Ce n'est peut-être pas tout à fait ce que tu cherches, mais il est possible de déclarer par des enregistrements DNS le fait que certains services soient accessibles sur une machine :
Le problème est que si tu as plusieurs applications à proposer il faudra plusieurs enregistrements, mais peut-être en différenciant le numéro de port utilisé.
Où alors à compléter avec des informations proposées dans un enregistrement TXT (toujours via DNS).
Après il faut soit que tes utilisateurs effectuent une recherche DNS avec les bons critères pour trouver l'information ; soit prévoir un script qui permettra d'automatiser le tout.
Pour la mise à jour du programme lui-même cela me semble un peu bizarre, sachant que si l'on ne dispose pas d'un compte root ou administrateur, il y a normalement des droits sur le système de fichiers qui doivent bloquer les opérations.
Pour les extensions, elles sont installées dans le profil de Mozilla Firefox, il y a donc forcément la possibilité d'y accéder pour l'utilisateur. Peut-être qu'en créant un répertoire d'extension et en bloquant les droits d'accès il serait possible de bloquer des installations, mais ce serait à tester.
Sinon il existe une extension qui permet de reparamétrer Mozilla Firefox selon ses souhaits : intégration de moteurs de recherche, extensions, greffons, ... Mais aussi verrouillage d'options ou même d'accès au about:config.
C'est apparement la définition du Wiktionnaire, qui est certes juste mais qui provient d'un dictionnaire de l'Académie française, datant des années 1930.
Le terme "compromission" dans le contexte de la sécurité informatique fait référence à une fuite d'information non prévue, ou dans certains cas à une intrusion.
Elle est définie comme "prise de connaissance, certaine ou possible, d'une information ou d'un support classifié par une ou plusieurs personnes non qualifiées" selon "l'Instruction générale interministérielle sur la protection du secret de la défense nationale" du 23 juillet 2010. M'est avis que cette définition correspond effectivement à ce qui est décrit dans le journal.
D'ailleurs les propositions "intelligentes" de sortie du nucléaire ne sont pas simplement basés sur "on ferme les centrales" mais sur comment diversifier les sources d'énergie, les utiliser pour le nécessaire et les utiliser de manière efficace.
Voir par exemple les idées proposées par l'association Negawatt (le scénario Negawatt plus particulièrement) :
Bien sûr, ce n'est pas une solution automatique, qui puisse s'appliquer directement, mais il y a matière à discuter et à pouvoir trouver une solution partant de l'existant et assurant une transition vers autre chose que du "tout nucléaire" pour la production d'électricité.
pour les clés ce n'est pas évident, mais pour les disques, faire un étiquetage avec des étiquettes "de sécurité" (genre ce qui est proposé par des entreprises comme http://www.sbedirect.com/ ou http://www.tds-eas.fr/). Ce n'est que dissuasif mais cela peut avoir de l'effet.
chiffrer les clés et disques. Cela peut compliquer l'utilisation quotidienne selon la technique retenue, mais au moins en cas de vol, les informations ne se baladent pas n'importe où.
Attaque basique, mais ciblée c'est ce qui fait la différence.
Si l'attaquant à pris le soin de bien se renseigner auparavant (et on peut raisonnablement penser que c'est le cas) alors il a de bonnes chances de préparer une attaque profilée pour passer sous le seuil de détection.
Cela exploite des failles humaines de manière intelligente (message en provenance d'un "service voisin" donc n'éveillant pas la méfiance) et une faille technique non connue. Face à cela, il y a malheureusement peu de parades.
Après, il faut être clair : si les personnes disposent de droits d'administration sur leur machine, ce qui permet au cheval de Troie de s'exécuter complètement, c'est une faute grave.
Quelques renseignements complémentaires, si les liens ne sont pas déjà passés :
Vu le nombre de cochonneries qui peuvent passer par des fichiers PDF et exploiter des failles d'Acrobat Reader, j'aurai plutôt tendance à regarder de ce côté-là.
Et difficile de bloquer ce type de fichier, surtout dans une administration.
Pour les commandes pour fdisk, elles sont présentées sous forme de script, mais il est possible de les lancer de manière interactive après avoir lancé la commande fdisk /dev/sdb.
