Décidemment, il semble que le temps use la mémoire de certains modérateurs de fcs. Ainsi Stéphane Catteau annonce sur usenet que :

>> On est moins, Christophe, par exemple, ayant annoncé son
>> départ… sur son site, mais pas à l’équipe.

Bien entendu je tiens à démentir cette déclaration qui est totalement fausse. J’ai à l’époque, annoncé à l’équipe de modération mon départ, et c’est d’ailleurs à ce moment là que j’ai été désinscrit de la mailing list privée. Il n’est pas dans mes habitudes de parler dans le dos des gens, mais je tiens à rappeler aux modérateurs que j’ai toujours été parfaitement  “réglo”, et que j’apprécierai la même chose venant de leur part…

Lorsque les choses ne me convenaient plus, je suis parti, et je m’en suis expliqué avec la modération avant de m’expliquer en public, suite aux nombreux emails que je recevais sur le sujet… J’ai également toujours évité de cracher sur la modération, et ce, même après mon départ.

Je remercie donc par avance les modérateurs d’éviter ce type de remarques déplacées et mensongères, sans quoi, je me verrai dans l’obligation de considérer que le contrat moral (sans prescription à mon sens), qui me lie à la modération est caduque et d’en tirer les conclusions qui s’imposent.

Il y a quelques années, j’ai exprimé sur ce blog pourquoi je quittais la modération de fr.comp.securite. Pour un petit rafraîchissement de mémoire il suffit de cliquer sur le lien suivant : fr.comp.securite

Vous pouvez également lire l’interview que j’ai accordé à Olivier Aichelbaum sur ce sujet en cliquant sur le lien suivant : fr.comp.securite

Aujourd’hui, après quelques années, fr.comp.securite a continué à devenir une sorte de zone morte, et le forum à être de plus en plus déserté. Je ne crois pas contrairement à certains que cette désertion provienne essentiellement de la désertion globale d’usenet : j’en suis le parfait exemple, cela fait maintenant plusieurs années que je déserte ce forum.

Depuis quelques jours, il semble que le forum soit passé en modération automatique, en attendant courant avril où la décision sera prise si oui ou non le forum restera modéré. Cette décision conditionnera bien entendu ma décision de oui ou non republier sur ce forum. En effet, en me repenchant sur l’époque pré-modération, j’ai compris pourquoi la modération a tué fr.comp.securite.

En dehors des petits détails (interdiction du moindre post anglais, non publication des remerciements, etc…), c’était bien ce que certains qualifiaient de “troll” qui maintenait un intérêt permanent sur le forum. De la légalité des ports scan, à l’utilisation des proxy ou encore aux comparatifs de sécu linux/bsd, tous ces sujets, bien que controversés, ont fait avancer les choses et participaient à l’ambiance formidable qui y régnait. Une belle part restait réservée à la technique.

J’écrirai probablement un billet plus fourni là dessus dans les mois qui suivent en fonction de l’évolution du forum, mais je tiens à répondre à une petite allusion que j’ai pu lire sur le forum. Cette réponse s’adresse plus particulièrement à Eric Razny lorsqu’il déclare dans un post : “Pour ce qui concerne Christophe Casalegno il s’est exprimé sur le web et ailleurs ; a ma connaissance il est suffisament adulte pour ne pas avoirbesoin de vous pour ça. Je serais curieux d’ailleur de savoir si vos liens(voir d’autres post), s’ils sont réels, datent d’avant ou après ce cirque.”

Eh bien, voilà de quoi à donner du grain à moudre à mon moulin. Je tiens donc à mettre les choses au clair : comme c’était le cas (à l’époque) avec Jean-Paul Ney (devenu un ami aujourd’hui), je n’ai, ne leur en déplaise, aucun lien particulier avec Olivier Aichelbaum, que je n’ai d’ailleurs jamais rencontré. Mon seul lien est d’avoir échangé, comme avec des milliers d’autres personnes quelques emails, à l’époque plutôt sur des sujets techniques, mais ce dernier me corrigera si ma mémoire me fait défaut.

Si je prends la “défense” d’Olivier Aichelbaum, ce n’est pas parce qu’il s’agit d’un proche, comme pourrait le laisser sous-entendre le post ci-desssus, mais tout simplement parce que j’ai été scandalisé par l’archarnement dont il a été victime sur Usenet et Internet en général. Je tiens également à préciser qu’Olivier Aichelbaum ne m’a jamais demandé de prendre position pour lui. Pour ceux qui citeront l’article paru sur Intelink, j’y ai dit ce que je pense, et je pense toujours ce que j’y ai écris.

Aujourd’hui, mes relations avec Olivier, se limitent à l’échange de quelques emails (appréciés !), qui sont loin d’être quotidiens. De l’expérience que j’ai eu, il reste quelqu’un que j’apprécie pour sa droiture, même si nous ne sommes pas en accord sur tous les sujets. Je n’avais donc aucun lien “particulier” avec Olivier Aichelbaum, mais j’apporterai désormais tout le soutien que je peux à ce dernier dans son entreprise, car s’il y a une chose que je ne supporte pas, c’est bien l’injustice, et, à mon sens, c’est bien de cette dernière dont a été victime Olivier Aichelbaum.

Alors un message à tous : enterrez votre hache de guerre et stoppez votre harcèlement. Mettez carte sur table une fois pour toute, faites éclater la vérité, et passons à autre chose : peut etre qu’un nouveau forum intéressant et non modéré nous attends !

Nous avons pu enfin assister à la “représentation” de Ségolène Royal face aux questions de 100 Français. Aucune surprise n’était au rendez-vous : après avoir fait une accumulation de constats, elle s’est rapidement réfugiée derrière le vide de son “pacte présidentiel” en éludant sans même une pirouette les questions embarrassantes.

En effet après avoir tenté de faire bon effet via une démagogie digne des plus grands “artistes” de ce domaine, tout en se réfugiant derrière son statut de mère/femme, etc…, cette dernière résume la situation en expliquant qu’elle a entendu les Français, et qu’elle va pouvoir distribuer à tout le monde, tel le père noël avec une hotte de la taille de l’arche de noé argent et avantages à tout un chacun.

