Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Michel, Je te préviens ici car je peux plus te faire de mail :) Delivery to the following recipient failed permanently: mic...@arneill-py.sacramento.ca.us Technical details of permanent failure: Google tried to deliver your message, but it was rejected by the server for the recipient domain arneill-py.sacramento.ca.us by arneill-py.sacramento.ca.us. [50.1.8.254]. The error that the other server returned was: 550 5.7.1 Recipient not authorized, your IP has been found on a block list Je crois que t'as blacklisté Gmail. Bon, ça se défend hein... David Ponzone > Le 21 janv. 2016 à 04:42, Michel Pya > écrit : > > Bonjour à tous, > > Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille > bash / python en beta-test pour en faire une "vraie" app : les préfixes dans > une base de données sqlite3 avec des dates. Et des communautés BGP séparées, > par demande populaire. > > La question du jour : quand un { zombie | abruti | mec avec des gros doigts | > hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au > premier essai. Pour combien de temps ? 24 h ? > > Michel > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Le Thu, Jan 21, 2016 at 01:11:00PM +0100, Pierre Colombier [pcdw...@pcdwarf.net] a écrit: > Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un > coup à se bloquer soi-même et à avoir des effets indésirables. > (je fait partie des utilisateurs à gros doigts) > Mais il y a aussi le problème des 50 usagers derrière un nat. ça > serait même étonnant qu'il n'y ait pas 3 échecs le matin quand tout > le monde se log. C'est pour ca que y'a une liste blanche dans la configuration de fail2ban :) ( -> ignoreip ) -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Entièrement d’accord avec toi. Le fail2ban, c’est surtout pour arrêter d’avoir de la merde dans les logs. Pour les gros doits de l’admin, y a ignoreip :) > Le 21 janv. 2016 à 13:11, Pierre Colombiera écrit : > > Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se > bloquer soi-même et à avoir des effets indésirables. > (je fait partie des utilisateurs à gros doigts) > Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même > étonnant qu'il n'y ait pas 3 échecs le matin quand tout le monde se log. > > Mais surtout, je ne saisis pas la pertinence en termes de sécurité : > > Pour commencer, si le mot de passe est bidon, c'est pas le fail2ban qui te > protègera, quelque soit le seuil. > > Un utilisateur "normal" ne t'emmerde pas, même si il fait 50 tentatives en 10 > minutes. > Mais si tu le bloque une semaine, cet utilisateur va venir t'emmerder pour se > faire débloquer. > Et si cet utilisateur c'est toi, t'es quand même rudement emmerdé. > > L'autre souci avec des ban longs et des seuils bas, c'est que tu va te > traîner des tables de ban assez volumineuses alors que l'attaque a cessé très > peu de temps après le blocage. Un firewall avec trop de règles, ça pose aussi > des problèmes de perf. > > Le bruteforceur va de toute façon faire exploser les compteurs. Ce qui > compte, c'est avant tout d'empecher le déni de service. > Personnellement j'emploie ça > > - 10 echecs en moins d'une minute : Possible DoS : ban 5 minutes. (et en même > temps ça fait réfléchir l'utilisateur étourdi) > - 50 echecs en moins d'une heure : on est a peu près sur de ne pas avoir > affaire a un humain et ban pendant 1 heure. > Si l'attaquant s'obstine, il sera re banis... à ce rythme là, si le mot de > passe n'est pas trop bidon ça peut tenir des siècles... > - 500 échecs en moins de 24H : On est dans le cas d'un attaquant qui > s'obstine ou qui joue avec les seuils de détection => ban 8 jours. > > > > On 21/01/2016 07:44, David Ponzone wrote: >> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h. >> >> David Ponzone >> >> >> >>> Le 21 janv. 2016 à 04:42, Michel Py a >>> écrit : >>> >>> Bonjour à tous, >>> >>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille >>> bash / python en beta-test pour en faire une "vraie" app : les préfixes >>> dans une base de données sqlite3 avec des dates. Et des communautés BGP >>> séparées, par demande populaire. >>> >>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts >>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la >>> moulinette au premier essai. Pour combien de temps ? 24 h ? >>> >>> Michel >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se bloquer soi-même et à avoir des effets indésirables. (je fait partie des utilisateurs à gros doigts) Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même étonnant qu'il n'y ait pas 3 échecs le matin quand tout le monde se log. Mais surtout, je ne saisis pas la pertinence en termes de sécurité : Pour commencer, si le mot de passe est bidon, c'est pas le fail2ban qui te protègera, quelque soit le seuil. Un utilisateur "normal" ne t'emmerde pas, même si il fait 50 tentatives en 10 minutes. Mais si tu le bloque une semaine, cet utilisateur va venir t'emmerder pour se faire débloquer. Et si cet utilisateur c'est toi, t'es quand même rudement emmerdé. L'autre souci avec des ban longs et des seuils bas, c'est que tu va te traîner des tables de ban assez volumineuses alors que l'attaque a cessé très peu de temps après le blocage. Un firewall avec trop de règles, ça pose aussi des problèmes de perf. Le bruteforceur va de toute façon faire exploser les compteurs. Ce qui compte, c'est avant tout d'empecher le déni de service. Personnellement j'emploie ça - 10 echecs en moins d'une minute : Possible DoS : ban 5 minutes. (et en même temps ça fait réfléchir l'utilisateur étourdi) - 50 echecs en moins d'une heure : on est a peu près sur de ne pas avoir affaire a un humain et ban pendant 1 heure. Si l'attaquant s'obstine, il sera re banis... à ce rythme là, si le mot de passe n'est pas trop bidon ça peut tenir des siècles... - 500 échecs en moins de 24H : On est dans le cas d'un attaquant qui s'obstine ou qui joue avec les seuils de détection => ban 8 jours. On 21/01/2016 07:44, David Ponzone wrote: Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h. David Ponzone Le 21 janv. 2016 à 04:42, Michel Pya écrit : Bonjour à tous, Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille bash / python en beta-test pour en faire une "vraie" app : les préfixes dans une base de données sqlite3 avec des dates. Et des communautés BGP séparées, par demande populaire. La question du jour : quand un { zombie | abruti | mec avec des gros doigts | hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au premier essai. Pour combien de temps ? 24 h ? Michel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
pareil, j'utilise des bans exponentiels. premier ban -> drop une heure. si ça recommence 6h apres la fin de la premiere periode -> une semaine. si ça recommence dans les six semaines apres la fin de la seconde -> un an. On 01/21/2016 07:44 AM, David Ponzone wrote: > Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h. > > David Ponzone > > > >> Le 21 janv. 2016 à 04:42, Michel Pya >> écrit : >> >> Bonjour à tous, >> >> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille >> bash / python en beta-test pour en faire une "vraie" app : les préfixes dans >> une base de données sqlite3 avec des dates. Et des communautés BGP séparées, >> par demande populaire. >> >> La question du jour : quand un { zombie | abruti | mec avec des gros doigts >> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette >> au premier essai. Pour combien de temps ? 24 h ? >> >> Michel >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
: host arneill-py.sacramento.ca.us[50.1.8.254] said: 550 5.7.1 Recipient not authorized, your IP has been found on a block list (in reply to RCPT TO command) promis c'est pas moi le vilain qui essaie de telnet en root ;) On 01/21/2016 10:10 AM, Edouard Chamillard wrote: > pareil, j'utilise des bans exponentiels. premier ban -> drop une heure. > si ça recommence 6h apres la fin de la premiere periode -> une semaine. > si ça recommence dans les six semaines apres la fin de la seconde -> un an. > > > On 01/21/2016 07:44 AM, David Ponzone wrote: >> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h. >> >> David Ponzone >> >> >> >>> Le 21 janv. 2016 à 04:42, Michel Py a >>> écrit : >>> >>> Bonjour à tous, >>> >>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille >>> bash / python en beta-test pour en faire une "vraie" app : les préfixes >>> dans une base de données sqlite3 avec des dates. Et des communautés BGP >>> séparées, par demande populaire. >>> >>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts >>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la >>> moulinette au premier essai. Pour combien de temps ? 24 h ? >>> >>> Michel >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Merci à tous pour les retours, L'avantage de faire çà avec un feed BGP au lieu de { fail2ban | snort | suricata } c'est que c'est facile à redistribuer en temps réel. Pas besoin d'attendre que çà se retrouve dans les rules. > Pierre Colombier a écrit : > Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se > bloquer soi-même > et à avoir des effets indésirables. (je fait partie des utilisateurs à gros > doigts) Sauf que je ne me sers jamais de telnet pour me logger en root. > Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même > étonnant > qu'il n'y ait pas 3 échecs le matin quand tout le monde se log. Pareil : pas sur mon routeur, et pas en root. > Edouard Chamillard a écrit : > arneill-py.sacramento.ca.us[50.1.8.254] said: 550 5.7.1 Recipient not > authorized, > your IP has been found on a block list (in reply to RCPT TO command) Ah, la lute contre le spam, le quotidien de bien des lecteurs, dont on se passerait volontiers. C'est quoi l'IP de laquelle tu venais ? Je vérifie mon IP tout le temps ici: http://mxtoolbox.com/blacklists.aspx Je viens de vérifier les trois IP qui étaient dans le header SMTP ( 217.24.82.4, 87.98.174.144, 213.186.33.56 ) et elles étaient vertes toutes les trois. Pour le spam j'utilise 5 listes (commentaires bienvenus) : zen.spamhaus.org dnsbl.sorbs.net bl.spamcop.net truncate.gbudb.net spamsources.fabel.dk Et en plus de çà Symantec Mail Security for Exchange (liste propriétaire et payante) Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h. David Ponzone > Le 21 janv. 2016 à 04:42, Michel Pya > écrit : > > Bonjour à tous, > > Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille > bash / python en beta-test pour en faire une "vraie" app : les préfixes dans > une base de données sqlite3 avec des dates. Et des communautés BGP séparées, > par demande populaire. > > La question du jour : quand un { zombie | abruti | mec avec des gros doigts | > hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au > premier essai. Pour combien de temps ? 24 h ? > > Michel > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?