Petit conseil : l'utiliser en ayant un seul site consulté dans le navigateur pour faciliter les analyses (éviter notamment les pages avec des mises à jour du contenu automatique).
Difficile de dire si elle peut s'appliquer : certaines informations pourraient être changées si l'utilisateur avait rentré quelque chose d'erroné le concernant (nom, adresse, ...) mais probablement pas les informations sur la connexion elle-même (heure, adresse IP, ...).
Je serais curieux de voir les premières jurisprudence à ce sujet.
Sur la durée d'une vie humaine voire plus, dans ce cas DVD ou disque dur voire même bande magnétique, il faudra se poser la question de changement de support ; il n'y en a pas un qui durera suffisamment longtemps.
Et pour le format de fichier, maildir (un fichier par message) avec des jeux de caractères connus et de l'encodage base64 pour les fichiers attachés n'est peut-être pas le grand idéal mais devrait supporter plusieurs migrations sans trop de peine.
Sinon l'autre solution pour déporter les données est d'avoir un disque dur chez un (voire plusieurs) ami de confiance et d'y envoyer les données chiffrées. Et en proposant la réciprocité, tant qu'à faire.
Le point limitant dans ce cas est la bande passante nécessaire pour les transferts (au-delà de la copie initiale qui peut se faire localement).
"What are the differences between Mark Zuckerberg and me? I give private information on corporations to you for free, and I’m a villain. Zuckerberg gives your private information to corporations for money and he’s Man of the Year." — Julian Assange
Pour replacer les choses dans leur contexte, la citation n'est pas de Julian Assange, mais du comique Bill Hader jouant le rôle de Julian Assange dans l'émission Saturday Night Live.
Pour les personnes utilisant Slackware, Eric "Alien BOB" Hameleers a déjà préparé les packages correspondants, y compris linguistiques pour la Slackware 13.1 :
evalSMSI (...)consiste essentiellement à dire "il faut refaire entièrement le questionnaire, y répondre, et ça génère un rapport".
Effectivement, et quand on lit le fichier d'avertissement disant qu'il faut avoir acheté la norme 27001 pour avoir le droit d'utiliser la base proposée (sauf erreur en consultant le site de l'ISO il faut prévoir dans les 130 francs suisses) je trouve que l'intérêt en pâtit un peu plus.
Et sinon, la capture d'écran sur SourceForge montre en fond un blason avec un sphinx et deux clés, qui est le logo de l'ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l'Information - http://www.arcsi.fr/). Outre la thématique évidente, y a t-il un rapport ? Je n'ai pas vu de mention de l'association dans les fichiers.
Par curiosité, quels sont les arguments contre cette approche ? Je l’ai utilisée pendant plusieurs années sans aucun souci.
Ce n'est pas tant un problème d'arguments, mais de principe : quand un service proposé est mauvais je veux bien bricoler un peu de choses de mon côté pour combler les manques, mais quand le service est très mauvais, j'aurai plutôt tendance à aller demander des explications au responsable plutôt que de tenir des bricolages à bout de bras.
Après, je comprends que selon la situation, les tempéraments et l'envie de bidouiller, chacun agisse d'une manière ou d'une autre.
répond immédiatement avec la donnée cachée (même si son TTL a expiré)
Le cache doit être persistant (sur disque).
En gros tu voudrais quelque chose qui soit à l'opposé de ce qui est demandé par les normes et les pratiques techniques courantes.
M'est avis que soit tu as une liste d'hôtes assez limitée et tu peux t'en tirer avec un fichier hosts ou de zone locale, soit il faudra prendre le code d'un resolver DNS existant et l'adapter à tes besoins.
Et par curiosité je ne vois pas dans quelle situation on peut se retrouver à exiger des réponses DNS aussi rapides et "stables".
Le fait qu'ils dépendent du Crédit Coopératif pour la structure bancaire signifie donc qu'en terme d'utilisation de l'argent sur le compte courant il est possible qu'ils ne soient pas éthiquement meilleurs que n'importe quelle banque populaire, non ?
