Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Bonjour, Le 24/02/2024 à 16:59, Radu-Adrian Feurdean a écrit : On Tue, Feb 20, 2024, at 17:49, Maxime DERCHE wrote: Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif", c'est même du quotidien sur le terrain à peu près partout. Dans le même genre on a le mythe de l'isolation sur un vlan séparé, où le serveur continue à traiter du trafic... L'antivirus Bon, donc il faut un anti-virus pour chaque iDRAC/iLO/ ? Ben, c'est surtout qu'il faut arrêter de mentir quand on parle de machine non connectée au réseau. Et oui si c'est infecté ça peut servir de relais, or sur ton réseau d'administration t'as généralement pas envie d'avoir d'emmerde, et surtout pas d'emmerde *anticipable*. apporte une protection antimalware, a minima vis-à-vis d'une base de signatures connues, ce qui n'est pas "rien", surtout si la base est mise à jour très régulièrement (chaque heure). Si la machine est branchée au réseau il apporte également une gestion unifiée des alertes, ce qui n'est pas rien non plus, surtout quand on connaît les temps de propagation (qui sont littéralement fulgurants quand tous les serveurs partagent la même architecture matérielle, le même OS et le même niveau de mise à jour, donc les mêmes vulnérabilités -- dès qu'un serveur est compromis c'est tout l'étage de l'infra qui l'est dans les secondes qui suivent), sans alerte il n'est pas envisageable de répondre à l'incident autrement que par un communiqué de presse et une notification à la CNIL. L'antivirus participe à la supervision au même titre que les sondes de température remontées par SNMP. Mouais donc pour repondre a un attaque fulgurante 0-day qui arrive un dimanche nuit a 02h47 et finit de s'installer sur toute l'infra avant 02h53, il te faut un anti-virus ? De preference le meilleur des meilleurs qui intercepte tout acces disque et tout acces reseau et prend son temps pour bien analyser (mais pas forcement trouver quand il y a des choses a trouver) ? Est-ce qu'il aide au moins lundi pour le communique de presse et la notification au CNIL ? Et les 3 precedents annees de fausses alertes et faux positifs ... non, rien... Euh tu confonds tellement de choses qu'on se demande quoi répondre... Un antivirus à base de signature n'a pas pour objectif de protéger contre des exploits 0-days qui précisément n'ont aucune chance d'être dans sa base. Et vu le prix des 0-days on évite de les gâcher : ton scénario est absurde. :-( Ensuite, évidemment une bonne analyse est préférable à une mauvaise analyse, surtout en considérant les très fortes contraintes de fonctionnement de ces logiciels (temps d'exécution, ressources consommées, nombre de différences sur le stockage entre deux scans, etc.). Les faux positifs, évidemment on s'en passerait, surtout côté SOC/CERT, et ils sont généralement d'autant plus gênants qu'ils sont extrêmement rares sur les bases de signatures, donc on a tendance à ne pas y croire. Ils sont moins rares sur la détection d'intrusion, surtout quand elle est mal réglée et/ou que l'activité change, mais ce sont des technologies très différentes d'un bête antivirus, donc hors-sujet ici. L'antivirus te permet de couvrir un risque. Un scénario d'attaque est modélisable par une chaîne de risques appliqués à des actifs, donc couper un risque particulier sur la totalité des actifs permet de casser un certain nombre de chaînes de risques, et c'est contrer autant de scénarii de risques à l'échelle globale de l'infrastructure. Tu ne serais pas avant-vente pour un editeur ou distributeur de solutions anti-virus ? C'est ahurissant de lire un truc pareil. :-) Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Bonjour, Le 21/02/2024 à 14:56, Stéphane Rivière a écrit : Note que les questionnaires de gestion des tierces parties sont généralement calqués sur le framework offert par ISO 27001/27002 Y a t'il un endroit où l'on peut lire un exemple détaillé de mise en œuvre des 27001/27002 ? J'ai trouvé quelques liens pour newbies mais rien de bien pratique : https://www.interfacing.com/fr/comparing-iso-27001-vs-iso-27002 https://en.wikipedia.org/wiki/ISO/IEC_27001 https://en.wikipedia.org/wiki/ISO/IEC_27002 Les textes des normes ne sont pas accessibles publiquement, il faut les acheter, par exemple sur la boutique de l'AFNOR (cf [1], [2], [3] et [4], tu peux prendre les normes ISO rebrandées NF sans te poser de question). Pour simplifier, ISO 27001 édicte des exigences génériques et ISO 27002 fournit une checklist d'actions concrètes permettant d'y répondre, exigence par exigence. À partir de ces deux listes, l'une plutôt management et l'autre plutôt technique, tu peux te construire ton management sécurité à ta sauce en piochant les choses qui t'intéressent, et c'est clairement fait pour cela puisque la démarche d'ISO 27001 est une démarche itérative où tu construis ton système de management de la sécurité de l'information (SMSI) au fur et à mesure de tes moyens/investissements/risques, idéalement en améliorant ton SMSI (et/ou en réduisant tes risques si tu crois ou pas à la religion de la gestion de risque) d'année en année, de cycle en cycle. J'avoue ne pas avoir sous la main de récit type "from zero to ISO 27001" mais ça doit largement exister, et puis tu peux aussi te renseigner chez tes confrères et consœurs qui peuvent avoir des retours très variés. Mais tu n'es absolument pas obligé d'adhérer à une démarche de certification, en tout cas pas en première intention. Un point important à prendre en compte est que ces textes constituent un langage commun pour les gens qui font de la sécurité, de la conformité, de la gestion de risque, de la protection des données personnelles (ISO 27701, qui est une extension d'ISO 27001). Donc montrer que tu peux calquer ta propre démarche sur le cadre fourni par la norme te permettra de te faire immédiatement comprendre de personnes très loin des professions techniques. Cela veut dire que tu seras immédiatement pris au sérieux par l'ensemble des parties prenantes dès l'instant