Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Dyn : on fait le point sur l’attaque DDoS qui a touché de nombreux sites

Dyn s'est pris un Dong

Dyn : on fait le point sur l'attaque DDoS qui a touché de nombreux sites

Le 24 octobre 2016 à 16h18

Dyn, le service qui gère une partie essentielle de l'infrastructure de nombreux services, a subi une attaque massive il y a quelques jours. Résultat : de nombreux sites inaccessibles en tapant leur nom de domaine. Derrière l'attaque se cache Mirai, un réseau d'objets connectés « zombies » qui marque un pas dans l'évolution des botnets.

Le 21 octobre restera dans les mémoires chez Dyn, et « dans l'histoire » selon Kyle York, son directeur stratégique. Quelques dizaines de services importants, d'Airbnb à Twitter en passant par GitHub ou Reddit, sont devenus difficilement accessibles pendant quelques heures le soir. La raison : une attaque par déni de service distribué (DDoS) contre le fournisseur de services DNS Dyn, sur lequel reposent de nombreux acteurs américains.

Où se situe concrètement le problème ?

Dyn gère les « zones DNS » de nombreux sites, notamment américains. C'est dans ces zones qu'est indiqué concrètement vers quelle adresse IP doit se diriger un internaute qui demande à accéder à un service lié à un nom de domaine, comme le site web ou le serveur email derrière monsite.com

Pour chaque nom de domaine, la zone DNS est un élément primordial : si elle ne déclare plus rien ou si elle déclare de fausses informations, le site associé n'est plus accessible. Même si le site en lui-même fonctionne bien techniquement, et que ses serveurs tournent sans problème, la route qui mène du nom de domaine au contenu est coupée.

Le système DNS fonctionne globalement en couple, avec d'un côté le serveur de nom (qui déclare la zone DNS, donc dit vers où aller quand on tape une URL (exemple : monsite.com) et de l'autre le résolveur DNS (qui demande où aller, pour ensuite y diriger l'internaute). Quand le serveur de nom envoie de mauvaises informations ou une fin de non-recevoir, le résolveur DNS est simplement incapable d'envoyer vers le serveur qui héberge le site.

Pour sa part, Dyn s'est fait connaître du grand public grâce à DynDNS, un service qui permet d'associer une adresse IP dynamique à un nom de domaine ou un sous-domaine. Cet outil est, par exemple, pratique pour héberger un contenu chez soi, quand son fournisseur d'accès change régulièrement l'adresse IP de la connexion.

Depuis, Dyn est devenu un gestionnaire de zone DNS majeur pour les tiers. La promesse est simple : une configuration sûre, des performances accrues, une grande sécurité et une gestion tout-en-ligne simplifiée. Une approche « cloud » qui a séduit de nombreux acteurs du Net, dont certains se reposaient uniquement sur lui pour maintenir cet élément essentiel de leur infrastructure.

Quelle différence avec le blocage de Google.fr par Orange ?

Alors, quelle est la différence avec l'incident chez Orange la semaine précédente (voir notre analyse) ? Pour rappel, le fournisseur d'accès a bloqué Google, Wikipédia et d'autres sites pendant quelques heures, suite à une « erreur humaine » dans la gestion des sites à détourner pour le compte du ministère de l'Intérieur.

La différence ? Dans un cas, c'est le résolveur DNS d'Orange qui donnait une mauvaise information à l'internaute, le redirigeant vers une page du ministère de l'Intérieur au lieu du site demandé, quand bien même le vrai site était bien accessible. Dans l'autre cas, le serveur de Dyn, sur lequel s'appuie habituellement le résolveur DNS pour savoir où aller, était inaccessible... Donc personne ne savait où diriger l'internaute.

Que s'est-il passé avec Dyn ?

Concrètement, le service qui associe certains noms de domaine (comme twitter.com) aux serveurs qui hébergent les sites a été saturé de requêtes, jusqu'à créer une importante latence, voire le rendre tout simplement inaccessible. L'opération s'est déroulée en deux vagues, explique l'entreprise dans un communiqué.

Le 21 octobre, vers 13h30, une attaque a visé les points de présence sur la côte Est des États-Unis. Les serveurs ont été placés là pour être près des internautes de la région, donc limiter la distance avec eux. Les serveurs de nom dans ces points de présence ont donc été rendus difficilement accessibles pendant environ deux heures, l'attaque étant officiellement contrée vers 15h30. Le problème a surtout touché les internautes à l'Est du pays, comme le montrait à ce moment l'opérateur de transit Level3. Le reste des internautes, eux, dépendent d'autres serveurs placés ailleurs.

Une seconde vague a touché le service vers 17 h. Cette fois, elle « n'était pas limitée aux points de présence sur la côte Est » des États-Unis, note la société. Conséquence : bien plus d'internautes touchés, dans un plus grand nombre de régions du monde, dont une partie des Français. L'entreprise dit avoir mis un peu plus d'une heure pour y faire face. Une troisième attaque a ensuite été tentée, mais aurait été contrée sans conséquence sur l'accès au service, donc aux sites qui en dépendent.

« Notons que Dyn n'a pas subi de panne de l'ensemble de son système » tient à rappeler l'entreprise, qui a surtout été saturé un temps. En attendant, de nombreux services importants ont été affectés. C'est notamment le cas d'acteurs hébergés par Amazon Web Services, le premier fournisseur de cloud public mondial, dont la zone DNS est en partie gérée par Dyn.

La redondance du DNS, point faible de certains services

Le 21 octobre, une part importante des services en ligne populaires a donc montré qu'elle disposait d'un point faible, Dyn. Ils se reposaient entièrement sur l'entreprise, qui devenait donc un point à attaquer pour faire tomber de nombreux acteurs d'un seul coup. Dyn est ainsi un point de défaillance unique, ou single point of failure (SPOF) dans la langue de Taylor Swift.

L'incident pose donc la question de la centralisation des serveurs de nom. « Cette panne généralisée, provoquée par l'attaque, est aussi la conséquence d'une concentration excessive et dangereuse des services DNS, souvent pour des raisons économiques » juge par exemple Stéphane Bortzmeyer, interrogé par L'Expansion.

Comme nous l'explique Éric Freyssinet, secrétaire général du CECyF et grand spécialiste des réseaux zombies (botnets), les bonnes pratiques recommandent pourtant de ne pas s'appuyer sur un seul serveur de nom. « Passer par un acteur professionnel tel que celui qui semblait être ciblé ici n'est pas le problème (tout le monde n'a pas la compétence pour gérer des serveurs DNS de façon stable et en gérant la répartition de charge dans la durée), mais le fait de mettre tous ses œufs dans le même panier peut l'être » affirme-t-il.

Il note tout de même que l'événement n'est pas commun : Dyn affirme avoir été attaqué sur différents points dans le monde. « Il est fort possible que des infrastructures DNS en fait bien réparties géographiquement aient été attaquées en même temps, donc c'est un nouveau scénario d'attaque (attaque massive contre plusieurs points) qu'il faut apparemment prendre en compte ici » poursuit Freyssinet.

L'Internet des objets est-il le futur des botnets ?

L'une des particularités de l'attaque est l'attaquant : un botnet composé d'objets connectés, infectés par le malware Mirai. Dyn affirme que « des dizaines de millions d'adresses IP étaient impliquées », avec Mirai aux manettes, pour une bonne part de l'attaque. Face aux ordinateurs, l'intérêt de ces objets est le nombre. Souvent mal sécurisés, ces appareils ont un accès direct au réseau et sont peu surveillés, donc ils peuvent être facilement coordonnés dans des masses inégalées.

