Dreammm a écrit 201 commentaires

Excusez ma naivete, mais pour un marche public de ce type, il n'y a pas d'appel d'offres ?

A partir de la, une societe vendant du linux devrait pouvoir repondre, et ceci a de meilleurs prix qu'une societe proposant du XP ou du 2000 comme OS non ?

Le reel probleme n'est-il pas alors le faible nombre de societe proposant ce genre de materiel (et surtout ce genre d'OS :-) ?

Pour les précisions, lire S. Fluhrer, I. Mantin et A. Shamir - Weaknesses in the key scheduling algorithm of RC4

Bon, je ne voulais pas le faire, mais tu m'y pousse ;)


Tout ce que j'attendais, de quoi lire ce soir pour ne pas mourir idiot.
Merci de contribuer a mon elevement spirituel :-)


Dernier truc, en étant connecté au niveau 2 sur ton AP, l'attaquant ne peut pas communiquer sur le réseau, certes, mais il peut injecter du trafic, faire des dénis de services, modifier des trames, etc... ce qui est déjà pas mal non ?


Certes, mais dans la vrai vie, ca existe vraiment des gens aussi mechants ? :-)))

Blague a part, tu as bien evidemment raison.
D'un point de vue pratique, je voulais juste dire que la protection au niveau 3 est actuellement faisable avec des logiciels libres, ce de plusieurs manieres.

Au niveau 2, et corrige moi si je me trompe, le seul truc de disponible en libre est le 802.1x, et nous sommes tous les deux d'accord sur les defauts de ce truc la.
(on oublie le WEP :-)

Donc, pas si mal que ca le niv 3 en attendant la norme qui tue non ?
Le truc dans les cartons qui va sortir incessament sous peu le jour, c'est bien le 802.11 Tgi ?

Et a noter que la protection au niveau 2 n'est pas la panacee non plus, cf pour cela tous les DOS possibles sur tout ce qui est EAP, par exemple dans l'excellent lien cite ci-dessus : http://www.drizzle.com/~aboba/IEEE/(...) . Toutes ces attaques exploitent generalement le fait que les paquets d'admin du 802.1x ne sont pas authentifies/chiffres.

A noter que tous ces problemes devraient bien sur etre regles par la nouvelle norme :-)

WEP/RC4 : tu as tout as fait raison. Pour bien faire comprendre ma pensee, je precise : le probleme inherent avec le WIFI est qu'il est tres facile de capturer le traffic, et a partir de la de deployer des attaques classiques avec plus de renseignement. La faiblesse du WEP vient de l'utilisation de RC4 ET du fait que la clef ne change pas. Pour le 802.1x, voir http://www.cs.umd.edu/~waa/1x.pdf qui decrit une attaque de type MiM sur du 802.1x et le session hijacking (le chopage d'adresse MAC) Pour ta remarque sur ssl, ssh et ipsec : idem que ci-dessus. C'est juste relativement facile de deployer une attaque MiM sur du Wifi. De la meme maniere qu'il est facile d'ecouter le traffic, il est aussi facile de s'inserer dedans. Pour IPSec par contre, il est bien aimable mon pirate connecte au niveau 2, mais s'il ne peut rien faire au niveau 3 il ne risque pas de faire grand mal. Ou je me trompe ?

Cette page est assez fabuleuse effectivement. Toutes les personnes vaguement preoccupes de la securite WIFI devraient avori cela dans leur bookmark.

C'est normal que cela t'y fasse penser, vu que c'est exactement cela :-) Pour ta question sur IPSec, je peux dire par experience que cela bouffe de la bande passante. C'est tres simple : sur chaque paquet IP on rajoute des en-tetes. Si tu trouves des mesures sur cette perte, je suis preneur.

