Je vient de tomber sur une conférence très intéressante sur le site de l'université de Tous Les Savoir (http://www.tous-les-savoirs.com/index.php?op=themes)(...)
Il s'agit d'une conférence de Thomas-Xavier Martin.
Le nom de la conf est "Insécurité informatique".
Je m'attendait à un truc assez technique sur la sécurité mais finalement il reste assez généraliste.
Non seulement j'ai découvert un expert en sécurité* mais en plus, il a une opinion réellement juste en se qui concerne le droit d'auteur, les libertés, les brevets etc... (même si il n'a malheureusement pas eu le temps de trop en parler).
* non seulement il a l'air très compétent mais en plus son point de vue est très réaliste (importance du facteur humain etc...)
Le stream : rtsp://sfrs-streamer.sfrs.fr/media-1/touslessavoirs/real/realaudio/(...)
Une copie sur mon site, convertie en ogg, au cas ou : http://smorico.free.fr/static/Thomas_Xavier_Martin-Insecurite_info-(...)
Présentation de Thomas-Xavier Martin sur le site de l'UTLS :
"Ingénieur diplômé de l'École polytechnique diplômé en droit et sciences criminelles de la faculté de Sceaux Officier de Police Judiciaire
Thomas-Xavier MARTIN a commencé sa carrière comme officier de terrain de la Gendarmerie Nationale.
Après plusieurs commandements opérationnels, il est appelé à l'état-major national, où il sera amené à diriger les projets internet-intranet, puis le service de sécurité informatique (qu'il a créé).
Il a été le premier titulaire du poste d'officier de sécurité des systèmes d'informations de la Gendarmerie. Passé au secteur privé, il devient directeur technique et directeur informatique dans des sociétés de haute technologie, et développe parallèllement une activité de consultant expert, de conférencier et d'enseignant (notamment à l'École polytechnique et à l'École des mines de Paris.)
Il appartient à plusieurs groupes d'experts internationaux, notamment auprès de la Commission Européenne. En 1998, il s'associe avec d'autres experts reconnus au sein du groupe nulladies dont il dirige l'activité de conseil.
Son site personnel rassemble entre autres l'ensemble des textes de ses articles et conférences."
Seul petit truc : Son ton peut paraître un peut "sec" au début mais ça s'oublie vite au fur et à mesure la conférence...
# Et son site???
Posté par saorge . Évalué à 3.
Bon, je continuerai à chercher demain, je suis trop crevé maintenant ;)
Merci d'avoir rappelé l'existence de ce site, et d'avoir mis le doigt sur cette conférence !
[^] # Re: Et son site???
Posté par smorico . Évalué à 2.
Pour le site malheureusement, je l'ai pas trouvé non plus ! Si tu le trouve fait moi signe STP ... Je continuerai à chercher de mon coté aussi...
# re
Posté par riba . Évalué à 4.
Sinon marrant l'histoire des gars qui donnent leur code de CB au téléphone...
[^] # Re: re
Posté par smorico . Évalué à 4.
Sinon pour la CB, le pire c'est que c'est pas des conneries ! (C'est de l'Ingenerie Sociale). Le célèbre MITNICK, quoi qu'on en pense, a d'ailleurs fait un très bon livre la dessus avec William L. Simon : L'art de la supercherie (édition compupress). Il raconte d'ailleurs comment il a obtenu les N° de carte des clients d'un vidéo club grâce au SE.
C'est hallucinant (et déprimant !) de voir à quel point les boites y sont vulnérable !
[^] # Re: re
Posté par Damien Metzler . Évalué à 4.
J'étais chez un client chez qui la sécurité est d'une plus haute importance (défense etc...). Mis à part le fait que j'étais un prestataire et qu'ils mon filé pas mal de codes etc... sans trop être regardant sur qui j'étais voici ce qui m'est arrivé :
Il y avait un problème sur une station de travail. Après avoir fais remonter le problème aux services en question je me remets à mon travail, allant dépanner d'autres personnes (chgt de souris, de clavier.... super intéressante cette mission !).... Le téléphone sonne : au bout quelqu'un me demande le mot de passe root du site. Bien sur je ne lui donne pas : le gars était furieux en m'engueulant et en me disant qu'il ne pouvait pas me dépanner si je ne lui donnait pas le code etc... etc....
Je n'ai bien sur pas cédé et le gars a du passer par les voies officielles pour avoir le mot de passe. Il y avait effectivement toute une procédure très contraignante pour y avoir accès et il avait le droit d'y avoir accès....
Après en avoir discuté avec les collègues, beaucoup auraient filé le mot de passe sans aucun problème. La raison ? Bah tu sais on a déjà bcp de boulot, si on commence à emmerder les personnes qui nous aide on a pas fini !
J'ai d'autant plus halluciné que dans cette boite, il y a deux circuits de mail : 1 interne et 1 externe + 1PC avec un graveur pour faire la liaisons entre les deux ! Donc le social engineering, c'est vraiment très puissant et tellement simple !
