Re: Trou de securite Debian pour SSH/SSL

Top Page

Reply to this message
Author: Patrice Karatchentzeff
Date:  
To: guilde
CC: guilde
Subject: Re: Trou de securite Debian pour SSH/SSL
Le 16 mai 2008 17:07, Olivier Allard-Jacquin <olivieraj@???> a écrit :
> Patrice Karatchentzeff a écrit :


[...]

>> Je dis que la sécurité est souvent le dernier souci des admins (preuve
>> : la multiplicité des certificats self-signed) donc ils ne sont pas à
>> cela près.
>
>        Un certificat self-signed, n'est pas moins bon qu'un certificat signée,
> tant en terme d'authentification qu'en terme de chiffrement :


Ça n'a rien à voir avec ce que je disais...

Ce n'est pas à toi que j'apprendrai que la sécurité d'un système
repose sur l'élément le plus faible de la chaîne de sécurité. Si un
DSI décide de chiffrer un protocole, quel que soit les raisons, c'est
pour blinder la chose. Que penseront (je sais bien qu'un utilisateur
ne pense pas à ces choses là) les utilisateurs qui ne pourront même
pas s'assurer que le certificat est issu d'un site dît de confiance ?
Le B-A-BA de la chaîne de sécurité n'étant pas respecté, tu peux
certifier comme tu veux avec autant de bits et d'algorithme matheux
ton certificat, ton truc ne vaut pas un clou.

Or, c'est la majorité des sites sur Internet.

[...]

>> Si la sécurité avait ne serait-ce qu'un peu d'importance, personne
>> n'utiliserait Windows en entreprise par exemple.
>
>        C'est amusant, c'est la 2nd fois que tu ramènes tout de MS/Windows dans
> cette discussion... ;) Tu veux détourner la conversation ? ;)


humour facile mais totalement inapproprié.

On parle de sécurité donc sérieusement. Même si le sujet n'est PAS
généralement abordé sérieusement en entreprise.

> <humour mode="facile">
> Et à la place des Windows, tu mettrais quoi en entreprise ? Des
> machines sous Debian, qui *ELLES* sont tout à fait irréprochable en
> terme de sécurité ?
> </humour>
>
>        J'avoue, elle était facile celle-là... ;)


Oui, c'est idiot. Le B-A BA de la sécurité consiste à pouvoir
CONTRÖLER ce qui se passe d'un point A vers un point B. En
authentifiant CERTAINEMENT A et B. Or, c'est une chose pratiquement
impossible à faire avec des logiciels closed-source (que l'on ne peut
compiler). Windows en fait partie. Déployer Windows en entreprise et
ensuite parler de sécurité revient dans ce cas à tirer au FM dans une
foule compacte et demander ensuite aux gens de mettre des gilets
par-balles pour éviter les morts.

>        Dans beaucoup d'entreprises, la sécurité se limite à blinder les
> connexions vers l'extérieur, et à séparer clairement les divers zones:
> le LAN, le DMZ (qui gères les services "publiques" comme le serveur
> web), et le reste du monde.


Oui, dans beaucoup d'entreprises, on se limite sérieusement en effet;

>        Après, tu évites que les machines ne se tapent trop dessus entre elles,
> en installant des antivirus sur les postes clients.


Le gilet par balles en effet...

>> La sécurité est la plupart du temps qu'un concept, pas une réalité.
>
>        La sécurité est un compromis entre un idéal (*) et la réalité (**). De
> là à dire que tous les gens qui administrent des machines s'en foutent
> royalement, il y a quand même un pas.


Non. Je ne te ferai pas l'injure de croire que tu ne sais pas que
l'informatique en entreprise est généralement géré par des gens
totalement incompétents techniquement, dont la fonction première
consiste simplement à déployer un parapluie suffisamment large pour
couvrir leur cul le cas échéant en cas de pépins.

L'administrateur n'est qu'un maillon dans la chaîne informatique de
l'entreprise : ce n'est généralement pas lui qui décide d'une
politique.

[...]

>        Mais de la à minimiser l'importance que les 2 dernières années de clefs
> SSH/SSL générées sur des distributions populaires (Debian, Ubuntu, et
> autres) soit des failles de sécurité, s'en ait une autre.


Où as-tu vu que je minimisais quoique ce soit ? Ces failles sont
graves, très graves mêmes mais contrairement à ce qui se fait
ailleurs, il y a une énorme publicité faite autour pour y rémédier,
avec une solution ad hoc. Contrairement aux fameux logiciels
closed-sources dont je parlais plus haut par exemple.

Et la sécurité repose avant tout sur la réactivité, pas sur le zéro
défaut, qui est une impossibilité technique.

Normalement, cette faille est du passé sur tous les sites « powered by
Debian » depuis l'annonce de cette faille si les admin sont un poil
compétent.

PK


--
|\ _,,,---,,_ Patrice KARATCHENTZEFF
ZZZzz /,`.-'`' -. ;-;;,_ mailto:p.karatchentzeff@free.fr
|,4- ) )-,_. ,\ ( `'-' http://p.karatchentzeff.free.fr
'---''(_/--' `-'\_)