Bonjour à tous, Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille bash / python en beta-test pour en faire une "vraie" app : les préfixes dans une base de données sqlite3 avec des dates. Et des communautés BGP séparées, par demande populaire. La question du jour : quand un { zombie | abruti | mec avec des gros doigts | hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au premier essai. Pour combien de temps ? 24 h ? Michel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
en général, quand perceval et karadoc disent n'importe quoi, arthur prend un peu de son royal temps pour leur expliquer par A+B a quel point ils ont tort, au lieu de condescer (souffre jean d'ormesson, maintenant c'est un mot) comme un goret. Le 07/01/2016 23:42, Raphaël Stehli a écrit : > Bonsoir la liste, > > Je lis ces échanges depuis le début. C'était assez récréatif. On dirait > par moment Perceval et Karadoc avec du céleri. > > Par contre, sur le delirium juridique, je pense qu'il faudrait que vous > vous arrêtiez là, sauf si vous voulez transformer la liste en équivalent > de doctissimo, version juridique. > > Bonne soirée, > Raphaël > > > > > Le 07/01/2016 19:31, frnog.kap...@antichef.net a écrit : >> On jeudi 7 janvier 2016 11:26:26 CET Sylvain Vallerot - sylv...@gixe.net >> wrote: >>> On 07/01/2016 10:38, frnog.kap...@antichef.net wrote: On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot - sylv...@gixe.net wrote: > On 06/01/2016 13:19, David Ponzone wrote: >>> je vois pas comment l'article 1384 pourrait s'appliquer ici. > A l'inverse je ne vois pas pourquoi il ne pourrait pas... > (sans porter de jugement sur la pertinence éthique de le faire ou non) Par curiosité explique nous quand, comment et pourquoi il pourrait s'appliquer selon toi. >>> Je ne ferai probablement pas mieux que ça : >>> https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_des_choses_en_droi >>> t_civil_fran%C3%A7ais >>> >>> Notamment : le garde/gardien de la chose (notion centrale), présumé tel sauf >>> quelques cas prévu (comme le fait de démontrer qu'un tiers s'est emparé de >>> l'usage), impliqué dans le comportement de la chose (fonctionnement non >>> sécurisé) donc responsable du dommage causé. >> Il va falloir m'excuser, mais ça reste très flou pour moi. Une simple >> référence à un passage de l'article wikipédia, que j'avais lu intégralement >> avant de poser ma question, ne m'aide pas à y voir plus clair >> >> Pourrais tu préciser un peu plus ? >> >> Pour commencer, de quel dommage parle t'on qui puisse faire jouer la >> responsabilité civile ? Ensuite quelle chose parle t'on ? Le titulaire de la >> connexion a t'il l’usage, la direction et le contrôle de cette chose au >> moment des faits incriminés ? >> >> >>> Intéressant : la notion de culpabilité ne semble même pas évoquée dans cette >>> page. >> Je ne suis pas juriste alors je vais probablement dire une énormité, mais la >> culpabilité n'est elle pas une notion de droit pénal ? >> >>> Mais aussi un élément intéressant ici c'est le cas du défaut intrinsèque à >>> la chose, je pense à un routeur qui se fait trouer, et où la responsabilité >>> peut devenir celle du fabricant. Idem peut-être pour le bug exploité. Dans >>> ces cas les clauses contractuelles et les licences logicielles peuvent >>> peut-être jouer (je pense aux licences libres qui disent "utiliser à vos >>> risques et périls"). >>> >>> Cordialement, >>> Sylvain >>> >>> -- >>> Gixe - Association 1901 - conseil, hébergement, opérateur pour tous >>> SIREN 450 404 769- http://www.gixe.net-cont...@gixe.net >>> venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868 >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [Tech] Le pare-feu du geek barbu
On jeudi 7 janvier 2016 23:42:04 CET Raphaël Stehli - experti...@raphael.stehli.fr wrote: > Bonsoir la liste, > > Je lis ces échanges depuis le début. C'était assez récréatif. On dirait > par moment Perceval et Karadoc avec du céleri. > > Par contre, sur le delirium juridique, je pense qu'il faudrait que vous > vous arrêtiez là, sauf si vous voulez transformer la liste en équivalent > de doctissimo, version juridique. > > Bonne soirée, > Raphaël Bonjour Raphaël, merci de ton intervention, si tu as les connaissances juridiques n'hésite pas à les partager avec nous. Je t'en serais reconnaissant à la fois pour ma culture personnelle et ça me sera utile quand je dois répondre aux questionnements des abonnés. Si c'est juste pour ajouter du bruit dans la discussion, comme tu viens de le faire je pense que tu peux t'abstenir. Quitte à prendre de ton temps pour intervenir, pourquoi ne pas faire en sorte que ça apporte quelque chose ? Mes quelques maigres connaissances juridiques, je les ai acquises sur le tas par la force des choses, et comme je ne suis pas juriste et ne compte pas retourner aux études pour le devenir, il ne semble pas idiots d'échanger sur le sujet avec d'autres personnes impliquées dans le même domaine professionnel pour essayer d'y voir plus clair dans le flou juridique actuel. Cordialement --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Bonsoir la liste, Je lis ces échanges depuis le début. C'était assez récréatif. On dirait par moment Perceval et Karadoc avec du céleri. Par contre, sur le delirium juridique, je pense qu'il faudrait que vous vous arrêtiez là, sauf si vous voulez transformer la liste en équivalent de doctissimo, version juridique. Bonne soirée, Raphaël Le 07/01/2016 19:31, frnog.kap...@antichef.net a écrit : > On jeudi 7 janvier 2016 11:26:26 CET Sylvain Vallerot - sylv...@gixe.net > wrote: >> On 07/01/2016 10:38, frnog.kap...@antichef.net wrote: >>> On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot - >>> sylv...@gixe.net >>> >>> wrote: On 06/01/2016 13:19, David Ponzone wrote: >> je vois pas comment l'article 1384 pourrait s'appliquer ici. A l'inverse je ne vois pas pourquoi il ne pourrait pas... (sans porter de jugement sur la pertinence éthique de le faire ou non) >>> >>> Par curiosité explique nous quand, comment et pourquoi il pourrait >>> s'appliquer selon toi. >> >> Je ne ferai probablement pas mieux que ça : >> https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_des_choses_en_droi >> t_civil_fran%C3%A7ais >> >> Notamment : le garde/gardien de la chose (notion centrale), présumé tel sauf >> quelques cas prévu (comme le fait de démontrer qu'un tiers s'est emparé de >> l'usage), impliqué dans le comportement de la chose (fonctionnement non >> sécurisé) donc responsable du dommage causé. > > Il va falloir m'excuser, mais ça reste très flou pour moi. Une simple > référence à un passage de l'article wikipédia, que j'avais lu intégralement > avant de poser ma question, ne m'aide pas à y voir plus clair > > Pourrais tu préciser un peu plus ? > > Pour commencer, de quel dommage parle t'on qui puisse faire jouer la > responsabilité civile ? Ensuite quelle chose parle t'on ? Le titulaire de la > connexion a t'il l’usage, la direction et le contrôle de cette chose au > moment des faits incriminés ? > > >> Intéressant : la notion de culpabilité ne semble même pas évoquée dans cette >> page. > > Je ne suis pas juriste alors je vais probablement dire une énormité, mais la > culpabilité n'est elle pas une notion de droit pénal ? > >> Mais aussi un élément intéressant ici c'est le cas du défaut intrinsèque à >> la chose, je pense à un routeur qui se fait trouer, et où la responsabilité >> peut devenir celle du fabricant. Idem peut-être pour le bug exploité. Dans >> ces cas les clauses contractuelles et les licences logicielles peuvent >> peut-être jouer (je pense aux licences libres qui disent "utiliser à vos >> risques et périls"). >> >> Cordialement, >> Sylvain >> >> -- >> Gixe - Association 1901 - conseil, hébergement, opérateur pour tous >> SIREN 450 404 769- http://www.gixe.net-cont...@gixe.net >> venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868 >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Raphaël Stehli Expert judiciaire en informatique, Chargé d'enseignement à l'Université de Strasbourg, Lieutenant (RC)(T) - Etat Major des Armées / Réserve Cyberdéfense --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 07/01/2016 10:38, frnog.kap...@antichef.net wrote: > On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot - sylv...@gixe.net > wrote: >> On 06/01/2016 13:19, David Ponzone wrote: je vois pas comment l'article 1384 pourrait s'appliquer ici. >> >> A l'inverse je ne vois pas pourquoi il ne pourrait pas... >> (sans porter de jugement sur la pertinence éthique de le faire ou non) > > Par curiosité explique nous quand, comment et pourquoi il pourrait > s'appliquer > selon toi. Je ne ferai probablement pas mieux que ça : https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_des_choses_en_droit_civil_fran%C3%A7ais Notamment : le garde/gardien de la chose (notion centrale), présumé tel sauf quelques cas prévu (comme le fait de démontrer qu'un tiers s'est emparé de l'usage), impliqué dans le comportement de la chose (fonctionnement non sécurisé) donc responsable du dommage causé. Intéressant : la notion de culpabilité ne semble même pas évoquée dans cette page. Mais aussi un élément intéressant ici c'est le cas du défaut intrinsèque à la chose, je pense à un routeur qui se fait trouer, et où la responsabilité peut devenir celle du fabricant. Idem peut-être pour le bug exploité. Dans ces cas les clauses contractuelles et les licences logicielles peuvent peut-être jouer (je pense aux licences libres qui disent "utiliser à vos risques et périls"). Cordialement, Sylvain - -- Gixe - Association 1901 - conseil, hébergement, opérateur pour tous SIREN 450 404 769- http://www.gixe.net-cont...@gixe.net venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868 -BEGIN PGP SIGNATURE- Version: GnuPG v1 iF4EAREIAAYFAlaOPVIACgkQJBGsD8mtnRFaLgD+OA8bv00o7BFuhdwP4YfcEVA5 uJ8tUrNO7A3viFyZBkIA/RRcBq5bZcZEVM3AL+DyNF//9+tyaMSBqlF7PTmLbXPP =UF4Y -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot - sylv...@gixe.net wrote: > On 06/01/2016 13:19, David Ponzone wrote: > >> je vois pas comment l'article 1384 pourrait s'appliquer ici. > > A l'inverse je ne vois pas pourquoi il ne pourrait pas... > (sans porter de jugement sur la pertinence éthique de le faire ou non) Par curiosité explique nous quand, comment et pourquoi il pourrait s'appliquer selon toi. > Cordialement, > S. Vallerot > > -- > Gixe - Association 1901 - conseil, hébergement, opérateur pour tous > SIREN 450 404 769- http://www.gixe.net-cont...@gixe.net > venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
