Le 08/12/2017 à 09:51, Julien Escario a écrit :
Bonjour,
Bon, c'est vendredi mais on va peut être gentiment pouvoir arrêter le troll
parce qu'on s'éloigne à vitesse grand V du sujet initial et on se rapproche pas
mal du point Godwin.
Peut être pas quand même, on est bien élevé :)
On fait le tour des poncifs de notre métier : oui, un point de sécu tout seul ne
sert à rien (aka TLS si le mec se connecte à partir d'un poste tout vérolé),
oui, il faut assurer une compatibilité raisonnable avec d'anciennes versions et
ne pas tordre le bras aux clients chaque fois que la
nouvelle-techno-à-la-mode-avec-un-joli-buzzword sort.
Après, chacun voit midi à sa porte concernant ces choix : est-ce la
compatibilité doit être assurée pendant 3 jours, 3 mois, 3 ans ?
Maintenant, qu'on me balance sur une liste qu'il faut encore supporte IE6 sous
XP ou qu'on contraire, il faut bannir tout avant IE10 win8, ben en fait, vous
pissez dans un violon les mecs. C'est pas votre problème puisque vous ne
connaissez pas mon environnement de boulot.
Oui la je pense qu'on est tous d'accord : chacun son environnement,
contraintes, et priorités.
Maintenant, les vérités :
* En 2018, TOUT service doit être dispo en chiffré (forcé ou non, c'est votre
choix).
C'est un choix. Comme je disais parfois cela ne coute pas cher, donc
parfois il n'y a pas de réel raisons objectives de ne pas le faire.
Parfois c'est plus compliqué et je peux comprendre qu'on investisse pas
(encore) de temps la dessus ; et malheureusement sur des parties bien
plus critiques que le sous domaine mail (DNS, BGP).
* Les gens qui traînent des vieilles versions DOIVENT savoir qu'elles prennent
un risque non négligeable.
Comme tous les gens qui utilisent un ordinateur pour communiquer en fait
:) elles prennent juste un peu plus de risque.
Le problème c'est que ce n'est absolument pas quantifiable/quantifié.
Si on prend une analogie foireuse, on pourrait arguer que toutes les
mesures concernant la sécurité routière ont eu un effet bénéfique si on
en croit les chiffres officiels du nombre de morts/accidents.
Sur la sécurité informatique j'aimerais bien avoir des indicateurs qui
m'aiguille sur quelle mesure prendre en priorité, et qu'est ce que cela
a apporté.
Vous avez un nombre de combien d'usurpation d'identité d'une boite mail
a empêché TLS/SSL ? moi non. (après on est bien d'accord cet exemple
précis est pourri parce que cela ne coute rien à faire, la compat
cliente est bonne, donc c'est un peu triste de ne pas le faire).
* C'est AUSSI notre boulot de faire passer la bonne parole.
Quelle est la bonne parole ? :)
Pour moi c'est d'abord l'éducation des utilisateurs et professionnels de
l'outil informatique.
Comment ça marche, qu'est ce que cela implique, quels sont les risques,
et quels sont les bonnes pratiques ?
Anecdote : hier, on était à une formation RIPE sur DNSSEC. Le grand argument,
c'est qu'actuellement, c'est que l'ensemble de la chaîne de confiance est basée
sur UN seul groupe de personnes (7 sous l'égide de l'ICANN dont Vinton Cerf 'le
trouble') au lieu des quelques 700 autorités de certifications reconnues
actuellement.
OK, mais ça me gêne un peu : à aucun moment n'a été évoqué la raison pour
laquelle je devrais faire confiance à ces mecs. La réponse ne tiendrait pas ici
et chacun doit se faire son avis. Ce n'est pas parce que la communauté fait un
truc qu'on est forcément tous d'accord. C'est d'ailleurs le principe des RFCs et
comme ça qu'on a bâti l'informatique et le net en général.
Pareil pour let's encrypt d'ailleurs : chouette projet très utile, mais ne vous
faites pas d'illusion, ça va merder techniquement ou politiquement un jour ou
l'autre.
Autre énorme sujet que les autorités de confiance. Qui décide qui est
de confiance ou pas ?
Google au moins visiblement (voir l'histoire Thawte/Symantec en cours).
Allé, bon trollday à toutes et à tous (je ne perds pas espoir que notre métier
se féminise davantage),
Julien
PUB : on doit avoir une des DT les plus féminines de France , au moins
40% de femmes :)
et nous recrutons encore (femmes, hommes, dev, ops, devops).
--
Raphael Mazelier
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
