tewfik

Bonsoir tout le monde, Réagir à un stimulus, c'est bien. Avoir un avis, c'est tout aussi bien. Analyser c'est encore mieux. C'est parti. C'est faisable oui. Avec du materiels disponibles aux civiles ? tout aussi bien oui [1]. un telephone mobile, c'est apres tout un systeme embarqué. un systeme embarqué comprend un system d'exploitation. ce systeme d'exploitation est un enchainement de code. code qui prend en compte certaines entrées qui peuvent contenir des fautes. fautes qui devraient etre filtrées pour eviter un disfonctionnement. dans le cas contraire, on tombe sur un bug. bug qui au meilleur des cas fait planter le system. au pire des cas conduit a l execution de code non autorisé. comment injecter a distance une entrée qui puisse mener a cette condition ? en envoyant un sms malicieux[5], par exemple. en invitant l'utilisateur a telecharger une application tierce. c'est une attaque sophistiquée ? oui. Restreinte ? oui. mais comment peut on alors installer du code dans le mobile de l'utilisateur a son insu ? en utilisant par exemple la possibilité des operateurs a injecter du code dans votre carte sim[6]. c'est du code, et ça s execute. est-ce que l'operateur à le droit d'installer des applications sans votre connaissance ? oui (il se reserve le droit de maintenir le systeme en marche, le contenu de la carte sim lui appartenant). Les téléphones mobiles ressemblent de plus en plus a des petits pc. La notion 'eteint' devient de plus en plus abstraite. Que veut-on dire par 'eteint' ? -systeme d'exploitation en veille, -baseband en veille ?, -telephone hors tension ? -telephone en economie d'energie ?... Cela-dit, le fait de dire "la seule façon de vous en prévenir serait d'enlever la batterie" tient plus d'un discours de propagande que d'une volonté d'informer. beaucoup moins en fait. trop d'information tue l'information, parfois. Les autorités francaises se reservent le droit d'acceder a de telles données, chez nous c'est le cas, juste que ça reste un sujet epineu au coin du feu à eviter. se pose la question : quel serait le meilleur moyen pour intercepter ? - over the air : les plus scpetiques diront que les communications sont chiffrées. un ptit snapshot pour les rassurer[4], que chez nous, souvent ce n'est pas le cas. et puis dans les autres cas, etant donnée le fait que nous sommes un pays à 'risque', les occidentaux régulent l'exportation de materiel/logiciel utilisant une (relativement)forte cryptographie. en clair on nous vend du hardware qui n'est capable de crypter que par du A5/2[2]. algorithme ayant subit quelques sympathiques attaques[3]. (donc, over the air c'est possible) - en se branchant la ou il n'ya pas/plus de chiffrement/ la ou il n'est plus necessaire d'intercepter / la ou il n'ya plus de contraintes geographiques. Ce qui reste chose constante, c'est la mystification. On mystifie une technologie pour la rendre inaccessible, pour des raisons economiques ou stratégiques. Le manque de documentation rend les choses difficiles. Il faut se mefier des annonces faites à la volée, souvent il ne s'agit que de propagandes. Si on maitrise le systeme, on peut évaluer le degré de cette propagande, si on reste dans notre ignorance, on paniquera (sur-reagira) au moindre stimulus. Sur-ce, Portez-vous bien. [1] : soft-radio, usrp, rf daughter boards http://en.wikipedia.org/wiki/Universal_Software_Radio_Peripheral [2] : Algorithme A5/2 utilisé hors europe http://fr.wikipedia.org/wiki/A5/2 [3] : cryptoanalyse de l'a5/x http://www.schneier.com/blog/archives/2008/02/cryptanalysis_o_1.html [4] : petit snapshot d'une communication gsm en algérie en clair [5] : nokia sms buffer overflow http://news.bbc.co.uk/2/hi/science/nature/1762298.stm http://berlin.ccc.de/~tobias/cos/s60-curse-of-silence-advisory.txt [6] : telechargement http://fr.wikipedia.org/wiki/Subscriber_Identity_Module#T.C3.A9l.C3.A9chargement

