'ipw2200, même en stable.
So what ?
Pour les drivers chiants, j'aurais plutôt voté ndiswrapper pour les pauvres possesseurs de Broadcom qui équipe également pas mal de laptops. Mais là encore, c'est du make, make install plus une phase de configuration à la con, mais ça supporte aussi WPA de base. Sinon, le gros manquant, c'est prism54, amha... C'est en particulier pour cela que le solution de repli ne doit pas être exclue.
L'initiative est certes louable
[...]
le prix [...] ca fais mal par ou ca passe
Elle a au moins le mérite d'exister et je trouve très louable que des gens se lancent là-dedans. L'avenir dira ce qu'elle vaut, mais pour connaître certains des intervenants cités, je ne me pas trop de soucis sur ce point là. Ni ne me pose de question sur leurs motivations d'ailleurs. Certes c'est cher, mais c'est la première année, et je pense qu'il y a pas mal d'investissement à éponger, en particulier en développement et mise en place de la plate-forme de formation et en préparation des enseignements.
De plus, je vois pas mal de comparaisons, mais il est toujours très difficile de fixer les prix les prix de départ par rapport à des enseignements qui tournent depuis des années et qui ont donc des éléments factuels sur lesquels se projeter et donc fixer des prix au plus juste...
que vaudra la certif....? ca m'a quand même l'air d'être "sorti de l'oeuf". Qui reconnaitra cette certification? car c'est bien beau d'avoir le papier, mais si les futurs-potentiel-employeurs s'en tamponne le coquillard, ou est l'interêt (mis a part la curiosité personnelle...)
Ça encore, c'est l'avenir qui le dira. Mais pour qu'une formation se fasse un nom et se voit reconnue, il faut bien qu'elle commence un jour. Et d'ailleurs, le but d'une formation est-il seulement d'avoir un joli morceau de papier avec marqué "Certification" dessus à la sortie ? Ce n'est pas du tout mon point de vue. Mais pour continuer dans ce sens, afficher 320h de formation, même par correspondance, sur son CV n'a rien d'anodin.
Bref, résumer une formation au ROI de sa certification est une vision que je trouve carrément étroite. C'est oublier un peu vite son contenu et ce qu'il va t'apporter en terme de compétences et de savoir. Charge à toi ensuite de savoir faire valoir ces acquis.
<avis manichéen qui n'engage que moi>
De toute manière, pour généraliser abusivement et caricaturalement, je trouve que le système engendré par les certifications commerciales est globalement une usine à feignants. On vous propose des formations toute machées sur "comment réussir l'examen de certification", pour aller passer le beau QCM tout en douceur, et s'en sortir avec le beau papier. Ensuite, on a des gens qui, à la question "vous savez faire quoi ?" ne savent vous répondre que "j'ai un beau papier". "Certes, mais concrêtement monsieur, vous savez faire quoi ? Pleins de choses, regardez, j'ai un beau papier". On finit avec des gens qui ne savent même plus mettre en valeur leur propre savoir autrement qu'en exhibant leurs certifications... C'est un pareil avec des diplômes me dira-t-on, mais j'ai tendance à accorder plus de foi à un diplôme reconnu qu'à une certification commerciale.
</avis manichéen que n'engage que moi>
D'ailleurs, y'a un très beau raccourci pour les gens qui aiment les certifications mais n'ont que faire des formations, ça s'appelle le passage direct à l'examen, qui a un prix lui aussi, largement plus exhorbitant que quoi que ce soit rapporté à l'heure passé :)))
tout a distance, oui c'est pratique [...] mais comment faire en cas de pépin ou en cas de demande d'aide un peu plus approfondie?
Je ne sais pas ce qu'ils ont sous la main, mais on peut passer par pleins d'outils de communication modernes qu'on utilise tous les jours, et dont l'efficacité variera selon le degré de disponibilité des intervenants et les questions. On pourra citer l'email, des forums, une messagerie instantanée, des chatrooms, un wiki, etc.
Au final, je trouve cette initiative digne d'intérêt. En tout cas, ça fait plaisir de voir que ça bouge en Limousin (home, sweet home) :P
Pour l'an prochain je ne vois qu'une possibilité , c'est que tu t'occupes du réseau !
Je ne sais pas pourquoi, mais je la sentais venir celle-là :)))
Warum nicht, ce serait même un vrai plaisir, mais le problème, c'est que j'ai un vrai travail, à 600km de Bordeaux. Donc à part le yakafokon de loin :/
Il est vrai. Mais à leur décharge, on pourra avancer qu'il est toujours difficile de fournir un accès complètement ouvert au quidam lambda et d'assumer les éventuels problème juridiques qui pourrait découler d'une utilisation malintentionnée de l'accès. Le système d'authentification permet d'introduire l'acceptation de la charte et un tout petit peu de traçabilité.
