Le premier, faut voir (la encore, c'est pas que je défende ce genre de pratique, hein, c'est le qualificatif qui me fait réagir).
Pour les deux autres, ok, on peut appeler ca du crime.
N'empeche qu'avec les simplifications des médias, on va encore avoir des "Le cybercriminel Mafiaboy a été arrété pour deni de service sur Yahoo, engendrant un déficit pour la société de plusieurs dizaines de milliards de dollars. Il sera jugé sous peu, et risque la condamnation à perpétuité ou la chaise electrique".
Et tu peux etre sur que le grand public va dire "oh, c'est dangereux l'Internet !! Heureusement qu'il y a des cybers policiers qui nous surveillent en permanence !".
> NDT: Cela existe déja en France, mais ce sont "juste" des sections de la gendarmerie, de la police nationale et de la police scientifique.
Ouais, faut relativiser: j'avais vu un reportage (ok, c'est assez vieux) sur ces fameuses sections en France, et j'avais (entre autres) entendu, à propos des perquisitions sur les machines suspectes, un truc du genre "Si le PC est sous 9x, on peut facilement démarrer sur une disquette pour contourner d'éventuels programmes de protection. Par contre, si la machine est sous NT, on peut pratiquement rien faire".
J'ose pas imaginer s'ils étaient tombés sur un Linux/BSD/BeOS/etc.....
J'avais pensé proposer (en toute modestie, bien sur :-) mes services, mais ces services ne sont composés que de policiers/gendarmes, et je serais curieux de savoir qui les forme....
C'est déprimant de voir "cybercrime" un peu partout.
C'est pas bien de s'attaquer aux machines des autres, c'est clair, mais de la à utiliser l'appellation 'crime', c'est vraiment de la poudre aux yeux pour faire gober les gros budgets et les surveillances au citoyen moyen !!
Bah, c'est comme d'habitude quand des analystes très chers essaient d'estimer l'évolution de qqchose en informatique: il y a les suroptimistes, les optimistes, les sceptiques, et les pessimistes.
Et comme à chaque fois, impossible de savoir lesquels ont raison. Une seule chose est sure: ceux qui ont raison ont simplement eu un coup de chance sur cette étude !
D'un certain point de vue, tu peux te "protéger" contre ce genre de paquets:
1) Si ta machine est cliente, tu configures ton firewall pour ne pas laisser passer les paquets entrants, sauf les paquets de connexions en cours (ce que tu devrais faire de toutes facons !).
2) Même si ta machine est serveur, ton firewall devrait intercepter les paquets "louches", dont entre autres les paquets TCP avec un checksum pas bon.
Maintenant, si un serveur t'envoie plein de paquets comme ca sans chercher à comprendre si tu reponds, ca va bouffer ta bande passante, mais il y a tellement d'autres moyens de la saturer...
Essaies sur un 486SX25/4Mo de RAM, avec un dd if=/dev/urandom|bzip2 -c -9 | dd of=/dev/zero en arriere plan (c'est multi taches, non ?), et on verra si t'es toujours à 6 secondes !!!
Tu peux le prendre, en faire A', et diffuser A' sous licence GPL (ou sous pratiquement n'importe quelle autre licence, et le "pratiquement" est plus la pour couvrir mes arrières qu'autre chose).
Toute personne utilisant/diffusant A' devra le faire sous les termes de ta licence (la GPL dans l'exemple).
Par contre, A reste toujours sous licence BSD, donc utilisable par n'importe quelle autre personne sous cette licence.
J'essayais juste d'expliquer ce que je pense être la motivation profonde des partisans de la non divulgation de ces infos: pouvoir dormir tranquille le soir, en sachant que, de toutes facons, ils n'y pourront rien, c'est pas leur faute !
Et pour que ca soit bien clair, je suis *POUR* la diffusion claire et documentée d'un max d'infos sur les trous de sécurité, au moins pour pouvoir tester si on est vulnérable !!!
De toutes facons, les Jean Kevin et autres hackers de BAS ont d'autres sources pour avoir ces infos, et ils les auront !!!
On s'est très bien compris (enfin, je tai bien compris :-) !!
Je voulais justement soulever le problème de l'adminsys pantouflard, qui préfère dormir tranquille et avoir une 'excuse' en cas de pépins, plutot que passer son temps à chercher les nouveax bugs/exploits et patcher pour avoir un système blindé !
J'ai *jamais* dit que c'est bien, juste que ca existe...
> Je préfére sincèrement qu'un script kidies me
> retourne mes machines parcequ'il aurait été plus
> rapide que moi, plutot que ce soit une organisation
>interessée qui les infiltre et que je sois au
> courant, peut etre, un jour. C'est une question de gout.