Malheureusement le mythe s’est vide effondré lorsque quelques Français ont posé une question relativement simple : où prendre l’argent ? Et là silence total, aucune réponse n’a été apportée. Je rappelle que Nicolas Sarkozy, contrairement à ce que l’on peut lire çà et là, a expliqué en détail, comment il comptait financer ses mesures, à court, long et moyen terme.

Bref, des réponses finalement très décevantes, qui auraient pu être résumées en quelques lignes seulement (Je Suis, je vous ai entendu, et donc je vais exaucer vos souhaits, je ne sais pas où trouver l’argent, et je vais mettre un peu d’ordre dans mon parti). Bref, cette émission aurait pu être classée sans soucis dans la catégorie “comédie” ou “tragédie”, en fonction du coté du miroir où l’on se trouve…

Aussitôt dit, aussitôt fait, DSK vient de rendre son “rapport” à Ségolène Royal. Parmi les “mesures” proposées, suppression du bouclier fiscal, maintien sans condition de l’ISF, etc… Vous allez me dire : on pouvait s’y attendre… Mais il y a pire ! DSK préconise tout simplement dans son rapport de “définir une contribution citoyenne qui sera payée en fonction de ses capacités contributives par tout Français établi à l’étranger et ne payant pas d’impôt en France”. En clair traduisez que les Français installés et travaillant à l’étranger devront tout de même passer à la caisse.

Il serait cependant bon de rappeler à DSK que 10% des français payent 90% de l’impôt, et que pousser ces 10 % à fuir le pays voir pire, changer de nationalité, ne peut que faire s’effondrer son sacro-saint revenu fiscal ! Plutôt que de critiquer ceux qui partent, on ferait mieux de se poser la question sur le pourquoi de leur départ et regarder la réussite des pays où justement ils se rendent. Contrairement à ce que semble penser la gauche, ceux qui réussissent enrichissent le pays, créent des emplois et des revenus importants pour le pays. Quand est ce que la gauche comprendra enfin qu’il faut attirer ces gens là et non les faire fuir.

Nicolas Sarkozy propose un bouclier à 50%, trouveriez vous normal de travailler moins d’un jour sur deux pour votre famille ? Il faut également se poser une autre question : pourquoi les paradis fiscaux existent t’ils ? Tout simplement parce qu’il existe des enfers fiscaux ! Si ces derniers n’étaient pas là, il n’y aurait pas de paradis fiscaux.

On ne doit pas ainsi sectariser les riches et ceux qui réussissent : plutôt que de pratiquer le nivellement vers le bas, cherchons plutot à insufller l’énergie qui manque à notre économie, à notre société… Ceux qui réussissent sont ceux qui font marcher la France et entrainent les autres vers le haut, ne l’oublions jamais…

Une autre idée me vient en tête, sans doute à cause de ma déformation professionnelle “parano” : Et si DSK souhaitait simplement couler Segolène Royal ?

Bonjour à tous, j’ai le plaisir de vous annoncer la création du TRSU (Travaux, Recherches & Soutien à l’UMP). Le TRSU est une équipe active opérant au niveau national et international essentiellement sur Internet, souhaitant, au delà du soutien politique apporté à l’UMP et à Nicolas Sarkozy, proposer des travaux, recherches, faits, et chiffres permettant :

1) De mettre en évidence les qualités économiques, sociales, politiques et écologiques du programme de l’UMP auprès des Internautes et des autres.

2) De mettre en évidence les erreurs actuelles et passées de la gauche et de leur candidate, afin d’éviter un retour au pouvoir de cette dernière, ce qui aurait pour conséquence la faillite économique et sociale du pays. De revenir à de vraies valeurs comme le travail au lieu de privilégier l’assistanat.

3) De diffuser le plus largement possible les idées de l’UMP et de Nicolas Sarkozy tout en conservant notre esprit critique.

4) De faire des propositions, études et recherches afin de contribuer à l’amélioration commune.

5) Essayer de convaincre avec des arguments forts que Nicolas Sarkozy n’est pas seulement un bon choix pour la droite républicaine, mais également qu’il apporte des solutions aux problèmes de tous les français qu’ils soient de gauche ou de droite.

Le TRSU offre à tous ses membres :

- Un accès à son site Internet Communautaire
- Une mailing list
- Un blog pour chaque membre s’il n’en dispose pas déjà d’un
- Un accès à un serveur irc 24/24 & 7/7

Le TRSU accepte également les équipes affiliées qui pourront participer et à ce titre offre gracieusement aux équipes qui le demanderont et répondent à nos critères éthiques un hébergement pour leur site internet, emails & blogs.

Le site du TRSU sera bientôt disponible à l’adresse suivante : http://www.trsu.info

Pour rejoindre le trsu, le plus simple est de se rendre directement sur le site : http://www.supportersdesarkozy.com de vous inscrire (mode : rejoindre une équipe), ensuite dans l’annuaire choisir 07 (l’équipe est nationale mais est disponible dans ce département dans l’annuaire) et de choisir le TRSU. Je recevrai ensuite votre candidature. Cette inscription est totalement gratuite. A bientôt !

Récemment Ségolène Royal déclarait qu’une femme sur trois mourait sous les coups de son conjoint… Sachant qu’il y a environ 600.000 femmes par an qui nous quittent, cela ferait donc… 200.000 femmes. Bien entendu ce chiffre est totalement faux : c’est environ une centaine de femmes (de trop) qui décèdent sous les coups de leur conjoint. Un chiffre bien entendu inacceptable mais bien loin du nombre astronomique annoncé par Mme Royal.

Mme Royal a décidé depuis le début de sa campagne d’essayer de pousser l’électorat féminin à voter pour elle. Une femme peut-elle gouverner la France ? Certes oui, j’en a la conviction… Mais pas elle ! En effet Ségolène Royal qui s’autoproclame porte-parole des femmes Françaises devrait commencer par étudier les sujets qu’elle aborde.

