[FRnOG] [TECH] F5 big ip, vs, load balancing et persistence
Bonsoir la liste, Je recherche des info sur la configuration de F5/big IP, notamment le load balancing et les profils de persistence. Ma problématique est liée au fait que dans mon hypothèse j'ai des VS avant et après le Big IP. Il faut considérer que les applications hébergées ne se prêtent pas à l'usage de cookie hash et j'aimerai éviter l'usage d'iRule. Je suis preneur de toutes idées ou doc et dispo en pv pour des précisions (pour ne pas polluer la liste). Merci, A+ Raphaël --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [Misc] Le pare-feu du geek barbu
Le 14/01/2016 03:47, Pierre Colombier a écrit : > ça équivaut à dire que si je ne ferme pas ma voiture à clé et que > quelqu'un s'en sert de voiture bélier contre une banque, c'est moi le > responsable ??? Bonsoir la liste, Pour répondre : => sur le plan civil : oui. Ton assurance te couvrira et se retournera contre le/les auteurs du délit, sauf s'il y a une faute de ta part. => sur le plan pénal : non, sauf si c'est volontaire (on parle alors de complicité). Ce n'est pas délirant, c'est l'article 1384 du code civil. Bonne soirée, Raphaël --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [RE: [FRnOG] Re: [Misc] Le pare-feu du geek barbu
A partir du moment où il a su que c'était des documents non publics, il aurait du les effacer. Le juge doit appliquer la loi. Il a l'obligation légal de le faire : « Le juge qui refusera de juger, sous prétexte du silence, de l'obscurité ou de l'insuffisance de la loi, pourra être poursuivi comme coupable de déni de justice. » (article 4 du code civil). Celui qui fait la loi s'appelle le législateur : députés et sénateurs. C'est le même législateur qui a proposé cet amendement... http://www.assemblee-nationale.fr/14/amendements/3318/CION_LOIS/CL92.asp A+ Le 16/01/2016 01:18, David Ponzone a écrit : > Je ne comprends pas ce que tu veux dire par « volontairement ». > Tu fais une recherche sur Google, tu cliques sur un lien qui indexe une page > qui ne devrait pas être accessible, et puisque tu ne sais pas encore ce que > c’est, tu n’as pas de raison de ne pas cliquer, et tu as volontairement volé > un document parce que pour un serveur web, le document a été téléchargé ? > Ca serait pas plutôt contre le type ou la boite qui a fait le site web qu’ils > auraient dû se retourner ? > > Je pense qu’il y a incompétence des juges car ils continuent d’appliquer des > lois qui conviennent aux biens matériels aux données immatériels. > > 1) Je passe devant un coffre de banque grand ouvert et il y a une malette à > l’intérieur: > -je peux entrer mais je sais clairement que c’est une porte de coffre > anormalement laissée ouverte > -je peux entrer quand même, prendre la malette, l’examiner et la remettre en > place > Je n’ai pas réellement commis de crime, à part peut-être d’avoir franchi le > seuil du coffre, mais rien de grave. > > 2) Je fais une recherche sur Google, et un lien apparait: > -je n’ai aucunement conscience qu’en cliquant, je rentre dans le coffre > (parce que dans le monde matériel, cela « reviendrait » à dire que j’ai > chez moi un catalogue qui me donne le contenu du coffre de la banque, ce qui > est inimaginable) > -et en cliquant, je rentre dans le coffre ET je vole la malette, puisque > c’est irréversible > > >> Le 16 janv. 2016 à 00:57, Raphaël Stehli <experti...@raphael.stehli.fr> a >> écrit : >> >> Le 14/01/2016 18:16, David Ponzone a écrit : >>> C’est juste hallucinant. >>> Une fois de plus, l’incompétence en la matière des magistrats est flagrante. >>> Y a pas des cours du soir au CNAM ou au 42 ? >>> >> >> >> Non : il s'agit de droit pénal. >> >> Il a volontairement soustrait l'information (élément moral). >> C'est réprimé par le code pénal (article 311-1 et suivant du CP). >> La vraie nouveauté est l'élément matériel : on a considéré que la donnée >> pouvait être volée sans lien avec le support. Mais la décision est >> logique : la donnée peut représente plus que le support. Il y a donc un >> préjudice économique. >> >> Donc non, le revirement de jurisprudence n'est pas de l'incompétence >> mais une décision qui me semble réfléchie et qui va dans le sens logique >> du droit. >> >> A+ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [RE: [FRnOG] Re: [Misc] Le pare-feu du geek barbu
Le 14/01/2016 11:01, Pierre Colombier a écrit : >> Si tu laisses les clés sur le contact de ta bagnole, démerdes-toi avec >> les conséquences. > > Je trouve c'est une erreur trop courante que se confondre causalité > matérielle et responsabilité. > > J'ai récemment lu un bouquin de Stephen King (Mr Mercedes) où ce > problème est posé : Un psychopathe s'empare d'une voiture sans > effraction visible et fonçe sur une foule, faisant beaucoup de morts et > de blessés. Le débat cristalise ensuite sur le fait que la voiture ait > été oui ou non fermée à clé, ce qui changerai la responsabilité de la > propriétaire dans le carnage. Je trouve ça profondément choquant. Je > trouve que moralement, le seul et unique responsable, c'est le taré qui > fonce sur la foule. Point final. > > > Essayez d'envisager que ça vous arrive, que vous soyez dans l'incapacité > de prouver que vous aviez bien fermé à clé et qu'on vous tienne pour > responsable d'un massacre... > Je trouve ça profondément injuste et terrifiant. > > Après, si la loi dis que... > Il ne faut pas confondre pénal et civil. Civilement, la responsabilité du propriétaire de la voiture est engagée. Après, la question de la faute du propriétaire est uniquement liée sur la question CIVILE. Pénalement, elle ne l'est pas. A+ Raphaël --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [Misc] Le pare-feu du geek barbu
Le 12/01/2016 02:08, frnog.kap...@antichef.net a écrit : > Ce petit cours est bien gentil et merci d'avoir pris de ton temps pour > l'écrire, mais le sujet ici c'est la question de la possibilité d'application > du droit civil à un cas relevant du défaut de sécurisation. D'après Sylvain > l'article 1384 s'applique et il ne voit pas comment il ne pourrait pas > s'appliquer. D'après Édouard il ne pourrait pas s'appliquer. > Peux tu nous en dire plus là dessus ? Sur un plan civil : La victime se retourne contre le titulaire de la ligne. Deux possibilités : le titulaire est propriétaire du MoDem ou ne l'est pas. S'il l'est, pas de soucis. S'il ne l'est pas (exemple de mise à dispo d'une Box), il faut regarder s'il est gardien ou non. En effet, comme le FAI contrôle la box (le titulaire de l'abonnement n'a accès qu'à une interface). Il convient de rappeler qu'il existe une présomption de garde pese sur l'utilisateur, lorsque le propriétaire de la chose, instrument du dommage, reste indéterminé: V. ● Civ. 2e, 28 nov. 2002 La cour de Cassation a déjà rappelé que "Celui qui exerce sur une chose les pouvoirs d'usage, de direction et de contrôle conserve la qualité de gardien, même s'il n'est pas en mesure d'exercer correctement lesdits pouvoirs (démence)". ● Civ. 2e, 30 juin 1966: Bull. civ. II, no 720. ou en retenant qu'un enfant avait l'usage, la direction et le contrôle d'une chose, les juges du fond n'avaient pas, malgré le très jeune âge de ce mineur, à rechercher si celui-ci avait un discernement. ● Cass. , ass. plén., 9 mai 1984. Sur l'absence de connaissances techniques : L'existence d'un lien de préposition n'implique pas nécessairement chez le commettant les connaissances techniques pour pouvoir donner des ordres avec compétence. Le propriétaire d'un arbre et de la tronçonneuse utilisée pour son abattage, qui donnait des directives à la personne qui coupait l'arbre, était, au moment de l'accident, le commettant de cette personne et était resté gardien de la chose instrument du dommage. ● Civ. 2e, 11 oct. 1989: Bull. civ. II, no 175. Donc, si A est victime de B (ou de sa chose), il se retourne vers lui. Ensuite, le juge cherchera si B est gardien ou non. Si oui, il sera responsable, si non, on désignera le bon. Après, se pose la question de savoir si la responsabilité est partagée ou non. Et ça, ça dépendra de la compétence de celui qui présente le dossier. Cordialement, Raphaël --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [Misc] Le pare-feu du geek barbu
