Le top 75 des outils sécurité

Posté par  . Modéré par Amaury.
Étiquettes : aucune
0
5
mai
2003
Sécurité
Fyodor (l'auteur du célèbre nmap) a lancé un sondage auprès des utilisateurs de son outil, afin de référencer les outils de sécurité préférés. Les résultats sont disponibles sur le site de nmap.

On notera que la majorité des outils cités sont libres et que Nessus occupe la première place ! (Ndm : Le très chouette Nessus est un projet géré principalement par un français, Renaud Deraison)

Aller plus loin

  • # Nessus et le financement des outils libres

    Posté par  . Évalué à 10.

    Un truc qui m'agace franchement concerne l'hypocrisie des entreprise qui abusent plus ou moins ouvertement d'outils libres.

    J'ai déja eu l'occasion de voir une entreprise dans laquelle le RSSI utilisait Nessus pour ses scans de vulnérabilités. Son équipe auditait tout de même des centaines de machines à intervalles réguliers. Quand je leur ai demandé s'ils avaient songé à rémunérer Renaud pour son travail, on m'a ri au nez. Cette situation est révélatrice de beaucoup d'entreprises où les logiciels libres sont considérés comme une excellente alternative aux outils propriétaires, mais où l'idée que chacun doive contribuer n'est pas du tout présente dans les esprits.

    En gros pour plein d'entreprises, logiciel libre = logiciel gratuit et mis à jour gratuitement : 0 obligations, que du bénéf.

    Le problème est que, pour le peu d'entreprises qui sont suffisamment consciencieuses et désirent reverser x% des économies que leurs permettent de réaliser les logiciels libres par rapports à des licences de logiciels proprios (allez donc voir le prix des licences ISS ou autre) à leurs auteurs, les moyens légaux d'un tel reversement sont assez pourris (AMHA).

    Si quelqu'un connait un moyen légal et "corporate" pour qu'une entreprise reverse de l'argent aux développeurs d'un logiciel libre, je suis preneur.
    • [^] # Re: Nessus et le financement des outils libres

      Posté par  . Évalué à 2.

      Si quelqu'un connait un moyen légal et "corporate" pour qu'une entreprise reverse de l'argent aux développeurs d'un logiciel libre, je suis preneur.

      C'est le saint-graal que tu recherches. si tu trouves, appelle-moi :-)
    • [^] # Re: Nessus et le financement des outils libres

      Posté par  (site web personnel) . Évalué à 6.

      > Si quelqu'un connait un moyen légal et "corporate" pour qu'une entreprise reverse de l'argent aux développeurs d'un logiciel libre, je suis preneur.

      Tu trouves vraiment que c'est un bon état d'esprit? Il serait nettement préférable de lui expliquer l'intérêt qu'elle pourrait avoir à collaborer au projet en soumettant des bugs, en corrigeant certains, en proposant des patchs,... en participant au projet tout simplement.

      p.s: évidemment la contribution financière est toujours la bienvenue (l'amour et l'eau fraiche c'est beau mais un bon steack de temps en temps c'est pas mal non plus!!) si toutes les autres solutions ne lui "convient" pas
      • [^] # Re: Nessus et le financement des outils libres

        Posté par  (site web personnel) . Évalué à 8.

        C'est évident qu'il faut aider et renvoyer l'ascenseur d'une manière ou d'une autre.


        - Acheter des CD officiels de votre distrib/BSD favori que vous déployez.

        - Remonter un max de bugs/logs/résultats de scans pour les developpeurs.

        - Regarder s'il y a une wish list sur le site du developpeur : un CD musical, une carte postale, une pizza, une boisson gazeuse, un job sont toujours appréciés.

        Les logiciels libres, c'est aussi un état d'esprit.
        • [^] # Re: Nessus et le financement des outils libres

          Posté par  . Évalué à 2.

          heu faire du commerce en ligne et distribuer ses CD c'est pas forcément à la portée du mainteneur d'un projet lamba. (Même si, c'est vrai c'est une très bonne méthode).
        • [^] # Re: Nessus et le financement des outils libres

          Posté par  . Évalué à -2.

          « - Regarder s'il y a une wish list sur le site du developpeur : un CD musical, une carte postale, une pizza, une boisson gazeuse, un job sont toujours appréciés »

          Je ne vois pas trop l'avantage de la méthode. Rémunerer, c'est permettre de toute façon de s'acheter tout cela.
          Là, cela fait figure d'action caritative... et manque de bol, pour le coup, le christiannisme n'est plus à la mode.
      • [^] # Re: Nessus et le financement des outils libres

        Posté par  . Évalué à 10.

        <i>> Tu trouves vraiment que c'est un bon état d'esprit?

        [X] oui
        [ ] non

        <i>>Il serait nettement préférable de lui expliquer l'intérêt qu'elle
        >pourrait avoir à collaborer au projet en soumettant des bugs, en
        >corrigeant certains, en proposant des patchs,... en participant au
        >projet tout simplement.

        Tu as raison. Mais, souvent, les personnes qui utilisent les softs libres sont des administrateurs, et non des développeurs, donc des gens qui n'ont ni le temps ni les compétences techniques pour apporter une réelle contribution logicielle au projet.

