Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[professor geek]

Cypher or not Cypher, that is the question ! ….or NOT.

L’industrie de l’UTM et de l’appliance a tout gaz tremble a l’idée de
chiffrement de bout en bout. Ca rends leur modele de rente obsolete. Quoi
que certain ont deja vu le vent tourner et propose des solutions.
Deporter toute l’intelligence de genre d’outils sur le point final va etre
consommateur de ressource, mais à mon sens c’est un passage inevitable et
neccessaire pour rendre la liberté au gens. Il n’y aurait pas de wikileaks
sans malversation !
Ma crainte reste que les autorités 1984 imposent un client sur chaque
machine… Quoi ? Deja fait…

Maintenant d’un point de vue IT, l’effort pour la gestion de tout ces End
Points dans ce mode peut etre un casse-tête sur des réseaux d’entreprises
(x Os, BYOD, …). Sans parler de l’integration des outils, le monitoring,
etc… Bref ca va faire du boulot.

Il est temps de siffler la fin de la récré et re-inventer nos sociétés.

Pr

On 7 December 2018 at 18:15:28, Jean-Francois Billaud (
bill...@billaud.eu.org) wrote:

On 23/11/2018 21:19, Stephane Bortzmeyer wrote:

> La vie privée sur l'Internet fait aujourd'hui l'objet d'innombrables
> attaques et l'une des techniques de défense les plus efficaces contre
> ces attaques est le chiffrement des données. Il protège également
> contre une autre menace, la modification des données en transit, comme
> le font certaines FAI. Il y a de nombreuses campagnes de
> sensibilisation pour promouvoir le chiffrement , avec des bons
> résultats. Évidemment, ce chiffrement gène ceux qui voudraient
> espionner et modifier le trafic, et il fallait donc s'attendre à voir
> une réaction. Ce RFC est l'expression de cette réaction, du côté de
> certains opérateurs réseaux, qui regrettent que le chiffrement empêche
> leurs mauvaises pratiques.
>> https://www.bortzmeyer.org/8404.html

Un bon chiffrement est un chiffrement mort. (Général ETSI)

Vu dans Feisty Duck Bulletproof TLS Newsletter 47 - 29 November 2018 :

ETSI has standardized Enterprise TLS (eTLS), a variant of TLS 1.3 that
allows passive interception with knowledge of a static Diffie-Hellman
key. Similar proposals have been made in the IETF in the past but were
always rejected due to concerns that they would compromise the security
of TLS or allow for abuse of mass surveillance.

https://www.etsi.org/news-events/news/1358-2018-11-press-etsi-releases-standards-for-enterprise-security-and-data-centre-management

La liste des membres de l'ETSI est intéressante :
https://www.etsi.org/membership/current-members

Ça en discute à l'IETF depuis le 1er décembre.
https://www.ietf.org/mail-archive/web/tls/current/maillist.html
Fils de discussion :
- ETSI releases standards for enterprise security and data centre
management
- draft-dkg-tls-reject-static-dh

JFB

-- 
If you think the problem is bad now, just wait until we've solved it.
-- Arthur Kasspe


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Jean-Francois Billaud]

On 23/11/2018 21:19, Stephane Bortzmeyer wrote:

> La vie privée sur l'Internet fait aujourd'hui l'objet d'innombrables
> attaques et l'une des techniques de défense les plus efficaces contre
> ces attaques est le chiffrement des données. Il protège également
> contre une autre menace, la modification des données en transit, comme
> le font certaines FAI. Il y a de nombreuses campagnes de
> sensibilisation pour promouvoir le chiffrement , avec des bons
> résultats. Évidemment, ce chiffrement gène ceux qui voudraient
> espionner et modifier le trafic, et il fallait donc s'attendre à voir
> une réaction. Ce RFC est l'expression de cette réaction, du côté de
> certains opérateurs réseaux, qui regrettent que le chiffrement empêche
> leurs mauvaises pratiques.
>> https://www.bortzmeyer.org/8404.html

Un bon chiffrement est un chiffrement mort. (Général ETSI)

Vu dans Feisty Duck Bulletproof TLS Newsletter 47 - 29 November 2018 :

ETSI has standardized Enterprise TLS (eTLS), a variant of TLS 1.3 that allows 
passive interception with knowledge of a static Diffie-Hellman
key. Similar proposals have been made in the IETF in the past but were always 
rejected due to concerns that they would compromise the security
of TLS or allow for abuse of mass surveillance.

https://www.etsi.org/news-events/news/1358-2018-11-press-etsi-releases-standards-for-enterprise-security-and-data-centre-management

La liste des membres de l'ETSI est intéressante :
https://www.etsi.org/membership/current-members

Ça en discute à l'IETF depuis le 1er décembre.
https://www.ietf.org/mail-archive/web/tls/current/maillist.html
Fils de discussion :
- ETSI releases standards for enterprise security and data centre management
- draft-dkg-tls-reject-static-dh

JFB

-- 
If you think the problem is bad now, just wait until we've solved it.
-- Arthur Kasspe


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Louis]

Le problème des solutions à base de squidguard, c'est qu'elles utilisent
des blacklists gérées par des humains.

Les DNS menteurs de contrôle parental dispo sur internet utilisent des
algorithmes pour catégoriser les sites. C'est beaucoup plus fiable. Ex :
https://dns.yandex.com/
https://www.opendns.com/setupguide/#familyshield

Après, les DNS menteurs sont facilement contournables (DNS over https,
/etc/hosts...) sauf si on vérifie que l'IP destination est bien celle
donnée par le DNS menteur. C'est l'objet de ce projet :
https://github.com/luigi1809/webfilter-ng (option DNS filtering).
Fonctionne sur debian 9 , ubuntu >= 16.04, rapsbian pour Raspberry.

Et puis avec Squid, SquidGuard, vous serez obligé de renseigner un proxy
sur les postes. webfilter-ng filtre en mode transparent sur le routeur sans
proxying.