Aussi performante que pour énoncer le nombre de sous-marins nucléaires possédés par la France, elle n’hésite pas à annoncer que la première loi qu’elle fera voter si elle était élue concernera les violences faites aux femmes et permettra notamment aux femmes battues de rester au domicile familial avec leurs enfants…

Il s’agit là d’une intention particulièrement louable, mais… il se trouve que cette loi existe déjà (LOI n° 2006-399 du 4 avril 2006 renforçant la prévention et la répression des violences au sein du couple ou commises contre les mineurs). Mme Royal propose donc une loi, mais n’est visiblement pas au courant que cette dernière existe déjà. Et pour cause : on ne peut pas dire qu’elle est été des plus présente au Parlement (voire inexistante), pas même pour les sujets dont elle se fait force d’être la spécialiste aujourd’hui.

La réalité c’est que Ségolène Royal a été totalement absente des débats politiques sur ces sujets, n’a fait aucune intervention publique pendant les lectures de ce texte à l’Assemblée nationale, n’a pas déposé d’amendement et ne fait pas partie des signataires…

Quel crédit accorder aujourd’hui à un tel niveau de démagogie ? La surface ne cachera pas longtemps l’absence de programme et le vide des lambeaux de ce dernier. Le parti socialiste ferait mieux d’entrer dans le débat avec de réelles propositions, car les Français ne sont pas dupes et une fois dans l’isoloir, je ne pense pas qu’il voteront simplement pour une image…

Nicolas Sarkozy sera l’invité ce soir de PPDA (Patrick Poivre d’Arvor) dans la nouvelle émission “j’ai une question à vous poser” sur tf1 à 20H30.

Je vous invite tous, que vous soyez de droite comme de gauche, à vous réunir et regarder cette émission qui répondra sans doute à nombre de vos questions.

Nicolas Sarkozy répondra en effet à 100 Français (échantillon représentatif sélectionné par la SOFRES). Une émission à ne pas manquer quelque soit votre orientation politique.

La grippe Aviaire revient dans les médias, et je peux entendre ça et là de manière toujours aussi inquiétante les oiseaux migrateurs montrés du doigt. Je tiens à réagir face à ces déclarations : Il y a quelques mois, les oiseaux migrateurs étaient déjà montrés du doigt et déclarés responsables des cas de présence du H5N1 en Turquie.

La plupart des gens (réaction amplifiée par les médias), pensent que les oiseaux migrateurs sont la cause de tous les maux. Or je tiens à rappeler que toutes les preuves sont réunies pour assurer que les oiseaux migrateurs ne sont pour rien dans la propagation du virus :

1) La propagation du virus H5N1 n’a en aucun cas suivi une route migratoire aviaire. Aucun oiseau ne migre de la Chine vers l’Europe, suivant un tracé parfaitement horizontal. Par contre, le tracé de la progression du virus correspond à la route principale commerciale humaine entre l’extrême Orient et l’Europe, ce qui correspond plus ou moins à la ligne de chemin de fer de l’Orient Express. Il semble donc évident que ce sont des activités humaines (transport de marchandises, légal ou non) qui soit à l’origine de la propagation.

2) Aucun oiseau capturé lors des contrôles actifs (scientifiques et chasseurs) n’a été déclaré porteur du virus. Hors, il s’agit de plusieurs dizaines de milliers d’oiseaux migrateurs prélevés parmi les espèces les plus sensibles. De plus, de nombreux scientifiques affirment que, vu la violence de ce virus précis (H5N1), aucun oiseau porteur ne pourrait avoir la force suffisante pour entamer une migration.

3) Lorsque la grande majorité des oiseaux migrateurs sont arrivés sur les sites d’hivernage (Ceux passant par l’Europe se sont retrouvés en Afrique) : aucun cas de peste aviaire n’y avait été détecté.

Il est aujourd’hui impératif d’en finir avec cette désinformation qui nuit gravement aux migrateurs. Lorsque les oiseaux migrateurs sont montrés du doigt, c’est généralement pour cacher la véritable cause de l’épidémie : l’incompétence des “autorités compétentes” à gérer ce problème. Arrêtons donc cette langue de bois, cessons de montrer du doigt les oiseaux migrateurs et penchons nous plutôt vers les solutions à apporter à ces problèmes.

Yves Jego sur son blog, nous explique qu’il anime régulièrement des réunions politiques dans lesquelles les gens présents lui posent des questions, ce qui reste pour lui une source d’information précieuse, lui permettant de rester en liaison permanente avec le “terrain”.

La réaction de Mr Jego, me fait penser qu’il ne serait jamais venu l’idée à certains politiques de se “vanter” avant de participer à de tels débats, tellement ils trouvent cela normal et naturel et pratiquent ce type de réunion depuis fort longtemps (20 ans pour Yves Jego). J’ai eu l’occasion de rencontrer Mr Jego, lors d’une réunion qu’il avait organisée, et, bien que ne l’ayant cotoyé qu’une seule fois, il laisse indéniablement l’impression de quelqu’un qui écoute, et qui souhaite réellement améliorer le quotidien de ses concitoyens.

Rassurez vous : il n’est pas le seul. Tous les politiques ne sont pas forcément dans l’immobilisme qu’on leur prête bien souvent, et il ne tient qu’à vous tous de faire avancer les choses, à votre échelle. Seul point négatifs, nos politiques sont généralement débordés, mais il ne faut pas baisser les bras. Je pense aussi que le politique n’est pas là pour répondre aux problèmes de voisinage ou autre, comme on peut le voir dans certains endroits : il existe des procédures juridiques ou de conciliation pour cela.

Votre politique ne semble pas prendre en compte un sujet qui vous parait important pour votre quotidien ou l’avenir de vos concitoyens ? Ne vous énervez pas, comme vous le politique est humain, il fait des choix en fonction de ses affinités : perséverez, apportez des éléments, il ne tient qu’à vous de faire le nécessaire pour le convaincre !

