La CNI c'est pas mal : mais est-ce qu'il avait fait une copie de ta CNI à l'ouverture du compte ?
C'est une obligation réglementaire, donc wii, ils le font. Est ce qu'ils la gardent, par contre …
Pour le coup du changement du changement d'adresse, ils avaient aussi voulu une lettre (avec signature).
C'est pas trop mal tout ça sur le papier.
En pratique j'émettrais une réserve : il m'est arrivé de déménager et ma banque était particulièrement difficile pour changer mon adresse (j'avoue que cela m'a agaçé à l'époque).
L'employé chargé de ce genre d'opération était inflexible et ne voulait rien faire sans les preuves nécessaires.
J'ai laissé tombé pendant un moment (j'avais un fait un transfert d'adresse par la Poste) et à l'occasion d'une conversation avec le conseiller en charge du compte, j'ai pu quand même changer l'adresse mais avec beaucoup moins de contrainte.
Donc cela vaut le coup d'essayer avec plusieurs profils à la banque…
Sinon cela fait un autre vecteur d'attaque ça : ne pas changer l'adresse mais aller à la Poste pour faire un transfert d'adresse.
(je crois qu'il y a cependant certains courriers qui ne peuvent être transférés).
Et si je téléphone à ton banquier « parce que j'ai perdu mes identifiants » ?
Fais donc. Je recevrai de nouveaux identifiants par courrier postal, ça me fera juste chier entre temps parce qu'il risque de désactiver mon accès actuel.
Et si j'arrive à changer ton adresse postale ?
Quelle est la procédure de ta banque pour changer l'adresse ?
P.S. : tout le monde aura remarqué ma subtile tentative d'ingénierie sociale pour avoir le maximum d'information sur sa banque afin de préparer mon attaque…
Une fois les identifiants obtenus, il me suffit de changer ton adresse et d'obtenir ta grille (on peut changer son adresse avec un simple fax en France si je ne m'abuse ?).
Ma banque m'a demandé un justificatif de domicile et une copie de ma CNI pour le faire.
Le justificatif de domicile est bidon : n'importe quoi et cela passe (par exemple un faux contrat de location rédigé avec Word/Openoffice).
La CNI c'est pas mal : mais est-ce qu'il avait fait une copie de ta CNI à l'ouverture du compte ?
Avec cet extrait de toute beauté : We are making necessary changes to employee training to ensure we continue to provide industry-leading security to our customers and stay ahead of evolving hacker techniques.
Non : je ne me suis pas beaucoup intéressé à cette affaire, puisqu'elle ne me concerne pas. Contrairement à la majorité des gens, je n'utilise pas de services aussi risqués et ne suis donc pas concerné par ces risques.
Humm.
Et si je téléphone à ton banquier « parce que j'ai perdu mes identifiants » ?
La plupart des banques m'ont demandé vraiment des informations basiques pour « m'authentitifer ».
Une fois les identifiants obtenus, il me suffit de changer ton adresse et d'obtenir ta grille (on peut changer son adresse avec un simple fax en France si je ne m'abuse ?).
C'est une remarque pertinente mais que se passe-t-il en cas de corruption du swap si celui-ci n'est pas géré par ZFS ?
Par exemple je travaille sur une grosse image en retouche et ça swappe. Manque de bol, mon disque est vieux et commence à avoir les secteurs qui s'affolent dans la zone du swap.
Est-ce que en sauvant mon travail je ne me retrouve pas avec une image corrompue ?
Ok je perds des fois mon français…
D'ailleurs j'aurais aussi pu mettre les liens wikipedia vers les pages françaises. Ce n'est pas très respectueux du travail accompli. Désolé !
Pour faire avancer de manière constructive les choses : est-ce que tu aurais un meilleur gestionnaire de noms de domaine à recommander ?
Ce n'est pas facile de trouver des retours d'expérience intéressant sur les registrars sur ce genre de sujet. Donc je suis preneur !
