Voici un petit compte rendu de mes observations faites suite à la mise à l'essaie de quelques pare-feu.
Shorewall
Site web : www.shorewall.net Frontend pour IPTables sur Linux. Shorewall nous amène le concepte de "zones". Il se configure à l'aide du bon vieux fichier .conf.
Points forts :
Très flexible
Concepte de zones intéressants
Demande peu de ressources (486 minimum)
Points faibles :
Facile de s'y perdre au début
m0n0wall
Site web : m0n0.ch
Solution minimalistique, mais efficace. m0n0 fonctionne avec pf sous FreeBSD.
Points forts :
Très petit!
Demande peu de ressources (P1 minimum)
Fichier de conf XML
Points faibles :
Pas d'option évoluée
pfSense
Site web : http://www.pfsense.org
Semblable à m0n0wall (aussi sur BSD), mais avec plus d'options. Possibilité de faire du load balancing et du traffic shaping. Disponible sou forme de ISO qu'on installe directement sur une machine comme un système d'exploitation. Permet de créer 3 types de VPN.
Points forts :
Interface graphique impécable
Demande moyennement peu de ressource (P2 minimum)
Installation facile
Points faibles :
Impossible de faire du multi-wan avec une connexion PPPOe :(
Untangle
Site web : www.untangle.com
Projet open source sur Linux mais commercial. Untangle offre une version gratuite qui n'a rien à envier au autre pare-feu. Solution très complète, mais malheureusement vous ne pourrez pas installer ce charmant logiciel sur votre vieu P1 ou P2 qui traîne dans votre garde-robe, car la configuration minimale est un processeur de 1000GHz (P3 minimum)
Points forts :
Quantité abondante d'options
Interface graphique très plaisante
Points faibles :
Gourmand sur les ressources (P3 minimum)
Mon coup de coeur: pfSense pour le meilleur rapport simplicité/efficacité.
AH le titre accrocheur... Ben non on n'utilise pas de drogue illicite, c'est cependant le sentiment que j'ai eu lorsque j'ai été confronté à la nouvelle sécurité mise en place sur le service en ligne d'AccesD de Desjardins. Le petit joint est pour représenter la créativité de l'équipe en charge de trouver la solution de sécurité informatique pour réduire les risques de fraude suite aux millions de pourriels envoyés chaque semaine, se faisant passer pour Desjardins, pour dépouiller les utilisateurs naïfs de leur argent.
La solution retenue surprend mais sera certes efficace, j'explique...
Non seulement Desjardins décide d'aller de l'avant avec le concept de 3 questions réponses que d'autres joueurs ont déjà implémenté auparavant, mais Desjardins en ajoute, et c'est là la partie créative!
Desjardins demande à l'utilisateur d'inscrire une phrase. Ensuite, le système assigne une image au hasard au compte de l'utilisateur et ces 2 informations s'affichent sur la page du formulaire de mot de passe lors d'une connexion ce qui permet de sonner les cloches de l'utilisateur que si sa phrase n'est pas la bonne ou l'image n'est pas la bonne, il est alors sur un site Web contrefait et il ne doit pas inscrire son mot de passe. Efficace, oui. Surtout si les gens prennent le temps de lire avant de procéder ce qui est régulièrement le principale problème des utilisateurs d'Internet, habitué par Windows au next, next next next ok, i agree, continue oui oui là là, on arrives tu à fin betôt!
Je serai curieux de voir des statistiques dans les prochains mois du nombre de fraudes qui diminuent suite à cette démarche. Bien sûr, ce n'est pas le genre de chiffre que Desjardins veut rendre public!
Bonne solution, mais je suis certain que dans la salle de conférence, la personne qui a soulevé l'idée, a dû passer son tour une couple de fois, gênée de proposer cette solution!
Reste à voir si des méchants hackers mettront des robots en place pour passer le premier formulaire avec une génération de # de carte pour aller chercher la fameuse phrase et l'image pour reconstituer la base de données de leur côté pour être encore en mesure de contrefaire AccesD, dans un tel cas, restera encore les fameuses 3 questions réponses!
L'autre soir, en parlant avec mon père qui est gérant/chef mécanicien d'un garage, j'essayais de le convaincre qu'une erreur de programmation, qui peut paraître stupide à première vue, peut engendrer des répercutions qui pourrait mettre la vie de certaines personnes en danger.
