SPF + DMARC reject ca fait le job, mais c’est clair que DKIM reste la rolls…
Et malheureusement, meme si DMARC est un bon “protocole”, il n’est pas parfait, si SPF ou DKIM est valide, c’est ok pour DMARC (c’est un OU logique).
Autant, les serveurs sortants avec DKIM ce n’est pas encore dispo partout, mais lister ses entrées dans le SPF, ça devrait être le cas de tout le monde… On est loin d’être au chômage là dedans…
Le
22/08/2022 à
14h
32
(quote:2089609:alex.d.) Ouh là, prends un Valium et relis la news. Là il s’agissait d’un exercice, donc l’expéditeur était réellement du CERN. C’est NXI qui a ajouté qu’on pouvait facilement l’usurper.
Dans le cas ou tu as un comptes compromis en interne, tu ne peux “que” sensibliser, et mettre des process, etc. Mais le soucis, cest que le CERN fait parti des derniers % d’organisation avec un niveau en cyber très bas sur ces parties là, cas ils n’appliquent pas les normes/standards en place pour commencer. C’est evidemment toujours mieux si l’utilisateur arrive à se rendre compte de la tromperie. Mais sans même s’appliquer les bases à eux même, le cern met tout le monde à risque. Et ils se passent d’un moyen eprouvé et fiable pour bloquer le spam tel qu’il est présenté. Pour la compromission de compte, là, la seule bonne solution c’est la mfa.
Le
22/08/2022 à
14h
28
micktrs a dit:
Tu peux mettre toutes les sécurités en place que tu veux, mais si les utilisateurs ne sont pas sensibilisés, il y aura toujours un moment donné une personne pour ouvrir une pièce jointe qui ne devrait pas être ouverte (ou lien pourri, au choix). Cette campagne montre tout de même le manque de formation face à ce danger. Des entreprises (mais pas que) sensibilisent les gens avec des campagnes de faux/vrai mails de pishing. Si la personne ouvre la PJ ou le lien, on lui explique le pourquoi il ne faut pas et comment la personne aurait pu détecter le pishing.
Evidemment, il faut aussi sensibliser et faire du training, mais dans ce cas précis, tu ne peux “pas” sensibiliser efficacement un utilisateur, si l’expediteur de sa propre entité est justement parfaitement usurpé (ca affichera reelement l’email de leur collegue/superieur/etc. dans le champ expediteur). Il faut avancer sur les deux tableaux. Mais la ca leur prend 10mn à corriger quand même…
Le
22/08/2022 à
09h
25
C’est une catastrophe. Non pas que les gens aient cliqués/entrés des infos. C’est une catastrophe qu’une structure comme le CERN n’ai pas activé et n’applique pas les bases de la protection email/usurpation. Comme évoqué, les protocoles SPF, DKIM et DMARC en particulier permettent de lutter contre le “spoofing” ou usurpation de nom de domaine (voir ca comme l’adresse de l’expéditeur sur un courrier recommandé, c’est purement déclaratif et non vérifié).
Sauf que… sur internet, il est possible en tant qu’organisation “d’imposer” au destinataire (antispam, système de messagerie tel Microsoft, Google, etc.) de vérifier que l’expéditeur est bien qui il prétend être. C’est simple, c’est gratuit, ca exite depuis + de 10 ans. C’est dans tous les guides de secu/configs de la terre (guide de l’anssi paragraphe 5.4 même…). Bref. Avec l’analogie du courrier, c’est comme si le CERN pouvait indiquer dans l’annuaire des pages jaunes que tous ses emails/courriers légitimes ne partaient QUE depuis telle ou telle adresse postale d’origine (le fameux tampon de la poste source). Par exemple, ils disent “on enverra nos courriers légitimes QUE depuis le bureau de poste numéro 451 de Lausanne”. Donc si vous recevez une courrier qui prétend venir de nous, mais que le tampon n’est pas celui là, supprimez le courrier.
Idem avec SPF et DMARC, on indique les IP sourcent des serveurs “legitimes” qu’on utilisent, et on peut ainsi aider les destinataires à savoir si ca vient de chez nous ou pas. Or, la le CERN a explicitement désactivé ces protocoles ! C’est meme pas un oubli, cest une desactivation explicite. C’est comme mettre un douanier et qu’il porte une pancarte “tout le monde peut passer, je ferme les yeux” (la directive ?all dans l’entrée SPF ici).
Bref, ca me rend fou ce niveau d’incompétences. Y’a aucune excuse valable en 2022 pour cela. Ils mettent à risque tout l’écosysteme à ne pas monter d’un cran leurs configs. Car n’importe qui peut se faire passer pour le CERN facilement. Ca peut pieger leurs salariés, fournisseurs, partenaires, etc.
Si besoin, on a dév dans ma société un testeur gratuit (et francais) pour checker facilement vos domaines pour leurs configurations SPF, DKIM, DMARC etc.
Cool, ce sont les mineurs qui vont être contents de pouvoir aller picoler tranquille sans qu’on vérifie leur identité !
Ah mais dans ce cas ce serait obligatoire ? Mmmm comprend pas…
Exactement mon raisonnement aussi… N’est-ce pas pour protéger ces dits mineurs et rassurer leurs parents ? [Ou meme, mettons les pieds dans le plat, les autres clients majeurs de la boite de nuit, qui sont “rassurés” d’être entourés que de majeur(e)s…]
Et je ne parle pas des contrôles dans les aéroports : les aéroports ne vérifient pas ou peu votre identité aux portiques, seule la compagnie aérienne le fait au moment d’embarquer, principalement pour éviter la revente de billets ou la classe tarifaire… Et quand elle le fait, c’est un agent d’escale, bien loin d’un policier ou d’un douanier.