Pour mémoire, un botnet est un réseau de terminaux « zombies », qui sont infectés par un logiciel malveillant et souvent utilisés dans le cadre d'attaques coordonnées. Si la pratique se veut aussi vieille qu'Internet, elle a évolué pour passer massivement d'ordinateurs (par exemple sous Windows) à d'autres catégories, dont les routeurs personnels et les objets connectés, infiniment plus nombreux.

Mirai semble marquer un pas dans cette évolution. Début octobre, son code source a été publié en ligne et, il y a quelques jours, une alerte officielle a été donnée au sujet du logiciel. Il aurait notamment infecté les passerelles cellulaires de Sierra Wireless, après avoir été à l'origine de plusieurs attaques DDoS.

Pour Éric Freyssinet, « Mirai est un des premiers botnets utilisant de façon documentée et massive ce qu'on peut appeler des objets connectés (même si on peut noter plusieurs botnets similaires exploitant par exemple des routeurs Wi-Fi ou ADSL résidentiels) ». Il rappelle tout de même que « Mirai n'est pas un botnet d'IoT tel qu'on peut l'entendre couramment (balances, réfrigérateurs ou montres connectées). On est face à des objets plus classiquement concernés par ce type de menaces (routeurs, caméras IP, enregistreurs vidéo), tournant sous des implémentations de Linux adaptées, déjà régulièrement ciblées ».

L'une de ses victimes récentes a été OVH. Contacté, l'hébergeur nous confirme que l'attaque massive dont il a fait l'objet comprenait des terminaux infectés par Mirai et Bashlite. L'entreprise a compté 145 000 objets connectés, pour des pics de trafic à 1 Tb/s ; un chiffre record. Depuis, « nous n’observons plus forcément Mirai ou Bashlite, mais des variantes du code source original [qui a fuité pour les deux]. Elles se sont multipliées ces derniers temps » nous affirme l'entreprise.

Les objets connectés sont-ils assez sécurisés ?

Mirai ne réinvente donc pas les botnets, mais se distingue par une approche multiplateforme, pour lesquelles le logiciel malveillant est adapté. Sur le fond, pourtant, Mirai exploite les mêmes travers que ses prédécesseurs. Il s'agit de la négligence des utilisateurs. Dans le cas des produits Sierra Wireless contrôlés par Mirai, c'est un mot de passe par défaut laissé tel quel qui facilite l'infection.

Comme nous l'expliquait Éric Freyssinet l'an dernier, à l'occasion de la Botconf 2015, la sécurité est très rarement la priorité des concepteurs d'objets connectés... Elle est même parfois oubliée. « Oui les objets autres que l'ordinateur personnel, les serveurs ou les téléphones mobiles seront utilisés pour supporter des botnets et des attaques, notamment parce que moins bien sécurisés » confirme-t-il aujourd'hui.

Il faudra encore sûrement du temps pour une prise de conscience complète du problème. Il en a fallu pour les fournisseurs d'accès, qui ont placé des identifiants identiques sur leurs boxes, pendant des années. « Les boxes ADSL des opérateurs français ont depuis longtemps pris le pli avec des mots de passe différents pour chaque client et complexes, et ils recommandent tous de changer ce mot de passe » rassure le spécialiste. Orange, par exemple, utilise un extrait du mot de passe du réseau Wi-Fi sur son dernier modèle.

Pour sécuriser les nouveaux terminaux dès la conception, les conseils sont les mêmes que pour un ordinateur ou un routeur. Il s'agit de « tenir à jour son système et changer le mot de passe par défaut. Maintenant encore faut-il que les fabricants documentent correctement cela et rendent effectivement accessibles ces options aux utilisateurs finaux. Il y a apparemment encore du chemin à faire » conclut Freyssinet.

Commentaires (102)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

pas pour rien que mes ampoules xiaomi et cie sont sur un vlan dédié ^^

votre avatar







al_bebert a écrit :



pas pour rien que mes ampoules xiaomi et cie sont sur un vlan dédié ^^





Bien sûr, dans peu de temps, chacun devra avoir un DEA d’expertise en réseaux et sécurité pour changer une ampoule, installer un thermostat et un sèche-linge <img data-src=" />



Edit : vas-y, tu peux tirer la chasse, y’a un pare-feu <img data-src=" />


votre avatar

Y-a pas quelqu’un qui veut s’amuser à trasformer quelques millions d’objets en briques en modifiant les mots de passe par défaut ?

votre avatar

ouai ba quand tu voie comment elles causent sur le net je préfère filtrer au max ! surtout qu’elle&nbsp; sont en mode dev

votre avatar







al_bebert a écrit :



ouai ba quand tu voie comment elles causent sur le net je préfère filtrer au max ! surtout qu’elle  sont en mode dev





J’étais en mode semi-humour.

Ma vieille TV Samsung réveille les HDD et… le réseau très souvent. La flemme de tracer.

C’est sûr que tous ces nouveaux objets trucs connectés, c’est assez effrayant. De mon côté, je n’y trouve pas grand intérêt.



C’est quoi le “mode dev” de tes ampoules ?


votre avatar

Et que dire des caméras IP.

J’en ai un paquet (des nonames chinoises) qui bavent vers des ip externes alors qu’elles sont configurées en local seulement. Et c’est pas pour du NTP…<img data-src=" />

votre avatar







Aloyse57 a écrit :



Et que dire des caméras IP.

J’en ai un paquet (des nonames chinoises) qui bavent vers des ip externes alors qu’elles sont configurées en local seulement. Et c’est pas pour du NTP…<img data-src=" />





J’en reviens à mon comm’ de base : qui peut se permettre de configurer des routeurs, des firewalls, des analyseurs de trames IP, etc. ?

Pour les caméras, j’ai arrêté, depuis que j’étais devenu voyeur au temps des failles (il y a 4 ans je crois). Que de belles familles à observer, des nanas qui dorment en mode I.R.

Bref.

Personne n’a de contrôle sur tout ça, et “on” va vers la cata.


votre avatar

«&nbsp;Passer par un acteur professionnel tel que celui qui semblait être ciblé ici n’est pas le problème (tout le monde n’a pas la compétence pour gérer des serveurs DNS de façon stable et en gérant la répartition de charge dans la durée), mais le fait de mettre tous ses œufs dans le même panier peut l’être&nbsp;»



&nbsp;Ben oui, si tout le monde avait un serveur DNS perso, l’attaque aurait fait plouf.



&nbsp;Pour ce qui est des objets connecté, tant qu’il n’y aura pas de norme de sécurité obligatoire…

votre avatar







kade a écrit :



J’étais en mode semi-humour.

Ma vieille TV Samsung réveille les HDD et… le réseau très souvent. La flemme de tracer.

C’est sûr que tous ces nouveaux objets trucs connectés, c’est assez effrayant. De mon côté, je n’y trouve pas grand intérêt.



C’est quoi le “mode dev” de tes ampoules ?





attaquable par autre chose que l’appli xioami. dans le but de les attaquer en ssh. mais je n’ai pas eu le temps de m’y pencher pour le moment.&nbsp;



maintenant heureusement que j’ai un procurve et un sophos UTM à la maison pour filtrer tout ça&nbsp;


votre avatar







al_bebert a écrit :



attaquable par autre chose que l’appli xioami. dans le but de les attaquer en ssh. mais je n’ai pas eu le temps de m’y pencher pour le moment. 



maintenant heureusement que j’ai un procurve et un sophos UTM à la maison pour filtrer tout ça





Pinaise, t’es un survivaliste !