Vous devinez probablement son scepticisme. Il était en effet convaincu qu'une erreur majeure pourrait entrainer des problèmes majeurs, comme par exemple un mauvais calcul sur un système bancaire, mais jamais qu'une petite erreur de tous les jours pourrait causer la perte de vies ou les mettre en danger.
Bien franchement, je n'en étais pas complètement convaincu moi-même, mais hier après-midi, j'ai trouvé des preuves très concrètes.
La plupart des langages de programmation sont faits, à la base, pour servir une population anglaise. Ce n'est donc pas du tout surprenant pour nous de rencontrer des problèmes où un accent a été mal interprété, mal affiché ou simplement tronqué. C'est une erreur que la majorité des personnes considèreraient comme mineure et simplement agaçante.
L'histoire que je viens vous présenter est celle de Emmine et Ramazan Çalçoban qui habite Hurriyet en Turquie. Je vais vous faire un court résumé mais pour plus de détails, je vais vous laisser le plaisir de lire l'article.
Ramazan avait envoyé un message texte, par cellulaire, à son ex-femme. Ils étaient en instance de divorce. Dans son message, il avait utiliser la lettre "ì" qui est finalement arrivée en simple "i" chez la destinataire. Au départ le message n'était pas offensant, à la réception, simplement en interchangeant les deux "i", le message s'est transformé en une insulte. Le message reçu a engendré des évènements un peu farfelus mais quand même réels qui ont finalement résulté en 2 morts et 3 emprisonnements.
Il serait maintenant difficile de contredire qu'une simple petite erreur de programmation ne peut pas engendrer la mort...
Ayant travaillé comme technicien informatique pour quelques entreprises oeuvrant dans le domaine de l'assurance, on ma souvent demandé d'amener un solution pour répondre à leur besoin de confidentialité.
Bon technicien comme je suis, je me devais de me soucier du coût de cette implantation. Je me suis alors tourné vers l'open source et j'ai trouvé une solution miracle qui s'appelle TrueCrypt.
L'implantation de ce logiciel est simple. L'étape la plus dure reste toujours de former le personel pour qu'il en fasse bon usage... mais encore là, les procédure et règles sont simples et causent rarement problème.
TrueCrypt peut s'installer aussi bien sur une plateforme Windows (32bit) que Linux (32 ou 64bit).
TrueCrypt permet de créer un conteneur et d'y crypter son contenu avec un choix d'algorithmes prédéfinis. Le conteneur peut être une partition ou tout simplement un fichier (plus facile à déplacer si le besoin y est).
Le principe de fonctionnement est simple: vous devez fournir la clé secrète pour mounter la partition ou le fichier (qui deviendra lui-même une partition). Une fois mounté, vous pouvez y lire son contenu et/ou écrire à l'intérieur, et cela de manière transparante. Le seul downside, c'est que vous perdez un peu en vitesse (négligeable), mais vous gagnez en sécurité (non-négligeable!).
Une particularité vraiment géniale avec TryeCrypt est qu'il permet de cacher un conteneur DANS un conteneur pour ainsi créer un sous-conteneur. Ce qui nous amène à cette particularité intéressante:
Dans l'éventualité où on vous force de révéler la clé secrète, TrueCrypt vous apporte une déniabilité plausible.
Il est impossible d'identifier un conteneur crypté par TrueCrypt. Tant que la 2e clé n'est pas fourni, il est impossible de prouver l'existance de celui-ci.
Que ce soit pour sécurisé vos backups importants, votre clé USB ou tout simplement votre disque dur, TrueCrypt est une solution gratuite et excessivement efficace.
Le plug-n-play c'est super le fun... Sauf que ce n'est pas magique!
Vous branchez votre routeur sans-fil que vous venez d'acheter: Hourra tout fonctionne!
Ouais ouais... mais ça fonctionne TROP! Si vous ne configurez pas votre routeur sans-fils (comme la majorité des gens, malheureusement), vous consentez donc à partager vorte connexion internet et même votre réseau local à tout vos voisins!
Vous vous sentez moins généreux tout d'un coup ? Alors ouvrez le manuel d'instruction de votre routeur sans-fil et suivez les étapes pour le configurer correctement (non, le plug-n-play ne le fera pas à votre place!).
Une attention particulière devrait être portée au niveau de la sécurité. Petit truc de base, ne broadcaster pas votre SSID. Cela veut dire que votre réseau sans-fils ne sera pas vu automatiquement par vos voisins. Ensuite, optez pour une encryption. Je vous conseille une clé WEP de 64bit et de la changer touts les 2-3 mois. Rappelez-vous que plus l'encryption est lourde, plus votre bande passante diminuera. 64 bits est un bon compromis.