Oui, mais dans le second cas, l'adminsys (puisqu'il parait que c'en est un) peut dire "ah, j'y pouvais rien, c'est pas ma faute, j'ai fait mon boulot" et continuer à dormir tranquille....
> il peut faire la même chose avec les prénoms de ses enfants+leur age, les 18 morceaux de son CD favoris, etc, etc, etc...
Très mauvais exemple !!!
Rien de plus facile à obtenir commes informations autour d'un café, au détour d'un couloir ou autre !!
Il suffit alors de constituer un dictionnaire basé sur ces informations (et il va etre léger, le dictionnaire...) puis de tester toutes les variantes classiques (et les variantes que tu donnes sont *tres* classiques !!!).
Maintenant, l'idée des premières lettres d'une phrase, pouquoi pas, mais pas n'importe quelle phrase (ou plutot, si, n'importe quoi de surtout pas prévisible !).
Bon, j'ai pas vérifié si les "experts" sont des "experts", et à vrai dire, je m'en fous un peu...
Pour ce qui est de la faiblesse des mots de passe, je crois que c'est surtout du à un facteur indispensable aux mots de passe, et (presque) inutile pour les autres technologies (carte à puce, clé USB, etc...): le cerveau humain !
Des qu'un code doit etre stocké dans un cerveau humain, il va avoir tendance à suivre certains principes classiques:
- Longeur assez faible (rarement plus de 8 caracteres, et encore, c'est deja pas mal).
- Complexité assez ridicule (soleil, toto, prénom des enfants/du chien/du poisson rouge/de la moule).
- Stockage sur un moyen annexe (post-it sur l'écran, noté dans le bloc notes, etc...).
- Diffusion rapide (surtout s'il s'agit du prénom des enfants/du chien/de la moule), sans meme s'en rendre compte.
- Diffusion possible volontairement, simplement par inconscience: un mot de passe, ca fait "phrase secrete a la con quand on etait gosses et qu'on jouait", alors qu'une carte a puce, la plupart des gens ont quand meme compris que ca se prete pas a tout le monde.
- Grande facilité de reproduction.
- Multiplication des usages (même mot de passe pour le login, le compte mail du provider, etc...).
Ca rend donc les mots de passes encore plus facilement cassables que le reste.
Et même si tu réussils à contourner tout ca, il reste encore la méthode brute. Et comme tu es super content de ton mot de passe méga long et méga compliqué que meme toi t'as eu un mal de chien a le retenir, tu vas le garder pendant des années, ce qui laisse tout le temps d'une belle attaque brute.....
Voila...
A +
VANHU.
PS: et en plus, imagines la galere pour taper ton mot de passe quand tu as le clavier qui se blo
[^] # Re: Equivalent en France
Posté par Vanhu . En réponse à la dépêche Cybercops indiens. Évalué à 1.
Par contre, ils ont peut etre (j'espere !!) évolué entre temps.
[^] # Re: Et pourquoi cyber?
Posté par Vanhu . En réponse à la dépêche Cybercops indiens. Évalué à 2.
[^] # Re: Attention, cyberterroristes en vue...
Posté par Vanhu . En réponse à la dépêche Cybercops indiens. Évalué à 1.
Pour les deux autres, ok, on peut appeler ca du crime.
N'empeche qu'avec les simplifications des médias, on va encore avoir des "Le cybercriminel Mafiaboy a été arrété pour deni de service sur Yahoo, engendrant un déficit pour la société de plusieurs dizaines de milliards de dollars. Il sera jugé sous peu, et risque la condamnation à perpétuité ou la chaise electrique".
Et tu peux etre sur que le grand public va dire "oh, c'est dangereux l'Internet !! Heureusement qu'il y a des cybers policiers qui nous surveillent en permanence !".
# Equivalent en France
Posté par Vanhu . En réponse à la dépêche Cybercops indiens. Évalué à 1.
Ouais, faut relativiser: j'avais vu un reportage (ok, c'est assez vieux) sur ces fameuses sections en France, et j'avais (entre autres) entendu, à propos des perquisitions sur les machines suspectes, un truc du genre "Si le PC est sous 9x, on peut facilement démarrer sur une disquette pour contourner d'éventuels programmes de protection. Par contre, si la machine est sous NT, on peut pratiquement rien faire".
J'ose pas imaginer s'ils étaient tombés sur un Linux/BSD/BeOS/etc.....
J'avais pensé proposer (en toute modestie, bien sur :-) mes services, mais ces services ne sont composés que de policiers/gendarmes, et je serais curieux de savoir qui les forme....
# Attention, cyberterroristes en vue...
Posté par Vanhu . En réponse à la dépêche Cybercops indiens. Évalué à 3.