Et les loueurs de voitures, qui valident 15x votre permis, pour faire suive les amendes… Mais aussi à la demande des autorités pour savoir qui conduisait quoi / quand…
Pas même besoin de se compliquer la vie… Vu que 93% des boites n’ont pas de DMARC en place, tu “spoof” (usurpe) simplement leur adresse email (from/mailfrom, alignement spf, toussa toussa). Ca se fait en 30 secondes. Le destinataire ne peut légitimement pas se douter que l’email est un faux, vu que l’email affiché sera vraiment le bon… Seules parades : soit l’expéditeur légitime mets en place du DMARC strict (reject), y compris sur ses sous domaines, soit le destinataire “revérifie” manuellement toutes les modifications d’iban (et pour les nouvelles factures… ben faut avoir confiance).
Ici l’attaque se situe entre ton résolveur DNS (ta box ou un vrai serveur selon ton FAI) et le serveur DNS auquel la requête est transférée (mode récursif)
L’attaque sur un résolveur en mode itératif (racine puis tld etc…) ne fera pas grand chose.
La seule sécurité est d’utiliser DNSSEC sur toute la chaîne, ce qui loin d’être suffisamment déployé, d’où l’échec de certains protocoles comme le chiffrement des mails où DANE qui nécessite DNSSEC s’est gentiment fait dépassé par MTA-STS qui repose sur un certificat TLS posé sur un serveur HTTPS.
Qu’est ce qui pourrait inciter les gens à mettre en œuvre DNSSEC ? -une déduction fiscale -Que Google abaisse le score SEO quand DNSSEC n’est pas là -Que les navigateurs affichent une barre verte quand le certificat est valide et que DNSSEC est présent (la barre verte en plus du cadenas pour les certificats avec preuve d’identité a disparu récemment des navigateurs)
J’adore ton commentaire ! Mais tu rigoles en parlant de déduction fiscale, dans une moindre mesure, tu pourrais dire qu’en cas de piratage d’un de tes clients/usagés, si tu n’as mis en place tel ou tel protocole, alors tu n’es pas “à l’état de l’art de la technologie”, et donc tu t’exposerais à une responsabilité partielle. Il y a eu le cas Lazio/Rotterdma et les 2M€ payés au hackeur/usurpateur, la justice (meme si cas plus complexe) à dit tort partagé. https://www.sofoot.com/un-hacker-a-pirate-la-lazio-lors-du-transfert-de-de-vrij-467849.html
Pour le cas de Microsoft (Azure, Exchange, Sharepoint et maintenant Teams) il est possible de gérer ses propres clés avec son propre HSM (exemple : Thales Luna – ex Gemalto), qui sont validés au plus haut niveau par l’état français. Après oui, en soit, si Microsoft le voulait, il y aurait toujours des moyens d’intercepter/voir des données des clients. Mais dans ce cas, alors on arrête d’utiliser windows, macos, ios, android by google etc. Car en soit, qui dé-compile toutes les mises à jours de ses OS pour vérifier que les éditeurs US n’ont pas collé des backdoors ? qui désactive à 100% les stores grand publics (oui, y’a des programmes de transparency, avec audit de code, mais c’est pas pour chaque mise à jour qui est poussé en prod… et pour les devices mobiles, c’est bien pire, très peu d’orgas désactivent les syncro icloud/google).
Et dans le même compte alors, on arrête d’utiliser des équipements réseau/firewall de marques américaines car ils sont tous ou presque en mode maj auto pour les vuln crititiques, et tous les établissements de santé n’attendent pas le go de l’état francais pour chaque mise à jour… Donc en soit, des sociétés / agences US à 3 lettres pourraient (conditionnel) faire nous espionner par là. Car oui, si on n’accepte / n’accepte pas de leur confier nos données, c’est pour des raisons d’espionnage industriel/défense principalement…
Oui, après tu as aussi eu le patron du conglomérat chinois HNA (plusieurs milliards) qui a “glissé” d’un parapet en France… “ce grand patron chinois avait voulu voir le panorama”
Pour l’agrément HDS, c’est simplement que cest couillons ont mis le mauvais lien, avant on avait l’accrédidation, maintenant il y a la certification (Microsoft, Amazon, etc. sont certifiés). La liste des “certifiés” (nouveaux référentiel) est ici : République Française et on y trouve bien AWS. D’ailleurs, AWS est cerifié sur trois “régions” en Europe (Francfort, Irlande et Paris).
Après, tout comme pas mal de personnes ici visiblement, je trouve surtout l’approche marketing honteuse et incitant à “acheter” son arret.
A noter cependant, qu’il existe des méthodes pour s’en “protéger” (enfin, à minima être alerté).
Il suffit de faire du monitoring de ses NS et entrées DNS.
En gros : je regarde à l’instant T qu’elles sont mes entrées DNS et serveurs NS. Demain, si je vois que mes entrées ont été modifiées alors que ce n’est pas moi, je sais que mon compte (OVH, etc.) a été “piraté” ou à minima qu’une utilisation frauduleuse de mes identifiants a eu lieu (ou qu’un branleur de l’équipe à modifié des trucs -SPF, DKIM, DMARC, MX, A, CNAME…- sans le dire à ses collegues !)
Il existe des services (payants et gratuits avec limitation) pour monitorer ses entrées DNS. D’ailleurs, le risque majeur est surtout sur les entrées emails “MX” qui permettent même de rediriger tout les flux mails entrants vers un serveur illiégitimes (en mode temporaire ou de manière définitive), avec alors la possibilité de récupérer les emails de récupération de mot de passe etc. etc. Autre danger, l’ajout d’une entrée Google Verify ou équivalente avec vol pontiel de stats Google Analytics (plus complexe) etc.
Pour les (rares) zones où il y a des ascenseurs et aucune couverture mobile même basique (car il y a des cartes sim multi-opérateurs), on a la possibilité de mettre une batterie de secours, tout comme pour l’éclairage. Et il “suffit” d’onduler switch/modem aussi. A noter aussi qu’il n’est pas rare de mettre une antenne mobile externe (toiture, etc) pour augmenter le signal sur ce genre de bâtiments :)
Next INpact (et ses ancêtres)… c’est tout mon lycée, ma prépa, mes études d’informatique, la création d’une boite. On est 12 salariés maintenant, et c’est (un peu^^) grâce à vous !
