Re: [FRnOG] [MISC] Fake or note Fake
Bonjour, Le passage en HTTPS annoncé concerne les sites du SSI.GOUV.FR et du CERT.FR. Il ne faut pas confondre scan des éléments d’infrastructure exposé sur internet et audit de sécurité. Les SCANS réalisés ne sont pas intrusifs. Les scans sont réalisés pour avertir, une exposition aux risques sur des vulnérabilités publiées telles que Citrix, RDP, MAZE, etc. Il s’agit d’action de prévention de la part du CERT FR dans le cadre de sa mission de centre gouvernemental de veille d’alerte et de réponse aux attaques informatiques. L’objectif est d’améliorer le niveau global de la sécurité en France, et de rappeler des mesures d’hygiènes comme le patch régulier. Toutes les entreprises n’ont pas de RSSI, et tous les administrateurs ne suivent pas l’actualité CYBER. Pour demander un audit de ton infra, tu dois être soit OIV soit OSE ou être déjà victime. Un audit gratuit par des experts ça ne s’obtient pas en claquant des doigts. Le mer. 19 févr. 2020 à 23:36, a écrit : > > > > On Feb 19, 2020, at 4:25 AM, Francois Prems > wrote: > > > > Mouais, perso je trouve ça bien étrange que l'ANSSI ait une page web non > > https, c'est un peu la base pour eux non ? > Tu dis ça mais ils ont shared un post il y a pas longtemps pour dire > qu’ils passaient leurs sites en https > > > Quand à la méthode qui consiste à faire du scan pour évaluer les > > vulnérabilités, ça me dérange de la part de l'anssi, sauf si je leur > > demande un audit de mon infra... > > > > Mon avis : c'est louche. > > > > Dans le doute, y a moyen d'avoir le fin mot : > > https://www.cybermalveillance.gouv.fr/ > > https://www.ssi.gouv.fr/en-cas-dincident/ > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
> On Feb 19, 2020, at 4:25 AM, Francois Prems wrote: > > Mouais, perso je trouve ça bien étrange que l'ANSSI ait une page web non > https, c'est un peu la base pour eux non ? Tu dis ça mais ils ont shared un post il y a pas longtemps pour dire qu’ils passaient leurs sites en https > Quand à la méthode qui consiste à faire du scan pour évaluer les > vulnérabilités, ça me dérange de la part de l'anssi, sauf si je leur > demande un audit de mon infra... > > Mon avis : c'est louche. > > Dans le doute, y a moyen d'avoir le fin mot : > https://www.cybermalveillance.gouv.fr/ > https://www.ssi.gouv.fr/en-cas-dincident/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Merci Le mer. 19 févr. 2020 à 12:27, Joris 'Tifox' BOQUET a écrit : > retour de l'anssi > > Bonjour, > > > > Après vérification, nous vous confirmons que l'adresse 92.154.95.236 > > appartient bien à l'ANSSI. > > > > Cordialement, > > > > VC > > > > -- > > ANSSI/SDO/CERT-FR > > Agence nationale de la sécurité des systèmes d'information > > Centre opérationnel de la sécurité des systèmes d'information > > Centre d'Expertise gouvernemental de Réponse et de Traitement des > > Attaques informatiques > > 51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP > > Tel : +33 (0)1 71 75 84 68 - Fax : +33 (0)1 71 75 84 70 > > Mel : cert-fr.co...@ssi.gouv.fr - Web : http://www.cert.ssi.gouv.fr > > > > pour le reste, effectivement c'est crade., peut être volontaire dans le > cadre du monitoring d'OIV mais bon au moins on est fixé > > > Le mer. 19 févr. 2020 à 12:22, Vincent a écrit : > > > Le 19/02/2020 à 11:42, Guillaume Tournat via frnog a écrit : > > > > > > Le 19/02/2020 à 11:31, Daniel via frnog a écrit : > > >> > > >> Le 19/02/2020 à 11:24, Francois Prems a écrit : > > >>> Mouais, perso je trouve ça bien étrange que l'ANSSI ait une page web > > >>> non > > >>> https, c'est un peu la base pour eux non ? > > >> Je trouve aussi > > > > > > > > > https, avec certificat valide, n'a d'intérêt que si l'on veut garantir > > > l'intégrité et la confidentialité de l'information. > > > > > > là, c'est juste une page statique d'information, aucun intérêt pour la > > > confidentialité. > > > > Ce que l'on chercher, actuellement, c'est bien d'authentifier cette > > page. Et non la