> Bonjour Raphaël, > > merci de ton intervention, si tu as les connaissances juridiques n'hésite pas > à les partager avec nous. Je t'en serais reconnaissant à la fois pour ma > culture personnelle et ça me sera utile quand je dois répondre aux > questionnements des abonnés. > > Si c'est juste pour ajouter du bruit dans la discussion, comme tu viens de le > faire je pense que tu peux t'abstenir. Quitte à prendre de ton temps pour > intervenir, pourquoi ne pas faire en sorte que ça apporte quelque chose ? > > Mes quelques maigres connaissances juridiques, je les ai acquises sur le tas > par la force des choses, et comme je ne suis pas juriste et ne compte pas > retourner aux études pour le devenir, il ne semble pas idiots d'échanger sur > le sujet avec d'autres personnes impliquées dans le même domaine > professionnel > pour essayer d'y voir plus clair dans le flou juridique actuel. > > Cordialement > Bonjour la liste, Pour faire très très simple, il y a quatre grands types de droit privé : - le droit civil : deux personnes privées qui s'opposent en raison d'un différend, - le droit pénal : la société (ou une personne privée, mais c'est plus rare) qui estime qu'une personne (physique ou morale, sauf l'Etat), a commis une violation du droit pénal et qui demande au juge une sanction, - le droit commercial : deux personnes commerçantes ou assimilées s'opposent entre elles sur un champ commercial, - le droit social : litige employé/employeur, la contestation de certains actes de sécurité sociale, etc. et du droit public - une personne ou une administration c/ une décision de l'administration ou d'une personne ayant délégation de l'administration (mais pas toujours...) Dans chacun des cas, les règles de droit, de procédure, de charge de la preuve, de doctrine, de tout, divergent. Des fois, en fonction du domaine, il peut y avoir différentes positions (ex : la chambre 1 et 2 de la cour de cassation s'affrontent). Ensuite, chaque Tribunal juge en l'espèce, c'est à dire en fonction des faits. Si on parle de l'article 1382 et s du Code civil, on est en droit civil, et de ce que l'on appelle la responsabilité délictuelle (précision, rien à voir avec un délit pénal, mais c'est le terme). Il peut y avoir une responsabilité contractuelle : en cas de non respect de l'exécution d'un contrat. Les deux sont incompatibles. Il y a trois éléments à rechercher dans la RD : l'existence d'un fait, un dommage et un lien entre les deux. Au niveau pénal, pour qu'une infraction soit caractérisée, il faut que trois éléments soit réunis : un élément moral (vouloir commettre une infraction ou n'avoir pas, volontairement, respecté une obligation), l’élément matériel (avoir commis les élément constitutif) et un élément légal (que l'infraction existe dans le droit positif). Il est précisé qu'en matière de contravention, l'élément moral n'est pas nécessaire. En gros : - si le FAI n'a pas respecté une obligation contractuelle => on part sur la RC : article 1134 du CC. Il faut regarder les CGU et regarder qu'elles ne soit pas contraire à l'ordre pub ou au bonnes moeurs. - si ce n'est pas le cas : on est en RD, article 1382 et s. du CC Ensuite, que se passe-t-il ? qui ? et quand ? Bref, on ne peut que difficilement tirer une généralité. Je précise que tout ce que j'ai dit ci-dessous est très général et très simpliste. A+ Raphaël --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Bonsoir la liste, Je lis ces échanges depuis le début. C'était assez récréatif. On dirait par moment Perceval et Karadoc avec du céleri. Par contre, sur le delirium juridique, je pense qu'il faudrait que vous vous arrêtiez là, sauf si vous voulez transformer la liste en équivalent de doctissimo, version juridique. Bonne soirée, Raphaël Le 07/01/2016 19:31, frnog.kap...@antichef.net a écrit : > On jeudi 7 janvier 2016 11:26:26 CET Sylvain Vallerot - sylv...@gixe.net > wrote: >> On 07/01/2016 10:38, frnog.kap...@antichef.net wrote: >>> On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot - >>> sylv...@gixe.net >>> >>> wrote: >>>> On 06/01/2016 13:19, David Ponzone wrote: >>>>>> je vois pas comment l'article 1384 pourrait s'appliquer ici. >>>> >>>> A l'inverse je ne vois pas pourquoi il ne pourrait pas... >>>> (sans porter de jugement sur la pertinence éthique de le faire ou non) >>> >>> Par curiosité explique nous quand, comment et pourquoi il pourrait >>> s'appliquer selon toi. >> >> Je ne ferai probablement pas mieux que ça : >> https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_des_choses_en_droi >> t_civil_fran%C3%A7ais >> >> Notamment : le garde/gardien de la chose (notion centrale), présumé tel sauf >> quelques cas prévu (comme le fait de démontrer qu'un tiers s'est emparé de >> l'usage), impliqué dans le comportement de la chose (fonctionnement non >> sécurisé) donc responsable du dommage causé. > > Il va falloir m'excuser, mais ça reste très flou pour moi. Une simple > référence à un passage de l'article wikipédia, que j'avais lu intégralement > avant de poser ma question, ne m'aide pas à y voir plus clair > > Pourrais tu préciser un peu plus ? > > Pour commencer, de quel dommage parle t'on qui puisse faire jouer la > responsabilité civile ? Ensuite quelle chose parle t'on ? Le titulaire de la > connexion a t'il l’usage, la direction et le contrôle de cette chose au > moment des faits incriminés ? > > >> Intéressant : la notion de culpabilité ne semble même pas évoquée dans cette >> page. > > Je ne suis pas juriste alors je vais probablement dire une énormité, mais la > culpabilité n'est elle pas une notion de droit pénal ? > >> Mais aussi un élément intéressant ici c'est le cas du défaut intrinsèque à >> la chose, je pense à un routeur qui se fait trouer, et où la responsabilité >> peut devenir celle du fabricant. Idem peut-être pour le bug exploité. Dans >> ces cas les clauses contractuelles et les licences logicielles peuvent >> peut-être jouer (je pense aux licences libres qui disent "utiliser à vos >> risques et périls"). >> >> Cordialement, >> Sylvain >> >> -- >> Gixe - Association 1901 - conseil, hébergement, opérateur pour tous >> SIREN 450 404 769- http://www.gixe.net-cont...@gixe.net >> venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868 >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Raphaël Stehli Expert judiciaire en informatique, Chargé d'enseignement à l'Université de Strasbourg, Lieutenant (RC)(T) - Etat Major des Armées / Réserve Cyberdéfense --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Impossible de tirer une ligne xDSL dans nos nouveaux locaux, communs inaccessibles
