ça par contre c’est vrai j’ai eu aussi affaire à eux et il sont très très avenants de belle personne d’une politesse exquise et tellement prévenantes pour notre plus grand bien (ou plutôt pour nos plus grands biens)
2 « J'aime »
On dérive beaucoup du sujet la, mais oui c’est souvent des serveurs Linux surtout pour leur stabilité, car un serveur windows n’est que très très rarement recommandé en temps que serveur par les développeurs.
Ça viens du fait que Windows et ses services ont pour objectif de servir l’utilisateur final en entreprise, il y a très peu de logiciel tiers qui vont être servi avec ISS pour l’exemple ( serveur web microsoft ).
Et pour gérer des PC utilisateurs, c’est nettement plus simple de gérer un parc Windows (via son serveur Active Directory) qu’un parc de PC Linux.
Dans l’article, il n’est pas question d’OS, donc c’est peu pertinent je trouve de mettre cette question sur la table. Je pense que TNZ faisait un rapport avec l’informatique et ses pratiques en générale, le fait de recommander des outils de sécurisation, sans vision d’ensemble de la sécurité, en effet le maillon VPN dans la chaine de sécurisation de ses pratiques en informatique ne sert que dans certains cas, puis l’OS et ses logiciels doivent être bien configurer en premier lieu, en plus d’un bonne pratique d’usage des couches de sécurité que l’on met en place.
Dans le cas de l’article, rappeler soit même son banquier, ou aller à l’agence pour confirmer, c’est la bonne pratique. Dans tout les cas, on donne jamais d’info’ perso’ par téléphone/mail.
2 « J'aime »
Ce sont surtout les clients de banque en ligne le plus ciblés.
Pas de conseillé attitré
Banque régulièrement injoignable
2 « J'aime »
Il y a beaucoup beaucoup de CVE en cours sur linux, autant que windows, mac et leurs logiciels (libre ou pas), et souvent pas suffisamment de monde pour les patché même s’il y a des correctifs.
On a encore trouvé il y a quelques semaine au taff qu’une app’ avait la fameuse faille log4j, pourtant on fait gaffe.
Linux c’est pas parfait non plus, et pendant les vagues d’audit, on doit patché quasi toutes les semaines plusieurs app’ en même temps.
Les sources de données pour ces attaques en générale, ça vient de serveurs qui se font trouer, pas du PC du clients.
Exemple : Carrefour fait une carte de fidélité, Carrefour se fait piraté, les données des clients sont dans la nature.
On pourrait aussi prendre l’exemple de Pole emploi.
Ou Viamedis(sous-traitant des mutuelles santé) et ses 20 000 000 de comptes dans la natures.
En une attaque d’envergure, on a les informations de milliers (millions?) de personnes.
C’est justement pour ça qu’il est conseillé de pas mettre d’information personnelles pour des comptes random(spotify,discord,steam,l’application que le collègue de taff te recommande), de limiter la communication du numéro de téléphone ( généralement c’est un moyen de recouper les informations perso’ entre base de données : un numéro = un utilisateur )
Une bonne pratique : Créer des légendes, avec un numéro de téléphone par légende, mais la on arrive sur des techniques plus que rébarbatives, bien qu’efficaces.
PS : Si vous voulez voir si votre adresse e-mail figure dans dans un piratage d’envergure accessible depuis internet : https://haveibeenpwned.com/
Personnellement, un de mes mail perso’ se retrouve dans un leak deezer de 2022,
Cela permet de connaitre ces infos :
« Dates of birth, Email addresses, Genders, Geographic locations, IP addresses, Names, Spoken languages, Usernames »
1 « J'aime »
Tout a fait, et on peut avoir des logiciels qui sont affectés indirectement par une faille d’une lib sans forcément qu’on soit au courant que le logiciel utilise la lib en question, à fortiori quand il a été linké dessus statiquement.
Petit à petit, il y a des choses qui se mettent en place (la législation européenne imposera notamment bientôt à tous les éditeurs de logiciels de fournir la SBOM de leurs logiciels, soit en gros une liste de toutes les composants utilisés, avec leur version), mais pour l’instant ça reste compliqué, surtout pour les petites entreprises qui n’ont pas forcément une personne qualifiée et avec suffisamment de temps pour gérer tout ça.
Et y a aussi des problèmes avec les différences de cycle de vie d’un logiciel à l’autre. Par exemple, y a encore plein de grands comptes qui utilisent Python 3.6.8, parce que c’est la version standard sous Red Hat 8. Python 3.6 n’est plus supporté par la PSF depuis 3 ans, mais c’est pas grave, Red Hat assure le support et backporte les patchs de sécurité plus récents dans son Python 3.6.8.
Sauf que c’est valable que pour le Python de base. Quand tu fais une appli qui a des dépendances, tu te retrouves à tirer des versions de ces dépendances qui ne sont plus supportées, parce que les versions encore supportées nécessitent par exemple au moins Python 3.8 ou 3.9. Ben oui, forcément, tous ceux qui créent des libs Python, ils ne se callent pas sur les cycles de vie de Red Hat, mais plutôt sur ceux de la PSF.