où tu présenteras tes affaires en conformité sur la forme, même si sur le fond tu es loin d'être certifiable (ou que par principe la norme t'ennuie ou t'inquiète). Tu montres que tu as réfléchi au problème et qu'on peut discuter avec toi, tu ne fais pas partie des gens qui vont refuser d'installer un antivirus au fallacieux prétexte qu'il agrandit la sacro-sainte surface d'attaque (ahem). D'où l'idée de présenter à ta clientèle tes mesures de sécurité dans un document-type plan d'assurance qualité/sécurité en reprenant le format proposé par ISO 27001+27002, même si tu n'est pas à 100% aligné sur toutes les exigences (mais personne ne l'est). Au pire tu te retrouves à discuter avec la sécurité du client d'une roadmap datée pour corriger les points rédhibitoires, et au mieux tu évites complètement de remplir les questionnaires qui, disons-le franchement, emmerdent tout autant celles et ceux qui doivent les relire et les évaluer... [1] : <https://www.boutique.afnor.org/fr-fr/norme/nf-en-iso-iec-27001/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-syste/fa206487/349230> [2] : <https://www.boutique.afnor.org/fr-fr/norme/iso-iec-270012022/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-syste/xs142301/336842> [3] : <https://www.boutique.afnor.org/fr-fr/norme/nf-en-iso-iec-27002/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-mesur/fa204874/341766> [4] : <https://www.boutique.afnor.org/fr-fr/norme/iso-iec-270022022/securite-de-linformation-cybersecurite-et-protection-de-la-vie-privee-mesur/xs138637/320531> Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 20/02/2024 à 16:42, Nicolas Vigier a écrit : On Tue, 20 Feb 2024, Maxime DERCHE wrote: Bonjour Nicolas, Le 20/02/2024 à 09:36, Nicolas Vigier a écrit : On Mon, 19 Feb 2024, Vincent Duvernet wrote: Comment faire évoluer la situation sans faire bondir les admins réseaux ? Voici mes 2 cts : Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un "scoring" avec le nom de l'entreprise par catégorie (accès distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser des questions techniques pointues sans que le site ne fasse de rétention (donc faut un site de confiance on est bien d'accord). Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier Excel à la con en me faisant perdre mon temps. Et c'est comme cela que l'on se retrouve ensuite à devoir faire des trucs completement idiots dans le seul but d'augmenter le "scoring". Le questionnaire demande si toutes les machines font tourner un antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter le "scoring", la machine sous Linux non connectée au réseau fera donc desormais tourner une machine virtuelle Windows avec un antivirus, les antivirus homologués ne fonctionnant que sous Windows (avant peut-etre de la reinstaller completement sous Windows, pour simplifier), et nous allons la connecter au réseau afin de pouvoir mettre à jour l'antivirus. Alors celle-là on l'a entendue tellement de fois qu'on se demande encore comment on peut encore la tenter, mais ça rate jamais. C'est les lacs du Connemara. La machine sous Linux "non connectée au réseau" a une carte IPMI/iLO/etc. qui... est connectée au réseau. Une machine "non connectée au réseau" n'a évidement pas une carte IPMI/iLO/etc connectée au réseau sinon ca ne serait pas une machine non connectée au réseau. Si c'est une machine virtuelle alors elle est en plus connectée au réseau physique de l'hôte. Bref dans un périmètre technique réseau, tout ce qui existe est _forcément_ connecté. Et ce qui n'est pas connecté au réseau doit quand même être tenu à jour parce qu'il reste toujours le risque de l'accès physique à la machine, donc il n'y a vraiment pas moyen de prétendre un zéro réseau. Ca dépend des cas. Mais peu importe, c'était un exemple fictif où un antivirus n'apporte strictement rien. Si il y a un risque d'accès physique à la machine c'est pas un antivirus qui va y changer quoi que ce soit. Ah je peux t'assurer que ce n'est pas du tout un "exemple fictif", c'est même du quotidien sur le terrain à peu près partout. Dans le même genre on a le mythe de l'isolation sur un vlan séparé, où le serveur continue à traiter du trafic... L'antivirus apporte une protection antimalware, a minima vis-à-vis d'une base de signatures connues, ce qui n'est pas "rien", surtout si la base est mise à jour très régulièrement (chaque heure). Si la machine est branchée au réseau il apporte également une gestion unifiée des alertes, ce qui n'est pas rien non plus, surtout quand on connaît les temps de propagation (qui sont littéralement fulgurants quand tous les serveurs partagent la même architecture matérielle, le même OS et le même niveau de mise à jour, donc les mêmes vulnérabilités -- dès qu'un serveur est compromis c'est tout l'étage de l'infra qui l'est dans les secondes qui suivent), sans alerte il n'est pas envisageable de répondre à l'incident autrement que par un communiqué de presse et une notification à la CNIL. L'antivirus participe à la supervision au même titre que les sondes de température remontées par SNMP. Il n'y a pas si longtemps les infections se faisaient majoritairement hors-ligne, par des échanges de disquettes, même entre ami-es... Ce risque particulier n'a pas évolué. Évidemment les technologies antivirales ne se valent pas toutes, et leurs diverses implémentations non plus, et l'efficacité des équipes de reversers qui font les 3x8 en se relayant H24 à l'année pour tenir à jour les bases de signatures non plus. Ce n'est pas une raison pour cracher dans la soupe... Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la question de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une excuse (ou bien quand on fait de l'OpenBSD :p). Et sachant que plusieurs vulnérabilités critiques sur Clamav on deja été annoncées dans le passé, cela rajoute de la surface d'attaque sur la machine. Ce qui peut valoir le cout ou pas suivant le contexte. Mais lol, cette mauvaise fois. :-) L'antivirus te permet de couvrir un risque. Un scénario d'attaque est modélisable par une chaîne de risques appliqués à des actifs, donc couper un risque particulier sur la totalité des actifs permet de casser un certain nombre de chaînes de risques,