Bonsoir la liste, J'ai eu un problème similaire il y a quelques semaines : la tête de ligne FT se trouve dans l'immeuble d'à coté. Lors de travaux, le propriétaire à couper les câbles de la ligne (qui n'était plus utilisée). Quand il a fallu réactiver la ligne, ce fut la surprise. Coup de bol, la porte était ouverte et le boitier était dans une cour. Un câble a pu être tiré le long de la façade. Pour le cas du voisin du 2e : existe-t-il une servitude ? Dans certains cas, il se peut qu'au moment de l'allotissement, une clause de passage de câble ait pu être ajoutée. S'il s'agit d'une location avec une propriétaire unique, il faut s'adresser à lui : les locataires ne pourront pas s'y opposer. S'il s'agissait de la fibre, ça serait plus facile : le décret 2009-53 indique la procédure : http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT20099725=id Cordialement, Raphaël Le 09/10/2015 01:03, David Ponzone a écrit : > Si la négo est impossible avec Eiffage, il reste: > -le tribunal > -demander à un câbleur de tirer du cuivre et la fibre depuis le local > technique où Orange et Cie vont livrer (RDC ou sous-sol j’imagine) vers tes > bureaux, en passant ailleurs que par les communs (par dehors contre le mur > par exemple). Evidemment, va falloir l’accord de l’exploitant de l’immeuble, > mais s’il laisse pas faire, il va avoir du mal à louer son étage à quiconque > > Ca parait délirant comme situation en tout cas. > > Le 9 oct. 2015 à 00:11, Adrien Rouaix <cont...@sparkeek.net> a écrit : > >> >> >> Le truc c'est qu'on a une fibre completel qui arrive d'ici 13 à 14 >> semaines ... >> >> Le 2015-10-08 23:28, Adrien Rouaix a écrit : >> >>> Bonsoir à tous, >>> >>> Après avoir fraichement emménagé dans nos nouveaux locaux, nous nous >>> sommes intéressés à l'installation d'une ligne internet (cuivre). >>> >>> Problème, nos locaux étant auparavant relié à l'étage du dessous, il n'y >>> a donc que des goulottes avec des prises réseaux non brassées et >>> >>> aucune prise téléphonique... >>> >>> Et c'est la que les problèmes commencent, pour débuter un petit état des >>> lieux. >>> >>> Nos locaux sont situé au 3ème étages d'un immeuble récent, divisé en 3 >>> paliers, 2 entreprises et nous-mêmes, à cet étages les communs ou >>> >>> passe les différentes fibres , installation électrique et cuivré sont >>> accessibles. >>> >>> Ce n'est cependant pas du tous le cas au deuxièmes étages, en effet, nos >>> voisins de chez Eiffage ont récemment acquit l'intégralité du deuxième >>> >>> étage, et par intégralité j'entends les 3 plateaux PLUS les communs ! >>> Une porte vitrée nous empêche l'accès aux communs et les responsables >>> sur place >>> >>> ne sont absolument pas coopératif. >>> >>> Nous avons dépéché un technicien orange pour un audit de l'immeuble afin >>> de connaitre les solutions qui nous été proposée pour toute installation >>> >>> internet, pour ce faire le technicien été obligé d'acceder au commun du >>> second, il s'est gentiment fait renvoyé ! >>> >>> Je ne vois aucun moyen de cabler nos locaux sans passer par les communs >>> du second ... >>> >>> Quelqu'un aurait il déjà rencontré ce genre de problème ? Toutes aides >>> sera la bienvenue ! >>> >>> Bien Cordialement ! >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ [1] >> >> >> >> Links: >> -- >> [1] http://www.frnog.org/ >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Raphaël Stehli Expert judiciaire en informatique, Chargé d'enseignement à l'Université de Strasbourg, Lieutenant (RC)(T) - Etat Major des Armées / Réserve Cyberdéfense smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [MISC] Harcèlement téléphonique Completel
Bonjour la liste, Bonjour Guillaume, Le commissariat t'a mal renseigné : en tant que professionnel, ils ne peuvent rien faire et ça relève du juge commercial. Par contre, en tant que particulier, ils doivent recevoir la plainte sur la base de l'article 222-16 du code pénal : http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI06417656=LEGITEXT06070719 Par contre, il faudra que te indique dans ta plainte en quoi les appels sont malveillants, réitérés et en quoi ils troublent ta tranquillité. La jrsp parle de 200 ou 300 numéros au cours de trois demis journée (Crim 25 octobre 2000). S'ils refusent, tu peux écrire au procureur de la République près le TGI territorialement compétent. A+ Raphaël Le 05/10/2015 10:52, Guillaume Hilt a écrit : > En tant que particulier, le commissariat m'a répondu que ce n'était pas > de leur ressort et que je devais directement porter plainte au civil. > > Si ça tombait sur mon téléphone pro, j'aurais pu blacklister le numéro > depuis longtemps, mais cette possibilité n'existe pas chez NC. > Faudrait voir à pas trop leur en demander, déjà qu'ipv6 est un concept inco smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [MISC] Harcèlement téléphonique Completel
On parle de la jrsp de la Cour de Cassation, pas du TGI de Moulinsart. Un autre arrêt de la crim du 4 mars 2003 insiste sur l'élément moral de l'infraction, à savoir le désir de nuire. On trouve jrsp du TGI de Pau qui parle de 300 appels en moins de deux mois, sinon rien au Dalloz (et je ne vais pas passer en revue les arrêts inédits...). En gros, il y a de très fortes chance pour que le parquet classe sans suite par opportunité. Il peut éventuellement faire auditionner les responsables de la société, ce qui les calmera sans doute. A+ Raphaël Le 06/10/2015 00:58, Ludovic LACOSTE a écrit : > 200 ou 300 numéros au cours de trois demis journée (Crim 25 octobre 2000). > On est un peu loin du 222-16, en fait la loi dit ceci (et c'est par ailleurs > souvent indiqué à l'entrée de votre commissariat qui en a fixé les limites) > L'objectif est au mieux d'importuner une personne, au pire de la > déstabiliser par ces nuisances/ > > 1°- Les sms répétitifs et en grande quantité > > Souvent la procédure portera le nombre de messages reçus sur la période > déterminée, délimitant les faits de la poursuite ( ex 15 messages la nuit et > de 20 à 30 appels le jour...). > > Dura lex, sed lex ... Et la jurisprudence n'est pas loi, et une unique > jurisprudence ne fait pas loi. > > Ludovic LACOSTE > > -Message d'origine- > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de > Raphaël Stehli > Envoyé : mardi 6 octobre 2015 00:29 > À : frnog@frnog.org > Objet : Re: [FRnOG] [MISC] Harcèlement téléphonique Completel > > Bonjour la liste, > Bonjour Guillaume, > > Le commissariat t'a mal renseigné : en tant que professionnel, ils ne > peuvent rien faire et ça relève du juge commercial. > > Par contre, en tant que particulier, ils doivent recevoir la plainte sur > la base de l'article 222-16 du code pénal : > http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI064 > 17656=LEGITEXT06070719 > > Par contre, il faudra que te indique dans ta plainte en quoi les appels > sont malveillants, réitérés et en quoi ils troublent ta tranquillité. La > jrsp parle de 200 ou 300 numéros au cours de trois demis journée (Crim > 25 octobre 2000). > > S'ils refusent, tu peux écrire au procureur de la République près le TGI > territorialement compétent. > > A+ > Raphaël > > Le 05/10/2015 10:52, Guillaume Hilt a écrit : >> En tant que particulier, le commissariat m'a répondu que ce n'était pas >> de leur ressort et que je devais directement porter plainte au civil. >> >> Si ça tombait sur mon téléphone pro, j'aurais pu blacklister le numéro >> depuis longtemps, mais cette possibilité n'existe pas chez NC. >> Faudrait voir à pas trop leur en demander, déjà qu'ipv6 est un concept > inco > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Raphaël Stehli Expert judiciaire en informatique, Chargé d'enseignement à l'Université de Strasbourg, Lieutenant (RC)(T) - Etat Major des Armées / Réserve Cyberdéfense smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [ALERT] Banques CIC et CM HS ?