Par contre, ce qui me déçoit un peu, c'est que les RMLLs n'aillent pas aller vers des techniques plus avancées pour gérer les accès Internet, comme utiliser du 802.1x pour le filaire et du WPA/WPA2 pour le sans fil. Tant qu'à obliger les gens à s'authentifier, autant le faire comme il faut, avec des méthodes solides, agrémentées de deux ou trois features supplémentaires, qui en outre permettront de mettre les clients WiFi à l'abri de pas mal de saloperies qui trainent sur ces réseaux (écoute, rogue AP, injection de trafic, ARP/DNS poisoning, etc.).
On me dira que tout le monde ne peut pas l'utiliser... Bon soit, même si c'est supporté par MacOX X, Win2KSP4/XP, que wpa_supplicant (http://hostap.epitest.fi/wpa_supplicant/(...) ) tourne sur pas mal de carte sous Linux, BSD et même Win32, et qu'on peut monter un AP sous Linux ou BSD avec hostapd (http://hostap.epitest.fi/hostapd/(...) ) sur driver hostap, Prism54 ou madwifi, on peut toujours laisser un accès normal avec un portail captif à deux balles pour ceux qui n'ont pas (ou ne veulent pas installer) le support adéquat.
De même, ça pourrait être drôle de monter un mesh network avec des WRT54G flashés sous OpenWRT (http://openwrt.org/(...) ) et configuré en ad-hoc avec OSLR. Histoire de changer. Surtout que vu la surface concernée et le nombre d'utilisateurs (et donc leur densité), je pense que ça marcherait nettement mieux qu'une couverture en miode infrastructure.
Tout ça pour dire que les RMLLs devrait aussi, amha, servir de vitrine technologique du libre dans les services qu'ils proposent. Je sais que ça demande du travail, et donc du temps et du manpower, mais bon voilà. Ce sont mes 0,02¤ de pensée de la journée...
Des trucs comme celle sur l'Hyperthreading[1] (pas de dépèche pour celle là ?) ou le Firewire[2] me semblent nettement plus intéressantes, ne serait-ce que parce qu'elles sont détaillées.
Hum a lire la news on parle la de cassage d'un IPsec avec authentification mais sans verification d'intégrité
De ce que j'ai compris, la news est partiellement fausse, parce qu'elle reprend pas mal d'interprétations erronées de l'advisory.
On peut lire dans la news :
Cette faille concerne les tunnels IPSec ESP (Encapsulating Security Payload) et certaines configurations utilisant AH (Authentification Header)
Si on utilise AH, on n'est pas vulnérable, et si on utilisant la partie intégrité/authentification de ESP non plus. C'est dans la partie "Solution" de l'avis.
Tout se joue en fait sur le terme de "authentication".
Dans IPSEC, tu as l'authentification en phase 1 pour la mise en place du tunnel, et qui est toujours présente. Ce n'est pas de cela qu'il est question. Il s'agit ici de l'ajout de données d'authentification _et_ de vérification d'intégrité sous forme de somme HMAC (hash avec secret partagé pour faire rapide). Ces données peuvent être incluses dans ESP pour vérifier le payload chiffré et/ou sous forme distincte pour vérifier le paquet IPSEC complet, et ça s'appelle AH.
Ces deux mécanismes (très similaires mais à la portée différente) permettent justement d'éviter les modifications du payload ESP et donc de rendre cette attaque inopérante.
permet à l'attaquant de récupérer en clair le contenu d'un paquet qui ne lui est pas destiné par un message d'erreur ICMP
Ceci n'est pas tout à fait exact non plus. Le truc, c'est qu'on peut (s'il n'y a pas de vérification d'intégrité dans ESP ou avec AH), modifier le payload ESP par bit flipping, ce qui permet en particulier d'altérer l'entête du paquet chiffré (contenu dans le payload ESP) pour obtenir sa redirection directe (routage, attaque 1) ou indirecte (erreur ICMP, attaques 2 et 3). L'advisory cite en particulier 3 attaques :
. modification de l'adresses destination qui entraîne la redirection du paquet après déchiffrement par simple routage. Cela dépend de la configuration du filtrage sur le concentrateur VPN, mais c'est très plausible. C'est d'ailleurs à mon sens la seule des trois qui se tient.
. 2 attaques par modification de la source et injection d'une erreur dans l'entête IP pour entraîner l'émission d'un ICMP vers la source modifiée. On cite la modification des options IP pour obtenir un Parameter Problem et la modification du champ Protocol pour obtenir un Protocol Unreachable, mais finallement, la plupart des erreurs ICMP feront l'affaire (TTL exceeded par exemple). Là encore, ça dépend de la configuration du concentrateur, mais surtout, ça ne donne la plupart du temps pas le paquet IP ! En effet, une erreur ICMP ne contient que l'entête du paquet IP qui l'a généré, plus les 8 octets suivant (ce qui nous amène, dans le cas de TCP, aux ports source et destination et au numéro de séquence). C'est très clairement expliqué dans la RFC 792 (voir format des messages Parameter problem et Destination unreachable). Certaines implémentations incluent plus, mais elles sont rares...
Bref, cet advisory fait l'objet de pas mal d'articles assez faux quant à son contenu et ses conséquences, que je trouve d'ailleurs un poil exagérées (les trucs ICMP en particulier). Il traite d'un sujet qu'on connaissait déjà (cf. post de Ouah), même si c'est de bon ton de rappeler ce genre de trucs de temps en temps, et ce n'est pas une surprise. Si certains s'interroger sur la nécessité d'activer le HMAC sans ESP, ben maintenant, ils savent.