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Bonjour Laurent, Le 20/02/2024 à 16:04, Laurent Barme a écrit : Le 20/02/2024 à 15:00, Maxime DERCHE a écrit : … Ce sont ces décennies de culture toxique dans toute notre industrie qui nous ont mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la sécurité et se retrouvent maintenant face à la loi et la sécurité. Churchill aurait dit ça où et dans quelles circonstances ? Au temps pour moi, en fait ce n'est pas lui : <https://www.lemonde.fr/les-decodeurs/article/2015/01/27/ces-citations-que-winston-churchill-n-a-jamais-prononcees_4563755_4355770.html>. Personne ne va les plaindre. Et il n'y a pas les gentils d'un côté et les méchants de l'autre car les gentils sont déjà certifiés depuis belle lurette, il ne reste que les mauvais, c'est-à-dire ceux qui se sont fait pirater sans le dire et ceux qui sont obligés de l'avouer. Ah, alors il suffit d'être certifié pour être protégé ? Et ceux qui ne sont pas certifiés se sont nécessairement fait pirater, qu'ils l'aient avoué ou non ? Les bons n'ont jamais eu de mal à obtenir une certification, en fait beaucoup d'entre eux ont des standards bien au-dessus des normes, et ce depuis longtemps. Certains lisent d'ailleurs ces lignes. La certification n'est jamais qu'un papier qui évite d'avoir à remplir d'autres papiers. Elle ne distingue pas les gens qui n'ont que de la sécurité de papier de celles et ceux qui prennent leur devoir moral au sérieux. Et oui, les mauvais par contre, on les voit tous les jours aux informations. Parfois on l'apprend des mois voire des années plus tard. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Bonjour Nicolas, Le 20/02/2024 à 09:36, Nicolas Vigier a écrit : On Mon, 19 Feb 2024, Vincent Duvernet wrote: Comment faire évoluer la situation sans faire bondir les admins réseaux ? Voici mes 2 cts : Un questionnaire en ligne anonymisé sauf en dernière partie afin de générer un "scoring" avec le nom de l'entreprise par catégorie (accès distant, visiteurs, utilisateurs, cloud...) ça pourrait faire sens. Ça permet de poser des questions techniques pointues sans que le site ne fasse de rétention (donc faut un site de confiance on est bien d'accord). Est-ce que c'est suffisant ? probablement pas mais ça donnerait l'impression de faire quelque chose un minimum qualitatif plutôt que de remplir un fichier Excel à la con en me faisant perdre mon temps. Et c'est comme cela que l'on se retrouve ensuite à devoir faire des trucs completement idiots dans le seul but d'augmenter le "scoring". Le questionnaire demande si toutes les machines font tourner un antivirus homologué et à jour ? Afin de pouvoir répondre oui et augmenter le "scoring", la machine sous Linux non connectée au réseau fera donc desormais tourner une machine virtuelle Windows avec un antivirus, les antivirus homologués ne fonctionnant que sous Windows (avant peut-etre de la reinstaller completement sous Windows, pour simplifier), et nous allons la connecter au réseau afin de pouvoir mettre à jour l'antivirus. Alors celle-là on l'a entendue tellement de fois qu'on se demande encore comment on peut encore la tenter, mais ça rate jamais. C'est les lacs du Connemara. La machine sous Linux "non connectée au réseau" a une carte IPMI/iLO/etc. qui... est connectée au réseau. Si c'est une machine virtuelle alors elle est en plus connectée au réseau physique de l'hôte. Bref dans un périmètre technique réseau, tout ce qui existe est _forcément_ connecté. Et ce qui n'est pas connecté au réseau doit quand même être tenu à jour parce qu'il reste toujours le risque de l'accès physique à la machine, donc il n'y a vraiment pas moyen de prétendre un zéro réseau. Après effectivement j'ai déjà soulevé ici ou ailleurs (frsag ?) la question de l'antivirus sous Linux, ça existe, y compris en zone UE (ESET par exemple). Et il y a toujours l'ami ClamAV quand il faut vraiment une excuse (ou bien quand on fait de l'OpenBSD :p). Note qu'en prévoyant un plan d'assurance qualité/sécurité en amont, on évite non seulement de se taper un questionnaire ISO 27001 par an et par client, mais en plus on peut se permettre de jouer avec les règles : il devient facile d'expliquer qu'on a choisi de ne pas répondre à telle exigence parce qu'en fait on a couvert le risque autrement. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Bonjour David, Le 20/02/2024 à 10:01, David Ponzone a écrit : Encore une fois, on va voir se pointer un raz de marée de réglementations s’abattre sur l’entreprise lambda, alors qu’on peut se demander si Viamedis avait eu le moindre audit avant de se faire trouer et piquer 33M de numéros de sécu (ils viennent seulement de mettre en place une authentification 2FA sur leur portail en utilisant la brique b2clogin.com <http://b2clogin.com/> de Azure). Et dans le questionnaire, le CAC interroge les RH sur le process départ et la gestion des conflits? Parce qu’il me semble que la majorité des fuites viennent de l’intérieur. David En fait l'argumentation victimaire "il y a pire ailleurs" fait partie du problème : pourquoi ne pas simplement accepter qu'il y a un enjeu *moral* à protéger les données, et en conclure que qui veut la fin veut les moyens ? Ce sont ces décennies de culture toxique dans toute notre industrie qui nous ont mené là. Pour rappeler Churchill, je dirais que beaucoup ont refusé la sécurité et se retrouvent maintenant face à la loi et la sécurité. Personne ne va les plaindre. Et il n'y a pas les gentils d'un côté et les méchants de l'autre car les gentils sont déjà certifiés depuis belle lurette, il ne reste que les mauvais, c'est-à-dire ceux qui se sont fait pirater sans le dire et ceux qui sont obligés de l'avouer. Aujourd'hui le Code de la Cybersécurité fait plus de 1 100 pages (et encore je n'ai que la 1ere édition, de 2022) et oui, il s'applique à tous nos métiers, de l'admin sys au dev ouaibe node.js en passant par tous les métiers qui utilisent le système d'information, dont les Ressources Humaines (je hais cet oxymore). Note que les questionnaires de gestion des tierces parties sont généralement calqués sur le framework offert par ISO 27001/27002 donc oui, les questions relatives à la prise de poste, au changement de poste et à la sortie de l'organisation sont ou devraient être inclues. (Note aussi que la norme ISO 27001 figure au programme du Master Ressources Humaines depuis une dizaine d'années maintenant. Ce n'est évidemment pas un point majeur du programme enseigné mais cela flèche assez clairement le sens de l'histoire.) Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Les cabinets comptables & la cyber