        Par ailleurs, fais le calcul :
        Hypothèse 1 : si une personne travaille 5 jours ouvrable sur le soft (s'il arrive à se faire la main sur le soft, et sortir des patches intéressants en si peu de temps, chapeau), ça coûte environ 2500 € à la société (ce chiffre varie selon la structure, évidemment).
        Hypothèse 2 : en revanche, si chaque boite qui utilise intensivement <logiciel libre Xentreprise demande à des gens en interne de travailler dessus, ce qui génère des charges plus facilement explicables (la feuille de paye des admins ne change pas).
        • [^] # Re: Nessus et le financement des outils libres

          Posté par  (site web personnel) . Évalué à 5.

          La meilleure solution, c'est le service. Le concepteur fera en une journée facturée 2000? ce qu'un bon informaticien ferait en une semaine en lisant la documentation et en découvrant le logiciel.
          Pour une grosse entreprise, une forme d'abonnement à un service est tout à fait acceptable et même rentable.
    • [^] # Re: Nessus et le financement des outils libres

      Posté par  . Évalué à 1.

      Je suis tout a fait d'accord avec toi. Les entreprises "abusent" souvent de la bonne volonté des dev. de LL.

      Pour qu'une entreprise accepte de contribuer (financièrement) aux LL, il faut passé par des subterfuges. Par exemple, l'achat de goodies (tasses à café, tapis de souris...) que l'on va commander sur un site dont une partie de bénéfice sera reverser aux LL.
    • [^] # Re: Nessus et le financement des outils libres

      Posté par  . Évalué à 10.

      > Un truc qui m'agace franchement concerne l'hypocrisie des entreprise qui abusent plus ou moins ouvertement d'outils libres.

      Imho, c'est peut être pour ça que arnaud Deraison s'est barré aux US pour faire partie de teenable network inc et produire du closed source. Il est considéré là bas et utilise maintenant l'argument "y'a du nessus partout" pour vendre lightning (http://www.tenablesecurity.com/proxy.html(...)) qui est un fédérateur permettant de centraliser les logs de plusieurs serveurs nessus et de corréler cela avec les logs des IDS. C'est payant (pas forcément très cher vu les services rendus et closed sources).

      En bref : vos techos utilisent déjà nessus, voila la couche du dessus qui permet de faire des jolis rapports pour les décideurs pressés.

      La dernière fois que j'ai rencontré arnaud Deraison, il vendait donc son lightning avec son joli portable sous mac os X, et il avait pas l'air de s'en porter plus mal que ça. Avec l'argumentaire y'a nessus qui est free et y'a lightning pour les sociétés qui s'en servent et qui veulent un environnement fédérateur plus facilement utilisable.
    • [^] # Re: Nessus et le financement des outils libres

      Posté par  . Évalué à 10.

      Je ne suis pas choqué outre-mesure. Si je donne quelque chose gratuitement je n'ai pas à attendre une rémunération quelconque en retour. En plus, il se trouve que certaines entreprises ont "sponsorisé" le développement en achetant du service (et je ne parle pas d'autres contributions comme les serveurs de nessus.org ou bien le matériel qui m'a été envoyé - cf http://www.nessus.org/thanks.html(...) qui ne cite que les personnes qui ont voulues êtres citées). Donc tout le monde n'est pas pourri.

      Ce qui ne cesse de me choquer ce sont les sociétés qui ont une expérience fort limitée dans le domaine de la sécurité informatique et qui se permette de revendre mon travail sans meme en mentionner le nom (style ASPs que je ne citerai pas). J'ai meme trouvé le fin du fin récemment : une boite américaine qui revendait la mise à jour des plugins Nessus pour $10,000 par mois à ses clients (qu'on va appeler "gogos" dans le contexte présent). Pour ceux qui ne sont pas familier avec Nessus, cela équivaut simplement à rajouter un appel à "nessus-update-plugins" dans cron. Argent de poche facile pour la boite, qui ne fait aucun controle de qualité sur les plugins envoyés.

      Pour répondre à ta question :

      > Si quelqu'un connait un moyen légal et "corporate" pour qu'une entreprise reverse de l'argent aux développeurs d'un logiciel libre, je suis preneur.

      Le plus simple c'est que le dévelopeur monte une SARL/EURL et que lesdites sociétés lui achètent des journées de consulting ou bien du dévelopement sur mesure (en fonction des attributions de budget). C'est un processus lourd à mettre en place (en France c'est vraiment une plaie de monter une société), et il y a un investissement non-nul en temps et argent (puisqu'il faut au moins 8keuros pour monter la boite, sachant qu'ensuite les frais d'avocats et de montage peuvent être prelevés dans ces 8keuros).
      Du point de vue du développeur, il y a de rééls avantages par la suite, comme le fait d'acheter tout le matos informatique directement par la boite, ce qui permet de ne pas payer la TVA et de déduire ces investissements de l'IS à la fin de l'année.
      Mais je ne recommande ça qu'à des développeurs certains de décrocher des contrats et qui peuvent bénéficier de l'aide de leur proches quand il s'agit de faire la compta et payer les centaines d'impots qui tombent du ciel dès la création de la société.
      • [^] # Re: Nessus et le financement des outils libres

        Posté par  (site web personnel) . Évalué à 7.