Et puis, c’est des “concours” où on peut participer sans compte FB ou Twitter, et ça, ça n’a pas de prix !
Moi je préfère un vrai débat ou le poisson n’est pas noyé avec un exemple super borderline typiquement français… Tu aurais pu parler du passage à l’euro ou le taux était fixe ce qui à permet d’avoir tous le monde sur le même pied d’égalité. J’imagine pas le bordel si l’euro avait cohabité pendant quasiment 10 ans avec le francs en prenant 10.000% de valeurs, sans savoir si l’un ou l’autre allait véritablement s’imposer…
Ce qui est conseillé “partout” c’est que si l’ont veut investir de l’argent la dedans il faut être prêt à le perdre… Spéculation, investissement et perte c’est pas vraiment compatible avec le concept d’une monnaie.
Dans ce cas, $/€/£ etc ne sont pas des monnaies car elles sont justement utilisées pour de la spéculation … ?
Le FOREX en est l’exemple ultime http://www.strategie-bourse.com/trading-eur-usd.html – exemple pris sur le premier résultat de Google pour justement “trader”). Et je parle pas des plateformes type eToro et autres qui ne vivent que des commissions sur la spéculation…
En soit, une crypto-monnaie et une monnaie traditionnelle comme l’€ c’est très proche… certes l’€ a une BCE, mais les couts de transactions du BTC via le minage sont assimilables aux couts de fonctionnement des réseaux bancaires et inter-bancaires aujourd’hui. Ce n’est pas “gratuit” ni “zéro carbonne” de payer avec sa CB dans un magasin…
Parce qu’il y a un seuil minimal de chiffre d’affaire pour postuler? " /> Mais pourquoi?
C’est tout à fait courant dans les marchés publics (et d’ailleurs, je crois que c’est la première fois que je vois un montant minimal aussi faible…). C’est surtout pour éliminer les coquilles vides juridiques toutes justes créées, et les sociétés trop “à risque” en terme de stabilité qui pourrait faire faillite/défaut une fois le projet remporté.
Dans le marché IT, c’est extrêmement rare de voir un marché confié à une société de moins de 3 ans d’existence. Surtout que là on parle de CA, pas de résultat, donc pas de soucis que la boite soit en mode cash burn avec un équilibre négatif, mais par contre elle doit avoir prouvée sa capacité à délivrer/facturer.
Quel différence avec Intercom, ou Hotjar.js par exemple 🤔?
C’est exactement ce que je me suis dit… bon, Hotjar pour le coup, en tant que “client” (webmaster), tu n’as pas accès à certaines données des formulaires, notamment les input password ne sont pas enregistrés (justes des astérisques).
Orange me proposait du symétrique 100⁄100 chez moi quand j’ai ouvert ma ligne (vers 2012).
C’était l’abonnement + une option à 10€.
Aujourd’hui, j’ai un abonnement nommé 250⁄50 dans leurs références (parce que je regardais l’écran avec le conseiller et qu’on voyait bien ces choses là) qui permet environ 280⁄107.
Alors, non, je n’ai pas le service de rétablissement comme les entreprises et le débit garanti, tout ça…
Ça prouve juste qu’installer et maintenir une fibre simple, ça n’a rien de cher.
Ce qui me fait mal, c’est qu’on ne fait pas monter le débit des entreprises pour des raison fallacieuses.
Les opérateurs pourraient amener une fibre à une entreprise actuellement en sdsl. La fibre est fiable (pas moins que le cuivre, et moins sujette aux perturbations extérieures), donc ça n’est pas le problème.
Fournir du débit dans la fibre, ça n’est pas le problème, on file ça à tous les particuliers pour 30 euros.
Maintenant, on arrive aux vrais + du contrat pro :
Débit garanti
Pour cette partie là, l’opérateur pourrait fournir un débit garanti inférieur au plein débit de la fibre, et quand le réseau est libre, ça peut transmettre à fond.
rétablissement
La fibre n’y change un peu rien, si ça tombe en panne, on envoie un mec réparer si l’on a pas pu résoudre le problème à distance.
d’autres trucs que je ne connais pas
Il y a surement des services dont personne ne se sert qui sont inclus :P
Donc, pour un problème qui de mon point de vue relève du marketing et de la communication.
Ils ont peur d’avoir à expliquer aux entreprises que le débit n’est pas ce qui coûte cher. S’ils proposent tous un abonnement pro en fibre à 100 euros (genre 500⁄200 qui est le nouveau classique chez orange particuliers si je ne me trompe pas) et qu’ensuite, ils ont des options de débit garanti et de rétablissement super chères (par exemple, le rétablissement 8h pour 3x le prix du forfait et le débit garanti pour 50€/10Mb/s qu’on pourrait pousser jusqu’à la capacité max de la connexion), de nombreuses entreprises risquent de délaisser ces options et leurs revenus vont s’effondrer sur ce segment.
Au final, les gens verraient tous le débit dont le prix varie à peine et prendraient tous le débit maxi, parce que c’est pas cher, par contre, les options de débit garanti ou rétablissement, quand on n’héberge rien, c’est peu utile et on prend une connexion de secours.
Les seuls “vrais” services en offre entreprise qui ne peuvent pas être atteint en offres classiques mêmes agrégées/redondées, c’est d’avoir des plages d’IP fixes (même si tu a un reverse proxy ça ne fait pas tout…) et les possibilités en option d’avoir du routage spécifique, du pseudo lan/lan, etc.
Incroyable malgré tout qu’il n’y ait pas une redondance qui permette justement d’éviter ce genre de désagréments, ça fait peur quand même de la part d’un des leaders de services de cloud computing…
Ben ce qui est fou surtout, c’est de se dire que tant de clients d’AWS n’aient pas lu la doc (ou ont préféré jouer la carte de l’économie), car il n’est absolument pas recommandé de mettre tout ses oeufs sur la même “région” de datacenter.