Bonsoir, Pas si banale que ça. Il y'a d'abord un probleme de milieu (comme le milieu des poissons par exemple). On ne peut pas cotoyer ce genre de personnes sans y être lié. C'etait tout de meme un haut gradé. Le risque serait plutot de s'engager dans ce genre de business, bon apres tout chacun fait ce qui lui semble adequat. "nos femmes" ? je ne crois pas non. L'affaire n'est surement pas close puisqu'elle vient d'etre lancée. ABC poste un document qui ne vaut pas grand chose, les ricains n'ont pas confirmés (imho) l'accusation. ABC cite des sources officielles sans les citer, ce qui me rappel la façon de reprendre de l'information bien chere a nos journaux : "de sources sures" ( je l'adore celle la), "de sources officielles", "des personnes bien informées", "des officiels dignes de confiance",... Cette chtite affaire va relancer quelques questions mignones : - la présence us en algérie via leurs services secrets ( tout le monde le sait, c'est que là c'est publiquement confirmé) - la fameuse histoire de la base militaire dans le sud ( et par extension, la base algérienne pour admirer la lune, en mise en place, toujours dans le sud) - et bien entendu ,le fait qu'ils (us) preferent hydra à bab-el-oued pour leurs apparts ^_^ S'il y'a eu mouvement, c'est qu'il y'a eu intention. A qui profite le crime, peut-on dire. Sur-ce, Portez-vous bien.

Bonsoir tout le monde, Que c'est mignon, une histoire sordide ^_^ Voila que quelques histoires des drames hollywoodien s'invitent en publique à alger. Qui a dit qu'on ferait pas d'épisode de ncis chez nous ^_^ Voici quelques morceaux choisis de parties qui se voulaient etre censurées, mais qui ne le sont pas. Les parties concernées sont grossierement masquées dans le document[1], maladroitement. Depuis les scandales sur les 'doctoring' des documents officiels US, je me demande s'ils ne le font pas exprés. J'ai envie d'aller vite en disant que le document n'est là que pour soutenir une chtite manip, mais voyons plutot ou cela menera. Bonnes lectures, Portez-vous bien. [1] affidavit disponible sur le site de abc news ( probablement via foia, j'imagine, meme si le document ne porte aucune marque distinctive, d'ailleurs et c'est curieux, le document ne ressemble pas du tout à ce qui se fait d officiel chez eux, on dirait un draft) http://abcnews.go.com/images/Blotter/searchwarrant1.pdf [2] quelques morceaux choisis, soit-disant censurés dans le dit document page 2 While assigned in Algeria, Warren has resided in a house located at #5 Chemin D’Hydra, Poirsson, El Biar, Algiers, Algeria. Since June 2005, #5 Chemin D’Hydra, Poirsson, El Biar, has been leased by the United States Government for use by embassy employees for their residential use while assigned in Algiers, Algeria, and Warren has used #5 Chemin D’Hydra, Poirsson, El Biar, as his residence since September 2007 page 4 Victim #1 (“V1”) is an Algerian national who also holds German citizenship. She presently resides in Germany, but has family in Algiers whom she visits periodically. 10. Victim #2 (“V2”) is an Algerian national living in Spain. She too has family and friends in Algiers whom she visits periodically. page 5 ( note that part of the address is disclosed intentionnaly in this paragraph) Warren had sexual intercourse with V1 without her consent, at his residence located at located at #5 Chemin D’Hydra, Poirsson, El Biar, Algiers, Algeria. The Marine reported V1’s statements to the Regional Security Officer, DSS Special Agent Kevin Whitson.