Je n'ai pas osé mettre « installateur » dans le titre, je ne sais pas si c'est le bon terme français.
Si un modo souhaite changer le titre, pas de soucis !
En même temps comme tu le dis c'est parfois pas une question de coût mais de volonté.
Comme exemple voir les déboires récents de Snapchat, valorisé soi-disant à 3 milliars de $ (ne me demandez pas pourquoi). J'imagine qu'ils ont quand même les sous pour mettre en place quelque chose de correct même si c'est cher (ou alors c'est beaucoup plus compliqué que tu ne le dis !).
Tu peux aussi choisir ta banque : je crois savoir que certaines proposent une sorte d'export à partir du site web. Peut-être pas une API (ce serait vraiment beau) mais au moins un fichier csv ce serait déjà pas mal.
Après c'est de l'artisanal, mais pour une petite entreprise ça peut être suffisant.
La question c'est plutôt si c'est bien accepté par les clients (qui vont peut-être réclamer du Paypal ?).
Je te trouve un peu dur avec les gens (pas facile de lutter contre toutes ces entreprises qui n'en ont qu'à ton portefeuille).
Sinon un truc très pratique je trouve c'est le virement avec mention de la référence de la commande.
Pour une petite entreprise en Europe par exemple, je ne vois pas bien les désavantages pour peu que l'échange se fasse en Europe (argh les frais de virement internationaux !).
Bon OK il faut attendre quelques jours pour avoir la confirmation du virement…
En fait, c'est ce que commencent à faire Google, Facebook etc… Et rien de otut ça ne coûte la peau des fesses, c'est faisable par n'importe quelle entreprise avec un peu de bonne volonté.
Je pense que justement ce n'est pas si facile que ça vu que Google et Facebook commencent seulement à le faire (c'est des poids lourds !).
Plus j'y pense plus je me dis que le coup d'externaliser serait une bonne chose. Pas embaucher une société pour réaliser le truc ponctuellement mais vraiment avoir une sorte de passerelle de sécurité en ligne.
D'ailleurs sur le même sujet, il y a des gens par ici qui réalisent des audits de sécurité ?
En partie d'accord avec toi, mais je m'attendais à quelque chose de plus constructif.
Par exemple je me demande s'il est acceptable et possible techniquement d'externaliser complètement ce problème d'authentification et de gestion clientèle (quelque chose dans le genre d'OpenID).
Je n'ai aucune idée du coût, mais je sera intéressé si quelqu'un a des liens sur le sujet.
Mais euh, j'avais dit de ne pas revenir dessus ! ;-)
On est d'accord sur la cause du problème. Il n'empêche que personnellement j'ai trouvé la gestion un peu cavalière. Dans le doute, je n'aurais rien fait de peur d'agraver la situation (« d'abord, ne pas nuire »). Mais si personne ne propose mieux que Gandi, eh bien Gandi ce sera !
Il faudrait que je fasse un stage en hotline ou service client pour tester ma patience et mon professionnalisme. J'imagine que cela doit être usant.
S'il tient absolument à en enregistrer un, utiliser une carte virtuelle à usage unique
Carte réclamée à fond par des gens qui hurlaient que c'était necessaire, et elle a fait un flop. Quasi personne n'en veut.
Je n'ai pas trouvé mieux pour payer à l'étranger ou sur des sites web un peu suspects d'un point de vue sécurité. Et plusieurs fois on m'a demandé le code de sécurité par email ou par téléphone ("vous comprenez c'est la procédure", ben voyons). Du coup quand je n'ai pas le temps ou l'envie d'argumenter je le donne quand même (mais avec un plafond de la somme exacte).
L'effort est vraiment minime pour générer un nouveau numéro.
Bon OK je sais que l'on peut contester chaque opération et que la banque est sensée nous rembourser. Mais si je peux éviter les problèmes, c'est encore mieux.