Plus d’infos sur les infras recommandées par AWS ici (et c’est même en francais…) :
“Amazon gère des centres de données à la pointe de la technologie et hautement disponibles. Bien qu’elles soient rares, des pannes touchant la disponibilité des instances se trouvant au même emplacement peuvent se produire. Si vous hébergez toutes vos instances dans un seul emplacement touché par une panne de ce type, aucune de vos instances ne sera disponible.”
Enfin compatible RDMA et compagnie leur nouvelle carte réseau XXV710 ? Car bon, pour Storage Spaces avec Windows Server 2016 c’est quasi obligatoire… Et les cartes Mellanox/QLogic c’est pas la joie en doc et en simplicité de commandes chez les intégrateurs Dell et consorts…
Pour tester son débit “live” vers les serveurs de Netflix (service officiel)
Testé depuis mon ADSL Free entre 2 Mbps et 7 Mbps selon les heures, et depuis la ligne Free fibre du bureau entre 2Mbps et 50Mbps selon les heures également…
Sur Mac si je passe par le menu des 6 carrés en haut à droite, j’ai bien la tuile OneDrive qui m’ouvre un onglet Sharepoint (le contenu du OneDrive en ligne quoi), et en bas j’ai un lien pour DL le client… qui redirige vers le site Microsoft (mais sur Live.com…) avec un lien vers… le Mac App Store d’Apple.
Et tu es bien sur que ton admin n’a pas désactivé ce DL ?
Il est important de noter qu’à chaque fois que l’on dit “Crypter”, un expert en cryptologie fait un arrêt cardiaque (s’il ne vous a pas dézinguer avant).
Un petit mot sur l’offre “entreprise” de LastPass, qui permet également, sans connaitre les mots de passe maître des collaborateurs, de partager des groupes de mots de passe selon pas mal de crtières, et de mettre en place de nombreuses autres fonctionnalités super sympas pour des déploiements et usages pros.
PS : Le Larousse possède bien les deux définitions (crypter et cryptage) : Larousse
PPS : Et pour info, en anglais on retrouve la même racine grecque pour “decrypt/encrypt” et là aussi cela signifie le fait de rendre lisible un message crypté… par soi-même (c.f. les exemples donnés par le Oxford Dictionary : The public key encrypts the information as it’s sent from a person’s computer to the merchant, and a private key decrypts the information.). On a beau ne pas vouloir d’anglicisme, pour le coup chez eux qui disposent pourtant du terme équivalent “to cypher”, les experts utilisent bien “decrypt/encrypt”…
Etant déjà client Red de SFR depuis plus d’un an (forfait pris en promo à l’époque également), j’ai eu la bonne surprise de recevoir un SMS de l’opérateur avant-hier me proposant 10€ de réduction par mois sur mon forfait pour les 12 prochaines mois. Certes, ce n’est pas aussi intéressant que l’offre à 3,99€ proposée aux nouveaux abonnés, mais j’apprécie la démarche.
[Je n’ais pas lu les 7 pages de commentaires en détail, donc peut être redondant]
J’aime ma montre Pebble et sa portée en Bluetooth de 15 mètres…
De quoi laisser le téléphone dans le sac au fond de la classe, et d’avoir la montre au poignet. Elle vibre à chaque nouveau message qui arrive et je peux le lire direct sur l’écran de manière quasi invisible (en faisant mine de regarder l’heure).
Sur une épreuve de 4h, les sujets sont corrigés en draft généralement au bout de 2h/2h30. Largement de quoi laisser le temps à mon frère de m’envoyer toutes les infos par message depuis un Bic Phone anonyme avant la fin…
Et si le détecteur détecte bien les signaux mobiles, je doute qu’il marche avec du Bluetooth ! Au pire, je dis que je connais pas la personne qui a fait sonné mon téléphone dans mon sac…
Autre point si le mobile passe pas ou est brouillé, vu la portée du wifi aujourd’hui, je demande à mes collègues déjà sortis dans le couloir de m’envoyer le tout en message via wifi-ad’hoc…
Avez-vous des problèmes de sensibilité micro du N5 lors des appels ?
Mes interlocuteurs ne m’entendent que faiblement lorsque je suis en communication.
La même, mais c’est pas systématique. A noter, je suis chez Free Mobile (3g+4g).
Au passage, j’espère que le soucis de perte de réseau dont il parle est bien celui qui m’affecte parfois (perte de réseau aléatoire, surtout après une mise en veille avec wifi actif).
qui se sont connectés au marché d’applications de Google au cours des sept derniers jours
Donc les smartphones sous Android 4.0 et - de ma mère, ma belle mère, mon père et mon oncle (pour ne citer qu’eux) ne sont pas pris en compte… La majorité des utilisateurs “ultra lambda” sous Android qui ne savent même pas ce qu’est un compte Google ou le Play Store ne sont pas dans les stats.
On a pas d’autres sources plus génériques (par les opérateurs peut-être ?)
Alors sinon, pour pas vous embêter à faire du colage de trop petits morceaux : F12 (developper tools) on change la taille de la map à un truc d’énorme (conteneur et map of course), puis on fait une full capture d’écran de la page (y compris hors champs).
Ca fait seulement 13.25 USD par mois par employé. C’est donné !
Par exemple pour une flotte de 5 commerciaux, c’est quasi gratuit si on compare aux frais de voiture, essence, etc.
Je suis d’accord sur le coût comparé à tes frais annexes, mais ca fait toujours du 12€/mois/pers. et mis à coté de certaines offres style Office 365 (ou pour le meme prix on a un peu de stockage skydrive pro, une boite mail exchange, des boites alias illimités, un sharepoint online et l’acces à toute la suite office sur 5 postes par utilisateur…) ca fait cher.
Je verrais plus le juste prix à 8€/mois/pers. (pour toi c’est pas une différence notable sur la compta, mais sur le principe c’est 50% plus cher quand meme).
Je sais c’est mon “premier” commentaire, sauf que je suis inscrit depuis plus de 4 ans mais je n’ai pas posté depuis. Donc…compte fermé ou un truc comme ça j’en sais rien.