En ce moment, c'est la mode de la "redécouverte". On nous a servi le même truc avec les DoS TCP par injection de RST, déjà remonté l'an dernier (et déjà une redécouverte) et tout récemment avec les DoS par construction d'erreur ICMP. Les habitués des IRC Wars connaissent bien les "Click4.exe like" qui faisaient déjà ça en 1997 :)
[^] # Re: rooh
Posté par Cédric Blancher . En réponse à la dépêche La version 3 de Nessus sera propriétaire. Évalué à 4.
Ce que font la plupart des gens...
[^] # Re: C'est surtout le problème du logiciel libre.
Posté par Cédric Blancher . En réponse à la dépêche La version 3 de Nessus sera propriétaire. Évalué à 4.
Ouais mais très rapide alors...
La France, c'est 60 millions de personnes.
Right.
prenons un salaire brute de 5000 euro pour englober tous les frais
5000EUR bruts par mois, c'est environ deux fois le salaire brut moyen français en 2003[1]. Et je ne pense pas qu'il ait explosé dans ces proportions en deux ans (ou alors, on m'a oublié en chemin. En outre, comme précisé plus tôt, une moyenne c'est ridicule si ce n'est pas accompagné d'une donnée comme l'écart-type pour juger de sa répartition. La médiane est nettement plus parlante amha.
une contribution mensuelle de 10 euro, soit 120 euro par ans
La part de la contribution dans le salaire de quelqu'un dépend évidemment du montant de ce salaire, emputé de toutes les charges courantes. Je pense qu'il y a pleins de gens qui touchent le SMIC qui ont objectivement vachement mieux à faire que de filer 120EUR/an que de financer du logiciel libre... Avis personnel cependant.
(60M*120)/(5k*12) = 120 000 salaires!
La France compte dans les 60 millions d'habitants, pour autant, ils ne sont pas tous actifs. Il parait par exemple qu'il est interdit de faire travailler les enfants et que certaines personnes d'un age avancé seraient à la retraite. Remarque 5000EUR/mois pour un collégien ou un retraité, ça doit être cool (en tout cas, ça ferait plaisir à mon grand-père). Sinon, pour info, la population active en 2004[2], c'est 27,5 millions de personnes.
Ensuite, considérer les ménages plutôt que les individus est sûrement plus représentatif. Revenu disponible moyen d'un ménage en 2002[3] : 27kEUR/an nets d'impôt. La médiane, c'est 23kEUR. Là encore, on est loin des 5000EUR/an bruts par personne.
À l'échelle de la terre, ça devrait être jouable.
Ouais, sauf que sur Terre, dans pas mal de pays, le salaire moyen a tendance à descendre très bas, que pas mal de gens ne gagne rien du tout, que certains meurent de faim, de maladie, de la guerre ou je ne sais quoi, que beaucoup n'ont jamais touché d'ordinateur, et que même si c'était le cas, ils auraient mieux à faire de 120EUR/an, comme nourrir leurs enfants par exemple.
Au lieu de fumer, financer des logiciels.
Ou donner à la croix-rouge, médecins du monde, parrainer des enfants, etc. Ou reposer les pieds sur Terre, au choix.
Ah ouais mais je suis con, c'était du second degré, c'est ça ? ;))))
[1] http://www.insee.fr/fr/ffc/accueil_ffc.asp?theme=4&souspop=(...)
[2] http://www.insee.fr/fr/ffc/chifcle_fiche.asp?ref_id=NATFPS03106&(...)
[3] http://www.insee.fr/fr/ffc/chifcle_fiche.asp?ref_id=NATSOS04202&(...)
[^] # Re: licence adaptée à la fourniture de services, style GPLv3
Posté par Cédric Blancher . En réponse à la dépêche La version 3 de Nessus sera propriétaire. Évalué à 5.
Et si je fais un fork, je dois conserver la commande placée par le projet d'origine ? Et je place la mienne en dessous ? Et si j'utilise le software avec ma propre UI, je dois répéter cette commande ? À première vue, je trouve ça étrange comme restriction...
[^] # Re: Et pourquoi pas ...
Posté par Cédric Blancher . En réponse à la dépêche La version 3 de Nessus sera propriétaire. Évalué à 3.
-----> [ ]
[^] # Re: rooh
Posté par Cédric Blancher . En réponse à la dépêche La version 3 de Nessus sera propriétaire. Évalué à 10.
A number of companies are _using_ the source code against us, by selling or renting appliances, thus exploiting a loophole in the GPL. So in that regard, we have been fueling our own competition and we want to put an end to that. Nessus3 contains an improved engine, and we don't want our competition to claim to have improved "their" scanner.