Pour en revenir au principe des débats “participatifs”, au contraire de l’impression que j’ai eu de Mr Jego, j’invite en effet les gens à aller voir comment se passent les débats “participatifs” de Mme Royal (bien peu présente dans l’hémicyle au passage ces dernières années) : on en est particulièrement déçu: Segolène Royal lance le débat, mais ensuite ce n’est pas elle qui répond aux questions… Drôle de “participation”. L’impression que l’on a lorsque l’on ressort de ces débats, se rapproche d’avantage du malaise que de l’impression d’avoir réellement été écouté.

Pour voir le billet d’Yves Jego à ce propos, direction : http://yvesjego.typepad.com/blog/2007/01/dbat_participat.html

Hackers, crackers, pirates, crashers… Les médias et le grand public se sont emparés de ces mots. Utilisés souvent à tort et à travers, il devient de plus en plus difficile de trier le bon grain de l’ivraie dans la masse exponentielle de nouvelles informations sans cesse disponibles dans les différents médias.

Ce billet a pour ambition de pouvoir enfin remettre les choses à leur place, dans ce monde confus où s’entremêlent réseaux de télécommunication, Internet, Information, communautés et monde réel.

I] Les hackers

Les hackers considérés à tort comme des pirates ont eu bien du mal à défendre leur réputation. De plus la confusion apportée par des termes comme « ethical hacker », hacker « black hat » ou « white hat » n’a fait qu’aggraver les choses.La réalité est bien loin de ce que nous chantent les médias : Les hackers ne sont pas des pirates, ils ne s’introduisent pas illégalement dans des systèmes d’information ne leur appartenant pas, et ce qu’elles que soient leurs motivations.

Un hacker est tout simplement une personne passionnée par le fonctionnement des rouages des systèmes d’exploitation et des réseaux. Bien qu’il s’agisse souvent de programmeurs, cela n’est pas toujours le cas.

De part ses connaissances avancées dans divers domaines, il découvre souvent de nouvelles vulnérabilités à différents niveaux (réseau, système, application…), mais ces découvertes ne sont pas utilisées contre d’autres systèmes même s’il peut découvrir par hasard lors d’une manipulation « normale » une vulnérabilité sur un système qui n’est pas le sien.

Le terme « hacker » est apparu au sein du MIT. Les gens à l’origine de la création d’Internet ou des systèmes d’exploitation Unix peuvent être considérés comme des hackers. Ken Thompson ou encore Richard Stallman sont des hackers.

Contrairement à ce que l’on peut trouver dans certaines publications soi disant « underground », où les « hackers » sont décrits avec une cigarette au bec, cheveux sales et une canette de bière à coté du bureau, les vrais hackers refusent toute forme de dépendance et de soumission (car elle serait une entrave à leur développement) et par là même ces futilités que sont l’alcool et la cigarette…

II] Les crackers

Un cracker est une personne qui porte atteinte volontairement à l’intégrité d’un système d’information, généralement à des fins malveillantes. Il peut détruire ou dérober des données, attaquer d’autres systèmes, ou effectuer toute autre acte nuisible. Certains d’entre eux cependant peuvent ne pas êtres destructeurs.

Il existe plusieurs catégories de crackers (pirates). Nombre d’entre eux s’auto-proclament hackers. D’autres préfèrent le terme de hacker « whitehat ». Pourtant si les motivations des crackers peuvent être très différentes en fonction de la situation (intérêt, challenge, défi, vengeance, argent, contrat, information) le cracker reste un pirate.

Une infime minorité de pirates sont d’un excellent niveau, ils se rapprochent des hackers en terme de compétence et de passion. Certains hackers deviennent parfois des pirates, ils cessent alors d’être des hackers. Parfois le contraire se produit, et un pirate talentueux peut se « ranger » et devenir lui même hacker.

Ce qui les différencie reste alors le « mens rea », c’est à dire l’intention coupable.

La grande majorité des pirates n’a rien à voir avec les hackers. Souvent peu compétents ils se contentent d’utiliser des outils d’exploitation automatique à la recherche souvent aléatoire de machines potentiellement vulnérables. On les appelle souvent sous les sobriquets de « lamers » ou plus récemment « script kiddies ».

Les crackers les plus dangereux et les plus talentueux n’ont souvent rien à voir avec le profil « petit génie » de l’informatique autiste caché derrière son clavier. En effet le maillon le plus faible de tout système d’information reste avant tout le facteur humain, et c’est plus souvent la connaissance et l’exploitation de faiblesses humaines (Social Engineering) qui fait réellement la différence.

Connaître un minimum de psychologie, savoir inspirer immédiatement confiance par un simple appel téléphonique sont alors des compétences obligatoires pour la réussite dans la pénétration de réseaux et systèmes d’information hautement protégés. Pour conclure nous dirons également que certains individus sont les exceptions de ces « règles » et ont du mal à être classifiés dans l’une ou l’autre des deux catégories (pirate ou hackers ?). Cependant ces exceptions ne sont plus d’actualité depuis quelques années.

En effet aux prémices d’internet, à l’époque de l’apogée des BBS et réseaux parallèles tels GTI, il était impensable pour un passionné de pouvoir travailler sur un système unix. Ce système d’exploitation était en effet réservé aux organisations fortunées capables de s’offrir LA machine et l’unix qui allait avec. Même en économisant pendant plus d’un an, aucun citoyen « lambda » ne pourrait obtenir de tels systèmes.

A cette époque certains hackers ont alors pénétré certains systèmes informatiques, non pas pour y dérober des données ou effectuer des actes nuisibles mais simplement pour pouvoir étudier ce système et en apprendre d’avantage.

Si, en effet, cette motivation a pu être compréhensible, cette époque est révolue : depuis l’avènement de Gnu/Linux et autres systèmes libres, n’importe qui peut récupérer quelques vieilles machines dans une décharge ou pour une bouchée de pain, et se monter son propre réseau, systèmes et serveurs pour en étudier les rouages sous toutes les coutures.