On jeudi 7 janvier 2016 11:26:26 CET Sylvain Vallerot - sylv...@gixe.net wrote: > On 07/01/2016 10:38, frnog.kap...@antichef.net wrote: > > On mercredi 6 janvier 2016 23:01:22 CET Sylvain Vallerot - > > sylv...@gixe.net > > > > wrote: > >> On 06/01/2016 13:19, David Ponzone wrote: > je vois pas comment l'article 1384 pourrait s'appliquer ici. > >> > >> A l'inverse je ne vois pas pourquoi il ne pourrait pas... > >> (sans porter de jugement sur la pertinence éthique de le faire ou non) > > > > Par curiosité explique nous quand, comment et pourquoi il pourrait > > s'appliquer selon toi. > > Je ne ferai probablement pas mieux que ça : > https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_des_choses_en_droi > t_civil_fran%C3%A7ais > > Notamment : le garde/gardien de la chose (notion centrale), présumé tel sauf > quelques cas prévu (comme le fait de démontrer qu'un tiers s'est emparé de > l'usage), impliqué dans le comportement de la chose (fonctionnement non > sécurisé) donc responsable du dommage causé. Il va falloir m'excuser, mais ça reste très flou pour moi. Une simple référence à un passage de l'article wikipédia, que j'avais lu intégralement avant de poser ma question, ne m'aide pas à y voir plus clair Pourrais tu préciser un peu plus ? Pour commencer, de quel dommage parle t'on qui puisse faire jouer la responsabilité civile ? Ensuite quelle chose parle t'on ? Le titulaire de la connexion a t'il l’usage, la direction et le contrôle de cette chose au moment des faits incriminés ? > Intéressant : la notion de culpabilité ne semble même pas évoquée dans cette > page. Je ne suis pas juriste alors je vais probablement dire une énormité, mais la culpabilité n'est elle pas une notion de droit pénal ? > Mais aussi un élément intéressant ici c'est le cas du défaut intrinsèque à > la chose, je pense à un routeur qui se fait trouer, et où la responsabilité > peut devenir celle du fabricant. Idem peut-être pour le bug exploité. Dans > ces cas les clauses contractuelles et les licences logicielles peuvent > peut-être jouer (je pense aux licences libres qui disent "utiliser à vos > risques et périls"). > > Cordialement, > Sylvain > > -- > Gixe - Association 1901 - conseil, hébergement, opérateur pour tous > SIREN 450 404 769- http://www.gixe.net-cont...@gixe.net > venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 05/01/2016 01:04, Jérôme Nicolle wrote: > Mais du coup, même au civil, faire peser la responsabilité d'un usage > illicite sur une personne qu'on ne sait pas relier certainement au > fait, c'est déjà une faute de justice. > C'est l'un des arguments qu'on a tenté de mettre en avant contre > HADOPI, et qui a été balayé par la mauvaise foi et surtout > l’incompétence du législateur, Je ne suis pas sur qu'il ait été moins compétent que ses détracteurs, qui (en plus d'avoir échoué à le contrer) n'ont peut-être pas perçu que le nouveau délit de "défaut de sécurisation de la ligne" n'était pas incohérent avec système de responsabilité déjà en place. A lire le premier alinéa de l'art 1384 du code Civil : « On est responsable non seulement du dommage que l'on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que l'on a sous sa garde.» Ce principe est donc ancré dans le droit depuis longtemps (au moins 1971), sur wikipedia (1) je lis même ceci : «aujourd'hui nous sommes dans un système de responsabilité objective dans lequel la preuve de la faute est devenue inutile» qui semble vouloir résumer la page sans citer un élément de source précis. L'argument qui consiste à crier ici au déni de justice me semble donc voué à un échec assez prévisible (surtout après coup c'est plus facile ;) 1. https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_d%27autrui_en_droit_civil_fran%C3%A7ais - -- Gixe - Association 1901 - conseil, hébergement, opérateur pour tous SIREN 450 404 769- http://www.gixe.net-cont...@gixe.net venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868 -BEGIN PGP SIGNATURE- Version: GnuPG v1 iF4EAREIAAYFAlaM+TkACgkQJBGsD8mtnREPVAD8Ch/EePzXSNmL0UoAKX1ULxCd 1citjiXknbYC1y48d1UBAI5NC0ufD92bfWyK9dX4nEw3jJoCNTaLmel+hJR/PDRl =0ZHm -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Le 06/01/2016 12:23, Sylvain Vallerot a écrit : > > > On 05/01/2016 01:04, Jérôme Nicolle wrote: > > Mais du coup, même au civil, faire peser la responsabilité d'un usage > > illicite sur une personne qu'on ne sait pas relier certainement au > > fait, c'est déjà une faute de justice. > > > C'est l'un des arguments qu'on a tenté de mettre en avant contre > > HADOPI, et qui a été balayé par la mauvaise foi et surtout > > l’incompétence du législateur, > > Je ne suis pas sur qu'il ait été moins compétent que ses détracteurs, > qui (en plus d'avoir échoué à le contrer) n'ont peut-être pas perçu que > le nouveau délit de "défaut de sécurisation de la ligne" n'était pas > incohérent avec système de responsabilité déjà en place. > > A lire le premier alinéa de l'art 1384 du code Civil : > « On est responsable non seulement du dommage que l'on cause par son > propre > fait, mais encore de celui qui est causé par le fait des personnes > dont on > doit répondre, ou des choses que l'on a sous sa garde.» > > Ce principe est donc ancré dans le droit depuis longtemps (au moins 1971), > sur wikipedia (1) je lis même ceci : «aujourd'hui nous sommes dans un > système de responsabilité objective dans lequel la preuve de la faute est > devenue inutile» qui semble vouloir résumer la page sans citer un élément > de source précis. > > L'argument qui consiste à crier ici au déni de justice me semble donc voué > à un échec assez prévisible (surtout après coup c'est plus facile ;) > > 1. > https://fr.wikipedia.org/wiki/Responsabilit%C3%A9_du_fait_d%27autrui_en_droit_civil_fran%C3%A7ais > > je vois pas comment l'article 1384 pourrait s'appliquer ici. je crois pas qu'il s'applique a des biens physiques détournés (gerard lambert m'a piqué ma meule et l'a plantée dans une poubelle, puis un môme, puis un arbre), mais si quelqu'un sait... sauf que l'analogie du bien physique ne tient pas, le vilain code pedonazi qui s’exécute, il s’exécute en parallèle, et a l'insu de l'utilisateur. ou alors mamie a une vieille machinbox que son petit fils toto 8 ans a du faire passer en WEP pour jouer a la DS pendant qu'il était en vacance, et maintenant au café des amis a l'étage en dessous on a internet parce qu'on sait se servir d'aircrack. etc... etc... dans tout ces cas, l'application stricte de l'article va entrainer la condamnation des propriétaire de l'abonnement, *parce que* on fait une approximation grossière de la façon dont le réseau (et l'ordinateur en général) fonctionne. l'argument du takafairegaff a des conséquences profondes sur la façon dont techniquement le réseau fonctionne a partir du moment ou on commence a l'appliquer. qui doit faire gaffe ? l'utilisateur final ? son opérateur ? le transit de l'opérateur ? l’hébergeur a trois lettre qui loue des vps par paquet de trouze ? le dev php a fort accent méditerranéen a qui on a fait pondre une install de wordpress et un design pompé et l'infogérance pour trois roupies par moi ? si tous ne sont pas responsable, qui l'est ou ne l'est pas et pourquoi ? ou alors si tous sont responsables de façon conditionnelle, a quelles conditions ? est ce qu'elles sont applicables ? quand on commence a dérouler la pelote, on tombe immanquablement sur un gros paquet de conflits et de débats, techniques, éthiques, juridiques. et j'ai tendance a penser que c'est moins grave d'avoir quelque types qui passe entre les mailles du filet que de coucher sur le papier un fantasme de panoptique complètement impossible, a l’efficacité douteuse, et qui immanquablement fait des dégâts collatéraux. tl;dr : le "défaut de sécurisation" c'était déjà a l'époque la porte ouverte a toute les fenêtres, et ça a fait qu'empirer. après jdis ça, mais c'est bon pour mon business d'avoir tout un tas de règles plus ou moins floues et plus ou moins applicable. j’attends avec impatience la règle qui demande a tout les particulier d'avoir des installations complète, sécurité en profondeur, SIEM crocoté partout et analystes formés en gestion d'incident 24/7 dans le salon pour avoir le droit d'aller poster les photos de l'anniversaire du petit kevin sur facebook. signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Le Wed, Jan 06, 2016 at 09:12:35AM +0100, Alexandre Archambault [a...@free.fr] a écrit: > Le 04/01/2016 18:19, Nicolas Vigier a écrit : > > > Une utilisation courante est d'éviter de donner > > une grosse partie de l'historique de son navigateur web à son FAI > > Vous vous basez sur des éléments concrets ou c'est encore une légende > urbaine ? http://www.mail-archive.com/frnog@frnog.org/msg06675.html (oui, ça ne parle que de DNS, pas d'analyser tout le trafic) Il n'y a pas grande spéculation à se dire qu'au delà du DNS menteur pour les NXDOMAIN il y en ait certains pour logger et chercher des moyens de monétiser l'historique des requetes DNS effectuées. (un moyen plus simple que TOR, pour cette partie là, étant d'utiliser son propre serveur DNS récursif) -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Hello, >> Il n'y aura jamais la police qui va demander a EDF "donnez moi la >> personne qui a consomme X KWh a telle date telle heure" > > Euh, ne jamais écrire jamais. Vous n'avez aucune idée du champs des > possibles ouvert par la généralisation de Linky & autres babioles de ce > genre. Une très bonne idée aussi : "Black-out" par Marc Elsberg. A lire... et réfléchir un peu. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