Le jeu. 29 nov. 2018 à 19:26,  a écrit :

> On mardi 27 novembre 2018 11:35:49 CET Thierry Chich - thierry.chich@ac-
> clermont.fr wrote:
> > Le 26/11/2018 à 15:53, Bruno Pagani a écrit :
> > > Et c’est tant mieux, car c’est effectivement un gros manque pour la
> > > protection de la vie privée.
> > >
> > > La réponse pour la protection des enfants, c’est que ça se passe sur le
> > > terminal de l’utilisateur, pas ailleurs sur le chemin. Si on n’est pas
> > > capable de contrôler le terminal des enfants et l’usage qu’ils en font,
> > > le problème ne se situe pas au niveau des protocoles utilisés sur
> > > Internet.
> >
> > Ca, c'est la théorie. La pratique, c'est qu'il n'y a rien. On a family
> > link sur android, un truc chez apple, un peu du n'importe quoi sur les
> > PC, mais rien qui soit simple, centralisable, gérable depuis une école
> > ou un collège.
> >
> > Thierry
>
> Ça s'appelle un proxy.
>
> privoxy + dansguardian qui fait une analyse heuristique des pages web,
> squid +
> squidguard qui utilise une liste de sites à filtrer[0] ou un blocage par
> défaut et une liste blanche de sites autorisés.
>
> Apparemment ça s'appelle maintenant smoothwall[1] qui est derrière
> dansguardian, squidguard et urlblacklist.com: et ils ont une offre dédiée
> au
> monde de l'éducation.
>
> Il y a aussi des tutos en français[2] et ça peut même tourner à la maison
> sur
> une Raspberry Pi[3].
>
> [0]: http://dsi.ut-capitole.fr/blacklists/
> [1]: https://www.smoothwall.com/
> [2]: http://lesaventuresdeyannigdanslemondeit.blogspot.com/2013/03/
> configuration-de-squidguard-comme.html
> 
> [3]:
> https://www.pihomeserver.fr/2015/09/01/un-controle-parental-grace-au-raspberry-pi-squid-et-squidguard/
>
>
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[frnog . kapush]

On mardi 27 novembre 2018 11:35:49 CET Thierry Chich - thierry.chich@ac-
clermont.fr wrote:
> Le 26/11/2018 à 15:53, Bruno Pagani a écrit :
> > Et c’est tant mieux, car c’est effectivement un gros manque pour la
> > protection de la vie privée.
> > 
> > La réponse pour la protection des enfants, c’est que ça se passe sur le
> > terminal de l’utilisateur, pas ailleurs sur le chemin. Si on n’est pas
> > capable de contrôler le terminal des enfants et l’usage qu’ils en font,
> > le problème ne se situe pas au niveau des protocoles utilisés sur
> > Internet.
> 
> Ca, c'est la théorie. La pratique, c'est qu'il n'y a rien. On a family
> link sur android, un truc chez apple, un peu du n'importe quoi sur les
> PC, mais rien qui soit simple, centralisable, gérable depuis une école
> ou un collège.
> 
> Thierry

Ça s'appelle un proxy.

privoxy + dansguardian qui fait une analyse heuristique des pages web, squid + 
squidguard qui utilise une liste de sites à filtrer[0] ou un blocage par 
défaut et une liste blanche de sites autorisés.

Apparemment ça s'appelle maintenant smoothwall[1] qui est derrière 
dansguardian, squidguard et urlblacklist.com: et ils ont une offre dédiée au 
monde de l'éducation.

Il y a aussi des tutos en français[2] et ça peut même tourner à la maison sur 
une Raspberry Pi[3].

[0]: http://dsi.ut-capitole.fr/blacklists/
[1]: https://www.smoothwall.com/
[2]: http://lesaventuresdeyannigdanslemondeit.blogspot.com/2013/03/
configuration-de-squidguard-comme.html
[3]: 
https://www.pihomeserver.fr/2015/09/01/un-controle-parental-grace-au-raspberry-pi-squid-et-squidguard/






---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Wallace]

Le 27/11/2018 à 14:45, David Ponzone a écrit :
> Ohhh, la jolie perche :)
>
> Oui et bizarrement, à cette époque (la mienne), les petits garçons à l’école 
> n’avaient pas l’idée d’ouvrir une revue porno dans la cour, en tentant de 
> s’entrainer avec une camarade de classe contre son gré.
>
> La comparaison kiosque à journaux / smartphone me semble un peu risquée non ? 
> :)
>
Là il faut aller voir dans le programme d'éducation sexuelle de l'école,
quand ta fille en CM1 te sort à table le soir "ha mais c'est dégoutant
le sexe, moi j'ai pas envie de mettre le zizi du garçon dans la bouche"

On apprend qu'elle a donc eu un cours d'éducation sexuelle à l'école, je
sais pas vous mais à son âge on avait une présentation un peu vague, la
maitresse là semble avoir été un peu loin dans les pratiques possibles
et pas forcément pratiquées par tous.

Et effectivement ça n'a pas loupé, 2 semaines après les parents d'élèves
sont mis au courant d'un garçon qui a voulu voir à 9 ans ce que ça
faisait comme sensation et n'a bien entendu pas demander l'approbation
aux filles concernées.

En tant que père j'ai pris le temps d'expliquer mais pour moi le mal est
fait et je comprend pas l'utilité de la chose.

On peut parler aussi des exercices attentats dans les écoles, ils en
font un par trimestre, une fois j'ai récupéré deux enfants de la
primaire en pleur le soir car ils avaient pas eu le temps de manger car
la police municipale avait décidé de faire l'exercice en mode surprise à
la cantine, du coup avec les rotations des services on leur a demandé de
sortir, ils ont rien manger et on les a forcé à jeter la nourriture,
c'est le fait de jeter que mes enfants ont pas supporté parce qu'on leur
apprend à pas gaspiller et tout finir.

