Re: WannaCry "ransomware" cyber attack :

[Pierre L.]

Humm en même temps, c'est plus funky de s'attaquer aux utilisateurs
lambdas qui sont au boulot derrière leur poste de travail windows...
avec leurs mauvaises habitudes à cliquer tout partout... qui n'ont pas
cliqué sur "mettre à jour mon système" depuis des mois. Le gars dans son
bureau qui va brancher sa clé usb perso (vérolée) pour écouter un peu de
musique...

Ce sont ces gens qui ont un joli carnet d'adresses au format Outlook qui
pourront devenir des cibles, etc. Point de vue propagation, c'est un bon
plan. Et du coté cibles, celui qui reçoit un mail de la part de qq qu'il
connait aura confiance à l'ouverture (heureusement pour nous francais,
c'est souvent écrit en anglais :p )

A mon avis c'est plus simple de passer par le commun des mortels que par
les serveurs qui sont plutôt mieux maintenus par des admins... ;)
(quoiqu'on se souvient des attaques sous vmware qui infectait les
machines virtuelles...!)


Le 16/05/2017 à 14:45, andre_deb...@numericable.fr a écrit :
> Linux devrait donc justement être la cible des pirates,
> puisque c'est souvent à partir des serveurs que les
> virus et programmes malveillants se propagent.
>
> Or non, les pirates jettent leur dévolu sur les serveurs Windows,
> avec des logiciels exécutables pour Windows.
> Le 12 mai, ils ont ciblé un système plus maintenu (XP).




signature.asc
Description: OpenPGP digital signature

Re: WannaCry "ransomware" cyber attack :

[andre_debian]

>  > Linux devrait donc justement être la cible des pirates,
> > Or non, les pirates jettent leur dévolu sur les serveurs Windows,

On Tuesday 16 May 2017 20:54:33 elguero eric wrote:
> oui mais l'utilisateur de Linux, puisqu'il
> n'a pas voulu payer pour l'OS, est réputé
> avare, et du point de vue de quelqu'un
> qui cherche à extorquer de l'argent, un
> avare n'est pas un bon client ;) 

Y a le Ministère des Finances qui a basculé vers Linux,
il est riche... sauf qu'il a plus de 2.147,2 milliards € de dette.

André

Re: WannaCry "ransomware" cyber attack :

[Erwan David]

Le 05/16/17 à 20:54, elguero eric a écrit :
> 
> 
>  > Linux devrait donc justement être la cible des
>  pirates,
> 
>> Or non, les pirates jettent leur dévolu sur
>  les serveurs Windows,
> 
> 
> oui mais l'utilisateur de Linux, puisqu'il
> n'a pas voulu payer pour l'OS, est réputé
> avare, et du point de vue de quelqu'un
> qui cherche à extorquer de l'argent, un
> avare n'est pas un bon client ;)
> 
> e.e.
> 

D'un autre côté demander des bitcoins à un utilisateur de windows XP...

Re: WannaCry "ransomware" cyber attack :

[elguero eric]

 > Linux devrait donc justement être la cible des
 pirates,

> Or non, les pirates jettent leur dévolu sur
 les serveurs Windows,


oui mais l'utilisateur de Linux, puisqu'il
n'a pas voulu payer pour l'OS, est réputé
avare, et du point de vue de quelqu'un
qui cherche à extorquer de l'argent, un
avare n'est pas un bon client ;)

e.e.

Re : WannaCry "ransomware" cyber attack :

[nicolas . patrois]

Le 16/05/2017 20:01:00, Thierry Bugier Pineau a écrit :

> J'ai aussi une interrogation sur les compteurs linky. On dit qu'ils
> communiquent par radio. Liaison chiffrée ou pas ? Le paiement sans
> contact des cartes bancaires n'est pas chiffré. Alors un décompte de
> kilowatts...

> D'ailleurs il faut que j'appelle Engie à propos de ces compteurs car
> ça m'inquiète réellement plus que les ondes électromagnétiques qu'on
> va absorber. J'ai envie d'avoir les spécifications sur le protocole 
> de communication.

On bouffe tous des ondes électromagnétiques, la lumière en est comme 
les ondes radio ou les rayons gamma.
Tout est une question de dose, plus précisément de dose à la seconde 
(de flux) selon l’onde. Le danger de Linky, s’il y a, n’est pas là.

nicolas patrois : pts noir asocial
-- 
RÉALISME

M : Qu'est-ce qu'il nous faudrait pour qu'on nous considère comme des 
humains ? Un cerveau plus gros ?
P : Non... Une carte bleue suffirait...

Re: WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

Les objets connectés ont un extraordinaire potentiel. Sont venez vous les 
attaques DoS menées contre OVH. Elles était faites à l'aide de caméras de 
surveillance connectées. Il y a eu une affaire avec des ampoules Philips 
récemment. Les objets connectés ne sont généralement pas conçus avec la 
sécurité en tête. On fait un firmware qui rend le service voulu apparemment 
sans aucune considération pour les détournements potentiels. Il faut avouer que 
la puissance de calcul et la taille des firmwares sont limités. Pire, il se 
peut que rien ne soit prévu pour les mettre à jour. Et d'ailleurs à quoi ça 
sert ? Les produits sont éphémères grâce à l'obsolescence programmée.

Des chercheurs ont mis au point un virus se propageant par les box-routeurs mal 
protégées (mot de passe par défaut) ou avec une faille. Vous êtes informés sur 
des mises à jour de vos box ? Moi, mon FAI ne m'envoie jamais un mail pour en 
parler.