Difficile de connaitre la tendance, d'autant plus que l'ensemble n'est pas homogene. Ceci dit quand je vois une journaliste d'el watan (salima ouahrani comme dirait chawki amari, pour ne pas la citer) parler de cybermachin criminalité, je suis tout a fait confident pour dire que ce sera le topic de l'année. Je pense qu'il faudra s'attendre a une joyeuse education dans ce domaine. Meme methodologie, différent terrain. Le systeme actuel a, à mon sens, la difficulté suivante : aucune image dictatoriale ne doit transpirer. nous ne pouvons pas afficher publiquement un regime de tyranie. C'est une contrainte interessante, que j'aimerais bien voir sollicitée par les nouvelles technologies (internet, notamment) Le systeme n'est guere dérangé par la théorie sterile, au contraire il l'encourage. Les journaux dits privés publient bien des constats, et dénnoncent ceci ou cela. Les choses ne changent pas pour autant. Le systeme ne controle pas les serveurs hors algérie, mais il controle le moyen d'y acceder. On trouvera toujours des sites qui exprimeront opinions et idées. Donc pour vous répondre, oui, il y aura une liberté pour les internautes. On telechergera toujours des films en p2p, des mp3 et on visitera des sites parlant de politique. La meme amplitude de liberté qu'au vote de la star academy. Toujours la meme histoire : le systeme doit à tout prix etre en avance par rapport a la société, en determinant entre autre les tendances, et les devier au besoin et si risque il y'a. Ce qui serait interessant, c'est de montrer le determinisme (c'est a dire, ne repondant pas au hasard) du comprtement du systeme, et par extension de la pourriture ambiante. Prouver/montrer que le systeme agit contre l'interet du peuple serait tres interessant à voir. Lorsque la majorité constaterait ce caractere, on verra quelques effets sympathiques, mais les gens ne croient que ce qu'ils voient. Le débat sur la religion depasse de tres loin ma compétence. Cela dit, je crois que notre religion contient les enseignements necessaires afin qu'on puisse distinguer le bien du mal. Quelle que soit l'epoque, quelle que soit la situation. J'estime que la nature humaine, vis à vis de certains aspects, a peu changé. Les individus sont toujours animés des memes intentions. Il y'a ceux qui font le bien (...), et ceux qui propagent(...) le mal. L'individu corrompu (au sens large) a tendance à vouloir avoir plus de pouvoir. L'argent n'est qu'un vecteur pour y arriver. Notre Livre, qui renferme une sagesse divine, devrait etre toujours notre reference et notre guide. Je pense qu'il serait domage de s'en passer. Comprenez-moi, en parlant de solution non unifiée, je ne parle pas de forcer la main a un groupe, ou isoler une idée. Je parle du probleme, pas des acteurs. Essayer d'évaluer une solution globale necessite d'abord que le probleme soit posé, et donc dans sa globalité. Modéliser un systeme d'une trop grande taille est douloureux. Faire l'aller-retour entre modele et sujet est tres fatiguant. Ceci necessite beaucoup de moyens theoriques, et des ressources. Décomposer le systeme, traiter par partie, distribuer. Je vois la chose plutot ainsi. Les exemples ne manquent pas pour soutenir la these du 'distribué' pour résoudre des problemes. On retrouve dans la nature des modeles qui présentent une grande capacité de traitement, construits à partir d'elements simples. Comme les fourmilles, les abeilles, les cellules de tissus, les neurones... Pris à part, ces elements simples sont fragiles, dans l'ensemble ils representent un systeme robuste. La subtilité des ces exemples est que la composition des ces elements simples conduit à des ensembles complexes. Ces ensembles complexes sont cohérents, organisés et efficaces. L'efficacité de l'ensemble repose sur la subtilité de l'element. Chaque element simple effectue une tache, et une tache precise. Chaque element est imbriquable (fonctionellement parlant) avec ses proches. Chaque element peut echanger de l'information avec ses proches. La science actuelle a pour ces raisons tendance à copier la nature dans son fonctionnement (biomimetisme). Apres tout, on ne fait qu'essayer de reproduire un modele qui marche deja. La question depasse ce sujet (et d'ailleurs, ça ferait un n-ieme offtopic à mon compte). Se pose ensuite effectivement le probleme d'interpretation. Je n'ai pas de réponses à cette question, je ne dispose pas de la science adequate. La solution reste à faire, il ne s'agit malheureusement pas d'un tp. J'estime que la full-disclosure dans une certaine mesure pourrait constituer un bon début dans le sens ou -elle permettrait de reconnaitre ceux qui publient pour l'interet de la majorité et les autres, -elle aiderait les gens à prendre des decisions basées sur de l'informations normalement indisponible. Tout le monde ne peut se permettre se rythme, pour des raisons de sécurité, economiques ou simplement d'accès à l'information. Par ailleurs, je pense que l'on verrait une nouvelle dynamique, jamais encore vue par ici. L'insubordination est tout a fait possible et faisable, simplement, efficacement, d'une maniere decisive dans la joie et la bonne humeur. C'est tellement plus simple de foutre en l'air un systeme lorsqu'on connait qui est en face. Sur-ce, Portez-vous bien.

démonstration amusante, je ne suis pas sûr par contre des hypotheses ^_^. Comme vous l'avez signalé, cette equation n'admet pas de solutions dans IR, peut être faudrait il envisager un espace de solutions plus flexible ? (riemann peut etre ?) ^_^

il fut un temps ou je m'etait (naivement) dirigé vers l'it pour justement avoir les infos en premiere main. ceci-dit, entre nous, et purement en théorie, meme une coupure d'electricité ne peut justifier que ce ne soit pas une chtite op de sabotage. je ne dis pas que ça doit forcément etre le cas. mais si je souhaitais faire une quelconque operation, je jouerais plus sur les ingredients que sur le temps de cuisson. il n'y a qu'une poignée de boites qui sachent installer et maintenir les fibres optic (dont alcatel), et la technique pour ressouder deux fibre (nettement coupées) n'est pas du tout evidente. ce que je ne comprend pas c'est le jargon qu'on utilise. nous parlons toujours de 'coupure' de fibre. vu son prix et sa sensbilité, ne devrait-elle pas etre mieux protégée ? et puis qu'est ce qu'ils appelent coupure ? coupure de la liaison ou coupure physique ?