Tu peux tenir combien de temps en eau et en bouffe déshydratée ?


votre avatar







ignace72 a écrit :



&nbsp;Ben oui, si tout le monde avait un serveur DNS perso, l’attaque aurait fait plouf. &nbsp;





Non. &nbsp;Un DNS perso ne protège en aucun cas d’une telle attaque. &nbsp;Que ce soit pour celui qui est référent sur la zone, ou pour celui qui tente d’accéder au site. Avoir plusieurs DNS serait la seule parade côté fournisseur, côté client, tu es tributaire de l’infra fournisseur choisie…

Augmenter les TTL peut-être ?


votre avatar

Y’a un truc que je ne comprend pas dans tout ça. Les DNS sont répliqués sur différents serveurs (ceux des FAI, les DNS Google, ceux qui hébergent leur propre serveur DNS, …) et tout ça est en cache chez tout le monde. Alors pourquoi faire tomber quelques serveurs DNS fait tomber les DNS de tout le monde (ou presque) ?&nbsp;



Typiquement j’héberge mon propre serveur DNS sur mon dédié, est-ce que j’aurais été touché ? (oui je dormais quand c’est arrivé&nbsp;<img data-src=" />)

votre avatar

Ces objets connectés, ça craint, perso j’ai trois caméras IP D-Link, chacune a un mot de passe et mon routeur aussi, de plus mon routeur n’est pas ouvert, genre j’ai rien mis dans les Settings pour autoriser une requête qui vient de l’extérieur.



Donc dans cette configuration, y-a t’il un risque que les caméras puissent être infectées ? &nbsp;&nbsp;<img data-src=" />



Ou ce problème ne concerne t’il que les boulets qui ne mettent aucun password nulle part sur leur réseau ?

votre avatar

Des TTL super longs empêchent aussi de mettre à jour des noms/ip de manière vraiment dynamique.



Toujours une question de balance…

votre avatar

Je blâme les développeurs pour cet incident si on fait une RCA. C’est parce que la plupart sont des feignasses et ne savent pas coder que l’on a autant d’applis bugguées, voire pire avec des failles de sécurité aussi béante. Pathétique d’autant plus qu’ils passent leur temps à faire des copier/coller et aucuns d’eux n’est capable de créer du code from scratch de nos jours.



Par contre ils sont toujours les premiers à pleurer ou à reporter leurs fautes sur le méchant commercial qui ne sait pas recueillir un besoin ou qui comprend rien à ce qu’il doit vendre. Ou sinon c’est la faute du marketing.



Bref tout est lié et un examen de conscience est nécessaire dans le monde des dévs.

votre avatar







Cedrix a écrit :



Et tu maintiens la liste des ip de tous les serveurs du monde ? Sacré fichier de conf…



Le monsieur te dit que si tu joues le role de resolveur pour un domaine, si le domaine est down assez longtemps, ton resolveur ne résoudra rien du tout.





Ben j’ai le racine et le serveur DNS de FDN pour ceux qui ne sont pas dedans. Il y a peu de chance que FDN soit attaqué. Ils sont trop petit.



maintenant, il y a la durée de l’attaque. Elle ne dure que quelques heures donc le risque est minime.



Question : Avec les sites https, il y a un dialogue avec le registrar donc si le registrar tombe, l’accès aux site tombe aussi, non ?


votre avatar

Le serveur DNS de FDN à un cache. Une fois le cache expiré, il va mettre à jour en contactant Dyn (pour la zone github.com) si Dyn n’est pas accessible. Le DNS de FDN ne résoudra rien : tu auras perdu l’accès a github.com



Le seul truc qui pourrait marcher c’est que ton serveur DNS modifie le TTL pour garder en cache plus longtemps

votre avatar

Si avec plusieurs prestataires pour le service DNS ça marcherait nickel.

Je crois que c’est pour cette raison que PornHub n’a pas été impacté par exemple

votre avatar

RCA?



Et je ne partage pas ton analyse. Les devs font ce qu’on leur demande. Les produits passes des tests de validation. Si la sécurité dmnest pas dans le cahier des charges, le produit ne sera pas secure. C’est tout..

votre avatar

RCA = Root Cause Analysis



“les devs font ce qu’on leur demande”. Ce sont des humains qui ont la faculté de parler, même si beaucoup sont asociaux, faut le reconnaitre. Et puis un CDC sans partie Sécurité / compliance, j’en ai jamais vu perso.

votre avatar

Les fabricants qui ne sécurisent pas leurs objets connectés peuvent ils être condamnés ?

Si ce n’est pas le cas,&nbsp; peut être qu’un projet de loi est en cours ?&nbsp; Ca peut paraître stupide mais vu que ces périphériques ont un impact sur les services mondiaux et qu’ils font de plus en plus parler d’eux,&nbsp; le sujet devra être envisagé à un moment donné.&nbsp;





Merci pour l’article, je suis surpris de voir que certaines grosses sociétés n’avaient qu’un fournisseur DNS, ca leur apprendra….

&nbsp;

votre avatar







PtiDidi a écrit :



Le serveur DNS de FDN à un cache. Une fois le cache expiré, il va mettre à jour en contactant Dyn (pour la zone github.com) si Dyn n’est pas accessible. Le DNS de FDN ne résoudra rien : tu auras perdu l’accès a github.com



Le seul truc qui pourrait marcher c’est que ton serveur DNS modifie le TTL pour garder en cache plus longtemps





Mon serveur DNS a un cache TTL maximum de 48 heures. C’est bon ou pas ?


votre avatar







PtiDidi a écrit :



RCA?



Et je ne partage pas ton analyse. Les devs font ce qu’on leur demande. Les produits passes des tests de validation. Si la sécurité dmnest pas dans le cahier des charges, le produit ne sera pas secure. C’est tout..





Euh la sécurité dans beaucoup de CDC n’est jamais mentionnée… car elle fait partie intégrante du fameux “dans les règles de l’art”.

Ne pas sécuriser un développement, c’est mettre sa responsabilité en cause vis-à-vis du client.



Des développeurs salariés, qui n’ont pas le temps, bah oui, ils vont bâcler, la faute ne leur retombera jamais dessus… j’en connais qui développent des API pour app mobile, ils tapent en dur sur le serveur et la BDD sans aucune vérification utilisateur… ça marche, ça suffit… le client n’a pas les compétences pour vérifier la sécurité (ni même les chefs de projets…).


votre avatar

J’ai fouillé un peu et effectivement visiblement c’est tout à fait faisable à conditions de maintenir des tant que les enregistrements DNS sont bien synchro.



Surprenant du coup que des sites de la taille de Twitter ne prennent même pas la peine de faire ça! C’est pas comme si c’était compliqué ou coûteux.

votre avatar







manu0086 a écrit :



Euh la sécurité dans beaucoup de CDC n’est jamais mentionnée… car elle fait partie intégrante du fameux “dans les règles de l’art”.

Ne pas sécuriser un développement, c’est mettre sa responsabilité en cause vis-à-vis du client.



Des développeurs salariés, qui n’ont pas le temps, bah oui, ils vont bâcler, la faute ne leur retombera jamais dessus… j’en connais qui développent des API pour app mobile, ils tapent en dur sur le serveur et la BDD sans aucune vérification utilisateur… ça marche, ça suffit… le client n’a pas les compétences pour vérifier la sécurité (ni même les chefs de projets…).