D'ailleurs j'ai aussi gratté le code de sécurité au dos de ma carte. Quelle ne fut pas ma surprise récemment en voulant louer une voiture dans une agence en Grèce, de voir l'employé automatiquement tourner ma carte pour lire le code et s'étonner de ne pas le trouver (et il me l'a même demandé oralement le bougre !).
On ne m'a pas encoré demandé le code à 4 chiffres, mais je sens que cela va arriver.
Oui Gandi a une relativement bonne réputation (hormis dans le lien que j'ai donné où je trouve qu'ils ont été un peu cavaliers, mais c'est mon avis perso).
Tu as tout à fait raison sur le registrar : sa gestion n'est pas vraiment acceptable.
Je me rappelle l'histoire postée il y a quelques temps : Il y a prestataire technique et …… prestataire technique.
Bon on va pas revenir sur qui a tord ou qui a raison, mais il est intéressant de se renseigner sur comment le registrar se comporte dans ce genre de situation.
Oui mais en pratique tu fais comment pour corriger le tir ?
En tant qu'entreprise tu as un budget limité, donc tu ne peux pas toujours embaucher des experts en sécurité pour répondre au téléphone.
Une formation ou sensibilisation des employés sur le sujet n'aura pas une efficacité à 100%, loin de là. Et une répression/sanction en cas de non-suivi des procédures, pourquoi pas mais s'il y a mieux je suis preneur.
Tu peux aussi mettre en place des procédures internes avec des validations en plusieurs étapes (pour ne pas avoir un employé comme faille unique) mais là ça va peut-être devenir un peu lourd.
Ok pour le swap. Je suis aussi en train de tester ZFS et celui-ci permet d'avoir le swap « à l'intérieur ». Je ne suis pas sûr que cela marche très bien (je n'ai pas trouvé beaucoup de retour) et il n'est déjà pas compatible avec l'hibernation. Mais c'est déjà ça.
Pour la partition, j'ai pris l'habitude depuis des lustres d'avoir une partition séparée pour /home. L'espace réservé pour "/" est très largement suffisant et sur un gros disque cette marge n'est pas très pénalisante. Je vois bien l'avantage de n'avoir qu'une seule partition (espace mutualisé et administration simplifiée) mais cela va être dur de changer les habitudes !
Pour la deuxième question, merci pour la confirmation. Je me doutais que c'était quelque chose dans ce genre là !
1) Le boot en BTRFS est bien supporté pas de soucis. Le seul soucis c'est bien le swap.
C'est un peu ennuyant d'avoir un configuration compliquée (RAID de BTRFS pour les partitions en BTRFS et RAID via mdadm pour le swap) juste pour gérer ce satané swap !
Je pensais partir sur un besoin simple (j'ai 2 disques dur et je souhaite utiliser BTRFS en RAID 1) mais je trouve presque rien sur internet sur le sujet (surtout sur le swap).
Je vais peut-être devoir poser la question directement sur la mailing-list de BTRFS.
Oui une dédup offline c'est vraiment intéressant pour un NAS perso (il va falloir que je prenne des disques durs silencieux…).
Je vais attendre sagement que cela arrive sur Debian alors…
[^] # Re: Et la plus grosse faille est ... AMAZON
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
C'est pas trop mal tout ça sur le papier.
En pratique j'émettrais une réserve : il m'est arrivé de déménager et ma banque était particulièrement difficile pour changer mon adresse (j'avoue que cela m'a agaçé à l'époque).
L'employé chargé de ce genre d'opération était inflexible et ne voulait rien faire sans les preuves nécessaires.
J'ai laissé tombé pendant un moment (j'avais un fait un transfert d'adresse par la Poste) et à l'occasion d'une conversation avec le conseiller en charge du compte, j'ai pu quand même changer l'adresse mais avec beaucoup moins de contrainte.
Donc cela vaut le coup d'essayer avec plusieurs profils à la banque…
Sinon cela fait un autre vecteur d'attaque ça : ne pas changer l'adresse mais aller à la Poste pour faire un transfert d'adresse.