mais c'est bien le problème que de considérer que c'est un défaut des produits/technos et/ou de formation des users, opérateurs, que sais je de pas avoir d'imputabilité stricte et de non répudiation. la solution technique elle est facile conceptuellement, on a déjà les outils pour. pour moi la racine c'est de vouloir absolument pouvoir se servir d'un élément informatique (quel qu'il soit d'ailleurs. parce que quand on me dit qu'on fait de la préservation de logs conforme au droit de la preuve je rigole doucement. si toute les chaines de préservation sont a l'aune de ce qu'on juge probant en informatique...) comme ayant une valeur de preuve plus ferme qu'elle ne l'est. j'ai aucun problème avec le fait de présenter des logs ou des dumps netflow devant un tribunal, qu'il soit de commerce ou de grande instance. je voudrais juste qu'on rappelle aux parties concernées que ces éléments (comme les témoins occulaires...) sont achte moins fiable que ce qu'on vend au législateur a priori, ou a la justice a postériori. pour bloquer des ip dans des parefeux, good enough. pour virer un mec pour usage inapproprié des ressources de l'entreprise parce qu'il s'est chopé une saloperie qui fait de la fraude au clic sur des sites ~pas pro mais tres cuir~ et que les RH aime bien jouer a l'inspecteur clouzeau, je suis déja plus d'accord. apres savoir si on se fait mal comprendre ou si on est mal compris et pourquoi... c'est un autre débat. Le 06/01/2016 13:19, David Ponzone a écrit : > C’est un peu ce que j’ai voulu dire tantôt par « la technologie est > imparfaite/foireuse » . > Oui, l’avènement de l’informatique a provoqué une avalanche de produits qui > ne sont pas finis (MS entre autres), et pour lesquels il faut souvent en plus > payer pour avoir du support. > Pas finis, et donc pas sécurisés. > Il est clair que le législateur n’a pas bien compris qu’en informatique, > mettre une obligation de résultats sur un particulier qui a l’audace de faire > confiance à Microsoft ou Netgear, ça allait être délicat. > Ceci dit, ça n’a pas gêné Hadopi, et ça risque de ne pas gêner les suivants. > >> je vois pas comment l'article 1384 pourrait s'appliquer ici. je crois >> pas qu'il s'applique a des biens physiques détournés (gerard lambert m'a >> piqué ma meule et l'a plantée dans une poubelle, puis un môme, puis un >> arbre), mais si quelqu'un sait... >> >> sauf que l'analogie du bien physique ne tient pas, le vilain code >> pedonazi qui s’exécute, il s’exécute en parallèle, et a l'insu de >> l'utilisateur. ou alors mamie a une vieille machinbox que son petit fils >> toto 8 ans a du faire passer en WEP pour jouer a la DS pendant qu'il >> était en vacance, et maintenant au café des amis a l'étage en dessous on >> a internet parce qu'on sait se servir d'aircrack. etc... etc... dans >> tout ces cas, l'application stricte de l'article va entrainer la >> condamnation des propriétaire de l'abonnement, *parce que* on fait une >> approximation grossière de la façon dont le réseau (et l'ordinateur en >> général) fonctionne. >> >> l'argument du takafairegaff a des conséquences profondes sur la façon >> dont techniquement le réseau fonctionne a partir du moment ou on >> commence a l'appliquer. qui doit faire gaffe ? l'utilisateur final ? son >> opérateur ? le transit de l'opérateur ? l’hébergeur a trois lettre qui >> loue des vps par paquet de trouze ? le dev php a fort accent >> méditerranéen a qui on a fait pondre une install de wordpress et un >> design pompé et l'infogérance pour trois roupies par moi ? >> >> si tous ne sont pas responsable, qui l'est ou ne l'est pas et pourquoi ? >> ou alors si tous sont responsables de façon conditionnelle, a quelles >> conditions ? est ce qu'elles sont applicables ? >> >> quand on commence a dérouler la pelote, on tombe immanquablement sur un >> gros paquet de conflits et de débats, techniques, éthiques, juridiques. >> et j'ai tendance a penser que c'est moins grave d'avoir quelque types >> qui passe entre les mailles du filet que de coucher sur le papier un >> fantasme de panoptique complètement impossible, a l’efficacité douteuse, >> et qui immanquablement fait des dégâts collatéraux. >> >> tl;dr : le "défaut de sécurisation" c'était déjà a l'époque la porte >> ouverte a toute les fenêtres, et ça a fait qu'empirer. >> >> après jdis ça, mais c'est bon pour mon business d'avoir tout un tas de >> règles plus ou moins floues et plus ou moins applicable. j’attends avec >> impatience la règle qui demande a tout les particulier d'avoir des >> installations complète, sécurité en profondeur, SIEM crocoté partout et >> analystes formés en gestion d'incident 24/7 dans le salon pour avoir le >> droit d'aller poster les photos de l'anniversaire du petit kevin sur >> facebook. >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
C’est un peu ce que j’ai voulu dire tantôt par « la technologie est imparfaite/foireuse » . Oui, l’avènement de l’informatique a provoqué une avalanche de produits qui ne sont pas finis (MS entre autres), et pour lesquels il faut souvent en plus payer pour avoir du support. Pas finis, et donc pas sécurisés. Il est clair que le législateur n’a pas bien compris qu’en informatique, mettre une obligation de résultats sur un particulier qui a l’audace de faire confiance à Microsoft ou Netgear, ça allait être délicat. Ceci dit, ça n’a pas gêné Hadopi, et ça risque de ne pas gêner les suivants. > > je vois pas comment l'article 1384 pourrait s'appliquer ici. je crois > pas qu'il s'applique a des biens physiques détournés (gerard lambert m'a > piqué ma meule et l'a plantée dans une poubelle, puis un môme, puis un > arbre), mais si quelqu'un sait... > > sauf que l'analogie du bien physique ne tient pas, le vilain code > pedonazi qui s’exécute, il s’exécute en parallèle, et a l'insu de > l'utilisateur. ou alors mamie a une vieille machinbox que son petit fils > toto 8 ans a du faire passer en WEP pour jouer a la DS pendant qu'il > était en vacance, et maintenant au café des amis a l'étage en dessous on > a internet parce qu'on sait se servir d'aircrack. etc... etc... dans > tout ces cas, l'application stricte de l'article va entrainer la > condamnation des propriétaire de l'abonnement, *parce que* on fait une > approximation grossière de la façon dont le réseau (et l'ordinateur en > général) fonctionne. > > l'argument du takafairegaff a des conséquences profondes sur la façon > dont techniquement le réseau fonctionne a partir du moment ou on > commence a l'appliquer. qui doit faire gaffe ? l'utilisateur final ? son > opérateur ? le transit de l'opérateur ? l’hébergeur a trois lettre qui > loue des vps par paquet de trouze ? le dev php a fort accent > méditerranéen a qui on a fait pondre une install de wordpress et un > design pompé et l'infogérance pour trois roupies par moi ? > > si tous ne sont pas responsable, qui l'est ou ne l'est pas et pourquoi ? > ou alors si tous sont responsables de façon conditionnelle, a quelles > conditions ? est ce qu'elles sont applicables ? > > quand on commence a dérouler la pelote, on tombe immanquablement sur un > gros paquet de conflits et de débats, techniques, éthiques, juridiques. > et j'ai tendance a penser que c'est moins grave d'avoir quelque types > qui passe entre les mailles du filet que de coucher sur le papier un > fantasme de panoptique complètement impossible, a l’efficacité douteuse, > et qui immanquablement fait des dégâts collatéraux. > > tl;dr : le "défaut de sécurisation" c'était déjà a l'époque la porte > ouverte a toute les fenêtres, et ça a fait qu'empirer. > > après jdis ça, mais c'est bon pour mon business d'avoir tout un tas de > règles plus ou moins floues et plus ou moins applicable. j’attends avec > impatience la règle qui demande a tout les particulier d'avoir des > installations complète, sécurité en profondeur, SIEM crocoté partout et > analystes formés en gestion d'incident 24/7 dans le salon pour avoir le > droit d'aller poster les photos de l'anniversaire du petit kevin sur > facebook. > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
On mercredi 6 janvier 2016 10:47:32 CET Dominique Rousseau - d.rouss...@nnx.com wrote: > Le Wed, Jan 06, 2016 at 09:12:35AM +0100, Alexandre Archambault [a...@free.fr] a écrit: > > Le 04/01/2016 18:19, Nicolas Vigier a écrit : > > > Une utilisation courante est d'éviter de donner > > > une grosse partie de l'historique de son navigateur web à son FAI > > > > Vous vous basez sur des éléments concrets ou c'est encore une légende > > urbaine ? > > http://www.mail-archive.com/frnog@frnog.org/msg06675.html > (oui, ça ne parle que de DNS, pas d'analyser tout le trafic) > > Il n'y a pas grande spéculation à se dire qu'au delà du DNS menteur pour > les NXDOMAIN il y en ait certains pour logger et chercher des moyens de > monétiser l'historique des requetes DNS effectuées. > > (un moyen plus simple que TOR, pour cette partie là, étant d'utiliser > son propre serveur DNS récursif) Et les petits tutos qui vont bien pour le faire: http://korben.info/installer-serveur-dns-unbound.html http://korben.info/installer-unbound-serveur-dns-sous-linux.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
On mercredi 6 janvier 2016 09:01:49 CET Alexandre Archambault - a...@free.fr wrote: > Le 05/01/2016 00:20, Radu-Adrian Feurdean a écrit : > > Il n'y aura jamais la police qui va demander a EDF "donnez moi la > > personne qui a consomme X KWh a telle date telle heure" > > Euh, ne jamais écrire jamais. Vous n'avez aucune idée du champs des > possibles ouvert par la généralisation de Linky & autres babioles de ce > genre. On en revient au point de départ, identifier le matériel ou le titulaire de l'abonnement n'est pas trouver l'identité de la personne qui utilisait le matériel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Le 04/01/2016 18:19, Nicolas Vigier a écrit : > Une utilisation courante est d'éviter de donner > une grosse partie de l'historique de son navigateur web à son FAI Vous vous basez sur des éléments concrets ou c'est encore une légende urbaine ? -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Le 05/01/2016 00:20, Radu-Adrian Feurdean a écrit : > Il n'y aura jamais la police qui va demander a EDF "donnez moi la > personne qui a consomme X KWh a telle date telle heure" Euh, ne jamais écrire jamais. Vous n'avez aucune idée du champs des possibles ouvert par la généralisation de Linky & autres babioles de ce genre. -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 06/01/2016 13:19, David Ponzone wrote: > Il est clair que le législateur n’a pas bien compris qu’en > informatique, mettre une obligation de résultats sur un particulier > qui a l’audace de faire confiance à Microsoft ou Netgear, ça allait > être délicat. Ou peut-être qu'il s'en fiche, et que dans sa vision finalement, c'est le particulier/consommateur qui est toujours le commanditaire final et qui s'il achète des produits bugués, en fin de compte, est responsable (et charge à lui de se retourner éventuellement ou de faire valeur le défaut du vendeur/prestataire) ? Une logique un peu similaire à celle de la TVA : celui qui casque c'est celui qui est au bout de la chaîne. >> je vois pas comment l'article 1384 pourrait s'appliquer ici. A l'inverse je ne vois pas pourquoi il ne pourrait pas... (sans porter de jugement sur la pertinence éthique de le faire ou non) >> si tous ne sont pas responsable, qui l'est ou ne l'est pas et pourquoi ? >> ou alors si tous sont responsables de façon conditionnelle, a quelles >> conditions ? est ce qu'elles sont applicables ? >> >> quand on commence a dérouler la pelote, on tombe immanquablement sur un >> gros paquet de conflits et de débats, techniques, éthiques, juridiques. Ou bien le juge se la jouera à l'économie : c'est le titulaire de la ligne qui est responsable, *parce que* il s'est rendu coupable de ne pas sécuriser sa ligne, basta. Des gens mieux informés pourront peut-être nous éclairer sur ce mécanisme (le "parce que") et sa justesse ou non. Et nous donner quelques billes sur la faculté qu'il reste ensuite au consommateur de se "retourner" contre ses fournisseurs. Mais en matière juridique, il faut être riche et patient pour faire valoir ses droits (surtout s'ils sont puissants). Beaucoup seront effrayés devant le risque d'épuisement financier et moral que représenterait l'entreprise de chercher à faire valoir les responsabiltés des industriels, je pense. Cordialement, S. Vallerot - -- Gixe - Association 1901 - conseil, hébergement, opérateur pour tous SIREN 450 404 769- http://www.gixe.net-cont...@gixe.net venez nous voir sur IRC geeknode #gixe - tél: 0950315474 - 0686383868 -BEGIN PGP SIGNATURE- Version: GnuPG v1 iF4EAREIAAYFAlaNjrIACgkQJBGsD8mtnREghgD+NoH6UmxY3HsiZyLcxat8Z+mM Mhj5yNMA7dTUCglWxu0BAJfds25GN50wIyNcWfkbp82ahACNRSnDuzbGvgzjTd0/ =E7j3 -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