Le 19/02/2024 à 17:04, Vincent Duvernet a écrit : Bonjour, J'avais déjà eu le cas il y a quelques temps avec un groupe Japonais mais là, ça fait 2 clients FR avec la même approche (visiblement par 2 cabinets différents). Leur commissaire aux comptes demande une évaluation des risques cyber'. On se tape des questions plus ou moins débiles / mal traduites du type : - Une solution antivirus est-elle installée sur chaque poste de l'entreprise ? Est-elle mise à jour régulièrement ? - La porte vers internet a-t-elle un pare-feu configuré ? Quels protocoles sont filtrés/interdits ? (ICMP, TCP, UDP,) [éviter nmap, SSH ou RDP .] Et d'autres plus sensibles : - Quels sont les sous-réseaux, leur IP et leur fonction ? - Quels sont les outils (logiciels) mis en place pour la connexion à distance pour le télétravail ? Là franchement, ça me hérisse le poil. Est-ce que c'est juste moi qui suis trop old school pour ne pas vouloir divulguer des informations à un tiers de "semi-confiance" potentiellement exploitables pour une attaque ? Quels sont vos retours sur la question ? Merci, Vincent Ça devient un classique oui, et ça va se durcir : les métiers du numérique sont devenus des métiers réglementés. Le plus simple : * faire signer un plan d'assurance qualité/sécurité en annexe de chaque contrat ; * passer la certification ISO 27001 voire SOC 2 type 2. Le plan d'assurance qualité/sécurité te permet de répondre à l'avance aux questionnaires, la certification montre qu'un tiers de confiance a déjà posé les questions. Concernant le point que tu lèves, les cabinets d'expertise comptable et de commissariat aux comptes n'ont pas intérêt à jouer avec le feu. Évidemment le cas des cabinets d'audit style "big 4" est différent, d'autant plus qu'ils sont soumis au Patriot Act. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Re: [MISC] [Infosec] Incident de sécurité Orange Spain
Bonjour, Le 05/01/2024 à 12:04, Stephane Bortzmeyer a écrit : On Thu, Jan 04, 2024 at 09:39:15AM +0100, David Ponzone wrote a message of 21 lines which said: Allez, activation du MFA partout sur RIPE (et les autres RIRs), histoire que au moins on remette le besoin d'un acces a un device physique (router ou token) pour continuer a casser notre bel outil. Pas forcément, si tu caches mal ton emergency code :) Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est évidemment impératif pour les comptes au RIPE mais ce n'est pas une solution miracle. La leçon que j'en tirerai est plutôt « toute technique de sécurité peut être détournée pour créer une attaque par déni de service ». En 2024, on a largement les moyens de gérer de l'identité numérique bien au-delà de la stricte frontière du service externalisé. Il suffirait que ce service centralisé autorise une identité décentralisée. Cela ne coûte pas très cher, et met en lumière un fait qui devrait frapper comme une évidence : le service externalisé, quel qu'il soit, OIV ou pas, n'a pas à s'engager sur le contrôle de l'identité de gens qu'il ne connaît pas... MFA si tu veux, mais pour une identité gérée en interne et diffusée partout. Là tu commences à obtenir des garanties te mettant à l'abri des saloperies interstitielles. (Et Bonne-Mère, la gestion de l'identité n'est *pas* une "technique de sécurité" prétendument isolée du reste de la gestion du système d'information. C'est un composant du système d'information, géré comme tout le reste. La sécurité n'est ni une fonctionnalité ni un gagne-pain, c'est le critère qui discrimine les imbéciles.) Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Mise en œuvre d'IPv6 dans les infrastructures mail
Bonsoir, Le 26/06/2023 à 18:48, Laurent Barme a écrit : Le 26/06/2023 à 17:38, Bertrand FRUCHET via frnog a écrit : Bonjour la liste, C'est pas l'IPv6 qu'il faut désactiver, c'est le logiciel qu'il faut changer quand vous avez des dysfonctionnements. Ce n'est pas toujours le logiciel qu'il suffit de changer. Voici un retour d'expérience comme exemple : (...) Configurer le serveur web pour de l'IPv6 aurait considérablement agrandi la surface d'attaques possibles. C'est exactement à cause de ce genre d'ânerie que je persiste à prôner les outils normatifs et notamment le pire d'entre eux, l'analyse de risque, même si je considère ces outils dangereux et largement sur-côtés. J'aimerais bien voir l'analyse de risque qui conclurait à un plus grand risque en coupant IPv6. => Dans la mesure où IPv6 est activé par défaut partout côté serveur dans le noyau et pour tout ce qui existe au niveau 7 depuis des années, l'activer dans un vhost HTTP/HTTPS n'agrandit absolument pas la surface d'attaque : elle est /déjà/ là, cette surface d'attaque... Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [ALERT] Vulnérabilité critique Fortinet SSLVPN
Bonsoir, Le 14/06/2023 à 18:19, Toussaint OTTAVI a écrit : Pour ceux qui ont du Fortinet en circulation, et qui auraient raté çà : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-004/ https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign Ajoutons les publications de LEXFO : * <https://blog.lexfo.fr/xortigate-cve-2023-27997.html> ; * <https://blog.lexfo.fr/Forensics-xortigate-notice.html>. => Patchez, ET vérifiez bien que vous n'avez pas été victime d'une exploitation avant sa découverte+publication+correction. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Equinix Remote Access