Voici quelques conseils de base que j'ai choisi departager. Ceux-ci portent sur la sécurité dans un environnement informatique :
Premièrement, il ne suffit pas de prévenir, il faut aussi avoir un plan d'urgence.
Aucun système n'est sécure à 100%. Un plan de backup en cas de pépin s'avère toujours un atout.
Pour mieux prévenir la menace, c'est toujours mieux si on a une idée d'où elle peut provenir. Une erreur fréquente: on ne pense qu'à se protéger de l'extérieur, mais saviez vous que 60% des attaques informatique surviennent de l'intérieur même des lieux informatiques? Mieux vos revoir ses règles de pare-feu deux fois ;)
Connaître les types d'attaques peut nous aider à nous protéger :
Un vol de données est une attaque silencieuse et peut-être vous ne vous en rendrez jamais compte! Un système de log et surtout une lecture mensuel de ces logs sont de mises.
Une usurpation est une attaque souvent exécuter à l'aide du "man in the middle". Pour contrer ce genre de menace, un VPN pour vos transactions sensibles devraient en décourager plus d'un.
Une destruction est une attaque de type sabotage qui peut s'avérer très coûteuse si aucun système de backup est en place. Un backup corrompu c'est encore moins efficace que pas de backup du tout... Tester vos backups!!
Les malfaiteurs ont plus d'un tours dans leurs sac pour s'infiltrer dans un système informatique. Parfois, même un mot de passe long de 500 charactères peut devenir totalement inutile si la victime se fait avoir avec le social engineering ou un coup de phishing.
Informer les utilisateurs du système, éduquez-les, ils vous remercieront.
Voici quelques conseils de base que j'ai choisis de partager. Ceux-ci portent sur la sécurité dans un environnement informatique :
Premièrement, il ne suffit pas de prévenir, il faut aussi avoir un plan d'urgence.
Aucun système n'est sécure à 100%. Un plan de backup en cas de pépin s'avère toujours un atout.
Pour mieux prévenir la menace, c'est toujours mieux si on a une idée d'où elle peut provenir. Une erreur fréquente: on ne pense qu'à se protéger de l'extérieur, mais saviez vous que 60% des attaques cybernétiques surviennent de l'intérieur même des lieux informatiques? Mieux vos revoir ses règles de pare-feu deux fois ;)
Connaître les types d'attaques peut nous aider à nous protéger :
Un vol de données est une attaque passive et silencieuse. Peut-être vous ne vous en rendrez jamais compte! Un système de log et surtout une lecture mensuel de ces logs est de mise.
Une usurpation est une attaque souvent exécutée à l'aide du man in the middle. Pour contrer ce genre de menace, un VPN pour vos transactions sensibles devraient en décourager plus d'un.
Une destruction est une attaque de type sabotage qui peut s'avérer très coûteuse si aucun système de backup est en place. Un backup corrompu c'est encore moins efficace que pas de backup du tout... Tester vos backups!!
Les malfaiteurs ont plus d'un tour dans leur sac pour s'infiltrer dans un système informatique. Parfois, même un mot de passe long de 500 charactères peut devenir totalement inutile si la victime se fait avoir avec le social engineering ou un coup de phishing.
Informez les utilisateurs du système, éduquez-les, ils vous remercieront.
L'extension est maintenant disponible pour Firefox 2.0+ et fonctionne très bien! L'outil offre des options pour générer des mots de passe plus facile à taper au clavier avec la main gauche seulement, droite seulement ou les 2 mains, l'utilisation de lettres, chiffres et caractères spéciaux. Si vous n'aimez pas le mot de passe proposé par l'outil, vous n'avez qu'à réutiliser le bouton pour en générer un nouveau.
Plusieurs d'entre vous doivent être au courant d'un des derniers virus qui infecte beaucoup de machine Windows ces temps ci... La situation se présente souvent comme ceci :
Vous avez beaucoup de Pop-up
Un lien vous indique de télécharger winantispyware2006 pour environ 30$ pour vous débarasser du SpyWare
Vous payez et installez le truc et la situation devient pire!
Assurez-vous de ne pas acheter et ne pas installer winantispyware2006.