        Le plus simple c'est que le dévelopeur monte une SARL/EURL et que lesdites sociétés lui achètent des journées de consulting ou bien du dévelopement sur mesure (en fonction des attributions de budget). C'est un processus lourd à mettre en place (en France c'est vraiment une plaie de monter une société), et il y a un investissement non-nul en temps et argent (puisqu'il faut au moins 8keuros pour monter la boite, sachant qu'ensuite les frais d'avocats et de montage peuvent être prelevés dans ces 8keuros).

        Tout à fait d'accord pour la lourdeur, pour le reste, tu peut apporter au capital de ton entreprise le soft développé (tu approches vite des 7500€), tu peux ne débloquer qu'1/5 du capital à la création (1500€).

        Sans compter la SARL à 1€.

        Je pense qu'il y a aujourd'hui assez d'assoc qui font le suivi gratuitement pour la création d'entreprise pour ne pas devoir payer une fortune un avocat incompétent qui de toute façon ne fait que reprendre des documents types.
        • [^] # Re: Nessus et le financement des outils libres

          Posté par  . Évalué à 10.

          La bonne idée !

          Etant un utilisateur totalement incapable de participer techniquement au développement de logiciels libres, je suis heureux de trouver une idée de participer autrement !

          Je prosopose donc gracieusement mes services de juriste en droit des sociétés à la collectivité pour toute formalité juridique (constitution, apports, transformations..) sur lesquelles, effectivement, les avocats se beurrent allègrement sans rapport avec la matière grise mise en jeu.

          Si jamais ça intéresse quelqu'un..

          (euh, bien entendu, je n'aiderai ainsi que les projets libres, ne me demandez rien pour la boîte de carrosserie du cousin !)
          • [^] # Re: Nessus et le financement des outils libres

            Posté par  . Évalué à 6.

            Si jamais ça intéresse quelqu'un..

            Si tu es vraiment sérieux tu devrais contacter l'APRIL qui a ou doit (je ne sais plus) monter un bureau de support juridique aux développeurs de logiciel libre.
      • [^] # Re: Nessus et le financement des outils libres

        Posté par  . Évalué à 6.

        Non le plus simple et le moins cher ne sont pas la SARL, EURL.
        As tu envisagé la solution de profession libérale qui correspond exactement au profile de consultant et développeur sur mesure ?
        Les coûts d'inscription à l'URSAFF sont de moins 150€. Pour le status juridique l'Entreprise Individuelle est sans danger, on ne dépend pas d'un fournisseur quelconque, la seule matière dont on a besoin dans le libre est la matière grise.

        http://www.apce.com/index.php?rubrique_id=11&param=1&type_p(...)

        A savoir qu'il existe un status pour les SSLL qui correspond beaucoup plus à l'esprit du logiciel libre que la SA ou SARL : la SCOP

        La Scop (Société Coopérative de Production) est une société commerciale qui vit et se développe dans le secteur concurrentiel avec les mêmes contraintes de gestion et de rentabilité que toute entreprise. Son originalité : les salariés sont associés majoritaires de l'entreprise dont ils détiennent au moins 51% du capital. Tous les salariés ont vocation à devenir associés dans des modalités définies par les associés existants et avec leur accord.

        http://scop.coop/statut.htm(...)
        • [^] # Re: Nessus et le financement des outils libres

          Posté par  . Évalué à 6.

          > As tu envisagé la solution de profession libérale qui correspond exactement >au profile de consultant et développeur sur mesure ?

          Oui, mais c'est hélas fort malpratique, car certains clients ont l'obligation de ne traiter qu'avec de "vraies" enterprises, et pas des professions libérales. L'idée étant de simplifier les "dons", on n'a pas envie de prendre un status spécial (c'est aussi pour ça que je n'ai pas regardé la SCOP de très pret). Si on arrive avec une société qui sent l'huile de serpent, meme les clients de bonne volonté n'arriveront pas à donner quoi que ce soit puisque leur service de compta bloquera tout.
          • [^] # Re: Nessus et le financement des outils libres

            Posté par  . Évalué à 5.

            Si on arrive avec une société qui sent l'huile de serpent [...]

            Une seule solution viable pour le travail en groupe : le GAEC !

            http://216.239.51.100/search?q=cache:NIHsOEqfSA0C:www.agriculture.g(...)

            c'est un statut connu de toutes les entreprises sérieuses : de la location de moissoneuse jusqu'au vendeur d'hormones pour veaux en passant par l'industrie agro-alimentaire.

            Avec ce statut, pas de pb comptables !


            kenavo, je sors -> []
          • [^] # Re: Nessus et le financement des outils libres

            Posté par  . Évalué à 2.

            La scop me paraitrait vraiment une bonne idée, et bien dans l'esprit du libre. La scop est une sa ou une sarl à la base donc ça n'a pas de raison de faire peur.
            Encore mieux à la réflexion serait la SCIC : Société Coopérative d'Intérêt Collectif, voir http://www.resoscope.org/scic/(...)
            • [^] # Re: Nessus et le financement des outils libres

              Posté par  . Évalué à 3.

              Effectivement très intéressante à première vue la SCIC. Je note que la législation, avec les SCOP et les SCIC, propose depuis longtemps des cadres juridiques alternatifs aux vieux status "despotiques" que sont les SARL et SA.
              Le logiciel libre est une révolution dans l'informatique, je pense qui lui faut un cadre adapté en entreprise, qui conserve le mode de travail coopératif et égalitaire. Mes quelques 5 ans d'expériences dans le privé m'ont démontré la pauvreté de communication entre les dirigeants et les salariés, ce qui est souvent fatale à l'entreprise. Ce mode de fonctionnement est dépassé à mes yeux.