Bonjour, Depuis 15H15 : tous les sites de tout le groupe (DNA, etc.) http://www.rue89strasbourg.com/index.php/2015/07/20/breve/bug-au-credit-mutuel-tous-les-sites-du-groupe-inaccessibles/ A+ Raphaël Le 20/07/2015 16:29, Pierre DOLIDON a écrit : Bonjour ce n'est que moi ou, http://creditmutuel.fr/ : HS https://www.cmcicpaiement.fr/ : HS https://www.cmcicpaiement.fr/ : HS et donc par extension les serveurs de paiement des TPE électroniques https://ssl.paiement.cic-banques.fr/paiement.cgi : HS aussi any news ? a priori ils auraient planifié une mise a jour chez eux (dixit l'un de mes clients) et le standard téléphonique desdites banques a explosé... Pierre. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] On en parle ?
Le 19/03/2015 19:54, Christophe a écrit : Le 19/03/2015 19:44, Raphaël Stehli a écrit : Ne pas coopérer à une réquisition est une infraction pénale. Trahir son pays par contre ne l'est plus depuis la suppression du crime de haute trahison par Sarkozy. Cordialement, Je ne vais pas polluer la liste avec du droit : la haute trahison n'a jamais été un crime mais une définition constitutionnelle permettant de destituer le président de la République. La trahison, si : art 411-4 et 411-5 du code pénal. On pourra même remarquer que c'est le seul cas où l'on parle de détention criminelle, alors que pour le droit commun, il s'agit de réclusion criminelle. Le 19/03/2015 19:54, Laurent Cheylus a écrit : Et pour rappel, le 49-3 est un fusil à un coup : on ne peut l'utiliser qu'une seule fois par session parlementaire. Uniquement depuis 2008, avant, c'était sans limite. Le 19/03/2015 19:53, David Ponzone a écrit : Oui mais tu peux facturer l’acte du montant qui te semble justifié non ? Quand tu es une petite structure, le coût est ENORME :) Je dis p-e une connerie, mais il me semble que le montant est fixé par décret. Sinon, il vaut mieux parler de 49 al 3 que de 49-3. A+ Raphaël --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] On en parle ?
Le 19/03/2015 19:17, Christophe a écrit : Le 19/03/2015 19:12, Alarig Le Lay a écrit : « La démocratie est le pire système de gouvernement, à l’exception de tous les autres qui ont pu être expérimentés dans l’histoire. » – Winston Churchill Churchill c'est un observateur neutre dans l'histoire ? Alors il faut bien faire ce que l’on peut avec ce que l’on a. Ah bon, on a la démocratie ? Pourquoi le 49-3 alors ? Cordialement, Bonjour la liste, Pourquoi le 49 al 3 ? Le fruit de l'histoire : la prédominance du législateur de la IIIe République a été considérée comme la responsable de la guerre. L'instabilité des cabinets de la IVe ne voulait être répétée. Pour cela, dans la Ve, le constituant a tout fait pour que le législateur reste dans son pré carré : le règlement est devenu le principe (art 37) et la loi l'exception (art 34). Quand bien même, il est possible au gouvernement d'empiéter dans le domaine de la loi (art 38). L'inverse a été jusqu'en 1982 un motif d’inconstitutionnalité. Si l'Assemblée résiste, il existe beaucoup de mesure pour les contourner (art 49 et suivants). Enfin, en cas d'urgence le président de la République peut s'attribuer les pleins pouvoirs (art 16). Néanmoins, il y a eu une évolution avec la jrsp du Conseil constitutionnel et la révision de 2008 qui permettent au Parlement d'avoir un peu plus de prérogatives. A+ Raphaël smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [MISC] On en parle ?
Le 19/03/2015 19:43, Christophe a écrit : Le 19/03/2015 19:26, Josselin Lecocq a écrit : Et je suis horrifié par l'utilisation de l'argument terroriste pour justifier des mesures que ces politiciens voulaient faire passer depuis bien longtemps. Je suis encore plus horrifié par le fait que la majorité des français approuve bêtement, à cause de ce sentiment de peur qu'on a insidieusement provoqué en eux. Et pourtant, nous aurions la possibilité, A NOUS SEULS, de faire capoter tout ça. Obtempérer serait une violation de la déontologie de notre métier. Pas besoin d'écrire à un député pour ça. Il suffit de refuser. Quitte à perdre son poste s'il le faut. Nous savons tous ici que nous au moins, nous avons la possibilité de nous recaser. Cordialement, Christophe Le principe reste que la loi doit être respectée. La déontologie reste un principe de droit souple qui ne s'applique pas face à la loi. Ne pas coopérer à une réquisition est une infraction pénale. A+ Raphaël --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Bonjour, Il y avait eu une tentative de mettre en place une CNIe. Le Conseil Constitutionnel l'avait déclarée contraire à la Constitution au motif que la loi n'était pas assez protectrice de la vie privée (qui est un principe à valeur constitutionnelle (CC 18/01/1995)): 14. Considérant que l'article 3, d'une part, permet que la carte nationale d'identité comprenne des « fonctions électroniques » permettant à son titulaire de s'identifier sur les réseaux de communication électroniques et de mettre en oeuvre sa signature électronique et, d'autre part, garantit le caractère facultatif de ces fonctions ; que les dispositions de l'article 3 ne précisent ni la nature des « données » au moyen desquelles ces fonctions peuvent être mises en oeuvre ni les garanties assurant l'intégrité et la confidentialité de ces données ; qu'elles ne définissent pas davantage les conditions dans lesquelles s'opère l'authentification des personnes mettant en oeuvre ces fonctions, notamment lorsqu'elles sont mineures ou bénéficient d'une mesure de protection juridique ; que, par suite, le législateur a méconnu l'étendue de sa compétence ; qu'il en résulte que l'article 3 doit être déclaré contraire à la Constitution ; http://www.conseil-constitutionnel.fr/decision/2012/2012-652-dc/decision-n-2012-652-dc-du-22-mars-2012.105165.html Le communiqué de presse est également intéressant : http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2012/2012-652-dc/communique-de-presse.105166.html Voir également le rapport annuel du Conseil d'Etat au sujet du numérique et des droits fondamentaux : http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/144000541/.pdf Cordialement, Raphaël Le 16/01/2015 16:14, Wallace a écrit : Le 16/01/2015 16:02, David Ponzone a écrit : Le certificat personnel, j’y croirai quand il sera stocké sur un truc fiable qu’on a toujours sur soi (CNI, CB, …) et transmis au PC en NFC ou autre. Ce jour là j'arrêterais les certificats alors. Un objet fiable qu'on a sur soit oui mais où j'ai totalement le contrôle sinon non. Ma CB ou CNI c'est juste noway. Par contre que ça reste sur mes ordis où tous les disques sont chiffrés ça me pose pas de soucis. On l'utilise en interne pour accéder à des interfaces propres aux employés, tout le monde adore car plus de mot de passe à retenir / copier-coller. Révoquer un accès c'est juste super pratique pour le faire sur plusieurs interfaces en même temps. Par contre sur nos téléphones pour le moment on ne franchit pas le pas car on a pas entièrement la main dessus et les navigateurs mobiles aiment pas notre autorité de certification privée. L’usine à gaz que c’est aujourd’hui, surtout en cas de changement d’ordinateur, ce qui dans le cas du Grand Public est rarement un évènement qui a été souhaité mais plutôt un mauvais moment à passer. La priorité du Grand Public, c’est généralement de se lamenter sur les 47654 photos des enfants qui ont été perdus dans le crash de l’ancien PC, et pas trop de savoir comment on migre le certificat. Le coup des photos c'est malheureux mais faut que tout le monde y passe pour qu'il accepte les conseils de sauvegarde. Après que ça soit photo / doc super important / certificat / whatelse de valeur le restaurer n'est pas plus compliqué que de double clic dessus (en tout cas avec Firefox, j'ai pas testé les autres). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] NSA
