craintes sur la sécurité en général

tiramiseb · Le 10/01/2016, à 14:19

pires57: Sabina75 ne parle pas du pare-feu, c'est SangokuSS, DantonKbis et robindesbois qui font ces affirmations mensongères.

Dernière modification par tiramiseb (Le 10/01/2016, à 14:26)

robindesbois · Le 10/01/2016, à 14:23

Sabina75 a écrit :

Oui, ben tu vas devoir faire avec ça, que ça te plaise ou pas.
On va y arriver, à clore ce topic, finalement.

Tu l'auras compris, ils sont supers spécialisés, dans....tout en fait, ce sont des dieux qui n'acceptent aucun autre point de vue que le leur, c'est sympa ce forum non ?

Allez, le jplemoine là qui a démonté tout ces pc et qui n'y a jamais trouvé de "moulin à nombre aléatoires", à vrais nombres aléatoires hein. Il n'a pas dû bien chercher à mon avis, mais comme il le dit, son "point de vue" découle d'une grande expertise et d'un professionnalisme à toutes épreuves, je veux dire le sien, le truc fermé quoi, que "son expérience" quoi, comme Tiramisu ou Piramiszboub aussi :

Moi j'utilise ça depuis fiiiiuuu, quelques années maintenant : https://www.vanheusden.com/aed/

Bonne aprem Sabina, moi j'avais aller brosser mon égo .... dans l'bain ! AH AH AH

Salut les gars, astiquez-vous bien l'égo.................

Dernière modification par robindesbois (Le 10/01/2016, à 14:28)

pires57 · Le 10/01/2016, à 14:30

@tiramiseb: je le sait mais je reste sur le sujet initial.

@robindesbois: comme à ton habitude, tu manques de respect à des personnes qui ne partages pas ton point de vue. En plus de formation sur le fonctionnement de linux tu devrait également apprendre le respect.

robindesbois · Le 10/01/2016, à 14:34

Désolé, j'ai coupé mon parefeu deux secondes, des paquets ont du fuiter...Ça été publié sur le forum ?

Oups, je vais réenclencher va....Pauv'ti'canard Ça ira quand même dis ???

Dernière modification par robindesbois (Le 10/01/2016, à 14:35)

Sabina75 · Le 10/01/2016, à 14:40

robindesbois a écrit :

Sabina75 a écrit :
Oui, ben tu vas devoir faire avec ça, que ça te plaise ou pas.
On va y arriver, à clore ce topic, finalement.
Tu l'auras compris, ils sont supers spécialisés, dans....tout en fait, ce sont des dieux qui n'acceptent aucun autre point de vue que le leur, c'est sympa ce forum non ?

Non, effectivement. Mais j'avais déjà repéré le manège, il y a un an ou deux. J'étais restée quelques jours ici puis j'étais vite partie pour aller chez les ricains, sur wilder security et ubuntuforums.org ! Là, j'avais une question simple sur apparmor et j'espérais que le lieu aurait changé.

Mais j'avais aussi vu ça sur un forum d'expatriés au Japon. J'étais restée une journée avant de vite partir sur un forum anglophone. Alors, un phénomène franco-français ?

Bon, après, ce n'est qu'une poignée de personnes, mais c'est clair que c'est particulièrement repoussant.

https://help.ubuntu.com/community/DoINeedAFirewall

Dernière modification par Sabina75 (Le 10/01/2016, à 14:45)

tiramiseb · Le 10/01/2016, à 14:42

Mais va-t-en si ça ne te plaît pas, plutôt que polluer des fils techniques avec tes pensées philosophiques !

Sabina75 · Le 10/01/2016, à 14:46

Je remets :

https://help.ubuntu.com/community/DoINeedAFirewall

I have no open ports, so I don't need a firewall, right?

