SecDz

Il y a aussi Boson (http://www.boson.com/) pour tout ce qui est Cisco. Sinon GNS3 que tu cites est très puissant si ton besoin est la simulation d'un réseau en général. Pour les besoins spécifiques il y a les solutions spécifiques

Je ne vais pas relater ici les détails techniques ni les divers compromissions, (il y en a tellement sur Internet) mais je voudrais que les ISP algériens, et surtout les administrateurs réseau des entreprises et administration algériennes, mettent en place et exploitent les solutions permettant d'identifier les machines compromises. C'est de leur responsabilité (au moins en partie). Concernant les moyens de détection, il est possible de trouver les machines compromises en scanant le réseau : - en utilisant l'excellent nmap (http://insecure.org/#conficker) - l'outil de SRI (http://mtc.sri.com/Conficker/contrib/scanner.html) - l'outil du Honeynet Project (https://www.honeynet.org/node/397) Et il y a même le ISC qui vous permet de voir s'il a "vu" des adresses IP compromises appartenant à vos réseau. (https://conficker.sie.isc.org/) . Restreint aux professionnels (admins ISP et admins réseau)

Bonjour Rien à ajouter...tant qu'on croit que le problème est "technique" même pour un "mini-projet" on ira pas loin. Ce n'est pas tewfik ou moi qui le disent, c'est l'expérience humaine ! Si je prend l'exemple du projet Ubuntu-dz, c'est ce qui est entrain d'arriver : de très bonnes intentions, de brillants membres, du travail....mais ça s'essouffle. Pour moi (et j'ai proposé ça au membres) le plus important est de savoir dès le début où on va : Objectifs long / moyen / court termes, moyens nécessaires, métriques de mesures pour évaluer l'avancement ...... Ça parait trop compliqué et inutile, mais encore une fois, l'expérience prouve que sans ça, on n'ira pas loin. C'est là où je suis un peu sceptique ! Avoir devant soi des personnes "réelles" auxquelles on apprend à faire confiance et qu'on considère comme "partenaires / leaders" dans un projet est un des facteurs clés du succès à mon avis. Les communautés totalement virtuelles n'offrent pas ceci. D'ailleurs, je commence à prendre du recul envers ce monde pour coller plus à la réalité où les vraies choses arrivent .

Alors ? n'es pas peur...tu resteras toujours apprécié ....mais bon en fonction de ton score on va choisir la manière de te répondre dorénavant Ce thread devrait aller à la section Humour

T'as mis la barre trop haut pour les autres ....pense à créer un "mensa Algérie" avec ton score

Si je revient au question de départ concernant le sérieux ou non de cette volonté d'introduire le e-commerce, je dirais que c'est sérieux ET officiel : Est-ce un des coups médiatiques pour les futurs élections ? Je ne crois pas; Les NTIC ne représentent pas un élément important (même significatif) dans la société algérienne pour l'utiliser ainsi. Voyons d'abord si les premiers concernés d'après les journaux, en l'occurrence la poste, parlent de ça ! On apprend sur le site que la poste s'est engagée devant l'état, par le biais d'un contrat de performance Algérie Poste/ État .. je cite : "Le renforcement des points d’accès postaux, l’amélioration de l’accueil, la modernisation des services financiers postaux et la disponibilité d’accès aisé aux technologies de l’information et de la communication" A la fin, on peut lire : "En matière des services postaux, il s’agit de développer le courrier hybride, le publipostage, le mailing non adressé les fichiers électroniques d’adresses, la cyber Post, les envois de documents sécurisés, la certification et le tiers de confiance, le commerce électronique et enfin la E-logistique." Apparemment, c'est sérieux . Maintenant, est-ce un projet à l'initiative d'Algérie Poste, ou c'est une stratégie nationale ? Normalement, on devrait trouver quelque chose dans le projet e-Algérie 2013, et c'est le cas. Ce projet ou plan d’actions est articulé autour de treize axes majeurs. le deuxième (axe majeur B) concerne l' "Accélération de l’usage des TIC dans les entreprises", qui a pour "objectif spécifique B1" de " développer l’offre de services en ligne en direction des entreprises en amont et en aval". Parmi les actions menant à cet objectif, on trouve l' "Action B6. e-Commerce", définie comme suit : "Ces activités couvrent l'utilisation d'un support électronique pour la relation commerciale d'une entreprise avec d’autres entreprises ou des particuliers." Et pour l'échéancier ? C'est encore précisé : sur une année, comprenant le 2 ème trimestre 2009 et le 1 er trimestre 2010. Mais est-ce que les bonnes intentions, les contrats de performance et les plans bien ficelés suffisent à eux seuls ? Pour ne pas alourdir le thread, je ne poste pas tout le billet ici. Ceux intéressé peuvent le voir ici : http://secdz.blogspot.com/2009/03/avons-nous-prepare-larrivee-des-e-trucs.html