Le plus drôle que j'ai vu : la vidéo du hack d'une serrure connectée. Il 
suffisait de taper un coup de marteau bien placé sur la serrure pour que la 
gâche se déverrouille (pas spécialement fort d'ailleurs). 

J'ai aussi une interrogation sur les compteurs linky. On dit qu'ils 
communiquent par radio. Liaison chiffrée ou pas ? Le paiement sans contact des 
cartes bancaires n'est pas chiffré. Alors un décompte de kilowatts...

D'ailleurs il faut que j'appelle Engie à propos de ces compteurs car ça 
m'inquiète réellement plus que les ondes électromagnétiques qu'on va absorber. 
J'ai envie d'avoir les spécifications sur le protocole de communication. 

En gros les objets connectés, pour moi, c'est vendre du rêve sans se soucier du 
cauchemar qu'ils peuvent engendrer. A consommer avec modération.

1 objet connecté, ça va; 3, bonjour les dégâts !


Le 16 mai 2017 14:07:04 GMT+02:00, "Gaëtan PERRIER"  a 
écrit :
>Le Tue, 16 May 2017 11:39:34 +
>Yves Rutschle  a écrit:
>
>> On Mon, May 15, 2017 at 05:12:55PM +0200, andre_deb...@numericable.fr
>wrote:
>> > un tel virus se serait-il propagé si fortement si la majorité des
>> > ordinateurs étaient sous Linux ?
>> 
>> À mon avis, si la majorité des ordinateurs étaient sous
>> Linux, la majorité des virus le seraient également. On n'est
>> pas magiquement protégés. À l'heure actuelle, y'a peu de
>> cibles sous Linux, [...]
>
>Oui pour le monde de la machine de bureau mais faux dans la globalité.
>Beaucoup
>de serveurs tournent sous Linux et ne parlons pas d'Androïd et de tous
>les
>objets connectés qui bien souvent utilisent linux.
>
>Gaëtan

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Faire cohabiter certificats POP et IMAP

[Pascal Hambourg]

Le 16/05/2017 à 19:17, andre_deb...@numericable.fr a écrit :

On Tuesday 16 May 2017 18:53:06 Erwan David wrote:


Déjà ça sera postfix en smtp dovecot en pop et imap, donc tu peux
séparer le certificat de postfix :


Je comprends pas "séparer le certificat de postfix".


Postfix ne s'occupe que du SMTP, donc tu peux lui faire utiliser un 
certificat différent de dovecot.



Ensuite pour pop et imap, je m'en tire en utilisant le même nom d'hôte,
pas besoin d'un certificat différent par protocole.


Le serveur a un nom d'hôte unique,
et
pop = pop.serveur.org
imap = imap.serveur.org


Ce sont deux noms différents.


les deux bien indiqués dans le serveur DNS,
avec le même IP (serveur).


Peu importe qu'ils aient la même adresse. Ce que le client vérifie, 
c'est l'adéquation entre le nom d'hôte qu'il a utilisé et celui figurant 
dans le certificat servi.

Re: WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

Pour moi une force de linux est la permission exécutable sur les fichiers. Rien 
que ça, quand un virus crée un fichier pour satisfaire ses envies 
malveillantes, fait office de sécurité.

Des failles qui traînent, ça existe aussi sous linux. Il y a quelques mois o' a 
trouvé une belle faille dans la pile TCP/IP du noyau android qui trainait 
depuis pas mal d'années; assez pour la retrouver dans son papa linux.

Je suis tombé ces derniers jours sur des graphiques de Microsoft vantant la 
sécurité de ses produits par rapport à linux. Linux a beaucoup plus de failles 
et de failles critiques comparé à windows. (Mais ce qu'ils omettent de dire, 
c'est que linux est l'objet de beaucoup plus de paires d'yeux que windows; et 
donc ces graphiques mentent par omission).

Il ne fait pas non plus oublier que la sécurité informatique est globalement 
efficace. Beaucoup d'attaques passent par de l'ingénierie sociale comme  
premier levier de contamination (chronologique, et dans une infrastructure 
d'entreprise). Je lis souvent que le premier maillon faible c'est l'humain. En 
revanche, pour wannacrypt0r, il semble que l'humain ne soit pas nécessaire. Je 
vois des infos i' peu contradictoires cela dit.

Le 16 mai 2017 14:45:30 GMT+02:00, andre_deb...@numericable.fr a écrit :
>On Tuesday 16 May 2017 13:39:34 Yves Rutschle wrote:
>> On Mon, May 15, 2017 at 05:12:55PM +0200, andre_deb...@numericable.fr
>wrote:
>> > un tel virus se serait-il propagé si fortement si la majorité des
>> > ordinateurs  étaient sous Linux ?
>
>> À mon avis, si la majorité des ordinateurs étaient sous
>> Linux, la majorité des virus le seraient également. On n'est
>> pas magiquement protégés. À l'heure actuelle, y'a peu de
>> cibles sous Linux, et les utilisateurs tendent à être formés
>> et à ne pas cliquer sur tous les mails qui leur arrivent...
>> Si on passe tout le monde sous Linux, on découvrira
>> subitement qu'il y a autant de vulnérabilités dans
>> OpenOffice que dans MS Office.
>> Faut passer sous Qubes.
>
>Je n'ai pas la même réaction :
>
>Aujourd'hui, la majorité des serveurs d'entreprises sont sous Linux.
>
>Linux devrait donc justement être la cible des pirates,
>puisque c'est souvent à partir des serveurs que les
>virus et programmes malveillants se propagent.
>
>Or non, les pirates jettent leur dévolu sur les serveurs Windows,
>avec des logiciels exécutables pour Windows.
>Le 12 mai, ils ont ciblé un système plus maintenu (XP).
>
>Qui parmi vous a eu des virus sur son OS GNU/Linux ?
>
>Il serait intéressant de savoir ce qu'il en est des virus
>sous Android et Mac OS/X.
>
>Linux a ou a eu des vulnérabilités, mais très vite corrigées
>par sa communauté (noyaux, ssh...).
>
>Tandis que Windows traine depuis son début le grand problème des virus,
>jamais résolu, alors que Microsoft est richissime.
>
>Bonne journée,
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Faire cohabiter certificats POP et IMAP

