À lire cette semaine...
Ah le nombre de titres racoleurs et simplistes que l'on peut voir dans la presse à propos de cette faille...
Surtout que tant que les admins des réseaux où vous êtes connectés n'ont pas appliqué la nouvelle version de Bind, il n'y a rien de corrigé.
11 juillet 2008, 13:38
Qu'est-ce que tu trouves de racoleur dans le titre "Une faille d'Internet corrigée en secret" ?
Explique nous, o grand gourou de l'internet ?
Non parce que pour moi, ça ressemble tout de même à une faille.
Qui concerne ce grand réseau qu'on nomme L'Internet Multimédia.
Et qui a été corrigée en six mois de façon non publique.
Ou alors on m'aurait menti à l'insu de mon plein gré ?
Joseph Heller
11 juillet 2008, 20:49
Non mais il est tout frustré l'ellendhel.
Une faille énorme comme il n'en arrive qu'une dans une vie et il ne peut même pas dire "use linux"
11 juillet 2008, 21:10
Que le correctif ait été conçu en secret, soit. À la rigueur, c'est le cas de moult patchs. C'est le vulnérabilité qui n'a pas été dévoilée.
Mais à l'heure actuelle, je ne suis pas certain que ce soit corrigé partout : si le patch n'est pas appliqué sur chacun des serveurs de ce fameux Internet, le problème est toujours là (certes elle ne concerne que les utilisateurs des serveurs concernés).
Et par expérience, je sais qu'il y a des admins système et réseau feignasse ou incompétent (voire les deux) qui ne patcheront pas (en tout cas pas avant un problème visible, et encore).
Mais bon, ce n'est pas comme si une grosse partie des serveurs mail, ssh, web et j'en passe n'étaient pas à jour et que d'autres techniques simples sont aussi exploitables pour couillonner les pigeons.
Quelques lectures sur le sujet :
- Le blog de Sid
- Le blog de Kostya et encore là
- Le blog de S. Bortzmeyer
- Le blog de B. Kerouanton
Non le seul truc qui m'énerve un peu, c'est de constater comme toujours que lorsqu'un journaliste parle d'un sujet que l'on connait bien, on voit qu'il distille de vastes conneries (et on en déduit un raisonnement pour ce qui concerne les autres sujets...).
@Lama : mes serveurs Bind sur mes machines Linux sont patchés et vont très bien ; ils te font des bisous.
11 juillet 2008, 21:47
Ellendhel a écrit :
Non le seul truc qui m'énerve un peu, c'est de constater comme toujours que lorsqu'un journaliste parle d'un sujet que l'on connait bien, on voit qu'il distille de vastes conneries (et on en déduit un raisonnement pour ce qui concerne les autres sujets...)
Je te rassure, c'est pareil pour tous les sujets.
11 juillet 2008, 21:57
Je sais, mais là ça m'irrite, vu que je m'en rends compte derchef.
11 juillet 2008, 22:00
Pour l'instant, tu as répondu à coté.
Je ne vois toujours pas dans ta réponse en quoi les articles concernés sont truffés de vastes conneries...
Et en quoi les titres des articles en question sont racoleurs et simplistes...
Accessoirement, je ne vois pas trop ce qu'ajoutent à ton argumentation les liens que tu donnes (qui sont des articles techniques, totalement incompatibles avec de l'information grand public. C'est un truc de linuxien, ça, de répondre dans un jargon imbitable et inadapté à une question simple de l'utilisateur lambda).
C'est un peu facile de taper sur les journalistes.
C'est parfois salutaire mais encore faut-il le faire à bon escient.
Joseph Heller
12 juillet 2008, 07:45
Grosse faille du web, et solution en chemin - Le Monde - 10 juil 2008 : non ce n'est pas le web, c'est plus large
Faille DNS : Mauro Israël "On a frôlé le Big One" - Silicon.fr - 9 juil 2008 : OMG un tsunami numérique le 11 septembre à venir
Faille DNS : une grande frayeur mais tout est "sous contrôle" - Vnunet.fr - 9 juil 2008 : La France l'Internet à peur
Un méga-patch pour combler une énorme faille d'Internet - 01net - 9 juil 2008 : DNS Service Pack 3 : voulez-vous l'installer ?
La faille DNS qui fait trembler le monde de la sécurité - Silicon.fr - 9 juil 2008 : l'Internet à peur, le retour
Internet l'a échappé belle - Le Point - 9 juil 2008 : échappé à quoi, on ne sait pas vraiment
Une grave faille de sécurité sur internet détectée à temps - Le Figaro - 9 juil 2008 : à temps par rapport à quoi ?
Une catastrophe pour l'Internet a été évitée - Top-logiciel.net - Il y a 13 heures : là encore, c'est la catastrophe §§
Je ne sais pas mais là c'est tout de même un peu gros, je n'ai pris que les titres mais le contenu de certains articles est tout de même assez gratiné.