On peut parler aussi des profs qui pour ces exercices au collège
diffusent des vidéos de terroristes dont celles (accrochez-vous bien)
d'exécution au fusil, genre celle que même adulte je me refuse de
regarder pas pour être choqué mais pour éviter de leur donner des hits
et des vues et donc crédibiliser ce type de contenu.

Bref l'école c'est clairement plus ce que c'était, ok ça fait vieux con
qui dit que c'était mieux avant mais je trouve que






signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[David Ponzone]

Purée, on dirait mon fils :)

J’ai pas dit « le porno, c’est mal » mais:
1) il n’a jamais été aussi dégradant que maintenant pour les femmes et s’il y a 
un truc que la société a besoin de changer rapidement, c’est ça
2) le laisser accessible librement sans contrôle au prétexte que c’est 
compliqué de faire autrement, et que de toute façon, ça a toujours existé, est 
criminel (personnellement, je pense que les réseaux sociaux devraient être 
interdits aux mineurs, mais je suis devenu un peu extrémiste sur le sujet)

Pour rebondir rapidement sur le sujet de l’Internet à l’école:
1) collège: absolument inutile, ils font rien avec et si ils font, c’est de la 
merde (va chercher une image sur Gogole pour la coller dans Word, formidable, 
ils sont prêts pour l’avenir avec ça)
2) lycée: à peu près pareil
Ma femme étant prof, je peux vous dire qu’ils apprécieraient volontiers d’être 
formés aux usages Internet. Ils ne vont pas pondre comme ça des cours utilisant 
Internet, alors qu’ils sont  généralement eux-mêmes au même niveau de 
connaissance que la moyenne nationale (sauf le prof de techno qui est souvent 
un peu plus geek).
-> conclusion: oui, pour le moment on pourrait couper Internet des étudiants du 
secondaire, ça va rien changer.

Sécurisation:
les établissements parisiens sont pas sur Renater maintenant, avec un truc de 
filtrage fait maison ? Je sais pas pour le reste de la France….

> Le 29 nov. 2018 à 10:22, Stéphane Rivière  a écrit :
> 
>> Concernant l'exposition des enfants aux images ou contenus choquants, je 
> 
> Au tout début des années 60, en pleine époque gaulienne, dans une ère où 
> posséder un poste 27 MHz sans autorisation était passible d'espionnage, où 
> passer son examen de radioamateurisme déclenchait une convocation aux RG pour 
> enquête...
> 
> ...a coté de la place de l'étoile, un ingé radio allemand sous les toits de 
> paris, via un émetteur TV de sa fabrication, passé minuit le week-end, 
> diffusait des pornos...
> 
> (toutefois c'était en noir & blanc, sans 3D ni surround ou  motion)
> 
> Cet emplacement étant en hauteur, la portée était suffisante pour toucher les 
> bourges des n°16, 7 et bien sûr 8... Certainement les seuls à posséder ce 
> genre d'équipement à l'époque...
> 
> Donc, le cul, c'est de l'histoire ancienne, il semblerait même qu'on y soit 
> tous mêlés...
> 
> -- 
> Stéphane Rivière
> Ile d'Oléron - France
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Stéphane Rivière]

Concernant l'exposition des enfants aux images ou contenus choquants, je 


Au tout début des années 60, en pleine époque gaulienne, dans une ère où 
posséder un poste 27 MHz sans autorisation était passible d'espionnage, 
où passer son examen de radioamateurisme déclenchait une convocation aux 
RG pour enquête...


...a coté de la place de l'étoile, un ingé radio allemand sous les toits 
de paris, via un émetteur TV de sa fabrication, passé minuit le 
week-end, diffusait des pornos...


(toutefois c'était en noir & blanc, sans 3D ni surround ou  motion)

Cet emplacement étant en hauteur, la portée était suffisante pour 
toucher les bourges des n°16, 7 et bien sûr 8... Certainement les seuls 
à posséder ce genre d'équipement à l'époque...


Donc, le cul, c'est de l'histoire ancienne, il semblerait même qu'on y 
soit tous mêlés...


--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Stéphane Rivière]

Alors comme ça les certificats c’est vraiment sûr?


: Dredi engaged.

Les seuls qui sont 'un peu moins pas sûrs' (sic) sont les auto-signés 
d'une entité au sein de cette même entité, à condition que le générateur 
(collab de l'entité) ne soit pas un traître à cette entité. Je précise 
'à cette entité' car le traître à quelqu'un est aussi le fidèle d'un autre.


C'est compliqué la confiance.

Et puis, faut se relaxer, si c'est 'en vente libre' c'est que c'est déjà 
cassé. Y compris (et peut-être surtout) les elliptiques dont certains 
disent tant de bien.


Perso je m'en tape et j'utilise LE, ça met un cadenas vert, ça fait 
joli, c'est bon pour le référencement (sic), le poil de mes sites est 
plus brillant, et puis les mots de passe en clair c'est plus trop à la 
mode depuis qu'il parait que ssh c'est mieux que telnet.



Bon, j’imagine que ça risque de réveiller un peut mais bon: OSEF!


Nan, c'est cool de revenir aux fondamentaux.

--
Stéphane Rivière
Ile d'Oléron - France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Arnaud BRAND]

C'est sans fin et ça le sera toujours.

Certains ont légitimement besoin de (pseudo-)confidentialité de de 
(pseudo-)confiance (ex: banking, whistleblowers, secret de fabrication, 
etc...)

Donc on crée des systèmes pour apporter cette confidentialité.
Évidemment, les contenus plus ou moins réprouvés par la morale des uns 
ou des autres se servent de ces systèmes pour passer outre les blocages 
arbitraires dont ils font l'objet par certains.
Sans même parler du porno, ça s'applique très bien aux régies de pub 
intrusives et aux trackers, hein.
Donc on cherche à créer, avec plus ou mois de succès, des outils qui 
permettent de quand même espionner/filtrer les systèmes créés avant.