Bonjour la liste, Sans vouloir troller outre mesure, mais je ne comprends pas le débat : on apprend avec surprise et stupeur que des services d'espionnage espionnent ? Une entreprise américaine/chinoise est soumise aux lois américaines/chinoises et si cette/ces loi/s les oblige/nt à installer un mouchard ou à corrompre le code du matériel qu'elle exporte, elle doit s'y soumettre. En France, il y a également une règlementation pour tout ce qui est chiffrement : http://www.ssi.gouv.fr/fr/reglementation-ssi/cryptologie/tableau-de-synthese-de-reglementation-en-matiere-de-cryptologie.html Précision : je ne sous entends pas que c'est mouchardé, mais simplement que la loi prévoit un régime d'autorisation ! Un autre pays peut prévoir d'autres lois. Il y a différentes possibilités : - se faire plaisir et réécrire tous les firmwares de tous le matériel que l'on achète (bios et UEFI inclus) puis les charger, - n'acheter que français / UE, - n'acheter que du matériel certifié par l'ANSSI : http://www.ssi.gouv.fr/fr/certification-qualification/, - chiffrer tous les flux (pas top, mais ça réduit) Avec, dans le cas 1, la nécessité de ne pas se planter, Avec, dans les cas 2 et 3, la nécessité de faire confiance au fabriquant français ou à l'ANSSI et aux centres, Avec, dans le cas 4, la nécessité de croire en la robustesse des algo mathématiques et des normes de chiffrement, A+ Raphaël Le 19/05/2014 15:39, Nathan Anthonypillai a écrit : Bonjour, Tout d'abord : on s'en fout de ce genre de mail ça ne fait que polluer la liste . Merci beaucoup de parler au nom de toute la liste. C'est très gentil. Le 19 mai 2014 14:17, thomas.lorenz...@orange.fr a écrit : Je n'y crois plus. On a l'impression que Snowden connait tous les secrets de la NSA alors qu'il n'était que sysAdmin. Il balance les infos au compte gouttes, sans raisons... Les faits comme ils sont relatés par les principaux acteurs : il a confié une quantité astronomique de documents à certains journalistes (dont Glenn Greenwald). Explications de sa démarche (de l'intéressé lui même) : doutant de son propre jugement quand à son aptitude a estimer tel ou tel information / document comme étant publiable, il a préféré confié cette tâche à des professionnels dont c'est le métier : le journaliste (on a tendance à l'oublier, mais tout comme il y a encore des policier pour traquer et arrêter des criminels et des médecins pour traquer les maladies et les éradiquer/soigner, il y a encore des journalistes pour traquer, traiter, et publier des informations dans ce bas monde). Donc oui, les journalistes en possession des informations, publient au compte goûte. Mon avis sur le sujet : ils ont bien raison ces journalistes, parce que bon, c'est intéressant une, voire deux semaines au grand max, mais y'a plus important dans la vie des français/humains quand même (TF1, les polémiques PS - UMP, The Voice, Pekin Express, Koh Lanta, Top Chef, j'en passe et des meilleurs). Je doute vraiement... Douter vraiment sans se renseigner au préalable, c'est bien dommage. Des petits liens au passage : https://firstlook.org/theintercept/ (pour les anglophones) et http://reflets.info/ (pour les allergiques à la langue de Shakespeare). Overkill : parce que l'IETF a quand même sortie une RFC en réponse à ce fait divers (https://www.rfc-editor.org/rfc/rfc7258.txt http://www.bortzmeyer.org/7258.html). Mais bon après tout, Elvis, Jim, Micheal et les autres se cachent sur une île, on a jamais mis les pieds sur la Lune, et le complot judéo-maçonnique nous pend sous le nez. Je dis ça je dis rien. Bien cordialement, Un troll poilu Thomas Message du 19/05/14 11:32 De : Clarinettet A : fatiha boudj Copie à : frnog@frnog.org Objet : Re: [FRnOG] [MISC] NSA La NSA liege les routers americains et accuse les chinois de Pieger leurs routeurs. La realite j'ai bien peur que tous espionnent. Peut-etre que comme le dit Bernard Kouchner, les francais not moins de moyens de le faire. Comment SE fait-il que le email server du mechant Huawei que le FBI demande aux americains de ne pas travailler avec est justement sur le sol americain? TT Sent from my iPad On 19 May 2014, at 10:22, fatiha boudj wrote: PI http://www.numerama.com/magazine/29353-la-nsa-accusee-d-avoir-piege-les-routeurs-americains.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [MISC] NSA
Le 19/05/2014 17:43, Garreau, Alexandre a écrit : Le 19/05/2014 à 16h11, Raphaël Stehli a écrit : Sans vouloir troller outre mesure, Oui parce que tu commence fort avec une signature S/MIME sur un sujet parlant de la surveillance/corruption mise en œuvre par la NSA, signature incorrecte qui plus est… la NSA aurait-elle eu la flemme de corrompre le CA incriminé ?/troll La règle de désactivation de la S/MIME pour FRnOG ne passe pas. Je n'ai pas fais gaffe. Toutes mes excuses. mais je ne comprends pas le débat : on apprend avec surprise et stupeur que des services d'espionnage espionnent ? Non, juste encore *un* qui *apprend* une *nouvelle* façon de faire, à savoir la corruption des routeurs et les luttes de g angs^W ouvernements à ce propos, quand on sait que l’aspect le plus médiatisé (et le plus important à mon sens, car — outre le fait qu’il se base sur une situation qui relève plus de l’entrave aux libertés que de la pure surveillance apparemment inoffensive de façon directe et en premier lieu — il nécessite une véritable éducation et réappropriation de la part d’un public qui doit sortir de la logique de consommateur passif minitellien), c’est-à-dire PRISM, pas les routeurs. Et ayant vu plusieurs articles à ce sujet précis récemment, un nouvel élément d’importance significative a dû être publié sur le sujet ; élément qui sur la présente liste peut toujours avoir un potentiel intérêt. La NSA espionne tout ce quelle peut espionner. Elle met des trous partout où elle peut. Les câbles sont surveillés. Les satellites le sont aussi. Une entreprise américaine/chinoise est soumise aux lois américaines/chinoises et si cette/ces loi/s les oblige/nt à installer un mouchard ou à corrompre le code du matériel qu'elle exporte, elle doit s'y soumettre. Oui et la morale dans tout ça???^W^W^W^W^W^W il est établi que la question de l’affaire n’est pas l’aspect législatif (sauf peut-être quant au niveau de corruption de la démarche démocratique dans pas mal de procédés de légiférations secrètes aux intérêts douteux) mais les conséquences sociales, techniques et politiques directes que cela engendre, avec les implications que l’on se doit de tenter d’en tirer et les réactions/solutions/discussions qu’il convient d’avoir. Les services secrets ont des missions et les exécutent. Ce débat porte sur l'existence même des services secrets. Il y a différentes possibilités : - se faire plaisir et réécrire tous les firmwares de tous le matériel que l'on achète (bios et UEFI inclus) puis les charger, Avec […] la nécessité de ne pas se planter, Intéressant, à la GNU « recodons tout et p’is c’est tout », mais « les charger » reste la partie problématique : est-ce bien toujours possible ? et quand aux backdoors figées, invisibles et immuables cachées au sein de véritables boîtes noires ? Le consommateur a le choix d'acheter du matériel qui lui permette de le faire. S'il n'y a pas de demande, il n'y aura pas d'offre. Churchill avait bien dit qu'il ne croyait qu'aux stat qui à lui même trafiquées. De mon coté, je ne crois qu'au matériel dans lequel j'ai mis mon nez, piégé ou testé. Et si je n'y arrive pas, je n'achète plus. - n'acheter que français / UE, On se fait toujours surveiller par la DCRI/DGSE (je confond tout le temps, appelons-les « services secrets français » pour être clair, voir « barbouzes » pour faire plus court), et celle-ci ayant un véritable pouvoir d’action là où l’on vit… c’est comme quand je préfère n’avoir que des portes dérobées chinoises posées à la conception puis