[Thierry Bugier Pineau]

Si il y a un avertissement sur un protocole seulement, je pencherais pour un 
souci de configuration.

Je n'ai pas l'expérience pour Gandi en particulier, mais en principe le 
certificat acheté est livré avec une "CA chain". Elle sert à établir la 
relation de confiance sur plusieurs maillons jusqu'à atteindre un CA racine ou 
un CA communément déployé sur la plupart des OS.

En gros votre certificat est certifié par Grandi, qui est lui même certifié par 
un autre CA, et ainsi de suite. Souvent les vendeurs ont plusieurs maillons 
successifs en interne avant d'être certifiés par un tiers.

La CA chain doit être fournie par le serveur au client. Pour cela, soit on 
fusionne en 1 seul fichier la CA chain RT le certificat, soit le logiciel 
serveur fournit un paramètre pour spécifier la CA chain. Je vérifie mes notes, 
mais comme vous avez l'adresse jetez y un oeil.

Le 16 mai 2017 18:42:48 GMT+02:00, andre_deb...@numericable.fr a écrit :
>Bonjour,
>
>Sur un serveur de messagerie Postfix / Dovecot,
>comment faire cohabiter des certificats différents
>pour POP et IMAP.
>
>Le serveur n'a qu'un seul certificat pour les protocoles
>SMTP, POP et IMAP (certif officiel acheté chez Gandi).
>
>Quand un client via son MUA reçoit ses mails en POP,
>envoie des mails en smtp.nom-serveur.org,
>pas de messages d'alerte de confirmer le certificat.
>
>Avec IMAP, oui, il faut le confirmer (pourquoi ?)
>
>Je ne vois pas dans Dovecot et/ou Postfix la possibilité
>de créer 2 certificats différents,
>ou comment faire cohabiter le même certificat
>pour les 3 protocoles sans que çe couine pour IMAP ?
>
>Merci,
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Faire cohabiter certificats POP et IMAP

[andre_debian]

On Tuesday 16 May 2017 18:53:06 Erwan David wrote:
> Le 05/16/17 à 18:42, andre_deb...@numericable.fr a écrit :
> > Sur un serveur de messagerie Postfix / Dovecot,
> > comment faire cohabiter des certificats différents
> > pour POP et IMAP.
> > Le serveur n'a qu'un seul certificat pour les protocoles
> > SMTP, POP et IMAP (certif officiel acheté chez Gandi).
> > Quand un client via son MUA reçoit ses mails en POP,
> > envoie des mails en smtp.nom-serveur.org,
> > pas de messages d'alerte de confirmer le certificat.
> > Avec IMAP, oui, il faut le confirmer (pourquoi ?)
> > Je ne vois pas dans Dovecot et/ou Postfix la possibilité
> > de créer 2 certificats différents,
> > ou comment faire cohabiter le même certificat
> > pour les 3 protocoles sans que çe couine pour IMAP ?
 
> Déjà ça sera postfix en smtp dovecot en pop et imap, donc tu peux
> séparer le certificat de postfix :

Je comprends pas "séparer le certificat de postfix".
 
> Ensuite pour pop et imap, je m'en tire en utilisant le même nom d'hôte,
> pas besoin d'un certificat différent par protocole.

Le serveur a un nom d'hôte unique,
et
pop = pop.serveur.org
imap = imap.serveur.org

les deux bien indiqués dans le serveur DNS,
avec le même IP (serveur).

André

Re: Faire cohabiter certificats POP et IMAP

[Thierry Bugier Pineau]

Bonjour

Une possibilité: avoir un certificat "wildcard". Exemple *.domaine.com

Ce certificat peut être utilisé à volonté sur tout sous domaine de domaine.com

Autre scénario :
Si postfix et dovecot sont sur le même serveur pourquoi ne pas les rattacher à 
mail.domaine.com plutôt que créer SMTP.domaine.com IMAP.domaine.com et 
pop.domaine.com ? Un certificat, pas forcément wildcard, et moins de travail. 
Il peut être utilisé sur tous services du moment qu'il est rattaché à 
mail.domaine.com (un webmail par exemple).