III] Les consultants sécurité

Consultant : un mot à la signification bien vague et imprécise… C’est celui que l’on consulte, parfois pourtant celui qui intervient directement, les définitions sont encore plus nombreuses que dans les cas précédents. Il est difficile de « classifier » le rôle des consultants et experts sécurité dans le milieu de la sécurité informatique. En effet cette dernière comprend un nombre particulièrement important de disciplines différentes.

Tests d’intrusion, de vulnérabilité, audit interne, politique de sécurité de sa conception à son application, opérations de sécurisation sous différentes formes (firewall, ids, bastions, etc…), sécurité applicative, guerre de l’information ou encore cryptographie et cryptanalyse : chaque discipline requiert des compétences bien précises et spécifiques

Les tests d’intrusion sont la prestation ayant le lien de parenté le plus direct avec l’underground. En effet un test d’intrusion a pour but de tester la sécurité d’un système d’information en se mettant dans l’exacte situation d’un cracker.

Exceptionnellement certains anciens crackers peuvent se voir quelques années après devenir d’excellents consultants en sécurité spécialisés en techniques intrusives.

Pour conclure, j’espère que ce billet contribuera à rétablir la vérité sur ce monde passionnant, ou, malheureusement les idées reçues et les préjugés, ont scellé, il y a bien longtemps, le « sort » médiatique des véritables hackers.

Le mot de passe, quelque chose de si simple, si usuel qu’on en oublie très souvent l’importance. Boites emails, comptes shell, applications web, intranet, accès à votre compte bancaire : le mot de passe est partout.

L’importance du mot de passe est souvent sous estimée. On trouve ainsi de nombreux systèmes où des efforts considérables de sécurité ont été effectués, alors que les stratégies de mots de passe, définies le plus souvent sur le papier au sein de la politique de sécurité ou de la charte d’utilisation du système d’information, sont rarement vérifiées et appliquées.

Un cracker souhaitant devenir maître d’un système d’information, cherchera dans un premier temps à obtenir un compte au sein du système ou de l’application cible, puis cherchera à élever son niveau de privilèges jusqu’à obtenir ceux dont il a besoin pour accomplir sa tâche. Le premier compte obtenu, est souvent un compte utilisateur « mineur » ne disposant pas de privilèges particuliers, et où en conséquence, aucune stratégie de mot de passe particulière n’aura été appliquée.

Nom, prénom, mot usuel ou familier, le mot de passe d’un point considéré à tort comme non sensible (ex : mot de passe d’une secrétaire, d’un compte invité ou autre), constitue une faiblesse critique dans un système d’information.

Il existe pourtant quelques règles simples permettant d’obtenir un mot de passe d’une solidité tout à fait convenable. La première règle en matière de mots de passe est de ne jamais choisir un mot « réel », c’est à dire que l’on puisse trouver dans un dictionnaire (utilisés pour les attaques de type brute forcing sur un ou plusieurs comptes).

Tous les composés chimiques, noms propres, etc… sont bien entendu également à proscrire (les dictionnaires utilisés dans le brute forcing contiennent en effet également de type de de mot).Le brute forcing s’explique assez simplement : Sachant que l’on connaît l’algorithme de codage des mots de passe, il suffit alors de l’appliquer à des dictionnaires choisis astucieusement (on en trouve une multitude sur Internet et il est très facile d’en composer soi même), de crypter chaque mot du dictionnaire avec l’algorithme utilisé par le système de cryptage des mots de passe et de comparer le résultat avec l’existant.

Il est également possible d’utiliser du brute force dit « direct » en s’adressant directement au service d’authentification et en simulant un envoie via le protocole adapté du login et du mot de passe. En utilisant une technique de brute forcing sur un fichier, 20% des mots de passes sont cassés dans une moyenne d’une heure. Il est donc capital de choisir son mot de passe avec le plus grand sérieux.

Il convient de d’effectuer ce choix avec la plus grande attention, car il n’est jamais possible de connaître les informations dont le pirate dispose. Soyez donc vigilants et n’utilisez aucune information personnelle (numéro de sécurité sociale, immatriculation, prénom de votre petite amie, etc…).

Ne donner votre mot de passe à PERSONNE. Le mot de passe est un secret uniquement entre vous et le système, personne d’autres de doit être en mesure de l’utiliser et surtout pas votre voisin de bureau…Cette règle vaut dans toutes les situations, et le téléphone n’est pas une exception (de plus il est plus dur d’être certain de l’identité de son interlocuteur au téléphone qu’en l’ayant en face de soi.).

Il existe heureusement quelques techniques simples et efficaces permettant de générer un mot de passe solide. Un livre entier ne suffirait pas à toutes les énumérer, je vais donc rapidement expliquer les plus simples et les plus efficaces. Attention, la sécurité d’un mot de passe est également relative à l’algorithme de cryptage utilisé.

I] La phrase mnémonique

Cette méthode très simple permet de construire de bons mots de passe que vous pourrez retrouver facilement en cas d’oubli ou de perte.

Prenons l’exemple suivant : “Hier, ma femme est allée faire les courses.”

Maintenant gardons uniquement les initiales de cette phrase, nous obtenons alors : Hmfeaflc
C’est bien mais ce n’est pas suffisant. Un bon mot de passe contient non seulement les majuscules, des minuscules mais également des chiffres et caractères spéciaux.

Prenons le cas d’une autre phrase : “La Ciotat et Aubagne, sont deux villes !”

Effectuons la même opération mais gardons la ponctuation. Nous pouvons également remplacer le mot « deux » par le chiffre équivalent et le mot « et » par le signe correspondant ce qui donne :
La Ciotat et Aubagne, sont deux villes ! -> LC&A,s2v!

Voilà qui est mieux, ce mot de passe sera assez solide pour la plupart des utilisations et restera assez simple à retenir grâce à la phrase mnémonique.

Cette méthode est efficace mais il faut arriver à un mot de passe d’un minimum de 8 caractères.

II] La méthode par substitution

Cette méthode qui fait partie des plus simple, est pourtant l’une des plus efficace. Il suffit d’apprendre par coeur une chaîne de caratères comme par exemple « !*+._& ».