Well, not really. This is a common misconception. First , let us understand what an open port actually is. An open port is a port that has a service (like SSH) bound and listening to it. When the SSH client tries to communicate with the SSH server it will send a TCP SYN packet to the SSH port (22 by default), and the server will ACKnowledge it, thus creating a new connection. The misconception in how a firewall can help you begins here. Some users assume that since you are running no services, a connection can not be made. So you do not need a firewall. If these were the only things you needed to think about, this would be perfectly acceptable. However, this is only part of the picture. There are two additional factors that come into play there. One, if you do not utilize a firewall on the basis that you have no open ports, you are crippling your own security because if an application that you do have is exploited and code execution occurs a new socket can be created and bound to an arbitrary port. The other important factor here is that if you are not utilizing a firewall you also have no outbound traffic control whatsoever. In the wake of an exploited application, instead of a new socket being created and a port being bound, another alternative an attacker can utilize is to create a reverse connection back to a malicious machine. Without any firewall rules in place this connection will go through unhindered.

Article demonstrating how different types of firewall rules can be bypassed by an attacker.

Dernière modification par Sabina75 (Le 10/01/2016, à 14:48)

tiramiseb · Le 10/01/2016, à 14:58

Pour commencer, ceci est une page d'un wiki communautaire, dont le contenu est librement édité. La personne qui a écrit ceci n'a pas plus de crédit que quiconque ici. Je ne vois pas pourquoi je le croirais lui plutôt que pires57.

Ce document n'évoque que le cas où une application serait compromise et irait se connecter à une machine tierce, à travers une connexion sortante.
Il évoque un pare-feu strict, en entrée comme en sortie, afin de ne laisser passer que des flux voulus.

En l'occurrence, il sous-entend qu'il suggère de ne laisser ouverts, en sortie que les ports qu'on utilise. Par exemple TCP 80, 443, à destination de toutes les adresses IP car on veut surfer sur plein de sites. Ajoutons les ports TCP 25 (mails sortants), TCP 143 (mails entrants), UDP 53 (pour les DNS), UDP 68 (client DHCP),
Il sous-entend aussi que, comme ça, le logiciel compromis ne pourrait pas se connecter à un serveur tiers sur un quelconque port... à part ceux-là.
Manque de bol, c'est bien souvent le port 80 qui est utilisé, justement parce qu'on n'a pas le choix, celui-là on doit le laisser ouvert.
Ce pare-feu, mis en place de la manière que cette personne-là a suggéré, devient alors illusoire et donne un faux sentiment de sécurité, tout en emmerdant royalement l'utilisateur lorsqu'il a besoin d'accéder à un service légitime qui n'utilise pas les ports autorisés.

Pour une protection de ce type, ce n'est pas un pare-feu statique comme Netfilter qui doit être utilisé. Il faut un pare-feu applicatif (comme ZoneAlarm, à l'époque où j'utilisais Windows), chose inexistante actuellement sous Linux.

Dernière modification par tiramiseb (Le 10/01/2016, à 14:58)

bruno · Le 10/01/2016, à 15:12

Entièrement d'accord.

Ajoutons que cette affirmation :

if an application that you do have is exploited and code execution occurs a new socket can be created and bound to an arbitrary port

est extrêmement discutable. Et l'explication dans le paragraphe suivant l'est encore plus. Rappelons que sur un système Linux il faut avoir les droits root pour ouvrir un port privilégié / créer un socket et que les applications comme le navigateur web s'exécutent sous un utilisateur standard. Il faudrait donc que la faille dans le navigateur permette non seulement l'injection de code mais aussi une escalade de privilèges.

Dernière modification par bruno (Le 10/01/2016, à 15:12)

robindesbois · Le 10/01/2016, à 15:13

Sabina75 a écrit :

robindesbois a écrit :
Sabina75 a écrit :
Oui, ben tu vas devoir faire avec ça, que ça te plaise ou pas.
On va y arriver, à clore ce topic, finalement.
Tu l'auras compris, ils sont supers spécialisés, dans....tout en fait, ce sont des dieux qui n'acceptent aucun autre point de vue que le leur, c'est sympa ce forum non ?
Non, effectivement. Mais j'avais déjà repéré le manège, il y a un an ou deux. J'étais restée quelques jours ici puis j'étais vite partie pour aller chez les ricains, sur wilder security et ubuntuforums.org ! Là, j'avais une question simple sur apparmor et j'espérais que le lieu aurait changé.
Mais j'avais aussi vu ça sur un forum d'expatriés au Japon. J'étais restée une journée avant de vite partir sur un forum anglophone. Alors, un phénomène franco-français ?
Bon, après, ce n'est qu'une poignée de personnes, mais c'est clair que c'est particulièrement repoussant.
https://help.ubuntu.com/community/DoINeedAFirewall

Oui ben oui c'est "usant" leur attitude à force c'est vrai... Et pour nous qui leur signalons et pour toutes celles et ceux qui ne l'ont pas fait pour éviter de perdre du temps...