Justement un dev avec un peu de jugeote proposerait de traiter le sujet de la sécurité, c’est le BABA de leur job. Je n’aime pas l’allégorie de la voiture mais c’est comme si le constructeur ne proposait pas de verroux aux portes.&nbsp;



Voilà le problème : “le client n’a pas les compétences pour vérifier la sécurité”. On touche au problème d’asociabilité du dev traduit par un simple manque de communication : on vit dans un monde où la simple erreur est vilipendé, c’est très souvent le cas ici aussi, d’ailleurs. Nombre de commentaires sont en mode “haha gros FAIL” ou “haha les boulets, c’est pourtant simple” ou “haha je comprends pas pourquoi les boîtes n’utilisent pas 2 DNS providers, ils sont vraiment stupide” ou “moi je ne ferai jamais ce genre d’erreur” et au final cela se ressent dans cette pseudo-mentalité des dévs lorsqu’on tente d’établir une communication avec eux sur un projet…et sa sécurité inhérente.&nbsp;


votre avatar







Gigatoaster a écrit :



Justement un dev avec un peu de jugeote proposerait de traiter le sujet de la sécurité, c’est le BABA de leur job. Je n’aime pas l’allégorie de la voiture mais c’est comme si le constructeur ne proposait pas de verroux aux portes.&nbsp;





Si la proposition réduit la marge du commercial (tant qu’à être dans les clichés…), tout dev ayant un peu de jugeote se verra répondre une fin de non recevoir.


votre avatar







ignace72 a écrit :



Mon serveur DNS a un cache TTL maximum de 48 heures. C’est bon ou pas ?





Très très peu d’enregistrements auront un TTL aussi grand, donc oui c’est “bon”.



Cependant, si &nbsp;un TTL (time to live, et ça porte bien son nom) en question est paramétré sur 30min ou 1h, ce qui est très souvent le cas, il disparaîtra au bout de ce temps de ton serveur, peu importe que ton serveur ait la capacité de les garder 48h ou 3 ans.

Une fois expiré au bout des 30 min, ton serveur renverra une nouvelle requête dns pour obtenir un nouvel enregistrement qui expirera au bout du TTL indiqué et ainsi de suite… Si tu n’as pas de réponse à ta requête dns, tu n’as pas accès au site par son nom.


votre avatar

Pas besoin de doubler le prix pour assurer un minimum de sécurité. Aux dévs de s’assurer ce qu’ils font soit correct niveau standard.



Ce devrait être interdit de livrer une appli avec des bugs! Mais le pire c’est le jemenfoutisme des dévs, aucune conscience professionnelle.

votre avatar

Je suis pas sûr mais je crois que la vidéo existe en Français :youtube.com YouTubeOK l’anglais c’est une obligation en informatique, mais bon, c’est quand même plus sympa pour la comprenette je trouve.

votre avatar

Cet article est exceptionnellement en accès libre pour 24 heures, il sera ensuite réservé à nos abonnés Premium pendant 1 mois.&nbsp;

<img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

Le cache n’est pas infini, donc si le serveur DNS est inaccessible quand il expire, c’est toute la zone qui tombe.



Pour la deuxième partie de la question, ça dépend de ce que tu entend par « j’héberge mon propre serveur DNS sur mon dédié ». Si tu héberge le serveur DNS qui fait autorité pour ton domaine, non tu n’aurais pas été concerné, ton domaine restait accessible. Si tu héberge un résolveur, oui, tu aurais perdu l’accès aux clients de Dyn.

votre avatar







kade a écrit :



Pinaise, t’es un survivaliste !

Tu peux tenir combien de temps en eau et en bouffe déshydratée ?







L’avantage d’avoir le bureau à la maison… je suis aussi en switch managé plus firewall dédié entreprise <img data-src=" />



Et pour le coté survival j’ai un contrat avec une société de flotte qui me livre plusieurs cartons de bouteilles d’eau minérales tous les mois <img data-src=" />


votre avatar

En général, ce genre de service fixe des temsp de refresh / ttl assez court pour faire du load balancing… donc effectivement le cache ne sert pas à grand chose.

votre avatar

Bordel j’avais pas vu cette mention en gras.

&nbsp;:eek:

Moi je m’abonnerais bien mais trop cher, ce serait pas mal de payer pour un certain nombre d’articles réservés aux abonnés, genre 10$ (bien oui suis pas en France et l’Euro ça me pénalise) pour 10 articles et pas 48 euros par an pour du contenu payant et gratuit&nbsp;<img data-src=" />



Je rêve ou est-ce une formule&nbsp;d’abonnement&nbsp;envisageable ? &nbsp;<img data-src=" />

votre avatar







CryoGen a écrit :



L’avantage d’avoir le bureau à la maison… je suis aussi en switch managé plus firewall dédié entreprise <img data-src=" />







Je bosse de chez moi en VPN depuis 7 ans (dév., SGBD, etc.)

Si tu as des conseils, je suis preneur (sérieux).


votre avatar

Hum je vois, même si ça me parait bien court comme cache (moins de 3 ou 4h ?). Les IPs pointées changent rarement, si la Zone n’est pas dispo au moment de la regen du cache, le serveur devrait garder la vieille IP en cache. Enfin il doit y avoir une raison c’est fait comme ça, les DNS c’est pas trop mon domaine.&nbsp;



Pour mon dédié, c’est un peu des deux, ça dépend du domaine concerné. Mais je vois l’idée !

Merci pour les infos !

votre avatar







UpsiloNIX a écrit :



ça me parait bien court comme cache (moins de 3 ou 4h ?).







TTL pour github : 5 minutes, pour reddit : 30 secondes, pour twitter : 30 minutes.



votre avatar







ignace72 a écrit :



«&nbsp;Passer par un acteur professionnel tel que celui qui semblait être ciblé ici n’est pas le problème (tout le monde n’a pas la compétence pour gérer des serveurs DNS de façon stable et en gérant la répartition de charge dans la durée), mais le fait de mettre tous ses œufs dans le même panier peut l’être&nbsp;»



&nbsp;Ben oui, si tout le monde avait un serveur DNS perso, l’attaque aurait fait plouf.



&nbsp;Pour ce qui est des objets connecté, tant qu’il n’y aura pas de norme de sécurité obligatoire…





Le temps que la norme soit publiée elle aura déjà été attaquée et sera obsolète. Ce n’est pas une norme qu’il faut, c’est de l’éducation (si personne n’achetait des objets non sécurisés il ne s’en vendrait pas…). Le problème, c’est que ça prend du temps, et les acheteurs sont loin d’être conscients des enjeux…


votre avatar



Les objets connectés sont-ils assez sécurisés ?





Faire des objets connectés, c’est visiblement devenu la grande mode du moment chez ceux qui sortent d’une école commerciale.



Le jeu c’est de mettre sur le marché le plus vite possible des produits. Les techniciens qui répondent à leurs appels d’offre pour concevoir les objets sont payés au lance pierre. Tout est pensé à court terme, les objectifs ne vont pas plus loin que de mettre des produits dans les rayon.



Des appareils qui contiennent du logiciel qui ne sera jamais mis à jour, c’est devenu presque la norme.



Pour ma part, cela fait des années que je tire la sonnette d’alarme en voyant cette bombe à retardement grossir sous nos yeux et dans l’indifférence générale.



Il était évident qu’un beau matin le monde de l’internet se réveillerait avec des sueurs froides.





Cet article est exceptionnellement en accès libre pour 24 heures, il sera ensuite réservé à nos abonnés Premium pendant 1 mois.





C’est vraiment une très mauvaise idée.



Mais ça serait une perte de temps de vous l’expliquer. Vous comprendrez avec le temps…

votre avatar







UndeadCrow a écrit :



Non. &nbsp;Un DNS perso ne protège en aucun cas d’une telle attaque. &nbsp;Que ce soit pour celui qui est référent sur la zone, ou pour celui qui tente d’accéder au site. Avoir plusieurs DNS serait la seule parade côté fournisseur, côté client, tu es tributaire de l’infra fournisseur choisie…

Augmenter les TTL peut-être ?





Qu’appels-tu &nbsp;être tributaire de l’infra &nbsp;fournisseur.