Mais le besoin de confidentialité/confiance existe toujours...
Donc on va créer un autre système pour la récréer...

Au passage, vu que les certifs c'est pas offert (avant LE), ben c'est 
plus maintenu et ça expire.
On a éduqué les utilisateurs a rajouter automatiquement des exceptions à 
leurs browsers et autres outils parce que tout le monde veut/doit faire 
de l'https.

Bravo la sécurité !

Sur le fond de ta question de départ Thierry, quand tu es sur un parc 
contrôlé (=ton parc académique), il existe des produits commerciaux qui 
font très bien le déchiffrement/filtrage https.

Les plus "compatibles" passent par un proxy explicite.
Cela suppose ensuite le déploiement d'un certificat de CA privé trusté 
par les postes qui permettra à la  solution de générer à la volée des 
certifs pour les sites visités.
Si tu as un environnement windows/ad, c'est facilement déployable sans 
passer sur les postes, simplement en rajoutant ce certif au magasin du 
domaine et en rajoutant un enregistrement wpad au domaine local.
Sinon, je suppose qu'il y a une infra puppet/ansible/autre pour 
maintenir les paramètres des postes ?
Je pense que tu trouveras l'accompagnement nécessaire en envoyant sur 
BIZ, peut-être plus sur FRSAG que sur FRNOG d'ailleurs.



Quant au fait de savoir si internet est nécessaire à nos têtes blondes à 
l'école, personnellement je n'en suis pas convaincu.
L'ENT pourrait être accessible en réseau privé sans être obligé de 
passer par internet.
Même si c'est déjà cloudisé chez google/amazon/azure/autre, tous les 
opérateurs sont ravis de vendre de l'express route/galerie/commercial pour du peering>.


Les profs pourquoi pas, mais les collégiens/lycéens ?
Franchement, à mon époque (92-99), il n'y avait pas (beaucoup) internet 
et on y arrivait aussi.
A part pour des cours "d'internet" (bon comportement, sensibilisation à 
la conservation des données, attention aux posts sur les réseaux 
sociaux, phishing, scam, etc...) je ne vois pas l'utilité.
Et ces cours (utiles et nécessaires je pense, bien qu'inexistants je 
suppose) pourraient être isolés sur des sous-réseaux autorisés 
spécialement.


Et quid des responsabilités de FAI que ça fait porter aux 
collèges/lycées/académies ?


Enfin, pour la sécu de tests postes ce sera beaucoup plus safe s'ils 
n'ont juste pas accès à internet.
L'Education Nationale n'a pas vocation à financer des botnets de 
cryptominers, si ?


De toute façon, avec les facebook, instagram, telegram, et tous les 
nouveaux trucs que le vieux que je suis ne connait même pas, tu veux 
faire comment ?
On retombe dans la même problématique qu'avant : dès que blocage il y a 
(cf la Russie avec Telegram), les développeurs montent des techniques 
d'évasion.


La plupart des produits commerciaux ne suivent pas alors que des experts 
sont cher payés pour ne faire que ça.

Tu espères vraiment trouver des produits gratuits qui répondent à ça ?
Et avec les mobiles, tu veux faire comment ?

Concernant l'exposition des enfants aux images ou contenus choquants, je 
crois qu'il y a eu une campagne de pub sur le sujet.
Le leitmotiv était qu'on n'arrivait de toute façon pas à les protéger de 
tout, et qu'il valait mieux en parler avec eux.

Après, j'ai pas d'enfants, donc le yaka, fokon, c'est facile, c'est sûr.

Perso, comme dit, pas vraiment d'internet à l'époque, donc le porn, 
c'était plutôt des magazines semi-collés, comme certains ont pu 
l'évoquer.
Par contre, quand il y a eu le début d'internet (avec les modems 56k 
pour moi), ben on a eu vite fait de trouver les sites d'indépendantistes 
québecois et comment fabriquer divers truc "marrants".
Et l'un de nous s'est bien amoché en faisant le malin avec la même 
substance que celle qui a servi au stade de France (plus de 10 ans avant 
les attentats, n'allez pas chercher de corrélation).
Il avait mis 8g au lieu des 3g habituels pour faire son intéressant et 
une mèche trop courte.
On y sorti des bouts de plastique de son torse encore 3 mois après 
l'accident.


Donc le porn, franchement, à part si vraiment il y a des tendances 
gang-bang non consenties, ça me paraît bien insignifiant comme sujet.
Peut-être d'ailleurs plus drivé par la frustration de toute une classe 
d'âge qui face à la menace du sida n'a pas connu la même liberté que les 
générations 

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Caillaud Jonathan]

Salut les barbus et autre mal rasé!

Juste pour la blague (on va dire que dans mon monde on est déjà Dredi...)

Alors comme ça les certificats c’est vraiment sûr?
Bon, j’imagine que ça risque de réveiller un peut mais bon: OSEF!

https://www.theregister.co.uk/2013/12/10/french_gov_dodgy_ssl_cert_reprimand/

Gros bisous!



Le mercredi 28 novembre 2018,  a écrit :

> Le 28 nov. 2018 à 13:38 +0100, Stephane Bortzmeyer , a
> écrit :
> > On Tue, Nov 27, 2018 at 01:38:22PM +0100,
> > Thierry Chich  wrote
> > a message of 76 lines which said:
> >
> > > C'est à Google et à Mozilla de décider s'il faut du HTTPS partout ?
> > > Eh bien, il semble que oui. Ce que j'aurais aimé, c'est que les
> > > décisions prises par Google de forcer le HTTPS
> >
> > La décision de mettre du HTTPS partout faisait l'objet d'un large
> > consensus, logique après les révélations Snowden. Si tous les gens qui
> > ont dit que HTTPS c'est bien étaient payés par Google, je vais
> > demander mon chèque
>
> Il y a eu un vote ? Google a simplement dit « je favorise les https en
> haut du classement ». Comme ça, on a oublié qu’en backend, la NSA avait
> accès directement aux bases des uns et des autres et se tamponnait du HTTPS.
>
> >
> > > Quand aux parents et à l'école, ils font comment concrètement  ?
> >
> > Tiens oui, j'ai élevé deux millenials, il faudrait que je leur demande
> > comment j'ai fait.
>
> Des fois, quand on leur pose des questions sur ce sujet, on a des
> surprises.
>
> Quoiqu’il en soit, je ne suis pas contre le HTTPS, ce serait idiot. Je
> suis juste surpris qu’on ne voit pas que certains problèmes graves ne sont
> pas adressés.
> Ce qui ne manque d’ailleurs pas d’être utilisé par ceux qui veulent du
> contrôle pour des raisons politiques.
>
> Thierry
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[David Ponzone]