(je crois qu'il y a cependant certains courriers qui ne peuvent être transférés).
[^] # Re: Et la plus grosse faille est ... AMAZON
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 3.
Et si j'arrive à changer ton adresse postale ?
Quelle est la procédure de ta banque pour changer l'adresse ?
P.S. : tout le monde aura remarqué ma subtile tentative d'ingénierie sociale pour avoir le maximum d'information sur sa banque afin de préparer mon attaque…
[^] # Re: Et la plus grosse faille est ... AMAZON
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
Le justificatif de domicile est bidon : n'importe quoi et cela passe (par exemple un faux contrat de location rédigé avec Word/Openoffice).
La CNI c'est pas mal : mais est-ce qu'il avait fait une copie de ta CNI à l'ouverture du compte ?
# Magnifique
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
Réponse de Paypal :
PayPal Takes Your Security Seriously
En gros ils n'ont rien divulgué.
Réponse de GoDaddy :
GoDaddy Admits Hacker Tricked Employee to Access Naoki Hiroshima's Details
Avec cet extrait de toute beauté :
We are making necessary changes to employee training to ensure we continue to provide industry-leading security to our customers and stay ahead of evolving hacker techniques.
[^] # Re: Et la plus grosse faille est ... AMAZON
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 3.
Humm.
Et si je téléphone à ton banquier « parce que j'ai perdu mes identifiants » ?
La plupart des banques m'ont demandé vraiment des informations basiques pour « m'authentitifer ».
Une fois les identifiants obtenus, il me suffit de changer ton adresse et d'obtenir ta grille (on peut changer son adresse avec un simple fax en France si je ne m'abuse ?).
[^] # Re: kFreeBSD
Posté par SaintGermain . En réponse au journal ZFS dans l'installateur de Debian. Évalué à 2.
Le journal n'était pas très clair sur ce point : cela concerne le noyau linux.
Je n'ai pas essayé avec d'autres noyaux.
[^] # Re: Suggestions
Posté par SaintGermain . En réponse au message RAID1 en général et BTRFS en particulier. Évalué à 1.
C'est une remarque pertinente mais que se passe-t-il en cas de corruption du swap si celui-ci n'est pas géré par ZFS ?
Par exemple je travaille sur une grosse image en retouche et ça swappe. Manque de bol, mon disque est vieux et commence à avoir les secteurs qui s'affolent dans la zone du swap.
Est-ce que en sauvant mon travail je ne me retrouve pas avec une image corrompue ?
[^] # Re: Du bon usage de la langue française
Posté par SaintGermain . En réponse au journal ZFS dans l'installateur de Debian. Évalué à 1.
Ok je perds des fois mon français…
D'ailleurs j'aurais aussi pu mettre les liens wikipedia vers les pages françaises. Ce n'est pas très respectueux du travail accompli. Désolé !
[^] # Re: Rien de nouveau, mais...
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
Pour faire avancer de manière constructive les choses : est-ce que tu aurais un meilleur gestionnaire de noms de domaine à recommander ?
Ce n'est pas facile de trouver des retours d'expérience intéressant sur les registrars sur ce genre de sujet. Donc je suis preneur !
# Du bon usage de la langue française
Posté par SaintGermain . En réponse au journal ZFS dans l'installateur de Debian. Évalué à 3.
Je n'ai pas osé mettre « installateur » dans le titre, je ne sais pas si c'est le bon terme français.
Si un modo souhaite changer le titre, pas de soucis !
[^] # Re: Bravo
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 2.
En même temps comme tu le dis c'est parfois pas une question de coût mais de volonté.
Comme exemple voir les déboires récents de Snapchat, valorisé soi-disant à 3 milliars de $ (ne me demandez pas pourquoi). J'imagine qu'ils ont quand même les sous pour mettre en place quelque chose de correct même si c'est cher (ou alors c'est beaucoup plus compliqué que tu ne le dis !).
