Cet article prend effectivement sa source dans un cas d’entreprise de moyenne taille.
Sur des projets d’informatique de gestion ou d’informatique décisionnelle il est courant que plusieurs acteurs interviennent et qu’une mauvaise décision sécuritaire soit tolérée en raison des avantages fonctionnels et business qu’elle procure. De plus la communication entre pairs est parfois mal vécue car personne n’aime qu’on lui explique ce qu’il doit faire.
Quels seraient les cas où ça pourrait arriver ? Je veux dire dans le cadre d’une entreprise.
Y’en a encore qui mettent leur serveur de BDD sur une IP publique ?
Sur des petits projets, c’est tout sur le même serveur donc pas exposé, sur des projets plus gros, y’a forcément de quoi faire une infra un minimum réfléchie non ?
Je connais pas du tout Common Lisp (je ne suis pas développeur)
Ça à l’air intéressant, si jamais tu as des ressources qui vont dans le sens de Common Lisp et de la longévité (projet, manifeste…) hésite pas, ça m’intéresse !
En la communauté du Common Lisp, les choses sont vraiment à l’inverse; des logiciels développés y a 10 ou 20 ans sont toujours couramment utilisés. Là on peut trouver des bibliothèques qui sont “finies”, je trouve que ça change vraiment d’air comparé à l’état qu’on voit dans les autres communautés de langue.
Tout à fait. Je l’ai honnêtement zappé lors de la rédaction et je me demande si ce n’est pas une réaction d’autodéfense de mon cerveau. À dire vrai, j’ai rédigé cet article et l’ai à peine relu (il est truffé de coquilles) : ça m’a
permit de canaliser la tempête dans mon cerveau et de réfléchir façon canard en plastique, au lieu de m’agiter ou désespérer.
Merci pour l’article, je ne connaissais pas GrapheneOS.
Dans tous les cas, la sécurité sur le mobile est une vaste blague. Toute personne avec un minimum de bagage sécurité sait que cet outil n’est pas sécurisée à la hauteur de ce qu’il devrait être pour héberger des mots de passe ou accéder à des services sensibles (banque).
Personnellement je ne m’en sers que pour les services de bases (messagerie, appel, internet sur des sites d’actualités, calendrier) et rien de plus. Et pourtant j’ai un Lineage d’installé à jour avec chiffrement du disque mais cela ne suffit pas selon moi.
Je suis d’accord avec l’auteur concernant l’IPHONE, c’est cher mais au moins tu as un produit de qualité avec un véritable suivi au niveau de la sécurité. Très peu d’autres constructeur peuvent se vanter de la même chose.
S’il y a eu un accès distant, les frappes du clavier ou la visualisation de l’écran ont peut-être été enregistrées. Donc le mot de passe du trousseau de clés Firefox a pu être compromis, ainsi que le chiffrement GPG (clé privée récupérée et phrase de passe aussi). Il vaut mieux révoquer et changer tout cela. Il vaut mieux aussi repartir d’un nouveau système d’exploitation installé à neuf.
C’est en partie un positionnement juste, mais en partie le témoin d’une situation hautement problématique je pense.
Pour faire une analogie, qui aurait l’idée de dire qu’il faut systématiquement conteneuriser Debian au motif qu’il n’en n’a pas audité le code ? Et sur quoi ? Parce que rapidement il va y avoir un pb de récursivité. (hurd?)
J’aimerais tellement pouvoir me passer des Google services, mais avec le nombre d’applications qui utilise le push (c’est mon seul avantage), c’est difficile. Mais je suis le premier à vouloir m’en débarrasser, comme avec /e/ par exemple.
J’avais commencer un test comparatif sur mon g5s plus à l’époque, entre lineageOs avec gapps, microg et sans rien, et le résultat était sans appel, 1 journée et demi de batterie pour gapps, 1 journée pour microg et moins d’une matinée sans rien. Puis il est tombé dans l’eau, donc j’ai pris un mi A2 qui suis le programme Android one, donc des maj de sécurité pendant un moment, donc ça fait 2 ans que suis sur Android stock.
Mais j’admets que si je dois changer, j’hésite fortement à passer sur le nouvelle iphone SE, déjà chez appel ça ne décote pas, Android tu le sors de la boîte tu perds déjà 50% de valeur. Mais surtout puisqu’apple gère du hardware au software, y’a une stabilité de fou, mais surtout un suivi logiciel pendant plusieurs années.