Par contre ce que je sais, et c’est le but de mon intervention, c’est que des “Récaps” des “bons plans” il y en a maintenant au moins 4 par semaine…
Je me permet juste de m’interroger quant à la légitimité de ces “Recap des tests” qui ne sont que des hyperliens vers d’autres sites qui souvent plébiscitent curieusement le produit en question.
Donc pour nous résumer :
souscription demandée en permanence sur le site
“add blockers” clairement dénigrés
au moins 4 publi-info (je ne sais plus comment on dit) enfin de la pub 100% enrobée dans un ersatz d’article.
C’est poussif votre stratégie PCI…
Ben pour moi c’est tout l’inverse. J’ai pas le temps de suivre toute l’actu de PC INpact, et j’apprécie ce genre d’articles/récaps où l’on retrouve en un clin d’œil tous les tests d’un coup.
Je peux comprendre que certains membres ultras-assidus trouvent çà “too much”, mais en tant que simple lecteur régulier çà me plait.
Il y a mes parcours pour ça. On est une bande de 10 amis au 6 coins de la France a utiliser latitude très souvent et ça va vraiment nous manquer (pour tracer les parcours en voiture, estimer heure d’arriver sans avoir à appeler…)
Une petite note pour les derniers qui, comme moi, ne liront sans doute pas les 20 pages de com (pas tapper " /> ) mais je viens de le commander (en 3 clics maxi depuis mon interface Free Adsl).
C’est bien 10€ de frais d’envoie, déduis sur la prochaine facture.
La livraison est indiquée pour moi comme ceci : “par Chronopost et déposé en relais si vous êtes absent”.
67 commentaires
Cybersécurité au CERN : plus de 1 800 personnes sont tombées dans le piège d’un faux email
22/08/2022
Le 22/08/2022 à 14h 38
SPF + DMARC reject ca fait le job, mais c’est clair que DKIM reste la rolls…
Et malheureusement, meme si DMARC est un bon “protocole”, il n’est pas parfait, si SPF ou DKIM est valide, c’est ok pour DMARC (c’est un OU logique).
Autant, les serveurs sortants avec DKIM ce n’est pas encore dispo partout, mais lister ses entrées dans le SPF, ça devrait être le cas de tout le monde… On est loin d’être au chômage là dedans…
Le 22/08/2022 à 14h 32
Dans le cas ou tu as un comptes compromis en interne, tu ne peux “que” sensibliser, et mettre des process, etc. Mais le soucis, cest que le CERN fait parti des derniers % d’organisation avec un niveau en cyber très bas sur ces parties là, cas ils n’appliquent pas les normes/standards en place pour commencer. C’est evidemment toujours mieux si l’utilisateur arrive à se rendre compte de la tromperie. Mais sans même s’appliquer les bases à eux même, le cern met tout le monde à risque. Et ils se passent d’un moyen eprouvé et fiable pour bloquer le spam tel qu’il est présenté. Pour la compromission de compte, là, la seule bonne solution c’est la mfa.
Le 22/08/2022 à 14h 28
Evidemment, il faut aussi sensibliser et faire du training, mais dans ce cas précis, tu ne peux “pas” sensibiliser efficacement un utilisateur, si l’expediteur de sa propre entité est justement parfaitement usurpé (ca affichera reelement l’email de leur collegue/superieur/etc. dans le champ expediteur). Il faut avancer sur les deux tableaux. Mais la ca leur prend 10mn à corriger quand même…
Le 22/08/2022 à 09h 25
C’est une catastrophe. Non pas que les gens aient cliqués/entrés des infos.
C’est une catastrophe qu’une structure comme le CERN n’ai pas activé et n’applique pas les bases de la protection email/usurpation. Comme évoqué, les protocoles SPF, DKIM et DMARC en particulier permettent de lutter contre le “spoofing” ou usurpation de nom de domaine (voir ca comme l’adresse de l’expéditeur sur un courrier recommandé, c’est purement déclaratif et non vérifié).
Sauf que… sur internet, il est possible en tant qu’organisation “d’imposer” au destinataire (antispam, système de messagerie tel Microsoft, Google, etc.) de vérifier que l’expéditeur est bien qui il prétend être. C’est simple, c’est gratuit, ca exite depuis + de 10 ans. C’est dans tous les guides de secu/configs de la terre (guide de l’anssi paragraphe 5.4 même…). Bref. Avec l’analogie du courrier, c’est comme si le CERN pouvait indiquer dans l’annuaire des pages jaunes que tous ses emails/courriers légitimes ne partaient QUE depuis telle ou telle adresse postale d’origine (le fameux tampon de la poste source). Par exemple, ils disent “on enverra nos courriers légitimes QUE depuis le bureau de poste numéro 451 de Lausanne”. Donc si vous recevez une courrier qui prétend venir de nous, mais que le tampon n’est pas celui là, supprimez le courrier.
Idem avec SPF et DMARC, on indique les IP sourcent des serveurs “legitimes” qu’on utilisent, et on peut ainsi aider les destinataires à savoir si ca vient de chez nous ou pas. Or, la le CERN a explicitement désactivé ces protocoles ! C’est meme pas un oubli, cest une desactivation explicite. C’est comme mettre un douanier et qu’il porte une pancarte “tout le monde peut passer, je ferme les yeux” (la directive ?all dans l’entrée SPF ici).
Bref, ca me rend fou ce niveau d’incompétences. Y’a aucune excuse valable en 2022 pour cela. Ils mettent à risque tout l’écosysteme à ne pas monter d’un cran leurs configs. Car n’importe qui peut se faire passer pour le CERN facilement. Ca peut pieger leurs salariés, fournisseurs, partenaires, etc.
Si besoin, on a dév dans ma société un testeur gratuit (et francais) pour checker facilement vos domaines pour leurs configurations SPF, DKIM, DMARC etc.