Je ne dépend pas des DNS de mon FAI grace à mon serveur DNS.


votre avatar

Juste un équipement de niveau 3+ comme un routeur Mikrotik (j’ai pas d’actions, c’est juste pas trop cher et plein de fonctionnalités, j’ai un RB2011), ça suffit pour faire du VPN et surtout bien maitriser ce qui rentre et ce qui sort de chez toi.



C’est en général le problème des routeurs grand publics, c’est pas super transparent sur ce qui est ouvert sur le port public et sur ce qu’il laisse sortir.

votre avatar

J’avais jamais réfléchi à ça, mais si on associe des serveurs de noms de différents fournisseurs sur un domaine ça règle pas le problème?



Bon ça veut dire maintenir les configurations DNS à plusieurs endroits, mais du coup si un fournisseur n’est plus accessible ça devrait demander au fournisseur suivant de résoudre le nom. Du coup genre si tu passes par deux trois boîtes différentes il y a quand même beaucoup moins de chances que tout tombe en même temps.

votre avatar

Et tu maintiens la liste des ip de tous les serveurs du monde ? Sacré fichier de conf…



Le monsieur te dit que si tu joues le role de resolveur pour un domaine, si le domaine est down assez longtemps, ton resolveur ne résoudra rien du tout.

votre avatar

Le problème majeur a été cité plus haut, des TTL super court pour raison économiques avec des fenêtres de maintenance réduites et de l’utilisation intensive des infrastructures tel qu’amazon où on ne sait plus où ces serveurs/services sont hébergés. Bienvenue dans le monde moderne où tout n’est qu’optimisation fiscale et réduction budgétaire! Désolé pour le coup de gueule du matin mais moi je trouve ça bien fait!

votre avatar

J’y avait pensé aussi …un expert dans le coin pour répondre?

votre avatar

une VM ou un ptit pc qui traine :)



bon par contre quand tu commence à faire du vpn + du filtrage ssl il faut un peu de ressources



mais ça marche bien et c’est plutôt simple à prendre en main

votre avatar

Je l’ai mis dans un autre commentaire, mais les serveurs DNS ne servent pas forcement des IP depuis des fichiers plats statiques, il peut y avoir du service genre load balancing, géoloc, gestion de droits, … ou autre basés sur un algo et tu ne peux pas avoir de garantie de cohérence&nbsp; sur les réponses si tu as des DNS chez plusieurs fouisseurs.



Pour pornhub, cela ne pose visiblement pas de problème, mais twitter, c’est peut être plus compliqué (ou pas et ce sont des burnes <img data-src=" />.

votre avatar







t0FF a écrit :



&nbsp;

&nbsp; <img data-src=" />&nbsp;Non,&nbsp;la sécurité&nbsp;c’est le B-A-BA du chef de projet, voir du MOA (a lui de se faire aider dans cette tâche si ils n’ont pas les compétences). Le dev est responsable de la qualité du code qu’il fournit (qui n’est qu’une partie infime de la sécurité). Il n’est absolument pas responsable de l’ensemble de la sécurité du projet.





Je dirais même que la sécurité, c’est l’affaire de tous les participants à un projet, sous l’encadrement d’un responsable dédié.

Et c’est particulièrement difficile pour le dev quand tu dois laisser la main à l’extérieur sur une partie des tâches.

“au fait, on a importé la base client de l’ancienne appli, mais on ne veut pas que les clients aient besoin de nouveaux mots de passe” “mais vous les avez importés comment ?” “ben on a exporté ça dans un fichier, qui est passé par le mail de machin, qui l’a mis sur le partage truc, et.” “ok, donc vous avez laissé les hashs transiter par des canaux non secure, on reset tout” =&gt; et là ça rage.

Pareil quand t’as une portion CMS qui permet à des entreprises tierces de déverser des contenus, ou des intégrations avec des prestas, ou des boîtes en charge de la gestion de scripts tiers pour les “analytics”…

Le vecteur numéro 1 c’est très rarement le code en lui-même. Perso si me prenais l’envie de monter une intrusion, avec tout le respect dû aux génies de la sécu qui passent leur temps à attaquer le code des applis pour le trouer, je passerais absolument pas par là, trop fastidieux quand tu peux arriver au même résultat avec un peu de social engineering et un seul maillon faible parmi les humains qui gèrent ta cible.

&nbsp;


votre avatar

Franchement , vous ne voyez pas que ce ne sont que des coups d’essai et que ce qui va arriver va être d’une ampleur qui va dépasser votre imagination ?



La nasse Cloud est ouverte en grand … et les dociles ne comprennent toujours pas !!!!



Sérieux … ou sont les urbanistes et architectes système sur NExInpact ???



“ Derrière l’attaque se cache Mirai, un réseau d’objets connectés « zombies » qui marque un pas dans l’évolution des botnets”



… c’est pour cela qu’on (pas moi bien sure, je suis pas sadomaso!) va tous passer à IPv6 ou chaque objet du monde du casque bluetooth aux robots de maison auront leurs adresses en v6 … vous ne voyez pas encore ????

… ou je dois être plus démonstratif ?

votre avatar

IP est décentralisé , c’est un maillage donc … robuste … DNS un système pyramidale … cherchez l’erreur … des systèmes pyramidales !

votre avatar

“L’entreprise dit avoir mis un peu plus d’une heure pour y faire face. Une troisième attaque a ensuite été tentée, mais aurait été contrée sans conséquence sur l’accès au service, donc aux sites qui en dépendent.”





LOL , effectivement faudrait être ULTRA con pour ne pas se rendre compte des IP (bots) ayant lancé la surcharge … IDS etc sont fait pour analyser dans la globalité une attaque décentralisés … ce qu’est un botnet !



Franchement se prendre 2 claques pour comprendre d’où elle vient et la bloquer … quelle prouesse !

A la première il aura du déjà banir les IP ….



Ce qu’ils n’ont pas compris : ce que potentiellement chaque IP EST zombifiée … donc rien ne résiste à cela.

La sécurité se considère surtout de l’intérieur (par expérience) … l’intérieur c’est la terre pour certains ….



GOOD LUCK !



On se planque comme on veut sur le WEB … il faut juste se fondre dans la masse ….

votre avatar

“le site associé n’est plus accessible. Même si le site en lui-même fonctionne bien techniquement, et que ses serveurs tournent sans problème, la route qui mène du nom de domaine au contenu est coupée.”



… faux , il est accessible par IP et plus cool via la cache des autres DNS (mon DNS interne n’a pas eu de soucis … ). Quand à la route on parle d’IP donc rien à voir avec le DNS ….

votre avatar

“Une approche « cloud » qui a séduit de nombreux acteurs du Net, dont certains se reposaient uniquement sur lui pour maintenir cet élément essentiel de leur infrastructure.”



NIANNNNN …. <img data-src=" />



et … <img data-src=" /> , bien fait pour leurs gueules : vive le Cloud ! (et ce n’est qu’un début)

votre avatar

… le pire c’est qu’ensuite y’en a qui (les experts hein , bien sure … en sécu ……… en gros votre assureur , le vendeur de peur !!!) vont venir accuser la Corée du nord , la chine , les russes , les israéliens ou je ne sais qui !



Sérieux ; allez vous rhabiller !

votre avatar

C’est un article bien sympa en tout cas, avec quelques imprécisions , mais agréable à lire.

votre avatar

“c’est un nouveau scénario d’attaque (attaque massive contre plusieurs points) ”



… et il y en a des multitudes … désolé.