Bonjour, Le 03/05/2023 à 10:53, David Ponzone a écrit : A ceux qui sont clients Equinix, Equinix a annoncé la généralisation de leur service Remote Access dans le monde entier. SI j’ai bien compris (pas facile, aucune info tech en ligne), c’est un device (laptop ?) qu’ils vont plugguer sur le serveur (routeur ?) qu’on leur indique, et on prend le contrôle dessus par une session Zoom ou Webex. Si tu ne trouves pas d'information technique c'est peut-être parce que c'est tout bêtement illégal et qu'il ne faut pas en parler. :-) Zoom/Webex, je suis le seul à déclencher ? (Le premier truc qu'on va taper dans cette session c'est une identité, donc RGPD, et les consoles sont pas toujours bien chiffrées, voire pas chiffrées du tout, alors les exposer au Patriot Act via un terminal physique mutualisé pour tout le centre de données...) Bien cordialement, -- Maxime DERCHE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Recherche fournisseur câble réseau cat.6a-cat.7, câblage résidentiel/particulier
Bonsoir, Le 03/01/2023 à 18:11, Benjamin Abadie via frnog a écrit : Hello, On 1/3/23 16:08, Xavier Lecluse wrote: Dans l'absolu, j'aurais aimé racheter du câble ACOME (gamme ACOLAN/ACOHOME par exemple), peut-être par sentimentalisme et/ou volonté d'acheter Français, mais difficile d'en trouver localement ou alors il faut être un professionnel avec Siret (Rexel). https://www.touslescables.com/z.php?h=R7291A=Ref Extrêmement satisfait, tant du câble que du service. Le site web ne paie pas de mine mais l'efficacité est là. Je n'ai ni SIRET ni quoi que ce soit. Pour ma commande de 120m c'est du câble en touret coupé à la bonne longueur qui m'avait été livré (le câble est repéré tous les mètres, de mémoire). C'était livré avec Colissimo, le carton était déformé mais bon, avec seulement un touret dedans il fallait s'y attendre. J'imagine que pour du Cat7 ça sera plutôt ce genre de choses : https://www.touslescables.com/b.php?a=A5LLbo-cd7=Voi=272 Bonne journée, Benjamin ACOME ACOLAN, CAT 6A SFTP monobrin 23 AWG (10 G, 550 MHz) chez touslescables.com : <https://www.touslescables.com/z.php?h=R7297A=Ref> J'en ai commandé 100 m en 2017 puis 60 m de plus en 2018 pour le câblage de la maison, aucun problème ni pour la qualité du produit ni pour la livraison. À l'époque je travaillais encore pour un --mauvais-- manager et n'avais pas encore monté ma boîte. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [MISC] : Contact Oniam ou Anssi
Bonjour, Le 23/03/2022 à 16:30, Merwan Zenati a écrit : Bonjour à tous, Un de mes clients a reçu un mail de phishing depuis une adresse oniam.fr Après vérification le mail est bien parti des serveurs “Celeste” ou est héberger oniam. Est-ce que quelqu’un aurais un contact chez eux ou chez l’anssi pour remonter cet incident ? C'est un cas de plainte auprès de la CNIL (compromission d'une boîte de messagerie qui mène à une récupération de données personnelles exploitées pour mener d'autres attaques...). De plus : * pas de security.txt ; * les mentions légales qui ne mentionnent pas les coordonnées du ou de la Délégé-e à la Protection des Données Personnelles ; * l'adresse dpo@ est bien citée en haut de la page <https://www.oniam.fr/politique-de-confidentialite> mais aucun nom ou numéro de téléphone. Bref, compliqué d'avoir des noms. Tu peux essayer de rechercher les cadres inscrit-es sur LinkedIn pour prendre contact (ou les prendre à partie en public). Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Portail publication applis Http/https
Bonjour, Pourquoi pas un simple VPN donnant sur un proxy filtrant n'autorisant que les URL internes auxquelles un user a droit ? Côté VPN tu peux séparer le cas des interco prestataires fixes (IPsec) et mobiles (OpenVPN). Authentification liée un annuaire gérant l'identité des prestataires à la fois pour le VPN mobile et pour les applications, avec MFA si besoin. Note que mdp annuaire ("je connais") + certificat client pour authentification TLS mutuelle ("je possède") pour OpenVPN et pour tes serveurs web te donne une base MFA (robuste seulement si le disque des laptops du prestataire tiers est correctement chiffré pour protéger ton certificat client...). C'est standard, pérenne, maintenable dans le temps et conforme à ta politique de sécurité ISO 27001 ainsi qu'à celle de chacun de tes prestataires tiers (à qui tu as évidemment fait signer un plan d'assurance sécurité en annexe au contrat :p). Bien cordialement, -- Maxime DERCHE Le 29/11/2021 à 13:08, Philippe M a écrit : Bonjour, Quelqu'un a t-il des pointeurs interessants pour soft de portail de publication d'application pour des users nomades (pas simplement un nginx, haproxy). J'ai un tête un portail destiné à des prestataires externes qui présenterai facilement quelques icones sur une page Web, puis fonctionnerai en reverse proxy vers des serveurs internes (applis http/https). Contraintes: - Soft Linux ou Windows - Pas d'appliance ou soft Firewall plus complet sous forme de VM. - Mieux si MFA (type google authenticator) - Mieux si lien avec AD pour les applis publiées selon le user Merci. PM. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Revendeur cable RJ45 au métre
Bonjour, Le 01/01/2021 à 18:59, Raphael Mazelier a écrit : Bonne année 2021 amis des réseaux ! Bonne résolution de l'année (entre autre choses) je vais enfin me décider à câbler mon appartement. J'aurais donc besoin d'acheter du câble RJ45 CAT6 ou 7 au mètre (200m environ). Retiré du business réseau si vous avez des bons revendeurs à me conseiller je prends. Merci. J'ai commandé <https://www.touslescables.com/z.php?h=R7297A=Ref> quand j'ai câblé les chambres de ma maison, avec <https://www.o-buro.com/Prix/Telegartner-repartiteur-Patch-28140.html> dans mon bureau. Je ne pousse pas 10G, seulement 1G, mais ça passe bien. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Suppression de compte XING au titre de la RGPD ?