Ici avec le cern : https://check.merox.io/?domain=cern.ch
Passe vaccinal : le Sénat supprime la vérification d’identité
12/01/2022
Le 12/01/2022 à 13h 47
Exactement mon raisonnement aussi… N’est-ce pas pour protéger ces dits mineurs et rassurer leurs parents ? [Ou meme, mettons les pieds dans le plat, les autres clients majeurs de la boite de nuit, qui sont “rassurés” d’être entourés que de majeur(e)s…]
Et je ne parle pas des contrôles dans les aéroports : les aéroports ne vérifient pas ou peu votre identité aux portiques, seule la compagnie aérienne le fait au moment d’embarquer, principalement pour éviter la revente de billets ou la classe tarifaire… Et quand elle le fait, c’est un agent d’escale, bien loin d’un policier ou d’un douanier.
Et les loueurs de voitures, qui valident 15x votre permis, pour faire suive les amendes… Mais aussi à la demande des autorités pour savoir qui conduisait quoi / quand…
Bref… C’est quand ça arrange.
Gare à l’arnaque aux faux RIB
23/09/2021
Le 23/09/2021 à 14h 24
Pas même besoin de se compliquer la vie…
Vu que 93% des boites n’ont pas de DMARC en place, tu “spoof” (usurpe) simplement leur adresse email (from/mailfrom, alignement spf, toussa toussa). Ca se fait en 30 secondes.
Le destinataire ne peut légitimement pas se douter que l’email est un faux, vu que l’email affiché sera vraiment le bon…
Seules parades : soit l’expéditeur légitime mets en place du DMARC strict (reject), y compris sur ses sous domaines, soit le destinataire “revérifie” manuellement toutes les modifications d’iban (et pour les nouvelles factures… ben faut avoir confiance).
BINGO, le nouveau pôle d’innovation dédié au numérique militaire
08/02/2021
Le 08/02/2021 à 12h 03
CQFD
L’empoisonnement du cache DNS est de retour
13/11/2020
Le 16/11/2020 à 10h 19
J’adore ton commentaire ! Mais tu rigoles en parlant de déduction fiscale, dans une moindre mesure, tu pourrais dire qu’en cas de piratage d’un de tes clients/usagés, si tu n’as mis en place tel ou tel protocole, alors tu n’es pas “à l’état de l’art de la technologie”, et donc tu t’exposerais à une responsabilité partielle. Il y a eu le cas Lazio/Rotterdma et les 2M€ payés au hackeur/usurpateur, la justice (meme si cas plus complexe) à dit tort partagé.
https://www.sofoot.com/un-hacker-a-pirate-la-lazio-lors-du-transfert-de-de-vrij-467849.html
Données de santé : la société française Alan explique pourquoi elle utilise Amazon Web Services
12/10/2020
Le 12/10/2020 à 09h 27
Pour le cas de Microsoft (Azure, Exchange, Sharepoint et maintenant Teams) il est possible de gérer ses propres clés avec son propre HSM (exemple : Thales Luna – ex Gemalto), qui sont validés au plus haut niveau par l’état français. Après oui, en soit, si Microsoft le voulait, il y aurait toujours des moyens d’intercepter/voir des données des clients. Mais dans ce cas, alors on arrête d’utiliser windows, macos, ios, android by google etc. Car en soit, qui dé-compile toutes les mises à jours de ses OS pour vérifier que les éditeurs US n’ont pas collé des backdoors ? qui désactive à 100% les stores grand publics (oui, y’a des programmes de transparency, avec audit de code, mais c’est pas pour chaque mise à jour qui est poussé en prod… et pour les devices mobiles, c’est bien pire, très peu d’orgas désactivent les syncro icloud/google).
Et dans le même compte alors, on arrête d’utiliser des équipements réseau/firewall de marques américaines car ils sont tous ou presque en mode maj auto pour les vuln crititiques, et tous les établissements de santé n’attendent pas le go de l’état francais pour chaque mise à jour… Donc en soit, des sociétés / agences US à 3 lettres pourraient (conditionnel) faire nous espionner par là. Car oui, si on n’accepte / n’accepte pas de leur confier nos données, c’est pour des raisons d’espionnage industriel/défense principalement…
lien azure byok : Microsoft
Sheng-Chang Chiang, PDG de MSI est décédé : il est tombé d’un immeuble du groupe
08/07/2020
Le 08/07/2020 à 13h 26
Oui, après tu as aussi eu le patron du conglomérat chinois HNA (plusieurs milliards) qui a “glissé” d’un parapet en France… “ce grand patron chinois avait voulu voir le panorama”
https://www.challenges.fr/entreprise/wang-jian-patron-de-groupe-chinois-hna-meurt-d-une-chute-accidentelle-en-france_598921
L’Assurance Maladie va attaquer le site Arretmaladie.fr
08/01/2020
Le 19/01/2020 à 17h 34
Pour l’agrément HDS, c’est simplement que cest couillons ont mis le mauvais lien, avant on avait l’accrédidation, maintenant il y a la certification (Microsoft, Amazon, etc. sont certifiés). La liste des “certifiés” (nouveaux référentiel) est ici : République Française et on y trouve bien AWS. D’ailleurs, AWS est cerifié sur trois “régions” en Europe (Francfort, Irlande et Paris).
Après, tout comme pas mal de personnes ici visiblement, je trouve surtout l’approche marketing honteuse et incitant à “acheter” son arret.
Une attaque DNS compromettrait les sites de nombreuses entreprises et organisations
11/01/2019
Le 12/01/2019 à 12h 41
A noter cependant, qu’il existe des méthodes pour s’en “protéger” (enfin, à minima être alerté).
Il suffit de faire du monitoring de ses NS et entrées DNS.
En gros : je regarde à l’instant T qu’elles sont mes entrées DNS et serveurs NS. Demain, si je vois que mes entrées ont été modifiées alors que ce n’est pas moi, je sais que mon compte (OVH, etc.) a été “piraté” ou à minima qu’une utilisation frauduleuse de mes identifiants a eu lieu (ou qu’un branleur de l’équipe à modifié des trucs -SPF, DKIM, DMARC, MX, A, CNAME…- sans le dire à ses collegues !)