Quand au problème "information grand public" versus "charabia technique" c'est malheureusement assez courant en informatique (et probablement ailleurs) et pour cette faille en particulier le grand public est juste spectateur (ou à la rigueur il se rendra compte que son FAI est incompétent et râlera dessus).
Il y a quelques temps une faille de sécurité dans le logiciel OpenSSL sous Linux Debian à posé plus de soucis (et pas seulement aux linuxiens, loin de là). En gros, le système de chiffrement de nombreux sites web ou systèmes informatiques pouvaient être percés facilement. Le genre de système qui protége des paiements en ligne, par exemple.
Et bien là les médias n'ont parlé de rien, alors que les enjeux sont """"tout aussi importants"""" (généralement on chiffre des données personnelles et financières, mais faudrait pas affoler les investisseurs ou les clients).
Par ailleurs je ne blâme pas forcément les journalistes : il y a eut un gros buzz monté par quelques ""experts sécurité"", mais évidemment peu de journalistes ont été vérifier de quoi il s'agissait.
Cette histoire, c'est simplement un patch important comme il y en a une centaine par an. Ça enquiquinera les admins qui gèrent leurs machines, ça permettra à la mafia numérique russe de monter quelques coups de plus, rien de nouveau sous le soleil.
Edit : mes figures de style à base de texte barré ne marchent pas, même si ça apparaît en prévisualisation. Damned.
12 juillet 2008, 09:09
« Le risque est notamment celui du "phishing", où des escrocs dirigent les internautes à leur insu vers de faux sites de banques par exemple, pour récupérer leurs numéros de cartes bancaires ou autres données sensibles. »
Le site de ta banque ou même plus simplement paypal ou tout site de commerce sécurisé est identifié par son URL mais pas seulement, aussi par un certificat de sécurité qui fait le lien entre l'url, le serveur et un tiers de confiance.
Comme a priori personne ne peut déposer un certificat de sécurité pour paypal.com sans être réellement paypal tu ne peux pas tomber sur un faux site paypal sans que ton navigateur te renvoie une alerte de sécurité à moins d'accepter de se connecter sans que le site soit sécurisé.
Le phishing se base sur des ressemblances d'url donc potentiellement sur des urls qui peuvent avoir des certificats de sécurité valides sans être ceux que tu crois.
On est dans l'amalgame de pseudo-experts.
12 juillet 2008, 12:36
Combien de personnes comprennent et font attention aux messages relatifs aux certificats de sécurité ?
Le phénomène du phishing existe rééllement et de nombreuses personnes se font avoir régulièrement.
Franchement, je n'ai pas du tout l'impression que c'était un problème mineur et je pense que vous ne prenez pas du tout en compte le comportement des utilisateurs lambda.
Je vous trouve un peu légers et insouciants sur le coup.
Joseph Heller
13 juillet 2008, 11:17
Étant un vieux con© préférant faire des achats, opérations bancaires, réservation de billet de train, etc en bougeant mon postérieur plutôt qu'en ligne, tu comprendras que je n'ai pas trop de souci à propos ce genre de choses.
J'en suis resté à la période pré-bulle internet, où l'on utilisait le réseau pour réseauter et non à des fins mercantiles.
Je sais que c'est un problème important, mais après avoir beaucoup poussé, tiré, éructé et éduqué masse de gens pour leur donner des bases de sécurité informatique je vois que la situation bouge peu, alors s'il y a des pertes, ça ne m'émeut guère.
J'en suis à un point où la signature cryptographique me parait nécessaire pour les mails, mais en disant cela j'ai même des collègues qui me regardent avec des yeux comme des soucoupes.
On sait comment éviter nombres de problèmes (de manière technique et non technique) et peu de gens font des efforts. Je continue à écoper ma barque et tant pis pour les autres.
Ça c'est pour l'informatique, pour ce qui est de l'écologie, j'ai encore un peu d'espoir et d'énergie, mais ce serait étonnant que ça dure encore longtemps.
Monde de merde©
13 juillet 2008, 14:29
Des gens normaux ont d'autres choses à foutre de leur journée que des crypter leurs putains de mails...
Faut vraiment s'estimer important ou estimer ses communications importantes pour crypter tout ses mails.
Avec un pied de biche n'importe qui peut ouvrir ta boite à lettre au fait. Mais personne ne le fait parce qu'on s'en fout de ce qu'il y a dedans. Pour tes mails c'est pareil. A moins que tu sois à un poste clé d'une grosse entreprise ou terroriste peut-être. Et encore.
Donc si, une faille comme celle-là est dangereuse parce que tout le monde n'a pas les mêmes connaissances que toi en informatique. Ca viendra peut-être un jour dans une vingtaine d'années quand l'informatique ne fera plus peur parce que tout les extrémistes incapables de vulgariser le domaine seront passés à autre chose.