Comprendre en gros "les autres utilisent notre travail contre nous, on en a marre de leur fournir des munitions pour cela et on passe au propriétaire". Je peux comprendre ce type de raisonnement, d'autant que Nessus 2 reste maintenu sous GPL. Ce qui veut dire que, le jeu du logiciel libre, les hypothétiques contributeurs peuvent continuer à contribuer, d'autres peuvent venir, et n'importe qui peut forker un nouveau scanner à partir de là si l'envie lui en prend. C'est aussi un des aspects sympa de la GPL. Et si effectivement, comme certains l'avancent, il y a autant de contributeurs que ça, il n'y aura pas de soucis à se faire pour l'avenir de la version GPL de Nessus...
Maintenant, ça me fait beaucoup penser à tous les messages qu'on a pu lire autour de la création de Sourcefire à propos d'une hypothétique disparition de Snort suite à la création d'une version propriétaire "plus efficace". Pour autant, Snort est encore là, sous GPL, et personne n'a vraiment senti le besoin de forker... La seule différence entre Nessus et Sourcefire sur ce coup là, c'est amha que Sourcefire ne s'appelle pas Snort 3...
[1] http://mail.nessus.org/pipermail/nessus/(...)
[^] # Re: Skype
Posté par Cédric Blancher . En réponse au journal Skype interdit dans les établissements de l'Éducation nationale. Évalué à 3.
[^] # Re: Hé hé...
Posté par Cédric Blancher . En réponse au journal Skype interdit dans les établissements de l'Éducation nationale. Évalué à 2.
[1] http://www.renater.fr/Securite/CERT_Renater.htm(...)
[2] http://www.certa.ssi.gouv.fr/(...)
[^] # Re: Information contre déformation
Posté par Cédric Blancher . En réponse à la dépêche L'Afrique bouge aussi : 2ndes Rencontres Africaines du Logiciel Libre. Évalué à 1.
Pour autant, s'il est vrai qu'on ne peut pas dire de but en blanc que les pays du sud on choisi le logiciel libre, des exemples montrant que certains de ces pays ont clairement choisi cette voie, existent (sans être légion certes) en Afrique, Amérique du Sud ou Asie. Quelques uns ont refusé publiquement des offres propriétaires ou déclaré officiellement leur préférence pour les logiciels libre. D'autres ont intégré des éléments législatifs favorables, typiquement la préférence pour les formats ouverts. D'autres enfin ont largement dépassé le stade de la réflexion et mis en route le processus législatif. Pelle-mêle, dans tout ça, on pourra citer le Maroc, la Tunisie, la Côte d'Ivoire, l'Afrique du Sud, le Brésil, le Vénézuela, l'Inde. Pour finir par les exemples les plus marquant à mon sens, on pourra citer la Commission Économique pour l'Afrique des Nations Unies d'une part qui a publié des recommandations dans ce sens lors des deux derniers CODI (Comité pour le Développement de l'Information) en 2003 et 2005, le NEPAD (New Partnership for Africa Develoment) d'autre part exprime des prises de positions clairement dans le sens des formats ouverts et du logiciel libre dans son soutient à la FOSSFA (Free and Open Source Software Foundation for Africa) et, enfin, de nombreux pays dits "du Sud" qui ont défendu ses engagements dans ce sens (obtention de la préférence pour les formats ouverts en particulier) lors du Sommet Mondial sur la Société de l'Information à Genève en 2003 (et les défendront à nouveau à Tunis le mois prochain comme le montre les résolutions du sommet de préparation d'Accra et du CODI4).
Ce n'est certes pas l'immense majorité de ces pays qui se lancent individuellement et officiellement sur cette voie, mais les instances représentatives manifestent clairement leur soutient à l'informatique "ouverte" et/ou libre, et montrent, me semble-t-il l'existence d'un mouvement fort, loin d'être anodin, et qui n'a rien à mon sens de sensationaliste.
Pour ce qui est des RALLs en particulier, l'évènement me semble être une expression forte traduisant l'intérêt(et souvent plus) des pays africains francophones pour le logiciel libre. Je crois pas que tout cela puisse se résumer à juste quelques dizaines de personnes se sont déplacées à un rendez-vous commun sur les logiciels libres. C'est faux, c'est bas, et c'est surtout insultant pour tous ceux qui se sont impliqués dans la création et l'organisation de ces rencontres certes, mais également de tout le réseau associatif (AAUL et les LUGs participants) et politique (ministères, instances représentatives) sur lesquelles elles s'appuient. Les RALLs, n'étant certainement pas l'expression fort et unanime des pays du Sud, tout comme les RMLLs ne sont pas l'expression unanime des informaticiens de la planète, n'en reste pas moins un évènement fort si on le remet dans le contexte. En effet, si pas mal d'entre nous (français, européen, voire de plus loin) peuvent se fendre d'un billet de train ou d'avion pour assister aux RMLLs, il n'en va pas de même des africains, quel que soit leur degré de motivation. Je suis peut-être naïf, mais parvenir à déplacer une 100e de personnes avec les coûts et les démarchent administratives (obtention de visa en particulier) que cela implique pour les participants (dont la plupart doivent être financés à 100%) est loin d'être anodin et demande clairement une implication des instances politiques de certains pays participant et des instances associatives et représentatives (AAUL et AIF en l'occurence).