Pour ceux que ca interesse, je suis en train de me pencher sur le pb. On peut scinder le pb en 2 partie : 1) authentification 2) cryptage Le cryptage est cense assurer la confidentialite des donnes. Le mecanisme de base decrit dans 802.11b est WEP. En gros, on utilise une clef symetrique qui ne change pas pendant toute la duree de l'association entre les deux extremites d'une connexion WIFI. C'est MAL (tm), et relativement facile a cracker si on se donne la peine d'ecouter suffisament longtemps le traffic. Remède envisage : cryptage au niv 2 avec rotation de clef. C'est WEP, mais on change la clef de cryptage periodiquement. cryptage au niveau 3 (IP) : c'est la solution par VPN, par ex IPSec (FreeSwan sous Linux ou Kame sous BSD like) Pour la premiere solution, il n'existe pour le moment rien de standard. Des solutions proprio existent, notamment chez Cisco (protocole LEAP, extension de la norme 802.1x) mais proprio=cher La norme en preparation s'appelle 802.11i. Parlons de l'authentification maintenant : ou comment eviter qu'un parfait inconnu utilise votre borne réseau. 802.11b : rien ou si peu (adresses MAC par ex) 802.1x : norme générale spécifiant une authentification pour utiliser un port (au niveau ethernet). En tres gros, on donne un mot de passe et un login, et si c'est reconnu (par un serveur radius typiquement) on a acces. Cette norme, prevu initialement pour du filaire, se transpose mal au sans fil, notamment parce que l'authetification est asymetrique : pas d'authentification de la borne d'acces. On est donc vulnerable a des attaques de types Man in the Middle. IPSec : pour de l'authentification au niveau IP. Proprio : LEAP sur cisco assure une authentification symetrique. Autre soluce bizaroide au niveau IP : une passerelle d'authentification En gros, on se logue en SSH/https, cela rajoute une regle au niveau d'un firewall qui autorise l'acces. Bilan : tu es riches, tu utilises un OS proprio (Windows ou Mac OS X) : prends du cisco, ca marchhe out of the box. Tu es presse, pauvre et/ou amoureux des solutions libres, et tu aimes les solutions pas out of the box du tout :IPSec, passerelle d'authentification Tu n'es pas presse : attends la norme suivante !!! Les liens divers, pour approfondir : IPSec : http://www.kame.net/ http://www.freeswan.org/tools.html 802.1x : pour implementer la chose sous Linux (client Mac OS X en preparation) http://www.missl.cs.umd.edu/wireless/eaptls/?tag=missl-802-1 Passerelle d'acces : http://www.traduc.org/docs/HOWTO/lecture/Authentication-Gateway-HOWTO.html

Je ne voulais pas comparer le broadcast à l'unicast, mais bien au multicast, qui est
a mon avis le grand interet de videolan (server).

On a alors le schema suivant : seuls les auditeurs reçoivent le flux, et le flux n'est pas duplique sur le reseau.

Avec du mulicast, tu peux meme envisager de diffuser des video sur du 10Mb/s (du moins avec un switch).

Niveau réseau c'est du broadcast ?!???

Euhh ... C'est pas un peu du suicide de réseau ça ?

Ce que je sous-entendais, c'est que pour le moment, les versions betas de Safari
qui se succedent n'ameliorent pas le rendu, mais bien l'habillage (les tabs, c'est cool)

J'espere que la version 1.0 permettra un support equivalent a Gecko des feuilles de style.

Il faudrait que le moteur de rendu s'ameliore aussi.
Perso, j'ai des problemes sur le rendu de linuxfr, ce qui est un comble.

Il est joli ton screenshot. Tu les appliques comment les themes ?

Quand on y reflechit, ce genre de licence permet quand meme d'eviter
qu'un membre de l'inria ne developpe un logiciel avec les credits publics,
et ne l'exploite commercialement apres.

Ce que meme la GPL n'empeche pas.
Donc, et c'est entierement mon avis perso, je ne suis pas contre.

Dans la mesure du possible, je trouverais normal que les logiciels developpes
dans un institution publique soient au minimum en GPL.
Si ce genre de loi pouvait etre votee, on verrait un serieux decollage du logiciel libre.

C'est bon de voir que le developpement fait dans le public est de plus en plus libre.

Ca s'organise du cote des ministeres, notamment de l'education nationale, qui
s'apercoit enfin du cote positif des developpements libre.

A part l'ATTICA, connaissez-vous un autre organisme qui pousse les institutions
publiques a utiliser des logiciels libres ?

Le probleme inherent aux organismes publics est que les decideurs sont ... plus tout
jeunes, pour dire le moins :-)
Et donc le message est difficile a faire passer. Le soutien d'organisme de reference, ou d'exemples reussis par des pionniers, ca aide ENORMEMENT.

