Salut à tous!
Étant donné que le sujet revient régulièrement sur ce forum sous diverses formes (et que les communautés du libre et de la sécurité informatique se croisent un peu partout, alors pourquoi pas ici), il est temps de mettre tout ça sous un même topic
Mon objectif est de regrouper dans ce sujet:
Les discussions sur l'actualité en sécurité informatique : révélation de grosses failles (qu'elles concernent des produits libres ou non...), innovations, évolution de la législation, etc.
Les débats autour de cette vaste thématique. Ces débats sont généralement liés à d'autres problématiques telles que la vie privée à l'ère du numérique, la liberté de la presse, etc. et c'est tant mieux : ce sont des sujets intéressants, pour ne pas dire importants.
Les questions et demandes d'aide en sécurité informatique. C'est l'occasion pour ceux qui se soucient de la sécurité de leurs données de se renseigner auprès de la communauté sur les bonnes et mauvaises pratiques, et de s'échanger des conseils.
Enfin et surtout, pour l'aspect technique, j'encourage le partage (légal) des ressources d'apprentissage sur ce sujet, du simple lien vers un site d'entrainement, à l'explication détaillée d'un cas concret que vous auriez étudié chez vous, en passant par la masse de MOOCs disponibles.
Comme il s'agit d'un domaine sensible (il y a des opinions, des mœurs et des lois gravitant autour : le cocktail parfait pour une shitstorm), j'insiste sur l'importance des points suivants:
Voilà pour l'intro, j'espère que cette initiative intéressera du monde, car même s'il y a des sites et des forums entièrement consacrés à la sécurité informatique, avoir une ambassade sur les forums généraliste ne peut pas de mal à cette science.
Très bonne initiative !
Merci bien Je passe pratiquement tous les jours sur le forum pour checker que tout va bien mais ça faisait un moment que j'avais pas directement contribué comme ça.
D'ailleurs du coup je vais vous partager un ensemble de ressources que j'utilise (chez moi et dans ma vie pro) pour me tenir au courant / apprendre des choses en sécu info:
Je veux juste commencer par sécuriser mes propres comptes, données, appareils: par où commencer ?
[ https://www.secnumacademie.gouv.fr/ ] : Je n'ai pas encore fini de cours mais il est d'une excellente qualité, et surtout accessible à tous. Si vous vous sentez un petit peu largués (et en danger) concernant la sécurité de votre vie numérique, ça peut vraiment aider.
Les sites d'entrainement / sandboxes / communautés pédagogiques:
Quoi que vous fassiez sur ces sites, n'oubliez pas de bien lire et tenir compte des règles fixées afin de ne pas déborder dans vos expérimentations. C'est une aubaine d'avoir des gens qui conçoivent de véritables environnements d'entrainement (majoritairement gratuits en plus), donc un certain respect est demandé en retour.
Pour la veille sécu :
Allez je m'arrête ici pour ce soir, en espérant que ça aide du monde
Salut, bonne initiative ce topic
Un petit site de challenges assez intéressant : http://pwnable.kr/ (actuellement down cependant). Je l'aime bien vu son design original
Du coup on parle de quoi en sécurité informatique quand on reste sur des infos qui ne mette personne en préjudice ?
Hello! La question est intéressante, c'est vrai que j'ai pas beaucoup précisé ma pensée.
On va prendre le problème à l'envers et donner des exemples de données pouvant porter directement préjudice à des entreprises ou individus:
Même s'il s'agit vraisemblablement d'une négligence de la part de <corporation>, l'éthique voudrait que toute personne découvrant ce genre de faiblesse remonte illico presto l'information à l'administration de l'entreprise. Et encore, ici à mes yeux la loi a déjà été enfreinte, car une personne non-autorisée s'est connectée à un système qui ne lui appartient pas. (je fais référence aux lois françaises, mais c'est le genre de principes de base qu'on retrouve dans à peu près toutes les autres législations)
Même chose à l'échelle de l'individu. Distribuer ce genre d'infos sur un espace public constitue une atteinte sérieuse aux droits de la personne concernée, et ce même si les informations étaient "simples d'accès". Le fait que vous connaissiez le nom, l'adresse et le numéro de téléphone d'un ami ne signifie pas que vous avez la permission de les publier librement sur Internet.
Non, non et re-non. C'est matière à débat dans le domaine de la sécurité informatique, et tout le monde ne va pas dans le sens de la "Responsible disclosure", mais dévoiler des exploits 0-day à la terre entière (et surtout fournir les POC qui vont bien) sans avoir laissé une chance aux concepteurs du système affecté de patcher ladite faille, c'est juste bon pour flanquer l'anarchie et rendre tout le monde perdant. Alors qu'on soit bien clairs: c'est monnaie courante, et il n'est pas exclu que vous tombiez sur des exploits dont la divulgation a été faite à la va-vite en fouillant un peu sur les réseaux sociaux ou les bases d'exploits comme celles que j'ai linkées plus haut. Mais je ne souhaite pas voir ce pattern reproduit ici, et je rappelle que certaines entreprises pincent (fort, en plus) quand elles s'estiment victimes de divulgation irresponsable. Il y en a même qui frappent sous la ceinture en menaçant les chercheurs qui tentent de les avertir intelligemment mais ça c'est un autre problème.
Est-ce que ça signifie qu'on ne peut plus parler de la moindre fuite de données récente, ou du moindre exploit découvert sur nos routeurs Cisco préférés ? Non. Déjà, si vous vous référez à des plateformes cadrées (telles que les CERT de grande envergure), les bugs et failles qui y sont présentés ont normalement déjà été communiqués aux concepteurs des systèmes cible.
Ensuite, ce n'est pas parce qu'une faille n'est pas (ou plus) un 0-day qu'il n'y a rien à dire ni observer à son sujet. Tout à l'heure j'ai parlé de D-Link, j'en profite pour poster un lien vers un blog:
[ http://www.devttys0.com/blog/ ]
Ici on peut retrouver de longues analyses des différentes backdoors ou failles honteuses retrouvées chez D-Link il y a quelques années (et vu leur nature, m'est avis qu'on trouve toujours sur les nouveaux modèles en cherchant un peu, et qu'on en trouvera à l'avenir ).
Tout ça pour dire que si la sécurité informatique était un savoir illicite, on aurait du mal à en faire un métier honnête et reconnu. Il y a des gens dont le métier consiste à concevoir des systèmes sécurisés, d'autres qui ont pour tâche de vérifier la robustesse en la mettant à l'épreuve. La différence avec les bandits, c'est qu'il y a des contrats qui régissent leurs actions, un périmètre d'action normalement bien défini, et qu'un rapport complet est rendu à la fin des analyses.
Sans être aussi bas niveau (au sens informatique du terme) que ces premiers posts, je voudrais savoir si vous aviez des ressources orientées M et Mme Michou ? En effet, début décembre, je vais tenir une conférence avec un ami pour l'association tinternet (https://www.tinternet.net/ ) avec comme sujet « Surveillance de masse : quel avenir pour la vie privée ? ». Parmi les sujets que nous aimerions évoquer, il y a la centralisation des données et j'aimerais amener le sujet par le prisme de la sécurité informatique sans passer par la case "je vous fais peur". Du coup, si vous aviez des ressources / idées qui pourraient m'aider à vulgariser de façon factuelle tout ça, ça m'aiderait