Bonjour, Le 11/12/2020 à 21:16, Frederic Dumas a écrit : Bonjour, quelqu'un saurait-il comment demander à XING la suppression de toutes mes données personnelles (et donc y compris mon compte), au titre de la RGPD ? "R" pour "Règlement", qui est un nom masculin, on dit donc "le" RGPD... Dans le texte [1], l'Article 38 alinéa 4 [2] stipule que, je cite : "Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits que leur confère le présent règlement." La page [3] indique clairement, je cite : "Our Data Protection Officer is Anja Engler.". Je n'ai pas cherché ses coordonnées mais elles doivent aisément se trouver, Xing est un réseau social après tout, et au pire chercher quelques adresses e-mail appartenant à des personnes pour deviner le schéma de construction de leurs adresses devrait être à la portée de chacun-e ici. Les conditions de suppression sont déclarées en [4], a-côté de la déclaration des droits pouvant être exercés par les personnes concernées [5]. Le principe dit du "guichet unique" (Article 56) indique qu'une personne concernée est en droit de porter réclamation auprès de son autorité de contrôle locale, en France, la CNIL. Xing étant basé en Allemagne, l'autorité locale peut aussi être contactée, c'est au choix de la personne concernée établissant sa réclamation. Mettre la CNIL en copie du message est une bonne pratique qui force tout le monde à prendre ses responsabilités (Xing et la CNIL). Je n'ai pas de contact à donner publiquement mais la CNIL propose une procédure de plainte sur son site web [6] (je n'ai jamais testé, un retour d'expérience serait apprécié). Le réseau social offre évidement la possibilité de demander la "suppression" d'un compte, par son utilisateur. Mais le bouton est si facilement accessible, et les gens du marketing "digital" si matois, que je me demande si ce bouton ne sert pas simplement à supprimer l'accès au compte (il disparait du front-end web), tandis que les données elles sont silencieusement conservées par XING. Interrogé par écrit à propos des modalités de suppression au titre de la RGDP, le support Xing n'a pu répondre autrement que par un mail pré-formaté, rappelant l'existence du bouton en question, point barre. Merci pour vos conseils. [1] : <https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679> [2] : <https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article38> [3] : <https://privacy.xing.com/en/privacy-policy> [4] : <https://privacy.xing.com/en/privacy-policy/what-rights-can-you-assert/right-to-erasure> [5] : <https://privacy.xing.com/en/privacy-policy/what-rights-can-you-assert> [6] : <https://www.cnil.fr/fr/plaintes> Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> OpenPGP_signature Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Un autre thread sur la 5G
Jérôme, Le 09/09/2020 à 19:02, Jérôme Nicolle a écrit : > Salut Kirth, > > Le 09/09/2020 à 18:46, Kirth Gersen a écrit : >> 38 tweets ?! TMTDR (too many tweets didn't read) > > Ouais, je suis d'accord, c'est pas le bon média. Mais c'est quand même > celui que attire l'attention des politocards. Donc j'ai pas trop le choix. > > Je travaille sur un truc un peu plus touffu pour un article sur un > organe de presse, mais entre les soucis techniques de mes clients et la > com événementielle, j'ai un peu de mal à me focaliser dessus. > > Après t'as toujours @Threaderapp pour t'aider à lire ce que j'ai posté, > ou juste tu demande et le voilà : > > """ (...) C'est mieux, merci. :) Si l'objectif est d'apporter contribution au débat public sur la question spécifique du caractère opportun ou non du déploiement d'un réseau 5G face aux délires complotistes et aux interrogations citoyennes légitimes, je me dis que sortir l'argument "la 5G permet de sortir de l'impasse d'un déploiement redondant donc énergivore et salissant par la mutualisation des moyens sur un ou deux réseaux neutres" m'apparaît comme un pari. D'un côté tu avances un mot comme oligopole, qui plaira certainement aux complotistes (c'est dans leur vocabulaire quotidien) mais pas aux institutions, et encore moins aux citoyen-nes qui ont besoin de pondération pour voir clair. De l'autre tu argumentes sur la mutualisation de réseau, offrant ainsi une solution de transformation, ce qui plaira aux citoyen-nes souhaitant s'engager dans un changement vers une organisation sociale compatible avec la vie sur Terre, mais qui ne plaira pas aux institutions qui l'ont mis en place, défendu ou laissé faire. Dans les deux cas tu perds du monde que tu as pourtant peut-être conquis avec les précédents arguments. Est-utile ? Peux-tu faire mieux ? Et sinon parler un peu sécurité des données ça serait pas mal. Comment ça se passe le chiffrement des communications en 5G ? Les moyens de surveillance à grande échelle sont-ils améliorés ou diminués en 5G ? Et l'interception "manuelle" de trafic, c'est toujours possible ? Bien cordialement, -- Maxime DERCHE -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Un autre thread sur la 5G
Bonsoir, Le 09/09/2020 à 18:26, GMAIL a écrit : > Alors c'est pas intuitif (forcément car le but est d'inciter à s'inscrire), > mais il > est possible sur Twitter d'accéder à tous les tweets publics sans compte. Il > faut > cliquer dans le "corps" du tweet en question pour se focaliser dessus et par > la même > en voir toutes les réponses. > > Sinon tu peux utiliser le service ci-dessous pour court-circuiter directement > le > tracking et l'ergo douteuse : > > https://nitter.net/chiwawa_42/status/1301209984001282049 En fait dans mon Mozilla Firefox avec noscript activé pour classer le domaine en non-fiable, le machin me propose une version dégradée où j'ai pu tout lire, mais pas participer à la validation sociale collective de l'ego de Jérôme, ce qui est frustrant. Tant qu'à se faire chier à cuisiner de la confiture pour la distribuer à des cochons, autant qu'on puisse la déguster sous LSD : toqtoq est parfait pour cela. Mes amitiés, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Un autre thread sur la 5G
Mon cher ami Jérôme, Le 09/09/2020 à 16:42, Jérôme Nicolle a écrit : > Plop, > > La semaine dernière, j'ai publié un thread sur la 5G qui a dépassé > mes high-scores de vues. Over 120k. > https://twitter.com/chiwawa_42/status/1301209720808787970 > > Hier, un ami qui bosse à la commission EU m'a demandé de le refaire en > anglais, pensant que ça leur servirait. Du coup je l'ai un peu étoffé, > reformulé, et ça donne ça : > > https://twitter.com/chiwawa_42/status/1303676573531492352 > > J'espère être fidèle à nos valeurs de rationalité technique, et vous > invite à le lire, commenter et partager, ou surtout de m'engueuler si > j'ai commis la moindre erreur. > > Merci chers confrères ! J'ai pas de compte twhitler, tu peux poster ça sur toqtoq pour que je puisse le laïker ? Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Charte informatique et sobriété énergétique
