Ne manquez pas demain dans "Cash Investigation" un reportage sur le hacking, on voit notamment un extrait d'un gars qui hack a distance quelqu'un depuis un poste linux et une faille d'internet explorer.

http://www.francetvinfo.fr/societe/debats/video-cash-investigation-microsoft-elise-lucet-joue-au-pirate-informatique_1856895.html

On peux même deviner qu'il utilise l'environnement de bureau "Gnome Shell" sur son pc, probablement une Debian ou peut être Kali Linux.

Précison : ce n'est pas un reportage spécialisé sur le hacking mais surtout pour montrer le gaspillage de l'argent publique notamment avec les produits Microsoft et pour montrer notamment que l'armée n'est pas aussi sécurisé que vous le pensez.

Oué enfin pour être honnête il me semble que c'est tout le côté administratif qui est sous windows, toute la partie Etat Major et armement doit être beaucoup mieux protégé.
Même si c'est flippant et de l'argent jeté en l'air.

Juste en passant, quand on vous dit à la télé que "l'Etat Major est sous Windows", ça ne veut pas dire qu'ils utilisent des laptops Acer achetés à la Fnac avec le Windows 10 Starter de merde inclus, et McAfee en version d'évaluation.
Ça me semble évident mais à en lire certains sur ce forum (et je ne parle même pas du reste des forums Linux francophones...) on se croirait début 2000, à l'époque où Windows chiait profondément dans la colle sur le plan de la sécurité et de la stabilité.
Aujourd'hui Microsoft fournit un support colossal pour ses OS dédiés au monde pro, derrière cet "argent foutu par la fenêtre" il y a un temps de réponse aux incidents minimal, du service sur-mesure, etc.

Les systèmes Linux ont leurs failles aussi, la grosse différence pour une entité critique comme le ministère de la défense c'est que les solutions commerciales (qu'elles soient basées sur Windows ou Linux...) fournissent, en plus du support pendant l'utilisation, beaucoup d'outils pour simplifier le déploiement (quand c'est pas carrément la boite qui vient déployer). Parce que bon, c'est bien rigolo de bricoler une Gentoo à poil dans sa cave mais vous comprendrez que le département d'informatique de la défense ait autre chose à foutre que perdre son temps à unifier un merdier aussi hétérogène qu'une distrib Linux communautaire.

Et sinon mauvais usage du terme hack encore une fois.

On a jamais dit qu'il fallait que le département de la défense utilise Gentoo...

Debian fait très bien l'affaire.

Le 18 octobre 2016 à 15:20:36 ElectroTux a écrit :
On a jamais dit qu'il fallait que le département de la défense utilise Gentoo...

Debian fait très bien l'affaire.

Oué enfin Debian il y a eu pas mal d'histoire avec et quand on voit la liste des CVE il y a souvent des failles.
https://www.cvedetails.com/vulnerability-list/vendor_id-23/product_id-36/Debian-Debian-Linux.html

Il me semble que l'ANSSI a son propre OS, avec des restrictions importantes http://www.numerama.com/tech/138683-los-souverain-made-in-france-existe-deja-decouvrez-clip.html

TOus les systèmes ont des failles, tant qu'il y a les corrections rapidement c'est bon.

Sinon le reportage de cash investigation commence sur France 2 dans quelques minutes (il aura déjà commencé quand vous aurez lu ce message probablement).

Je travail pour l'état dans un site stratégique (pas besoin de détail) oui il y a du windows et oui il y a du linux (redhat mais ce n'est pas un secret) et crois moi pour accéder aux informations sensibles tu a quelques couches à passer. Ce genre de reportage me fait doucement rigoler. Oh regarder il arrive à pénétrer le poste de la secrétaire d’accueil mon dieu ils ont les codes de la bombe atomique
Oui il y a des failles mais de là à hurler que les ministère ne sont pas sur s'est ridicule.

Quand a l'anssii il développe des solutions maisons mais là aussi basé sur des produits commerciaux ou libres selon ce qu'il y a mettre en place. Jamais vu déployé leur os ou je bosse par contre certaines de leur truc maisons oui

Le 18 octobre 2016 à 15:20:36 ElectroTux a écrit :
On a jamais dit qu'il fallait que le département de la défense utilise Gentoo...