Ensuite d’appliquer sur un mot cette chaîne, soit en intercalant après chaque lettre un caractère de la chaîne soit en remplaçant par ex une lettre sur deux par la dite chaîne.

Par exemple le mot Digital4 peut devenir :

Digital4 –> !D*i+g.i_t&a!l*4 ou encore Digital4 –> D!g*t+l.

Libre à vous d’utiliser les variantes que vous souhaitez en ayant une préférence pour l’utilisation combinée des caractères spéciaux, chiffres, majuscules et minuscules au sein d’un même mot de passe.

III] Autres méthodes

On pourrait écrire des centaines de pages sur la fabrication de mots de passe surs, des techniques les plus simples aux plus sophistiquées. N’hésitez pas à inventer votre propre méthode : celle qui vous conviendra le mieux. Mais n’oubliez jamais les règles essentielles énoncées plus haut :

- Un mot de passe est TOP SECRET
- Il ne doit en aucun cas être un mot réel
- Il doit comporter un minimum de 8 caractères

Il doit être composé de lettres minuscules et majuscules, de chiffres et de caractères spéciaux.

IV] Optimiser la sécurité

Bien que le mot de passe représente un maillon parmi les plus importants de la chaîne « sécuritaire », un bon mot de passe n’est évidement pas suffisant pour protéger efficacement ses données. Afin qu’une stratégie de mot de passe soit efficace il faut :

- Ne jamais faire transiter le mot de passe en clair sur le réseau
- Etre sûr que l’on s’adresse bien au bon système d’information
- Etre attentif au moindre message d’alerte et/ou avertissement (ex ssh/ssl)
- Que la sécurité de la machine sur laquelle est tapé le mot de passe soit garantie
- Utiliser un système de cryptage sur les couches concernées afin d’éviter tout risque d’hijacking (vol de session sans besoin du mot de passe).

Certains prétendent également que le mot de passe est une technique révolue face aux divers autres types d’authentification existants (pki, biométrie, systèmes jetables, etc…). Je leur répondrai tout d’abord que la vocation de ces techniques est différente, et qu’il ne faut pas confondre identification et authentification. De plus les tests d’intrusion que j’effectue au quotidien montrent le contraire : si le remplacement de l’authentification classique par un système d’identification biométrique par ex peut dérouter un pirate, il n’est en rien plus sécurisé qu’un simple login/pass, notamment à cause du maillon faible que représentent souvent les systèmes d’authentification alternatifs et centralisés.

On peut réellement se poser la question. On finirait presque par croire qu’elle le fait exprès. Après la Chine, le Liban, l’Iran, Israël, les sous-marins nucléaires et le Canada, c’est au tour de la Corse !

Segolène Royal vient de se faire piéger par l’imitateur Gérarld Dahan. Ce dernier se faisant passer pour le premier ministre du québec expliquait au sujet du précédent faux pas de Ségolène Royal : “C’est comme si nous, on disait qu’il faut que la Corse soit indépendante“, phrase à laquelle la candidate a répondu : “Les Français ne seraient pas contre d’ailleurs” tout en rajoutant “Ne répétez pas cela. Cela va encore faire un incident. C’est secret“.

Bref du grand art comme à son habitude. La France a-t-elle vraiment besoin de ça aujourd’hui ? Je ne le pense pas !

Comme j’ai souvent l’occasion de l’expliquer, voter Nicolas Sarkozy n’est pas qu’une affaire de politique. C’est également une affaire de patriotisme, au sens de vouloir le meilleur pour la France et pour les Français. Au contraire du programme du Parti Socialiste, dont même les militants de ce dernier remarqueront la triste “profondeur”, Nicolas Sarkozy avec toute l’équipe UMP propose un programme budgétaire et fiscal, responsable et courageux.

Rappelons que Nicolas Sarkozy s’est notamment engagé devant les Français à :

- Réduire de 4 points les prélèvements obligatoires (ce qui revient à rendre environ 68 milliards d’euro aux Français)
- Réduire l’endettement public (le ramenant à 60% de la dette en 2012, notamment en inscrivant dans la constitution l’interdiction de financer les dépenses publiques courantes par l’emprunt.
- Engager les réformes nécessaires à l’amélioration de l’efficactité et de la productivité de l’Etat, avec comme objectif un gain annuel de 2% de productivité, soit près de 18 milliards d’euro d’économies.

Dans le même temps, le Parti Socialiste propose :

- D’augmenter les impôts
- De supprimer les allègements fiscaux
- De taxer et de dévaloriser d’avantage le travail en généralisant les 35H00 qui pèsent déjà lourdement sur notre économie.
- Un programme qui fait semblant d’apporter des nouveautés (généralisation du smic à 1500 euro sur 5 ans, alors que c’est exactement le même ratio d’augmentation qu’il y a eu au cours des 5 dernières années).

Comme toujours, je reste ouvert pour en débattre avec vous tous.

Après ses “prouesses” diplomatiques au Liban en Israël et ses tribulations en Chine, Ségolène Royal continue sa “tournée des grands flops” et a choisit cette fois le Canada pour sévir.Interrogée sur la question de la souveraineté nationale du Québec par Radio-Canada, cette dernière a déclaré que sa position reflétait des “valeurs communes, soit la liberté et la souveraineté du Quebec.”

Sa réaction sur ce sujet connu comme ultra-sensible au Canada, n’a pas manqué de déclencher une vive polémique, ainsi qu’une réaction du premier ministre, Stephen Harper qui a notamment déclaré qu’il jugeait totalement inapproprié qu’un “leader” (heureusement que ce n’est pas le cas…) étranger se mêle ainsi des affaires démocratiques d’un autre pays.

Interrogé ce soir chez Fogiel au sujet des différentes gaffes accumulées et notamment au sujet du survol du territoire libanais par l’armée israëlienne, Julien Dray n’a pas hésité à déclarer qu’elle faisait “de la diplomatie concrête” (sic) car suite à cela nous n’avions plus entendu parler de l’incident du survol (double sic).