13 juillet 2008, 15:32
Ellendhel a écrit :
...J'en suis à un point où la signature cryptographique me parait nécessaire pour les mails, mais en disant cela j'ai même des collègues qui me regardent avec des yeux comme des soucoupes...
C'est un peu normal. Pour le quidam et avec l'air du temps, vouloir crypter ses mails signifie qu'on a quelque chose à cacher?
14 juillet 2008, 20:09
Grmbl.
signature cryptographique
Je n'ai pas parlé de chiffrer les messages (crypter est un terme à éviter, c'est un abus de langage) mais de les signer, ce qui prouve leur émission.
http://fr.wikipedia.org/wiki/Signature_num%C3%A9rique
Et oui, malheureusement, utiliser ce genre de chose tendrait à signifier que l'on pourrait être un terroriste présumé (communiste de surcroît).
Mais :
- c'est pleinement légal,
- c'est facile à mettre en oeuvre (même sous Microsoft Windows pour tata SimOOn Simone),
- et il ne faut pas bac +25 contrairement aux rumeurs faciles.
Et si cela apparait suspicieux aux yeux et oreilles des autorités et des piliers de bistrot, et bien tant pis pour eux.
15 juillet 2008, 18:40
T'es aussi chiant que mes profs de sécurité en fait.
On a très bien compris que tu parlais de signature, tu rappelles même le coup du chiffrer/crypter (slide n°3 de tous les cours, alors qu'osef)
La question est : "Penses-tu être suffisamment important pour que quelqu'un s'embête à usurper ton identité ?"
En entreprise peut-être que 1% des messages échangés mériteraient un protection du genre ok à la limite. Mais au quotidien...
C'est toujours pareil c'est une question de moyens, n'importe quelle personne pourrait s'introduire sur ma machine avec un peu de temps et d'argent mais pourquoi ? Ya rien à y trouver :(
Je suis sûr que certains geeks protègent mieux leur machine que leur vie/habitation...
15 juillet 2008, 20:27
Zoup a écrit :
C'est toujours pareil c'est une question de moyens, n'importe quelle personne pourrait s'introduire sur ma machine avec un peu de temps et d'argent mais pourquoi ? Ya rien à y trouver :(
C'est pas ce que me dit le dernier scan que j'ai fait ... au fait, ta famille est au courant, pour, euh, tu sais quoi ?
15 juillet 2008, 20:39
Le problème n'est pas l'usurpation d'identité (du moins tel qu'on l'entend couramment), mais de pouvoir vérifier que la personne qui envoie le message est bien la bonne, et non que ce n'est pas un spammeur (ce n'est pas une usurpation motivée). La signature électronique généralisée pourrait améliorer le tri de spams (même si ce n'est pas le truc ultime).
Après, le "au quotidien" fait généralement chier les gens, mais c'est de cette manière que c'est le plus simple. S'il faut le faire au coup par coup, là c'est chiant, si c'est de manière systématique, on trouve ça chiant mais on s'y habitue.
Sans compter que "message pas chiffré --> pas important --> poubelle" et "message chiffré --> important --> tentative de décryptage". Et là, si tu ne chiffres qu'un message sur mille, c'est déjà donner un coup de main à un éventuel ennemi. Si c'est mille sur mille, ce sera moins simple pour lui.
Et sur ta machine, comme sur n'importe quel bot windozien qui se respecte, il y a de la bande passante et du cpu (je te rassure, tes fichiers de poneys seront sauf).
15 juillet 2008, 21:09
Ellendhel a écrit :Ok pour le spam peut-être. Mais je suis un peu dubitatif, pour l'instant ya d'autres méthodes plus simples.
Le problème n'est pas l'usurpation d'identité (du moins tel qu'on l'entend couramment), mais de pouvoir vérifier que la personne qui envoie le message est bien la bonne, et non que ce n'est pas un spammeur (ce n'est pas une usurpation motivée). La signature électronique généralisée pourrait améliorer le tri de spams (même si ce n'est pas le truc ultime).
Et sur ta machine, comme sur n'importe quel bot windozien qui se respecte, il y a de la bande passante et du cpu (je te rassure, tes fichiers de poneys seront sauf).C'est ça la clé de la sécurité sous Linux, ya pas de BP ni de CPU mdr ^^
Et c'est pas des poneys c'est des fiers étalons.
15 juillet 2008, 21:32
Zoup a écrit :
C'est ça la clé de la sécurité sous Linux, ya pas de BP ni de CPU mdr ^^
D'ailleurs, je profite de ce thread pour faire la manche et demander un quad-core et un abonnement fibre.
15 juillet 2008, 21:58
Ah et puis tiens, j'en recolle une couche de plus, avec cette discussion sur LinuxFr qui complète la discussion ici présente.
16 juillet 2008, 18:35
Ajouter un commentaire
Vous devez être identifié pour poster un commentaire.