Pour le coup c'est vrai, il n'y a aucun port ouvert sur ces bonhommes, ils sont comme des machines réseaux éteintes, et....débranchés, le "e" manquants de l'accord du genre est :

voulu.

@ plus Miss Lumineuse .

Salut de l'Italien.

tiramiseb · Le 10/01/2016, à 15:14

bruno : l'application compromise, même en espace utilisateur, serait parfaitement capable d'ouvrir un port non privilégié... je vois mal un malware tenter l'ouverture d'un port privilégié alors qu'il peut se contenter d'un port >1024...

pires57 · Le 10/01/2016, à 15:27

Elle sera parfaitement capable d'ouvrir un port non système ( > 1024 sur ubuntu ) mais cette application ne sera pas bloqué avec ce genre de règles sur un pare feu puisque bloqué la requête reviendrai à bloquer les requêtes légitime également. De plus les élévations de privilèges sont bien conçu sous linux et un pare feu ne peut pas empêcher une élévation de privilèges sur une machien, un firewall n'est pas le composant adaptée face à un malware.

Compte anonymisé · Le 10/01/2016, à 15:32

tiramiseb a écrit :

En l'occurrence, il sous-entend qu'il suggère de ne laisser ouverts, en sortie que les ports qu'on utilise. Par exemple TCP 80, 443, à destination de toutes les adresses IP car on veut surfer sur plein de sites. Ajoutons les ports TCP 25 (mails sortants), TCP 143 (mails entrants), UDP 53 (pour les DNS), UDP 68 (client DHCP),
Il sous-entend aussi que, comme ça, le logiciel compromis ne pourrait pas se connecter à un serveur tiers sur un quelconque port... à part ceux-là.
Manque de bol, c'est bien souvent le port 80 qui est utilisé, justement parce qu'on n'a pas le choix, celui-là on doit le laisser ouvert.
Ce pare-feu, mis en place de la manière que cette personne-là a suggéré, devient alors illusoire et donne un faux sentiment de sécurité, tout en emmerdant royalement l'utilisateur lorsqu'il a besoin d'accéder à un service légitime qui n'utilise pas les ports autorisés.

C'est exactement l'exemple que j'avais donné il y a quelques pages. Va essayer de faire comprendre à un individu lambda qui ignore la plus part du temps que se murer derrière un pare-feu ne sert à rien pour sécuriser une machine dès l'or que tu laisses une application communiquer avec l'extérieur... La vulnérabilité ne pourra pas être planqué derrière le mur puisque la machine communique en flux sortant... (pas de flux entrant puisque pas de logiciel serveur sur une Ubuntu destinée pour pc)
J'ajoute qu'un malware utilise la plus part du temps un port classique car c'est ce qui est le moins bloqué sur une station de travail... La furtivité en est renforcée et si le processus est lui aussi furtif, bin c'est gagné quelque soit l'OS...

ÉDIT: Mes propos concernent une station de travail tel que évoqué en post #1 de la présente discussion.

Dernière modification par Compte anonymisé (Le 10/01/2016, à 15:55)

tiramiseb · Le 10/01/2016, à 15:36

Pas d'accord, pires57.
Imaginons qu'une faille dans Firefox permette à un attaquant d'insérer dans ta machine un code malicieux qui fait que Firefox écoute sur le port 12345. Ce port n'est pas légitime, il peut tout à fait être bloqué par un pare-feu.
Mais là on n'est plus du tout dans la sécurité préventive, la machine a été compromise, c'est trop tard.
Si Firefox est correctement mis à jour, une telle faille ne pourrait en réalité pas vraiment être exploitée. D'autant plus que des failles permettant ce genre de choses sont rares... en général les failles sont bien plus "légères".
La probabilité d'avoir un tel malware sur sa machine est extrêmement faible (au pifomètre, je dirais autour de 0,001%)...