Rappelons que Segolène Royal avait déclaré au Liban être scandalisée par ce survol tandis qu’elle signalait quelques jours plus tard devant les responsables israëliens que cela ne posait pas de problème…

Lorsque l’on examine le bilan de la gauche, tous les chiffres s’accordent pour dire qu’il s’agit d’un bilan bien peu glorieux, que ce soit en terme de sécurité, d’économie ou d’impôts… Malgré tout, au travers des différents gouvernements, de gauche comme de droite, la France a toujours occupé une position relativement importante sur le plan international, et a souvent été saluée pour ses prises de position.

On sait déjà que faire le choix de la gauche pourrait entraîner la faillite économique et sociale du pays, mais un nouveau danger émerge : Ségolène Royal. Ségolène Royal est dangereuse : totalement ignare en matière de politique étrangère et de relations internationales, elle représente un véritable danger pour la France et tous les français qu’ils soient de gauche ou de droite.

En effet, comment pourrait-on confier le statut de Président de la République à une candidate qui part à la rencontre d’organisations terroristes telles que le Hezbollah ou le Hamas ? Ségolène prétend que lorsque le Hezbollah a affirmé : « Notre expérience de la résistance est inspirée de la vôtre. Le nazisme, qui a versé notre sang, usurpé notre indépendance, n’est pas moins mauvais que le nazisme qui a occupé la France. », une erreur de traduction aurait fait qu’elle n’aurait pas compris ladite citation…

Soit, mais le problème n’est pas là : Ségolène Royal est allée rencontrer des organisations terroristes sans respecter le protocole international en la matière, ce qui, hormis le risque de faire passer la France pour incompétente, représente un risque considérable en matière diplomatique et géopolitique.

Rappelons, entre autres, que le Hamas détient l’un de nos concitoyens en otage et que le Hezbollah est responsable des attentats du 23 Octobre 1983, où pas moins de 58 militaires français, dans le cadre d’une mission de l’ONU ont succombé à Beyrouth…

Rappelons également que Ségolène Royal, bien que présidentiable n’a aucune autorité ni la moindre représentativité de l’état Français. Se permettre dans ces conditions de tels actes relève de l’inconscience… de l’incompétence, ou des deux… Qu’aurait-elle été capable de faire si sa représentativité était réelle ? Quelles auraient pu en être les conséquences ? Espérons que nous n’aurons pas à nous poser cette question.

Les médias ont de la mémoire lorsqu’il s’agit de Nicolas Sarkozy qui reprend le mot « racaille » lorsqu’il répond à l’une des résidentes déclarant en “avoir marre de ces racailles”, mais semblent devenus amnésiques sur l’affaire Montmirail autrement plus grave : Bernard Hanse, professeur d’éducation physique et sportive au collège de Montmirail n’a en effet pas supporté l‘accusation de pédophilie dont un élève l’accusait, qui le conduisit au suicide le 10 juin 1997.

Or le 9 Juillet de la même année, réagissant à la mise en examen pour dénonciation calomnieuse dudit élève, Ségolène Royal (alors en poste au gouvernement en tant que ministre délégué à l’enseignement scolaire) s’entête et déclare aux médias : « L’affaire n’est pas finie, l’enfant s’est peut être rétractée sous la pression des adultes, sous le poids d’un suicide, les reproches qui lui avaient été faits d’avoir parlé ».

Pour information ces propos sont consultables en ligne et cette citation n’a jamais été démentie par Ségolène Royal : http://img108.imageshack.us/img108/574/lettre17juillet97sgolneroyal2f.gif

Ségolène achève son propre auto-portrait lors de son récent voyage en Chine en déclararant “parfois les tribunaux chinois sont plus rapides qu’en France. Vous voyez : avant de donner des leçons aux autres pays, regardons toujours les éléments de comparaison“

J’hésite presque à commenter cette citation qui se suffit à elle-même, rappelons cependant que le modèle de la “justice” chinoise qu’apprécie vraisemblablement la candidate, outre le fait de bafouer quotidiennement les droits de l’homme, s’enorgueillit de statistiques peu enviables : plus de la moitié des exécutions de la planète, un taux d’acquittement proche de 0, des arrestations arbitraires pour délit d’opinion, répression à l’encontre de la presse libérale et des internautes : pas moins de 32 journalistes et 54 « cyberdissidents » sont actuellement emprisonnés en Chine populaire…

La réponse à la question posée plus haut : « Ségolène Royal représente t-elle un danger pour notre pays ? » est donc oui et sans aucune hésitation. J’appelle donc tous nos concitoyens qu’ils soient de droite comme de gauche à se poser la question de la légitimité de l’accession présidentielle à la candidate. N’oublions pas qu’un Président de la République est élu pour 5 ans et qu’il ne sera pas possible de faire marche arrière au lendemain des élections.

On nous la sert à toutes les sauces lorsqu’approchent les élections présidentielles : la sacro-sainte “amnistie”. Faut-il payer ses PV, ou bien faut-il attendre en attendant ce véritable “miracle” pour certains…

Je pense que la bonne question à se poser serait plutôt : “l’amnistie a t’elle encore un sens aujourd’hui ?” En effet si je peux comprendre une certaine forme de tolérance pour celui qui est revenu 20 minutes trop tard sur sa place payante, je ne vois pas en quoi celui qui stationne illégalement sur une place handicapée, ou pire, met en danger la vie des autres à cause de ses dépassements de vitesse devrait être “amnistié”.

L’amnistie est un pouvoir propre au président de la république. Si je comprends, la possibilité d’un droit de grâce qui prend surtout son intérêt dans le très controversé et désormais enterré débat de la peine de mort, ne donne pas le droit moral au président de la république, de se moquer ainsi de ceux qui ont payé et des fonctionnaires de police qui auraient fait tout ce travail, en définitive “pour rien”.

Quel intérêt à l’amnistie sinon d’espérer convaincre quelques électeurs de plus de voter pour tel ou tel autre candidat ? Aujourd’hui, la réponse me parait relativement simple : aucun ! De quel droit devrait on ainsi entraver le système judiciaire ?