Il existe des services (payants et gratuits avec limitation) pour monitorer ses entrées DNS. D’ailleurs, le risque majeur est surtout sur les entrées emails “MX” qui permettent même de rediriger tout les flux mails entrants vers un serveur illiégitimes (en mode temporaire ou de manière définitive), avec alors la possibilité de récupérer les emails de récupération de mot de passe etc. etc. Autre danger, l’ajout d’une entrée Google Verify ou équivalente avec vol pontiel de stats Google Analytics (plus complexe) etc.
Téléphonie fixe : plus de nouvelles lignes RTC dès novembre, transition vers la VoIP
29/08/2018
Le 29/08/2018 à 14h 54
Pour les (rares) zones où il y a des ascenseurs et aucune couverture mobile même basique (car il y a des cartes sim multi-opérateurs), on a la possibilité de mettre une batterie de secours, tout comme pour l’éclairage. Et il “suffit” d’onduler switch/modem aussi. A noter aussi qu’il n’est pas rare de mettre une antenne mobile externe (toiture, etc) pour augmenter le signal sur ce genre de bâtiments :)
Concours des 15 ans : il vous reste jusqu’à demain soir pour participer et tenter votre chance
13/07/2018
Le 12/07/2018 à 20h 47
Next INpact (et ses ancêtres)… c’est tout mon lycée, ma prépa, mes études d’informatique, la création d’une boite. On est 12 salariés maintenant, et c’est (un peu^^) grâce à vous !
Et puis, c’est des “concours” où on peut participer sans compte FB ou Twitter, et ça, ça n’a pas de prix !
Continuez comme ça !
Une GeForce GTX 1060 externe (Thunderbolt 3) vendue en France
28/02/2018
Le 01/03/2018 à 13h 32
J’ai acheté 6x GTX 1060 6Go à 249€/pièce début janvier. Alors que j’avais payé un lot de 3x identiques fin 2016 pour 280€/pièce…
De Bitcoin à Zcash, notre anti-sèche de Noël sur les crypto-monnaies les plus populaires
23/12/2017
Le 23/12/2017 à 11h 45
[Sondage] De la 4G via une eSIM/SIM dans les PC portables, ça vous intéresse ?
07/12/2017
Le 08/12/2017 à 20h 14
J’ai déja, et c’est génial. Always on, VPN permanent, plus besoin de se connecter aux wifi publics.
Bug bounty : Bruxelles confie VLC à l’américain HackerOne, les concurrents français s’inquiètent
05/12/2017
Le 06/12/2017 à 22h 04
Aux États-Unis, un site marchand accusé d’enregistrer toutes les frappes au clavier
06/12/2017
Le 06/12/2017 à 21h 54
Darty : des devis client fuitent sur Internet, le revendeur répond à nos questions
08/11/2017
Le 09/11/2017 à 23h 14
Seagate annoncera un record en capacité de stockage demain
05/10/2017
Le 06/10/2017 à 20h 08
Dédup ?
Fibre pour entreprises : les dernières offres de SFR chamboulent le marché
06/09/2017
Le 06/09/2017 à 18h 43
Concours : gagnez un exemplaire dédicacé de Surveillance:// de Tristan Nitot
20/07/2017
Le 20/07/2017 à 20h 37
Ma mère n’a qu’a bien se tenir !
Concours pour gagner la console « Next Gen » de votre choix, il vous reste jusqu’à ce soir
14/05/2017
Le 06/05/2017 à 17h 17
Si on est connecté en permanence ça passe aussi ? " /> La flemme de déco/reco pour m’en assurer…
LastPass : nouvelle faille de sécurité, cette fois dans l’extension Chrome
28/03/2017
Le 28/03/2017 à 21h 28
Amazon S3 : c’est une erreur humaine qui a provoqué la panne de plusieurs heures
03/03/2017
Le 04/03/2017 à 11h 28
Intel au MWC 2017 : Atom C3000, 5G et un modem 4G Gigabit XMM 7560
21/02/2017
Le 21/02/2017 à 23h 00
Enfin compatible RDMA et compagnie leur nouvelle carte réseau XXV710 ? Car bon, pour Storage Spaces avec Windows Server 2016 c’est quasi obligatoire… Et les cartes Mellanox/QLogic c’est pas la joie en doc et en simplicité de commandes chez les intégrateurs Dell et consorts…
Débits moyens sur Netflix : Free continue de chuter et tombe à 2,06 Mb/s
15/02/2017
Le 15/02/2017 à 21h 25
https://fast.com/
Pour tester son débit “live” vers les serveurs de Netflix (service officiel)
Testé depuis mon ADSL Free entre 2 Mbps et 7 Mbps selon les heures, et depuis la ligne Free fibre du bureau entre 2Mbps et 50Mbps selon les heures également…
Bref, c’est clairement par la joie.
Microsoft enrichit OneDrive for Business et ajoute StaffHub dans Office 365
25/01/2017
Le 25/01/2017 à 23h 49
Chiffrement : notre antisèche pour l’expliquer à vos parents
23/12/2016
Le 23/12/2016 à 21h 05
(et Zimmermann aussi^^ https://philzimmermann.com/FR/background/index.html )
Le 23/12/2016 à 20h 55
LastPass : analyse d’un gestionnaire de mots de passe qui joue l’ubiquité
29/09/2016
Le 29/09/2016 à 16h 47
Un petit mot sur l’offre “entreprise” de LastPass, qui permet également, sans connaitre les mots de passe maître des collaborateurs, de partager des groupes de mots de passe selon pas mal de crtières, et de mettre en place de nombreuses autres fonctionnalités super sympas pour des déploiements et usages pros.
Liste non exhaustive :
My 2¢.
Cybersécurité : gaz, pétrole, électricité, transports, les nouvelles obligations des OIV
25/08/2016
Le 25/08/2016 à 21h 56
589ème édition des LIDD : Liens Idiots Du Dimanche
23/07/2016
Le 24/07/2016 à 00h 53
#4 je n’aurais pas fait mieux comme réponse.