La majorité des systèmes d'exploitation n'efface pas réellement les fichiers lorsque vous videz la corbeille. Ceux-ci ne font qu'effacer les pointeurs indiquant ou le fichier se trouve sur le disque libérant ainsi l'espace utilisée par le dit fichier. Cependant, dans plusieurs cas, on peut compte des semaines, mois et même années avant que ce fichier soit vraiment effacé du disque dur... Pourquoi? Parque la meilleure façon d'effacer un fichier du disque dur est de s'assurer d'inscrire de la nouvelle information au même endroit sur le disque.
Ainsi, si vous effacez des informations sur le site et donnez ou vendez le disque à une autre personne, celle-ci pourrait très bien avoir accès à de l'information personnelle que vous ne pensiez pas lui rendre disponible!
Alors comment faire?
Il existe toutes sortes d'outils pour vous permettre de supprimer vraiment les fichiers d'un disque dur. Par exemple, le logiciel Eraser est gratuit et Open Source et vous permet d'inscrire de la nouvelle information par dessus l'espace disque non alloué.
De la même façon, vous pourriez parfois vouloir tenter de retrouver un fichier que vous avez supprimé par mégarde... Il existe également des applications Open Source et gratuite mais attention, ce genre de traitement peut être un peu plus complet. Un outil disponible serait TestDisk.
Si un de ces outils vous sauve la vie, ayez une petite pensée pour QuiboWeb!
Sur le nouveau serveur de QuiboWeb, FTP n'est pas disponible car nous avons fermé le port pour utiliser SFTP qui est plus sécuritaire.
Mais qu'est-ce que c'est la différence entre FTP et SFTP?
Je ne veux pas rentrer dans les détails car plusieurs l'ont fait avant moi comme sur le site Wise FTP. Ce qui est important de saisir c'est que les transferts d'information sont encryptés en SFTP et sont en texte clair dans le cas de FTP.
Pour utiliser SFTP sous Windows, je propose d'installer FileZilla. Le fonctionnement est identique qu'avec le protocole FTP à l'exception près qu'il faut choisir SFTP dans la liste déroulante Type de serveur tel qu'illustré dans l'image.
Tout le monde les a vu, ces publicités de Mac à la TV qui présentent 2 personnages, un vieux habillé en veston avec de grosses lunettes (PC) et un jeune "fashion" (MAC). Je dois avouer étant pro Linux que je trouve la campagne publicitaire amusante.
C'est la raison pour laquelle j'ai cru bon partager avec vous tous, un condensé de 15 publicités MAC vs PC que j'ai trouvé sur YouTube!
Si vous voulez profiter de la flexibilité du "hardware" et de la sécurité du système d'exploitation, considérez Linux!
Vous le savez, tout le monde le dit... Il faut être prudent de nos jours sur Internet. Lorsqu'on est un utilisateur d'accèsD de la Caisse Desjardins et qu'on n'est pas nécessairement au courant de ce genre de fraude, il peut être tentant de prendre ce courriel au sérieux... Voici le courriel dont je parle :
A nos membres des caisses populaire Desjardins :
Nous avons remarqué que plusieurs tentatives d'acces; à votre compte en ligne ont été commises dernierement. Par mesure de sécurité, nous vous demandons de confirmer certaines informations et de vérifier vos transactions. Cette vérification doit etre faite avant le 26 janvier 2007 Passé cette date, nous serons obligés de suspendre votre compte pour une période indéterminée afin d'éviter qu'une tierce personne puisse accéder à votre compte.
Pour accéder a votre compte et vérifier vos transactions, cliquez sur le lien : https://accesd.desjardins.com/
Nous vous remercions de votre compréhension et coopération dans cette situation pour protéger votre identité.
Desjardins / AccèsD Conjuguer avoirs et êtres
Please do not reply to this e-mail as this is only a notification. Mail sent to this address cannot be answered.
Il est important de noter que ces messages utilisent régulièrement les couleurs et logo de l'institution financière... bref, c'est à s'y méprendre!
De plus, dans votre logiciel de consultation de courriel, lorsque vous survolez le lien https://accesd.desjardins.com/, vous pourrez voir dans la barre d'état (une bande grise dans le bas de votre logiciel) que le lien pointe vers http://step.yamx.com/~bjoernfm/... ou tous autres liens... L'important c'est de comprendre qu'il est toujours risqué de cliquer sur un lien identifier par la mauvaise adresse... Ça sent le piège...
Pour ce qui est du message en tant que tel, c'est intéressant de voir qu'ils prétendent un certain problème avec votre compte pour attirer votre attention et aussi créer un sentiment d'inquiétude...