On lundi 4 janvier 2016 16:53:19 CET David Ponzone - david.ponz...@gmail.com wrote: > il y a un flou artistique pour les hotspot public, ce qui rejoint les > discussions récentes à ce sujet. Pour l’accès Internet depuis ton ADSL ou > ton mobile, je pense quand même que le détenteur du contrat d’abonnement > est la personne qui sera identifiée comme utilisant l’IP publique (avec > éventuellement les logs du CGN dans certains cas). Après, on retombe sur le > problème: est-ce qu’un particulier est censé être capable de sécuriser > complètement son accès WIFI ? *snip* On retombe surtout sur la question du partage et de son interdiction pratique par la dissuasion. Les bases fondamentales de la vie en groupe c'est le partage et coopération. Placé dans le contexte d'un village où une petite poignée de chanceux ont 512kbits en ReADSL tandis que la majorité n'a rien et que ça fait 10 ans qu'il ne se passe rien malgré les promesses que tout le village aura accès au haut débit prochainement, vouloir partager sa connexion à internet avec ses voisins serait une solution simple et évidente, mais qui n'est pas appliquée en pratique à cause d'une loi française. > Le législateur, il a besoin de légiférer. Depuis des dizaines d’année, un > abonnement EDF identifie une personne physique (les piratages sont quand > même assez rares), de même pour l’eau, et même le téléphone (quand un mec > vous collait 10kF d’appels internationaux avec des pinces crocos, je pense > qu’il était difficile d’expliquer à Orange que vous étiez innocents). Il > n’y a pas de raison qu’un accès Internet soit une zone de non-droit sous > prétexte que la technique est défaillante. Oui l'abonnement à l'électricité, à l'eau potable ou au téléphone identifie son titulaire, exactement comme l'abonnement à internet et il n'y a pas de problème avec ça. Par contre, à ma connaissance le titulaire de l'abonnement à l'électricité/eau ne porte pas la responsabilité devant le tribunal de l'usage qui est fait de son courant électrique / eau potable et on sait bien que le numéro de série du compteur ne permets pas d'identifier le titulaire de la ligne et encore moins de révéler les personnes qui ont utilisé l'électricité ou bu l'eau du robinet. L'accès internet en France est pourtant assez proche d'une zone de non-droit du fait même de la loi française qui impose la collecte et la conservation des données personnelles des abonnés internet alors que la directive européenne 2006/24/CE a été invalidée en avril 2014 en précisant bien que la collecte de masse et la conservation généralisée n'était plus possible dans l'Union Européenne. De fait la loi française crée une zone où le droit ne s'applique pas de la volonté même du législateur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Hello, (...) > C'est typiquement le genre de raisons pour laquelle il faut classifier > les préfixes de ton feed BGP avec des communautés, et documenter toutes > ces communautés quelque part. Ce qui est valable pour TON réseau ne > l'est pas forcément pour celui des gens qui pourraient être tentés > d'utiliser ton feed. Je m'incruste dans le thread, comme ça, mais ne serait-il pas mieux qu'une communauté de gens sympa et barbus entretiennent le smilblick comme l'AS112 par exemple. Voila... voila... et bonne année toussa. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
On 04/01/2016 11:55, Xavier Beaudouin wrote: >> > C'est typiquement le genre de raisons pour laquelle il faut classifier >> > les préfixes de ton feed BGP avec des communautés, et documenter toutes >> > ces communautés quelque part. Ce qui est valable pour TON réseau ne >> > l'est pas forcément pour celui des gens qui pourraient être tentés >> > d'utiliser ton feed. > Je m'incruste dans le thread, comme ça, mais ne serait-il pas mieux qu'une > communauté de gens sympa et barbus entretiennent le smilblick comme l'AS112 > par exemple. Je ne sais pas si les gens sympas doivent forcément être barbus (ou barbues) pour participer, mais il suffit que Michel mette ses différents parsers et injecteurs sur un github (ou autre) et on verra si les pull-requests ont de la barbe. A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
On Sun, 2016-01-03 at 22:40 +, Michel Py wrote: > > > > Cela empêchera des personnes qui ont besoin de contourner des > dispositifs de filtrages ou de censure d'accéder au réseau. > > D'accéder à _MON_ réseau, et je ne connais aucune de ces personnes. Je > ne critique pas Tor, je n'empêche pas les gens de s'en servir, je > comprends qu'il y a des personnes dont la liberté d'expression est > limitée qui en ont besoin, mais personne qui a besoin de dissimuler > son identité n'a besoin d'accéder mon réseau, donc je bloque. C'est typiquement le genre de raisons pour laquelle il faut classifier les préfixes de ton feed BGP avec des communautés, et documenter toutes ces communautés quelque part. Ce qui est valable pour TON réseau ne l'est pas forcément pour celui des gens qui pourraient être tentés d'utiliser ton feed. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Le pare-feu du geek barbu
> Xavier Beaudouin a écrit : > Je m'incruste dans le thread, comme ça, mais ne serait-il pas mieux qu'une > communauté > de gens sympa et barbus entretiennent le smilblick comme l'AS112 par exemple. Pour les geekettes, on fait une exception pour la barbe ;-) > Clement Cavadore a écrit : > C'est typiquement le genre de raisons pour laquelle il faut classifier les > préfixes de ton feed BGP > avec des communautés, et documenter toutes ces communautés quelque part. Ce > qui est valable pour TON > réseau ne l'est pas forcément pour celui des gens qui pourraient être tentés > d'utiliser ton feed. Complètement d'accord. D'ailleurs j'ai enlevé Tor du feed, en attendant que les communautés en fassent partie. Juste dessous, il y a le script qui construit la blacklist. Y'à qu'à (C)(TM) le modifier pour rajouter les communautés. Au travail. Michel. #!/bin/bash IP_TMP=/tmp/ip.tmp IP_BLACKLIST=/etc/exabgp/ip-blacklist.conf IP_BLACKLIST_TMP=/tmp/ip-blacklist.tmp # "http://www.maxmind.com/en/anonymous_proxies; # MaxMind GeoIP Anonymous Proxies # "https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1; # TOR Exit Nodes BLACKLISTS=( "http://www.projecthoneypot.org/list_of_ips.php?t=d=1; # Project Honey Pot Directory of Dictionary Attacker IPs "http://danger.rulez.sk/projects/bruteforceblocker/blist.php; # BruteForceBlocker IP List "http://rules.emergingthreats.net/blockrules/compromised-ips.txt; "http://rules.emergingthreats.net/blockrules/emerging-botcc.excluded; "http://rules.emergingthreats.net/blockrules/emerging-botcc.portgrouped.rules; "http://rules.emergingthreats.net/blockrules/emerging-botcc.rules; "http://rules.emergingthreats.net/blockrules/emerging-ciarmy.rules; "http://rules.emergingthreats.net/blockrules/emerging-compromised-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-compromised.rules; "http://rules.emergingthreats.net/blockrules/emerging-drop-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-drop.rules; "http://rules.emergingthreats.net/blockrules/emerging-dshield-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-dshield.rules; "http://rules.emergingthreats.net/blockrules/emerging-rbn-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-rbn-malvertisers-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-rbn-malvertisers.rules; "http://rules.emergingthreats.net/blockrules/emerging-rbn.rules; "http://rules.emergingthreats.net/blockrules/emerging-tor-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-tor.rules; "http://rules.emergingthreats.net/blockrules/rbn-ips.txt; # Emerging Threats - Russian Business Networks List "http://www.spamhaus.org/drop/drop.lasso; # Spamhaus Don't Route Or Peer List (DROP) "http://www.spamhaus.org/drop/edrop.lasso; # Spamhaus Don't Route Or Peer List (EDROP) "http://cinsscore.com/list/ci-badguys.txt; # C.I. Army Malicious IP List "http://www.openbl.org/lists/base_7days.txt; # OpenBL.org 7 day List "http://www.autoshun.org/files/shunlist.csv; # Autoshun Shun List "http://lists.blocklist.de/lists/all.txt; # blocklist.de attackers "http://hosts-file.net/rss.asp; "https://www.myip.ms/files/blacklist/csf/latest_blacklist.txt; "http://malc0de.com/bl/IP_Blacklist.txt; "https://sslbl.abuse.ch/blacklist/sslipblacklist.csv; ) for i in "${BLACKLISTS[@]}" do curl "$i" > $IP_TMP grep -Po '(?:\d{1,3}\.){3}\d{1,3}(?:/\d{1,2})?' $IP_TMP >> $IP_BLACKLIST_TMP done sort $IP_BLACKLIST_TMP -n | uniq > $IP_BLACKLIST rm $IP_BLACKLIST_TMP wc -l $IP_BLACKLIST --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
On Mon, Jan 4, 2016, at 16:53, David Ponzone wrote: > Le législateur, il a besoin de légiférer. Il est "drogue" a la creation des lois peu importe s'ils sont outiles ou pas. C'est ca son "besoin". > Depuis des dizaines d’année, un > abonnement EDF identifie une personne physique (les piratages sont quand > même assez rares), de même pour l’eau, et même le téléphone (quand un mec La on parle de la relation "personne <-> contrat concernant element d'infrastructure fixe". Il n'y aura jamais la police qui va demander a EDF "donnez moi la personne qui a consomme X KWh a telle date telle heure". Ou a la companie qui gere l'eau "identifiez-moi de quel abonne vient cette eau". > vous collait 10kF d’appels internationaux avec des pinces crocos, je > pense qu’il était difficile d’expliquer à Orange que vous étiez innocents). La comparaison est bien abusee. Tant qu'on y est il me semble qu'il existe aussi une connerie appelee "Internet+", disponible chez certains FAI sur certaines types d'acces qui peut finir de facon similaire (voire identique). > Il n’y a pas de raison qu’un accès Internet soit une zone de non-droit > sous prétexte que la technique est défaillante. La technique n'est pas defaillante (contrairement a la legislation). C'est juste la transposition (foireuse) des methodes d'un autre temps a la base concues pour d'autres choses. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