Le 16 mai 2017 18:42:48 GMT+02:00, andre_deb...@numericable.fr a écrit :
>Bonjour,
>
>Sur un serveur de messagerie Postfix / Dovecot,
>comment faire cohabiter des certificats différents
>pour POP et IMAP.
>
>Le serveur n'a qu'un seul certificat pour les protocoles
>SMTP, POP et IMAP (certif officiel acheté chez Gandi).
>
>Quand un client via son MUA reçoit ses mails en POP,
>envoie des mails en smtp.nom-serveur.org,
>pas de messages d'alerte de confirmer le certificat.
>
>Avec IMAP, oui, il faut le confirmer (pourquoi ?)
>
>Je ne vois pas dans Dovecot et/ou Postfix la possibilité
>de créer 2 certificats différents,
>ou comment faire cohabiter le même certificat
>pour les 3 protocoles sans que çe couine pour IMAP ?
>
>Merci,
>
>André

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.

Re: Faire cohabiter certificats POP et IMAP

[Eric Degenetais]

Au pire s'il est vraiment important d'utiliser deux noms d'hôtes il doit
être possible d'intercaler un reverse-proxy (le processus, pas
nécessairement la machine) qui porte la terminaison SSL et mettre un
certificat par virtualhost. Les deux services tourneraient alors en clair,
non visibles de l'extérieur.
Mais il faut évaluer le coût en ressources par rapport à l'utilisation de
deux ports sur le même nom d'hôtes.

Le 16 mai 2017 6:53 PM, "Erwan David"  a écrit :

> Le 05/16/17 à 18:42, andre_deb...@numericable.fr a écrit :
> > Bonjour,
> >
> > Sur un serveur de messagerie Postfix / Dovecot,
> > comment faire cohabiter des certificats différents
> > pour POP et IMAP.
> >
> > Le serveur n'a qu'un seul certificat pour les protocoles
> > SMTP, POP et IMAP (certif officiel acheté chez Gandi).
> >
> > Quand un client via son MUA reçoit ses mails en POP,
> > envoie des mails en smtp.nom-serveur.org,
> > pas de messages d'alerte de confirmer le certificat.
> >
> > Avec IMAP, oui, il faut le confirmer (pourquoi ?)
> >
> > Je ne vois pas dans Dovecot et/ou Postfix la possibilité
> > de créer 2 certificats différents,
> > ou comment faire cohabiter le même certificat
> > pour les 3 protocoles sans que çe couine pour IMAP ?
> >
> > Merci,
> >
> > André
> >
>
> Déjà ça sera postfix en smtp dovecot en pop et imap, donc tu peux
> séparer le certificat de postfix.
>
> Ensuite pour pop et imap, je m'en tire en utilisant le même nom d'hôte,
> pas besoin d'un certificat différent par protocole.
>
>

Re: Faire cohabiter certificats POP et IMAP

[Erwan David]

Le 05/16/17 à 18:42, andre_deb...@numericable.fr a écrit :
> Bonjour,
> 
> Sur un serveur de messagerie Postfix / Dovecot,
> comment faire cohabiter des certificats différents
> pour POP et IMAP.
> 
> Le serveur n'a qu'un seul certificat pour les protocoles
> SMTP, POP et IMAP (certif officiel acheté chez Gandi).
> 
> Quand un client via son MUA reçoit ses mails en POP,
> envoie des mails en smtp.nom-serveur.org,
> pas de messages d'alerte de confirmer le certificat.
> 
> Avec IMAP, oui, il faut le confirmer (pourquoi ?)
> 
> Je ne vois pas dans Dovecot et/ou Postfix la possibilité
> de créer 2 certificats différents,
> ou comment faire cohabiter le même certificat
> pour les 3 protocoles sans que çe couine pour IMAP ?
> 
> Merci,
> 
> André
> 

Déjà ça sera postfix en smtp dovecot en pop et imap, donc tu peux
séparer le certificat de postfix.

Ensuite pour pop et imap, je m'en tire en utilisant le même nom d'hôte,
pas besoin d'un certificat différent par protocole.

Faire cohabiter certificats POP et IMAP

[andre_debian]

Bonjour,

Sur un serveur de messagerie Postfix / Dovecot,
comment faire cohabiter des certificats différents
pour POP et IMAP.

Le serveur n'a qu'un seul certificat pour les protocoles
SMTP, POP et IMAP (certif officiel acheté chez Gandi).

Quand un client via son MUA reçoit ses mails en POP,
envoie des mails en smtp.nom-serveur.org,
pas de messages d'alerte de confirmer le certificat.

Avec IMAP, oui, il faut le confirmer (pourquoi ?)

Je ne vois pas dans Dovecot et/ou Postfix la possibilité
de créer 2 certificats différents,
ou comment faire cohabiter le même certificat
pour les 3 protocoles sans que çe couine pour IMAP ?

Merci,

André

Re: WannaCry "ransomware" cyber attack :

[andre_debian]

On Tuesday 16 May 2017 17:37:48 François LE GAD wrote:
> Le 16/05/2017 à 14:45, andre_deb...@numericable.fr a écrit :
> > Tandis que Windows traine depuis son début le grand problème des virus,
> > jamais résolu, alors que Microsoft est richissime.

> Microsoft et ses actionnaires n'auraient pas également des actions chez 
> les éditeurs d'antivirus et les sociétés de récupération de données ?

> Dans cette hypothèse, on peut comprendre qu'ils n'aient pas très envie 
> de scier la branche sur laquelle ils sont assis.

Pour une société comme Kaspersky, les compagnies d'assurances...
(juteux contrats accidents cyber-attaques aux entreprises),
quelle aubaine, c'est "du pain béni".

André

Re: WannaCry "ransomware" cyber attack :

[François LE GAD]

Le 16/05/2017 à 14:45, andre_deb...@numericable.fr a écrit :

Tandis que Windows traine depuis son début le grand problème des virus,
jamais résolu, alors que Microsoft est richissime.