^_^ ça me rappel quelqu'un tiens ! ^_^ j'arrive pas à retouver un papier parlant d'une coupure justement au proche/moyen orient [1]. C'etait la période de début de crise aux usa (concernant les mortgages), alors que la bourse de dubai se portait quand meme bien ( la coupure a induit la chute par la suite ) [1] de mémoire, je crois que c'est celle ci, meme s'il me semble qu'elle soit anterieure http://news.bbc.co.uk/2/hi/technology/7222536.stm

Je me suis fait mal comprendre. Je pense qu'il faut distinguer entre strategie et tactique. Meme si nous devons savoir où on va, nous ne devons pas prétendre pouvoir proposer une solution _unifiée_. Proceder par morceaux, certes mais pour un objectif cohérent. C'est ce que je voulais dire. Je pensais à notre religion. Portez-vous bien.

Bonsoir, Nous avons un service de renseignement compétent. Nous avons un service de renseignement compétent qui ne travaille pas pour l'interet de la majorité. Nous avons un service de renseignement compétent qui ne travaille pas pour l'interet de la majorité et qui déploie les moyens necessaires pour maintenir le control. Il existe, dans certains pays occidentaux des lois interdisant la collecte d'informations massives d'individus ou d'organisations au sein du meme pays. Je ne sais pas si une telle loi existe en algérie, de toute façon elle ne serait pas respectée. Des pays comme les usa ont pris les mesures necessaires pour annuler de telles boucliers, comme le patriot act[1], qui restreint les libertés individuelles. Je pense que l'algérie a mieux fait que les americains dans ce domaine, nous avons eu notre état d'urgence bien avant. Nous pratiquons de l'intelligence sur nos propres citoyens : ecoutes telephoniques sans mandats, profiling, consultation des historiques des appels,... Ces pratiques sont essentielles à la survie du systeme. Vous souhaitez les taquiner un petit peut ? Cryptez vos conversations, appliquez des regles drastiques à la manipulations de vos données, soyez méthodiques dans la façon de gérer vos informations. En effet, ceci est un pattern. L'autre fois je lisais un thread de SecDz parlant de la formation. Rappelez-vous que parmi les ministres qui ne bougent plus depuis belle lurette, celui de l'education. Benbouzid[2] est dans l'executif depuis longtemps, oscillant entre enseignement supérieur et education. Un ministre qui survit au changement de présidents, c'est unique. Quand il partira, on saura qu'une phase d'un programme s'est terminée avec succes. La démoralisation fait partie de la manipulation. Lorsqu'on souhaite trouver une solution a un probleme, on a tendance a essayer de trouver l'equivalent ou la transposition de ce probleme dans un autre plan. Dans ce plan la, on aura les outils utils afin de traiter le probleme d'une façon plus simple, tout en ayant acces a des données invisibles au départ. Nous le faisons presque chaque jour sans souvent y penser. On fait souvent des aller-retour entre plusieurs plans, comme pour calculer nos courses (arithmétique), organiser notre bureau (algebre geometrique), trouver le meilleur chemin (path planning, optimisation de cout). Ces plans-la reposent sur le meme support : les mathématiques. C'est la discipline qui permet de poser un probleme de la façon la plus abstraite, et de proposer des solutions toujours en termes mathématiques. Une fois la solution établie, l'on revient au plan de départ pour appliquer pratiquement ce résultat. La théorie ne manque pas : théorie de l'information, pattern recognition, control theory,... Il suffit juste de faire son shopping. On nous fait croire que les problemes que nous rencontrons tous les jours sont insolubles. J'estime que cette tactique est tres subtile et tout aussi efficace. La preuve, on se demande toujours si probleme il y a. En effet, absolument. La force d'un organe d'intelligence reside dans son efficacité à récolter les informations tout aussi bien que de les traiter. Les informations sont souvent sinon tout le temps entachées d'erreurs. Ces erreurs peuvent etre dues à des alterations intentionelles ou pas. Question : Comment determiner la fiabilité d'une information ? En partie, en procédant par recoupement, en determinant la fiabilité de l'emetteur, en evaluant le pattern que suit un ensemble de données. L'on accorde ensuite une note de crédibilité à cette information, et on la classe en conséquence. Je ne fais que 'taper' dans un archive, traiter ces données necessite de l'engineering que l'individu seul aurait difficultées à accomplir. J'espere avoir répondu à votre question. C'est pour cette raison qu'il faut d'abord maitriser la technique avant de se lancer. Et puis, il faut aussi savoir évaluer l'impact. L'erreur a mon avis serait d'envisager une solution globale. Il faudrait plutot commencer par petits morceaux. Nous avons une si puissante Réference que nous n'utilisons pas. Il serait temps de commencer a penser d'une maniere saine. Sur-ce, Portez-vous bien. [1] Patriot Act http://fr.wikipedia.org/wiki/Patriot_Act [2] Benbouzid, Aboubakr http://www.cg.gov.dz/gouvernement/cv2/cv2-benbouzid.htm http://fr.wikipedia.org/wiki/Aboubakr_Benbouzid