> Michel Py: >>> Lunar a écrit : >>> Cela empêchera des personnes qui ont besoin de contourner des >>> dispositifs de filtrages ou de censure d'accéder au réseau. >> D'accéder à _MON_ réseau, et je ne connais aucune de ces personnes. Je >> ne critique pas Tor, je n'empêche pas les gens de s'en servir, je >> comprends qu'il y a des personnes dont la liberté d'expression est >> limitée qui en ont besoin, mais personne qui a besoin de dissimuler >> son identité n'a besoin d'accéder mon réseau, donc je bloque. > Tor sert à bien d'autres usages que celui de dissimuler son identité. > C'est pour beaucoup de gens avant tout un outil permettant de contourner > des restrictions d'accès. Même si ça peut paraître surprenant d'un point > de vue européen, beaucoup de gens utilisent Tor pour accéder à Facebook. > Utiliser Tor permet de reprendre le contrôle sur ses informations > personnelles : on ne les partage que si on le désire, là où auparavant > elles fuitaient hors de notre contrôle. > > Par ailleurs, je trouve un peu problématique d'associer identité et > adresse IP. Au mieux une adresse IP est une indication géographique. > Mais il existe de nos jours beacoup trop de points d'accès ouverts ou > d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse > continuer à considérer qu'une adresse IP permet d'identifier une > personne. > > Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services > privées, je peux comprendre le filtre. Ceci dit, il empêchera également > de faire tourner un relai Tor à l'intérieur : un relai a besoin de > pouvoir contacter tous les autres relais. > et soit dit en passant, une adresse IP c'est pas une identité. qu'elle soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les hotspots, les opérateur qui font du CGN, etc... d'un point de vue réseau, y'a aucune différence fonctionnelle entre TOR et du NAT. signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Michel Py: > > Lunar a écrit : > > Cela empêchera des personnes qui ont besoin de contourner des > > dispositifs de filtrages ou de censure d'accéder au réseau. > > D'accéder à _MON_ réseau, et je ne connais aucune de ces personnes. Je > ne critique pas Tor, je n'empêche pas les gens de s'en servir, je > comprends qu'il y a des personnes dont la liberté d'expression est > limitée qui en ont besoin, mais personne qui a besoin de dissimuler > son identité n'a besoin d'accéder mon réseau, donc je bloque. Tor sert à bien d'autres usages que celui de dissimuler son identité. C'est pour beaucoup de gens avant tout un outil permettant de contourner des restrictions d'accès. Même si ça peut paraître surprenant d'un point de vue européen, beaucoup de gens utilisent Tor pour accéder à Facebook. Utiliser Tor permet de reprendre le contrôle sur ses informations personnelles : on ne les partage que si on le désire, là où auparavant elles fuitaient hors de notre contrôle. Par ailleurs, je trouve un peu problématique d'associer identité et adresse IP. Au mieux une adresse IP est une indication géographique. Mais il existe de nos jours beacoup trop de points d'accès ouverts ou d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse continuer à considérer qu'une adresse IP permet d'identifier une personne. Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services privées, je peux comprendre le filtre. Ceci dit, il empêchera également de faire tourner un relai Tor à l'intérieur : un relai a besoin de pouvoir contacter tous les autres relais. -- Lunarsignature.asc Description: Digital signature
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Edouard Chamillard a écrit : >> Par ailleurs, je trouve un peu problématique d'associer identité et >> > adresse IP. Au mieux une adresse IP est une indication géographique. >> > Mais il existe de nos jours beacoup trop de points d'accès ouverts ou >> > d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse >> > continuer à considérer qu'une adresse IP permet d'identifier une >> > personne. >> > >> > Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services >> > privées, je peux comprendre le filtre. Ceci dit, il empêchera également >> > de faire tourner un relai Tor à l'intérieur : un relai a besoin de >> > pouvoir contacter tous les autres relais. >> > > et soit dit en passant, une adresse IP c'est pas une identité. qu'elle > soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des > mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les > hotspots, les opérateur qui font du CGN, etc... l'adresse IP est une donnée à caractère personnelle, justement car elle permet l'identification. Sans moyen "de brouillage" un utilisateur peut être suivi dans la plus part des cas sur la seule base de cette IP. Dans le cas des Hotspot et des CGN il y a une obligation de pouvoir suivre des connexions IP (principalement IP+PORT/TCP) à l'IP qui est derrière le NAT qui elle même est reliée à une identité. Il existe biensur plein de moyen de contourner ceci et TOR en fait parti. Le but étant avant tout de garder controle sur mes données (et les meta aussi). Renaud --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
non, une adresse IP identifie un périphérique sur le réseau, pas une personne. c'est pas parce que la distinction est suffisamment peu claire pour le législateur qu'il nous pond régulièrement ce genre d’aberration que c'est magiquement vrai. qui plus est, justement parce que cette relation d'identité n'est que un concept juridique, elle n'est pas vraie partout, et donc encore moins utilisable en production. Le 04/01/2016 16:03, Renaud a écrit : > > Edouard Chamillard a écrit : >>> Par ailleurs, je trouve un peu problématique d'associer identité et adresse IP. Au mieux une adresse IP est une indication géographique. Mais il existe de nos jours beacoup trop de points d'accès ouverts ou d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse continuer à considérer qu'une adresse IP permet d'identifier une personne. Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services privées, je peux comprendre le filtre. Ceci dit, il empêchera également de faire tourner un relai Tor à l'intérieur : un relai a besoin de pouvoir contacter tous les autres relais. >> et soit dit en passant, une adresse IP c'est pas une identité. qu'elle >> soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des >> mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les >> hotspots, les opérateur qui font du CGN, etc... > l'adresse IP est une donnée à caractère personnelle, justement car elle > permet l'identification. Sans moyen "de brouillage" un utilisateur peut > être suivi dans la plus part des cas sur la seule base de cette IP. > > Dans le cas des Hotspot et des CGN il y a une obligation de pouvoir > suivre des connexions IP (principalement IP+PORT/TCP) à l'IP qui est > derrière le NAT qui elle même est reliée à une identité. > > Il existe biensur plein de moyen de contourner ceci et TOR en fait > parti. Le but étant avant tout de garder controle sur mes données (et > les meta aussi). > > Renaud > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
il y a un flou artistique pour les hotspot public, ce qui rejoint les discussions récentes à ce sujet. Pour l’accès Internet depuis ton ADSL ou ton mobile, je pense quand même que le détenteur du contrat d’abonnement est la personne qui sera identifiée comme utilisant l’IP publique (avec éventuellement les logs du CGN dans certains cas). Après, on retombe sur le problème: est-ce qu’un particulier est censé être capable de sécuriser complètement son accès WIFI ? Evidemment que non, sauf avec un moyen très simple: pas de WIFI. Peut-il se protéger de toute malware/bot/… ? Non, sauf en coupant Internet, auquel cas le problème de départ ne se pose plus. Le législateur, il a besoin de légiférer. Depuis des dizaines d’année, un abonnement EDF identifie une personne physique (les piratages sont quand même assez rares), de même pour l’eau, et même le téléphone (quand un mec vous collait 10kF d’appels internationaux avec des pinces crocos, je pense qu’il était difficile d’expliquer à Orange que vous étiez innocents). Il n’y a pas de raison qu’un accès Internet soit une zone de non-droit sous prétexte que la technique est défaillante. > Le 4 janv. 2016 à 16:35, Alexis VACHETTEa écrit : > > Merci, ça fait plaisir de lire quelque chose de sensé. > > Cordialement, > Alexis. > > On 04/01/2016 16:23, Edouard Chamillard wrote: >> non, une adresse IP identifie un périphérique sur le réseau, pas une >> personne. c'est pas parce que la distinction est suffisamment peu claire >> pour le législateur qu'il nous pond régulièrement ce genre d’aberration >> que c'est magiquement vrai. >> >> qui plus est, justement parce que cette relation d'identité n'est que un >> concept juridique, elle n'est pas vraie partout, et donc encore moins >> utilisable en production. >> >> Le 04/01/2016 16:03, Renaud a écrit : >>> Edouard Chamillard a écrit : > Par ailleurs, je trouve un peu problématique d'associer identité et >> adresse IP. Au mieux une adresse IP est une indication géographique. >> Mais il existe de nos jours beacoup trop de points d'accès ouverts ou >> d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse >> continuer à considérer qu'une adresse IP permet d'identifier une >> personne. >> >> Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services >> privées, je peux comprendre le filtre. Ceci dit, il empêchera également >> de faire tourner un relai Tor à l'intérieur : un relai a besoin de >> pouvoir contacter tous les autres relais. >> et soit dit en passant, une adresse IP c'est pas une identité. qu'elle soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les hotspots, les opérateur qui font du CGN, etc... >>> l'adresse IP est une donnée à caractère personnelle, justement car elle >>> permet l'identification. Sans moyen "de brouillage" un utilisateur peut >>> être suivi dans la plus part des cas sur la seule base de cette IP. >>> >>> Dans le cas des Hotspot et des CGN il y a une obligation de pouvoir >>> suivre des connexions IP (principalement IP+PORT/TCP) à l'IP qui est >>> derrière le NAT qui elle même est reliée à une identité. >>> >>> Il existe biensur plein de moyen de contourner ceci et TOR en fait >>> parti. Le but étant avant tout de garder controle sur mes données (et >>> les meta aussi). >>> >>> Renaud >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Entièrement d'accord, Par contre je ne peux m'empêcher d'admettre que je le fais sur le port SSH car malheureusement beaucoup d'attaque bruteforce SSH passe par TOR. Benjamin L > Le 3 janv. 2016 à 22:53, Lunara écrit : > > Michel Py: >>> Clement Cavadore a écrit : >>> Pourquoi ne pa donner plus de détails ici ? Par exemple, les listes noires >>> utilisées, >> >> Voici la liste à ce moment précis, je suis plus qu'à l'écoute des >> commentaires à ce sujet, il y a des améliorations à faire. >> Pour