PS : Le Larousse possède bien les deux définitions (crypter et cryptage) : Larousse
PPS : Et pour info, en anglais on retrouve la même racine grecque pour “decrypt/encrypt” et là aussi cela signifie le fait de rendre lisible un message crypté… par soi-même (c.f. les exemples donnés par le Oxford Dictionary : The public key encrypts the information as it’s sent from a person’s computer to the merchant, and a private key decrypts the information.). On a beau ne pas vouloir d’anglicisme, pour le coup chez eux qui disposent pourtant du terme équivalent “to cypher”, les experts utilisent bien “decrypt/encrypt”…
Bref^^
Pluie de promotions chez les opérateurs de téléphonie mobile, Bouygues entre dans la danse
04/12/2015
Le 05/12/2015 à 13h 58
Etant déjà client Red de SFR depuis plus d’un an (forfait pris en promo à l’époque également), j’ai eu la bonne surprise de recevoir un SMS de l’opérateur avant-hier me proposant 10€ de réduction par mois sur mon forfait pour les 12 prochaines mois. Certes, ce n’est pas aussi intéressant que l’offre à 3,99€ proposée aux nouveaux abonnés, mais j’apprécie la démarche.
[Je n’ais pas lu les 7 pages de commentaires en détail, donc peut être redondant]
Let’s Encrypt en bêta publique : des certificats SSL gratuits pour tous
04/12/2015
Le 05/12/2015 à 13h 44
Typo : akamAI et automaTTic (ai pour le premier, et tt pour le second) ;)
Bac 2014 : des détecteurs de téléphones portables dans chaque académie
12/06/2014
Le 12/06/2014 à 22h 15
J’aime ma montre Pebble et sa portée en Bluetooth de 15 mètres…
De quoi laisser le téléphone dans le sac au fond de la classe, et d’avoir la montre au poignet. Elle vibre à chaque nouveau message qui arrive et je peux le lire direct sur l’écran de manière quasi invisible (en faisant mine de regarder l’heure).
Sur une épreuve de 4h, les sujets sont corrigés en draft généralement au bout de 2h/2h30. Largement de quoi laisser le temps à mon frère de m’envoyer toutes les infos par message depuis un Bic Phone anonyme avant la fin…
Et si le détecteur détecte bien les signaux mobiles, je doute qu’il marche avec du Bluetooth ! Au pire, je dis que je connais pas la personne qui a fait sonné mon téléphone dans mon sac…
Autre point si le mobile passe pas ou est brouillé, vu la portée du wifi aujourd’hui, je demande à mes collègues déjà sortis dans le couloir de m’envoyer le tout en message via wifi-ad’hoc…
PS : et va différencier une Pebble d’une montre “classique” :http://cdn1.appleinsider.com/pebble-140110-1.jpg
Android 4.4.3 : les images d’usine sont disponibles pour certains Nexus
03/06/2014
Le 03/06/2014 à 20h 14
Android 4.4 continue de grimper, un programme « Silver » bientôt sur pied ?
05/05/2014
Le 05/05/2014 à 08h 24
qui se sont connectés au marché d’applications de Google au cours des sept derniers jours
Donc les smartphones sous Android 4.0 et - de ma mère, ma belle mère, mon père et mon oncle (pour ne citer qu’eux) ne sont pas pris en compte… La majorité des utilisateurs “ultra lambda” sous Android qui ne savent même pas ce qu’est un compte Google ou le Play Store ne sont pas dans les stats.
On a pas d’autres sources plus génériques (par les opérateurs peut-être ?)
4G de Free Mobile : la carte de couverture navigable, version 5700 Mpixels
10/12/2013
Le 07/12/2013 à 18h 18
Alors sinon, pour pas vous embêter à faire du colage de trop petits morceaux : F12 (developper tools) on change la taille de la map à un truc d’énorme (conteneur et map of course), puis on fait une full capture d’écran de la page (y compris hors champs).
Testé et approuvé sur le site de free.
Dropbox permettra la connexion de deux comptes, via son offre Entreprises
14/11/2013
Le 14/11/2013 à 10h 08
Le récap’ des tests : des NAS pour tous les goûts
01/10/2013
Le 02/10/2013 à 00h 13
Samsung, un partenaire particulier si gênant
20/07/2013
Le 20/07/2013 à 12h 48
Y’a(vait) aussi les voitures avec Renault !
Wikipedia
Les dépenses IT des entreprises et des administrations en hausse en 2014 ?
16/07/2013
Le 16/07/2013 à 18h 25
[MàJ] Google Maps sur Android : retour du bouton pour le mode hors ligne
11/07/2013
Le 10/07/2013 à 17h 45
Facebook : le Graph Search arrive en anglais, comment en profiter
08/07/2013
Le 08/07/2013 à 16h 41
Moi po marché :(
==> File d’attente sur laquelle je suis déjà depuis plusieurs semaines, et passer le compte en US n’a rien fait.
Facebook constitue des « dossiers fantômes » sur les internautes
27/06/2013
Le 27/06/2013 à 11h 46
La Freebox fait enfin sa révolution : Freebox OS est là !
27/06/2013
Le 27/06/2013 à 09h 28
J’aime J’aime J’aime " />
Jonathan Benassaya lance un service de stockage qui mise sur le streaming
26/06/2013
Le 26/06/2013 à 15h 43
Moi ce qui m’intrigue surtout sur l’image, c’est le logo “magnet links” en bas…
On peut s’en servir de box pour DL ses torrents donc ?^^ " />
Free propose enfin ses Femto-cells, accessibles à tous les clients Free Mobile
20/06/2013
Le 20/06/2013 à 17h 27
Une petite note pour les derniers qui, comme moi, ne liront sans doute pas les 20 pages de com (pas tapper " /> ) mais je viens de le commander (en 3 clics maxi depuis mon interface Free Adsl).
C’est bien 10€ de frais d’envoie, déduis sur la prochaine facture.
La livraison est indiquée pour moi comme ceci : “par Chronopost et déposé en relais si vous êtes absent”.