confidentialité ( au contraire ). > > > > > > L'authenticité de l'information est permise par le certificat. > > > > Sur une page comme celle-là, le plus important dans le https, c'est le > > certificat. > > > > > > > > > > > et pour pouvoir fonctionner en https, il faudrait l'atteindre avec un > > > FQDN. > > > > > > lorsque l'on est scanné par une IP, on a aucune idée du FQDN du site > > > pour la requêter. > > > > > > et ce n'est pas le reverse dns qui va nous aider... > > > > > > > > > --- > > > Liste de diffusion du FRnOG > > > http://www.frnog.org/ > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
On 19/02/2020 12:32, Julien Escario wrote: > Houlà, ils se donnent du mal pour ressembler à des scripts kiddies alors. Pour une administration, il n'y a pas grand chose dans les en-têtes de la page. JFB -- On-line, adj.: The idea that a human being should always be accessible to a computer. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
On 19/02/2020 11:52, Daniel via frnog wrote: >> et pour pouvoir fonctionner en https, il faudrait l'atteindre avec un FQDN. > Ah ? Mes sites sont accessibles en http (qui fait redirection vers https) via > l'IP et cela renvoit vers un forbidden Il va falloir penser à abandonner HTTP et a n'utiliser que HTTPS : authentification garantie, et accessoirement nettement moins de cochonneries dans les logs. >> lorsque l'on est scanné par une IP, on a aucune idée du FQDN du site pour la >> requêter. > Pour le certificat OK, il y aura erreur. Pour ceux qui veulent éviter ce genre d'erreur sur leurs serveurs : certificats avec les FQDN et les IP publiques (bientôt chez Letsencrypt : https://letsencrypt.org/upcoming-features/ ) Dans openssl.cnf : [ alt_names ] DNS.1 = example.net DNS.2 = www.example.net IP.1 = 198.51.100.1 IP.2 = 2001:db8::1 JFB -- Ne croyez pas ce que vous lisez, ni ce que vous écrivez. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
ownClouse Le mer. 19 févr. 2020 à 13:14, Dominique Rousseau a écrit : > Le Wed, Feb 19, 2020 at 12:42:56PM +0100, Wallace [wall...@morkitu.org] a > écrit: > > Pour mon information : > > > > - comment ont-ils identifié à qui devait être rapporté ces > > vulnérabilités (whois, mentions légales, ...) ? > > > > - comment ont-ils trouvé l'adresse de contact (security.txt, formulaire > > contact, ...)? > > > > - comment ont-ils authentifié leur mail (gpg) ? > > > > Merci par avance et si ce n'est pas sensible j'aimerais bien voir des > > bouts du mail et des entêtes. > > J'en ai deja recu aussi, ca avait cette tete la : > > From: incid...@cert.ssi.gouv.fr > To: ab...@nnx.com > Subject: [ANSSI - CERT-FR] Liste d'un ou plusieurs instances > ownClouse/NextCloud vulnérables - Du 06/02/2017 > > Pas de GPG ou autre, et un contenu plutot "informatif" plutot que > "alarmiste". > > Ils envoient aussi des notifications pour des défigurations de sites > (plutot "collectivites" que privés) ou des ips reliées à un botnet, par > exemple. > > > -- > Dominique Rousseau > Neuronnexion, Prestataire Internet & Intranet > 6 rue des Hautes cornes - 8 Amiens > tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Le Wed, Feb 19, 2020 at 12:42:56PM +0100, Wallace [wall...@morkitu.org] a écrit: > Pour mon information : > > - comment ont-ils identifié à qui devait être rapporté ces > vulnérabilités (whois, mentions légales, ...) ? > > - comment ont-ils trouvé l'adresse de contact (security.txt, formulaire > contact, ...)? > > - comment ont-ils authentifié leur mail (gpg) ? > > Merci par avance et si ce n'est pas sensible j'aimerais bien voir des > bouts du mail et des entêtes. J'en ai deja recu aussi, ca avait cette tete la : From: incid...@cert.ssi.gouv.fr To: ab...@nnx.com Subject: [ANSSI - CERT-FR] Liste d'un ou plusieurs instances ownClouse/NextCloud vulnérables - Du 06/02/2017 Pas de GPG ou autre, et un contenu plutot "informatif" plutot que "alarmiste". Ils envoient aussi des notifications pour des défigurations de sites (plutot "collectivites" que privés) ou des ips reliées à un botnet, par exemple. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 6 rue des Hautes cornes - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Pour mon information : - comment ont-ils identifié à qui devait être rapporté ces vulnérabilités (whois, mentions légales, ...) ? - comment ont-ils trouvé l'adresse de contact (security.txt, formulaire contact, ...)? - comment ont-ils authentifié leur mail (gpg) ? Merci par avance et si ce n'est pas sensible j'aimerais bien voir des bouts du mail et des entêtes. Le 19/02/2020 à 12:32, Julien Escario a écrit : > Houlà, ils se donnent du mal pour ressembler à des scripts kiddies alors. > > Je confirme qu'ils m'ont déjà pointé des services vulnérables sur notre > infra. Des instances Nextcloud très anciennes par exemple. > Ca permet de faire peur au client pour qu'il mette à jour quand on lui > dit que c'est l'agence de sécurité officielle de l'état qui remonte > l'info. Bizarrement, c'est mis à jour aussi sec alors qu'on en était au > 3ème mail d'alerte. > > Bref, fort utile dans certains cas. > > Julien > > Le 19/02/2020 à 12:27, Joris 'Tifox' BOQUET a écrit : >> retour de l'anssi >> >> Bonjour, >>> Après vérification, nous vous confirmons que l'adresse 92.154.95.236 >>> appartient bien à l'ANSSI. >>> >>> Cordialement, >>> >>> VC >>> >>> -- >>> ANSSI/SDO/CERT-FR >>> Agence nationale de la sécurité des systèmes d'information >>> Centre opérationnel de la sécurité des systèmes d'information >>> Centre d'Expertise gouvernemental de Réponse et de Traitement des >>> Attaques informatiques >>> 51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP >>> Tel : +33 (0)1 71 75 84 68 - Fax : +33 (0)1 71 75 84 70 >>> Mel : cert-fr.co...@ssi.gouv.fr - Web : http://www.cert.ssi.gouv.fr > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Houlà, ils se donnent du mal pour ressembler à des scripts kiddies alors. Je confirme qu'ils m'ont déjà pointé des services vulnérables sur notre infra. Des instances Nextcloud très anciennes par exemple. Ca permet de faire peur au client pour qu'il mette à jour quand on lui dit que c'est l'agence de sécurité officielle de l'état qui remonte l'info. Bizarrement, c'est mis à jour aussi sec alors qu'on en était au 3ème mail d'alerte. Bref, fort utile dans certains cas. Julien Le 19/02/2020 à 12:27, Joris 'Tifox' BOQUET a écrit : > retour de l'anssi > > Bonjour, >> >> Après vérification, nous vous confirmons que l'adresse 92.154.95.236 >> appartient bien à l'ANSSI. >> >> Cordialement, >> >> VC >> >> -- >> ANSSI/SDO/CERT-FR >> Agence nationale de la sécurité des systèmes d'information >> Centre opérationnel de la sécurité des systèmes d'information >> Centre d'Expertise gouvernemental de Réponse et de Traitement des >> Attaques informatiques >> 51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP >> Tel : +33 (0)1 71 75 84 68 - Fax : +33 (0)1 71 75 84 70 >> Mel : cert-fr.co...@ssi.gouv.fr - Web : http://www.cert.ssi.gouv.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
retour de l'anssi Bonjour, > > Après vérification, nous vous confirmons que l'adresse 92.154.95.236 > appartient bien à l'ANSSI. > > Cordialement, > > VC > > -- > ANSSI/SDO/CERT-FR > Agence nationale de la sécurité des systèmes d'information > Centre opérationnel de la sécurité des systèmes d'information > Centre d'Expertise gouvernemental de Réponse et de Traitement des > Attaques informatiques > 51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP > Tel : +33 (0)1 71 75 84 68 - Fax : +33 (0)1 71 75 84 70 > Mel : cert-fr.co...