pasBill pasGates a écrit 16062 commentaires

L'adresse IP elle n'est pas suffisante, notamment parce que quand tu te promènes ton adresse change.

Les cookies sont une des causes, car ils sont ce qui permet à une société d'identifier que la requète faite par 129.194.23.12 et 2h plus tard par 121.192.42.12 sont en fait de la même personne

Et qui stocke et envoie les cookies… le browser.

Ensuite, si la collecte se fait du côté serveur avec les sites qui revendent les infos, ben cela devient tout de suite bcp plus dur à stopper

Hors conférence, il y a des réunions içi oû là en Suisse romande ?

Il me semble que Zurich a aussi area41 , mais je suis assez allergique à l'allemand malgré 8 ans de cours à l'école donc je focalise plutôt sur la Suisse romande.

Cela m'a l'air un peu pauvre et cela m'a surpris parce qu'il y a quand même Proton, SonarSource, Kudelski, les banques, … de notre côté du Roestigraben.

Merci, je ne m'inquiète pas trop niveau emploi car je reviens en gardant mon job. Je continue à faire le même job, simplement depuis la Suisse. Ce que tu décris est effectivement l'image que j'ai de la Suisse, et pourquoi j'ai fait mon possible pour déménager avec mon job, je n'avais aucun désir de bosser pour des sociétés de service ou des banques.

Je me demandais plutôt oû rencontrer du monde dans l'industrie informatique, notamment sécurité.

Je comprends bien que les projets ne sont pas morts, mais il y avait une époque oû l'on parlait d'ODF remplaçant les formats Microsoft, devenant un standard dans les administrations, LO-OO prenant de l'ampleur

Le soufflé semble être dramatiquement retombé de ce côté là et perso il me semble que cela a commencé à tomber lorsque OO-LO ont eu leur guerre fratricide. Je me disais que cela pourrait même leur donner une impulsion à long terme mais il me semble qu'ils ont en majorité loupé le virage online, du moins niveau adoption.

Loin de vouloir raviver les trolls d'antan mais j'ai l'impression que tout le movement qui existait à l'époque autour d'ODF et LO/OO est mort non ?

Il y a encore des mouvements significatifs dans l'industrie autour de ces technologies ?

Un virus ferait très bien l'affaire

Les pennes siciliennes comme on les appelle à Genève sont des penne avec des aubergines, sauce tomate et ail qui sont couvertes de mozzarella et gratinées au four

C'est absolument merveilleux, chaque fois que je retourne à Genève je vais à la Trattoria près de la gare pour en manger.

La mozzarella dans les pates cela peut être très très bon.

Mais ce n'est aussi pas le but de CVSS… CVSS c'est pour un premier filtre de ce qui est essentiel a deployer immediatement ou pas pour l'admin moyen. C'est au vendeur dans son advisory de donner ces details pour ceux qui veulent aller plus loin.

On peut vouloir que CVSS aille plus loin oui, mais CVSS a une utilité

Exemple :

AV = Ca vient par le réseau
PR = pas d'authentification nécessaire
Etc.

te dit que c'est urgent

L'admin veut le moins de changements possible, probablement ne connais pas grand chose à la sécurité mais veut aussi garder ses systèmes protégés.

Résultat lui donner un minimum d'infos (ex: cette vuln est exploitable sans authentification et par le réseau) lui dit ce qui est absolument urgent et ce qui ne l'est pas.

Aller plus loin dans les détails aiderait certains c'est sur mais beaucoup ne comprendraient pas.

Bref, CVSS a son utilité

Non. S'il n'a aucune connaissance en sécurité il applique tous les patchs de sécurités épicétout. S'il n'a pas le temps de se former un minimum sur la sécu alors qu'il est admin, faut pas demander plus.

C'est une belle théorie…le problème est qu'en pratique le monde ne marche pas comme ça.

Pour le reste, on pourrait avoir un système de tag, genre élévation de privilège, contournement des environnement restreints (docker, VMs, …), DOS, corruption de données, ralentissement, exploitable a distance, utilisation uniquement sur configuration spécifique…

Mais tout cela existe déjà et CVSS va même plus loin que cela.

Le problème avec ces systèmes est qu'il faut trouver quelque chose qui est compréhensible et utilisable par l'administrateur moyen sans connaissances sécurité.

Faire une analyse de menaces particulière n'est pas dans leur cordes souvent, résultat il faut leur donner une approximation et c'est ce que CVSS est pour moi.

CVE c'est un peu la même chose, un identifiant standardisé histoire que les gens puissent communiquer et se comprendre.

Ce ne sont pas des systèmes parfait loin de là, mais la question est : est-ce qu'il y a mieux, et là je n'ai encore rien vu.

Les Freebox sont toutes contrôlées par le KGB, j'ai vu plusieurs binaires qui contiennent le mot RGB qui clairement est une réference légerement modifiée au KGB.