N’allons pas jusqu’au viol, mais deux 6eme ont forcé des camarades à regarder 
du porno et se sont livrés à des attouchements et insultes sur une camarade au 
collège/lycée Montaigne (pas vraiment la cité), il y a 2 ou 3 ans.
Quant tu connais la capacité des chefs d’établissement à étouffer tous les 
incidents de ce type, tu peux être sûr qu’il y en a bien 1 par mois en France, 
au moins.
No limit.


> Le 27 nov. 2018 à 15:43, Alarig Le Lay  a écrit :
> 
> On mar. 27 nov. 14:45:03 2018, David Ponzone wrote:
>> Ohhh, la jolie perche :)
>> 
>> Oui et bizarrement, à cette époque (la mienne), les petits garçons à
>> l’école n’avaient pas l’idée d’ouvrir une revue porno dans la cour, en
>> tentant de s’entrainer avec une camarade de classe contre son gré.
>> 
>> La comparaison kiosque à journaux / smartphone me semble un peu risquée non 
>> ? :)
> 
> Heu, je n’ai jamais vu quelqu’un regarder du porno en cours, ni tenter
> de violer quelqu’un avec son smartphone, et le H+ était en prod quand
> j’ai eu mon bac.
> 
> -- 
> Alarig
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Alarig Le Lay]

On mar. 27 nov. 14:45:03 2018, David Ponzone wrote:
> Ohhh, la jolie perche :)
> 
> Oui et bizarrement, à cette époque (la mienne), les petits garçons à
> l’école n’avaient pas l’idée d’ouvrir une revue porno dans la cour, en
> tentant de s’entrainer avec une camarade de classe contre son gré.
> 
> La comparaison kiosque à journaux / smartphone me semble un peu risquée non ? 
> :)

Heu, je n’ai jamais vu quelqu’un regarder du porno en cours, ni tenter
de violer quelqu’un avec son smartphone, et le H+ était en prod quand
j’ai eu mon bac.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Bruno Pagani]

Le 27/11/2018 à 14:19, Thierry Chich a écrit :
>> D’autre part, comme dit Stéphane, c’est aux parents de s’occuper de
>> leurs enfants. On va pas interdire de vendre des briquets et des
>> couteaux parce que même si c’est très utile, les enfants peuvent faire
>> des bêtises avec donc voilà. La solution, c’est qu’on laisse pas ces
>> outils à portée de main des enfants, sauf éventuellement sous
>> surveillance. Bah Internet c’est pareil.
> Non, c'est pas pareil du tout. Sur Internet, il y a l'ENT des élèves,
> il y a youtube, de la musique,  des jeux vidéos, ides ressources
> pédagogiques, et puis il y a aussi de la pornographie, crade et même
> au delà du crade. 
> C'est trop facile de dégager sur les parents et les éducateurs comme ça.

Mon point c’était : il y a des usages positifs et des usages négatifs si
on ne sait pas s’en servir/contrôler ce qu’on fait. Le rôle des adultes
c’est de protéger les enfants des usages dangereux pour eux. Ça passe
par leur apprendre à s’en servir correctement, et par le mettre hors de
leur portée quand on ne peut pas surveiller.

Après je suis d’accord qu’il faut fournir des solutions aux parents et
aux établissement pour ça, mais concernant les premiers en particulier
je doute que ce soit l’interception de TLS sur une middlebox qui
corresponde à une solution « gérable ». On est dans un milieu où une
liste blanche sur le terminal, étendue au besoin, reste la solution la
plus simple si on ne veut pas mettre le terminal purement et simplement
hors de portée en l’absence de surveillance.



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[David Ponzone]

Ohhh, la jolie perche :)

Oui et bizarrement, à cette époque (la mienne), les petits garçons à l’école 
n’avaient pas l’idée d’ouvrir une revue porno dans la cour, en tentant de 
s’entrainer avec une camarade de classe contre son gré.

La comparaison kiosque à journaux / smartphone me semble un peu risquée non ? :)

> Le 27 nov. 2018 à 14:28, Alarig Le Lay  a écrit :
> 
> On mar. 27 nov. 14:19:59 2018, Thierry Chich wrote:
>> Non, c'est pas pareil du tout. Sur Internet, il y a l'ENT des élèves, il y a
>> youtube, de la musique,  des jeux vidéos, ides ressources pédagogiques, et
>> puis il y a aussi de la pornographie, crade et même au delà du crade.
>> C'est trop facile de dégager sur les parents et les éducateurs comme ça.
> 
> Dans un bureau de tabac, y’a des dictionnaires, des magazines de
> jardinage, des jeux à gratter, des clopes et des revues pronos.
> 
> -- 
> Alarig
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Alarig Le Lay]

On mar. 27 nov. 14:19:59 2018, Thierry Chich wrote:
> Non, c'est pas pareil du tout. Sur Internet, il y a l'ENT des élèves, il y a
> youtube, de la musique,  des jeux vidéos, ides ressources pédagogiques, et
> puis il y a aussi de la pornographie, crade et même au delà du crade.
> C'est trop facile de dégager sur les parents et les éducateurs comme ça.

