Journal Conférence très interessante

Posté par  .
Étiquettes : aucune
0
2
juin
2005
Je vient de tomber sur une conférence très intéressante sur le site de l'université de Tous Les Savoir (http://www.tous-les-savoirs.com/index.php?op=themes)(...)

Il s'agit d'une conférence de Thomas-Xavier Martin.

Le nom de la conf est "Insécurité informatique".

Je m'attendait à un truc assez technique sur la sécurité mais finalement il reste assez généraliste.

Non seulement j'ai découvert un expert en sécurité* mais en plus, il a une opinion réellement juste en se qui concerne le droit d'auteur, les libertés, les brevets etc... (même si il n'a malheureusement pas eu le temps de trop en parler).

* non seulement il a l'air très compétent mais en plus son point de vue est très réaliste (importance du facteur humain etc...)

Le stream : rtsp://sfrs-streamer.sfrs.fr/media-1/touslessavoirs/real/realaudio/(...)
Une copie sur mon site, convertie en ogg, au cas ou : http://smorico.free.fr/static/Thomas_Xavier_Martin-Insecurite_info-(...)



Présentation de Thomas-Xavier Martin sur le site de l'UTLS :

"Ingénieur diplômé de l'École polytechnique diplômé en droit et sciences criminelles de la faculté de Sceaux Officier de Police Judiciaire

Thomas-Xavier MARTIN a commencé sa carrière comme officier de terrain de la Gendarmerie Nationale.
Après plusieurs commandements opérationnels, il est appelé à l'état-major national, où il sera amené à diriger les projets internet-intranet, puis le service de sécurité informatique (qu'il a créé).

Il a été le premier titulaire du poste d'officier de sécurité des systèmes d'informations de la Gendarmerie. Passé au secteur privé, il devient directeur technique et directeur informatique dans des sociétés de haute technologie, et développe parallèllement une activité de consultant expert, de conférencier et d'enseignant (notamment à l'École polytechnique et à l'École des mines de Paris.)

Il appartient à plusieurs groupes d'experts internationaux, notamment auprès de la Commission Européenne. En 1998, il s'associe avec d'autres experts reconnus au sein du groupe nulladies dont il dirige l'activité de conseil.

Son site personnel rassemble entre autres l'ensemble des textes de ses articles et conférences."


Seul petit truc : Son ton peut paraître un peut "sec" au début mais ça s'oublie vite au fur et à mesure la conférence...
  • # Et son site???

    Posté par  . Évalué à 3.

    Malheureusement, pas encore pû trouver son site web perso (ses articles et conférences m'intéressent).

    Bon, je continuerai à chercher demain, je suis trop crevé maintenant ;)

    Merci d'avoir rappelé l'existence de ce site, et d'avoir mis le doigt sur cette conférence !
    • [^] # Re: Et son site???

      Posté par  . Évalué à 2.

      De rien !
      Pour le site malheureusement, je l'ai pas trouvé non plus ! Si tu le trouve fait moi signe STP ... Je continuerai à chercher de mon coté aussi...
  • # re

    Posté par  . Évalué à 4.

    je viens de l'écouter, c'est intéressant, mais c'est frustrant de pas avoir les transparents (qui sont libres de droit dixit l'auteur).
    Sinon marrant l'histoire des gars qui donnent leur code de CB au téléphone...
    • [^] # Re: re

      Posté par  . Évalué à 4.

      Le plus frustrant c'est quand il donne l'@ de son site sur une diapo !

      Sinon pour la CB, le pire c'est que c'est pas des conneries ! (C'est de l'Ingenerie Sociale). Le célèbre MITNICK, quoi qu'on en pense, a d'ailleurs fait un très bon livre la dessus avec William L. Simon : L'art de la supercherie (édition compupress). Il raconte d'ailleurs comment il a obtenu les N° de carte des clients d'un vidéo club grâce au SE.

      C'est hallucinant (et déprimant !) de voir à quel point les boites y sont vulnérable !
      • [^] # Re: re

        Posté par  . Évalué à 4.

        C'est vraiment pas hallucinant, c'est la réalité de tous les jours....

        J'étais chez un client chez qui la sécurité est d'une plus haute importance (défense etc...). Mis à part le fait que j'étais un prestataire et qu'ils mon filé pas mal de codes etc... sans trop être regardant sur qui j'étais voici ce qui m'est arrivé :

        Il y avait un problème sur une station de travail. Après avoir fais remonter le problème aux services en question je me remets à mon travail, allant dépanner d'autres personnes (chgt de souris, de clavier.... super intéressante cette mission !).... Le téléphone sonne : au bout quelqu'un me demande le mot de passe root du site. Bien sur je ne lui donne pas : le gars était furieux en m'engueulant et en me disant qu'il ne pouvait pas me dépanner si je ne lui donnait pas le code etc... etc....

        Je n'ai bien sur pas cédé et le gars a du passer par les voies officielles pour avoir le mot de passe. Il y avait effectivement toute une procédure très contraignante pour y avoir accès et il avait le droit d'y avoir accès....
        Après en avoir discuté avec les collègues, beaucoup auraient filé le mot de passe sans aucun problème. La raison ? Bah tu sais on a déjà bcp de boulot, si on commence à emmerder les personnes qui nous aide on a pas fini !

        J'ai d'autant plus halluciné que dans cette boite, il y a deux circuits de mail : 1 interne et 1 externe + 1PC avec un graveur pour faire la liaisons entre les deux ! Donc le social engineering, c'est vraiment très puissant et tellement simple !
  • # La vidéo

    Posté par  . Évalué à 2.

