[FRnOG] [ALERT] Vulnérabilité critique Checkpoint VPN - CVE-2024-24919
Pour ceux qui sont trop distraits par les digressions du vendredi et qui ont raté CVE-2024-24919 https://x.com/DevSecAS/status/1796145388581278065 https://support.checkpoint.com/results/sk/sk182336 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re :Re: [FRnOG][MISC] Digression du Vendredi sur l'identité numérique
On Sat, 2024-06-01 at 13:09 +0200, lm2 via frnog wrote: > bonjour, > > mais la récupération du colis avec sa CNI propre et originale, n'est > elle simplement plus simple? > Ce n'est pas la question: il y a bon nombre d'usagers qui ont toujours un téléphone dans la poche mais n'ont pas leur papiers. Le colis est un mauvais exemple: Il n'y a pas de besoin d’authentification forte: le livreur se contre-fou d'où et à qui il le donne. > vous aurez compris que le commerce qui m'exige une appli sur > smartphone, je lui exhibe mon 3310 pour ma défense :) > Je n'ai aucun problème avec ça pour un colis. > > à l'instar de prendre un ticket pour le train/métro (qui est largement > possible sans téléphone), je pige pas pourquoi récupérer un colis > dérogerait à la règle.. > > quid si le tel est volé?oublié?perdu?batterie hs? > > pour moi il sert qu'à communiquer, surtout rien d'autre.. trop > volatile! > Certain usages requièrent une vérification de l'identité plus ou moins approfondie. Pour rester dans l'exemple du bureau de poste, il y a retirer un colis, retirer un recommandé, ouvrir un compte et souscrire un prêt. Il est pour l'instant accepté de montrer une CNI sans smartcard que le postier/banquier n'a aucun moyen de vérifier (sans parler du cas où la CNI n'est pas française)... ou d'utiliser l'identité numérique laposte (à base de photos de documents, comme l'a fait Gael) mais il n'est pas accepté d'utiliser France Identité sur son téléphone (qui lui permet l'authentification forte). Chercher l'erreur... Dans tous ces cas la solution est technologique et il faudrait que le postier ait des outils adéquats. Penser que l'on peut former les postiers de manière efficace pour identifier des faux est naif... et il est évident que si on leur en donne la possibilité ils trouveront des circonstances dans lesquelles ils s'affranchiront du contrôle. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Digression du Vendredi sur l'identité numérique
On Sat, 2024-06-01 at 12:13 +0200, Xavier Beaudouin via frnog wrote: > > Je prêche que l'état devrait fournir un service de SSO utilisable > > par de > > tierces parties et qu'au lieu de forcer les prestataires à faire son > > boulot (stocker des données sensibles "au cas où"), il devrait > > forcer > > ces prestataires à utiliser cette solution. Cela permettrai > > d'améliorer > > le modèle de sécurité, de simplifier les procédures (pour tout le > > monde: > > l'utilisateur, le prestataire et l'état) et d'être plus efficace. > > > > C'est ma conviction intime, d'expert non-intéressé. Ma (petite) > > boite > > n'a rien à gagner dans cette histoire... mais en tant qu'individuel > > je > > pense que c'est la meilleure solution. > > > Dans d'autres pays il y a des GIE pour ça... Exemple au Luxembourg, > que je connais bien, il y a Luxtrust. > > J'dis pas que ce sont les meilleurs, mais avec le token physique > (hélas en voie de disparition), la carte d'identité Luxo, ou > l'application mobile, se connecter/signer avec truc équivaut a une > signature officielle de l'intéressé. > > Comme d'habitude en France on fait n'importe quoi, chacun dans son > silo, personne ne communique ensemble et chacun fait n'importe quoi > avec les données. > > Entre France Connect, France Connect+ (dafuq?), France Identité > (évidement quand on a une vieille CNI on peux se brosser avec une > brosse métallique), bref tout pour faire mal ce qu'on pourrais fait > mieux. Et je ne parle pas de "truster" laposte avec les 1 TLD tous > fais pour que tout le monde s'habitue au phishing industriel... > > Xavier Nous sommes d'accord. Il n'y a aucune vision stratégique et il semble que toutes ces initiatives n'apprennent ni de leur erreurs ni de celles des autres. Pour qu'un tel système fonctionne il faut: - de l'authentification forte (on a déjà payé pour et on sait faire: des smartcards dans les papiers d'identité ou les secure- elements/TPMs) - que ce soit utilisable (features, contraintes de disponibilité, ...) - qu'il y ait une bonne raison de justifier le changement (de toutes les parties: ceux qui implémentent, les utilisateurs, ...) Pour l'instant il n'y a aucune initiative qui traite du troisième point alors que c'est le plus important. Les solutions c'est comme souvent la carotte et le baton... Prenons un exemple précis proche des problématiques que les lecteurs de la liste rencontrent: pour vendre une carte SIM il faut connaître l'identité du client. L'opérateur se contre-fou de à qui il la vend... mais il est obligé de conserver des justificatifs d'identité. Si demain l'état accouche de France Connect++, il n'y aura aucun intérêt pour l'opérateur de l'implémenter (et de remplacer l'existant) si l'obligation de conserver ces justificatifs perdure. Il y a bien entendu la solution de l'y contraindre (on aime bien les obligations sans sanctions en France) mais il serait beaucoup plus simple et sécurisé pour tout le monde d'utiliser une solution de SSO. Le client pourrait être pseudo-anonyme vis à vis de l'opérateur et souscrire plus simplement/rapidement, l'opérateur pourrait réduire ses coûts et la friction pour acquérir de nouveaux clients, l'état conserve la possibilité de faire le lien (et de s'impliquer si besoin - y compris si le client est un mauvais payeur). J'ai pris l'exemple d'une carte SIM mais il y en a bien entendu d'autres (identification des utilisateurs en WiFi, ...). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Digression du Vendredi sur l'identité numérique
On Sat, 2024-06-01 at 09:59 +0200, Laurent Barme wrote: > > Le 01/06/2024 à 09:53, Florent Daigniere via frnog a écrit : > > > Si tu cherches un argument d'autorité je peux t'en donner un aussi. > > C'est mon métier: la boite pour laquelle je travaille fait des > > prestations d'audit en sécurité (dont des audits de mot de passe) > > depuis > > des décennies et vends des produits > > [pub] > > > (une solution > > pour Active Directory, toujours autour des mots de passe). > > > > Je pense avoir une opinion éclairée sur le sujet. > > > > > > > Ah d'accord, tu travailles dans le security business… > > Je comprends mieux > Au vu de tes insinuations, j'en doute. Je prêche que l'état devrait fournir un service de SSO utilisable par de tierces parties et qu'au lieu de forcer les prestataires à faire son boulot (stocker des données sensibles "au cas où"), il devrait forcer ces prestataires à utiliser cette solution. Cela permettrai d'améliorer le modèle de sécurité, de simplifier les procédures (pour tout le monde: l'utilisateur, le prestataire et l'état) et d'être plus efficace. C'est ma conviction intime, d'expert non-intéressé. Ma (petite) boite n'a rien à gagner dans cette histoire... mais en tant qu'individuel je pense que c'est la meilleure solution. De toute façon le mouvement est déjà en route, la seule question est de savoir si c'est un GAFAM qui remplira le role de l'état (au détriment de tous) en étant le premier a fournir "un coffre fort numérique amélioré". --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Digression du Vendredi sur l'identité numérique
On Fri, 2024-05-31 at 20:37 +0200, Laurent Barme wrote: > > Le 31/05/2024 à 19:10, Florent Daigniere a écrit : > … > > par contre avoir des traitements non automatisés je n'imagine pas > > comment cela pourrait fonctionner. > > > Tu n'imagines pas comment cela fonctionnait il y a une soixantaine > d'année ? > … Très mal. J'en veux pour preuve que dans ma famille nous avons perdu l'accent sur notre nom et que Toussain semble avoir des problèmes similaires. L'explication qui nous a été donnée c'est que l'accent grave ne se tape pas bien à la machine à écrire... et que donc il a été perdu quand les registres ont été dactylographiés (ce qui n'était pas un traitement automatisé). Deux générations plus tard, mon ancienne carte d'identité avait un accent alors que mes passeports n'en ont jamais eu. Vive les traitements non automatisés. > > On ne doit pas vivre dans le même monde. > Si mais manifestement pas avec la même perception. > > > L'usurpation d'identité est un > > vrai problème qui a pour source le fait que la loi impose aux > > opérateurs > > de services de stoker des données sensibles (dont ils n'ont pas > > besoin > > et qu'ils ne stockeraient pas si ils n'y étaient pas obligés) "au > > cas > > où". > Ah bon. > > Benh oui, le KYC a un coût tant du coté utilisateur que prestataire; personne ne le fait pour le plaisir. > > Si tes papiers fuient sur un service, ils seront réutilisés ailleurs > > (donc il y a bien propagation d'incident) jusqu'à leur expiration > > (qui > > se mesure en décennie). > > > > > > ... de partout et des utilisateurs qui réutilisent leur > > > > mot de passe entre les services (credential stuffing). > > > Justement, l'intérêt de mots de passe distincts par service est > > > que si > > > un problème survient sur un service, cela ne pollue pas les > > > autres. > > > > > Dans le vrai monde c'est le corollaire qui est vrai: les > > utilisateurs > > n'utilisent pas de mots de passe distincts > Comment pourrais-tu le savoir ? > > Regardes les données. Prends tous les DBIRs sur ces dernière années et tu verras que le "top 2" c'est toujours (i) credential stuffing (ii) social engineering/phishing (l'humain qui t'es très cher) https://www.verizon.com/business/resources/reports/dbir/ Si tu cherches un argument d'autorité je peux t'en donner un aussi. C'est mon métier: la boite pour laquelle je travaille fait des prestations d'audit en sécurité (dont des audits de mot de passe) depuis des décennies et vends des produits dont https://pwncheck.me (un logiciel d'audit de mots de passe) et https://safepass.me (une solution pour Active Directory, toujours autour des mots de passe). Je pense avoir une opinion éclairée sur le sujet. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Digression du Vendredi sur l'identité numérique
On Fri, 2024-05-31 at 17:47 +0200, Laurent Barme wrote: > > Le 31/05/2024 à 17:17, Florent Daigniere a écrit : > > On Fri, 2024-05-31 at 16:51 +0200, Laurent Barme wrote: > > > Heureusement, notre gouvernement actuel est garant d'une > > > utilisation > > > bienveillante de l'identité numérique. Mais demain, si un parti > > > moins > > > moral l'emportait… > > C'est justement ça le vrai débat: si on ne fait pas confiance au > > gouvernement pour l'IAM, on fait confiance à qui? un GAFAM > > (passkeys, > > ...)? > On fait confiance à des humains, avec des possibilités de recours en > cas de contestation de décision. > "des humains", donc un sous traitant de GAFAM que l'on contacte par téléphone et qui bosse dans un centre d'appel à l'étranger? > Le problème c'est le traitement automatique d'un contrôle d'identité > universel et omnipotent confié à un traitement informatique (c'est à > dire buggé ou incapable de gérer les exceptions). > Il peut tout a fait y avoir un opérateur unique (gouvernement ou non) qui corrige ses bugs et gère les exceptions (avec ou sans humains)... par contre avoir des traitements non automatisés je n'imagine pas comment cela pourrait fonctionner. > > La décentralisation (le modèle historique) cela a ses limites: on se > > retrouve à disséminer tout ce qui peut servir pour > > l'authentification à > > trop d'intermédiaires qui ne sont ni de confiance, ni capable de > > sécuriser les données (quand même le jeu en vaut la chandelle, ce > > qui > > est rarement le cas). L'état final étant l'existant ou l'on a X > > copies > > de ses papiers d'identité, ses justificatifs de domiciles, ses > > identifiants, > … et donc pas de propagation d'incident. > On ne doit pas vivre dans le même monde. L'usurpation d'identité est un vrai problème qui a pour source le fait que la loi impose aux opérateurs de services de stoker des données sensibles (dont ils n'ont pas besoin et qu'ils ne stockeraient pas si ils n'y étaient pas obligés) "au cas où". Si tes papiers fuient sur un service, ils seront réutilisés ailleurs (donc il y a bien propagation d'incident) jusqu'à leur expiration (qui se mesure en décennie). > > ... de partout et des utilisateurs qui réutilisent leur > > mot de passe entre les services (credential stuffing). > Justement, l'intérêt de mots de passe distincts par service est que si > un problème survient sur un service, cela ne pollue pas les autres. > Dans le vrai monde c'est le corollaire qui est vrai: les utilisateurs n'utilisent pas de mots de passe distincts et donc si l'un des services tombe, tout tombe (sans possibilité de récupération rapide)... sans parler du fait que les mécanismes de récupération finissent tous par demander les même données. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Digression du Vendredi sur l'identité numérique
On Fri, 2024-05-31 at 16:51 +0200, Laurent Barme wrote: > Heureusement, notre gouvernement actuel est garant d'une utilisation > bienveillante de l'identité numérique. Mais demain, si un parti moins > moral l'emportait… C'est justement ça le vrai débat: si on ne fait pas confiance au gouvernement pour l'IAM, on fait confiance à qui? un GAFAM (passkeys, ...)? La décentralisation (le modèle historique) cela a ses limites: on se retrouve à disséminer tout ce qui peut servir pour l'authentification à trop d'intermédiaires qui ne sont ni de confiance, ni capable de sécuriser les données (quand même le jeu en vaut la chandelle, ce qui est rarement le cas). L'état final étant l'existant ou l'on a X copies de ses papiers d'identité, ses justificatifs de domiciles, ses identifiants, ... de partout et des utilisateurs qui réutilisent leur mot de passe entre les services (credential stuffing). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] UniFi - pilotage bornes légères UAP-AC-LITE
On Mon, 2024-01-22 at 13:48 +0100, David Ponzone wrote: > > Mais y a-t-il encore du traffic UDP qui mérite d’être loggué ? > HTTP/3 - rfc9114 --- Liste de diffusion du FRnOG http://www.frnog.org/
