Glandos a écrit 1215 commentaires

La réponse rapide est : pas vraiment, non.

Mon modèle de menace part du principe que je ne cherche pas à éviter les attaques ciblées. Si quelqu'un cherche à me nuire spécifiquement, je n'aurais pas les moyens de l'éviter. Donc mon serveur est « sécurisé », je gère mon courriel et d'autres services, je le surveille aussi (c'est important), je le mets à jour régulièrement (presque tous les jours), mais je ne l'ai pas particulièrement durci. J'utilisais grsecurity de Debian jusqu'à il y a peu, mais le noyau commençait à se faire trop vieux (c'est un 4.9.0).

Je pense que ces protections suffisent pour éviter les attaques « simples », non ciblées, qui cherchent des serveurs ouverts ou non mis-à-jour. Je pars du principe qu'actuellement, il est beaucoup plus rentable pour un attaquant de cibler un gros silo plutôt que mon serveur qui ne contient que quelques informations à revendre. Et si la motivation n'est pas l'argent, il y a plein d'autres moyens de me nuire.

Ah oui, je me suis trompé. J'utilise trop de sécurité, et j'ai pas compris pourquoi ça marchait. Je vous explique.
uBlock Origin utilise la règle noopjs pour utag.js par défaut, qui crée un objet vide. C'est un comportement choisi parce que la plupart des sites échouent lamentablement quand l'objet global utag créé par ce script n'est pas présent.
Or sur le site d'identification de BPCE, c'est l'inverse : si l'objet est là, son comportement attendu est manquant, et le site plante. Si l'objet est non présent, c'est pas grave, on continue.

Donc il faut remplacer la règle de blocage. Je vous propose la solution miracle qui lave plus blanc :

||tags.tiqcdn.com/*/utag.js$script,redirect=none,domain=credit-cooperatif.coop,important


Une remarque concernant le domaine d'application. J'ai mis celui qui me concernait, domain=credit-cooperatif.coop, à vous de mettre le vôtre.

J'apprécierai tout particulièrement vos retours, y compris pour dire : « hey, c'est pas comme ça qu'on écrit une règle. »

Cf. https://linuxfr.org/users/jseb/journaux/dans-son-barillet-l-ecureuil-ne-met-pas-des-noisettes#comment-1818668

L'identification avec tags.tiqcdn.com bloqué fonctionne à nouveau.

Je ressors ce vieux (?) journal : aujourd'hui, au Crédit Coopératif, avec tags.tiqcdn.com bloqué, ça fonctionne.

Donc râlé a probablement marché quelque part. En tout cas, c'est la première fois que je vois que c'est allé aussi vite. C'est cool.

C'est bien rigolo comme réponse de la part d'un banquier. Ils utilisent toujours du COBOL, non ? Les virements SEPA non-instantanés ne sont pas possibles le week-end parce que les bases de données (AS/400 ?) sont en maintenance ?

Il faut savoir vivre avec son temps, en effet.

J'ai moinssé le journal parce que … c'est du FUD.

C'est vrai. Un peu.

Le comportement dénoncé est complètement nouveau. Avant, ça marchait très bien. Et il y a eu un projet de mise à jour, visiblement pour la DSP2, visiblement pour le groupe BPCE en entier. Et ce projet demande quelque chose de complètement fou : désactiver une protection. Car oui, quand je clique sur « valider » pour mon code confidentiel, ça appelle du Javascript de tags.tiqcdn.com. Donc justement, la culture du risque est totalement inexistante, ou tout du moins complètement à côté de sa cible. Une page d'identification ne devrait même pas contenir de Javascript. C'est facile, et on peut même la faire jolie.

Par contre ça a un petit impact négatif sur la partie bourse
J'espère que tu continueras la maintenance, je ne suis pas doué en JS/CSS.

Bon évidemment, j'accepte les modifications :) Si jamais c'est possible, je peux aussi tester sur des pages « anonymisées ». Mais ça demande un sacré travail d'exporter ça, donc à voir…

J'ai pu tester ou voir les banques suivantes :

• CIC
• Boursorama
• BNP Paribas
• Crédit Coopératif

Seul le CIC a une page d'identification qui respecte les standards, avec un champ d'identifiant, et un de mot de passe. Tous les autres ont un clavier virtuel à chiffres aléatoirement disposés, gênant à la fois pour l'accessibilité et rendant toute tentative de sécurisation de mon poste inutile : je ne peux pas utiliser un gestionnaire de mot de passe.

Concernant l'UX : Bourso et BNP sont partis sur une interface web de type tablette. C'est joli, et ça rend mon écran 1920×1200 aussi utile qu'un écran de résolution VGA. Il a fallu que je me paluche de la CSS pour tout défoncer, et afficher suffisamment d'informations. Bien sûr, il y a une mise en production tous les deux mois, donc ma bidouille n'est pas toujours à jour.