Exact : la dépendance "technique" envers le Crédit Coopératif induit sûrement certaines "compromissions" par rapport aux objectifs visés je pense.
Après je n'ai pas été vérifier, mais il me semble que le rapprochement avec le Crédit Coopératif n'est sûrement pas le pire possible dans le milieu bancaire :-)
En tout cas le logiciel est celui de Natixis (...)
Je ne vois pas de quel logiciel tu peux parler (portail d'accès aux comptes ?) mais cela rejoint le point précédent, encore que là il s'agisse plus d'un outil que de gestion de flux monétaires (et donc avec moins de conséquences).
Pour ce qui est du projet de regroupement au niveau européen, ça me parait un peu mort quand même.
Les informations que j'ai reprises datent du dernier bulletin envers les sociétaires, donc il semble que ce soit toujours actif et valable.
# Enregistrement DNS ?
Posté par Ellendhel (site web personnel) . En réponse au message Client X / Publication d'application. Évalué à 3.
Ce n'est peut-être pas tout à fait ce que tu cherches, mais il est possible de déclarer par des enregistrements DNS le fait que certains services soient accessibles sur une machine :
http://fr.wikipedia.org/wiki/Enregistrement_de_service
Le problème est que si tu as plusieurs applications à proposer il faudra plusieurs enregistrements, mais peut-être en différenciant le numéro de port utilisé.
Où alors à compléter avec des informations proposées dans un enregistrement TXT (toujours via DNS).
Après il faut soit que tes utilisateurs effectuent une recherche DNS avec les bons critères pour trouver l'information ; soit prévoir un script qui permettra d'automatiser le tout.
# Quelques pistes
Posté par Ellendhel (site web personnel) . En réponse au message Firefox mode administrateur. Évalué à 8.
Pour la mise à jour du programme lui-même cela me semble un peu bizarre, sachant que si l'on ne dispose pas d'un compte root ou administrateur, il y a normalement des droits sur le système de fichiers qui doivent bloquer les opérations.
Pour les extensions, elles sont installées dans le profil de Mozilla Firefox, il y a donc forcément la possibilité d'y accéder pour l'utilisateur. Peut-être qu'en créant un répertoire d'extension et en bloquant les droits d'accès il serait possible de bloquer des installations, mais ce serait à tester.
Sinon il existe une extension qui permet de reparamétrer Mozilla Firefox selon ses souhaits : intégration de moteurs de recherche, extensions, greffons, ... Mais aussi verrouillage d'options ou même d'accès au about:config.
Documentation sur le Client Customization Kit :
https://wiki.mozilla.org/CCK
Page de l'extension :
https://addons.mozilla.org/en-US/firefox/addon/cck/
Blog du développeur:
http://mike.kaply.com/2011/02/17/cck-wizard-beta-for-firefox-4/
[^] # Re: FRANGLAIS
Posté par Ellendhel (site web personnel) . En réponse au journal Compromission de RSA. Évalué à 10.
C'est apparement la définition du Wiktionnaire, qui est certes juste mais qui provient d'un dictionnaire de l'Académie française, datant des années 1930.
Le terme "compromission" dans le contexte de la sécurité informatique fait référence à une fuite d'information non prévue, ou dans certains cas à une intrusion.
Elle est définie comme "prise de connaissance, certaine ou possible, d'une information ou d'un support classifié par une ou plusieurs personnes non qualifiées" selon "l'Instruction générale interministérielle sur la protection du secret de la défense nationale" du 23 juillet 2010. M'est avis que cette définition correspond effectivement à ce qui est décrit dans le journal.
Source : http://www.ssi.gouv.fr/IMG/pdf/igi1300.pdf page 90
[^] # Re: Sortir du nucléaire
Posté par Ellendhel (site web personnel) . En réponse au journal HS Un débat sur l'énergie nucléaire en France. Évalué à 5.
D'ailleurs les propositions "intelligentes" de sortie du nucléaire ne sont pas simplement basés sur "on ferme les centrales" mais sur comment diversifier les sources d'énergie, les utiliser pour le nécessaire et les utiliser de manière efficace.