[^] # Re: Meh
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 2.
Tu peux aussi choisir ta banque : je crois savoir que certaines proposent une sorte d'export à partir du site web. Peut-être pas une API (ce serait vraiment beau) mais au moins un fichier csv ce serait déjà pas mal.
Après c'est de l'artisanal, mais pour une petite entreprise ça peut être suffisant.
La question c'est plutôt si c'est bien accepté par les clients (qui vont peut-être réclamer du Paypal ?).
[^] # Re: Meh
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 3.
Je te trouve un peu dur avec les gens (pas facile de lutter contre toutes ces entreprises qui n'en ont qu'à ton portefeuille).
Sinon un truc très pratique je trouve c'est le virement avec mention de la référence de la commande.
Pour une petite entreprise en Europe par exemple, je ne vois pas bien les désavantages pour peu que l'échange se fasse en Europe (argh les frais de virement internationaux !).
Bon OK il faut attendre quelques jours pour avoir la confirmation du virement…
[^] # Re: Bravo
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
Je pense que justement ce n'est pas si facile que ça vu que Google et Facebook commencent seulement à le faire (c'est des poids lourds !).
Plus j'y pense plus je me dis que le coup d'externaliser serait une bonne chose. Pas embaucher une société pour réaliser le truc ponctuellement mais vraiment avoir une sorte de passerelle de sécurité en ligne.
D'ailleurs sur le même sujet, il y a des gens par ici qui réalisent des audits de sécurité ?
[^] # Re: Bravo
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
En partie d'accord avec toi, mais je m'attendais à quelque chose de plus constructif.
Par exemple je me demande s'il est acceptable et possible techniquement d'externaliser complètement ce problème d'authentification et de gestion clientèle (quelque chose dans le genre d'OpenID).
Je n'ai aucune idée du coût, mais je sera intéressé si quelqu'un a des liens sur le sujet.
[^] # Re: Rien de nouveau, mais...
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
Mais euh, j'avais dit de ne pas revenir dessus ! ;-)
On est d'accord sur la cause du problème. Il n'empêche que personnellement j'ai trouvé la gestion un peu cavalière. Dans le doute, je n'aurais rien fait de peur d'agraver la situation (« d'abord, ne pas nuire »). Mais si personne ne propose mieux que Gandi, eh bien Gandi ce sera !
Il faudrait que je fasse un stage en hotline ou service client pour tester ma patience et mon professionnalisme. J'imagine que cela doit être usant.
[^] # Re: Et la plus grosse faille est ... AMAZON
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 4.
Je n'ai pas trouvé mieux pour payer à l'étranger ou sur des sites web un peu suspects d'un point de vue sécurité. Et plusieurs fois on m'a demandé le code de sécurité par email ou par téléphone ("vous comprenez c'est la procédure", ben voyons). Du coup quand je n'ai pas le temps ou l'envie d'argumenter je le donne quand même (mais avec un plafond de la somme exacte).
L'effort est vraiment minime pour générer un nouveau numéro.
Bon OK je sais que l'on peut contester chaque opération et que la banque est sensée nous rembourser. Mais si je peux éviter les problèmes, c'est encore mieux.
D'ailleurs j'ai aussi gratté le code de sécurité au dos de ma carte. Quelle ne fut pas ma surprise récemment en voulant louer une voiture dans une agence en Grèce, de voir l'employé automatiquement tourner ma carte pour lire le code et s'étonner de ne pas le trouver (et il me l'a même demandé oralement le bougre !).
On ne m'a pas encoré demandé le code à 4 chiffres, mais je sens que cela va arriver.
[^] # Re: Rien de nouveau, mais...
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 1.
Merci pour la correction !
Oui Gandi a une relativement bonne réputation (hormis dans le lien que j'ai donné où je trouve qu'ils ont été un peu cavaliers, mais c'est mon avis perso).
[^] # Re: Bravo
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 4.
Tu as mal compris ma remarque : le budget limité n'est pas une excuse mais une contrainte.