Crédit Coopératif a fait un truc rigolo : une SPA (Single Page Application), mais sans utilisation de l'API pour l'historique HTML5. Donc quand on navigue dans l'interface, ça charge des pages, mais l'historique n'est pas changé. Un clic sur « Précédent » et paf, tout est perdu. Sans parler des codes d'authentification forte qui sont envoyés. Dans l'absolu, c'est bien, mais ils font 8 chiffres au lieu de 6, c'est long et pénible sans être un plus pour la sécurité.

Bref, on demande à une banque en ligne de fournir :

• Un formulaire d'identification normal. Voir ce site de moules pour un bon exemple.
• Un tableau des transactions normal. Voir Excel ou Calc pour un bon exemple.

Rien de tout cela ne semble inclure du contenu externe actif comme sentry.io ou tags.tiqcdn.com. Et pourtant, ils le font, et demandent de désactiver le bloqueur de publicités, tout en demandant par les CGV de s'assurer que son poste est sain. On marche sur la tête.

J'avais déjà oublié que j'avais reçu leur réponse. Voici ma requête :

Bonjour,
Depuis peu, le clavier virtuel a évolué sur votre site. Cette page semble nécessiter le chargement d'une ressource Javascript tierce depuis https:// tags.tiqcdn.com/utag/caisse-epargne/ccoop/prod/utag.js
Je tiens à signaler que cette ressource est identifiée comme « gênante » par les bloqueurs de publicité, car elle contient des éléments effectuant du suivi comportemental. Elle n'a donc strictement rien à faire sur la page de saisie du code personnel d'authentification.
En anticipant votre réponse, je tiens à vous dire que je ne désactiverai pas mon bloqueur de publicité, qui est précisément là pour augmenter la sécurité lors de ma navigation sur Internet en évitant de charger des scripts tiers suspects. tags.tiqcdn.com est régulièrement bloqué sur d'autres sites, sans aucun impact sur la navigation. D'ailleurs, j'utilise également un outil de scraping pour accéder à mes comptes qui fonctionne parfaitement.
Merci donc de faire le nécessaire afin de ne plus charger cette ressource externe.

Et donc voici leur réponse. C'est court et pas argumenté.

Bonjour,
Nous accusons réception de votre demande d’assistance.
Nous avons donc contacté notre service sécurité afin qu'il nous apporte une réponse à votre questionnement.
Voici leur réponse :
"Les composants tiers appelés sont utilisés pour des besoins d’amélioration continue de notre service. Aucunes données à caractère personnelles ne leurs est transmise »
Bien cordialement
L'Equipe d'Assistance Crédit Coopératif

Je me disais bien que ça me disait quelque chose : j'ai le même symptôme au Crédit Coopératif

C'est le même site pour tous les membres de BPCE : Banque Populaire, Caisse d'Épargne, et donc aussi Crédit Coopératif.

J'ai écrit un message au service technique. Avec un peu de chance, il ne finira pas à la poubelle.

Perdu. C'est le pseudonymat qui existe en ligne, et c'est très différent.

Tout est bon sur ce site :

• Ne marche pas sans activer du JS externe
• Demande de désactiver des protections pour accéder à un site « sécurisé »
• Affiche des captures d'écrans prises avec un appareil photo
• Effectue une boucle active pour faire des requêtes POST sans pause entre les requêtes

Ce qui est important, c'est le medium physique. Après, les équipements intermédiaires peuvent se changer plus facilement, s'il faut du débit symétrique.

Pour le préfixe IPv6 fixe, oui, c'est l'équivalent de l'IPv4 fixe.

J'aimerais bien faire une réponse complète avec plein de liens. Mais malheureusement, ce que tu dis n'est pas vrai.

La bijection entre les enregistrements A et PTR est une des vérifications, qui peuvent ou pas être ajoutées à la vérification du SPF.

Mais même quand on a SPF, DMARC, DKIM, et ARC (oui, j'ai ARC sur mon serveur), avec les DNS comme il faut et du DNSSEC, certains serveurs rejettent l'envoi. Parfois silencieusement et sournoisement.

Voilà, j'ai regardé la fibre chez OVH pour chez moi :

35,99 €HT / mois la première année puis 40,99 €HT / mois: 300Mbps
39,99 €HT / mois la première année puis 44,99 €HT / mois: 1Gbps
42,99 €HT / mois la première année puis 47,99 €HT / mois: 1Gbps + Téléphone
Location du modem : 4 €HT / mois

Il faut rajouter 20 % à tous les prix pour un particulier, c'est à dire qu'au-delà de la première année, on va de 53,99 €TTC (sans téléphone) à 62,39 €TTC (1Gbps + téléphone) par mois. C'est rien pour un professionnel qui déduit ses charges, c'est cher pour un particulier, comparé à la solution « contrat grand public + VPS ». J'ai actuellement un Freebox Mini 4K pour 29,99 €TTC par mois, avec 1Gbps + TV + Téléphone. La différence est notable. Peut-on dire que c'est le prix de la qualité ? ;)

Par contre, il y a des trucs sympas, comme les blocs IPv4 supplémentaires en option, et les numéros géographiques supplémentaires, à 1 €HT / mois le numéro.

http://ipv6pourtous.free.fr/accueil/

Merci, j'ai envoyé un mail. On verra bien.