En tout cas, comme on dit, la critique est toujours aisée, et c'est particulièrement le cas quand elle est gratuite... Et puis je vais m'arrêter là, parce que je sens que je vais rapidement tomber dedans aussi et sombrer dans les remarques hautement constructives sur les balais, les paillassons et les culs vissés sur leur chaise. Du coup, je vais laisser par pure feignantise le soin au lecteur de chercher les documents auxquels je fais référence et se faire sa propre idée, et vais m'en retourner à la préparation de ce petit rendez-vous commun.
[^] # Re: Cette niouze est une honte !
Posté par Cédric Blancher . En réponse à la dépêche Anonymat avec des Logiciels Libres. Évalué à 3.
Tor est censé pouvoir encore apporter un niveau de confiance élevé avec la moitié de ses noeuds corrompus. Toujours ce problème du nombre de noeuds :)
Sinon, juste un remarque. Héberger un noeud de sortie Tor n'est pas anodin en termes de responsabilité. Si un utilisateur du réseau fait des conneries en sortant de chez toi, c'est pour ta pomme.
100% agree.
Puisqu'on est dans le déballage de liens, voilà les slides qu'une excellente conférence d'Adam Shostack à laquelle j'ai pu assister sur justement la publication anonyme de blogs (désolé, PPT inside) :
http://www.recon.cx/recon2005/papers/Adam_Shostack/anonblogging-rec(...)
Il discute de Tor certes, mais également de tous les problèmes techniques ou non qui l'entoure. Très intéressant.
[^] # Re: Cette niouze est une honte !
Posté par Cédric Blancher . En réponse à la dépêche Anonymat avec des Logiciels Libres. Évalué à 5.
C'est amha un problème structurel de Tor.
Pour être efficace, la système doit proposer un grand nombre de noeud à l'utilisateur. Ainsi, on réduit les chances de voir le trafic analysé et de se faire remonter. Or, une grosse infrastructure est d'une part difficile à diffuser de manière privée, et d'autre difficile à maîtriser en terme de confiance.
Et là, on un gros problème. Si un utilisateur, dans un pays dont le gouvernement surveille le trafic, veulent sortir en utilisant un système comme Tor (ou similaire), ils doivent utiliser des noeuds privés, en externe comme en interne. Mais comment diffuser cette information de manière secrête ? Comment diffuser des révocations efficaces de manière secrête ? Etc.
De plus, qu'est-ce qui empêchera les autorités suscitées de proposer elles-même une infrastructure par les mêmes moyens. Comme cela se fait secrêtement, il y aura moins de monde pour vérifier les bonnes intentions des propriétaires des noeuds. Et comme l'entité est puissante, elle peut proposer énormément plus de noeuds que les gens de bonne foi. On ne perdra certes pas la confidentialité des échanges, mais on y perdra énormément en anonymisation. Or, c'est super important, parce que...
Dans les pays à régime autoritaire, on n'a que faire de savoir ce que tu faisais vraiment. On ne s'embarasse pas de détail : tu es louche, tu vas en tôle. Point. En outre, la fait de proposer une infrastructure permet de tracer les noeuds utilisés, en externe pour les filtrer et en interne pour les "descendre".
D'ailleurs, c'est un réflexion rigolote sur tous les services anonymisants commerciaux ou plus ou moins privés qu'on trouve sur la toile : quelle confiance peut-on accorder à un système anonymisant non communautaire sous le contrôle d'un individu ou d'une entité ? Perso, je me suis déjà fait une bonne idée sur la question ;)
Enfin, comme précisé dans la documentation de Tor, le système ne protège pas de l'analyse des messages qui sont postés avec (mots utilisés, tournure des phrases, etc.). Et contrairement à ce que beaucoup de gens pensent, c'est terriblement efficace.
[^] # Re: Cette niouze est une honte !
Posté par Cédric Blancher . En réponse à la dépêche Anonymat avec des Logiciels Libres. Évalué à 1.
Mais quelle source ? :)
La liste des noeuds Tor est publique. Il suffit de la parcourir pour identifier tous les noeuds de sortie et les filtrer. Et personne ne viendra chez toi depuis un noeud Tor public.
[^] # Re: plutot le contraire !!!
Posté par Cédric Blancher . En réponse au journal "j'me sens plus en secu sous win" j'ai pas pu lui repondre. Évalué à 2.
[^] # Re: plutot le contraire !!!
Posté par Cédric Blancher . En réponse au journal "j'me sens plus en secu sous win" j'ai pas pu lui repondre. Évalué à 8.
Un truc comme le système de filtrage de paquet intégré ? C'est con, tu l'avais sous le nez... C'est un truc fourni en standard sous 2000/XP/2003 qu'on peut configurer avec des outils en ligne de commande comme ça :
http://www.hsc.fr/ressources/outils/pktfilter/index.html.fr(...)
OK, c'est pas stateful, mais ça marche. On peut aussi utiliser la MMC et/ou netsh.
Ceci dit, je préfère garder mes barils de pf et netfilter :)
[^] # Re: Bof...
Posté par Cédric Blancher . En réponse au journal Trusted Computing.... Évalué à 3.