Donc en fait, faudrait que la police tire sur toute personne dont la conduite pose danger.

Messieurs dames, faites gaffe, on verra bientôt des radars avec mitrailleuse intégrée !

Rien à voir, le gars est armé, et a spécifiquement attaqué les gendarmes, qui ont quand même essayé de le taser d'abord pour l'immobiliser avant d'utiliser leur arme de service quand cela n'a pas suffi.

Bizarrement aux USA quand il y a un fuyard en voiture, ils ne mitraillent pas sa voiture, ils la poursuivent, rentrent dans la voiture, utilisent des herses, entourent la voiture de leurs vehicules de tous les cotés…

Et pourtant ils n'ont pas peur de tirer içi hein…

Alors tu suggères quoi ? Que les policiers aient automatiquement le droit de tuer tous les fuyards ?

C'est le Bresil dont on parle ou la France ?

Ah mais ta logique c'est la porte ouverte à tous les abus. Avec des conditionels sans aucun élèment concret pour les soutenir alors on peut tirer sur tout le monde, cela va en faire des morts…

Je te donne un petit exemple de l'inverse, aux USA, pays dont les forces de polices sont connues comme étant très très douces : https://www.ojp.gov/pdffiles1/87616.pdf

Je t'encourages à lire à partir de la page 70. Différents états font différentes choses, notamment, en page 73, 7 états ont une liste très claire de quels crimes peuvent justifier de tirer sur un fuyard, et le cas présent n'entrerait pas dedans. En page 74, 7 autres états ont un modèle ou le policier doit voir un risque substantiel que le fuyard fera du mal à quelqu'un si il s'enfuit, le cas présent n'y passerait probablement pas non plus.

Comme quoi, ce n'est de loin pas aussi blanc et noir que tu le penses.

A la base la loi je m'en fiche un peu car une loi n'est pas automatiquement parfaite, mais dans celle-ci :

dont les conducteurs n'obtempèrent pas à l'ordre d'arrêt et dont les occupants sont susceptibles de perpétrer, dans leur fuite, des atteintes à leur vie ou à leur intégrité physique ou à celles d'autrui

Moi, rien ne me dit que cet ado va aller faucher des gens au hasard en fuyant. Si le policier savait que ce suspect a des intentions de faire du mal a autrui, ok, mais ici ce n'est clairement pas le cas.

Pour moi toute la question est : a t'il mis la vie du policier en danger. Si oui, le tir a lieu d'être, si non, le tir n'est pas de la légitime défense.

Même si il s'enfuit, on peut le retrouver plus tard, et rien ne dit qu'il va écraser quelqu'un. Si on se met à abattre les gens parce qu'il y a une petite chance qu'ils fassent du mal à quelqu'un, on en vient à l'eugenisme.

LOL

Tout ce que tu dis ici c'est que tu ne connais rien à comment Windows fonctionne.

C'est vraiment risible.

Va t'eduquer et apprend ce qu'est AppLocker, HVCI, WDAC,… et reviens me parler quand tu auras compris à quoi sert Application Guard for Edge.

C'est toujours un peu la même chose avec les fanboys, ils ne comprennent rien au technique et vomisse des inepties qu'ils ont avalé sur un blog sorti de nulle part.

Tout ce que tu me sors là c'est du niveau cour de récréation sans aucune valeur ou fondement technique.

C'est tout simplement… nul.

Ton Linux, si il ne permet pas à l'utilisateur de télécharger, de lire ses emails, d'ouvrir des attachements, lancer des applications téléchargées, il sera inutilisable pour l'énorme majorité des entreprises.

Si il le permet, alors il est vulnérable aux ransomwares.

C'est vraiment par compliqué à comprendre, mais si tu tiens tant que ça à croire que Linux est magique et Windows est nul comme quand tu avais 15 ans, t'as le droit hein, on est dans un monde libre.

Tout ce que tu me dis ici c'est que tu ne comprend pas grand chose à la surface d'attaque de ton infrastructure.

Sur les desktops la surface d'attaque est énorme : email, sites web, apps que les gens, typiquement sans connaissances informatiques, téléchargent et lancent, etc…

Sur un serveur, seul le sysadmin a accès typiquement, une personne avec des connaissances informatiques et on l'éspère un minimum de connaissances en sécurité, pas d'accès web ou email, etc… les attaques ne vont typiquement venir qu'à travers les ports ouverts par les applications qui tournent dessus, notamment car un sysadmin ne va typiquement par lire son email, browser le web et cliquer sur des attachements sur un serveur.

En gros, il est énormément plus simple de hacker un desktop qu'un serveur et c'est dû non pas à l'OS mais à ce qui tourne dessus et à l'utilisateur et ses connaissances.

Peut être quand les entreprises en auront marre de se faire pirater et saccager leur système une évolution sera envisageable.

Oui effectivement, elles dépenseront des millions pour migrer et se faire pirater et saccager sur une autre plateforme. Quel gain !