@ssi.gouv.fr - Web : http://www.cert.ssi.gouv.fr > > pour le reste, effectivement c'est crade., peut être volontaire dans le cadre du monitoring d'OIV mais bon au moins on est fixé Le mer. 19 févr. 2020 à 12:22, Vincent a écrit : > Le 19/02/2020 à 11:42, Guillaume Tournat via frnog a écrit : > > > > Le 19/02/2020 à 11:31, Daniel via frnog a écrit : > >> > >> Le 19/02/2020 à 11:24, Francois Prems a écrit : > >>> Mouais, perso je trouve ça bien étrange que l'ANSSI ait une page web > >>> non > >>> https, c'est un peu la base pour eux non ? > >> Je trouve aussi > > > > > > https, avec certificat valide, n'a d'intérêt que si l'on veut garantir > > l'intégrité et la confidentialité de l'information. > > > > là, c'est juste une page statique d'information, aucun intérêt pour la > > confidentialité. > > Ce que l'on chercher, actuellement, c'est bien d'authentifier cette > page. Et non la confidentialité ( au contraire ). > > > L'authenticité de l'information est permise par le certificat. > > Sur une page comme celle-là, le plus important dans le https, c'est le > certificat. > > > > > > > et pour pouvoir fonctionner en https, il faudrait l'atteindre avec un > > FQDN. > > > > lorsque l'on est scanné par une IP, on a aucune idée du FQDN du site > > pour la requêter. > > > > et ce n'est pas le reverse dns qui va nous aider... > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Le 19/02/2020 à 11:42, Guillaume Tournat via frnog a écrit : > > Le 19/02/2020 à 11:31, Daniel via frnog a écrit : >> >> Le 19/02/2020 à 11:24, Francois Prems a écrit : >>> Mouais, perso je trouve ça bien étrange que l'ANSSI ait une page web >>> non >>> https, c'est un peu la base pour eux non ? >> Je trouve aussi > > > https, avec certificat valide, n'a d'intérêt que si l'on veut garantir > l'intégrité et la confidentialité de l'information. > > là, c'est juste une page statique d'information, aucun intérêt pour la > confidentialité. Ce que l'on chercher, actuellement, c'est bien d'authentifier cette page. Et non la confidentialité ( au contraire ). L'authenticité de l'information est permise par le certificat. Sur une page comme celle-là, le plus important dans le https, c'est le certificat. > > > et pour pouvoir fonctionner en https, il faudrait l'atteindre avec un > FQDN. > > lorsque l'on est scanné par une IP, on a aucune idée du FQDN du site > pour la requêter. > > et ce n'est pas le reverse dns qui va nous aider... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Sur le principe pourquoi pas si ça peut aider à améliorer le tout. Mais ça va à l'encontre de la loi qui interdit les scans de réseaux qui nous appartiennent pas... mais l'Etat aime bien être au dessus des lois ... Le 19/02/2020 à 11:35, Hugues Voiturier a écrit : > Allez, moi je pense que c’est pas du flan, j’ai déjà eu des petits mails de > l’ANSSI pour m’informer de devices troués chez mes clients, donc je sais > qu’ils font du scan. > > Et l’hypothèse du particulier qui se prendrait pour l’ANSSI, bon, pourquoi > pas, mais je n’y crois pas vraiment… > > > Hugues > AS57199 - AS50628 > >> On 19 Feb 2020, at 11:07, Kevin Thiou wrote: >> >> Bonjour, >> >> j'ai une ip qui me scan un peu, pas trop mais passionnément : 92.154.95.236 >> >> je vous laisse aller sur le site http://92.154.95.236 >> >> Et me dire ce que vous en pensez. >> >> Bonne journée >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Le 19/02/2020 à 11:42, Guillaume Tournat via frnog a écrit : Le 19/02/2020 à 11:31, Daniel via frnog a écrit : Le 19/02/2020 à 11:24, Francois Prems a écrit : Mouais, perso je trouve ça bien étrange que l'ANSSI ait une page web non https, c'est un peu la base pour eux non ? Je trouve aussi https, avec certificat valide, n'a d'intérêt que si l'on veut garantir l'intégrité et la confidentialité de l'information. là, c'est juste une page statique d'information, aucun intérêt pour la confidentialité. Le jour ou tous les navigateurs refuseront d'accéder à des pages en http ou signaleront que ces pages ne sont pas sécurisées, on le fera bien. et pour pouvoir fonctionner en https, il faudrait l'atteindre avec un FQDN. Ah ? Mes sites sont accessibles en http (qui fait redirection vers https) via l'IP et cela renvoit vers un forbidden lorsque l'on est scanné par une IP, on a aucune idée du FQDN du site pour la requêter. Pour le certificat OK, il y aura erreur. [...] -- Daniel Huhardeaux +33.368460...@tootai.net sip:8...@sip.tootai.net +41.445532...@swiss-itech.chtootaiNET --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