Bien sûr on peut blinder sa machine dans tous les sens, pour réduire encore cette probabilité...

Mais monsieur Michu et sa femme n'ont pas envie de s'emmerder avec tout ça, ils ont besoin d'un bon équilibre liberté/sécurité, chose que ne peux pas leur apporter un pare-feu qui bloque tout en entrée et en sortie par défaut.

Dernière modification par tiramiseb (Le 10/01/2016, à 15:40)

pires57 · Le 10/01/2016, à 15:43

Attention, je ne traite pas du tout ce cas, moi je parle d'une machine utilisant une application légitime, pas d'une application non légitime qui se serai installé sur le système.
Lorsque la machine est corrompue, la résolution est différente, on es plus dans le même cas de figure

DantonKbis · Le 10/01/2016, à 15:45

14-18 … bataille de la Marne, la norme est la charge à la baïonnette, au son du clairon, le français a un pantalon rouge, excellente cible, c'est le plus vaillant et/ou le plus nombreux qui gagne, le boche a déjà l'uniforme gris vert.

Verdun, y en a qui s'enterrent, c'est une évolution, les allemands enterrent des mitrailleuses dans l'Aisne en zone vallonnée, pas grave, Tiramiseb Nivelle mène la charge, ta ta ta ta ta !!! des milliers de morts ( français ) en quelques heures.
Toujours pas grave, ce qui est important, c'est que l'officier qui mène la charge, le revolver à la main, ne frémisse pas, il est tout juste toléré d'ajuster son monocle.

39-40 … la norme française est toujours la charge à la baïonnette, mais la guerre de position inventée par les boches a fait construire la ligne Maginot, pas grave disent les boches, on va passer à côté.
Sabina De Gaulle suggère que les chars seront décisifs, pas la norme répond Tiramiseb Nivelle, Sedan, les boches arrivent en char, suivis par la troupe, épaulés par les avions, la guerre moderne, Tiramiseb Nivelle commence à gueuler : « c'est de la triche », en plus ils ont bouffé la pilule à Goebbels, de la pervitin, ils n'ont pas besoin de dormir, c'est la guerre éclair.

Tiramiseb Nivelle s'énerve : « ça commence à bien faire ! Chargez !!! je vous l'avais bien dit que la ligne Maginot c'était du flan, chargez bordel ! »

Le sergent chef Chaudard lui fait alors remarquer qu'il n'y a plus d'officiers pour mener la charge, parce que … en 14, les meilleurs se sont fait flinguer en ajustant leur monocle.

Dernière modification par DantonKbis (Le 10/01/2016, à 15:51)

tiramiseb · Le 10/01/2016, à 15:49

Qu'as-tu fumé, DantonKbis ?

nam1962 · Le 10/01/2016, à 15:58

Je regarde le fil du coin de l'oeil, mais j'avoue que j'y entrave de moins en moins !

..Du peu que je saisis encore, c'est tout mimi comme discuss pendant qu'au CES on présente les outils de brain hacking : http://news.yahoo.com/wave-tech-hacking … 39635.html

Oukéti le firewall pour cerval ?

jplemoine · Le 10/01/2016, à 16:24

robindesbois a écrit :

Allez, le jplemoine là qui a démonté tout ces pc et qui n'y a jamais trouvé de "moulin à nombre aléatoires", à vrais nombres aléatoires hein. Il n'a pas dû bien chercher à mon avis, mais comme il le dit, son "point de vue" découle d'une grande expertise et d'un professionnalisme à toutes épreuves, je veux dire le sien, le truc fermé quoi, que "son expérience" quoi, comme Tiramisu ou Piramiszboub aussi :