Voir par exemple les idées proposées par l'association Negawatt (le scénario Negawatt plus particulièrement) :
http://www.negawatt.org/
Bien sûr, ce n'est pas une solution automatique, qui puisse s'appliquer directement, mais il y a matière à discuter et à pouvoir trouver une solution partant de l'existant et assurant une transition vers autre chose que du "tout nucléaire" pour la production d'électricité.
# Et encore merci !
Posté par Ellendhel (site web personnel) . En réponse au journal [CSS] spasibo.css : version petits écrans. Évalué à 4.
Non seulement l'annonce de la conférence photo est bien visible sur la première page de LinuxFR mais également dans les journaux grâce à toi.
Merci pour la publicité :-)
# Étiquetage et chiffrement
Posté par Ellendhel (site web personnel) . En réponse au message Se prémunir contre du vol de périphériques USB. Évalué à 2.
Deux solutions éventuelles :
pour les clés ce n'est pas évident, mais pour les disques, faire un étiquetage avec des étiquettes "de sécurité" (genre ce qui est proposé par des entreprises comme http://www.sbedirect.com/ ou http://www.tds-eas.fr/). Ce n'est que dissuasif mais cela peut avoir de l'effet.
chiffrer les clés et disques. Cela peut compliquer l'utilisation quotidienne selon la technique retenue, mais au moins en cas de vol, les informations ne se baladent pas n'importe où.
[^] # Re: quelle bande de comique
Posté par Ellendhel (site web personnel) . En réponse au journal La sécurité informatique version ministère des finances. Évalué à 2.
Attaque basique, mais ciblée c'est ce qui fait la différence.
Si l'attaquant à pris le soin de bien se renseigner auparavant (et on peut raisonnablement penser que c'est le cas) alors il a de bonnes chances de préparer une attaque profilée pour passer sous le seuil de détection.
Cela exploite des failles humaines de manière intelligente (message en provenance d'un "service voisin" donc n'éveillant pas la méfiance) et une faille technique non connue. Face à cela, il y a malheureusement peu de parades.
Après, il faut être clair : si les personnes disposent de droits d'administration sur leur machine, ce qui permet au cheval de Troie de s'exécuter complètement, c'est une faute grave.
Quelques renseignements complémentaires, si les liens ne sont pas déjà passés :
http://sid.rstack.org/blog/index.php/462-du-piratage-de-bercy
http://www.ssi.gouv.fr/site_article320.html
[^] # Re: Démission !
Posté par Ellendhel (site web personnel) . En réponse au journal Bercy dit être victime de piratage informatique. Évalué à 5.
Vu le nombre de cochonneries qui peuvent passer par des fichiers PDF et exploiter des failles d'Acrobat Reader, j'aurai plutôt tendance à regarder de ce côté-là.
Et difficile de bloquer ce type de fichier, surtout dans une administration.
# Procédure de remise en état
Posté par Ellendhel (site web personnel) . En réponse au message Résolu : Réparer la mbr et table de partitions d'une clé USB. Évalué à 1.
Effectivement, la table de partition doit être en vrac.
Une piste pour remettre le tout d'aplomb :
http://alien.slackbook.org/dokuwiki/doku.php?id=slackware:usbboot#restoring_a_usb_stick_to_its_original_state
Pour les commandes pour fdisk, elles sont présentées sous forme de script, mais il est possible de les lancer de manière interactive après avoir lancé la commande fdisk /dev/sdb.
# Tamper Data
Posté par Ellendhel (site web personnel) . En réponse au message Firefox : plugin permettant de "suivre" les données/URL envoyées via formulaire. Évalué à 2.
Tamper Data permet de voir et modifier non seulement les données envoyées par un formulaire mais également tous les en-têtes d'un dialogue HTTP.
https://addons.mozilla.org/fr/firefox/addon/tamper-data/
Un blog avec un exemple d'utilisation (même si ce n'est sûrement pas le meilleur) :
http://blog.koreus.com/tag/tamper-data/
Petit conseil : l'utiliser en ayant un seul site consulté dans le navigateur pour faciliter les analyses (éviter notamment les pages avec des mises à jour du contenu automatique).