Bonsoir, Désolé d'avoir fait ressortir le sentiment de "guidage". Loin de moi l'idée de manipuler le cours du debat, je ne fais que présenter mes opinions. Certes je les présente graduellement, car je crois justement qu'il est contre-productif de 'balancer' tout d'un coup. Comme je l'ai expliqué sur un autre thread, les variations rapides provoquent des chocs. Ce que je sais n'a pas d'importance. Je crois que la connaissance ne se transmet pas, uniquement le savoir (et encore). Mon objectif, après tout n'est pas d'informer mais de convaincre. Et comme l'individu ne croit que ce qu'il voit (au sens tres large), j'essaie d'indiquer vers où regarder afin de présenter mon argument. L'ensemble peut alors vérifier de visu, et juger de la pertinence ou non de mon propos. Ce que je sais n'a pas d'importance dans le sens ou tout le monde sait deja ce dont je parle. Je choisi juste un angle d'attaque différent. Nous subissons un systeme qui joue sur l'insécurisation. C'est un classique, ceci s'étend au ntic comme la peste. Il est de l'interet du systeme que les systemes informatiques en algérie soient les plus vulnérables. Cela justifie les actions qui sont prises actuellement. Vous évaluez que SLC a été parachuté, et c'est le cas. Vous estimez que SLC a été parachuté pour des raisons pécunieres et je ne crois pas que ce soit le cas. Internet est un réseau tres interessant. L'accès à ce réseaux permet au peuple d'avoir quelques bouffées d'oxygene. Le systeme ne peut que tenter par tous les moyens de se maintenir au pouvoir. Internet représente une menace pour le systeme, car grace à internet on peut lancer des journaux indépendants, se mobiliser, discuter débattre. On peut renverser la tendance, meme si beaucoup croient que ceci tient de l'utopie. Controller ce moyen de communication n'est absolument pas différent des méthodes de control des médias classiques, comme la télevision la radio ou les journaux. Remarquez ceci : tout ce qui touche à une technique ou technologie qui implique meme une petite dose d'intelligence se voit taggué par le sigle de 'menace a la sécurité nationale'. Ainsi, et à en croire la compagne que l'on voit ces jours ci s'intensifier, l'on devrait penser qu'internet, aussi, représente une menace des plus grandes. Restons méthodiques, c'est peut etre la chose qui pourrait nous sauver. Sur-ce, Portez-vous bien.

Bonsoir, Comme a dit Havoc, il s'agit d'un risque surtout local. Ceci dit, je vous rappel le bug qui a eu surtout du succès avec la disclosure des scripts php du site websms de l'opérateur ota. Le bug concernait la lecture des sources php en remote, y compris la config et les mots de passes de la base de données[1]. Vos scripts sont, apres tout, parsés par un serveur web, qui peut etre sujets à failles. Ne faites pas confiance à celui qui sert vos scripts, prenez vos précautions. Imaginez votre sécurité d'un point de vue pessimiste : vous ne voudriez pas que l'attaquant puisse, en lisant vos codes de base de donnée, se propager au reste de vos données, et surtout pas les données de vos utilisateurs/clients. A mon sens, avec php, le mieux serait de crypter les scripts les plus sensibles. Il existe des outils pour cela, mais si vous êtes dans l'administration systeme, je vous conseillerais tres fortement de crypter en utilisant votre propre extension php (en partant du template fourni) et de crypter vos codes en asymmetric. Bien entendu, l'attaquant pourrait acceder à cette extension, extraire la clé privée, decrypter vos codes, et se propager davantage. Cependant, ces taches demandent et du temps et du savoir-faire. Comme la sécurité est une notion relative, votre role sera de minimiser le risque. Aussi, mefiez vous du faux sentiement de sécurité : ce n'est pas en encodant vos scripts en base64 qu'ils sont à l'abri. Je crois que Havoc, en parlant de https, voulait parler du lien entre le client et vos scripts. Si vous souhaitez échanger l'authentification en crypté avec votre serveur de base de données, je vous conseillerais plutot de vous poser la question suivante : ferais-je confiance au lien qui lie mes scripts au serveur de base de donnée ? Bon courage. [1] un ptit echantillon par ici : ( je me permet de le poster car je pense qu'il a du faire le tour du net, et que de toute façon le bug a été patché ) fichier config.php : if($_SERVER['SERVER_NAME'] == 'thor.tis.hr') { define('ORA_USER', 'web2sms'); define('ORA_PWD', 'web2sms'); define('ORA_SID', 'TIS'); }else { define('ORA_USER', 'websms'); define('ORA_PWD', smsbew'); define('ORA_SID', '(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.10.20)(PORT=1521)))(CONNECT_DATA=(SID=TWEBSMS)))'); } // (...) ?>