reposées à la fonte dans mon matos plutôt que des portes dérobées étasuniennes (gouvernement trop hégémonique sur le plan politique/moral à mon goût) ET des portes dérobées chinoises (gouvernement qui a peut-être moins de chances de me faire du mal dans le cadre de la si souvent citée « troisième cyber-guerre mondiale » par des mass media de niveau affligeant, que le gouvernement étasunien dans l’optique de « se faire les gendarmes du monde » comme on aime bien le dire (on est pas tellement mieux ailleurs)). - n'acheter que du matériel certifié par l'ANSSI : http://www.ssi.gouv.fr/fr/certification-qualification/, Vu le nombre de nouveaux projets dévoilées chaque jours, je trouverais extrêmement étonnant qu’on puisse faire confiance à un seul échantillon de matériel sur cette planète… N’y-a-t-il pas déjà longtemps que touts les gouvernements se sont empressés d’envahir le secteur électroniques de leurs localités avec divers programmes secrets dont la mise au jour afflue plus qu(e le nombre de seeds d)’un torrent ? Peut-on vraiment encore faire confiance à une chaîne de production ? à son PDG ? à chacun de ses ouvriers (si bien traités qu’on ne pourrait les corrompre, hein :}) ? aux concepteurs, aux directeurs ? aux fondeurs ? Chaque individu impliqué dans ces procédés plus que longs et coûteux peut faire tomber toute la confiance en la chaîne, la résistance de celle
Re: [FRnOG] [MISC] Pirate ou Arnaque
Bonjour, Autre système : trouver une vidéo pour adultes, la mettre assez fort pour que le correspondant l'entende et lui demander comment il/elle est habillé. Après cela, les appels cessent. A+ Raphaël Le 12/05/2014 07:49, David Ponzone a écrit : Il y a aussi la technique consistant à répondre en parlant une langue complètement inventée. Faut vraiment pas avoir de bol pour qu’ils trouvent un agent qui parle la même langue :) Le 11 mai 2014 à 23:18, m3g4g0lG0t|-| megagolg...@altern.org a écrit : Bonsoir, J'ai la technique suivante, qui m'a permis de bien faire baisser le nombre d'appel de telemarketing : - Allo? Oui bonjour, Sylvain/Crissina/etc... de machin-truc sondage/finance/piscine, est-ce que je peux... - C'est la police (de caractère, mais ça, je ne lui dit pas :) ),c'est une ligne réservé, vous ne pouvez pas appeler ici! -Ah... Désolé.Raccroche Empiriquement, j'ai bien fait baisser le nombre d'appel. Cependant cela ne reste pas efficace contre les fax sur la ligne téléphone. Il y a une bonne dizaine d'années, j'ai eu jusqu’à 2-3 fois par semaines, à la maison, vers 4h-4h30 du matin, des fax d'un vendeur de piscine sur ma ligne fixe. Par usure, un jour, j'ai joué le jeu, en retournant un fax en lui indiquant que j'étais intéressé. Rdv prit à 8h30, il a fait 300km pour que je lui explique que je n'étais pas intéressé, mais que je voulais que les fax cessent. Il n'y a plus eu de soucis avec les fax de cette boite. Par contre les detecteurs-de-radar-espagnol ça eu continué un moment. En tout cas, comme le spam, je trouve que ce sont de vils pratiques. Megagolgoth, Le 11/05/2014 22:42, stephane.martin a écrit : Efficace et poli: lui demander de rappeler à tel numéro, en lui donnant le numéro de l'OCLCTIC Le 11/05/2014 22:34, Jacques Lav!gnotte. a écrit : Le 11/05/2014 22:06, Sylvain Vallerot a écrit : Mon avis : soyez poli, si ce ne sont pas des robots ce sont des gens qui méritent le respect et un poil de compassion, d'autant vu leur situation. Souhaitez-leur bon courage et de trouver autre chose rapidement pour gagner leur vie, dites que vous allez raccrocher ce qui fera gagner du temps à tout le monde, au revoir, clic. +1 Sylvain Jacques --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [TECH] Modèle de réponse à une réquisition Judiciaire
Le 08/01/2014 19:03, Alexandre Archambault a écrit : dans la pratique rédigée par la partie demandeuse, les geeks, avant d’hurler à la violation des libertés fondamentale sachez que la Cour de Cassation n’a pour l’instant rien trouvé à y redire Bonsoir la liste, Qui la rédige n'a guère d'importance, seule compte la signature. En outre, le projet n'est signer que lorsque la totalité de l'ordo est acceptée, sinon, le magistrat rédige lui même l'ordonnance. Si c'est une ordonnance 145 CPC S'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé., effectivement, ça peut être un peu n'importe quoi : les juges civils ou commerciaux n'ont pas forcément de compétence en la matière. Il faut également rappelé qu'en matière commerciale, il s'agit de juge élu (sauf en Alsace et en Moselle). Traduction : l'épicier du coin peut être élu président du Tribunal de commerce et signer ce genre d'ordonnance. Si c'est une réquisition judiciaire, elle émane d'un OPJ, du parquet ou d'un magistrat instructeur (et dans de très rare cas, d'un membre de la formation de jugement effectuant un complément d'instruction). Dans ce cas là, normalement, ce sont de vrais juges ou des policiers formés. Mais il peut toujours y avoir un loupé. Après, ils peuvent très bien tenter une réquisition, en sachant très bien que ça remonte à plus de 366 jours. Ils tentent : ça peut marcher. Et le fait que l'anonymisation ou la destruction n'ait pas été effectuée n'invalide pas en soit la preuve, mais la société pourrait éventuellement être poursuivie. A+ Raphaël Stehli --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] IGC/A et google
Bonjour la liste, D'un point de vue juridique, l'intercept SSL n'est pas illégal si c'est pour protéger le réseau et ne rentre pas sous le coup du 226-15 du code pénal qui énonce que Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45000 euros d'amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions. En effet, la jurisprudence précise que : Ne constituent pas une interception la lecture et la retranscription de messages dès lors que celles-ci ne nécessitent ni dérivation ou branchement et sont effectuées sans artifice ni stratagème; il est dans la fonction des administrateurs de réseaux d'assurer le fonctionnement normal de ceux-ci ainsi que leur sécurité, ce qui entraîne, entre autre, qu'ils aient accès aux messageries et à leur contenu, ne serait-ce que pour les débloquer ou éviter des démarches hostiles; il apparaît des éléments du dossier que les prévenus (le directeur du laboratoire de recherche et l'administrateur du réseau) ont mis en place une surveillance afin de connaître le contenu des correspondances émises ou reçues par un étudiant en relation avec des incidents survenus entre celui-ci et un autre étudiant ainsi que pour vérifier l'usage du réseau; il s'agissait bien d'utiliser le contenu même des correspondances pour confondre l'étudiant; la préoccupation de la sécurité du réseau justifie que les administrateurs de systèmes et de réseaux fassent usage de leurs positions et des possibilités techniques dont ils disposent pour mener les investigations et prendre les mesures que cette sécurité impose (de la même façon que la Poste doit réagir à un colis ou une lettre suspecte); par contre la divulgation du contenu de messages d'un étudiant ne relève pas de ces objectifs. ● Paris, 17 déc. 2001: D. 2002. IR 941. L'arrêt parle de courriels, mais ça s'appliquerait à tout ce qui passe par les tuyaux. Autrement dit : vérifier pour protéger le réseau est autorisé si c'est fait sans artifice ni stratagème. Par contre, se prendre pour un enquêteur est interdit. A+ smime.p7s Description: Signature cryptographique S/MIME
[FRnOG] [ALERT] IGC/A et google