[^] # Re: Adresse, numéro de téléphone ?
Posté par Ellendhel (site web personnel) . En réponse au journal Décret d'application de la LCEN. Évalué à 1.
C'est la loi dite "Informatique et libertés".
[[http://fr.wikipedia.org/wiki/Loi_relative_%C3%A0_l%27informatique,_aux_fichiers_et_aux_libert%C3%A9s_du_6_janvier_1978]]
Difficile de dire si elle peut s'appliquer : certaines informations pourraient être changées si l'utilisateur avait rentré quelque chose d'erroné le concernant (nom, adresse, ...) mais probablement pas les informations sur la connexion elle-même (heure, adresse IP, ...).
Je serais curieux de voir les premières jurisprudence à ce sujet.
[^] # Re: Soit, mais si on ne touche à rien ...
Posté par Ellendhel (site web personnel) . En réponse au journal Décret d'application de la LCEN. Évalué à 3.
Il faut lire le texte de loi et pas le décret :
Et là j'ai fortement réduit la citation, mais en gros c'est assez loin de "désolé, bisous".
[^] # Re: Histoire de pas se retrouver con la fois où ça nous arrivera...
Posté par Ellendhel (site web personnel) . En réponse au journal Bien joue Google. Évalué à 4.
Ça ressemble à la solution que j'ai proposé plus haut, hormis que tu remplaces le disque dur déposé chez un ami par Amazon.
Et bêtement, j'ai moins confiance dans les conditions d'usage et d'accès d'Amazon que les liens que je peux avoir avec une personne physique.
[^] # Re: Histoire de pas se retrouver con la fois où ça nous arrivera...
Posté par Ellendhel (site web personnel) . En réponse au journal Bien joue Google. Évalué à 4.
Sur la durée d'une vie humaine voire plus, dans ce cas DVD ou disque dur voire même bande magnétique, il faudra se poser la question de changement de support ; il n'y en a pas un qui durera suffisamment longtemps.
Et pour le format de fichier, maildir (un fichier par message) avec des jeux de caractères connus et de l'encodage base64 pour les fichiers attachés n'est peut-être pas le grand idéal mais devrait supporter plusieurs migrations sans trop de peine.
Sinon l'autre solution pour déporter les données est d'avoir un disque dur chez un (voire plusieurs) ami de confiance et d'y envoyer les données chiffrées. Et en proposant la réciprocité, tant qu'à faire.
Le point limitant dans ce cas est la bande passante nécessaire pour les transferts (au-delà de la copie initiale qui peut se faire localement).
[^] # Re: Histoire de pas se retrouver con la fois où ça nous arrivera...
Posté par Ellendhel (site web personnel) . En réponse au journal Bien joue Google. Évalué à 2.
15 ans de courrier, il faudrait plutôt prévoir de l'archivage que de la sauvegarde (je ne pense pas que tu accès régulièrement à d'anciens messages).
Dans ce cas, un format de fichier bien choisi, une éventuelle indexation et le tout compressé et gravé sur un DVD devrait limiter les problèmes.
[^] # Re: ah ah ah MDR !
Posté par Ellendhel (site web personnel) . En réponse à la dépêche Release Party pour KDE 4.6 à Toulouse. Évalué à 5.
Pour replacer les choses dans leur contexte, la citation n'est pas de Julian Assange, mais du comique Bill Hader jouant le rôle de Julian Assange dans l'émission Saturday Night Live.
http://www.youtube.com/watch?v=urDvpX-CfTw
Cela dit, je trouve que la citation reflète bien les choses...
[^] # Re: Vous avez oublié les plus geek...
Posté par Ellendhel (site web personnel) . En réponse au journal Blogs BD. Évalué à 2.
http://www.phdcomics.com/comics.php
# Packages Slackware disponibles
Posté par Ellendhel (site web personnel) . En réponse à la dépêche LibreOffice est de sortie !. Évalué à 7.
http://alien.slackbook.org/blog/get-it-libreoffice-3-3-0/
Et il n'est pas nécessaire de supprimer OpenOffice.org auparavant, les deux suites bureautiques peuvent cohabiter.