Enfin bref, bienvenue dans le monde de surconsommation
Je pense qu’on est loin des mêmes réalités financières. Mettre 3-400 roros, dans un portable, ce n’est pas à ma portée, et je ne fais pas partie de la catégorie “famille pauvre”. Et, quand bien même, je ne vois pas l’intérêt de mettre tant d’argent dans cet appeau. Je sais que d’aucuns sont prêts à bien des sacrifices financiers pour paraître “riche”, en ayant le dernier smartphone de chez A*, de chez G* ou de chez S*, voire X*…
Bien que la démarche de ce monsieur d’apporter de la sécurité, en soit est intéressante, il en est que si elle ne doit être accessible au doux sacrifice pécuniaire qui te coûte un bras, un rein, voire de manger, pour certains cas, à quoi bon ?!
C’est un tracas de riche, cette soit-disante sécurité. Il y a derrière un relent, qui me déplaît personnellement. C’est pareil qu’à une dictature ou l’autre, d’aucuns estiment très sérieusement que c’est le seul moyen de garantir, tout aussi, sérieusement la sécurité. Alors, certes, on n’est pas sur le même niveau d’échelle, et, je le comprends très bien. Mais si pour avoir la sécurité en question, je ne l’aie qu’au-travers d’un dictat-phone, en quoi, c’est mieux, dans le fond ?!
J’apprécie vraiment ta dernière phrase ;-)
C’est un peu comme utiliser OpenBSD, que j’utilise au quotidien, le “vantard de la sécurité informatique” - entendons-nous bien, je l’utilise au quotidien - mais à moment donné, la sécurité empiète très fortement sur l’usage. Cela est un autre aspect, et parfois, m’agace tout autant.
Ce qui m’est clair est que le béotien/nouveau/quidam/Monsieur X/Madame Michu n’est pas prêt du tout à cette contrainte de la sécurité.
Non seulement, la sécurité en question ne devrait pas être contrainte à la concession, mais elle ne devrait pas plus être contrainte à la contrainte de l’usage. En fait, comme l’informatique, elle devrait se rendre invisible, tout en étant prégnante. Là, elle serait utile réellement à tous.
Je m’égare certainement. En tout cas, merci pour ta réponse que j’apprécie. ++
Et c’est sans compter sur les DB accessibles de l’extérieur et non protégées (ou avec les identifiants par défaut).
je t’informe : ça arrive tout le temps.
Ouais les contraintes de la prod, on fait des trucs moches pas par plaisir mais parce qu’on nous demande de le faire.
Tcho !
Cet article prend effectivement sa source dans un cas d’entreprise de moyenne taille. Sur des projets d’informatique de gestion ou d’informatique décisionnelle il est courant que plusieurs acteurs interviennent et qu’une mauvaise décision sécuritaire soit tolérée en raison des avantages fonctionnels et business qu’elle procure. De plus la communication entre pairs est parfois mal vécue car personne n’aime qu’on lui explique ce qu’il doit faire.
Quels seraient les cas où ça pourrait arriver ? Je veux dire dans le cadre d’une entreprise.
Y’en a encore qui mettent leur serveur de BDD sur une IP publique ?
Sur des petits projets, c’est tout sur le même serveur donc pas exposé, sur des projets plus gros, y’a forcément de quoi faire une infra un minimum réfléchie non ?
Je connais pas du tout Common Lisp (je ne suis pas développeur)
Ça à l’air intéressant, si jamais tu as des ressources qui vont dans le sens de Common Lisp et de la longévité (projet, manifeste…) hésite pas, ça m’intéresse !
Merci pour le partage. J’ai vraiment un problème de son : celui-ci part vers un son métallique puis revient !
En la communauté du Common Lisp, les choses sont vraiment à l’inverse; des logiciels développés y a 10 ou 20 ans sont toujours couramment utilisés. Là on peut trouver des bibliothèques qui sont “finies”, je trouve que ça change vraiment d’air comparé à l’état qu’on voit dans les autres communautés de langue.
Tout à fait. Je l’ai honnêtement zappé lors de la rédaction et je me demande si ce n’est pas une réaction d’autodéfense de mon cerveau. À dire vrai, j’ai rédigé cet article et l’ai à peine relu (il est truffé de coquilles) : ça m’a permit de canaliser la tempête dans mon cerveau et de réfléchir façon canard en plastique, au lieu de m’agiter ou désespérer.
Donc des ad blockers, un pi-hole, et, en fait, pas aller sur le site du monde c’est bien aussi.
Oui, ça aurait été amusant mais j’ai déjà galéré à trouver les RGB… Merci pour ton commentaire :-)
Merci pour l’article, je ne connaissais pas GrapheneOS.
Dans tous les cas, la sécurité sur le mobile est une vaste blague. Toute personne avec un minimum de bagage sécurité sait que cet outil n’est pas sécurisée à la hauteur de ce qu’il devrait être pour héberger des mots de passe ou accéder à des services sensibles (banque).
Personnellement je ne m’en sers que pour les services de bases (messagerie, appel, internet sur des sites d’actualités, calendrier) et rien de plus. Et pourtant j’ai un Lineage d’installé à jour avec chiffrement du disque mais cela ne suffit pas selon moi.