j'ai fait un mail au certfr, on verra bien. je vous fait le retour ici Le mer. 19 févr. 2020 à 11:43, Guillaume Tournat via frnog a écrit : > > Le 19/02/2020 à 11:31, Daniel via frnog a écrit : > > > > Le 19/02/2020 à 11:24, Francois Prems a écrit : > >> Mouais, perso je trouve ça bien étrange que l'ANSSI ait une page web non > >> https, c'est un peu la base pour eux non ? > > Je trouve aussi > > > https, avec certificat valide, n'a d'intérêt que si l'on veut garantir > l'intégrité et la confidentialité de l'information. > > là, c'est juste une page statique d'information, aucun intérêt pour la > confidentialité. > > > et pour pouvoir fonctionner en https, il faudrait l'atteindre avec un FQDN. > > lorsque l'on est scanné par une IP, on a aucune idée du FQDN du site > pour la requêter. > > et ce n'est pas le reverse dns qui va nous aider... > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Le 19/02/2020 à 11:31, Daniel via frnog a écrit : Le 19/02/2020 à 11:24, Francois Prems a écrit : Mouais, perso je trouve ça bien étrange que l'ANSSI ait une page web non https, c'est un peu la base pour eux non ? Je trouve aussi https, avec certificat valide, n'a d'intérêt que si l'on veut garantir l'intégrité et la confidentialité de l'information. là, c'est juste une page statique d'information, aucun intérêt pour la confidentialité. et pour pouvoir fonctionner en https, il faudrait l'atteindre avec un FQDN. lorsque l'on est scanné par une IP, on a aucune idée du FQDN du site pour la requêter. et ce n'est pas le reverse dns qui va nous aider... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Allez, moi je pense que c’est pas du flan, j’ai déjà eu des petits mails de l’ANSSI pour m’informer de devices troués chez mes clients, donc je sais qu’ils font du scan. Et l’hypothèse du particulier qui se prendrait pour l’ANSSI, bon, pourquoi pas, mais je n’y crois pas vraiment… Hugues AS57199 - AS50628 > On 19 Feb 2020, at 11:07, Kevin Thiou wrote: > > Bonjour, > > j'ai une ip qui me scan un peu, pas trop mais passionnément : 92.154.95.236 > > je vous laisse aller sur le site http://92.154.95.236 > > Et me dire ce que vous en pensez. > > Bonne journée > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Le 19/02/2020 à 11:24, Francois Prems a écrit : Mouais, perso je trouve ça bien étrange que l'ANSSI ait une page web non https, c'est un peu la base pour eux non ? Je trouve aussi Quand à la méthode qui consiste à faire du scan pour évaluer les vulnérabilités, ça me dérange de la part de l'anssi, sauf si je leur demande un audit de mon infra... L'équivalent allemand de l'ANSSI fait cela et prévient si un port est ouvert et ne devrait pas l'être (typiquement netbios) avec obligation de le fermer dans un délai de quelques jours. [...] -- Daniel Huhardeaux +33.368460...@tootai.net sip:8...@sip.tootai.net +41.445532...@swiss-itech.chtootaiNET --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
mais c'est 100% n'imp, surement un kiddie qui a mis ça pour que justement les gens aient du doute et se disent : oh bah c'est l'anssi no souci et vu qu'il doit nmap comme un porc bah il se fait griller un petit lien vers le censys de l'ip récapitule le tout, https://censys.io/ipv4/92.154.95.236 un petit mail a abuse ou au cert anssi si VRAIMENT il scan ou test en ciblé cert-fr.co...