C'est pas bien de s'attaquer aux machines des autres, c'est clair, mais de la à utiliser l'appellation 'crime', c'est vraiment de la poudre aux yeux pour faire gober les gros budgets et les surveillances au citoyen moyen !!
[^] # Re: Il est trop tard pour arrêter linux
Posté par Vanhu . En réponse à la dépêche Est-il trop tard pour arreter Microsoft ?. Évalué à 6.
Et comme à chaque fois, impossible de savoir lesquels ont raison. Une seule chose est sure: ceux qui ont raison ont simplement eu un coup de chance sur cette étude !
[^] # Re: Personne s'en inquiete ?
Posté par Vanhu . En réponse à la dépêche Le web parasité en secret. Évalué à 4.
1) Si ta machine est cliente, tu configures ton firewall pour ne pas laisser passer les paquets entrants, sauf les paquets de connexions en cours (ce que tu devrais faire de toutes facons !).
2) Même si ta machine est serveur, ton firewall devrait intercepter les paquets "louches", dont entre autres les paquets TCP avec un checksum pas bon.
Maintenant, si un serveur t'envoie plein de paquets comme ca sans chercher à comprendre si tu reponds, ca va bouffer ta bande passante, mais il y a tellement d'autres moyens de la saturer...
[^] # Re: Konqueror : le MSIE de Linux ?
Posté par Vanhu . En réponse à la dépêche Interview des développeurs de Konqueror. Évalué à -1.
On gagne des XPs en fonction du nombre de caracteres ? :-)
[^] # Re: Konqueror
Posté par Vanhu . En réponse à la dépêche Interview des développeurs de Konqueror. Évalué à 1.
Essaies sur un 486SX25/4Mo de RAM, avec un dd if=/dev/urandom|bzip2 -c -9 | dd of=/dev/zero en arriere plan (c'est multi taches, non ?), et on verra si t'es toujours à 6 secondes !!!
Les trolls, c'était mieux avant !
[^] # Re: une preuve de plus...
Posté par Vanhu . En réponse à la dépêche Adieu Compaq, Bonjour HP-Compaq. Évalué à -1.
No manual entry for clearing
Ca me parait pourtant clair..
[^] # Re: Konqueror : le MSIE de Linux ?
Posté par Vanhu . En réponse à la dépêche Interview des développeurs de Konqueror. Évalué à 2.
Et puis, Netscape est pas OpenSource (ouh le vilain troll !!).
[^] # Re: telnet -> ssh
Posté par Vanhu . En réponse à la dépêche Installation d'un serveur de messagerie. Évalué à 0.
A +
VANHU, qui signe pas pour qu'on vote pour lui pour qu'on voie que c'est un message de lui (c'est clair ?)
[^] # Re: Alpha sous linux
Posté par Vanhu . En réponse à la dépêche Adieu Compaq, Bonjour HP-Compaq. Évalué à 4.
A +
VANHU, qui aimerait bien récupérer ses points pour voter, c'est rigolo !
[^] # Re: Une petite question (HS)
Posté par Vanhu . En réponse à la dépêche La version 5.0 de FreeBSD retardée. Évalué à 1.
Un code A existe sous licence BSD.
Tu peux le prendre, en faire A', et diffuser A' sous licence GPL (ou sous pratiquement n'importe quelle autre licence, et le "pratiquement" est plus la pour couvrir mes arrières qu'autre chose).
Toute personne utilisant/diffusant A' devra le faire sous les termes de ta licence (la GPL dans l'exemple).
Par contre, A reste toujours sous licence BSD, donc utilisable par n'importe quelle autre personne sous cette licence.
Argh, c'est vrai, faut plus signer :-)
[^] # Re: Et Postfix alors?
Posté par Vanhu . En réponse à la dépêche OpenBSD vire qmail à cause de sa licence. Évalué à 1.
A +
VANHU.
PS: Attention, chérie: ca va troller !
[^] # Re: BIDON !!
Posté par Vanhu . En réponse à la dépêche Serveurs mails de Wanadoo blacklistés. Évalué à 1.
Donc, le firewall/routeur qui fait du NAT, il change que dalle au problème !!!
A +
VANHU.
[^] # Re: Pigeon vole
Posté par Vanhu . En réponse à la dépêche La tempête arrive, LinuxFr s'en va .... Évalué à 1.
A +
VANHU.
[^] # Re: troll ?
Posté par Vanhu . En réponse à la dépêche Vulnérabilité dans FreeBSD. Évalué à 1.
Et pour que ca soit bien clair, je suis *POUR* la diffusion claire et documentée d'un max d'infos sur les trous de sécurité, au moins pour pouvoir tester si on est vulnérable !!!
