On 11/28/19 5:04 PM, Radu-Adrian Feurdean wrote: > Ca reste l'equivalent d'un /8 par OUI. > Et de nos jours pas mal de fabricants ont plusieurs (parfois dizaines) d'OUI. > Et c'est valable que pour les hotes qui n'utilisent aucune extension (ni > privacy, ni CGA) > Tout ca, pour trouver ce qu'il y a chez un seul client. > Je te laisse le loisir de re-faire ca plusieurs (??? dizaines de ??? > centaines de ???) milliers de fois pour commencer a monter un botnet.
Je n'aurais jamais cru que des pirates allaient faire de l'attaque dictionnaire(*) sur des comptes et, pourtant, c'est bel et bien ce qui semble se passer. (*) mots de passe simples et ré-utilisation de mots de passe compromis légèrement modifiés Aujourd'hui, les attaquants se montent des plateformes massivement réparties et fortement asynchrones. Ils ne supportent pas le coût des attaques et quand bien même il faut du temps pour récupérer des comptes, la volumétrie des attaques font qu'ils en récupèrent suffisamment pour leur activité. En tant que particulier, j'aurai tendance à avoir le même point de vue que toi (peu probable et pas rentable). En tant qu'employé FAI, je sais que je vais avoir des centaines de milliers d'utilisateurs qui vont se faire trouer le cul. >> Si l'attaquant a accès aux logs de serveurs (site web par exemple), la > Sauf pour les privacy extensions (adresses temporaires). Non, (1) tu pars sur une situation idéale et (2) l'attaque peut être immédiate. Pour le (1), je vois comment c'est le bordel quand la chaîne hifi ou l'imprimante changent d'IP ; le programmateur pour l'arrosage ne supporte même pas de changer de canal wifi (*sic*), etc... Les utilisateurs ont des objets connectés sur lesquels l'interface de gestion peut être minimaliste et dont la durée du support est inférieur à l'espérance de vie. Leur utilisabilité peut être contraire à certains principes de sécurité et, ici, ce n'est pas la sécurité qui gagnera. > A force d'avoir abuse du firewall (NAT ou pas) comme la solution a tous les > maux (reels mais surtout immaginaires), les black-hats ont commence a > apprendre a passer au travers. Aujourd'hui, le "deny all incoming > connections" est nettemant moins efficace qu'avant. > Certes, quand quelqu'un sur un acces fixe/statique est vise explicitement, la > situation change un peu. Mais le "au secours, MAINTENANT je suis tout nu sur > Internet", ca tien pas. Surtout que tu peux mettre ton "plus ou moins > firewall" derriere la box. Y compris pour du v6 !!!! Chez des utilisateurs lambda ? Non, je n'y crois pas. Tout est branché au cul de la box avec la configuration par défaut. François --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