Microsoft et ses actionnaires n'auraient pas également des actions chez 
les éditeurs d'antivirus et les sociétés de récupération de données ?


Dans cette hypothèse, on peut comprendre qu'ils n'aient pas très envie 
de scier la branche sur laquelle ils sont assis.


--
François

Petit problème fetchmail

[alex . padoly]

Bonsoir, 

Je ne comprends pas fetchmail voit un message de mon dossier spam mais ne le 
rapatrie pas 
1 message (1 seen) for. 
(folder INBOX.Spam). 

Le fichier .fetchmailrc contient pourtant l'option ''nokeep''. 
Merci pour vos explications. 

Alex PADOLY 

Re: WannaCry "ransomware" cyber attack :

[andre_debian]

On Tuesday 16 May 2017 13:39:34 Yves Rutschle wrote:
> On Mon, May 15, 2017 at 05:12:55PM +0200, andre_deb...@numericable.fr wrote:
> > un tel virus se serait-il propagé si fortement si la majorité des
> > ordinateurs  étaient sous Linux ?

> À mon avis, si la majorité des ordinateurs étaient sous
> Linux, la majorité des virus le seraient également. On n'est
> pas magiquement protégés. À l'heure actuelle, y'a peu de
> cibles sous Linux, et les utilisateurs tendent à être formés
> et à ne pas cliquer sur tous les mails qui leur arrivent...
> Si on passe tout le monde sous Linux, on découvrira
> subitement qu'il y a autant de vulnérabilités dans
> OpenOffice que dans MS Office.
> Faut passer sous Qubes.

Je n'ai pas la même réaction :

Aujourd'hui, la majorité des serveurs d'entreprises sont sous Linux.

Linux devrait donc justement être la cible des pirates,
puisque c'est souvent à partir des serveurs que les
virus et programmes malveillants se propagent.

Or non, les pirates jettent leur dévolu sur les serveurs Windows,
avec des logiciels exécutables pour Windows.
Le 12 mai, ils ont ciblé un système plus maintenu (XP).

Qui parmi vous a eu des virus sur son OS GNU/Linux ?

Il serait intéressant de savoir ce qu'il en est des virus
sous Android et Mac OS/X.

Linux a ou a eu des vulnérabilités, mais très vite corrigées
par sa communauté (noyaux, ssh...).

Tandis que Windows traine depuis son début le grand problème des virus,
jamais résolu, alors que Microsoft est richissime.

Bonne journée,

André

Re: WannaCry "ransomware" cyber attack :

[JF Straeten]

Lo,

On Tue, May 16, 2017 at 11:57:32AM +0200, Ph. Gras wrote:

[...]
> Je trouve néanmoins que Microsoft accuse la NSA d'en être à
> l'origine assez grave. Que des Services emploient des gens à
> développer des tools susceptibles de créer des dommages dans la
> société me semble franchement contrevenir à leurs missions.

'tention ; si j'ai bien compris, la NSA n'a rien développé de
malveillant...

Ça serait de leur faute parce qu'ils auraient découvert une faille
dans le protocole SMB il y a plusieurs mois, mais sans le dire à
personne, et leurs découvertes à ce sujet auraient fuités jusqu'à être
utilisées par les auteurs de l'attaque (ou du moins les devs de la
saloperie utilisée pour l'attaque).

Ils sont juste malfaisants, quand même pas malveillants :-)

A+

-- 

JFS.

Re: WannaCry "ransomware" cyber attack :

[Yves Rutschle]

On Mon, May 15, 2017 at 06:46:14PM +0200, Eric Degenetais wrote:
> > Je te rassure, ces machines sont en permanence hors réseau
> > sauf pour de brèves maintenances.
> 
> C'est ce qui paraît le plus sain, c'est pourquoi je trouve surprenant
> que des systèmes de ce type se retrouvent vérolés...

C'est assez courant d'avoir des machines-outils qui sont
connectées à un réseau, afin de pouvoir les programmer
directement en fonction de leur tâche.

Pour l'exemple de Renault, les chaînes d'assemblages de
voitures font typiquement plusieurs types de voitures selon
les commandes: on m'a demandé une Clio verte et une Kangoo
noire: on programme directement par le réseau les robots
pour mettre les bonnes pièces et la bonne couleur sur la
bonne voiture.

Étape d'après, tu programmes automatiquemen ces robots
depuis le système d'inventaire (un SAP ou truc du genre).
Étape d'après, tu permets au concessionaire qui me parle de
mettre ma commande personalisée dans le SAP, mis à
disposition par le Web.

Et de bout en bout, tu as un accès Web jusqu'aux robots de
production.

Pour peu que les gens qui aient mis ça en place n'aient pas
trop de notions de sécurité (parfois), ou que leur
hiérarichie leur ai dit "make it so", "pour la fin de la
semaine", "sans budget" (souvent), et on finit avec des
trucs pas très bien protégés.

Pour précіser, je dis pas que c'est comme ça que ça se passe
chez Renault, juste que c'est une possiblité (Par contre,
des machines connectées, je suis sûr que ça existe).

> Mais je me demande sincèrement si avec une expérience de terrain tu
> vois comment un virus qui traîne sur internet se retrouve dans des
> systèmes de production de ce type ?

Après, même chez les gens qui font attention, ça peut mal
tourner, par exemple l'attaque de Stuxnet sur les
centrifugeuses iraniennes qui étaient pourtant déconnectées.
Bon, là, on était pas sur un ransomware standard.