J'ai donné des termes techniques précis. Je n'ai jamais parlé d'un "moulin à nombre aléatoires" mais d'un générateur de bruit blanc et de bascules.
Je n'ai qu'un DUT Génie Électrique et Informatique Industrielle (GEII pour les intimes) mais l'ayant étudié et étudier l’intérieur d'un PC (d'accord c'était à la préhistoire en 1992) et donc, oui, je peux te dire qu'il n'y en a pas. Ce à quoi Sébastien (tiramiseb) a répondu qu'il y avait un moyen avec la souris, par exemple, de d'affranchir ce fameux générateur de bruit blanc.
Quand à mon soit-disant "d'un professionnalisme à toutes épreuves,", je n'ai qu'une quinzaine d'années d'expérience en programmation dans un langage propriétaire (où je suis considéré par mes pairs comme expert et avec des clients tels que Bouygues Construction, EADS, diverses banques, quelques assurances, IMA,...) mais dans le cas qui nous intéresse, je ne suis qu'un simple utilisateur depuis quelques années (depuis 2009) et 1 pauvre année d'expérience professionnelle : je suis donc parfaitement faillible (il y a des cas dans ce forum).
Pour info, mon CV traine un peu partout sur Internet...

En résumé je veux bien être jugé mais faudrait être un tout petit peu objectif....

Dernière modification par jplemoine (Le 10/01/2016, à 16:28)

erresse · Le 10/01/2016, à 16:41

D'accord avec toi, nam... Mais ça fait déjà un bout de temps qu'il n'y a plus rien à glaner ici de toute façon !
On dirait que DantonKbis veut changer de nom : DantonKnabis, peut-être ? MDR

Compte anonymisé · Le 10/01/2016, à 16:49

robindesbois a écrit :

Sabina75 a écrit :
robindesbois a écrit :
Tu l'auras compris, ils sont supers spécialisés, dans....tout en fait, ce sont des dieux qui n'acceptent aucun autre point de vue que le leur, c'est sympa ce forum non ?
Non, effectivement. Mais j'avais déjà repéré le manège, il y a un an ou deux. J'étais restée quelques jours ici puis j'étais vite partie pour aller chez les ricains, sur wilder security et ubuntuforums.org ! Là, j'avais une question simple sur apparmor et j'espérais que le lieu aurait changé.
Mais j'avais aussi vu ça sur un forum d'expatriés au Japon. J'étais restée une journée avant de vite partir sur un forum anglophone. Alors, un phénomène franco-français ?
Bon, après, ce n'est qu'une poignée de personnes, mais c'est clair que c'est particulièrement repoussant.
https://help.ubuntu.com/community/DoINeedAFirewall
Oui ben oui c'est "usant" leur attitude à force c'est vrai... Et pour nous qui leur signalons et pour toutes celles et ceux qui ne l'ont pas fait pour éviter de perdre du temps...
Pour le coup c'est vrai, il n'y a aucun port ouvert sur ces bonhommes, ils sont comme des machines réseaux éteintes, et....débranchés, le "e" manquants de l'accord du genre est :
voulu.
@ plus Miss Lumineuse .
Salut de l'Italien.

Condescendant jusqu'au bout...

Ubuntu arrive déjà équipé d'un pare-feu simple d'utilisation (ufw) mais le pare-feu n'est pas activé par défaut. Parce-qu'Ubuntu n'a pas de services réseaux ouverts (sauf pour une infrastructure réseau basique) dans l'installation par défaut, un pare-feu n'est pas nécessaire pour bloquer les connexions entrantes malicieuses.

https://guide.ubuntu-fr.org/desktop/net … n-off.html

Je connais les ports mais aussi des porcs

robindesbois · Le 10/01/2016, à 17:37

Sabina75 a écrit :

robindesbois a écrit :
Sabina75 a écrit :
Oui, ben tu vas devoir faire avec ça, que ça te plaise ou pas.
On va y arriver, à clore ce topic, finalement.
Tu l'auras compris, ils sont supers spécialisés, dans....tout en fait, ce sont des dieux qui n'acceptent aucun autre point de vue que le leur, c'est sympa ce forum non ?
Non, effectivement. Mais j'avais déjà repéré le manège, il y a un an ou deux. J'étais restée quelques jours ici puis j'étais vite partie pour aller chez les ricains, sur wilder security et ubuntuforums.org ! Là, j'avais une question simple sur apparmor et j'espérais que le lieu aurait changé.
Mais j'avais aussi vu ça sur un forum d'expatriés au Japon. J'étais restée une journée avant de vite partir sur un forum anglophone. Alors, un phénomène franco-français ?
Bon, après, ce n'est qu'une poignée de personnes, mais c'est clair que c'est particulièrement repoussant.
https://help.ubuntu.com/community/DoINeedAFirewall

J4aimerai bien discuter un peu avec toi, question sécurité informatique, stp. Je fais comment pour te contacter en privé ?