Un concept de base pour la sécurité de vos finances sur Internet est le suivant :
JAMAIS VOTRE BANQUE NE COMMUNIQUERA AVEC VOUS PAR COURRIEL
Hier j'ai trouvé un plugin plutôt intéressant pour réduire considérablement le SPAM ou "pourriels" sur un blogue utilisant WordPress. Son nom : Akismet. C'est plutôt facile à installer en plus.
Télécharger le fichier à partir du site Web akismet.com
Extraire les fichiers du ZIP
Uploader ces fichiers dans le répertoire plugins de votre WordPress par FTP (wp-content/plugins)
Créer un compte sur wordpress.com pour obtenir un API key si ce n'est pas déjà fait.
Se connecter sur l'interface d'administration
Choisir le menu Plugins
Activer le plugin avec votre API key
Oublier que le SPAM existe!
Akismet c'est plutôt génial! C'est gratuit pour les blogs personnels et ne pose aucun problème d'accessibilité comme le Captcha. Akismet est compatible avec une vingtaine de plateformes de blogs.
Au fil des années, à force de travailler avec l'Internet, notre liste de mots de passe ne cesse de grandir et il est particulièrement dangereux de nos jours de tomber dans l'envie de toujours reprendre le même mot de passe. Celui-ci étant géré par différents systèmes Web, souvent par différents fournisseurs, il s'agit qu'un seul fournisseur fasse une gestion irresponsable du mot de passe "fétiche" pour qu'une personne avec de mauvaises intentions puisse tout d'un coup accéder à plusieurs de vos comptes chez d'autres fournisseurs.
La pratique la plus sécuritaire est bien entendu d'avoir un mot de passe différent pour chaque compte ouvert : hotmail, gmail, yahoo, ebay, paypal, site de rencontre, site de vidéo et j'en passe car la liste peut être longue! Gérer tous ces mots de passe devient très complexe au fil du temps car il est clair qu'écrire ses mots de passe sur un bout de papier n'est pas non plus une technique très sécuritaire.
Comment faire? À mon avis, il n'y a pas de méthodes parfaites... Cependant, celle que je vais vous présenter est un compromis intéressant et vous pourrez utiliser le générateur de votre choix par la suite!
Le générateur de mot de passe suivant est un générateur JavaScript, fonctionnant côté client, donc ne vous inquiétez pas, aucun mot de passe n'est enregistré sur notre site. Le générateur a été codé par Paul Johnston et est disponible sous licence BSD. Le concept de l'application est intéressant. Générer un mot de passe à partir :
d'un mot de passe "passe partout"
d'une expression décrivant le service Web pour lequel vous avez besoin d'un mot de passe
Par exemple, mon mot de passe préféré est "bobo123" et je veux ouvrir un compte courriel chez Gmail. Dans le générateur, je spécifie mon mot de passe "bobo123" et je spécifie "Gmail" dans la case du service Web et je clique sur le bouton "Générer" et l'application me génère un mot de passe en considérant les 2 variables spécifiées...
Vous voyez un problème?
Moi oui! Si votre mot de passe est "bobo123" et que pour la création d'un compte Yahoo vous écrivez Yahoo dans la case du service Web, et que vous écrivez Gmail pour un compte Gmail et Hotmail pour un compte Hotmail, ce n'est toujours pas parfait car le nom du service Web est tellement évident que tout ce qu'il reste à trouver c'est votre mot de passe "bobo123" pour avoir accès à tout! À mon avis, pour ajouter à la prudence, la moindre des choses serait de vous créer un style pour la valeur de la case service Web. Ex: plutôt que Gmail, écrire Courriel-Gmail ou simplement répéter 2 fois la première lettre du nom du service, GGmail ou YYahoo ou HHotmail! Ça peut sembler idiot mais ce genre de pratique vous tiendra à l'écart des hackers de premier niveau!
On s'entend que cette solution n'est pas parfaite, mais combien meilleure que d'utiliser le nom de votre conjoint(e) ou le nom de votre animal de compagnie!
Voici le blog de QuiboWeb destiné à vous faire part de nos récentes
découvertes, prix citrons et derniers coups de coeur. Réactions et
suggestions sont les bienvenues, cette section est conçue pour vous. Pour certain
contenu, vous aurez besoin du
plug-in Flash
dont la taille varie de 1300K à 2500K selon votre système d'exploitation.