Y.

Re: WannaCry "ransomware" cyber attack :

[Gaëtan PERRIER]

Le Tue, 16 May 2017 11:39:34 +
Yves Rutschle  a écrit:

> On Mon, May 15, 2017 at 05:12:55PM +0200, andre_deb...@numericable.fr wrote:
> > un tel virus se serait-il propagé si fortement si la majorité des
> > ordinateurs étaient sous Linux ?
> 
> À mon avis, si la majorité des ordinateurs étaient sous
> Linux, la majorité des virus le seraient également. On n'est
> pas magiquement protégés. À l'heure actuelle, y'a peu de
> cibles sous Linux, [...]

Oui pour le monde de la machine de bureau mais faux dans la globalité. Beaucoup
de serveurs tournent sous Linux et ne parlons pas d'Androïd et de tous les
objets connectés qui bien souvent utilisent linux.

Gaëtan


pgpAbUdDNBN4A.pgp
Description: PGP signature

Re: WannaCry "ransomware" cyber attack :

[Yves Rutschle]

On Mon, May 15, 2017 at 05:12:55PM +0200, andre_deb...@numericable.fr wrote:
> un tel virus se serait-il propagé si fortement si la majorité des ordinateurs 
> étaient sous Linux ?

À mon avis, si la majorité des ordinateurs étaient sous
Linux, la majorité des virus le seraient également. On n'est
pas magiquement protégés. À l'heure actuelle, y'a peu de
cibles sous Linux, et les utilisateurs tendent à être formés
et à ne pas cliquer sur tous les mails qui leur arrivent...
Si on passe tout le monde sous Linux, on découvrira
subitement qu'il y a autant de vulnérabilités dans
OpenOffice que dans MS Office.

Faut passer sous Qubes.

Y.

Re: WannaCry "ransomware" cyber attack :

[Nicolas Pétillon]

> Mais bon, si on était dans une vraie civilisation technique ou
> scientifique qui cherche à identifier et résoudre les vrais problèmes
> ça se saurait ^^
> 
> Quelques alertes de ce style ouvriront peut-être les yeux des
> comptables qui nous dirigent (en entreprise ou ailleurs) sur les
> investissements nécessaires...
>
C'est tellement vrai. Je trouve que c'est souvent la mêmes problématiques qui 
reviennent,
une culture informatique absente ou occulté, en général.
Vite plus vite! la sécurité ? Pas le temps, pas l'argent et ça clique sans 
réfléchir 2s...

Il faudra encore longtemps pour que la majorité réfléchissent à leurs 
comportement.
-- 
Nicolas Pétillon

Re: WannaCry "ransomware" cyber attack :

[Ph. Gras]

Hello !

> L'information médiatique est tellement pourrie qu'on finirait par devenir 
> parano et puis il faut une sorcière... Le monde ne s'est pas amélioré, il a 
> tellement régressé que les gens ne s'en rendent pa compte ou plus compte, ou 
> ne veulent pas voir la vérité en face

Ce ne serait donc effectivement pas un coup des Chinois du FBI :
https://www.ft.com/content/74ae2600-39a3-11e7-ac89-b01cc67cfeec

(Bon… en même temps le communicant de la Maison Blanche doit en
savoir au moins autant que moi, c'est à dire pas grand chose :-P)

Je trouve néanmoins que Microsoft accuse la NSA d'en être à l'origine
assez grave. Que des Services emploient des gens à développer des
tools susceptibles de créer des dommages dans la société me semble
franchement contrevenir à leurs missions.

Ph. Gras

Re: WannaCry "ransomware" cyber attack :

[Eric Degenetais]

Le 15 mai 2017 à 23:40, Stéphane Aulery  a écrit :
> Si j'avais pu rester en poste, je projetais de rebrancher le câble réseau
> mais de n'autoriser qu'un unique port de transfert entre deux machines
> déterminées avec à chaque bout des services maisons en tâche de fond de
> transfert / réception de fichiers s'appuyant sur une convention préétablie
> pour permettre de vérifier la validation du contenu de chaque fichier
> échangé. En gros on ne fait passer que des fichiers de données dans un
> format prédéfinie sur un poste frontière.
>
> C'est une politique bien différente de brancher un câble à l'aveugle en
> espérant passer au travers. Pour ça il faut avoir ne serai-ce que l'idée et
> l’énergie de vouloir développer les outils adaptés et d'internaliser le
> savoir et les moyens ; ce qui est à contre-courant de l'idéologie ambiante.

C'est effectivement très dommage qu'il ne soit pas alloué plus de
ressources pour sécuriser les transferts dans ce cas, surtout vu les
conséquences lourdes en cas de faille...
Mais bon, si on était dans une vraie civilisation technique ou
scientifique qui cherche à identifier et résoudre les vrais problèmes
ça se saurait ^^

Quelques alertes de ce style ouvriront peut-être les yeux des
comptables qui nous dirigent (en entreprise ou ailleurs) sur les
investissements nécessaires...

Éric Dégenètais
Henix

http://www.henix.com
http://www.squashtest.org

Re: WannaCry "ransomware" cyber attack :

[aishen]

Que la NSA soit citée (à tort ou à raison, mais apparemment c'est à raison…) 
paraît confirmer le caractère
géopolitique de l'attaque. Ceci dit, il n'est pas exclu qu'il puisse y en avoir 
2, la seconde crapuleuse en se
cachant derrière la première…

NSA = cholera et peste comme la politique à choisir entre la peste et le 
choléra...