Donc je m'intéresse aux solutions un peu réaliste d'un point de vue budget.
[^] # Re: Rien de nouveau, mais...
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 2.
Tu as tout à fait raison sur le registrar : sa gestion n'est pas vraiment acceptable.
Je me rappelle l'histoire postée il y a quelques temps : Il y a prestataire technique et …… prestataire technique.
Bon on va pas revenir sur qui a tord ou qui a raison, mais il est intéressant de se renseigner sur comment le registrar se comporte dans ce genre de situation.
Vous avez de bons registrars à recommander ?
[^] # Re: Bravo
Posté par SaintGermain . En réponse au journal Mots de passe et ingénierie sociale. Évalué à 5.
Oui mais en pratique tu fais comment pour corriger le tir ?
En tant qu'entreprise tu as un budget limité, donc tu ne peux pas toujours embaucher des experts en sécurité pour répondre au téléphone.
Une formation ou sensibilisation des employés sur le sujet n'aura pas une efficacité à 100%, loin de là. Et une répression/sanction en cas de non-suivi des procédures, pourquoi pas mais s'il y a mieux je suis preneur.
Tu peux aussi mettre en place des procédures internes avec des validations en plusieurs étapes (pour ne pas avoir un employé comme faille unique) mais là ça va peut-être devenir un peu lourd.
[^] # Re: Suggestions
Posté par SaintGermain . En réponse au message RAID1 en général et BTRFS en particulier. Évalué à 2.
Ok pour le swap. Je suis aussi en train de tester ZFS et celui-ci permet d'avoir le swap « à l'intérieur ». Je ne suis pas sûr que cela marche très bien (je n'ai pas trouvé beaucoup de retour) et il n'est déjà pas compatible avec l'hibernation. Mais c'est déjà ça.
Pour la partition, j'ai pris l'habitude depuis des lustres d'avoir une partition séparée pour /home. L'espace réservé pour "/" est très largement suffisant et sur un gros disque cette marge n'est pas très pénalisante. Je vois bien l'avantage de n'avoir qu'une seule partition (espace mutualisé et administration simplifiée) mais cela va être dur de changer les habitudes !
Pour la deuxième question, merci pour la confirmation. Je me doutais que c'était quelque chose dans ce genre là !
Merci pour ton avis !
[^] # Re: il est ou l'onduleur?
Posté par SaintGermain . En réponse au message RAID1 en général et BTRFS en particulier. Évalué à 1.
Ce gars là a apparemment tenté l'aventure en simulant des coupures à répétition avec BTRFS :
http://arstechnica.com/civis/viewtopic.php?f=16&t=1221177
Cela n'a pas l'air d'avoir été la catastrophe…
[^] # Re: Il faut que tu mettes le système complet sur le RAID si tu veux un fonctionnement 24h sur 24
Posté par SaintGermain . En réponse au message RAID1 en général et BTRFS en particulier. Évalué à 2.
Merci pour ton avis.
1) Le boot en BTRFS est bien supporté pas de soucis. Le seul soucis c'est bien le swap.
C'est un peu ennuyant d'avoir un configuration compliquée (RAID de BTRFS pour les partitions en BTRFS et RAID via mdadm pour le swap) juste pour gérer ce satané swap !
Je pensais partir sur un besoin simple (j'ai 2 disques dur et je souhaite utiliser BTRFS en RAID 1) mais je trouve presque rien sur internet sur le sujet (surtout sur le swap).
Je vais peut-être devoir poser la question directement sur la mailing-list de BTRFS.
Merci pour ton avis !
[^] # Re: petit retour d'expérience en ZFS
Posté par SaintGermain . En réponse au message ZFS performance et déduplication. Évalué à 2.
Oui une dédup offline c'est vraiment intéressant pour un NAS perso (il va falloir que je prenne des disques durs silencieux…).
Je vais attendre sagement que cela arrive sur Debian alors…
Merci