# Quelques liens
Posté par Ellendhel (site web personnel) . En réponse au message Formater les nouveaux disques avec les block de 4k (allignement). Évalué à 1.
http://imil.net/wp/2010/12/28/les-disques-a-4096-bytes-de-no(...)
http://karelzak.blogspot.com/2010/05/4096-byte-sector-hard-d(...)
Le second lien vient de la page du premier ; et en espérant que cela pourra t'apporter des lumières...
Est ce qu'il existe une ligne de commande pour connaître la taille des block physique du disque dur?
D'après Karel Zak il semble que hdparm puisse te donner l'information.
# Typo
Posté par Ellendhel (site web personnel) . En réponse au journal IPv6 et conséquences sur l'anonymat. Évalué à 10.
Bond.
James Bond.
[^] # Re: Exemple concret d'utilisation ?
Posté par Ellendhel (site web personnel) . En réponse à la dépêche EvalSMSI, OS fingerprinting en 3D, OpenEBIOS. Évalué à 1.
[^] # Re: Exemple concret d'utilisation ?
Posté par Ellendhel (site web personnel) . En réponse à la dépêche EvalSMSI, OS fingerprinting en 3D, OpenEBIOS. Évalué à 3.
Effectivement, et quand on lit le fichier d'avertissement disant qu'il faut avoir acheté la norme 27001 pour avoir le droit d'utiliser la base proposée (sauf erreur en consultant le site de l'ISO il faut prévoir dans les 130 francs suisses) je trouve que l'intérêt en pâtit un peu plus.
Et sinon, la capture d'écran sur SourceForge montre en fond un blason avec un sphinx et deux clés, qui est le logo de l'ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l'Information - http://www.arcsi.fr/). Outre la thématique évidente, y a t-il un rapport ? Je n'ai pas vu de mention de l'association dans les fichiers.
[^] # Re: Ça ne doit pas exister en l'état
Posté par Ellendhel (site web personnel) . En réponse au message Cherche cache DNS. Évalué à 4.
Ce n'est pas tant un problème d'arguments, mais de principe : quand un service proposé est mauvais je veux bien bricoler un peu de choses de mon côté pour combler les manques, mais quand le service est très mauvais, j'aurai plutôt tendance à aller demander des explications au responsable plutôt que de tenir des bricolages à bout de bras.
Après, je comprends que selon la situation, les tempéraments et l'envie de bidouiller, chacun agisse d'une manière ou d'une autre.
# Ça ne doit pas exister en l'état
Posté par Ellendhel (site web personnel) . En réponse au message Cherche cache DNS. Évalué à 1.
Le cache doit être persistant (sur disque).
En gros tu voudrais quelque chose qui soit à l'opposé de ce qui est demandé par les normes et les pratiques techniques courantes.
M'est avis que soit tu as une liste d'hôtes assez limitée et tu peux t'en tirer avec un fichier hosts ou de zone locale, soit il faudra prendre le code d'un resolver DNS existant et l'adapter à tes besoins.
Et par curiosité je ne vois pas dans quelle situation on peut se retrouver à exiger des réponses DNS aussi rapides et "stables".
[^] # Re: et lanef... (ou autres banques coopératives)
Posté par Ellendhel (site web personnel) . En réponse au journal Voir un reportage est devenir FOU.. Évalué à 1.
Exact : la dépendance "technique" envers le Crédit Coopératif induit sûrement certaines "compromissions" par rapport aux objectifs visés je pense.
Après je n'ai pas été vérifier, mais il me semble que le rapprochement avec le Crédit Coopératif n'est sûrement pas le pire possible dans le milieu bancaire :-)
En tout cas le logiciel est celui de Natixis (...)
Je ne vois pas de quel logiciel tu peux parler (portail d'accès aux comptes ?) mais cela rejoint le point précédent, encore que là il s'agisse plus d'un outil que de gestion de flux monétaires (et donc avec moins de conséquences).
Pour ce qui est du projet de regroupement au niveau européen, ça me parait un peu mort quand même.
Les informations que j'ai reprises datent du dernier bulletin envers les sociétaires, donc il semble que ce soit toujours actif et valable.