L'information médiatique est tellement pourrie qu'on finirait par 
devenir parano et puis il faut une sorcière... Le monde ne s'est pas 
amélioré, il a tellement régressé que les gens ne s'en rendent pa compte 
ou plus compte, ou ne veulent pas voir la vérité en face




Le 16/05/2017 à 11:08, Ph. Gras a écrit :

Bonjour,


Quelqu'un ici a parlé d'un lien potentiel avec la Corée du nord.

Ça semble aller dans cette direction : 
http://www.ouest-france.fr/monde/coree-du-nord/virus-informatique-la-coree-du-nord-pourrait-etre-liee-l-attaque-4993956

Ce genre d'attaques, avec de telles particularités, sont d'expérience souvent 
en lien avec l'actualité des
questions géopolitiques.

Elles ont un caractère soudain, et sont réalisées avec de gros moyens mais avec 
peu de précision dans
le ciblage…

Quand c'est mon serveur ou une de ses activités qui sont visés, c'est beaucoup 
plus opiniâtre et ciblé.


Quelqu'un a dit avoir vu de l'activité suspecte passer sur ses serveurs, 
j'aimerais moi aussi voir ces logs si possible, dans un but didactique.

Il n'y a rien de spécial dans les logs, sauf que les requêtes suspectes 
viennent de partout sauf de France.

Parallèlement à un pic d'attaques par dictionnaire venant principalement de 
Chine, j'ai observé un pic de
messages sur une liste de discussion, venant de non abonnés issus de tous les 
pays de la planète, sauf
de France (où se trouvent ses . Le message était en anglais avec un lien dedans.

Rien de particulier donc, dans les logs. Il m'a été impossible d'identifier un 
motif particulier dans ces mails
qui m'aurait permis de créer un filtre dans fail2ban.

Mais 2 jours plus tard, ça s'était déjà calmé…

Que la NSA soit citée (à tort ou à raison, mais apparemment c'est à raison…) 
paraît confirmer le caractère
géopolitique de l'attaque. Ceci dit, il n'est pas exclu qu'il puisse y en avoir 
2, la seconde crapuleuse en se
cachant derrière la première…

Bien à vous,

Ph. Gras

Re: WannaCry "ransomware" cyber attack :

[Ph. Gras]

Bonjour,

> Quelqu'un ici a parlé d'un lien potentiel avec la Corée du nord.
> 
> Ça semble aller dans cette direction : 
> http://www.ouest-france.fr/monde/coree-du-nord/virus-informatique-la-coree-du-nord-pourrait-etre-liee-l-attaque-4993956

Ce genre d'attaques, avec de telles particularités, sont d'expérience souvent 
en lien avec l'actualité des
questions géopolitiques.

Elles ont un caractère soudain, et sont réalisées avec de gros moyens mais avec 
peu de précision dans
le ciblage…

Quand c'est mon serveur ou une de ses activités qui sont visés, c'est beaucoup 
plus opiniâtre et ciblé.

> 
> Quelqu'un a dit avoir vu de l'activité suspecte passer sur ses serveurs, 
> j'aimerais moi aussi voir ces logs si possible, dans un but didactique.

Il n'y a rien de spécial dans les logs, sauf que les requêtes suspectes 
viennent de partout sauf de France.

Parallèlement à un pic d'attaques par dictionnaire venant principalement de 
Chine, j'ai observé un pic de
messages sur une liste de discussion, venant de non abonnés issus de tous les 
pays de la planète, sauf
de France (où se trouvent ses . Le message était en anglais avec un lien dedans.

Rien de particulier donc, dans les logs. Il m'a été impossible d'identifier un 
motif particulier dans ces mails
qui m'aurait permis de créer un filtre dans fail2ban.

Mais 2 jours plus tard, ça s'était déjà calmé…

Que la NSA soit citée (à tort ou à raison, mais apparemment c'est à raison…) 
paraît confirmer le caractère
géopolitique de l'attaque. Ceci dit, il n'est pas exclu qu'il puisse y en avoir 
2, la seconde crapuleuse en se
cachant derrière la première…

Bien à vous,

Ph. Gras

Re: WannaCry "ransomware" cyber attack :

[Eric Bernard]

Bonjour,
Ce fameux ransomware se propage bien par messagerie ou c'est une autre 
bestiole ?
A l'époque , j'ai déplacé toutes les messageries de mes postes windows 
sur des vm linux (xubuntu + thunderbird) sous VirtualBox. Rien n'est 
jamais passé...



Le 16/05/2017 à 01:40, Stéphane Aulery a écrit :

Le 15/05/2017 18:46, Eric Degenetais a écrit :

Le 15 mai 2017 à 18:40, Stéphane Aulery  a écrit :

Je te rassure, ces machines sont en permanence hors réseau
sauf pour de brèves maintenances.


C'est ce qui paraît le plus sain, c'est pourquoi je trouve surprenant
que des systèmes de ce type se retrouvent vérolés...
Après l'intérêt d'avoir des version d'OS en fonction des plannings
commerciaux de microsoft sur des systèmes qui n'ont pas vocation à
recevoir de nouveaux périphériques à noël...
Mais je me demande sincèrement si avec une expérience de terrain tu
vois comment un virus qui traîne sur internet se retrouve dans des
systèmes de production de ce type ?