@ssi.gouv.fr Le mer. 19 févr. 2020 à 11:25, Francois Prems a écrit : > Mouais, perso je trouve ça bien étrange que l'ANSSI ait une page web non > https, c'est un peu la base pour eux non ? > > Quand à la méthode qui consiste à faire du scan pour évaluer les > vulnérabilités, ça me dérange de la part de l'anssi, sauf si je leur > demande un audit de mon infra... > > Mon avis : c'est louche. > > Dans le doute, y a moyen d'avoir le fin mot : > https://www.cybermalveillance.gouv.fr/ > https://www.ssi.gouv.fr/en-cas-dincident/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Le 19/02/2020 à 11:17, Kevin Thiou a écrit : > Justement le whois ne m'a pas donné l'information que je cherchais. > > Ex-transpac et ANSSI je vois pas forcement le rapport direct mais merci La plupart des ministères et agences nationales sont servies par du Orange. Dans mon expérience, quand tu as un méchant, c'est quasi-systématiquement du CN, BR, UA, RU, whatelse. Au point que 'certains' mettent des filtres par pays dans leurs firewalls. Après, oui, ça peut être un fake bien monté par un mec abonné Orange mais il risque gros parce l'identifié ne sera pas un gros problème. Je gage que les gens de l'ANSSI ont les relations que les OIV pour identifier un abonné en quelques minutes. Si tu as un doute, ils sont plutôt dispos par e-mail. Tu risques d'avoir plus de chance de réponse/action qu'à la cellule abuse de l'agrume qui doit crouler sous les demandes. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Mouais, perso je trouve ça bien étrange que l'ANSSI ait une page web non https, c'est un peu la base pour eux non ? Quand à la méthode qui consiste à faire du scan pour évaluer les vulnérabilités, ça me dérange de la part de l'anssi, sauf si je leur demande un audit de mon infra... Mon avis : c'est louche. Dans le doute, y a moyen d'avoir le fin mot : https://www.cybermalveillance.gouv.fr/ https://www.ssi.gouv.fr/en-cas-dincident/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
le reverse est celui d'un abonne orange -> % host 92.154.95.236 > 236.95.154.92.in-addr.arpa domain name pointer > lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr. Le mer. 19 févr. 2020 à 11:13, Julien Escario a écrit : > Le 19/02/2020 à 11:07, Kevin Thiou a écrit : > > Bonjour, > > > > j'ai une ip qui me scan un peu, pas trop mais passionnément : > 92.154.95.236 > > > > je vous laisse aller sur le site http://92.154.95.236 > > > > Et me dire ce que vous en pensez. > > Bah, tu fais un whois sur l'IP, constate que c'est de l'ex-transpac donc > ça paraît cohérent. > Un whois propre avec l'identification de l'ANSSI pour le préfixe aurait > été un plus mais pas obligatoire car ressources 'legacy'. > > Et si tu as encore des doutes, tu écris à ab...@orange.fr pour leur > demander confirmation. > > Julien > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Justement le whois ne m'a pas donné l'information que je cherchais. Ex-transpac et ANSSI je vois pas forcement le rapport direct mais merci Le mer. 19 févr. 2020 à 11:11, Julien Escario a écrit : > Le 19/02/2020 à 11:07, Kevin Thiou a écrit : > > Bonjour, > > > > j'ai une ip qui me scan un peu, pas trop mais passionnément : > 92.154.95.236 > > > > je vous laisse aller sur le site http://92.154.95.236 > > > > Et me dire ce que vous en pensez. > > Bah, tu fais un whois sur l'IP, constate que c'est de l'ex-transpac donc > ça paraît cohérent. > Un whois propre avec l'identification de l'ANSSI pour le préfixe aurait > été un plus mais pas obligatoire car ressources 'legacy'. > > Et si tu as encore des doutes, tu écris à ab...@orange.fr pour leur > demander confirmation. > > Julien > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fake or note Fake
Le 19/02/2020 à 11:07, Kevin Thiou a écrit : > Bonjour, > > j'ai une ip qui me scan un peu, pas trop mais passionnément : 92.154.95.236 > > je vous laisse aller sur le site http://92.154.95.236 > > Et me dire ce que vous en pensez. Bah, tu fais un whois sur l'IP, constate que c'est de l'ex-transpac donc ça paraît cohérent. Un whois propre avec l'identification de l'ANSSI pour le préfixe aurait été un plus mais pas obligatoire car ressources 'legacy'. Et si tu as encore des doutes, tu écris à ab...@orange.fr pour leur demander confirmation. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Fake or note Fake
Bonjour, j'ai une ip qui me scan un peu, pas trop mais passionnément : 92.154.95.236 je vous laisse aller sur le site http://92.154.95.236 Et me dire ce que vous en pensez. Bonne journée --- Liste de diffusion du FRnOG http://www.frnog.org/