Bonjour la liste, Après plusieurs mois de lecture, il s'agit de ma première intervention. - Le Monde vient de publier un article Google bloque des certificats de sécurité Internet émis par une autorité française http://abonnes.lemonde.fr/technologies/article/2013/12/08/google-bloque-des-certificats-de-securite-internet-emis-par-une-autorite-francaise_3527535_651865.html - l'ANSSI a publié un communiqué de presse Suppression d’une branche de l’IGC/A http://www.ssi.gouv.fr/fr/menu/actualites/suppression-d-une-branche-de-l-igc-a.html où il est fait mention que Suite à une erreur humaine lors d’une action de renforcement de la sécurité au ministère des finances, des certificats numériques correspondant à des domaines extérieurs à l’administration française ont été signés par une autorité de certification de la direction générale du Trésor rattachée à l’IGC/A. - Google indique dans un communiqué http://googleonlinesecurity.blogspot.it/2013/12/further-improving-digital-certificate.html?m=1 que le problème est sérieux. Quelqu'un aurait-il des informations sur ce qui s'est passé ? Bien cordialement, Raphaël Stehli -- Raphaël Stehli, Fonctionnaire détaché en cycle préparatoire de l'ENA, Chargé d'enseignement vacataire à l'Université de Strasbourg, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] IGC/A et google
Le problème est le suivant : - l'IGC/A interdit dans sa politique la signature de tiers à l'administration http://www.ssi.gouv.fr/fr/anssi/services-securises/igc-a/ - les certificats IGC/A sont (ou étaient) installés par défaut dans les magasins des principaux clients La signature illégitime d'un certif par une AC dont l'ACR est par défaut dans tous les navigateurs et permettrait d'intercepter toutes les connexions, même hors de l'administration concernée. Quand un employeur veut lire le flux SSL des postes de ses agents ou employés, il se fait un certificat maison et l'intègre au master ou aux postes déjà en service. Google surveille les certificats depuis le problème qui a eu lieu en Tunisie : ils se sont fait prendre comme ça. Cordialement, Raphaël Stehli Le 08/12/2013 19:13, Marc Abel a écrit : Bonjour, Je comprends pas bien pourquoi ils se sont fait prendre : pour intercepter les flux ssl l'employeur annonce à tout le personnel ce qu'il va faire, qu'on est pas à la maison mais au boulot, que le pare-feu va inspecter les messages et donc les certificats seront ceux du boulot (comme on accepte déjà le certificat de la messagerie), pour se faire passer pour google ou autre il faut avoir envie de faire ça en douce, à l'insu des utilisateurs, est-ce concevable ? Marc, (dans l'administration mais pas aux finances) - Original Message - From: Kavé Salamatian kave.salamat...@univ-savoie.fr To: Raphaël Stehli experti...@raphael.stehli.fr Cc: frnog-al...@frnog.org Sent: Sunday, December 08, 2013 4:38 PM Subject: Re: [FRnOG] [ALERT] IGC/A et google A priori il y’a des outils qui sont vendus afin d’intercepter des connexions SSL sortantes et de vérifier leur contenu. Une administration liée au ministère des finances à voulu « tester » cette solution sur du trafic gmail. Pour ceci il faut forger un certificat de google (tout comme n’importe quel vulgaire voleur d’identité par phishing ou comme des gouvernement dictatoriaux voulant volant les logins de leurs nationaux à des services sécurisé). Le certificat a été forgé par une sous-autorité de certification rattaché à l’ANSSI et Ils se sont fait prendre la main dans le pot de confiture. Montrant l’amateurisme en vigueur ….. Kavé Salamatian Le 8 déc. 2013 à 16:31, Raphaël Stehli experti...@raphael.stehli.fr a écrit : Bonjour la liste, Après plusieurs mois de lecture, il s'agit de ma première intervention. - Le Monde vient de publier un article Google bloque des certificats de sécurité Internet émis par une autorité française http://abonnes.lemonde.fr/technologies/article/2013/12/08/google-bloque-des-certificats-de-securite-internet-emis-par-une-autorite-francaise_3527535_651865.html - l'ANSSI a publié un communiqué de presse Suppression d’une branche de l’IGC/A http://www.ssi.gouv.fr/fr/menu/actualites/suppression-d-une-branche-de-l-igc-a.html où il est fait mention que Suite à une erreur humaine lors d’une action de renforcement de la sécurité au ministère des finances, des certificats numériques correspondant à des domaines extérieurs à l’administration française ont été signés par une autorité de certification de la direction générale du Trésor rattachée à l’IGC/A. - Google indique dans un communiqué http://googleonlinesecurity.blogspot.it/2013/12/further-improving-digital-certificate.html?m=1 que le problème est sérieux. Quelqu'un aurait-il des informations sur ce qui s'est passé ? Bien cordialement, Raphaël Stehli -- Raphaël Stehli, Fonctionnaire détaché en cycle préparatoire de l'ENA, Chargé d'enseignement vacataire à l'Université de Strasbourg, --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] IGC/A et google
Juridiquement parlant, rien n'empêche à un employeur (public ou privé) : - de déchiffrer le contenu des flux chiffrés pour les analyser de manière automatique, - de déchiffrer le contenu des flux chiffrés pour interception manuelle, à la demande d'une autorité administration ou juridictionnelle, voir même à des fins internes, sous réserve de ne pas consulter les informations ayant un caractère personnel sans que le salarié ait été appelé. Le juge prudhommal vérifiera. Il existerait un risque théorique de réutiliser le résultats de l'interception pour pirater une banque. Néanmoins, le risque est faible : - les banques sérieuses utilise du forward secrecy, qui devrait limiter les problèmes de l'interception SSL, - les entreprises ne laisse pas trainer leurs clés privées n'importent où (ou elles se retourneront à leur tour contre le responsable informatique), - les salariés ou agents doivent être au courant de l'interception SSL via la charte informatique et la déclaration CNIL donc en utilisant le système informatique de l'entreprise / administration, ils étaient au courant et ils ont fait le choix de se connecter à leur banque avec le système, - les banques sérieuses utilisent un autre système complémentaire (SMS, code à usage unique, etc.) Donc, même en cas de vol de la clé, l'entreprise devrait voir sa responsabilité fortement minorée. Le problème ici est que ce problème, lié a du gmail a fait bondir Google : son modèle économique est uniquement basé sur la confiance des utilisateurs. Le modèle des ACR est basé sur la confiance des acteurs du secteurs. La réaction de Google était donc prévisible. Pour la restriction à *.gouv.fr, ce n'est pas forcément possible : il existe des administrations qui n'utilisent pas le .gouv.fr : je pense aux assemblées, aux juridictions et aux autres agences administratives indépendantes. Je ne sais pas si quelqu'un peut maintenant prévoir la suite des évènements, mais il faut espérer que les modifications de protocoles de l'ANSSI arriveront à convaincre Google, Microsoft et Mozilla de ne pas bloquer les certificats racine de l'IGC/A. Il faudrait également savoir comment les responsables de l'AC intermédiaire ont pu signer un certificat de pour google ou gmail. Cordialement, Raphaël Le 08/12/2013 20:33, Jean-Yves Faye a écrit : Bonsoir, NetASQ a cette fonctionnalité, et de plus est un produit bien Français. Purement techniquement parlant, cette technique peut être pratique pour garder l'aspect SSL des communications, tout en soumettant à l'analyse antivirus/IDS les flux entrants, chose courante avec les appliances type NetASQ justement. Comme déjà dit, le danger vient plutôt de le faire avec une AC certifiée et publique (par transitivité). Normalement on fait ça avec une AC interne et les certificats spécifiques sont déployés sur les postes. Après cela remet encore une fois sur le tapis la question de la liste à rallonge des autorités de confiance qui peuvent donner des certificats pour n'importe quoi, qui ne veut plus dire grand chose. Dans ce cas précis, une fonctionnalité de type restriction à *.gouv.fr http://gouv.fr sur l'IGC de l'administration aurait été pertinente. Un nettoyage des magasins de certificats des navigateurs est la seule solution à court terme, ça ou alors les éditeurs de navigateurs se mettent à implémenter les protocoles déjà proposés pour réduire la voilure niveau portes d'entrée dans le système des IGC (moins problable) Cordialement, Jean-Yves Faye Le 8 décembre 2013 20:08, Fabien Delmotte fdelmot...