Dans un bureau de tabac, y’a des dictionnaires, des magazines de
jardinage, des jeux à gratter, des clopes et des revues pronos.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Thierry Chich]

D’autre part, comme dit Stéphane, c’est aux parents de s’occuper de
leurs enfants. On va pas interdire de vendre des briquets et des
couteaux parce que même si c’est très utile, les enfants peuvent faire
des bêtises avec donc voilà. La solution, c’est qu’on laisse pas ces
outils à portée de main des enfants, sauf éventuellement sous
surveillance. Bah Internet c’est pareil.
Non, c'est pas pareil du tout. Sur Internet, il y a l'ENT des élèves, il 
y a youtube, de la musique,  des jeux vidéos, ides ressources 
pédagogiques, et puis il y a aussi de la pornographie, crade et même au 
delà du crade.

C'est trop facile de dégager sur les parents et les éducateurs comme ça.





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Manuel Guesdon]

Bonjour,

On Tue, 27 Nov 2018 11:35:49 +0100
Thierry Chich  wrote:
>| Le 26/11/2018 à 15:53, Bruno Pagani a écrit :
>| > Et c’est tant mieux, car c’est effectivement un gros manque pour la
>| > protection de la vie privée.
>| >
>| > La réponse pour la protection des enfants, c’est que ça se passe sur le
>| > terminal de l’utilisateur, pas ailleurs sur le chemin. Si on n’est pas
>| > capable de contrôler le terminal des enfants et l’usage qu’ils en font,
>| > le problème ne se situe pas au niveau des protocoles utilisés sur Internet.
>| >
>| 
>| Ca, c'est la théorie. La pratique, c'est qu'il n'y a rien. On a family 
>| link sur android, un truc chez apple, un peu du n'importe quoi sur les 
>| PC, mais rien qui soit simple, centralisable, gérable depuis une école 
>| ou un collège.

Contacter https://www.xooloo.com/ : a ma connaissance ils ont plusieurs
solutions dans ce domaine. Après je ne sais pas s'il y en a d'adaptées à ce
cas.

Manuel 

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Refuznik]

Pour un collège comme pour une entreprise on embauche un adminsys qui
mettra en place une solution adaptée.
Désolé, si on est pas capable de gérer un réseau ou un parc informatique on
change de métier.

Le mar. 27 nov. 2018 à 11:36, Thierry Chich 
a écrit :

>
>
> Le 26/11/2018 à 15:53, Bruno Pagani a écrit :
> > Et c’est tant mieux, car c’est effectivement un gros manque pour la
> > protection de la vie privée.
> >
> > La réponse pour la protection des enfants, c’est que ça se passe sur le
> > terminal de l’utilisateur, pas ailleurs sur le chemin. Si on n’est pas
> > capable de contrôler le terminal des enfants et l’usage qu’ils en font,
> > le problème ne se situe pas au niveau des protocoles utilisés sur
> Internet.
> >
>
> Ca, c'est la théorie. La pratique, c'est qu'il n'y a rien. On a family
> link sur android, un truc chez apple, un peu du n'importe quoi sur les
> PC, mais rien qui soit simple, centralisable, gérable depuis une école
> ou un collège.
>
> Thierry
>
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Thierry Chich]

Le 26/11/2018 à 15:53, Bruno Pagani a écrit :

Et c’est tant mieux, car c’est effectivement un gros manque pour la
protection de la vie privée.

La réponse pour la protection des enfants, c’est que ça se passe sur le
terminal de l’utilisateur, pas ailleurs sur le chemin. Si on n’est pas
capable de contrôler le terminal des enfants et l’usage qu’ils en font,
le problème ne se situe pas au niveau des protocoles utilisés sur Internet.



Ca, c'est la théorie. La pratique, c'est qu'il n'y a rien. On a family 
link sur android, un truc chez apple, un peu du n'importe quoi sur les 
PC, mais rien qui soit simple, centralisable, gérable depuis une école 
ou un collège.


Thierry




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Michael Bazy]

Mais à faire pour :
www.google.ca
www.google.fr
www.google.it
www.google.co.uk
www.google.be
www.google.cn
www.google.com.au
etc...

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Nico 
CARTRON
Envoyé : lundi 26 novembre 2018 15:48
À : Denis Fondras 
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on 
Operators

Hello,

On 26-nov-2018 15:41 CET,  wrote:

> Pour le coup, Google a fait du bon travail de filtrage avec 
> forcesafesearch.google.com...  mais c'est du DNS menteur :)

Ca tombe quand même chez Google (CNAME forsafesearch.google.com pour 
www.google.com), donc un poil moins bourrin ;)

--
Nico


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Bruno Pagani]

Le 26/11/2018 à 15:41, Denis Fondras a écrit :
> On Mon, Nov 26, 2018 at 03:30:33PM +0100, Alexis wrote:
>> J'ai lu très attentivement l'article (merci beaucoup Stephane, le travail
>> est très qualitatif) et il est précisé :
>>
>> "De même (section 6 du RFC), TLS ne masque pas tout et permet quand même
>> certaines activités de surveillance. Ainsi, le nom du serveur contacté,
>> indiqué dans l'extension TLS SNI (/Server Name Indication/, section 3 du RFC
>> 6066 ) n'est pas chiffré et peut donc
>> être vu."
>>
> Pour combien de temps ? Un RFC est en cours d'élaboration pour chiffrer le
> SNI...

Et c’est tant mieux, car c’est effectivement un gros manque pour la
protection de la vie privée.