Le 13/07/2020 à 15:27, Erwan David a écrit : > Le 13/07/2020 à 15:21, Maxime DERCHE a écrit : > >> C'est d'ailleurs un point lourd des plans de continuité d'activité : les >> laptops ne >> sont pas réservés aux personnels travaillant en mobilité, ils permettent de >> continuer >> l'activité en cas de sinistre ou de risque majeur. L'inclure dans la charte >> et >> pousser la prise de responsabilité personnelle sur ce sujet permet de réduire >> énormément de classes de risques (parce qu'il faut une gestion claire des >> postes de >> travail, parce qu'il faut un VPN et une infrastructure qui peut tenir debout >> en cas >> de choc, etc.) en n'en créant que très peu (perte, corruption, vol). >> >> Au final de quelques règles simples on tire un ensemble cohérent qui se >> valide sur >> plusieurs plans (environnement, qualité, sécurité, management, performance). >> La >> démarche qualitative que l'on retrouve dans les grandes normes >> internationales telles >> qu'ISO27001 par exemple donne une vision de développement globale et >> cohérente qui >> débouche sur la Responsabilité Sociétale des Entreprises. > > Certes, mais on fourni à tout le monde un laptop, puis pour pouvoir > confortablement travailler il faut y connecter un clavier, une souris, > un ou plusieurs écrans externes, etc. > > Donc un dock, qui fait aussi alimentation. Et donc le laptop est > alimenté quasi en permanence. > > Justement, non. On fournit un laptop pour le travail en mobilité et pour la continuité d'activité. Sinon on prend un poste fixe, plus confortable pour travailler à la journée. Il y a donc deux ordinateurs distincts pour deux usages distincts : un ordinateur de bureau respectant les prérequis sanitaires de la Médecine du Travail, et un ordinateur portable pour la mobilité. Et la charte stipule qu'il est important d'emporter le laptop chaque soir à son domicile (voire de le laisser au domicile). Il ne faut pas essayer de faire au mieux en tenant compte d'un mauvais équipement : il faut s'équiper raisonnablement en conformité avec les meilleures pratiques. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Charte informatique et sobriété énergétique
Bonjour, Le 13/07/2020 à 14:28, Nathan delhaye a écrit : > Le mer. 8 juil. 2020 à 16:34, Daniel Caillibaud a > écrit : > >> Le bon sens ? >> >> - éteindre tout ce qui n'a pas besoin d'être allumé ni de rester en veille >> (enceintes, écrans) >> > > @job on est en train d'intégrer ça dans la charte effectivement. > > Et ca n'est pas qu'une question de consommation électrique, mais ca permet > également d'éviter les portables popcorn comme je les appelle. Pour > l'instant ca n'a touché que les Mac chez moi, mais j'en ai eu plusieurs où > la batterie a gonflé et bousillé la machine (coque + mainboard HS). > > Personne ne lit les préco constructeur, mais c'est systématiquement marqué, > et ce quelque soit la marque : une batterie faut la cycler de temps en > temps. Or j'ai un paquet d'user (dans tous les jobs que j'ai occupé) qui ne > prennent leur portable que de façon exceptionnelle le soir et qui laissent > tout le setup branché et allumé. C'est d'ailleurs un point lourd des plans de continuité d'activité : les laptops ne sont pas réservés aux personnels travaillant en mobilité, ils permettent de continuer l'activité en cas de sinistre ou de risque majeur. L'inclure dans la charte et pousser la prise de responsabilité personnelle sur ce sujet permet de réduire énormément de classes de risques (parce qu'il faut une gestion claire des postes de travail, parce qu'il faut un VPN et une infrastructure qui peut tenir debout en cas de choc, etc.) en n'en créant que très peu (perte, corruption, vol). Au final de quelques règles simples on tire un ensemble cohérent qui se valide sur plusieurs plans (environnement, qualité, sécurité, management, performance). La démarche qualitative que l'on retrouve dans les grandes normes internationales telles qu'ISO27001 par exemple donne une vision de développement globale et cohérente qui débouche sur la Responsabilité Sociétale des Entreprises. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Charte informatique et sobriété énergétique
Bonjour, Le 08/07/2020 à 15:21, Mehdi GUIRAUD a écrit : > Bonjour à tou·te·s ! > > Ça semble flirter avec un trolldi. Mais la question est sérieuse : Avez > vous connaissance de charte informatique ou d'éléments de charte qui > tendent à lutter contre le déréglement climatique. il y a certes les mails > et le fait de préférer des liens aux pièces jointes... J'y vois un double problème si consigne est donnée de préférer un lien HTTP/HTTPS : d'une part, il faut *vraiment* *bien* éduquer la population pour que les fichiers soient mis à disposition depuis une plateforme fiable et fonctionnelle (sinon fuite de données sur des services SaaS), et d'autre part comment se déroule l'analyse post-mortem en cas d'infection par une pièce-jointe dans un lien qui peut disparaître à tout moment ? (D'ailleurs, et plus généralement, comment assurer la conservation dans le temps d'une pièce-jointe qui ne figure pas dans l'échange ?) Ceci dit les questions sont légitimes, et ça fait un argument de gouvernance qui, si jamais il est utilisé (on peut toujours rêver, hein), peut se révéler de nature à freiner l'enthousiasme béat des Jean-Cloud de tout acabit. Une gouvernance qui demande une étude d'impact carbone en phase projet pourra éviter le tout Kubernetes et les catastrophes des millefeuilles techniques (application dans vm java dans conteneur dans orchestrateur dans vm dans hyperviseur dans machine physique...), au moins dans les projets où ce type de middleware n'a pas de sens. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Routeur FLOSS Linux
Le 24/09/2019 à 15:08, Julien Escario a écrit : > Le 24/09/2019 à 14:09, Michaël Couren a écrit : >> Bonjour, > [...] >> Notre idée de vouloir se passer des standards du marché est-elle >> complètement folle ou bien le Free/Libre a-t-il un espoir dans nos >> communautés ? >> (ce sont quand même nos/vos impôts) > > Non non, c'est plutôt une bonne idée même. Sur un routeur, le niveau de > complexité va être assez similaire, ce sera peut être un peu plus de > boulot au setup en échange de plus de maîtrise de ce qu'il se passe dans > la boite. [...] > Autre option : PFSense. Je ne suis personnellement pas fan en raison de > choix plus politiques mais la techno va bien avec des interfaces d'admin > en web plutôt sympa. Faut aimer BSD. Je citerais alors OpnSense (<https://opnsense.org/>), fork() historique (2015) de pfSense, plus beau, mieux fait, plus réactif aux patches de FreeBSD. (J'aime BSD.) Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Panneau accoustique pour bruit ventilation equipement