Bonjour tout le monde, juste en passant, voici deux traceroute vers deux targets dans le reseau cerist. Le premier traceroute montre la route prise par les packets vers une serveur au hasard, le 72.66 [1]. L'on voit que la route ne passe pas par les routeurs SLC. Cette route me semble la plus 'logique'. Le deuxieme test [2] concerne une machine dans le block 64.*, connue pour être routé en dernier lieu par une machine SLC. Le probleme est que, à mon sens , il y'a inconsistences entre ces deux routes. Dans le premier test, on voit qu'on passe par la machine 64.8 sans passer par SLC, alors que dans le deuxieme, cette meme machine est routée à travers SLC. - Supposons que la route SLC soit un backup (c'est à dire une route de secours en cas de lachage de la connection principale) : Si l'on admet que SLC achete sa bande passante chez AT (fibre optique), l'idée que SLC soit [3] une route de backup me semble ridicule. A quoi cela sert d'aller acheter de la bande passante supplémentaire pour un eventuel secours alors qu'elle route vers le meme noeud que votre route principale [4]. Dans le meme esprit du backup, on peut penser ( et c'est un peu tiré par les cheveux) que l'admin qui a pensé ça, à pensé avoir un lien radio pour pallier au risque d'une coupure de fibre optique locale aux alentours du cerist. Peu probable aussi à mon sens. Donc, a mon avis, l'hypothese du backup SLC ne tient pas la route. Au vu de ces observations, j'arrive à la question/conclusion : à quoi sert cette route SLC ? [1] [2] [3] en toute theorie, et en eliminant le fait qu'il soit un privé [4] je suppose donc que cerist achete chez AT. Un backup est censé fournir une alternative, si vous ne faites pas confiance à un lien, il est inutil de l'utiliser deux fois pour le secours (mis à part les histoire d'aggregation)

J'ai pris un exemple de ce qui a déja été pratiqué, je n'ai plus les tarifs exacts exacts en tete, mais je pourrais faire une recherche rapide si le detail vous interesse.

Puisque vous n'utilisez pas cette adresse email pour votre messagerie de tous les jours, j'elimine de facto le fait qu'un de vos contacts ait "fuité" votre adresse email. Pour notes, ce genre de fuites arrive souvent lors d'interminables chaines d'emails. Les gens oublient qu'en attachant en Copie: les adresses ( et coordonnées parfois) de leurs contacts, ils compromettent ceux-ci. Dans votre cas, le schéma qui me semble le plus probable est que Yahoo! ait cédé votre email dans le cadre de leur programme de monétisation à un tiers, qui à ensuite revendu une partie ou l'ensemble de cette base d'emails. Yahoo! utilise ce schéma pour mettre à profit l'enorme base de comptes qu'il gere. La messagerie chez Yahoo! est un vrai métier. A la différence d'autres comme hotmail. De ce fait, tout est fait pour attirer le maximum de clients pour profiter de leurs solutions de mailing ( autrement dit, gestion de messagerie, et spaming [1]). Yahoo! pratique donc dans cette optique des regles tres strictes qui conduisent à ce que des emails legitimes (non spam) atterissent dans votre dossier spam. Autrement dit, si vous, annonceur ou simple utilisateur ( en dehors des majors usuels) souhaitez envoyer vers des adresses Yahoo!, serez placés presque certainement en spam si vous ne faites pas l'acquisition d'un de leurs services. En effet. En fait elle coutent un peu plus cher, dépendant des données qui les accompagnent. Un contact client (perso) algérien devrait tourner dans les 500 dinars (email, nom prenom, adresse, n° de tel, centres d'interets). Pour une boite qui acheterait ces données, le contact devrait lui rapporter entre 4000 et 12 000 dinars [2]. (c'est très souvent pas en premiere main) Bonne soirée. [1] : les premiers producteurs de profilages sont les fournisseurs d'adresses emails gratuites (yahoo, hotmail, ...) [2] : voir ces chiffres comme une moyenne, un hit-ratio de 100% étant utopique.

Bonjour, Bien conscient que votre démarche vise à ne plus recevoir ce genre d'emails, je portes à votre connaissance quand même que répondre à ce genre de spam n'est pas très recommandé. Nombreux spammeurs tentent de vous faire répondre afin de vérifier que votre adresse email est 'fraiche'. (i.e que votre adresse email est valide, et qu'un humain la consulte ) Je ne vous conseillerais que d'ignorer ce genre d'emails sauf si l'offre vous interesse effectivement, cela ne fera (fort probablement) que renseigner une base de donnée par votre email ( et ainsi recevoir des spam davantage ). Bonne fin de journée.