@mac.com mailto:fdelmot...@mac.com a écrit : Bonsoir, Pareil pour A10 networks et le SSL intercept .. Cela me parait plus un problème de configuration qu’autre chose. Je ne connais pas les lois pour la France (il doit y en avoir beaucoup sur le sujet avec le comment faire et son contraire), mais cela fonctionne sans problème Technique dans les autres pays. J’ai personnellement installé plusieurs configuration en dehors de la France sans problèmes techniques. Cordialement Fabien Le 8 déc. 2013 à 19:48, Surya ARBY arbysu...@yahoo.fr mailto:arbysu...@yahoo.fr a écrit : C'est pourtant le principe de fonctionnement des firewalls palo alto qui font du MITM SSL avec des certificats signés par la PKI interne. Le 08/12/2013 19:26, Kavé Salamatian a écrit : 2-l’employeur n’a pas a inspecter le trafic SSL qui va de son réseau vers une destination en dehors de son réseau. Il peut décider de bloquer ce traffic, mais le décrypter avec un certificat « fake » c’est du piratage caractérisé et je suis sur qu’une ribambelle de lois de s’appliquent (pas le temps de les chercher). --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ smime.p7s Description:
[FRnOG] Re: [ALERT] IGC/A et google
Aucun rapport en l'espèce : c'était pour l'hypothèse de la responsabilité de l'entreprise qui avait un certif intermédiaire en cas de piratage suite à la lecture d'un flux SSL. C'était pour conclure qu'elle serait très limitée voir écartée, quelques soit les hypothèses envisagées. Mais effectivement, rien de directement lié. 08/12/2013 23:16, Stephane Bortzmeyer a écrit : On Sun, Dec 08, 2013 at 09:06:02PM +0100, Raphaël Stehli experti...@raphael.stehli.fr wrote a message of 442 lines which said: - les banques sérieuses utilise du forward secrecy, qui devrait limiter les problèmes de l'interception SSL, Je ne vois pas en quoi. On parle d'un Homme du Milieu ici. Le PFS ne gène pas l'Homme du Milieu, uniquement l'espion qui a stocké un flux chiffré antérieur. - les entreprises ne laisse pas trainer leurs clés privées n'importent où (ou elles se retourneront à leur tour contre le responsable informatique), Mais, là encore, quel rapport ? Si un Homme du Milieu peut demander à une AC de générer un certificat pour bigbank.example (ou pour *), quelle importance que bigbank fasse attention à ses clés privées ou pas ? - les banques sérieuses utilisent un autre système complémentaire (SMS, code à usage unique, etc.) Cela protège contre certaines opérations (comme un virement), pas contre l'espionnage (il ne me semble pas normal qu'un employeur puisse voir l'état du compte en banque d'un employé). Donc, même en cas de vol de la clé, Mais il n'y a eu aucun vol de clé dans cette affaire. smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [ALERT] IGC/A et google
Le 08/12/2013 23:19, Kavé Salamatian a écrit : - les salariés ou agents doivent être au courant de l'interception SSL via la charte informatique et la déclaration CNIL donc en utilisant le système informatique de l'entreprise / administration, ils étaient au courant et ils ont fait le choix de se connecter à leur banque avec le système, pas suffisant. L’interception ne peut se faire qu’à avec objectif d’amélioration du service. L’information de justifie pas l’action illégale de l’entreprise ou de l’administration. Il y’a de la jurisprudence la dessus. Je veux bien la jurisprudence. - les banques sérieuses utilisent un autre système complémentaire (SMS, code à usage unique, etc.) Le fait que la banque n’est pas sérieuse ou le système est mal protégé ne réduit pas la responsabilité juridique de l’attaquant. Effectivement, mais un système avec une vérification par un autre canal limite la casse pour la boite, pas pour l'attaquant. Le problème ici est que ce problème, lié a du gmail a fait bondir Google : son modèle économique est uniquement basé sur la confiance des utilisateurs. Le modèle des ACR est basé sur la confiance des acteurs du secteurs. La réaction de Google était donc prévisible. Pour la restriction à *.gouv.fr, ce n'est pas forcément possible : il existe des administrations qui n'utilisent pas le .gouv.fr : je pense aux assemblées, aux juridictions et aux autres agences administratives indépendantes. Je ne sais pas si quelqu'un peut maintenant prévoir la suite des évènements, mais il faut espérer que les modifications de protocoles de l'ANSSI arriveront à convaincre Google, Microsoft et Mozilla de ne pas bloquer les certificats racine de l'IGC/A. On que non. J’espère que l’épisode permettra de montrer qu’on ne peut pas faire n’importe quoi par qu’il est techniquement possible de le faire. Ce genre d’épisode met complètement à terre l’édifice de la sécurité informatique par certificat. Oui : et également la confiance en l'économie numérique. On sait tous que ça tient sur un château de carte. Je ne suis pas convaincu qu'il faille tout faire planter. Il faudrait également savoir comment les responsables de l'AC intermédiaire ont pu signer un certificat de pour google ou gmail. C’est une partie du n’importe quoi dont je parle. J’ose pas espérer, mais une petite plainte contre X des personnels de l'administration ou de son syndicat ferait avancer les choses pour réduire la surveillance et le sentiment de liberté totale des administrations et des entreprises sur les informations privées des personnes. Je ne suis pas convaincu que ce soit une infraction pénale. Kavé Salamatian Cordialement, Raphaël Le 08/12/2013 20:33, Jean-Yves Faye a écrit : Bonsoir, NetASQ a cette fonctionnalité, et de plus est un produit bien Français. Purement techniquement parlant, cette technique peut être pratique pour garder l'aspect SSL des communications, tout en soumettant à l'analyse antivirus/IDS les flux entrants, chose courante avec les appliances type NetASQ justement. Comme déjà dit, le danger vient plutôt de le faire avec une AC certifiée et publique (par transitivité). Normalement on fait ça avec une AC interne et les certificats spécifiques sont déployés sur les postes. Après cela remet encore une fois sur le tapis la question de la liste à rallonge des autorités de confiance qui peuvent donner des certificats pour n'importe quoi, qui ne veut plus dire grand chose. Dans ce cas précis, une fonctionnalité de type restriction à *.gouv.fr sur l'IGC de l'administration aurait été pertinente. Un nettoyage des magasins de certificats des navigateurs est la seule solution à court terme, ça ou alors les éditeurs de navigateurs se mettent à implémenter les protocoles déjà proposés pour réduire la voilure niveau portes d'entrée dans le système des IGC (moins problable) Cordialement, Jean-Yves Faye Le 8 décembre 2013 20:08, Fabien Delmotte fdelmot...@mac.com a écrit : Bonsoir, Pareil pour A10 networks et le SSL intercept .. Cela me parait plus un problème de configuration qu’autre chose. Je ne connais pas les lois pour la France (il doit y en avoir beaucoup sur le sujet avec le comment faire et son contraire), mais cela fonctionne sans problème Technique dans les autres pays. J’ai personnellement installé plusieurs configuration en dehors de la France sans problèmes techniques. Cordialement Fabien Le 8 déc. 2013 à 19:48, Surya ARBY arbysu...@yahoo.fr a écrit : C'est pourtant le principe de fonctionnement des firewalls palo alto qui font du MITM SSL avec des certificats signés par la PKI interne. Le 08/12/2013 19:26, Kavé Salamatian a écrit : 2-l’employeur n’a pas a inspecter le trafic SSL qui va de son réseau vers une destination en dehors de son réseau. Il peut décider de bloquer ce traffic, mais le décrypter avec un certificat « fake » c’est du piratage caractérisé et je suis