Et sur ces versions plus supportées, il peut donc y avoir des failles déjà connues, et pas forcément non plus d’alerte en cas de nouvelle faille, parce que plus personne ne s’occupe de les suivre… Du coup t’as beau avoir un OS encore supporté, un Python sécurisé avec des backports des tous derniers patchs, au final tu laisses quand même des trous béants, sans forcément t’en rendre compte (parce que même ceux qui font l’effort de vérifier un minimum leurs dépendances, ils vont souvent se limiter aux dépendances directes et négliger les dépendances indirectes…).
3 « J'aime »
Tout à fait, c’est de vrai dominos, une lib qui tombe et les SI de la planète tremblent.
On peux prendre aussi le cas de XZ, vieux projet étudiant, qui, sans le nez creux et l’expérience d’un employé de microsoft(Andres Freund) aurai contaminé la terre entière à coups de serveurs SSH compromis.
Bref, que d’exemples 
ps : merci pour le SBOM. j’étaie pas au courant.
1 « J'aime »
Confiance en l’OS … mouhahaha : la grosse réflexion café du commerce ! 
Le mieux qu’on puisse faire est d’avoir un OS à jour vis à vis des CVE (du coup, on évite Windows et les distribs molles des genoux) et surtout de rester attentif face aux contacts douteux. Même les antivirus ne peuvent pas mieux faire par rapport à leur base de signature (qui souvent se mettent à jour APRES la publication des correctifs des OS les plus réactifs).
Ce n’est pas imparable, mais c’est toujours le moins pire.
Pour tout ce qui est librairies, dépendances etc … il n’y a pas beaucoup de solutions :
- Montée de version en urgence pour boucher les trous (et des fois ça veut dire réécriture partielle ou complète de l’appli)
- Mise en DMZ avec un monitoring des flux confié à un EDR en mode hardcore.
Face à ces situations où les recommandations / conseils ne sont que des actions en réaction, il convient de passer à l’étape suivante CàD l’anticipation. On monte les versions avec TOUTES les corrections de sécurité par défaut, même si cela doit avoir un impact sur les applis. Cela coûtera moins cher de monter de version que rattraper dans l’urgence des données ou des applis par les cheveux.
Mieux vaut choisir (les montées de version) que subir.
1 « J'aime »
ou mais un vpn aussi y’a aucun lien
Je vois pas comment on anticipe les MaJ de sécu’.
Ni les cassages de confs/dépendances.(Les changelogs sont pas toujours verbeux )
Sinon : t’as tout a fait raison, mais j’ai l’impression d’une certaine « simplicité » dans le ton.
Tout a fait. Et à fortiori quand c’est une faille 0 day. Par définition aucune anticipation n’est possible dans ce cas : au moment où la faille est rendue publique, elle est déjà exploitée.
Oui, mais de ce que je lis dans la presse, il ne s’agit pas toujours ni forcément de personnes âgées, il y a des personnes de tous âges et milieu social. 
1 « J'aime »
Un jour on s’est fait piraté la boite mail… c’était l’enfer pour mon grade.
Encore novice j’étais au front, seul à gérer le piratage projeté parmi les cravateux de ma boite, c’était quelque chose, j’ai très mal dormis pendant cette semaine la.
En cela TNZ à tout à fait raison, il faut maj en toutes priorités.
Personnellement par chez moi, j’ai beaucoup (trop) de services à maintenir, et j’y arrive pas, c’est terriblement frustrant.
Du coups je priorise pour avoir suffisamment de temps pour le reste du MCO et les projets.
Si quelqu’un a des astuces pour organiser son temps, je suis preneur.
Il faut rester humble devant ce type de problème, tout le monde sera concerné un jour ou l’autre et dans ce cas ce n’est pas un problème technique mais humain. C’est comme les tests d’évacuation incendie on les prend à la rigolade mais le jour ou cela arrive on se marche dessus .
2 « J'aime »
Oui en principe pour le grand-publique, je pense que c’est pour relever le lien vers un comparatif de VPN en fin d’article.
Par la suite dans les commentaires, on a parlé sécurisation des systèmes d’informations sachant que la fuite d’information qui rend possible en parti ce genre d’arnaque est rendu possible par les différents piratage de systèmes d’information.
L’utilisateur est généralement le dindon de la farce, c’est lui qui paye.
1 « J'aime »
Pas vu ^^
Heureusement que j’ai pas dit que c’était toujours des personnes âgés d’un seul milieu social.
1 « J'aime »
Alors il fallait ratisser plus large au niveau des exemples.
1 « J'aime »
Il serait bien de diffuser à la place de nos spots publicitaires des messages informatifs sur ce genre d’arnaque, ça aurait déjà UN PEU PLUS d’utilité…
On a déjà moultes façons d’être informé (mail, message lors de la connexion au compte etc…), mais à priori ça ne suffit pas.
1 « J'aime »
C’est exactement ce que j’ai fait, ça tombe bien…
1 « J'aime »