Debian fait très bien l'affaire.

j'ai rarement lu un truc aussi con, sérieusement.
Oui, Debian est un OS stable, oui ça fait le job dans 90% des situations.
Mais là on parle du militaire bordel, pas du prestashop de la startup à la con du quartier. Je me répète (mais visiblement ça parvient pas jusqu'aux bonnes zones du cerveau), dans un monde idéal on part de rien et on déploie tout un domaine en Debian et "oh, ça marche", mais dans le monde réel il y a une quantité astronomique de systèmes différents qui doivent coexister. Et non, Debian n'a pas tout le support nécessaire à ça, et les développeurs ne sont pas à la botte des utilisateurs de la distro pour développer les couches qui vont bien.
Je ne dis pas qu'on ne voit jamais de Debian en entreprise (c'est faux) mais quand on touche à des trucs vraiment sensibles en général on privilégie les solutions commerciales, non par amour du gaspillage, mais plutôt pour décharger un peu les responsabilités. Car le support commercial c'est aussi la possibilité de compter sur l'éditeur pour fournir quelque chose de qualité, d'avoir quelqu'un au bout du téléphone quand ça merde, etc. (et pas juste une mailing-list de barbus qui te répondront que "tu t'en sers mal" ).

Et aussi pas besoin d'aller jusqu'à MS suffit de regarder les Ssii françaises et les contrats.
Vous allez faire une syncope

Non rien ne justifie d'utiliser les produits commerciaux, la gendarmerie nationale est sous Linux et ça leur va très bien. L'armée française pourrai faire la même chose, arrête de trouver des fausses excuses !

Avec tous les softs basés sur win32, c'est une idée stupide...

Ils font comme avec la gendarmerie, ils payent des développeur pour créer des nouvelles applications métiers natif linux et a coté de ça, il y a aussi beaucoup d'application qui peuvent être remplacé (exemple : Microsoft Office => LibreOffice, Outlook => Thunderbird etc...) Pas question de garder des programmes win32 évidemment.

Bien-sûr le changement ne pourrai pas être immédiat, je suis conscient que passer de tout-microsoft a tout-linux ne pourrai pas se faire du jour au lendemain.

Le 18 octobre 2016 à 22:28:22 Protrigetrix a écrit :
Non rien ne justifie d'utiliser les produits commerciaux, la gendarmerie nationale est sous Linux et ça leur va très bien. L'armée française pourrai faire la même chose, arrête de trouver des fausses excuses !

Je crois que tu ne sais pas de quoi tu parle quand tu dis produits commerciaux...

Eh bien ce reportage Cash investigation était assez intéressant même si je n'ai pas trop été surpris.

Cela ne fait que vérifier en tout cas ce qu'on m'avait dit et qui se confirme : "plus on monte dans la hiérarchie et plus on monte aussi dans l'incompétence technique". Voilà pourquoi il y a tant de mauvaise décision prise que ça soit dans l'armée ou dans l'état français, les ingénieurs ont les compétences mais pas les chefs en haut de la hiérarchie et c'est eux qui décide.

C'est bien, maintenant retourne donc t'indigner, vénérer V pour Vendetta et coller des stickers "Anarchy" sur les arrêts de bus mais par pitié, travaille ne serai-ce que 4 mois dans une boite sérieuse avant de revenir étaler ta science ici.
Tu penses vraiment que la terrible hiérarchie a un intérêt à payer des contrats supra-chers pour du soft "de merde" ? Descends du nuage, dans le pire des cas un connard incompétent, à défaut de vouloir bien faire, veut tirer sa part du gâteau. Et même ça ça passe par des restrictions budgétaires, pourtant on n'en est pas encore à faire tourner l'armée sous Ubuntu.
Quant à la gendarmerie nationale, tout le monde fait un foin parce qu'ils ont migré leurs postes de travail sous un dérivé custom d'Ubuntu, sauf que si on regarde de plus près:

• Ils n'en diffusent pas les sources et le développent en interne. Donc tout le pognon qui ne part pas en licences commerciales part en développements internes qui ne bénéficient qu'à eux-mêmes, à condition qu'ils soient de qualité. Expliquez-moi à partir d'ici où se cache le sacro-saint esprit libriste qui vous motive à cracher sur les solutions commerciales...
• Il est question du déploiement sur les postes de travail, mais pour le côté serveur, il reste un flou artistique qui laisse penser à... du Linux commercial, ou un parc hybride Windows/Linux/whatever (un UNIX proprio? ça se fait encore, chez nous on avait de l'AIX il n'y a pas si longtemps )

il y a aussi beaucoup d'application qui peuvent être remplacé (exemple : Microsoft Office => LibreOffice, Outlook => Thunderbird etc...) Pas question de garder des programmes win32 évidemment.