certaines, j'ai demandé et obtenu l'autorisation d'utiliser leur liste. >> Pour d'autres, j'ai rien entendu comme retour. >> Il y a surement des redondances, ce qui ne me dérange pas. Au final je >> fabrique une liste unique. >> >> J'ai aussi des listes et des feeds BGP dont j'ai explicitement reçu >> l'autorisation d'utiliser mais non pas de redistribuer, ces préfixes sont >> taggués en no-export et ne sont ni listés ci-dessous ni redistribués. >> >> "http://www.projecthoneypot.org/list_of_ips.php?t=d=1; # Project Honey >> Pot Directory of Dictionary Attacker IPs >> "http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1; # TOR >> Exit Nodes > > Bloquer tous les nœuds de sortie Tor est du même acabit que de bloquer > tous les points d'accès Wi-Fi publics (mais personne n'a compilé une > telle liste à ma connaissance). Cela empêchera des personnes qui ont > besoin de contourner des dispositifs de filtrages ou de censure > d'accéder au réseau. > > Si l'enjeux c'est limiter des attaques, mieux vaut utiliser des systèmes > qui limite le surblocage, non ? > > -- > Lunar --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Merci, ça fait plaisir de lire quelque chose de sensé. Cordialement, Alexis. On 04/01/2016 16:23, Edouard Chamillard wrote: non, une adresse IP identifie un périphérique sur le réseau, pas une personne. c'est pas parce que la distinction est suffisamment peu claire pour le législateur qu'il nous pond régulièrement ce genre d’aberration que c'est magiquement vrai. qui plus est, justement parce que cette relation d'identité n'est que un concept juridique, elle n'est pas vraie partout, et donc encore moins utilisable en production. Le 04/01/2016 16:03, Renaud a écrit : Edouard Chamillard a écrit : Par ailleurs, je trouve un peu problématique d'associer identité et adresse IP. Au mieux une adresse IP est une indication géographique. Mais il existe de nos jours beacoup trop de points d'accès ouverts ou d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse continuer à considérer qu'une adresse IP permet d'identifier une personne. Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services privées, je peux comprendre le filtre. Ceci dit, il empêchera également de faire tourner un relai Tor à l'intérieur : un relai a besoin de pouvoir contacter tous les autres relais. et soit dit en passant, une adresse IP c'est pas une identité. qu'elle soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les hotspots, les opérateur qui font du CGN, etc... l'adresse IP est une donnée à caractère personnelle, justement car elle permet l'identification. Sans moyen "de brouillage" un utilisateur peut être suivi dans la plus part des cas sur la seule base de cette IP. Dans le cas des Hotspot et des CGN il y a une obligation de pouvoir suivre des connexions IP (principalement IP+PORT/TCP) à l'IP qui est derrière le NAT qui elle même est reliée à une identité. Il existe biensur plein de moyen de contourner ceci et TOR en fait parti. Le but étant avant tout de garder controle sur mes données (et les meta aussi). Renaud --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
David, Je ne parlais que de l'identification d'une personne physique avec une IP. Chez toi quand tu as une famille tu te rends compte qu'hormis faire la police et encore le blocage des services pour faire des choses pas net c'est pas forcément le plus simple. Je suis au niveau de l'accès ADSL bien entendu. De plus je n'ai jamais dit qu'Internet était une zone de non droit, bien que certains le pensent. Cordialement, Alexis. On 04/01/2016 16:53, David Ponzone wrote: il y a un flou artistique pour les hotspot public, ce qui rejoint les discussions récentes à ce sujet. Pour l’accès Internet depuis ton ADSL ou ton mobile, je pense quand même que le détenteur du contrat d’abonnement est la personne qui sera identifiée comme utilisant l’IP publique (avec éventuellement les logs du CGN dans certains cas). Après, on retombe sur le problème: est-ce qu’un particulier est censé être capable de sécuriser complètement son accès WIFI ? Evidemment que non, sauf avec un moyen très simple: pas de WIFI. Peut-il se protéger de toute malware/bot/… ? Non, sauf en coupant Internet, auquel cas le problème de départ ne se pose plus. Le législateur, il a besoin de légiférer. Depuis des dizaines d’année, un abonnement EDF identifie une personne physique (les piratages sont quand même assez rares), de même pour l’eau, et même le téléphone (quand un mec vous collait 10kF d’appels internationaux avec des pinces crocos, je pense qu’il était difficile d’expliquer à Orange que vous étiez innocents). Il n’y a pas de raison qu’un accès Internet soit une zone de non-droit sous prétexte que la technique est défaillante. Le 4 janv. 2016 à 16:35, Alexis VACHETTE> a écrit : Merci, ça fait plaisir de lire quelque chose de sensé. Cordialement, Alexis. On 04/01/2016 16:23, Edouard Chamillard wrote: non, une adresse IP identifie un périphérique sur le réseau, pas une personne. c'est pas parce que la distinction est suffisamment peu claire pour le législateur qu'il nous pond régulièrement ce genre d’aberration que c'est magiquement vrai. qui plus est, justement parce que cette relation d'identité n'est que un concept juridique, elle n'est pas vraie partout, et donc encore moins utilisable en production. Le 04/01/2016 16:03, Renaud a écrit : Edouard Chamillard a écrit : Par ailleurs, je trouve un peu problématique d'associer identité et adresse IP. Au mieux une adresse IP est une indication géographique. Mais il existe de nos jours beacoup trop de points d'accès ouverts ou d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse continuer à considérer qu'une adresse IP permet d'identifier une personne. Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services privées, je peux comprendre le filtre. Ceci dit, il empêchera également de faire tourner un relai Tor à l'intérieur : un relai a besoin de pouvoir contacter tous les autres relais. et soit dit en passant, une adresse IP c'est pas une identité. qu'elle soit v4 ou v6. si tu as besoin d'identifier des utilisateurs, y'a des mécanismes pour ça. sinon le mème raisonnement conduit a bloquer les hotspots, les opérateur qui font du CGN, etc... l'adresse IP est une donnée à caractère personnelle, justement car elle permet l'identification. Sans moyen "de brouillage" un utilisateur peut être suivi dans la plus part des cas sur la seule base de cette IP. Dans le cas des Hotspot et des CGN il y a une obligation de pouvoir suivre des connexions IP (principalement IP+PORT/TCP) à l'IP qui est derrière le NAT qui elle même est reliée à une identité. Il existe biensur plein de moyen de contourner ceci et TOR en fait parti. Le but étant avant tout de garder controle sur mes données (et les meta aussi). Renaud --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
c'est pas la technique qui est défaillante. une adresse IP ça fait exactement ce que c'est sensé faire, aka permettre aux lutins dans les tuyaux de balader des paquets d'un hote A a un hote B. ce qui est défaillant, c'est la perception de la fiabilité de l'association entre une adresse IP et une personne. pour les dix patates de facture FT parce que raoul le phreak a été crocotter une beige box pour appeler les copains du bar en face a pékin, c'était effectivement difficile de contester, mais l'abus du service dépendait quand mème de la présence physique de raoul sur le media (comme pour edf et la flotte), donc c'etait mécaniquement bien localisable dans le temps et dans l'espace. le problème de considérer qu'une adresse IP identifie avec certitude (et je précise bien le avec certitude) une personne c'est justement que contrairement a de l'infra classique, on est limités ni dans le temps ni dans l'espace. mème si t'as pas du tout de wifi parce que le média est pas contrôlable, et mème si on est dans un monde hypothétique sans malware, le moindre bout de JS sur un coin de page peut quand mème aller gauler des photos de vacances sur pedobear.com, sans que l'utilisateur physiquement assis derrière la machine ai fait quoi que ce soit. le status quo actuel de dire "l'abonné est responsable de sa connexion" est d'ailleurs la seule méthode a peu près simple et générique qui donne un semblant de traçabilité. et pour le civil c'est sans aucun doute suffisant, mème si c'est loin d’être parfait. mais au pénal on est dans le sérieux, et dans la privation de liberté. alors je tiens a ce que nous les barbus on continue a tambouriner sur la tête de tout les gens dans la chaine en disant que mème si vous aviez une vidéo live d'un bonhomme devant un écran qui fait des choses qui ont l'air de correspondre a ce que votre belle sonde hadopi/eagle/whatever, vous êtes dans l'incapacité de prouver *au delà de tout doute raisonnable* que c'est bien la personne qui est volontairement a l'origine des lutins incriminés, et personne d'autre. il ne s'agit pas de faire d'internet "une zone de non-droit". il s'agit d’être clairs et précis sur les limitations de notre capacités techniques. Le 04/01/2016 16:53, David Ponzone a écrit : > il y a un flou artistique pour les hotspot public, ce qui rejoint les > discussions récentes à ce sujet. > Pour l’accès Internet depuis ton ADSL ou ton mobile, je pense quand même que > le détenteur du contrat d’abonnement est la personne qui sera identifiée > comme utilisant l’IP publique (avec éventuellement les logs du CGN dans > certains cas). > Après, on retombe sur le problème: est-ce qu’un particulier est censé être > capable de sécuriser complètement son accès WIFI ? Evidemment que non, sauf > avec un moyen très simple: pas de WIFI. > Peut-il se protéger de toute malware/bot/… ? Non, sauf en coupant Internet, > auquel cas le problème de départ ne se pose plus. > > Le législateur, il a besoin de légiférer. Depuis des dizaines d’année, un > abonnement EDF identifie une personne physique (les piratages sont quand même > assez rares), de même pour l’eau, et même le téléphone (quand un mec vous > collait 10kF d’appels internationaux avec des pinces crocos, je pense qu’il > était difficile d’expliquer à Orange que vous étiez innocents). > Il n’y a pas de raison qu’un accès Internet soit une zone de non-droit sous > prétexte que la technique est défaillante. > >> Le 4 janv. 2016 à 16:35, Alexis VACHETTEa écrit : >> >> Merci, ça fait plaisir de lire quelque chose de sensé. >> >> Cordialement, >> Alexis. >> >> On 04/01/2016 16:23, Edouard Chamillard wrote: >>> non, une adresse IP identifie un périphérique sur le réseau, pas une >>> personne. c'est pas parce que la distinction est suffisamment peu claire >>> pour le législateur qu'il nous pond régulièrement ce genre d’aberration >>> que c'est magiquement vrai. >>> >>> qui plus est, justement parce que cette relation d'identité n'est que un >>> concept juridique, elle n'est pas vraie partout, et donc encore moins >>> utilisable en production. >>> >>> Le 04/01/2016 16:03, Renaud a écrit : Edouard Chamillard a écrit : >> Par ailleurs, je trouve un peu problématique d'associer identité et >>> adresse IP. Au mieux une adresse IP est une indication géographique. >>> Mais il existe de nos jours beacoup trop de points d'accès ouverts ou >>> d'adresses IPs partagées par de nombreuses personnes pour qu'on puisse >>> continuer à considérer qu'une adresse IP permet d'identifier une >>> personne. >>> >>> Quoiqu'il en soit, si ton réseau ne permet d'accéder qu'à des services >>> privées, je peux comprendre le filtre. Ceci dit, il empêchera également >>> de faire tourner un relai Tor à l'intérieur : un relai a besoin de >>> pouvoir contacter tous les autres relais. >>> > et soit dit en passant, une adresse IP c'est pas une identité. qu'elle > soit v4 ou v6. si tu as