Zakhar · Le 10/01/2016, à 18:47

En tout cas david75017 est très fort !..

Il a lancé une discussion, il a répondu page 2... puis plus rien !..

Et là vous vous écharpez pendant 12 pages en l'absence du posteur initial. Trop fort !

En plus il y avait dans son post initial des affirmations faciles à démonter comme : "Il y a 4 fois plus de failles dans Linux que dans Windows".

Elle est bien bonne celle là, qu'est-ce qu'on peut en savoir vu que W$ n'est pas Open Source. On peut juste dire qu'il y a peut-être 4 fois plus de CVE (données objective mesurable), mais ce n'est pas forcément rassurant, ça veut juste dire qu'il y a certainement des pelletées de failles latentes qui ne sont pas encore publiques sur W$.

Dernière modification par Zakhar (Le 10/01/2016, à 18:49)

Sabina75 · Le 10/01/2016, à 19:40

robindesbois a écrit :

J4aimerai bien discuter un peu avec toi, question sécurité informatique, stp. Je fais comment pour te contacter en privé ?

Je viens de modifier mon profil pour autoriser l'envoi d'emails.

lool_lauris · Le 10/01/2016, à 22:14

robindesbois a écrit :

Sabina75 a écrit :
robindesbois a écrit :
bla, bla, bla, ...
bla, bla, bla, ...
J4aimerai bien discuter un peu avec toi, question sécurité informatique, stp. Je fais comment pour te contacter en privé ?

Recherche jeune femme bien sous tous rapports pour parler sécurité informatique ou tout autre sujet si affinité ... et si on parle pas c'est pas grave !
Contacter le forum qui fera suivre.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#276 Le 10/01/2016, à 14:19

Re : craintes sur la sécurité en général

#277 Le 10/01/2016, à 14:23

Re : craintes sur la sécurité en général

#278 Le 10/01/2016, à 14:30

Re : craintes sur la sécurité en général

#279 Le 10/01/2016, à 14:34

Re : craintes sur la sécurité en général

#280 Le 10/01/2016, à 14:40

Re : craintes sur la sécurité en général

#281 Le 10/01/2016, à 14:42

Re : craintes sur la sécurité en général

#282 Le 10/01/2016, à 14:46

Re : craintes sur la sécurité en général

#283 Le 10/01/2016, à 14:58

Re : craintes sur la sécurité en général

#284 Le 10/01/2016, à 15:12

Re : craintes sur la sécurité en général

#285 Le 10/01/2016, à 15:13

Re : craintes sur la sécurité en général

#286 Le 10/01/2016, à 15:14

Re : craintes sur la sécurité en général

#287 Le 10/01/2016, à 15:27

Re : craintes sur la sécurité en général

#288 Le 10/01/2016, à 15:32

Re : craintes sur la sécurité en général

#289 Le 10/01/2016, à 15:36

Re : craintes sur la sécurité en général

#290 Le 10/01/2016, à 15:43

Re : craintes sur la sécurité en général

#291 Le 10/01/2016, à 15:45

Re : craintes sur la sécurité en général

#292 Le 10/01/2016, à 15:49

Re : craintes sur la sécurité en général

#293 Le 10/01/2016, à 15:58

Re : craintes sur la sécurité en général

#294 Le 10/01/2016, à 16:24

Re : craintes sur la sécurité en général

#295 Le 10/01/2016, à 16:41

Re : craintes sur la sécurité en général

#296 Le 10/01/2016, à 16:49

Re : craintes sur la sécurité en général

#297 Le 10/01/2016, à 17:37

Re : craintes sur la sécurité en général

#298 Le 10/01/2016, à 18:47

Re : craintes sur la sécurité en général

#299 Le 10/01/2016, à 19:40

Re : craintes sur la sécurité en général

#300 Le 10/01/2016, à 22:14

Re : craintes sur la sécurité en général

Pied de page des forums