De toutes facons, les Jean Kevin et autres hackers de BAS ont d'autres sources pour avoir ces infos, et ils les auront !!!
A +
VANHU.
[^] # Re: troll ?
Posté par Vanhu . En réponse à la dépêche Vulnérabilité dans FreeBSD. Évalué à 1.
Je voulais justement soulever le problème de l'adminsys pantouflard, qui préfère dormir tranquille et avoir une 'excuse' en cas de pépins, plutot que passer son temps à chercher les nouveax bugs/exploits et patcher pour avoir un système blindé !
J'ai *jamais* dit que c'est bien, juste que ca existe...
A +
VANHU.
[^] # Re: Disclosure
Posté par Vanhu . En réponse à la dépêche Vulnérabilité dans FreeBSD. Évalué à 1.
A +
VANHU.
[^] # Re: troll ?
Posté par Vanhu . En réponse à la dépêche Vulnérabilité dans FreeBSD. Évalué à 1.
> retourne mes machines parcequ'il aurait été plus
> rapide que moi, plutot que ce soit une organisation
>interessée qui les infiltre et que je sois au
> courant, peut etre, un jour. C'est une question de gout.
Oui, mais dans le second cas, l'adminsys (puisqu'il parait que c'en est un) peut dire "ah, j'y pouvais rien, c'est pas ma faute, j'ai fait mon boulot" et continuer à dormir tranquille....
A +
VANHU.
[^] # Qu'il est burrin le gars !!!
Posté par Vanhu . En réponse à la dépêche Vulnérabilité dans FreeBSD. Évalué à -1.
Abruti !
Moule !
Voila.... il est ou mon burin ???
A +
VANHU, qui ose signer quand même !!!
Comment ca, je peux pas scorer -10 ?????
[^] # Re: qualité de la niouz
Posté par Vanhu . En réponse à la dépêche Prelude & Trithème fusionnent. Évalué à -1.
Enfin, manque juste un peu de matière première pour troller dessus, quand meme !!!
Allez, do not feed the trolls: -1 !
A +
VANHU.
[^] # Re: Expert ?
Posté par Vanhu . En réponse à la dépêche Une enquête sur le choix des mots de passe. Évalué à 1.
Très mauvais exemple !!!
Rien de plus facile à obtenir commes informations autour d'un café, au détour d'un couloir ou autre !!
Il suffit alors de constituer un dictionnaire basé sur ces informations (et il va etre léger, le dictionnaire...) puis de tester toutes les variantes classiques (et les variantes que tu donnes sont *tres* classiques !!!).
Maintenant, l'idée des premières lettres d'une phrase, pouquoi pas, mais pas n'importe quelle phrase (ou plutot, si, n'importe quoi de surtout pas prévisible !).
A +
VANHU.
[^] # Re: Les "experts". Experts en quoi ?
Posté par Vanhu . En réponse à la dépêche Une enquête sur le choix des mots de passe. Évalué à 1.
Pour ce qui est de la faiblesse des mots de passe, je crois que c'est surtout du à un facteur indispensable aux mots de passe, et (presque) inutile pour les autres technologies (carte à puce, clé USB, etc...): le cerveau humain !
Des qu'un code doit etre stocké dans un cerveau humain, il va avoir tendance à suivre certains principes classiques:
- Longeur assez faible (rarement plus de 8 caracteres, et encore, c'est deja pas mal).
- Complexité assez ridicule (soleil, toto, prénom des enfants/du chien/du poisson rouge/de la moule).
- Stockage sur un moyen annexe (post-it sur l'écran, noté dans le bloc notes, etc...).
- Diffusion rapide (surtout s'il s'agit du prénom des enfants/du chien/de la moule), sans meme s'en rendre compte.
- Diffusion possible volontairement, simplement par inconscience: un mot de passe, ca fait "phrase secrete a la con quand on etait gosses et qu'on jouait", alors qu'une carte a puce, la plupart des gens ont quand meme compris que ca se prete pas a tout le monde.
- Grande facilité de reproduction.
- Multiplication des usages (même mot de passe pour le login, le compte mail du provider, etc...).
Ca rend donc les mots de passes encore plus facilement cassables que le reste.
Et même si tu réussils à contourner tout ca, il reste encore la méthode brute. Et comme tu es super content de ton mot de passe méga long et méga compliqué que meme toi t'as eu un mal de chien a le retenir, tu vas le garder pendant des années, ce qui laisse tout le temps d'une belle attaque brute.....
Voila...
A +
VANHU.
PS: et en plus, imagines la galere pour taper ton mot de passe quand tu as le clavier qui se blo