# La vidéo
Posté par gaston1024 . Évalué à 2.
http://www.canalu.fr/canalu/affiche_programme.php?programme_id=258&(...)
Le titre n'est pas le même, mais c'est bien la même conférence... il a apparemment été changé au dernier moment.
Pas eu le temps de la regarder, mais on doit y voir les diapos, et peut-etre même l'adresse de son site...
[^] # Re: La vidéo
Posté par smorico . Évalué à 2.
Le site était : http://nulladies.com/utls/(...)
était parce qu'il à changé apparement (ça date de septembre 2000 quand même !!)
Je crois que je vais finir par envoyer un mail à l'UTLS pour savoir si ils ont l'@ du site ou le mail de T-XM.
# Bof...
Posté par Zorro (site web personnel) . Évalué à 4.
[^] # Re: Bof...
Posté par bz31 . Évalué à 5.
[^] # Re: Bof...
Posté par smorico . Évalué à 3.
Mais c'est clair que c'est le BA-ba de la sécurité.
Avoir un bon Antivirus, a jour, un bon client mail et un navigateur bien configuré etc... J'ai un amis qui disait toujours : "La sécurité en informatique, c'est comme en voiture c'est déjà avoir de bons frein". C'est clair la sécurité, c'est déjà avoir du bon sens...
Mais ça ne s'arrête pas là... Tu as un antivirus, il est a jour. A jour contre quoi ? Contre les virus connus. Qui va t'empecher de faire un cheval de troie spécifique à une entreprise ? De lui faire éxecuter ?
Tu va me dire que son client mail est a jour. Qu'il est pas vulnérables au dernierres failles à la mode. Et son navigateur web ? Et quand est il des failles que Micro$oft (tous le monde n'a pas compris l'intérêt de firefox/thundurbird !) n'a toujours pas corrigé ? Des failles inconnue du grand public ? Qui t'empeche d'envoyer un mail (bien présenté et intélligent) avec un .doc en piéce jointe qui contient un macro qui va éxecuter ton code ?
Même si tu n'arrives pas à faire éxecuter ton code comme ça (mais a mon avis 80% des boites y sont vulnerables) est-ce perdu pour autant ?
Est-ce qu'il y a un modem à l'écoute ? Par exemple, comment l'entreprise reçoit ces FAX ? Le soft de réception est il vulnerable ? Qui t'empeche de faire un faux CD de démo publicitaire ? Qui t'empeche de te faire passer par téléphone pour l'informaticien de la boite et de faire executer ton correctif trés important à un employé non formé ?
Alors on me dira qu'il y a des solutions techniques. Les sondes de détéction d'intrusion par exemple (Mesure pour voir si le taux d'upload/download est cohérent...). certe. Combien de boites en ont ? Ont elle un spécialiste qui surveille les logs ?
Alors tu peut toujours cloturer le système... Mais a ce moment là on rejoint ce que Thomas-Xavier Martin disait : le système devient inutilisable et on se fait ch** a chaque fois qu'on veux faire quelque chose. Donc ça devient ridicule la plupart du temps.
La sécurité c'est un bon mélange de formation, de bon sens et de haute technologie.
Mais merci pour le lien, je vais le faire passer ;) Ce sera, comme pour la voiture, le "permis de faire de l'informatique" :p
[^] # \o/
Posté par Vincent . Évalué à 3.
a. Pas bon : eMule et KaAzA sont des logiciels de partage de fichiers en peer-to-peer.
b. Pas bon : vous êtes sans doute adepte des réseaux peer-to-peer, et la présence de ces icônes est donc normale. Vous (ou quelqu'un de votre famille) utilisez un logiciel de ce type pour télécharger films, musique, BD ou logiciels - de façon pas toujours légale, d'ailleurs. Soyez prudents : ces réseaux peuvent recéler des virus, et ces mêmes logiciels sont utilisés par les pédophiles pour s'échanger leurs fichiers…
c. Excellent : en vue d'un Internet plus sûr, il convient de ne pas se laisser tenter par ce type de logiciels. Entre les mains de néophytes, ils sont la porte ouverte à de nombreuses intrusions…
Mouhaha énorme.
Entre nous, dans la main de néophytes, la plupart des applications reliés à internet sont la porte ouverte à de nombreuses intrusions ...
[^] # Re: \o/
Posté par Zorro (site web personnel) . Évalué à 3.
Qu'est-ce que tu peux avoir, en gravant en film ?
Qui sont les utilisateurs des réseaux P2P ?
Avoue !
# Réponse de TXM...
Posté par smorico . Évalué à 2.
Il admet qu'il n'y a pas grand chose en ligne (à son grand regret...)
Il va essayer de monter quelque chose cet été. Je vous contacte dès que j'ai l'adresse...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.