              Quelques pionners comme Easter Eggs sont là pour nous éclairer le chemin :)

              Offre spécifique et capital appartenant à une association de salariés ont porté le succès d'Easter-eggs.

              http://www.easter-eggs.com(...)
          • [^] # Re: Nessus et le financement des outils libres

            Posté par  . Évalué à 3.

            > Si on arrive avec une société qui sent l'huile de serpent

            Ah, je ne connaissais pas cette expression ! mais je viens de
            comprendre pourquoi par défaut lors de la création d'une demande de certificat avec openssl, le nom de la société est par défaut: SNAKE OIL

            Comme quoi on en apprend vraiment tous les jours !

            Mes 2 centimes,
            bengali
            • [^] # Re: Nessus et le financement des outils libres

              Posté par  . Évalué à -1.

              Je suppose que c'est effectivement une expression anglaise - qui traduite en français ne veut effectivement rien dire puisqu'elle n'inspire rien de clair à personne (sauf en refaisant la traduction vers l'anglais).

              Les dictons supportent assez mal la traduction littérale...
          • [^] # Re: Nessus et le financement des outils libres

            Posté par  . Évalué à 5.

            J'ai un statut double : entreprise individuelle avec appellation commerciale (inscrit à la CCI) + Prof. Libérale (URSSAF). Capital : 0E. Démarches réduites au strict minimum. Pas de stage de gestion obligatoire. J'utilise principalement l'E.I. (pour récupérer la TVA) dont le défaut est de ne pas permettre d'établir des provisions en fin d'exercice : elles sont considérées comme un bénéfice soumis à l'impôt sur le revenu. Il faut stocker en fin d'année pour contourner le problème.
            J'utilise l'inscription à lURSSAF pour facturer les prestations de formation en HT : c'est mieux pour les associations (-19,6%).
            C'est une bonne solution de démarrage. A part qu'on est redevable à vie de toute dette contractée. Faut faire gaffe !


            Voilà, si ça peut servir à quelqu'un...
      • [^] # Re: Nessus et le financement des outils libres

        Posté par  (site web personnel) . Évalué à 1.

        puisqu'il faut au moins 8keuros pour monter la boite

        j ai eu oui dire que ca avait un peu changer : la limite aurait ete baissee a 30kf, pouvant etre apportés en ( tout ou ? ) partie en bien matériels ( alors qu avent il fallait effectivement 50KF lourd ) . Infos a vérifier . Mais ca daterait de 2002 je crois de memoire ...
        • [^] # Re: Nessus et le financement des outils libres

          Posté par  . Évalué à 1.

          De toute façon ces seuils n'ont pas intérèt à baisser, la mortalité infantile des entreprises est effarante et les seuls qui y gangnent sont les banquier et les avocats.

          Comme dit notre prof : prenez au moins le double du minimum et une SA direct, si vous arrivez à trouver le monde (7 personnes, ni amis, ni membres de la famille, encore moins conjoints), a vous entendre et à vous sortir du merdier des formalités alors c'est que vous en avez et que vous êtes prêt.

          Avec le minimum de 50kF, vous tenez en gros entre 1 et 3 mois avant de signer votre perte chez le banquier.
          • [^] # Re: Nessus et le financement des outils libres

            Posté par  (site web personnel) . Évalué à 2.

            Comme dit notre prof : prenez au moins le double du minimum et une SA direct

            Et bien, il faudra dire à ton prof d'aller prendre des cours de gestion. Chaque statut de société a ses spécificités et ce n'est pas le nombre d'actionnaires qui est un frein à la constitution d'une SA, mais l'activité. Si tu ne génère pas assez de cash pour rémunérer tes 6 associés, tu vas droit dans le mur, il est fini le temps des start-up Internet. Ce n'est pas parce que tu as un capital de 37000€ qu'un banquier t'accordera plus facilement un pret, il le fera sur la fois de comptes prévisionnels et préfèrera une petite EURL avec un PER de 4 ou 5 qu'une SA au PER de 500.

            Il ne faut pas non plus confondre capital social d'une société et cash dont elle dispose. Ce n'est pas parce que le capital n'est que de 7500€ que la société ne dispose pas de 3 ou 4 fois ce montant en trésorerie. Il serait d'ailleurs un peu débile d'aller mettre tout le cash dont on dispose dans le capital comme de se dire on va créér un SA comme cela on sera tranquile après.
            • [^] # Re: Nessus et le financement des outils libres

              Posté par  . Évalué à -1.

              premièrement, mon prof, les cours ça devrait aller, il est magistrat d'un tribunal de commerce et membre du conseil d'administration d'un grosse boite.

              Ensuite, j'ai pas dit qu'il fallait tout foutre dans le capital, mais avoir le pognon, ce qui est largement différent.

              D'autre part, le but est justement de limiter les relation avec le banquier ou d'arriver dans une milleure position que : "j'ai un super projet, je suis motivé mais tout va tomber à l'eau car j'ai pas de sous" auquel cas l'encu^W le banquier va te faire signer n'importe quoi (de préférence une caution sans limites de temps et de montant) à des taux exorbitants.