Je m'explique. Lorsqu'un Microsoft propose de faire du Trusted Computing, il n'essaye pas de faire en sorte que l'utilisateur ait confiance en sa plate-forme. Loin de là. Il veut faire en sorte que les éditeurs de logiciels, de contenu, etc. aient confiance en sa plate-forme. C'est à dire qu'il produise pour sa plate-forme en échange d'une promesse que celle-ci sera capable de "protéger" leurs produits contre _l'utilisateur_ de la plate-forme.
Il y a bien relation de confiance, effectivement, mais pas envers l'utilisateur. Du tout.
[^] # Re: Hum
Posté par Cédric Blancher . En réponse au sondage La sécurité de mon WLAN. Évalué à 3.
http://www.100h.org/wlan/videos/Moskau.avi(...)
[^] # Re: Bon article, mais ...
Posté par Cédric Blancher . En réponse au journal faut il passer au libre ?. Évalué à 5.
Sinon, j'aime bien également le graphique coûts/risques[1] sans échelle et surtout sans aucune référence ni source de données, bref sorti de nul part, si ce n'est de l'imagination de l'auteur...
Et puis c'est pas comme si on repassait par des clichés classiques et récurrents qui ont décidemment la vie dure, OpenSource = Libre en tête...
[1] http://www.clever-age.com/IMG/png/graphes_risques_couts.png(...)
[^] # Re: Mode open ?
Posté par Cédric Blancher . En réponse au sondage La sécurité de mon WLAN. Évalué à 2.
Il y a deux choses nécessaire pour arriver à se connecter à un réseau WEP :
1. s'authentifier
2. être capable de chiffrer/déchiffrer
Pour l'authentification, on a deux modes, à savoir le mode shared et le mode open. Le mode shared vérifier que la personne qui s'associe possède bien la clé WEP avec un challenge/réponse. Problème, cette authentification nous livre un joli cleartext qui est rédibitoire sur tout ce qui est à base de XOR (donc RC4). En mode open, on ne vérifie pas.
Mais ce qui est drôle, c'est que finallement, vérifier ne sert à rien, puisque même si le gars est associé (mode open), s'il n'a pas la clé, il ne peut ni lire, ni émettre. Non seulement, c'est inutile, mais en plus, ça introduit une faille de sécurité qu'on pourra utiliser comme point de départ pour péter la clé WEP. Donc finallement, dans le doute, tu as choisi la bonne solution au niveau de l'authentification :)
Ceci dit, le WEP, ça fait 5 ans (premier papier en 2000) qu'on sait que ça ne vaut pas le début d'une tête de clou...
Sinon, les filtres d'adresses MAC, c'est bon pour contrer les gens qui ne savent pas encore changer leur adresse avec ifconfig hw ether (si un mec s'associe, alors on peut utiliser son adresse MAC, et en même temps que lui), et la non-diffusion du BSSID ne sert, ici encore, tant que personne ne s'associe (auquel cas, le probe du client contient le SSID), mais ça permet toujours de refouler les utilisateurs de Netstumbler.
[^] # Re: Merci
Posté par Cédric Blancher . En réponse à la dépêche Fêtez la fin des RMLL en ligne !. Évalué à 1.
Recette :
1. Récupérer le driver sur le site, make make install, sinon il est en package sur pratiquement toutes les distribs. À noter que cette étape est nécessaire pour faire marcher la carte tout court, et que le support WPA est inclus de base, sans patch, depuis 5 mois (version 1.0.1). Sur la Debian, toutes les versions disponibles supportent le WPA, même en stable.
2. Récupérer la version stable de wpa_supplicant, make, make install, sinon, là encore, c'est inclus dans les distributions. Sur une Knoppix "Out of the box", ça marche. Sur la Debian, toutes les versions disponibles supportent l'ipw2200, même en stable.
So what ?
Pour les drivers chiants, j'aurais plutôt voté ndiswrapper pour les pauvres possesseurs de Broadcom qui équipe également pas mal de laptops. Mais là encore, c'est du make, make install plus une phase de configuration à la con, mais ça supporte aussi WPA de base. Sinon, le gros manquant, c'est prism54, amha... C'est en particulier pour cela que le solution de repli ne doit pas être exclue.
[^] # Re: C'est bien, mais...
Posté par Cédric Blancher . En réponse à la dépêche L'École Ouverte Francophone ouvre ses portes. Évalué à 5.
Elle a au moins le mérite d'exister et je trouve très louable que des gens se lancent là-dedans. L'avenir dira ce qu'elle vaut, mais pour connaître certains des intervenants cités, je ne me pas trop de soucis sur ce point là. Ni ne me pose de question sur leurs motivations d'ailleurs. Certes c'est cher, mais c'est la première année, et je pense qu'il y a pas mal d'investissement à éponger, en particulier en développement et mise en place de la plate-forme de formation et en préparation des enseignements.
De plus, je vois pas mal de comparaisons, mais il est toujours très difficile de fixer les prix les prix de départ par rapport à des enseignements qui tournent depuis des années et qui ont donc des éléments factuels sur lesquels se projeter et donc fixer des prix au plus juste...
