[FRnOG] [ALERT] Porte dérobée dans le VPN Juniper/ScreenOS

2015-12-18 Thread Stephane Bortzmeyer 
Pour les rares qui n'ont pas encore vu ça :

http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&cat=SIRT_1&actp=LIST

Je ne sais pas s'il faut blâmer Juniper de laisser son dépôt git en
mode 777, ou les féliciter de leur transparence (peu de boîtes
auraient avoué, même avec l'euphémisme du « unauthorized code »).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Porte dérobée dans le VPN Juniper/ScreenOS

2015-12-18 Thread Phil Regnauld 
Stephane Bortzmeyer (bortzmeyer) writes:
> Pour les rares qui n'ont pas encore vu ça :
> 
> http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
> https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&cat=SIRT_1&actp=LIST
> 
> Je ne sais pas s'il faut blâmer Juniper de laisser son dépôt git en
> mode 777, ou les féliciter de leur transparence (peu de boîtes
> auraient avoué, même avec l'euphémisme du « unauthorized code »).

Le contrat avec la NSA a expiré ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Porte dérobée dans le VPN Juniper/ScreenOS

2015-12-18 Thread David Ponzone 
Ou alors, la NSA a mis 2 backdoor. Juniper en balance une pour donner le 
change, en espérant que personne ne cherche l’autre :)

> Le 18 déc. 2015 à 09:19, Phil Regnauld  a écrit :
> 
> Stephane Bortzmeyer (bortzmeyer) writes:
>> Pour les rares qui n'ont pas encore vu ça :
>> 
>> http://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
>> https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&cat=SIRT_1&actp=LIST
>> 
>> Je ne sais pas s'il faut blâmer Juniper de laisser son dépôt git en
>> mode 777, ou les féliciter de leur transparence (peu de boîtes
>> auraient avoué, même avec l'euphémisme du « unauthorized code »).
> 
>   Le contrat avec la NSA a expiré ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Porte dérobée dans le VPN Juniper/ScreenOS

2015-12-18 Thread Phil Regnauld 
David Ponzone (david.ponzone) writes:
> Ou alors, la NSA a mis 2 backdoor. Juniper en balance une pour donner le 
> change, en espérant que personne ne cherche l’autre :)

En attendant, personne va acheter du NetScreen, pas terrible comme
stratégie :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[ALERT] Re: [FRnOG] [ALERT] Porte dérobée dans le VPN Juniper/ScreenOS

2015-12-18 Thread Radu-Adrian Feurdean 
On Fri, Dec 18, 2015, at 09:25, Phil Regnauld wrote:
> David Ponzone (david.ponzone) writes:
> > Ou alors, la NSA a mis 2 backdoor. Juniper en balance une pour donner le 
> > change, en espérant que personne ne cherche l’autre :)
> 
>   En attendant, personne va acheter du NetScreen, pas terrible comme
>   stratégie :)

Ou alors c'est le EOS non-officiel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] PCI DSS

2015-12-18 Thread Eric ROLLAND 
Bonjour la liste,
Nous recherchons (pour un client) un prestataire hébergement certifié
PCI-DSS.
Merci de vos retours en MP pour communication du CCTP.
Bonnes fêtes à toutes et tous,
Cordialement,
Eric ROLLAND
AS42929 - RE515-RIPE


*Artefact communication interactive* | Bat. Artechnopole - 3 rue des
Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33
SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z |
TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07
Info réseau : @NocArtefact  - NOC
Artewan 

*artefact
*Communication Interactive
www.artefact.fr *artewan*
Opérateur de réseaux et de services
www.artewan.fr   *arteone*
Datacenter, Informatique & Services IT
www.arteone.fr 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] PCI DSS

2015-12-18 Thread Guiot Jp 
Bonjour,

Généralement, le PCI-DSS n'est pas un hébergement livré "clef en main", mais 
relève bien d'une mise en oeuvre effectuée "main dans la main" avec le client. 
De part les contraintes imposées par ce type d'hébergement (environnements 
dédiés, contraintes d'accès (personnes physiques identifiées, 2 factor auth 
global, ...), patch management en association avec la prod, scan wifi 
réguliers, patch management des OS/Softwares, hardening, ...) et les 
contraintes imposées par le standard en lui même : documentation techniques 
tenue à jours en corrélation directe avec les documentations du client en terme 
organisationnelles, workflow de gestion des demandes d'évolutions (ouvertures 
de flux, modification topologiques, ...) avec donneurs d'ordres/testeurs 
identifiés distincts de ceux qui "mettent en oeuvre" et outils de ticketing 
"commun", etc.

Mon propos vise donc à te dire de plutôt rechercher un hébergeur/infogéreur 
connaissant les contraintes PCI-DSS et qui sait ce que c'est de passer la 
certif et de le renouveller chaques années pouvant aller ainsi au dela du 
"simple hébergement", plutôt que de trouver un "hébergeur certifié", qui 
n'existe à ma connaissance pas (de fait!).

Jean-Philippe

Envoyé de mon iPhone

> Le 19 déc. 2015 à 00:23, Eric ROLLAND  a écrit :
> 
> Bonjour la liste,
> Nous recherchons (pour un client) un prestataire hébergement certifié
> PCI-DSS.
> Merci de vos retours en MP pour communication du CCTP.
> Bonnes fêtes à toutes et tous,
> Cordialement,
> Eric ROLLAND
> AS42929 - RE515-RIPE
> 
> 
> *Artefact communication interactive* | Bat. Artechnopole - 3 rue des
> Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33
> SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z |
> TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07
> Info réseau : @NocArtefact  - NOC
> Artewan 
> 
> *artefact
> *Communication Interactive
> www.artefact.fr *artewan*
> Opérateur de réseaux et de services
> www.artewan.fr *arteone*
> Datacenter, Informatique & Services IT
> www.arteone.fr 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Porte dérobée dans le VPN Juniper/ScreenOS

2015-12-18 Thread Michel Py 
> Stephane Bortzmeyer a écrit :
> Je ne sais pas s'il faut blâmer Juniper de laisser son dépôt git en mode 777,

Que veux-tu, ils ne sont pas les seuls à sous-traiter le travail à des 
(censuré) qui écrivent le code avec les pieds et ne comprennent rien à ce 
qu'ils font.

> ou les féliciter de leur transparence (peu de boîtes auraient avoué, même 
> avec l'euphémisme du « unauthorized code »).

Je préfère cette façon. Les conneries en boite des RP, c'est gavant.


Voilà le résultat de nourrir un troll le mardi : quand Stephane nous en sort un 
bon le vendredi, plus personne n'a de croquettes à lui donner.


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Porte dérobée dans le VPN Juniper/ScreenOS

2015-12-18 Thread Jean-Yves Bisiaux 
Le 19 décembre 2015 à 03:56, Michel Py 
a écrit :

> qui écrivent le code avec les pieds et ne comprennent rien à ce qu'ils
> font.
>

Hummm, pas certain. Il y a quand meme pas mal de code pour faire une belle
porte comme celle-ci. Autoriser l'utilisateur, sélection du VPN,
breakout... c'est quand meme du bel ouvrage. Ma main à couper qu'elle a été
développée suivant une spécification fonctionnelle détaillée, un beau plan
de test et meme une campagne de validation bien compléte comme sait le
faire une grand fournisseur comme Juniper ou Volkswagen.

Du reste, ce qui m'étonne plus ce sont les techniques de management de ces
grosses boites pour garder des secrets aussi énormes aussi longtemps. C'est
trés ambitieux quand meme ... ca c'est de la sécurité !

---
Liste de diffusion du FRnOG
http://www.frnog.org/