              Il conseille le statut de SA car celui de de SARL permet de faire presque n'importe quoi avec les comptes d'où une certaine suspition des fournisseurs et des clients. Et j'ai séché le cours où il a fait la démo donc je connais pas les détails (il a choisi un état de santé de la boite et il a modifié des trucs dans les comptes pour que ça corresponde).


              Pour finir, il faudrait pas non plus confondre mon prof, son cours et ce que j'en sais.
              • [^] # Re: Nessus et le financement des outils libres

                Posté par  . Évalué à 4.

                « premièrement, mon prof, les cours ça devrait aller, il est magistrat d'un tribunal de commerce et membre du conseil d'administration d'un grosse boite. »

                Sans vouloir paraitre irritant, ça ne transforme pas pour autant ses mots en parole d'Evangile.
                Si ma mémoire est bonne, il faut de toute façon avoir -ou avoir eu- un poste important dans une société pour pouvoir être magistrat dans un tribunal de commerce. Aucune études en droit ne seraient donc nécessaires.
                Ensuite, le fait de travailler dans une grosse boite ne certifie pas connaitre parfaitement les rouages actuels de la création d'entreprise.
                Finalement, il faut distinguer le statistiquement probable du réel : la fortune parfois sourit aux audacieux.

                A coté de cela, les arguments de DPhil paraissent sensés (en l'occurence qu'il faille voir au cas par cas).
              • [^] # Re: Nessus et le financement des outils libres

                Posté par  (site web personnel) . Évalué à 3.

                premièrement, mon prof, les cours ça devrait aller, ... et membre du conseil d'administration d'un grosse boite.

                Tiens, Jean-Marie Messier et Michel Bon étaient tous deux PDG de deux très grosses boites françaises et dans une bonne douzaine de conseils d'administration et pourtant je n'en voudrais pas comme conseillés en gestion.

                La fonction ne fait pas la compétence.
      • [^] # Re: Nessus et le financement des outils libres

        Posté par  . Évalué à 0.

        « Je ne suis pas choqué outre-mesure. Si je donne quelque chose gratuitement je n'ai pas à attendre une rémunération quelconque en retour. »

        Tu devrais relire la licence que tu as choisis pour ton logiciel. A aucun moment il n'est question de gratuité.

        Contrairement à ce que tu dis, faire du logiciel libre n'est pas un don gratuit. Mais il est courant de le penser ainsi et de faire du code propriétaire pour se financer par à coté, ce qui est largement contradictoire (l'argument financier à lui seul ne rend pas une solution qui était mauvaise en une bonne solution).
        • [^] # Re: Nessus et le financement des outils libres

          Posté par  . Évalué à 4.

          > Tu devrais relire la licence que tu as choisis pour ton logiciel. A aucun moment il n'est question de gratuité.

          Non mais je distribue le logiciel sans frais, et n'importe qui a le droit de faire de meme. Si demain j'arrive et que je dit "hep hep hep, vous là-bas, je vous vend l'accès à mon Nessus 3.0.0 pour 3 000 000 euros", alors le type que j'ai désigné a tout à fait le droit d'en acheter une copie et de la redistribuer gratuitement, cassant ainsi mon business model qui était un peu bancal. Donc sur le papier il n'y a pas de notion de gratuité, dans les faits rééls de la vraie vie, c'est comme ça.
    • [^] # Re: Nessus et le financement des outils libres

      Posté par  (site web personnel) . Évalué à 3.

      En gros pour plein d'entreprises, logiciel libre = logiciel gratuit et mis à jour gratuitement : 0 obligations, que du bénéf.

      Du poit de vue du codeur, je suis d accord avec toi : tout travail donne droit a rénumération(pain, eau, ou steak suivant les gouts ;) ). Mais du point de vue de l entreprise, je pense que le but premier d une entreprise est de "faire de lé argent", et de le redistribuer (dans une certaine mesure) a ses salariés.
      Pour moi tout le problème du logiciel libre et autres copyleft est la : on accepte de coder "gratuitement", de publier son travail a ses propres frais sans attendre aucune rénumération de la part des utilisateurs.
      Mais du point de vue de l'entreprise, je ne pense pas que tu puisse te plaindre qu'elles y voient la une oportunité d' "économiser" ... c'est dans les régles du jeu, et les joueurs étaient avertis avent de signer !

      ... donc que du bénéf, je dis oui, et moi ca me pose pas problème. C'est comme tous ces universitaires qui publient leur taf : des tonnes d'entreprises s'en servent sans payer les chercheurs, mais quand tu publie ton travail, tu peut attemdre ce que tu veux, mais fo pas te plaindre si tu receois rien !

      Je ne vois pas en quoi ca fait entorce a l'ethique.
      Parcontre, oui "ca serait cool si ils donnaient un sou" ...

      Mais dans le contexte economique actuel, la loi protége l'auteur, et la notion de partage telle que l'evoque la GPL est encore un concepte nouveau ... ( 15 ans ? contre les 150 ans du copyright ? ) ... et ta notion de dons pour récompenser des travaux antérieurs non demandés par l entreprise, moi ca me rappelle "récompense pour bons et loyeaux services", et entre ca et les "pots de vins" y a pas bien loin ( d'un point de vue juridique ) ... donc une cause pas trés défendable devant un juge.