La réponse pour la protection des enfants, c’est que ça se passe sur le
terminal de l’utilisateur, pas ailleurs sur le chemin. Si on n’est pas
capable de contrôler le terminal des enfants et l’usage qu’ils en font,
le problème ne se situe pas au niveau des protocoles utilisés sur Internet.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Nico CARTRON]

Hello,

On 26-nov-2018 15:41 CET,  wrote:

> Pour le coup, Google a fait du bon travail de filtrage avec
> forcesafesearch.google.com...  mais c'est du DNS menteur :)

Ca tombe quand même chez Google (CNAME forsafesearch.google.com pour
www.google.com), donc un poil moins bourrin ;)

-- 
Nico


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Denis Fondras]

On Mon, Nov 26, 2018 at 03:30:33PM +0100, Alexis wrote:
> J'ai lu très attentivement l'article (merci beaucoup Stephane, le travail
> est très qualitatif) et il est précisé :
> 
> "De même (section 6 du RFC), TLS ne masque pas tout et permet quand même
> certaines activités de surveillance. Ainsi, le nom du serveur contacté,
> indiqué dans l'extension TLS SNI (/Server Name Indication/, section 3 du RFC
> 6066 ) n'est pas chiffré et peut donc
> être vu."
> 

Pour combien de temps ? Un RFC est en cours d'élaboration pour chiffrer le
SNI...

> En découle donc la possibilité pour les contrôles parentaux automatisés de
> supporter le filtrage de sites TLS sans pour autant nuire à la vie privée de
> l'utilisateur ... et sans aucune méthode crade ! Donc même pas besoin d'"un
> peu plus d'ardeur de la part des différents grands", c'est déjà possible,
> déjà fonctionnel, déjà utilisable.
> 

Pour le coup, Google a fait du bon travail de filtrage avec
forcesafesearch.google.com...  mais c'est du DNS menteur :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Alexis]

J'ai lu très attentivement l'article (merci beaucoup Stephane, le 
travail est très qualitatif) et il est précisé :


"De même (section 6 du RFC), TLS ne masque pas tout et permet quand même 
certaines activités de surveillance. Ainsi, le nom du serveur contacté, 
indiqué dans l'extension TLS SNI (/Server Name Indication/, section 3 du 
RFC 6066 ) n'est pas chiffré et 
peut donc être vu."


Je viens de faire un coup de Wireshark pour vérifier : sur un paquet 
Client Hello TLSv1.2, on voit en clair du "Server Name: www.gstatic.com" 
(paquet pris au hasard).


En découle donc la possibilité pour les contrôles parentaux automatisés 
de supporter le filtrage de sites TLS sans pour autant nuire à la vie 
privée de l'utilisateur ... et sans aucune méthode crade ! Donc même pas 
besoin d'"un peu plus d'ardeur de la part des différents grands", c'est 
déjà possible, déjà fonctionnel, déjà utilisable.


Alexis

Le 26/11/2018 à 14:25, Thierry Chich a écrit :

Les DNS menteurs, c'est le mal, le non chiffrement, c'est le mal. Ok !

Mais les gamins de 12 ans qui s'abîment sur des sites pornos, c'est 
pas le bien non plus. J'aurais aimé un peu plus d'ardeur de la part 
des différents grands à la manœuvre du chiffrement de partout (Google, 
Mozilla, etc.) pour mettre en place des systèmes simples utilisables 
pour la protection des mineurs, dans les écoles ou les familles.


Le 23/11/2018 à 21:19, Stephane Bortzmeyer a écrit :

La vie privée sur l'Internet fait aujourd'hui l'objet d'innombrables
attaques et l'une des techniques de défense les plus efficaces contre
ces attaques est le chiffrement des données. Il protège également
contre une autre menace, la modification des données en transit, comme
le font certaines FAI. Il y a de nombreuses campagnes de
sensibilisation pour promouvoir le chiffrement , avec des bons
résultats. Évidemment, ce chiffrement gène ceux qui voudraient
espionner et modifier le trafic, et il fallait donc s'attendre à voir
une réaction. Ce RFC est l'expression de cette réaction, du côté de
certains opérateurs réseaux, qui regrettent que le chiffrement empêche
leurs mauvaises pratiques.

https://www.bortzmeyer.org/8404.html








---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Thierry Chich]

Les DNS menteurs, c'est le mal, le non chiffrement, c'est le mal. Ok !

Mais les gamins de 12 ans qui s'abîment sur des sites pornos, c'est pas 
le bien non plus. J'aurais aimé un peu plus d'ardeur de la part des 
différents grands à la manœuvre du chiffrement de partout (Google, 
Mozilla, etc.) pour mettre en place des systèmes simples utilisables 
pour la protection des mineurs, dans les écoles ou les familles.


Le 23/11/2018 à 21:19, Stephane Bortzmeyer a écrit :

La vie privée sur l'Internet fait aujourd'hui l'objet d'innombrables
attaques et l'une des techniques de défense les plus efficaces contre
ces attaques est le chiffrement des données. Il protège également
contre une autre menace, la modification des données en transit, comme
le font certaines FAI. Il y a de nombreuses campagnes de
sensibilisation pour promouvoir le chiffrement , avec des bons
résultats. Évidemment, ce chiffrement gène ceux qui voudraient
espionner et modifier le trafic, et il fallait donc s'attendre à voir
une réaction. Ce RFC est l'expression de cette réaction, du côté de
certains opérateurs réseaux, qui regrettent que le chiffrement empêche
leurs mauvaises pratiques.

https://www.bortzmeyer.org/8404.html








---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[David Ponzone]

1 FF ? Ça va, j’en ai au moins 2 anciens FF pour accéder à je sais plus quelles 
merdouilles de 10 ans d’âge.

A un moment, j’ai tenté de reverse-proxié l’accès à ces merdes mais parfois 
c’est pas possible (ou j’ai pas cherché assez).
Et encore faut-il que le reverse-proxy utilisé n’abandonne pas non plus l’algo 
défaillant.