Bonjour, Le 25/05/2019 à 12:32, Sébastien 65 a écrit : > Bonjour, > > Une question qui s'éloigne un peu du réseau mais qui reste quand même dans le > sujet. > > Nous avons un local dans lequel nous avons des serveurs/switchs/routeurs > assez bruyants. La porte d'accès du local est dans nos bureaux... > > Existe t'il un revêtement acoustique (sorte de mousse ou panneau) pouvant > être collé sur le mur/porte afin de diminuer le bruit des équipements ? > > Si quelqu'un dispose d'une marque/référence je suis preneur ! Une couche de liège sur la paroi, et des barquettes d’œufs de poule vides (sans les œufs) ? Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] solution serveur IM/chat libre
Bonjour, Le 20/12/2018 à 09:32, [Technofil] Marcet a écrit : > Bonjour, > > J'utilise Mattermost depuis pas mal de temps maintenant et j'en suis très > satisfait. > Le déploiement est facile ainsi que les mises à jour. > Le produit est également très bien documenté. > Bref, je recommande vivement. > > J'avais testé Rocket Chat au préalable, mais à l'époque il n'était pas assez > stable pour que mon choix se porte sur lui. > > Pour faciliter le déploiement, un container Docker est disponible pour les > deux produits. Je ne comprends pas du tout l'engouement pour ce genre de bidules : est-il réellement besoin d'un serveur de base de données SQL pour proposer un bête système de discussion interne et/ou externe à une organisation sociale (commerciale ou non) ? Un simple serveur IRC fait amplement l'affaire, deux pour disposer d'une meilleure disponibilité, et on n'est pas limité à GNU/Linux pour l'héberger (Docker, en version stable, n'étant disponible que pour Linux). ngircd fait figure de bon candidat (quinze minutes de conf' pour un-e débutant-e). Côté client, la multitude de logiciels client "lourds" et web permet d'arriver à mettre d'accord à peu près tout le monde. Et l'argument hacker tient toujours la route : pour lire les quotidiennes et assommantes conneries des collègues, autant utiliser un bon IRSSI en mode texte plutôt que de gâcher de la précieuse RAM avec du Javascript dans un onglet Firefox... Non ? Bien cordialement, -- Maxime DERCHE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur de logs réseau
Bonjour, Le 16/11/2018 à 15:55, David Ponzone a écrit : > Pattern de logs, oui. > > Je pense que je vais tester logstash comme aggrégateur de syslog > Cisco/Mikrotik/Juniper/… vers une stream unique GELF à destination de l’offre > Graylog en SaaS d’OVH, qui a le bon goût d’avoir un pricing progressif sans > singularités (ça va de 1€ à 9€/mois, oui oui, 90k€…), parfait pour un > petit besoin. Outch, un traitement de logs en SaaS... Je peux me tromper, car les logs sont peut-être anonymisés avant traitement, ce qui le sort du cadre du RGPD. Mais on traite rarement des logs anonymisés : la technique en a besoin pour recouper des sources d'emmerdes, et le business en a besoin pour recouper des sources de brouzouf. En imaginant qu'il y a des adresses IP et autre éléments d'identification directs ou indirects, et en imaginant que vous justifiiez le traitement par un consentement ou la nécessité en vue de l'exécution d'un contrat (dûment signé au préalable, sinon il faut un avenant pour chaque client), il reste qu'en tant que Responsable de Traitement, vous devrez : * expliciter une finalité claire, justifiée et (presque) invariable dans votre Registre des Traitements ; * obtenir d'OVH (sous-traitant du traitement) de quoi justifier des mesures prises en vue de protéger les données, et annexer ce papier au Registre des Traitements. Pour un simple test, ou un petit besoin, c'est déjà très lourd comme préalable, non ? Bien cordialement, -- Maxime DERCHE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel
Bonjour à toutes et tous, Le 28/07/2017 à 21:14, Erik LE VACON a écrit : > > > > On Fri, 28 Jul 2017 18:41:30 + > Gregory Bousselin <gregory.bousse...@gmail.com> wrote: > >> J'aurais conseiller pfsense ! >> >> J'ai installé un XG pour tester y'a quelques mois, c'était pas génial (pas >> mal de bug), apres ca s'est sûrement améliorer depuis ! > Bonjour, > Hors specs annoncées, mais dans mon cas OpenBSD+PF. La partie IDS/UTM doit > être gérée en aval via d'autres couches soft (Snort, Squid/SquidGuard, ) > . Ca juste marche mais côté admin, ca implique du scripting/maintenance de > temps à autres et d'y passer du temps à l'install initiale. > Pour répondre à la question: des solutions packagées type Calyptix ou > IWinGate existent (TIP: 1) aimer le risque dans le cas de la seconde, et 2) à > bencher, j'en ai vu mais pas testé au long cours) > > Avantage de la solution DIY (pour moi) : moins de dépendance aux bugs "ovni" > des solutions tout-en-un où le moindre use-case bizarre te plombe 10 jours à > résoudre/contourner quand tu voudrais juste te poser et pas debugguer > (exemple type: le MPATH fortinet et les joies du source-routing), et enfin > plaisir, respect et fierté de ta promise quand elle te voit faire de la > magie sur une console pour désactiver/rétablir netflix quand le bulletin > trimestriel de junior tombe :) > > My two . Routeur/parefeu/proxy/PA WiFi/IPsec/OpenVPN/etc. sous OpenBSD chez moi aussi, avec Packet Filter (Freebox en mode pont, l'interface externe/publique récupère son adresse via DHCP). Il y a eu plusieurs générations côté matériel mais je suis content de la dernière en date, un Soekris net6501 mis en route fin 2013. Je n'ai jamais voulu d'interface web et j'utilise OpenBSD quotidiennement donc le besoin ne s'est jamais fait sentir. On peut saluer le travail en cours de Martin Pieuchot (mpi@) pour l'amélioration des performances réseau d'OpenBSD en sortant la pile réseau du joug de l'affreux KERNEL_LOCK, ce qui laisse espérer que PF sous OpenBSD ne sera bientôt plus limité à un unique cœur de calcul (PF sous FreeBSD ne souffre pas de ce problème). pfSense, basé sur FreeBSD, est un très bon produit, interface web fonctionnelle quoique vieillotte. OpnSense aussi, mais avec une conception un peu plus moderne et une interface web nettement plus conviviale. Côté matériel la gamme APU2 chez PC Engines (<https://www.pcengines.ch/apu2.htm>) continue d'avoir une excellente réputation, mais je ne l'ai jamais testée. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> signature.asc Description: OpenPGP digital signature