Donc n'hesitez pas, vous qui travaillez dans le public, a semer vos petites graines, a parler autour de vous, a dire : "Tiens, chez Truc, a cote, ils ont deploye telle solutions libre, et ca marche bien".

Il faut insister sur le fait que le logiciel libre, c'est BIEN(tm) et que ca marche.

Mes deux cents

MPlayer les ecrasera tous :-)
Peut etre en ecrasant un peu les licences libres au passage (voir le thread
sur debian-devel), mais mplayer est vraiment exeptionnel.

J'utilise également videolan, pas mal du tout.

En gratuit, on peux trouver EclipseUML : http://www.omondo.com C'est plutot bien, quand ca ne plante pas :) Et pour plein de plugins : http://eclipse-plugins.2y.net/eclipse/index.jsp C'est y pas la fete tout cela ?

Une methode pour authentification a l'acces d'un reseau WIFI par serveur RADIUS, le tout avec des produits 100% libre :

http://www.missl.cs.umd.edu/wireless/eaptls/(...)

En résumé pour les préssés : on accède par WIFI au serveur RADIUS. Si l'authentification est OK, on accède à ce qui est derrière le RADIUS (ce que l'on veut protéger), sinon on reste à la porte :-)

C'est encore compliqué, mais c'est relativement récent, donc ca laisse la place à de l'amélioration et à du packaging :-)

D'apres le premier lien, c'est sur batterie, mais il y a une base qui permet de recharger. Donc pas de piles :-)

| Mais bon n'oublions pas que le principal actionnaire du principal fournisseur d'accès |est également celui qui fait ces propositions...

Il faut suivre l'actualité : le désengagement de l'état dans FT est en marche.
Remarque qu'il vaut mieux que FT continue a marcher, parce que le pret de 9 milliards d'euro, il va falloir le rembourser quand meme :-)

Le plugin pour ipod est payant et absolument pas libre :-((

C'est plutot la 0.8.5 qui vient de sortir non ?

Il y avait deja un article d'intro sur pam dans le numero precedent.

Des gens qui l'ont lu peuvent-il dire si l'article est bien ?

Perso, j'ai arrete login au profit de LMF, mais le sujet (PAM pour ceux qui ne suivent guere) m'interesse.

Euhh ...
Certaines boites passent a Linux de nos jours. Les jours ou Linux n'etait qu'un systeme de bidouilleur sont finis.

L'alternative offerte pour le desktop par Linux+ Gnome/Kde + Star/open office commence quand meme a se savoir, meme dans les entreprises :-)

Suffit de regarder les articles reguliers dans Decision Micro ou 01 informatique.

Et pas besoin de rappeler la place de Linux dans le marche des equipements reseaux ou dans l'embarque non ?

Interessant de remarquer que de plus en plus de journaux grand public s'interessent a Linux.

On a de plus l'impression qu'apres un effet de mode initial, l'arrivee des distrib grand public a la Mandrake permettent une diffusion plus importante parmi le grand public.

Les patrons sont deja conquis, la 2e bataille commence : Maman, ton nouvel ordi, tu le veux pas sous Linux ?

Depuis qqes versions deja, ethereal (et tcpdump d'ailleurs) permettent de sniffer du wireless, modulo l'utilisation d'un matos approprié.

Pour ce que le sujet interesse, voici qqes liens utiles pour d'autres outils :

http://airsnort.shmoo.com/(...)
http://www.kismetwireless.net/(...)

Plutot sympa ton intro, mais un peu seche. J'ai bien aime la partie Archi Systeme. La descritpion des API est breve mais elles y sont toutes. Par contre, pour les conteneurs, il faudrait etre un peu plus expansifs, car celui qui n'y connait rien a tres peu de chances d'y comprendre qqchose. Mais ce n'est peut etre pas la tache d'un texte introductif. Tu devrait mettre des liens pour chaque section, vers la doc de sun decrivant l'element de la section. GLobalement donc, une bonne intiative, mais manque de pointeurs precis. Continue donc, c'est de la belle ouvrage :-)

D'apres ce que j'ai saisi des docs, tout element proposant un service (imprimante, passerelle par ex) diffuse periodiquement sur le reseau (plus exactement en broadcast sur la plage IP reservee pour zeroconf) une info permettant d'utiliser son service. Ainsi, si tu ecoutes, tu es au courant de ce qui est disponible.