Quand ensuite on va commencer à maîtriser IA et le qBit : cela va devenir encore plus … comme dire , croustillant !

votre avatar

Alors je corrige ton texte :



“Pour mémoire, un botnet est un réseau de terminaux « zombies », qui sont infectés par un logiciel malveillant et souvent utilisés dans le cadre d’attaques coordonnées. Si la pratique se veut aussi vieille qu’Internet, elle a évolué pour passer massivement d’ordinateurs (par exemple sous Windows) à d’autres catégories, dont les routeurs personnels et les objets connectés, infiniment plus nombreux.”





…. tu peux tranquillement inclure les BOX des FAI … et là good luck !

je ne le répéterai JAMAIS assez : la box de votre FAI est un corps étranger à votre installation PRIVEE !



(si privée a encore un sens pour vous)

votre avatar

Ca a swordé, ou dufak est plusieurs dans sa tête ? <img data-src=" />

votre avatar

github.com GitHubPassionnant, mais prévisible … les CnC … via IP : normal, on est sur internet donc IP est LE language.



Les états font pire ! … car avec plus de moyens et de vices : le hacker joue, les mafieux (dont états il va de soit) non.

votre avatar

programmation parallèle … mon cher <img data-src=" />

votre avatar







kade a écrit :



[…] C’est sûr que tous ces nouveaux objets trucs connectés, c’est assez effrayant. De mon côté, je n’y trouve pas grand intérêt. […]



C’est quoi le “mode dev” de tes ampoules ?





Les objects connectés sont tout à fait pertinents, y compris les ampoules. Pouvoir piloter son ampoule depuis un téléphone a un côté pratique : allumer ou éteindre la lumière depuis son lit, programmer un réveil lumineux, simuler une présence…



En revanche, tout ceci ne réclame pas une connexion directe à Internet. Les standards BT et BLE, notamment, répondent de manière satisfaisante à ces besoins.



Ou alors la connexion à Internet permet la vente d’abonnements, ou bien encore de faciliter le développement et la maintenance. Toutefois, comme le suggère l’article, les constructeurs ne semblent pas se préoccuper de la sécurité de leurs objets… pas plus que de la vie privée de leurs clients.


votre avatar

En fait dyn.com est :

dyn.com. &nbsp; &nbsp; &nbsp;3338 &nbsp; &nbsp;IN &nbsp; A &nbsp; &nbsp; 134.0.76.51

votre avatar

Les logs de mon pare-feu se sont affolés avec un peu plus de 200 caméras IP Hikvision et Samsung… <img data-src=" />

Même pour du NTP c’est honteux d’aller interroger un serveur en Asie alors qu’il y a (au pire) au moins un NVR sur le réseau local qui est capable de fournir les informations de temps.

votre avatar
votre avatar

le procurve en Giga c’est de la récup, et sophos UTM est gratuit en home use.





&nbsp;

votre avatar

Oui c’est possible, c’est le cas de pornhub qui a deux “hébergeurs” avec dyn et ultradns. Avec un peu de chance ces “hébergeurs” sont aussi dans des AS différents.

votre avatar

En fait, il te faut 2 ns chaqu’un sur des hébergeurs différent, puis faire concorder la config (A, cnames, nx…) c’est ça?

votre avatar

Il faut 2 NS minimum pour ton domaine, donc soit tu fais 1 - 1 soit tu fais 2 -1 / 2-2 comme tu le veux. Dans le cas pornhub ils ont 4 NS&nbsp; chez Dyn et 4 chez Ultra.

votre avatar







al_bebert a écrit :



le procurve en Giga c’est de la récup, et sophos UTM est gratuit en home use.







Je croyais que tu parlais d’un truc comme ça.


votre avatar







kade a écrit :



Je croyais que tu parlais d’un truc comme ça.





Tu peux aussi parler de Procurve plus <img data-src=" />


votre avatar







psn00ps a écrit :



Tu peux aussi parler de Procurve plus <img data-src=" />





Un Procurve en Giga, ça doit bien envoyer <img data-src=" />


votre avatar







Gigatoaster a écrit :



Justement un dev avec un peu de jugeote proposerait de traiter le sujet de la sécurité, c’est le BABA de leur job. Je n’aime pas l’allégorie de la voiture mais c’est comme si le constructeur ne proposait pas de verroux aux portes.&nbsp;&nbsp;



&nbsp;

&nbsp; <img data-src=" />&nbsp;Non,&nbsp;la sécurité&nbsp;c’est le B-A-BA du chef de projet, voir du MOA (a lui de se faire aider dans cette tâche si ils n’ont pas les compétences). Le dev est responsable de la qualité du code qu’il fournit (qui n’est qu’une partie infime de la sécurité). Il n’est absolument pas responsable de l’ensemble de la sécurité du projet.



La&nbsp;grande majorité&nbsp;des projets, le dev n’est pas l’exploitant, il n’a pas la main sur les serveurs de prod, ni sur les contrats liés au projet, par exemple les versions de bases de données ou les DNS.



Tu as beau avoir du code bien segmenté, avec toutes les protections sur les données en entrée, avoir une gestion des droits bien travaillée, un hash des mots de passe irréprochable… si ensuite&nbsp;ce code se&nbsp;retrouve sur un serveur obsolète non-patché, n’importe qui pourra utiliser une faille en quelques minutes, &nbsp;et le dev n’y peut rien…

&nbsp;Sauf que le MOA il a la vision sur le budget, et d’un coup les contraintes de sécurités ont disparu. <img data-src=" />&nbsp;Regarde bien les attaques informatiques, tu verras que très peu sont liés à la qualité du code.


votre avatar

Wordpress Ping back. <img data-src=" />



Et openssl, c’est du code. Et les web server aussi. Et les os aussi. À la fin, y a toujours un dev. <img data-src=" />

votre avatar

&nbsp;Je ne suis pas d’accord&nbsp;! Oui il y a toujours du code, mais derrière ce code il y a TOUJOURS des microcontrôleurs, qui relèvent donc&nbsp;de l’électronique. Chaque bug est donc de la responsabilité d’un électricien avant tout !



<img data-src=" />

votre avatar

ça c’est la verstion appliance physique de l’UTM ils ont une appliance virtuelle, c’est ce que j’ai moi.



tu as toutes les fonctions dans la version home SAUF la personnalisation (en gros tu peux pas viré le logo sophos quand le proxy te renvoie chier) et c’est tout :p



&nbsp;

votre avatar







al_bebert a écrit :



ça c’est la verstion appliance physique de l’UTM ils ont une appliance virtuelle, c’est ce que j’ai moi.



tu as toutes les fonctions dans la version home SAUF la personnalisation (en gros tu peux pas viré le logo sophos quand le proxy te renvoie chier) et c’est tout :p





Oui mais de ce que j’ai vu, Sophos demande au moins une VM dédiée…


votre avatar

C’est vrai que si on retire l’électronique, tout tombe !



Youpee ! <img data-src=" />

votre avatar

Ben des projets (en prod depuis plusieurs années) sans réels CDC, j’en ai vu des paquets… alors d’ici qu’il y ai des closes de sécurité <img data-src=" /> <img data-src=" />



Pour la com’, elle est aussi bi-directionnelle (c’est mieux ;)), du genre : le commercial demanderai (domaine de l’hypothétique) si c’est du domaine du faisable avant que le projet soit analysé/vendu/signé/payé par le(s) client(s)…



Bon après, heureusement, c’est loin d’être partout la même chose.

votre avatar



n peu dans le même genre, on peut se plaindre des conneries qui passe à la télé, mais Hanouna&co produisent ce que les téléspectateurs regarderont (veulent voir?)..

On peut dire que Mikael Young, Nabilla sont cons.. mais la vérité c’est quils ont tout compris



Si on se focalise sur (exemple parmis tant d’autres) les taux d’audience de Hanouna, il est question de 1.7 millions de téléspectateurs et une perte de 400000 personnes.