Excellent...c'est quelque chose que même les "pros" de la sécurité devrait comprendre...d'ailleurs c'est pour ça que je parle de "visibilité" autour de moi et sur mon blog...avoir de la visibilité pour pouvoir "detect and respond" Un autre qui défend cette vision est Richard Bejtlich (http://taosecurity.blogspot.com/) Moi aussi "Je ne rajouterai pas une goute sinon déjà rana hors sujet :D"

Non, je veux la bagarre ...mais il faudra ouvrir un nouveau thread pour qu'il n y ai pas de dommages collatéraux Sérieusement, un des plus écouté en US dans le domaine de la "sécurité nationale" , Bruce Schneier, a dit ceci : "If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology" "Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n'avez rien compris à vos problème et vous n'avez rien compris à la technologie" Enlève le mot "sécurité" et met "pays" et ça résumera mon idée.

J'ai pas bien saisi ....la technologie va changer notre situation ?

Là oui tu as entièrement raison concernant l'importance même des TIC dans notre quotidiens. Mais d'un autre côté; notre "retard" en matière d'utilisation des nouvelles technologies n'est-il pas une sorte de "chance" pour nous : démarrer sur des bases plus solides en faisant des choix plus réflichis au départ (OpenSource ente autres) ? Je croix que Microsoft a bien senti qu'il va y avoir un certain départ (par rapport à leur percpetion de l'importance d'un marché) et justement elle essaye de consolider sa position (acquise paradoxalement par les logiciels piratés) par le forcing de l'utilisation des licences valides. Microsoft cherche son "intérêt"....le faisons nous aussi ?

Bien que tu parles seulement de "linux" concernant sa faible pénétration, je croix que l'adoption de cet OS ne saura se faire sans le relier à tout le concept "open source". Tout d'abord, à mon avis il faut qu'on met cette volonté d'adoption de l'opensource (linux entre autres) dans des contextes adaptés à chaque catégorie ciblée. Et là, je rejoint un petit tixxdz en la nécessité d'identifier les différentes catégories ET adapter à chacune notre discours et nos arguments. On ne va s'adresser à un étudiant avec les mêmes arguments que pour convaincre une administration publique, et ça ne sera surement pas les mêmes pour promouvoir l'idée auprès des entreprises. Je vois autour de mois plusieurs personnes qui essayent tant bien que mal de parler de l'opensource mais avec des arguments vraiment hors contexte. Prenons l'exmple de quelqu'un qui par le à un simple citoyen et essaye de le rallier à sa cause en lui disant que l'opensource offre plus de sécurité et le code est vérificable....mais lui il s'en fout, il veut juste utilisé son PC avec le moins d'efforts possible. De même, faire sortir l'argument réduction des coûts devant des institutions ou des administrations particulières est mal parti pour les convaincre à mon avis. C'est pour ça que les bonnes intentions ne suffisent pas à elles seules, il faut savoir : 1- ce qu'on veut exactement et où on veut arriver 2- qui est le "client" à convaincre (étudiant, administration, état...) 3- préparer le discours qui colle le mieux à chacun. Je finirais par ceci, au risque de déplair à quelques uns La question de l'opensource n'est pas une question de "principes". C'est un choix reflichi et mesuré pour avoir de vrais avantages....si on reste objectif, il y a des cas où l'opensource n'est ni adapté ni assez mûr, et essayer de le défendre dans ces cas le discrédite bien qu'autre chose (quand on s'aperçois que ça ne marche pas comme promis !)