Il n’y a absolument plus aucune raison valable de faire preuve de “clémence”, de mépriser la justice et de dévaloriser le temps et l’argent déjà dépensé au traitements de ces PV (édition, émission, traitements).

Vous en avez marre des radars automatiques et des PV à répétition ? Il existe une manière toute simple de s’en débarrasser : respecter le code de la route ! Je rappelle également à ceux qui se plaignent de prendre un pv pour un dépassement “d’à peine” quelques km/h que la vitesse indiquée est la vitesse maximale autorisée, et non la vitesse conseillée. C’est à dire en théorie celle qu’on doit atteindre “en pointe” lors d’un dépassement par exemple.

A bon entendeur…

Je viens de parcourir le dernier “ouvrage” du PS baptisé “L’inquiétante rupture tranquille de monsieur Sarkozy”. J’en ferai dans les prochaines semaines une analyse plus poussée, mais je tenais déjà à donner mes premières impressions après cette pitoyable lecture.Bien entendu je m’attendais bien à un texte partisan, mais cela va ici bien au delà. Selon le PS il s’agirait d’une longue “étude” (sic !) pilotée par le secrétaire national à l’emploi du PS, Eric Besson et menée conjointement avec 3 autres cadres du PS (anonymes…)
Première “bonne” nouvelle, il n’est pas nécessaire de sortir de polytechnique pour comprendre que ce document (à charge) n’a rien d’une étude au sens technique du terme.

Concrêtement qu’est ce que l’on y trouve ? Et bien la même chose que dans le programme du PS : pas grand chose ! On y lit beaucoup d’impressions et de ressentiments sur Nicolas Sarkozy mais bien peu de faits. Les faits n’étant justement pas le point fort du document, et les cadres menant “l’étude” semblant être en manque d’inspiration, on y parle aussi beaucoup de Georges Bush, sans trop comprendre pourquoi.

En effet dans une logique implacable, “l’étude” du PS explique que Georges Bush est un méchant et puis comme en ce moment l’anti-américanisme primaire à la cote, cela permet de meubler le document à peu de frais. On arrive ensuite sur la conclusion suivante : vous n’aimez pas Georges Bush, alors vous ne devez pas aimer Nicolas Sarkozy… Le PS fait là preuve d’une grande finesse comme à son habitude.

Pour la partie du document qui ne parle pas de Georges Bush, mais de Nicolas Sarkozy, on constate qu’en effet, le PS choisit de s’attaquer d’avantage à l’homme qu’au parti (et à son programme au passage), en répétant sans arrêt, que choisir Nicolas Sarkozy c’est faire le choix de la politique américaine. On peut cependant se poser une question : Le PS a t’il seulement lu le programme de l’UMP ? Visiblement les responsables de “l’étude” étaient trop occupés pour ne serait-ce que lire les grandes lignes de ce document visiblement sans importance…

Bref on vous explique de long en large que d’un coté Nicolas Sarkozy serait peu efficace, tout en expliquant qu’il fait beaucoup de choses et que c’est dangereux… Quelques chiffres sont avancés mais totalement sortis de leur contexte, bref que du grand classique.

Enfin on vous explique que Nicolas Sarkozy serait libéral… Oui et ? Et rien justement, le document n’a pour but que de rendre Nicolas Sarkozy antipathique (sécuritaire, libéral, etc…) sans pour autant vraiment y parvenir.

On peut se poser la question : qu’est ce qui fait tant peur au PS, pour chercher à ce point à s’attaquer à l’homme (et à son image) qu’est Nicolas Sarkozy ?

Au final, je trouve la stratégie utilisée particulièrement idiote du point de vue d’une guerre de l’information, le document faisant plutôt de la publicité à notre candidat, il va surtout être lu par des gens du PS dont certains risquent de nous rejoindre après avoir lu de pareils “travaux”. J’espère que si un jour la gauche devait se retrouver au pouvoir (espérons pour le pays que ce cas n’est pas près de se reproduire), les “études” effectuées pour prendre des décisions majeures pour notre pays, ne seront pas effectuée avec la même “qualité” et “impartialité”…

Mon ami et collaborateur Jean-Paul Ney, co-fondateur de la division Intelink, groupe Digital Network était l’invité de L’arène de France hier soir, sur le débat : “sommes nous tous trop surveillés ?”

Invité dans le camp des “oui nous sommes trop surveillés” il a pu a l’aide d’exemples concrêts mettre à mal un certain nombre de dogmes sécuritaires en matière de surveillance et de sécurité.

Il est cependant regrettable que du coté des “non”, il n’y est pas eu de véritables arguments pour la surveillance, qui auraient pu rendre le débat plus constructif et intéressant (exemple : les excellents résultats donnés par les fichiers d’empreinte génétique dans la traque des criminels sexuels, etc…).

Espérons qu’il y ait d’autres débats à l’avenir sur ce sujet très controversé, et que la qualité de ces derniers, parviendra à un consensus alliant le meilleur des 2 mondes, les technologies de la surveillance et la préservation des libertés individuelles.

Depuis quelques jours, le débat continue sur la création d’un nouveau droit “le droit au logement opposable”. Ce nouveau droit permettrait notamment à chaque Français de pouvoir héberger sa famille dans les conditions de dignité et de salubrité auxquelles devrait avoir droit chacun d’entre nous.
Mettre en place un système cohérent en la matière demande un effort particulièrement important. Cependant, tout droit doit être la contrepartie de devoirs, sous peine de se transformer en une nouvelle faille du système social.

A ce titre, je fais la proposition suivante : l’utilisation du “droit au logement opposable” doit en premier lieu avoir pour contrepartie un devoir d’entretien dudit logement, sur la base d’une obligation de résultat. Ce point serait une première garantie pour éviter le délabrement rapide des logements sociaux, par une minorité peu scrupuleuse, entraînant alors les autres habitants dans la même spirale dévastatrice.

Le débat reste ouvert.

Yves Jego publie sur son blog une Chronique parue dans le journal “Les Echos” ce 3 janvier 2007, sur un sujet particulièrement controversé en ce moment intitulée :  L’opposabilité : un nouvel horizon pour le logement