Ce qui reste une goûte d’eau parmis les plus de 60 millions de Français…



Perso, je n’ai pas de TV (et ne la regarde plus depuis longtemps) <img data-src=" />

votre avatar

1.7M de personnes, ca fait 3% de part d’audience, tu trouves que c’est une goutte d’eau, je trouve que cest déjà trop :)

(Attention, l’article date d’avant l’été, moment où les gens quittent leur canapé pour des bières en terrasse, normal que l’audience baisse)



Ensuite, je ne pense pas que les retraités regardent Hanouna (cest sur

la 8, ils ont pas l’habitude d’avoir autant de chaines) -&gt; on retire

14M de Francais de la stat -&gt; ca fait monter à 4% de la population française. Et la je parle de la population qui votera/fera avancer le pays demain.



Enfin, et la je m’appuie sur un article au hasard, il faut comparer par rapport au nombre de personne devant la télé à ce moment la; perso je suis dans les transports quand ca passe (c’est entre 19 et 20h?) et si je prend cet article :

http://www.melty.fr/touche-pas-a-mon-poste-vs-quotidien-les-audiences-baissent-a…

=&gt; 1.23M de téléspectateurs = 5.4% de pda=&gt; il y aurait 22.7M de téléspectateurs

Avec 1.7M, Hanouna fait presque 7.5% de pda..

Et enfin, question: si les 60M de francais étaient devant la télé à ce

moment là, Hanouna ferait-il plus de 20% de part d’audience?

votre avatar

Réponse en #96

votre avatar

En fait on est d’accord sans l’être tout à fait <img data-src=" />



Effectivement que c’est de toute façon “beaucoup trop”, mais les autres des 60M ne sont pas devant, c’est qu’ils jugent que justement ça n’en vaut pas la peine (enfin si on excepte les enfants en bas âge et les parents qui s’en occupent <img data-src=" />) et qu’ils ont sans doute plus intéressant/utile/mieux à faire <img data-src=" />

La part de marché du PAF, ça ne représente pas à mes yeux les mentalités des Français.



Mais je suis peut-être (sans doute) bercé de “belles illusions”.

Pour le 19-20h, vous oubliez les replays je pense, même si ce n’est peut-être pas encore rentré dans tous les habitudes/moeurs, les jeunes générations l’utilise massivement. Hors ce genre d’émission, je doute que beaucoup soit interessés pour le voir hors “case horaire” (et vous, une fois rentré chez vous, ça vous intéresserait en “replay” ?).



De toute façon les mesures d’audience, ça reste une belle fumisterie, surtout que le panel d’étude “représentatif” est uniquement constitué de bénévoles : 3700 foyers représentant les 60M de Français… mais bien sûr. On parle aussi de 5000 foyers pour 50 millions de téléspectateurs quotidiens.



M’enfin comme dit avant, perso je dois faire parti des 10 millions restant ne regardant pas la TV :p

Bizarre, au boulot on doit être “hors norme” car les chiffres ne correspondent pas du tout à “notre” réalité.

votre avatar







Bobmoutarde a écrit :



Il faut 2 NS minimum pour ton domaine, donc soit tu fais 1 - 1 soit tu fais 2 -1 / 2-2 comme tu le veux. Dans le cas pornhub ils ont 4 NS&nbsp; chez Dyn et 4 chez Ultra.









Thanks


votre avatar

<img data-src=" />



Ouais… un peu comme les balances connectées qui ont permis de faire des stats sur le poids des américains.



Puis sur le pilotage des objets via téléphone : je n’ai qu’un vieux S4. Alors si je comprends bien, pour allumer une lampe il me faudrait allumer le tél, composer le code de sécurité, sélectionner l’application, cliquer sur la bonne option…

100x plus lourdingue qu’une radiocommande (sauf pour le pilotage via internet bien sûr).

votre avatar

Il est clair que les mesures d’audience ne sont pas précises, mais

si les émissions continuent, cest que quelqu’un les regardent. C’est

comme les magazines people, personne n’en lit et pourtant il s’en vend

encore donc ya bien quelqu’un qui les achete :)



Mon caractère de vieux con aigri et péssimiste me pousse à penser que certains regardent les replay malheuresement (et aussi peut être parce que mon frère regarde en replay).

Et quand c’est pas Hanouna, c’est les Marseillais ou les Ch’tis, ou les Ch’tis VS les Marseillais etc..



Monde de merde <img data-src=" />

votre avatar







kade a écrit :



Puis sur le pilotage des objets via téléphone […] Alors si je comprends bien, pour allumer une lampe il me faudrait allumer le tél, composer le code de sécurité, sélectionner l’application, cliquer sur la bonne option…

100x plus lourdingue qu’une radiocommande (sauf pour le pilotage via internet bien sûr).





Le Père Noël a offert une ampoule connectée RGB à un proche. Usage vite adopté pour éteindre la lumière sans se lever du lit.



En fait, tu m’apprends qu’il existe des personnes qui éteignent leur téléphone. Et s’ils utilisent une application aussi basique qu’allumer ou éteindre la lumière, elle est a priori dans la liste des dernières applications lancées, ou du moins aisément accessible via un raccourci, voire un widget.



La plupart des ampoules connectées semblent fonctionner en BT/BLE ou Wi-Fi et pilotables depuis un téléphone ou une tablette. En revanche, en option, la plupart fournissent aussi une base ou des télécommandes dédiées. Le souci est que tu te retrouves vite avec plein de bases ou télécommandes, si tu prends des objets connectés de fabricants différents. En effet, rien n’est interopérable. Du coup, tu te retrouves vite “coincé” avec les jouets d’un fabricant en particulier…



Vraiment, l’app mobile pour piloter une ampoule connectée est l’une des meilleures solutions, en termes d’ergonomie, compte tenu des autres solutions proposées actuellement sur le marché.


votre avatar







Gigatoaster a écrit :



Je n’aime pas l’allégorie de la voiture mais c’est comme si le constructeur ne proposait pas de verroux aux portes.





Et qu’est ce qui fait que la voiture sans verrou ne se vendrait pas?.. Le consommateur qui ne l’achèterait pas.

Pour le moment les gens achètent des objets non-secure. Est ce de la faute de l’entreprise?..



Et la comparaison est biaisée, la voiture sans verrou serait volée. Un objet connecté sans securité ne prive pas l’utilisateur d’utiliser son objet.


votre avatar

Mais c’est même pas une histoire de doubler les prix. Quand tu estimes à 1h de boulot seulement pour sécuriser un peu plus, et qu’on te répond que “Pas le temps”; Je fais quoi moi, je désobéis. Si je fais ça 2-3 fois, certains auront surement une bonne excuse pour m’éjecter.

Tu es bien gentil, mais souvent les devs ne sont que les salariés, et malheureusement oui “Ils ne font que ce qu’on leur demande”. On parle, hein, on n’est pas tous des asociaux comme tu as l’air de le croire.

Peut-être que le vrai pb ce n’est pas les devs, mais les décideurs (Commerciaux, chef de projet…) qui ne tiennent jamais compte de l’avis des devs car seuls le pognon compte non?



Franchement tu trolles non? Tu sais comment ça marche dans une entreprise?

votre avatar







Gigatoaster a écrit :



Ce devrait être interdit de livrer une appli avec des bugs! Mais le pire c’est le jemenfoutisme des dévs, aucune conscience professionnelle.