La "prévention" telle que présentée n'a jamais existé et ne le sera jamais.....il faut au contraire consacrer plus d'effort et de ressources à la "surveillance" et à la "réponse". C'est sûr que c'est exagéré...mais une autre question : cette surestimation est-elle le résultat de mauvaises données / analyses ou tout simplement c'est intentionnel ? Quand on veut faire passer quelques chose, tout les moyens sont bons

Justement il y a polémique sur ce personnage...d'ailleurs ce n'est pas son vrai nom !

Ok, je viens de vérifier aussi sur le site de Microsoft, ça concerne les "Media Change Notification (MCN)". Une autre question : ça ne pose pas de problème pour la détection des CD vierges et la gravure?

Ok...très bonne idée. Mais une fois trouvé ce "spécialiste", on aimerait bien connaitre son nom et ses études ....un petit CV

Ça ne règle pas le cas des USB, non ? Une solution plus efficace est celle de Microosft (même s'ils ont "raté"leur précédent conseil)...voir ce lien http://support.microsoft.com/kb/967715

Tu as raison...on peut faire rentrer n'importe quoi dans ces 4 "cas" ! C'est sûr...mais il "parait" qu'ils ont été déjà formé sur certains domaines. Mais il faudra connaitre les missions de cette nouvelle entité pour voir quelles compétences sont nécessaires. Plutôt intervention après coup, quand on "découvre" que le contenu en question n'est pas "conforme" au lois.

J'aimerais vraiment essayer votre service....mais les infos whois me dérangent un petit peu !

Ta boite ne fera jamais la couverture d'aucun journal....t'es grillé

Fait bien ton étude et surtout tes choix. Le succès ou l'échec de ce projet peut influer sur l'avenir de ce type de solution en Algérie. Bon courage !

Ce qui me dérange le plus dans ces hitoires de hack, c'est le manque de réactivité. On peut comprendre qu'on a fait une "erreur" ce qui a comme résultat la compromission du site par exemple. Mais, ne pas détecter ça après des jours et ne pas réagir 'es vraiment grave. Alors Eepad (le PDG), avant de parler de cybercriminalité et donner des conseils au autres, nettoyez de grace devant votre porte !! Si j'étais AT ou un autre ISP, je ferais un petit article dans se sens avec mes "amis" journalistes

A première vue c'est des injections auto de sites vulnérables. Mais je ne connais pas quel service ou quel rôle joue ces "distributeurs" d'Eepad. Si c'est ciblé, c'est pluôt un "offre de service" de ce site (dans l'iframe) au "attaquants" intéressés par le service d'Eepad.

C'est une autre preuve que signaler un problème au concerné peut avoir un résultat...au lieu de faire l'intéressant et "pirater" le site...pardon, je voulais dire "script-kidder" le site

plusieurs œufs dans plusieurs paniers ...... mais le problème est que tous les paniers sont dans un Grand Panier = Google

Et moi qui mettait un billet sur mon blog concernant la "dépendance" vis-à-vis des NTIC...je le voyais du côté sécurité, mais l'aspect "disponibilité" est de même assez critique pour nos "habitudes" de consomation virtuelles !! La BBC entre autre en parle (gmail failure) : http://news.bbc.co.uk/1/hi/technology/7907583.stm