Ça encore, c'est l'avenir qui le dira. Mais pour qu'une formation se fasse un nom et se voit reconnue, il faut bien qu'elle commence un jour. Et d'ailleurs, le but d'une formation est-il seulement d'avoir un joli morceau de papier avec marqué "Certification" dessus à la sortie ? Ce n'est pas du tout mon point de vue. Mais pour continuer dans ce sens, afficher 320h de formation, même par correspondance, sur son CV n'a rien d'anodin.
Bref, résumer une formation au ROI de sa certification est une vision que je trouve carrément étroite. C'est oublier un peu vite son contenu et ce qu'il va t'apporter en terme de compétences et de savoir. Charge à toi ensuite de savoir faire valoir ces acquis.
<avis manichéen qui n'engage que moi>
De toute manière, pour généraliser abusivement et caricaturalement, je trouve que le système engendré par les certifications commerciales est globalement une usine à feignants. On vous propose des formations toute machées sur "comment réussir l'examen de certification", pour aller passer le beau QCM tout en douceur, et s'en sortir avec le beau papier. Ensuite, on a des gens qui, à la question "vous savez faire quoi ?" ne savent vous répondre que "j'ai un beau papier". "Certes, mais concrêtement monsieur, vous savez faire quoi ? Pleins de choses, regardez, j'ai un beau papier". On finit avec des gens qui ne savent même plus mettre en valeur leur propre savoir autrement qu'en exhibant leurs certifications... C'est un pareil avec des diplômes me dira-t-on, mais j'ai tendance à accorder plus de foi à un diplôme reconnu qu'à une certification commerciale.
</avis manichéen que n'engage que moi>
D'ailleurs, y'a un très beau raccourci pour les gens qui aiment les certifications mais n'ont que faire des formations, ça s'appelle le passage direct à l'examen, qui a un prix lui aussi, largement plus exhorbitant que quoi que ce soit rapporté à l'heure passé :)))
Je ne sais pas ce qu'ils ont sous la main, mais on peut passer par pleins d'outils de communication modernes qu'on utilise tous les jours, et dont l'efficacité variera selon le degré de disponibilité des intervenants et les questions. On pourra citer l'email, des forums, une messagerie instantanée, des chatrooms, un wiki, etc.
Au final, je trouve cette initiative digne d'intérêt. En tout cas, ça fait plaisir de voir que ça bouge en Limousin (home, sweet home) :P
[^] # Re: Merci
Posté par Cédric Blancher . En réponse à la dépêche Fêtez la fin des RMLL en ligne !. Évalué à 1.
Je ne sais pas pourquoi, mais je la sentais venir celle-là :)))
Warum nicht, ce serait même un vrai plaisir, mais le problème, c'est que j'ai un vrai travail, à 600km de Bordeaux. Donc à part le yakafokon de loin :/
[^] # Re: Merci
Posté par Cédric Blancher . En réponse à la dépêche Fêtez la fin des RMLL en ligne !. Évalué à 2.
Il est vrai. Mais à leur décharge, on pourra avancer qu'il est toujours difficile de fournir un accès complètement ouvert au quidam lambda et d'assumer les éventuels problème juridiques qui pourrait découler d'une utilisation malintentionnée de l'accès. Le système d'authentification permet d'introduire l'acceptation de la charte et un tout petit peu de traçabilité.
Par contre, ce qui me déçoit un peu, c'est que les RMLLs n'aillent pas aller vers des techniques plus avancées pour gérer les accès Internet, comme utiliser du 802.1x pour le filaire et du WPA/WPA2 pour le sans fil. Tant qu'à obliger les gens à s'authentifier, autant le faire comme il faut, avec des méthodes solides, agrémentées de deux ou trois features supplémentaires, qui en outre permettront de mettre les clients WiFi à l'abri de pas mal de saloperies qui trainent sur ces réseaux (écoute, rogue AP, injection de trafic, ARP/DNS poisoning, etc.).
On me dira que tout le monde ne peut pas l'utiliser... Bon soit, même si c'est supporté par MacOX X, Win2KSP4/XP, que wpa_supplicant (http://hostap.epitest.fi/wpa_supplicant/(...) ) tourne sur pas mal de carte sous Linux, BSD et même Win32, et qu'on peut monter un AP sous Linux ou BSD avec hostapd (http://hostap.epitest.fi/hostapd/(...) ) sur driver hostap, Prism54 ou madwifi, on peut toujours laisser un accès normal avec un portail captif à deux balles pour ceux qui n'ont pas (ou ne veulent pas installer) le support adéquat.
De même, ça pourrait être drôle de monter un mesh network avec des WRT54G flashés sous OpenWRT (http://openwrt.org/(...) ) et configuré en ad-hoc avec OSLR. Histoire de changer. Surtout que vu la surface concernée et le nombre d'utilisateurs (et donc leur densité), je pense que ça marcherait nettement mieux qu'une couverture en miode infrastructure.