David Ponzone



> Le 25 nov. 2018 à 18:02, Xavier Beaudouin  a écrit :
> 
> Hello,
> 
>> JFB (pour la fermeture du port 80)
> 
> 
> 
> Je suis assez d'accord, mais d'un autre coté, vu le nombre de fois en tant 
> netops a cliquer sur "taggl je sais ce que je fais" quand j'ai un équipement 
> réseau avec une interface à cliquodrome pour gérer le merdier mais avec un 
> certif self signé, on voit que la sécurité avec du https partout n'est pas 
> encore optimale. 
> 
> Parce que rien n'empêche dans ce cas là d'avoir un MiM qui intercepte le 
> bouzin 
> 
> Donc tant qu'on ne pourras pas faire facilement "letsencrypt fout moi ton 
> certif sur cet netgear/juncisco/huatik/..." alors voila...
> 
> Ah aussi un point "mauvais" élève au fabriquant de boite violettes avec les 
> ssh avec des cypher loose ou uniquement du sslv3, pratique quand on doit 
> avoir chrome pour y accéder car Firefox interdit l'accès. Le jour ou Chrome 
> le fait plus, il vas falloir que je garde un vieux FF dans une VM juste pour 
> configurer un machin ?
> 
> On arrive vite à l'équivalent de IE6 obligatoire d'il y a quelques années (je 
> croyais qu'on allais arrêter ces conneries...), donc le CLI en SSH c'est 
> BIEN. Au moins une fois que tu as accepté la PK du SSH t'es à peu près sûr 
> que c'est le bon équipement...
> 
> 
> 
> 
> /Xavier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[François Raynaud]

Bonsoir,

Pour ajouter un exemple à ce que vous venez de dire, n'oublions pas qu'on
en est toujours là: http://neverssl.com/

Cordialement,
François Raynaud


Le dim. 25 nov. 2018 à 18:03, Xavier Beaudouin  a écrit :

> Hello,
>
> > JFB (pour la fermeture du port 80)
>
> 
>
> Je suis assez d'accord, mais d'un autre coté, vu le nombre de fois en tant
> netops a cliquer sur "taggl je sais ce que je fais" quand j'ai un
> équipement réseau avec une interface à cliquodrome pour gérer le merdier
> mais avec un certif self signé, on voit que la sécurité avec du https
> partout n'est pas encore optimale.
>
> Parce que rien n'empêche dans ce cas là d'avoir un MiM qui intercepte le
> bouzin
>
> Donc tant qu'on ne pourras pas faire facilement "letsencrypt fout moi ton
> certif sur cet netgear/juncisco/huatik/..." alors voila...
>
> Ah aussi un point "mauvais" élève au fabriquant de boite violettes avec
> les ssh avec des cypher loose ou uniquement du sslv3, pratique quand on
> doit avoir chrome pour y accéder car Firefox interdit l'accès. Le jour ou
> Chrome le fait plus, il vas falloir que je garde un vieux FF dans une VM
> juste pour configurer un machin ?
>
> On arrive vite à l'équivalent de IE6 obligatoire d'il y a quelques années
> (je croyais qu'on allais arrêter ces conneries...), donc le CLI en SSH
> c'est BIEN. Au moins une fois que tu as accepté la PK du SSH t'es à peu
> près sûr que c'est le bon équipement...
>
>
> 
>
> /Xavier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Xavier Beaudouin]

Hello,

> JFB (pour la fermeture du port 80)



Je suis assez d'accord, mais d'un autre coté, vu le nombre de fois en tant 
netops a cliquer sur "taggl je sais ce que je fais" quand j'ai un équipement 
réseau avec une interface à cliquodrome pour gérer le merdier mais avec un 
certif self signé, on voit que la sécurité avec du https partout n'est pas 
encore optimale. 

Parce que rien n'empêche dans ce cas là d'avoir un MiM qui intercepte le 
bouzin 

Donc tant qu'on ne pourras pas faire facilement "letsencrypt fout moi ton 
certif sur cet netgear/juncisco/huatik/..." alors voila...

Ah aussi un point "mauvais" élève au fabriquant de boite violettes avec les ssh 
avec des cypher loose ou uniquement du sslv3, pratique quand on doit avoir 
chrome pour y accéder car Firefox interdit l'accès. Le jour ou Chrome le fait 
plus, il vas falloir que je garde un vieux FF dans une VM juste pour configurer 
un machin ?

On arrive vite à l'équivalent de IE6 obligatoire d'il y a quelques années (je 
croyais qu'on allais arrêter ces conneries...), donc le CLI en SSH c'est BIEN. 
Au moins une fois que tu as accepté la PK du SSH t'es à peu près sûr que c'est 
le bon équipement...




/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RFC 8404: Effects of Pervasive Encryption on Operators

[Jean-Francois Billaud]

On 23/11/2018 21:19, Stephane Bortzmeyer wrote:

> La vie privée sur l'Internet fait aujourd'hui l'objet d'innombrables
> attaques et l'une des techniques de défense les plus efficaces contre
> ces attaques est le chiffrement des données. Il protège également
> contre une autre menace, la modification des données en transit, comme
> le font certaines FAI. Il y a de nombreuses campagnes de
> sensibilisation pour promouvoir le chiffrement , avec des bons
> résultats. Évidemment, ce chiffrement gène ceux qui voudraient
> espionner et modifier le trafic, et il fallait donc s'attendre à voir
> une réaction. Ce RFC est l'expression de cette réaction, du côté de
> certains opérateurs réseaux, qui regrettent que le chiffrement empêche
> leurs mauvaises pratiques.
> 
> https://www.bortzmeyer.org/8404.html

En attendant la disparition complète des protocoles non chiffrés :
https://tools.ietf.org/html/draft-ietf-tls-oldversions-deprecate-01
Deprecating TLSv1.0 and TLSv1.1
draft-ietf-tls-oldversions-deprecate-01
K. Moriarty - S. Farrell

Ça serait aussi une bonne idée que l'ANSSI mette son guide à jour :
https://www.ssi.gouv.fr/uploads/2016/09/guide_tls_v1.1.pdf
(ajout de TLSv1.3, X25519, CHACHA20, suppression de brainpool, camellia, aria)


JFB (pour la fermeture du port 80)

-- 
If you think the problem is bad now, just wait until we've solved it.
-- Arthur Kasspe


---
Liste de diffusion du FRnOG
http://www.frnog.org/