Haha, tu as déjà fait du devs? Une appli sans bugs ca n’existe pas..


votre avatar

Le problème c’est que les devs n’ont pas souvent la parole quand il s’agit de rédiger un CDC et les clients n’ont certainement pas envie de payer pour allouer du temps à la mise en place d’une sécurité robuste parce que ils partent du principe que “c’est inclus”. Le CDC, les devs le voient juste arriver au bureau et tout ce qu’on leur demande c’est de faire. Et pour demander des changements qui vont coûter de l’argent “sans en rapporter” bah c’est pas simple.



Travailler en agile améliore les choses de ce côté là avec une meilleure communication et un “droit” de parole plus équilibré.



Sinon je ne sais pas où t’as vu que la sécurité c’était le BABA du job de dev. Le dev il est là pour rédiger un programme qui répond à un problème/besoin, point. La sécurité n’est en aucun cas une nécessité dans tous les cas de figure. Comme pour ta comparaison à deux balles avec les voitures, en aucun cas ta voiture n’a besoin de verrous pour rouler et si ton client compte s’en servir au milieu du désert ça ne semble pas forcément absolument nécessaire de lui en proposer, par contre il sera peut être content si tu lui propose du matos super fiable qui va pas tomber en rade toutes les deux secondes.



M’enfin… je ne sais pas d’où te vient ta condescendance envers les développeurs, et sans vouloir dire que les feignasses incompétentes n’existent pas, ça serait sympas de pas mettre tout le monde dans le même panier parce que ce n’est pas plus le cas chez les devs que dans n’importe quel autre métier. Tout le monde a son lot de boulets mais ça n’en fait pas une règle.

votre avatar







UndeadCrow a écrit :



Très très peu d’enregistrements auront un TTL aussi grand, donc oui c’est “bon”.



Cependant, si &nbsp;un TTL (time to live, et ça porte bien son nom) en question est paramétré sur 30min ou 1h, ce qui est très souvent le cas, il disparaîtra au bout de ce temps de ton serveur, peu importe que ton serveur ait la capacité de les garder 48h ou 3 ans.

Une fois expiré au bout des 30 min, ton serveur renverra une nouvelle requête dns pour obtenir un nouvel enregistrement qui expirera au bout du TTL indiqué et ainsi de suite… Si tu n’as pas de réponse à ta requête dns, tu n’as pas accès au site par son nom.





Désolé si je pose beaucoup de question.

Heu, n’y a t-il pas un moyen pour dire à mon serveur que si il n’y a pas de réponse il doit réutiliser celle en cache ?

Je dis ça pour au moins garder les les sites déjà visité en cache.


votre avatar

Finalement, le plus simple ne serait-il pas de faire une norme internationale de sécurité pour les objets connectés? Tout objet de ce type voulant être vendu passerait par un bureau de vérification. Ca existe peut-être déjà?&nbsp; Ca serait le moyen le plus simple de vendre ce type d’objets mais avec une vrai sécurité.

votre avatar







Gigatoaster a écrit :



Ce devrait être interdit de livrer une appli avec des bugs! Mais le pire c’est le jemenfoutisme des dévs, aucune conscience professionnelle.







Non c’est trop gros là t’abuses ^^ Bon tu m’auras eu, je me serai fait chi à prendre du temps à répondre.


votre avatar

Et les tests de validation? Ils servent à quoi s’ils ne valide pas la fonctionnalité et la sécurité?



Coder dans les règles de l’art, cest ne pas stocker les mots de passe en clair. En quoi “avoir un mot de passe différent par objet” ou “forcer le reset du mot de passe” fait partie des règles de lart?

Faut pas se le cacher, les markeuts veulent des trucs simples d’utilisation, pas des trucs ou l’utilisateur doit lire un manuel avant.

votre avatar

Hum.. pas à ma connaissance..



Avec Unbound, il y a moyen d’utiliser cache-min-ttl qui aura pour effet d’ignorer le TTL du serveur faisant authorité.

Mais il attendra la fin de son cache pour se mettre à jour normalement.



J’ai pas regardé si c’était faisable de forcer la mise à jour en gardant l’ancienne valeur..

votre avatar

D’accord avec toi à la nuance suivante :









gogo77 a écrit :



les clients n’ont certainement pas envie de payer pour allouer du temps à la mise en place d’une sécurité robuste parce que ils partent du principe que “c’est inclus”



&nbsp;

Il ne partent pas du principe que c’est inclus, ils s’en foutent


votre avatar

Les utilisateurs aussi. Plus personne ne sait lire plus de 3 lignes d’un manuel.

votre avatar

Merci !

votre avatar







Gigatoaster a écrit :



Pas besoin de doubler le prix pour assurer un minimum de sécurité. Aux dévs de s’assurer ce qu’ils font soit correct niveau standard.

[…]&nbsp;



C’est justement avec ce type d’affirmation en l’air qu’on en arrive à une situation où personne ne veut entendre parler de sureté de fonctionnement.



&nbsp;Pour vérifier que le code est développé dans les règles de l’art, il y a un surcroit de travail des développeurs qui ne doit pas effectivement être énorme (sinon, la personne doit se demander si elle a choisi le bon métier). Mais il y a aussi un surcroit de travail de l’encadrement.

&nbsp;

Seulement, une fois qu’on a fait ça, on n’a pas répondu à la question de la sûreté de fonctionnement et de la sécurité. Parce que là, il faut que des gens qui ont une connaissance précise du domaine visé passe du temps à analyser les exigences. Puis que ces dernières soient exprimées en termes compréhensibles par tous, ce qui permettra enfin de les ajouter aux fonctionnalités du logiciel.

Pour s’apercevoir éventuellement que c’est là que se trouve la plus grosse partie du travail de développement logiciel.



Alors avancer que le prix de développement du produit n’a pas été doublé. Illusoire.


votre avatar

Ha oui bien sûr!

Les marketeux vendent ce qui va s’acheter.



Un peu dans le même genre, on peut se plaindre des conneries qui passe à la télé, mais Hanouna&co produisent ce que les téléspectateurs regarderont (veulent voir?)..

On peut dire que Mikael Young, Nabilla sont cons.. mais la vérité c’est quils ont tout compris :(

votre avatar

Est ce que la Hadopi peut être saisie contre les propriétaires d’objets connectés zombifiés pour faire valoir le “défaut de sécurisation de la connexion” ?

votre avatar







PtiDidi a écrit :



Hum.. pas à ma connaissance..



Avec Unbound, il y a moyen d’utiliser cache-min-ttl qui aura pour effet d’ignorer le TTL du serveur faisant authorité.

Mais il attendra la fin de son cache pour se mettre à jour normalement.



J’ai pas regardé si c’était faisable de forcer la mise à jour en gardant l’ancienne valeur..





Là dessus, on voie que dyn.com a fumé la moquette :

;; ANSWER SECTION:dyn.com.300 &nbsp; &nbsp;IN A134.0.76.51



Je viens de lire «&nbsp;le TTL est fixé par le serveur faisant autorité, le résolveur n’a normalement pas le droit de le prolonger.&nbsp;» mais unbound a cette option comme tu l’as signalé.



Mon serveur a :

cache-min-ttl: 3600



Si le résolveur n’a pas le droit de prolonger le TTL, on est donc dépendant du bon vouloir de dyn.com et donc on est pénalisé à chaque attaque puisqu’elle dure plus de 300 secondes.


Dyn : on fait le point sur l’attaque DDoS qui a touché de nombreux sites

  • Où se situe concrètement le problème ?

  • Quelle différence avec le blocage de Google.fr par Orange ?

  • Que s'est-il passé avec Dyn ?

  • La redondance du DNS, point faible de certains services

  • L'Internet des objets est-il le futur des botnets ?

  • Les objets connectés sont-ils assez sécurisés ?

Fermer