Tout ça pour dire que les RMLLs devrait aussi, amha, servir de vitrine technologique du libre dans les services qu'ils proposent. Je sais que ça demande du travail, et donc du temps et du manpower, mais bon voilà. Ce sont mes 0,02¤ de pensée de la journée...
# SCP/SFTP
Posté par Cédric Blancher . En réponse à la dépêche Nvu 1.0 est sorti. Évalué à 1.
[^] # Re: Ce n'est que du marketing
Posté par Cédric Blancher . En réponse à la dépêche Un enseignant d'une université espagnole censuré pour avoir défendu les réseaux P2P. Évalué à 2.
[^] # Re: Qui se relit / relit les news qu'il n'aime pas sur DLFP
Posté par Cédric Blancher . En réponse à la dépêche Faille de sécurité dans les protocoles IPSec. Évalué à 2.
Des trucs comme celle sur l'Hyperthreading[1] (pas de dépèche pour celle là ?) ou le Firewire[2] me semblent nettement plus intéressantes, ne serait-ce que parce qu'elles sont détaillées.
[1] Colin Percival, cf. http://www.daemonology.net/hyperthreading-considered-harmful/(...)
[2] Maximillian Dornseif, cf. http://cansecwest.com/resources.html(...)
[^] # Re: Qui se relit / relit les news qu'il n'aime pas sur DLFP
Posté par Cédric Blancher . En réponse à la dépêche Faille de sécurité dans les protocoles IPSec. Évalué à 9.
De ce que j'ai compris, la news est partiellement fausse, parce qu'elle reprend pas mal d'interprétations erronées de l'advisory.
On peut lire dans la news :
Cette faille concerne les tunnels IPSec ESP (Encapsulating Security Payload) et certaines configurations utilisant AH (Authentification Header)
Si on utilise AH, on n'est pas vulnérable, et si on utilisant la partie intégrité/authentification de ESP non plus. C'est dans la partie "Solution" de l'avis.
Tout se joue en fait sur le terme de "authentication".
Dans IPSEC, tu as l'authentification en phase 1 pour la mise en place du tunnel, et qui est toujours présente. Ce n'est pas de cela qu'il est question. Il s'agit ici de l'ajout de données d'authentification _et_ de vérification d'intégrité sous forme de somme HMAC (hash avec secret partagé pour faire rapide). Ces données peuvent être incluses dans ESP pour vérifier le payload chiffré et/ou sous forme distincte pour vérifier le paquet IPSEC complet, et ça s'appelle AH.
Ces deux mécanismes (très similaires mais à la portée différente) permettent justement d'éviter les modifications du payload ESP et donc de rendre cette attaque inopérante.
permet à l'attaquant de récupérer en clair le contenu d'un paquet qui ne lui est pas destiné par un message d'erreur ICMP
Ceci n'est pas tout à fait exact non plus. Le truc, c'est qu'on peut (s'il n'y a pas de vérification d'intégrité dans ESP ou avec AH), modifier le payload ESP par bit flipping, ce qui permet en particulier d'altérer l'entête du paquet chiffré (contenu dans le payload ESP) pour obtenir sa redirection directe (routage, attaque 1) ou indirecte (erreur ICMP, attaques 2 et 3). L'advisory cite en particulier 3 attaques :
. modification de l'adresses destination qui entraîne la redirection du paquet après déchiffrement par simple routage. Cela dépend de la configuration du filtrage sur le concentrateur VPN, mais c'est très plausible. C'est d'ailleurs à mon sens la seule des trois qui se tient.
. 2 attaques par modification de la source et injection d'une erreur dans l'entête IP pour entraîner l'émission d'un ICMP vers la source modifiée. On cite la modification des options IP pour obtenir un Parameter Problem et la modification du champ Protocol pour obtenir un Protocol Unreachable, mais finallement, la plupart des erreurs ICMP feront l'affaire (TTL exceeded par exemple). Là encore, ça dépend de la configuration du concentrateur, mais surtout, ça ne donne la plupart du temps pas le paquet IP ! En effet, une erreur ICMP ne contient que l'entête du paquet IP qui l'a généré, plus les 8 octets suivant (ce qui nous amène, dans le cas de TCP, aux ports source et destination et au numéro de séquence). C'est très clairement expliqué dans la RFC 792 (voir format des messages Parameter problem et Destination unreachable). Certaines implémentations incluent plus, mais elles sont rares...
Bref, cet advisory fait l'objet de pas mal d'articles assez faux quant à son contenu et ses conséquences, que je trouve d'ailleurs un poil exagérées (les trucs ICMP en particulier). Il traite d'un sujet qu'on connaissait déjà (cf. post de Ouah), même si c'est de bon ton de rappeler ce genre de trucs de temps en temps, et ce n'est pas une surprise. Si certains s'interroger sur la nécessité d'activer le HMAC sans ESP, ben maintenant, ils savent.
En ce moment, c'est la mode de la "redécouverte". On nous a servi le même truc avec les DoS TCP par injection de RST, déjà remonté l'an dernier (et déjà une redécouverte) et tout récemment avec les DoS par construction d'erreur ICMP. Les habitués des IRC Wars connaissent bien les "Click4.exe like" qui faisaient déjà ça en 1997 :)