      Bref ... je pense que tu rêve d'un monde parfait ou tout serait beau, et ou tout le monde serait gentil ... mais moi j'ai faim, alors quand je code, je massure avant de lancer vim(ou emacs) que j evais bien être payé pour le code que je vais pondre ! C'est une réaction primaire, je sais, mais j'ai faim !

      PS: je dis ca dans ma situation actuelle ... mais si un jour je gagne 30kf/m pour 35h/s, peut etre que je prendrai le temps de coder sous GPL ... quand je serai assuré par un autre moyen d'avoir "a manger"
      -- doublehp
      apt-get remove ispell
      • [^] # Re: Nessus et le financement des outils libres

        Posté par  . Évalué à 1.

        « Pour moi tout le problème du logiciel libre et autres copyleft est la : on accepte de coder "gratuitement", de publier son travail a ses propres frais sans attendre aucune rénumération de la part des utilisateurs.
        Mais du point de vue de l'entreprise, je ne pense pas que tu puisse te plaindre qu'elles y voient la une oportunité d' "économiser" ... c'est dans les régles du jeu, et les joueurs étaient avertis avent de signe »

        Le problème, c'est que c'est l'entreprise qui génère un profit grace à ces outils. Pas l'utilisateur en soi. C'est donc eux les mieux placés pour financer...

        Maintenant, il est clair que leur but est de faire de l'argent. Si aucune ne finance ces outils, ils vont s'arrêter. Donc elles ont intérêts à financer. Mais si l'une d'elle finance, un concurrent en plus, de manière immorale, elle ont tout intérêt ne pas financer...

        Dans le Logiciel Libre, on a un exemple de ce type : SuSE. Ils contribue lorsqu'ils n'ont pas le choix et ne partagent pas leurs propres développement (ceux qu'ils contrôlent). Bien sur, on peut filtrer SuSE pour cette raison.

        Maintenant, dans le reste du monde de l'entreprise... monde qui est connu pour laisser le monde s'écrouler pour générer du profit... que peut-il arriver ? Penses t-on que si Totalfina se met à utiliser du libre, Totalfina va financer, alors qu'ils ne payent même pas le minimum pour faire transiter du pétrole sur des Tankers encore en état de circuler ?
      • [^] # Re: Nessus et le financement des outils libres

        Posté par  . Évalué à 0.

        « t ta notion de dons pour récompenser des travaux antérieurs non demandés par l entreprise, moi ca me rappelle "récompense pour bons et loyeaux services", et entre ca et les "pots de vins" y a pas bien loin ( d'un point de vue juridique ) ... donc une cause pas trés défendable devant un juge. »

        Un pot de vin, c'est une corruption. Je ne vois pas trop le lien que tu fais ici.

        « PS: je dis ca dans ma situation actuelle ... mais si un jour je gagne 30kf/m pour 35h/s, peut etre que je prendrai le temps de coder sous GPL ... quand je serai assuré par un autre moyen d'avoir "a manger" »

        Avec 30000 francs par moi, t'es pas sur d'avoir assez à manger. T'es un gourmand toi...
        • [^] # Re: Nessus et le financement des outils libres

          Posté par  (site web personnel) . Évalué à 1.

          Un pot de vin, c'est une corruption. Je ne vois pas trop le lien que tu fais ici.

          Si une loie sort pour "aider a donner de l argent sans que cette sortie(pour l entreprise) soit une contrepartie a un service rendu", commen un juge peut il faire la difference entre "pot de vin" et "dont pour soutiens" ?

          Avec 30000 francs par moi, t'es pas sur d'avoir assez à manger. T'es un gourmand toi...

          tu sait ce qu on dis des femmes ... j'ai bien peur que ca me coute tres cher ... mais tu as raison, je vais rester seul et tout garder pour moi ... zut je voulais des enfants :/
          Mais quand je vois ce que j ai coute a mes parents, je crois que les enfants c est encore pire que les femmes :(

          bon je fais commen moi ?
    • [^] # Re: Nessus et le financement des outils libres

      Posté par  (site web personnel) . Évalué à 1.

      Si quelqu'un connait un moyen légal et "corporate" pour qu'une entreprise reverse de l'argent aux développeurs d'un logiciel libre, je suis preneur.

      Une license comme celle de MySQL ?

      GPL pour les end-users / payant pour les entreprises

      Mais est-ce vraiment du logiciel "libre" à ce moment ?
    • [^] # Re: Nessus et le financement des outils libres

      Posté par  (site web personnel) . Évalué à 1.

      personnellement moi je suis d'accord avec ton point de vue.. J'utilise nessus depuis quelques temps (à titre non corporatif).

      Cependant, je vais bientôt l'utiliser dans le cadre de mes fonctions, et je pense sincèrement aider l'auteur financièrement et techniquement. Certe ce ne sera pas grand chose comparé à son travail, et aussi comparé à ce que certaines organisations pourrait donner par rapport à leur chiffre d'affaire produit grace à cet outil.

      J'ai pour devise de rétribuer tout travail le méritant, et je pense que vous serez nombreux à être d'accord avec moi que Nessus est une belle alternative à certains logiciels de certains editeurs (que je ne nommerai pas), qui ne fonctionne que sous Win*dows et qui coutent les yeux de la têtes tout en était quasi-équivalent à Nessus (à quelques petites options prêt).