Bonsoir tout le monde, Tout à fait d'accord. Nous ne connaissons pas notre histoire, et si nous prenions juste exemple de la bataille d'alger, on y trouverait matière à études. Mon job consiste(ait) à la récolte, le traitement et l'extraction d'informations. Généralement confidentielles, ces informations servaient de base à des études. Digérées et formatées, elles étaient conditionées sous forme de rapports. Les rapports constituent de l'intelligence en eux même, car ils permettent la prise de décision rapide et précise. Si par contre ces données là sont dans le domaine publique, la différence est faite dans la puissance d'y tirer de la richesse, des patterns par exemple. L'on y voyait de la trahison par ci, de la trahison par là. Comme un organisme d'état chargé de produire des données cartographiques, bloquant l'accès à celles-ci dans un cadre critique (cas air algérie, parmi d'autres). En meme temps cédant les mêmes données à des compagnies etrangeres. Des consultants chinois récoltants en masse des données confidentielles sur nos opérateurs téléphoniques (données personelles des clients, habitudes, factures, contrats...). Des opérateurs gsm faisant du datamining sur leurs abonnés et revendant des bases de données à des boites en france/proche orient. Des ISP négligeants la sécurité de leurs données/stats clients d'une façon ridicule. Pourtant dès qu'il s'agit des interets de la commercialisation de leurs produits, ils montrent soudainement des aptitudes respectables. Des organismes d'état pratiquants du "domestic surveillance" sur nos concitoyens. Le probleme dans tout ça, c'est que cette insécurité n'est pas due à de l'incompétence, mais à de la négligence. ( et je suis très gentil en disant ça) Si l'on considère que les délits commis sur des réseaux informatiques devraient être traités avec fermeté, l'on doit tout aussi bien sanctionner et l'individu, et l'entreprise. L'on doit condamner tout aussi bien les boites privées que les organismes étatiques. L'on doit aussi mettre l'accent sur l"information leak" des opérateurs privées, quelque soit leur domaine d'activité, et les empecher de traiter nos citoyens comme une pure population statistique. Rappelez-vous, travailler contre l'interet du peuple est une trahison. Comme je l'ai dis dans un autre thread, la confiance doit être une notion distribuée et non centralisée. Il est impératif de maitriser les techniques de récolte et de traitement d'information. Il est important de pouvoir savoir véhiculer de l'information en milieu hostile. Il est necessaire de savoir distinguer le vrai du faux. Il est dangereux d'accorder du crédit à mes dires sans vérification. Comment ferions-nous face à une information quelconque venue d'une source inconnue dont nous ne connaissons pas la qualité ? Tout à fait d'accord. Je crois que je suis le seul dans cet espace à penser que l'insécurité de nos systèmes informatiques n'est pas due à de l'incompétence. Mon avis ne compte pas dans le cas ou l'ensemble bouge pour le mieux. Faite-vous confiance à vos institutions ? Moi pas. Ferais-je confiance à ces institutions, si un jour elles me demandaient de leur confier mes données personelles ? Non. Pensez-vous que le systeme est digne de confiance ? Comment feriez vous confiance aux nouvelles directives émanants de celui-ci ? Je ne me fais pas d'illusions pour ce qui est de la classe politique. Aussi, dans un pays ou la mobilisation (au sens physique) est quasi impossible sinon que pour une trilogie, internet reste le lieu ou l'on pourrait faire quelquechose. Encore une fois, il faudra considérer que menace il y'a. Juste une remarque : votre hypothèse de base est que tout n'est pas mauvais (j'imagine). Je vous conforte en disant que tout _ne_ doit _pas_ être mauvais. Lorsque vous faites partie d'une routine, d'une mécanique, il est absolument souhaitable de faire participer les gens avec le minimum de visibilité. Vous trouverez beaucoup de gens avec de bonnes intentions, de la compétence et de la bonne volonté. Ces gens là sont le moteur d'un système. Dans certains cas, ils peuvent avoir l'impression que leur actions vont dans le bon sens. Avons nous les moyens d'évaluer l'impact de nos actions ? Si vous le souhaitez, et puisque (je crois que) nous sommes d'accord sur le principe que l'on doit prendre des mesures pour nous éduquer à une meilleur utilisation des ntic, pourquoi ne pas commencer des sortes de tutorials, dans l'objectif de protéger au mieux et notre vie privée, et nos données personnelles. Je verrais bien des howto dans ce sens, et je serais ravi de partager mes notes si l'ensemble est interessé par l'idée. Sur-ce, Portez-vous bien, et Aidkoum Moubarak