Je suis d’accord avec l’auteur concernant l’IPHONE, c’est cher mais au moins tu as un produit de qualité avec un véritable suivi au niveau de la sécurité. Très peu d’autres constructeur peuvent se vanter de la même chose.
Étonnant qu’il n’y ait pas de rainbow hat surtout qu’il s’agit de penetration :D Article très intéressant!
S’il y a eu un accès distant, les frappes du clavier ou la visualisation de l’écran ont peut-être été enregistrées. Donc le mot de passe du trousseau de clés Firefox a pu être compromis, ainsi que le chiffrement GPG (clé privée récupérée et phrase de passe aussi). Il vaut mieux révoquer et changer tout cela. Il vaut mieux aussi repartir d’un nouveau système d’exploitation installé à neuf.
FreezeGun est pratique pour faire ça.
En tout cas apt install python-request au 31 juillet 2020 n’aurait produit pas le même résultat.
J’ai pris le temps d’ouvrir un thread ici si ça vous intéresse : https://discuss.python.org/t/improving-risks-and-consequences-against-pytosquatting-on-pypi/5090
C’est en partie un positionnement juste, mais en partie le témoin d’une situation hautement problématique je pense.
Pour faire une analogie, qui aurait l’idée de dire qu’il faut systématiquement conteneuriser Debian au motif qu’il n’en n’a pas audité le code ? Et sur quoi ? Parce que rapidement il va y avoir un pb de récursivité. (hurd?)
J’aimerais tellement pouvoir me passer des Google services, mais avec le nombre d’applications qui utilise le push (c’est mon seul avantage), c’est difficile. Mais je suis le premier à vouloir m’en débarrasser, comme avec /e/ par exemple.
J’avais commencer un test comparatif sur mon g5s plus à l’époque, entre lineageOs avec gapps, microg et sans rien, et le résultat était sans appel, 1 journée et demi de batterie pour gapps, 1 journée pour microg et moins d’une matinée sans rien. Puis il est tombé dans l’eau, donc j’ai pris un mi A2 qui suis le programme Android one, donc des maj de sécurité pendant un moment, donc ça fait 2 ans que suis sur Android stock.
Mais j’admets que si je dois changer, j’hésite fortement à passer sur le nouvelle iphone SE, déjà chez appel ça ne décote pas, Android tu le sors de la boîte tu perds déjà 50% de valeur. Mais surtout puisqu’apple gère du hardware au software, y’a une stabilité de fou, mais surtout un suivi logiciel pendant plusieurs années.
Enfin bref, bienvenue dans le monde de surconsommation
Je pense qu’on est loin des mêmes réalités financières. Mettre 3-400 roros, dans un portable, ce n’est pas à ma portée, et je ne fais pas partie de la catégorie “famille pauvre”. Et, quand bien même, je ne vois pas l’intérêt de mettre tant d’argent dans cet appeau. Je sais que d’aucuns sont prêts à bien des sacrifices financiers pour paraître “riche”, en ayant le dernier smartphone de chez A*, de chez G* ou de chez S*, voire X*…
Bien que la démarche de ce monsieur d’apporter de la sécurité, en soit est intéressante, il en est que si elle ne doit être accessible au doux sacrifice pécuniaire qui te coûte un bras, un rein, voire de manger, pour certains cas, à quoi bon ?!
C’est un tracas de riche, cette soit-disante sécurité. Il y a derrière un relent, qui me déplaît personnellement. C’est pareil qu’à une dictature ou l’autre, d’aucuns estiment très sérieusement que c’est le seul moyen de garantir, tout aussi, sérieusement la sécurité. Alors, certes, on n’est pas sur le même niveau d’échelle, et, je le comprends très bien. Mais si pour avoir la sécurité en question, je ne l’aie qu’au-travers d’un dictat-phone, en quoi, c’est mieux, dans le fond ?!
J’apprécie vraiment ta dernière phrase ;-)
C’est un peu comme utiliser OpenBSD, que j’utilise au quotidien, le “vantard de la sécurité informatique” - entendons-nous bien, je l’utilise au quotidien - mais à moment donné, la sécurité empiète très fortement sur l’usage. Cela est un autre aspect, et parfois, m’agace tout autant.
Ce qui m’est clair est que le béotien/nouveau/quidam/Monsieur X/Madame Michu n’est pas prêt du tout à cette contrainte de la sécurité.
Non seulement, la sécurité en question ne devrait pas être contrainte à la concession, mais elle ne devrait pas plus être contrainte à la contrainte de l’usage. En fait, comme l’informatique, elle devrait se rendre invisible, tout en étant prégnante. Là, elle serait utile réellement à tous.
Je m’égare certainement. En tout cas, merci pour ta réponse que j’apprécie. ++