      Moi je tire mon chapeau à Renaud Deraison, car Nessus m'aide beaucoup...
      • [^] # Re: Nessus et le financement des outils libres

        Posté par  . Évalué à 1.

        et dans l'esprit "rendre à César ce qui appartient à César" le minimum à faire dans tous les cas quand on utilise quelquechose est d'en citer l'auteur !
        (cf le coup de gueule plus haut sur certaines sociétés dont le business est centré sur l'utilisation opportuniste de nessus)

        je ne sais pas dans quelle mesure la GPL peut obliger à citer le programme, la licence GPL, et l'auteur dans le rapport produit(résultat de l'utilisation du programme) par nessus ...?
    • [^] # Re: Nessus et le financement des outils libres

      Posté par  . Évalué à 1.

      J'ai déja eu l'occasion de voir une entreprise dans laquelle le RSSI utilisait Nessus pour ses scans de vulnérabilités. (...) Quand je leur ai demandé s'ils avaient songé à rémunérer Renaud pour son travail, on m'a ri au nez.


      Question naïve : combien parmi ceux d'entre nous - professionnels comme particuliers - qui utilisent Apache, BIND, Red Hat Linux, GNU/Debian, Mozilla, GIMP etc... ont vraiment songé à en rémunérer les auteurs ? :-)
  • # Re: Le top 75 des outils sécurité

    Posté par  (site web personnel) . Évalué à 4.

    Un jour en voulant installer Tripwire sur un serveur Debian, j'ai tapé quelque chose comme apt-cache search tripwire et il m'a répondu aide (ça ne marche plus maintenant).

    Après examen sur le site http://www.cs.tut.fi/~rammer/aide.html(...) j'ai vite compris que cet outil était bon.

    Depuis un an maintenant j'en obtiens pleine satisfaction, c'est un outil bien plus facile à utiliser que Tripwire et, il me semble, plus fin en terme de config.

    J'ai été étonné de ne pas le voir sur ce classement, même s'il en est fait mention au niveau de Tripwire. Bref, l'idée n'est pas de lancer un troll, juste de dire que "aide c'est bien, mangez en" :-)
    • [^] # Re: Le top 75 des outils sécurité

      Posté par  . Évalué à 6.

      Allez, je vais faire mon raleur.

      La vérification d'integrité, c'est marrant et tout, blablabla, etc mais c'est pas fiable.
      J'explique :

      La sécurité du niveau n d'un système dépend de la sécurité des niveaux 0 à (n-1).

      Donc avec mon brave vérificateur d'intégrité, je fais quoi :

      open(monfichier)
      ->vérifie_intégrité(monfichier)
      ->opérations diverses et variées
      close(monfichier)

      Vous voyez la faille ? Je fais quoi si je ne peux pas être sur de mon open, que se soit celui de la glibc ou celui du noyau (techniques de hooking) ? C'est à dire : que vaut le contrôle d'intégrité si les appels qu'il fait aux systèmes en dessous ne sont plus sûrs ? pas grand chose...

      Donc à partir du moment où il y a compromission, le contrôle d'intégrité est mort. Le mieux c'est encore de faire une analyse offline à partir d'une autre machine, en utilisant des binaires compilés statiquement et c'est pas encore la panacée : interruption de services, copie des fichiers, etc.

      Un petit proof of concept écrit par un ami : http://www.iiens.net/pilon/muriel/index.php(...)
      Un bête lkm qui fist tripwire.

      Le plus simple, c'est encore de s'assurer que les fichiers qui n'ont pas à être modifiés ne peuvent pas l'être tout court : partition en ro, etc.
      • [^] # Re: Le top 75 des outils sécurité

        Posté par  . Évalué à 4.

        Pour les machines qui peuvent être arrêtée de temps en temps, on pourrait utiliser un truc simple à base d'un CD bootable qui sauvegarderait les controles d'intégrités sur une D7 ou une clef USB (ou autre chose)
      • [^] # Re: Le top 75 des outils sécurité

        Posté par  (site web personnel) . Évalué à 4.

        Le plus simple, c'est encore de s'assurer que les fichiers qui n'ont pas à être modifiés ne peuvent pas l'être tout court : partition en ro, etc.

        De memoire, il y a un fil de la nappe IDE qui controle l ecriture : si on le derive pour lui metre un interupteur, on peut controler mecaniquement ( via interupteur ) l autorisation d ecriture sur un disque ( ou toute la nappe ) ( soit via interupteur en facade, ou interupteur a clef en facade, ou controle via un port serie via un demon cache ... chacun son trippe )
        j ai lu ca dans un magazine, c'etait prevu pour proteger un disque secondaire sous windows 98.
        L interret ? ben meme si le mec passe root, et tape le remount qui va bien ( mount -o remount,rw /dev/??? / ), ben ... marche pas !
        Sinon y a une boite qui developpe un disque a deux tetes ... l une est gérée par un server publique, pour afficher les infos, l'autre est gérée par un server local acessible par les personnes qualifiées ( le dur peut etre commun a deux PC ... ). Une seule tete a la capacite d ecrire.
  • # Re: Le top 75 des outils sécurité

    Posté par  . Évalué à 7.

    Le classement existe depuis longtemps. C'est une mise à jour bienvenue.

    Par contre, il reflete bien une vision qu'on les gens de la sécurité: c'est se proteger de l'exterieur.