Allez, un petit cas pratique puis au dodo hein ? Demain il y a école, c'est important.
Trouve-moi un ensemble de solutions d'organisation d'équipes aussi performant (et intégrable aux solutions développées en interne) que le combo Skype Entreprise / Outlook (Mail + Calendrier, j'insiste sur ce dernier) / Windows / <insérer le machin de VoIP utilisé par ma boite ici> pour la communication interne et l'organisation.
Pour faire court, si j'ai les bons chiffres en tête on est ~5000 répartis dans toute la France là où je bosse. Chaque personne dispose, entre autres choses, d'un badge d'identification qui sert à déverrouiller n'importe quel poste de travail qui lui est autorisé sur sa session (documents récupérés en réseau &cie). Le scénario typique c'est "j'arrive, je fous mon badge dans le lecteur, je saisis mon code, ça se logge". Et là en 2min j'ai mes documents, mes mails, mes autorisations d'accès (token Kerberos &cie), mon Skype qui s'ouvre et qui charge automatiquement ma localisation et ma disponibilité, mon calendrier... bref, les classiques. Et quand je reçois un mail comprenant une invitation à une réunion (par exemple), pareil, ça s'intègre à mon calendrier, puis ma dispo Skype est changée automatiquement le moment venu. De même quand je reçois un appel VoIP (qui est, soit dit en passant, automatiquement routé vers le téléphone associé au poste de travail sur lequel je travaille).
Alors oui, peut être qu'en passant 8 mois à ramasser des bouts de softs un peu partout dans l'écosystème Linux communautaire, tu parviendras éventuellement à mettre debout un substitut à tout ça. Mais d'expérience, en général ça s'intègre mal (voire très mal) d'un truc à l'autre, la moitié des solutions retenues sont trop jeunes pour fournir une version vraiment stable, et la config est une putain de plaie. Je ne suis pas un admin feignant, loin de là, mais il y a une différence entre galérer 2 semaines à configurer une connerie sur ton raspberry pour impressionner tes potes sur IRC et passer des mois à essayer de faire tenir un tas de merde en équilibre alors que ta boite veut un truc simple, stable et efficace.
Les défauts que j'ai cités sont inhérents à Linux, du moins aux distros communautaires: c'est hétérogène parce que c'est peuplé d'abrutis qui ne pensent qu'à forker au lieu de contribuer à l'existant, c'est pas toujours interopérable parce que là aussi personne n'arrive à se mettre d'accord (sauf quand un industriel comme Google vient pousser une solution libre, certes, mais étudiée et développée par ses soins, et convaincante grâce à sa réputation), et c'est pas toujours stable parce que les développeurs n'ont pas tous la même notion de "qualité logicielle" (là encore, on en revient au barbu qui bricole dans sa cave: c'est bien quand ça reste dans la cave, et ça pose problème quand on essaie d'en faire un produit pour l'entreprise).
En signant avec un éditeur industriel, tu t'assures d'avoir un ensemble cohérent de produits (donc interopérables), une stabilité décente et un certain "pouvoir" sur le produit.

C'est marrant l'extrait de ton cash investigation, l'étudiant "brillant" envoie un mail avec un lien sur le site qui de ce biais exploite une faille d'internet explorer (qui par dessus utilise metasploit j'imagine). Le mec reçoit le mail, il va sur internet explorer (IE 8 par dessus le tout car si c'est une version supérieur ça marche pas), et comme un con il clique sur le lien ...
En tout cas ça prouve pas que windows c'est une passoire niveau sécurité ...

En tout cas ça prouve pas que windows c'est une passoire niveau sécurité ...

C'est tout le soucis principal de ce genre de reportage "inédit"...

On fais du sensationnalisme / clickbait avec quasiment aucune analyse de fond.

Pas besoin d'être un expert en sécu pour rechercher les CVE qui affectent IE 8.

Ya des registres publiques pour ça.