    Voici la vidéo de la conférence :
    http://www.canalu.fr/canalu/affiche_programme.php?programme_id=258&(...)

    Le titre n'est pas le même, mais c'est bien la même conférence... il a apparemment été changé au dernier moment.

    Pas eu le temps de la regarder, mais on doit y voir les diapos, et peut-etre même l'adresse de son site...
    • [^] # Re: La vidéo

      Posté par  . Évalué à 2.

      Merci ;)
      Le site était : http://nulladies.com/utls/(...)
      était parce qu'il à changé apparement (ça date de septembre 2000 quand même !!)
      Je crois que je vais finir par envoyer un mail à l'UTLS pour savoir si ils ont l'@ du site ou le mail de T-XM.
  • # Bof...

    Posté par  (site web personnel) . Évalué à 4.

    Ça vaut pas www.protegetonordi.com ! Ça c'est de la sécurité informatique, de la vraie et de la bonne ! Mangez-en, et surtout, surtout, faites le quiz !!! :-D
    • [^] # Re: Bof...

      Posté par  . Évalué à 5.

      Et surtout, surtout, surtout, virez linux et installez windows !!! :)
    • [^] # Re: Bof...

      Posté par  . Évalué à 3.

      lol. Je sais pas si c'est pour déconner ou non...

      Mais c'est clair que c'est le BA-ba de la sécurité.
      Avoir un bon Antivirus, a jour, un bon client mail et un navigateur bien configuré etc... J'ai un amis qui disait toujours : "La sécurité en informatique, c'est comme en voiture c'est déjà avoir de bons frein". C'est clair la sécurité, c'est déjà avoir du bon sens...

      Mais ça ne s'arrête pas là... Tu as un antivirus, il est a jour. A jour contre quoi ? Contre les virus connus. Qui va t'empecher de faire un cheval de troie spécifique à une entreprise ? De lui faire éxecuter ?

      Tu va me dire que son client mail est a jour. Qu'il est pas vulnérables au dernierres failles à la mode. Et son navigateur web ? Et quand est il des failles que Micro$oft (tous le monde n'a pas compris l'intérêt de firefox/thundurbird !) n'a toujours pas corrigé ? Des failles inconnue du grand public ? Qui t'empeche d'envoyer un mail (bien présenté et intélligent) avec un .doc en piéce jointe qui contient un macro qui va éxecuter ton code ?

      Même si tu n'arrives pas à faire éxecuter ton code comme ça (mais a mon avis 80% des boites y sont vulnerables) est-ce perdu pour autant ?
      Est-ce qu'il y a un modem à l'écoute ? Par exemple, comment l'entreprise reçoit ces FAX ? Le soft de réception est il vulnerable ? Qui t'empeche de faire un faux CD de démo publicitaire ? Qui t'empeche de te faire passer par téléphone pour l'informaticien de la boite et de faire executer ton correctif trés important à un employé non formé ?

      Alors on me dira qu'il y a des solutions techniques. Les sondes de détéction d'intrusion par exemple (Mesure pour voir si le taux d'upload/download est cohérent...). certe. Combien de boites en ont ? Ont elle un spécialiste qui surveille les logs ?

      Alors tu peut toujours cloturer le système... Mais a ce moment là on rejoint ce que Thomas-Xavier Martin disait : le système devient inutilisable et on se fait ch** a chaque fois qu'on veux faire quelque chose. Donc ça devient ridicule la plupart du temps.

      La sécurité c'est un bon mélange de formation, de bon sens et de haute technologie.

      Mais merci pour le lien, je vais le faire passer ;) Ce sera, comme pour la voiture, le "permis de faire de l'informatique" :p
    • [^] # \o/

      Posté par  . Évalué à 3.

      5 - eMule et KaZaA, de quoi s'agit-il ?

      a. Pas bon : eMule et KaAzA sont des logiciels de partage de fichiers en peer-to-peer.

      b. Pas bon : vous êtes sans doute adepte des réseaux peer-to-peer, et la présence de ces icônes est donc normale. Vous (ou quelqu'un de votre famille) utilisez un logiciel de ce type pour télécharger films, musique, BD ou logiciels - de façon pas toujours légale, d'ailleurs. Soyez prudents : ces réseaux peuvent recéler des virus, et ces mêmes logiciels sont utilisés par les pédophiles pour s'échanger leurs fichiers…

      c. Excellent : en vue d'un Internet plus sûr, il convient de ne pas se laisser tenter par ce type de logiciels. Entre les mains de néophytes, ils sont la porte ouverte à de nombreuses intrusions…

      Mouhaha énorme.

      Entre nous, dans la main de néophytes, la plupart des applications reliés à internet sont la porte ouverte à de nombreuses intrusions ...
      • [^] # Re: \o/

        Posté par  (site web personnel) . Évalué à 3.

        Tu nous prives du meilleur, canaillou !
        Qu'est-ce que tu peux avoir, en gravant en film ?
        Qui sont les utilisateurs des réseaux P2P ?
        Avoue !
  • # Réponse de TXM...

    Posté par  . Évalué à 2.

    Je viens de recevoir la réponse de TXM...
    Il admet qu'il n'y a pas grand chose en ligne (à son grand regret...)

    Il va essayer de monter quelque chose cet été. Je vous contacte dès que j'ai l'adresse...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.