    Mais il y a aussi d'autre domaine dans la sécurité et trouver de l'info sur cela sont plus dur.
    - Il y a un domaine qui concerne la sécurité face à la dégradation, comme être sur que les données ne vont pas être corrompu par le temps et si c'est le cas, comment les récupérer. C'est trés interressant pour les CDR, on ne connait pas leur MTBF et j'ai déjà quelques pb avec des CD que j'ai gravé, il y a quelques années. Aujourd'hui à part faire un double, je ne vois pas de solution.
    - La sécurité de fonctionnement est aussi intérressant, comment être sur que le PC éxecute bien l'instruction qu'on lui demande (aucun intéret pour le commun des mortels, mais trés important dans beacoup de cas). Ou plus betement, comment être sur que ce que j'envoie à quelqu'un est bien reçu par lui et n'a pas été modifié.
    Depuis peu, quand je grave un CD, je mets un md5sum de tout les fichiers que j'ai dessus. Bien m'en a pris car mon graveur était en fin de vie et j'ai pu eviter d'avoir trop de perte grace à cette méthode. Ca aussi c'est de la sécurité.
    D'ailleurs, aujourd'hui, qui verifie que le CDR de photo qu'il vient de faire est correctement graver avant d'effacer les fichiers. De plus que ce passe-t-il si le CD se fait rayer?
    • [^] # Re: Le top 75 des outils sécurité

      Posté par  (Mastodon) . Évalué à 1.

      boarf de toute façon quand on grave, on est conscient que la durée de vie d'un CD est pitoyable et que l'on y grave pas de données sensibles...sauf si c'est pour de très courte durée (un backup qui est fait régulierement).
      • [^] # Re: Le top 75 des outils sécurité

        Posté par  . Évalué à 1.

        Faut pas non plus être parano. Des CD régulièrement utilisés tournent encore 10 ans après...

        C'est surtout la durée de vie des lecteurs qui est pitoyable.
        • [^] # Re: Le top 75 des outils sécurité

          Posté par  (Mastodon) . Évalué à 1.

          J'ai pas mal de CDR qui n'ont pas passé 5 ans et quelques CD audio (les originaux donc) entre 5 et 10 ans qui ne se lisent plus sans sauter, quelque soit le lecteur.

          En outre, j'ai un discman qui marche très bien depuis plusieurs années (7 ou 8).
          • [^] # Re: Le top 75 des outils sécurité

            Posté par  . Évalué à 1.

            « J'ai pas mal de CDR qui n'ont pas passé 5 ans et quelques CD audio (les originaux donc) entre 5 et 10 ans qui ne se lisent plus sans sauter, quelque soit le lecteur. »

            Par CDR tu parles de reinscriptibles ou de CD ROM (puisque tu parles de CD Audio ensuite) ?

            Tu parles de CD audio originaux. Je demande à voir. Leur surface est-elle sans rayures ?
            Les CD originaux sont pressés et non gravés . Cette technologie est considérée comme fiable l'échelle d'une vie d'homme.

            « En outre, j'ai un discman qui marche très bien depuis plusieurs années »

            A quelle fréquence d'utilisation ?
            • [^] # Re: Le top 75 des outils sécurité

              Posté par  . Évalué à 2.

              Hello, non, non, je confirme aussi, bien que le procédé de pressage soit hautement plus résistant que le "brûlage" (on grave la pierre, et même si c'est pas très beau à entendre on "brûle" le cd mais bon l'objectif n'est pas de lancer un troll ;-), on a quand même quelques surprises... que ce soit en CDROM ou en CDAUDIO achetés, j'ai des problèmes, et même si certains sont rayés, ce n'est pas le cas de tous, un bel exemple, le dernier live de Goldman (en passant), qui n'a beau pas être rayé du tout, a du mal sur plusieurs platines ou lecteurs CDROM (je connais qqun d'autre qui a le même pb avec ce double CD qui n'est pas protégé). A l'inverse j'ai certains CDs brûlés|enregistrés|gravés qui tiennent bien depuis 1996 ! mais il est clair que beaucoup de CD brûlés y'a un an à peine sur de la galette en tour de 100 sont déjà inutilisables... La qualité du CD vierge est très importante (mes plus vieux qui tiennent la route sont des verbatim ou des kodak). Même si je suis un peu d'accord avec HHH (usure des lecteurs),j'ai encore un contre exemple : j'ai une platine CD de salon qui marche encore très bien après plus de 15 ans de bons et loyaux services : une Brandt de 1984 ou 1986 (qui n'avait pas encore la fonction temps restant à l'époque ;-) pour en revenir au problème pertinent de la sécurité des données, le stockage sur un seul type de support n'est absolument pas suffisant !!! Il faut un CD ET (une bande OU un zip OU un disque dur) .... mais certainement pas qu'un seul CD !!! (à la limite deux identiques mais brûlés sur deux machines différentes) m'enfin tout ça est un peu hors sujet (-1)
    • [^] # Re: Le top 75 des outils sécurité

      Posté par  . Évalué à 0.

      « D'ailleurs, aujourd'hui, qui verifie que le CDR de photo qu'il vient de faire est correctement graver avant d'effacer les fichiers. De plus que ce passe-t-il si le CD se fait rayer? »

      Et que ce passe t-il s'il y a un incendie dans l'appartement avec l'ordi ? Evidemment, tout ce qui n'existe qu'en un seul exemple peut-être perdu. Ce n'est pas propre à l'informatique.
      Cependant on peut évaluer les risques.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.