En substance, je n'y ai pas demandé d'obligation de service, mais simplement de communication. Par exemple, aujourd'hui, il n'est écrit nul part dans les documents contractuels de Orange ou Sosh que le port 25 est bloqué, ce qui me semble inacceptable.

Je n'ai pas « demandé » plus, parce que la consultation semble porter surtout sur le déploiement du réseau, et beaucoup moins sur le côté commercial.

J'ai oublié : le mode bridge.

Qu'on ne me parle pas de DMZ s'il vous plaît, ce n'est qu'un pis-aller. Et je suis poli.

J'ai regardé cette solution il y a un temps. C'est très chiant le VPN. Soit je ne route qu'une partie du trafic dedans, et c'est un cauchemar de maintenance, soit je mets tout dedans, et adieu la performance. Mon routeur et serveur est un Atom D2550, et seul Wireguard me permettrait de faire quelque chose sans sacrifier toutes les performances. Personne ne proposait encore Wireguard quand j'avais regardé il y a 18 mois.

Le VPN, c'est vraiment plus dur à gérer qu'un serveur en plus. Le routage est très compliqué. Le serveur en plus, c'est une Debian, avec unattended-upgrade, et mon serveur Postfix est configuré pour avoir ce VPS en relais d'envoi, c'est tout.

Mon IPv4 ne sert qu'à la réception du coup.

Alors le truc drôle, c'est que je suis en zone très dense. J'aimerais bien garder ma fibre, parce que de l'auto-hébergement en ADSL, c'est ridicule, vu le débit en upload.
Et en zone très dense, y a que Orange, Bouygues, SFR, et Free sur le marché.

Si, clairement. C'est un peu plus cher, mais pour la qualité du réseau fourni, c'est mieux.

Par contre, il n'y a plus la télévision. Et là, jusque là, on s'en passait bien, mais pour des raisons personnelles, j'en ai à nouveau besoin.

Bon, le journal ne citait personne, c'était fait exprès. Mais il faut quand même mettre les mains dans le cambouis.

Pour Free :

Adresse IPv4 fixe : ça c'est à peu près OK. Le passage en IPv4 full stack fait changer d'adresse, mais pourquoi pas, c'est juste une fois
Enregistrement PTR : c'est fini, ce n'est plus possible avec la nouvelle infrastructure dont profitent les NRO. Dans mon espace abonné, j'ai mis mon nom de domaine, mais l'enregistrement ne fonctionne pas. C'est plus ou moins officiel d'ailleurs.
délégation DNS sur le préfixe IPv6 : C'est sur https://dev.freebox.fr/bugs/task/12749. La délégation DNS permet de dire : « OK, le préfixe 2a01:e0a:412:6e00::/60 je le délègue à telle adresse pour les enregistrements PTR ». Parce que sinon, il faut pouvoir mettre une liste très longue d'adresses possibles pour ces périphériques et leur donner un nom.
Pas de filtrage sur les ports : oui, ça marche. Mais le SMTP sans l'enregistrement PTR, ça sert à rien, les serveurs recevant le courrier ont tendance à vérifier la correspondance entre A et PTR… Ceci dit, là, je faisais plutôt référence à Orange qui ne veut rien savoir sur le port 25.

Et donc là, pour envoyer du courrier électronique, j'ai un VPS. Chez OVH, hein, il s'agit pas de nourrir deux fois la même vache.

Oui, Free est le meilleur FAI grand public français, mais ce n'est pas parfait.

Hééé oui, vu que ce sont les même sites, il y a le même problème.

Je sais plus trop comment j'ai fait, j'utilise Weboob en ce moment, parce que l'ergonomie du site n'est pas tenable.

Bravo, ce journal a été cité par NextINpact : https://www.nextinpact.com/news/109077-protection-contre-phishing-et-spoofing-demail-via-spf-et-dkim-faillite-francaise.htm

Aussi critiquables qu'elles soient, les grandes plateformes américaines jouent également le jeu [de DKIM]. Certes, leur politique de réception des emails ou de gestion de SPF est parfois trop stricte. On pense à Yahoo qui s'est illustré sur le sujet il y a quelques années. Ou encore à Microsoft. Mais on ne pourra pas leur reprocher un manque de réactivité sur l'implémentation de ces standards. Outlook.com, qui ne signe plus ses emails sortant avec DKIM au profit de SPF, DMARC et de la signature de l'ensemble de la chaîne via ARC, en avait déjà fait le tour dès décembre 2012.

Bon déjà, j'encourage toujours les gens à créer une solution à leur besoin, tant qu'ils ne réinventent pas la roue. Et à par Grocy, qui fait plein d'autres choses, et Gourmet, qui n'est pas collaboratif, y a pas grand-chose.

Mais le nom me semble tellement bien. Il évoque :

• Le but (stocker des recettes ou « recipes » en anglais;
• le langage, avec « php » dedans;
• comment on prononce « recipes » quand on a la bouche pleine.

Rien que pour le dernier point, je vote pour.