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Michel Py: > > Clement Cavadore a écrit : > > Pourquoi ne pa donner plus de détails ici ? Par exemple, les listes noires > > utilisées, > > Voici la liste à ce moment précis, je suis plus qu'à l'écoute des > commentaires à ce sujet, il y a des améliorations à faire. > Pour certaines, j'ai demandé et obtenu l'autorisation d'utiliser leur liste. > Pour d'autres, j'ai rien entendu comme retour. > Il y a surement des redondances, ce qui ne me dérange pas. Au final je > fabrique une liste unique. > > J'ai aussi des listes et des feeds BGP dont j'ai explicitement reçu > l'autorisation d'utiliser mais non pas de redistribuer, ces préfixes sont > taggués en no-export et ne sont ni listés ci-dessous ni redistribués. > > "http://www.projecthoneypot.org/list_of_ips.php?t=d=1; # Project Honey > Pot Directory of Dictionary Attacker IPs > "http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1; # TOR > Exit Nodes Bloquer tous les nœuds de sortie Tor est du même acabit que de bloquer tous les points d'accès Wi-Fi publics (mais personne n'a compilé une telle liste à ma connaissance). Cela empêchera des personnes qui ont besoin de contourner des dispositifs de filtrages ou de censure d'accéder au réseau. Si l'enjeux c'est limiter des attaques, mieux vaut utiliser des systèmes qui limite le surblocage, non ? -- Lunarsignature.asc Description: Digital signature
RE: [FRnOG] [TECH] Le pare-feu du geek barbu
> Lunar a écrit : > Bloquer tous les nœuds de sortie Tor est du même acabit que de bloquer tous > les points d'accès Wi-Fi publics Non. Il n'y a personne qui a besoin de Tor pour accéder à mon réseau, et au contraire il y en a plein (à commencer par mon propre gouvernement) qui veulent s'en servir a des fins illégales. Sur ma sonde, la très grande majorité des alarmes en provenance d'un nœud de sortie Tor est du trafic BitTorrent, faudrait quand même pas essayer de m'expliquer qu'utiliser Tor pour télécharger des films de cul piratés c'est nécessaire. > Cela empêchera des personnes qui ont besoin de contourner des dispositifs de > filtrages ou de censure d'accéder au réseau. D'accéder à _MON_ réseau, et je ne connais aucune de ces personnes. Je ne critique pas Tor, je n'empêche pas les gens de s'en servir, je comprends qu'il y a des personnes dont la liberté d'expression est limitée qui en ont besoin, mais personne qui a besoin de dissimuler son identité n'a besoin d'accéder mon réseau, donc je bloque. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Le pare-feu du geek barbu
Bonjour la liste, et bonne année à tous. Avec un peu de retard, le Père Noël a fini par accoucher le pare feu du geek barbu : un feed BGP RBH qui contient environ 36000 préfixes à envoyer dans null0. Quelques scripts écrits avec les pieds en Python et en bash récupèrent toutes les 20 minutes une série de liste noires publiques, compilent et moulinent tout çà dans ExaBGP qui à son tour envoie les préfixes au routeur. Le blocage est donc fait directement sur l'interface externe (en plus de router sur null0 je fais aussi du RPF). Seulement les changements sont envoyés aux pairs eBGP toutes les 20 minutes, donc la charge sur le routeur (passé l'établissement initial de la session) est faible. Je fais çà sur un c1841 sans problème. Ceux qui n'ont pas peur peuvent me contacter en privé pour une session eBGP et les détails. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Salut Michel, On Sun, 2016-01-03 at 18:29 +, Michel Py wrote: > Ceux qui n'ont pas peur peuvent me contacter en privé pour une session eBGP > et les détails. Pourquoi ne pa donner plus de détails ici ? Par exemple, les listes noires utilisées, eventuellement si tu taggues avec des communauéts BGP particulières en f() de la liste de laquelle provient le préfixe, etc... bref, comment tu as construit ton truc, quoi. Le sujet est intéressant, amha ! Bonne année les Réseauteux (et, soyons fou, les Cravateux) de la liste ! -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Le pare-feu du geek barbu
Bonsoir Michel. J'espère que ce n'est pas la solution que tu proposes à Madame Michu quand elle sera multi-homee (demain) Même si sa conf sera télé-exploitée (à quel prix), quelle confiance lui accorder ? C'est totalement effrayant. beurk Pierre == Le 03/01/2016 19:29, Michel Py a écrit : Bonjour la liste, et bonne année à tous. Avec un peu de retard, le Père Noël a fini par accoucher le pare feu du geek barbu : un feed BGP RBH qui contient environ 36000 préfixes à envoyer dans null0. Quelques scripts écrits avec les pieds en Python et en bash récupèrent toutes les 20 minutes une série de liste noires publiques, compilent et moulinent tout çà dans ExaBGP qui à son tour envoie les préfixes au routeur. Le blocage est donc fait directement sur l'interface externe (en plus de router sur null0 je fais aussi du RPF). Seulement les changements sont envoyés aux pairs eBGP toutes les 20 minutes, donc la charge sur le routeur (passé l'établissement initial de la session) est faible. Je fais çà sur un c1841 sans problème. Ceux qui n'ont pas peur peuvent me contacter en privé pour une session eBGP et les détails. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Le pare-feu du geek barbu
> Clement Cavadore a écrit : > Pourquoi ne pa donner plus de détails ici ? Par exemple, les listes noires > utilisées, Voici la liste à ce moment précis, je suis plus qu'à l'écoute des commentaires à ce sujet, il y a des améliorations à faire. Pour certaines, j'ai demandé et obtenu l'autorisation d'utiliser leur liste. Pour d'autres, j'ai rien entendu comme retour. Il y a surement des redondances, ce qui ne me dérange pas. Au final je fabrique une liste unique. J'ai aussi des listes et des feeds BGP dont j'ai explicitement reçu l'autorisation d'utiliser mais non pas de redistribuer, ces préfixes sont taggués en no-export et ne sont ni listés ci-dessous ni redistribués. "http://www.projecthoneypot.org/list_of_ips.php?t=d=1; # Project Honey Pot Directory of Dictionary Attacker IPs "http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1; # TOR Exit Nodes "http://danger.rulez.sk/projects/bruteforceblocker/blist.php; # BruteForceBlocker IP List "http://rules.emergingthreats.net/blockrules/compromised-ips.txt; "http://rules.emergingthreats.net/blockrules/emerging-botcc.excluded; "http://rules.emergingthreats.net/blockrules/emerging-botcc.portgrouped.rules; "http://rules.emergingthreats.net/blockrules/emerging-botcc.rules; "http://rules.emergingthreats.net/blockrules/emerging-ciarmy.rules; "http://rules.emergingthreats.net/blockrules/emerging-compromised-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-compromised.rules; "http://rules.emergingthreats.net/blockrules/emerging-drop-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-drop.rules; "http://rules.emergingthreats.net/blockrules/emerging-dshield-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-dshield.rules; "http://rules.emergingthreats.net/blockrules/emerging-rbn-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-rbn-malvertisers-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-rbn-malvertisers.rules; "http://rules.emergingthreats.net/blockrules/emerging-rbn.rules; "http://rules.emergingthreats.net/blockrules/emerging-tor-BLOCK.rules; "http://rules.emergingthreats.net/blockrules/emerging-tor.rules; "http://rules.emergingthreats.net/blockrules/rbn-ips.txt; # Emerging Threats - Russian Business Networks List "http://www.spamhaus.org/drop/drop.lasso; # Spamhaus Don't Route Or Peer List (DROP) "http://www.spamhaus.org/drop/edrop.lasso; # Spamhaus Don't Route Or Peer List (EDROP) "http://cinsscore.com/list/ci-badguys.txt; # C.I. Army Malicious IP List "http://www.openbl.org/lists/base_7days.txt; # OpenBL.org 7 day List "http://www.autoshun.org/files/shunlist.csv; # Autoshun Shun List "http://lists.blocklist.de/lists/all.txt; # blocklist.de attackers "http://hosts-file.net/rss.asp; "https://www.myip.ms/files/blacklist/csf/latest_blacklist.txt; "http://malc0de.com/bl/IP_Blacklist.txt; "https://sslbl.abuse.ch/blacklist/sslipblacklist.csv; Listes que je n'utilise plus : les listes de wizcrafts.net. Ces listes bloquent des centaines de millions d'IP (il y a même un /8 dedans) et ne produisent aucun résultat. J'avais par exemple essayé de bloquer la Chine entière, et çà ne bloquait que très peu d'attaques provenant de Chine. > bref, comment tu as construit ton truc, quoi J'ai pompé des bouts de code à droite et à gauche, çà s'appelle de la recherche :-D Il y a ExaBGP, quelques lignes de Python tellement nulles que j'ai peur de poster le source, et un bout de bash. > eventuellement si tu taggues avec des communauéts BGP particulières en f() de > la liste de laquelle provient le préfixe, Non; je devrais dire pas encore, c'est dans mon élevage de yàkà; ça va considérablement compliquer le code. Aujourd'hui je taggue tout avec 65532:666 ;-) C'est ce que font les fournisseurs de feed BGP payants. Je vois bien l'intérêt : s'il y avait une liste en particulier qui bloque trop de choses, il suffirait de ne pas faire le match community dans la route-map in. Ceci dit, pour l'instant je suis plutôt à l'écoute de quelles sont les bonnes listes à utiliser ou pas. Réponses à des questions en privé : > Quelles types de routes y sont listées ? /10: 1 /12: 2 /14: 10 /15: 13 /16: 178 /17: 25 /18: 53 /19: 74 /20: 91 /21: 54 /22: 110 /23: 46 /24: 306 /32: 35776 Prefixes : 36,739. Total IP count : 25,309,632. Ca change tout le temps, naturellement. > Est-ce que tu penses que ça peut typiquement être un moyen de lutter contre > les attaques DDoS, par exemple ? Si tu as un arrangement avec ton FAI pour qu'il accepte ta liste et bloque en amont, oui. Techniquement possible, politiquement difficile. --- Liste de diffusion du FRnOG http://www.frnog.org/