De la même manière que les nôtres ont tout de même été infecté et que 
nous avons mis longtemps à nous en débarrasser.


Ces machines ont besoin de données extérieures pour établir un 
programme de production parce que ce ne sont pas des machines outils 
qui n’automatisent qu'un tâche basique et unique.


Du coup si tu ne peux pas utiliser un câble réseau tu es obligé 
d'utiliser... un autre moyen de faire entrer des données. Et ceux qui 
étaient là avant moi n'ont rien trouvé de mieux que d'utiliser une 
clef USB. D'un autre côté le constructeur refuse l'installation d'un 
antivirus plus élaboré que Clamav, qui n'est pas franchement efficace, 
parce qu'ils perturbent soi-disant le fonctionnement des logiciels. Et 
d'un autre côté, trouver un antivirus qui fonctionne encore sur XP, 
faut se lever tôt.


Si j'avais pu rester en poste, je projetais de rebrancher le câble 
réseau mais de n'autoriser qu'un unique port de transfert entre deux 
machines déterminées avec à chaque bout des services maisons en tâche 
de fond de transfert / réception de fichiers s'appuyant sur une 
convention préétablie pour permettre de vérifier la validation du 
contenu de chaque fichier échangé. En gros on ne fait passer que des 
fichiers de données dans un format prédéfinie sur un poste frontière.


C'est une politique bien différente de brancher un câble à l'aveugle 
en espérant passer au travers. Pour ça il faut avoir ne serai-ce que 
l'idée et l’énergie de vouloir développer les outils adaptés et 
d'internaliser le savoir et les moyens ; ce qui est à contre-courant 
de l'idéologie ambiante.

Re: WannaCry "ransomware" cyber attack :

[Thierry Bugier Pineau]

Bonjour

Quelqu'un ici a parlé d'un lien potentiel avec la Corée du nord.

Ça semble aller dans cette direction : 
http://www.ouest-france.fr/monde/coree-du-nord/virus-informatique-la-coree-du-nord-pourrait-etre-liee-l-attaque-4993956

J'ai lu que le coût de l'attaque est évalué à quelques centaines de millions de 
dollars, et assurément moins de 1 milliard. Même si c'est réparti dans le monde 
entier, ça fait une belle somme, et il y a d'autres dégâts potentiels qu'on 
semble se garder de nous dire. On a très vite parlé des hôpitaux au Royaume 
Uni, mais pas vu un mot sur un lien de cause à effet entre des décès et le 
virus informatique.

Vu l'activité sur ce sujet j'ai lu les messages plus ou moins en diagonale.

Quelqu'un a dit avoir vu de l'activité suspecte passer sur ses serveurs, 
j'aimerais moi aussi voir ces logs si possible, dans un but didactique.

Le 16 mai 2017 01:40:38 GMT+02:00, "Stéphane Aulery"  a écrit :
>Le 15/05/2017 18:46, Eric Degenetais a écrit :
>> Le 15 mai 2017 à 18:40, Stéphane Aulery  a écrit :
>>> Je te rassure, ces machines sont en permanence hors réseau
>>> sauf pour de brèves maintenances.
>> 
>> C'est ce qui paraît le plus sain, c'est pourquoi je trouve surprenant
>> que des systèmes de ce type se retrouvent vérolés...
>> Après l'intérêt d'avoir des version d'OS en fonction des plannings
>> commerciaux de microsoft sur des systèmes qui n'ont pas vocation à
>> recevoir de nouveaux périphériques à noël...
>> Mais je me demande sincèrement si avec une expérience de terrain tu
>> vois comment un virus qui traîne sur internet se retrouve dans des
>> systèmes de production de ce type ?
>
>De la même manière que les nôtres ont tout de même été infecté et que 
>nous avons mis longtemps à nous en débarrasser.
>
>Ces machines ont besoin de données extérieures pour établir un
>programme 
>de production parce que ce ne sont pas des machines outils qui 
>n’automatisent qu'un tâche basique et unique.
>
>Du coup si tu ne peux pas utiliser un câble réseau tu es obligé 
>d'utiliser... un autre moyen de faire entrer des données. Et ceux qui 
>étaient là avant moi n'ont rien trouvé de mieux que d'utiliser une clef
>
>USB. D'un autre côté le constructeur refuse l'installation d'un 
>antivirus plus élaboré que Clamav, qui n'est pas franchement efficace, 
>parce qu'ils perturbent soi-disant le fonctionnement des logiciels. Et 
>d'un autre côté, trouver un antivirus qui fonctionne encore sur XP,
>faut 
>se lever tôt.
>
>Si j'avais pu rester en poste, je projetais de rebrancher le câble 
>réseau mais de n'autoriser qu'un unique port de transfert entre deux 
>machines déterminées avec à chaque bout des services maisons en tâche
>de 
>fond de transfert / réception de fichiers s'appuyant sur une convention
>
>préétablie pour permettre de vérifier la validation du contenu de
>chaque 
>fichier échangé. En gros on ne fait passer que des fichiers de données 
>dans un format prédéfinie sur un poste frontière.
>
>C'est une politique bien différente de brancher un câble à l'aveugle en
>
>espérant passer au travers. Pour ça il faut avoir ne serai-ce que
>l'idée 
>et l’énergie de vouloir développer les outils adaptés et d'internaliser
>
>le savoir et les moyens ; ce qui est à contre-courant de l'idéologie 
>ambiante.
>
>-- 
>Stéphane Aulery

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.