Bonsoir tout le monde, je suis ravi que la discussion ait pris cette tournure. C'est constructif et c'est très bien. Mes détails personnels ne sont pas importants pour cette discussion, à mon sens. Ceci dit, je peux vous fournir n'importe quelle autre information qui vous parait utile à faire avancer la discussion. J'estime que dans un débat, l'on doit savoir tout aussi bien argumenter qu'écouter. Les variations rapides provoquent des chocs. Je préfere la méthode graduelle pour ce cas. Je n'en doute pas. Je comprend bien. Je vais clarifier un peu mon point de vue : - je me pose la question (et ce thread est la je pense pour exprimer le souhait des autres membres aussi dans le meme sens) : à quoi va servir cette nouvelle loi anti cybermachin, et quelles en sont les conséquences. - j'emet une hypothese : les isp surveillent et fournissent des informations sur les internautes aux services de sécurité (aussi, bien avant cette loi) - je fourni une copie d'email pour appuyer mon avis (eepad, aout 2007, concernant la procédure d'echange de données)( au passage, quand vous lisez cet email, quelles sont les conlusions qui vous viennent à l'esprit ?) - j'en conclu que c'est effectivement le cas, et me pose une autre question : à quoi sert donc cette nouvelle loi, si l'échange de donnée est déja en place ? Je ne pense pas que l'on puisse avancer tout et n'importe quoi. Si l'on souhaite faire avancer les choses, l'on doit macher digérer filtrer les informations que l'on dépose surtout si le sujet est d'une certaine gravité. Nos actions sont jugées selon les intentions qui les précedent. Mais je pense que l'on ne peut pas clamer l'ignorance et se lancer là où l'on ne peut garantir un minimum de justesse. Vous posez une excellent problème : Admettons que je sois un relai ouvert conscient. Admettons que je procède dans de l'intoxication dans un objectif de manipulation. Après tout, que garantit que mes avis soient vraiement ceux que je présente ? Que garantit que mes intentions soient "honettes". Voici la question ( destinées aussi à l'ensemble ) : Comment juger qu'une information soit fiable et utile ? Comment juger qu'une source est digne de confiance ? Plus théoriquement, comment évaluer l'erreur qui entache une information reçue d'une source dont on ne connait pas a priori la fiabilité ? La réponse à cette question est un peu la clé au problème. J'ai quelques idées la-dessus, je posterais mon avis sur ce point si le débat va dans ce sens. ^_^ En effet. Je viens de poster un petit disclaimer dans ce sens. Effectivement, je ne me détache absolument pas de ça. Comme c'est moi qui introduit le premier cette question, je me permet le luxe de poser la question à la deuxieme personne ^_^. Certes, à en voir la proportion. L'insécurité est un sujet à la mode, l'on veut le porter à un domaine (ntic) à tout prix. On va finir par avoir peur d'allumer nos mobiles.( au passage, c'est quoi cette co**erie que de devoir eteindre son telephone mobile lorsqu'on est chez la police ? ) Savoir qu'on ne sait pas est déja une bonne étape de franchie. A mon humble avis, étant donné le conditionnement qu'on subit, on réagit aux situations habituelles avec des mécanismes, alors que les nouveaux stimulii provoquent en nous du stress additionnel qui nous pousse (ou pas assez) à établir une nouvelle réponse. Si nous sommes addicts du système, les nouveaux stimulii ne provoquent que le rejet, sans raisonnement. La peur a été et reste toujours un bon moyen de controle. La vision est le sens privilégié par l'individu car il serait celui qui donne le plus de renseignements et qui permette de prendre des decisions ( environnement immédiat, couleurs, formes, déplacements, ...). De ce fait, pour induire le sentiment de 'peur' chez l'individu, il faut le bombarder des pires 'visions' qu'il pourraient rencontrer, il sera enclin à suivre la première porte de secours qui lui sera présentée. La torture méthodique à pour objectif d'obtenir un résultat non pas en infligeant des domages corporels mais en torturant l'esprit sur les pires traitements que le corps pourrait subir. Jouer sur le contrast probleme/solution et mettre l'accent sur l'unicité de cette derniere (pensée unique). Pour réussir un conditionnement à base de peur, il faut procéder par chocs, puis démontrer les bienfaits de la solution désirée. Comprenez-moi, je ne critique pas cette initiative. Tout au contraire. Je salue le fait que l'on puisse débatre, discuter de cette façon. Il est impératif de disséquer, l'on doit garder une méthode qui soit la plus efficace. Tout à fait d'accord. Nous manquons de technique, et nous manquons de théorie. Possédons nous le savoir requis ? Je pense que oui, nous manquons d'organisation et la théorie qui précede ceci. Mais avant ça, il faudra déblayer le terrain, ça prendra du temps et de l'effort, mais je ne doute guere du résultat. En tant que musulmans, il est de notre devoir quand nous voyons le mal de le débusquer. Quelle que soit sa forme. Merci ^_^. Comme dirait mon voisin "machi bel3ani". Seulement, lui, il me le dit dans d'autres différentes circonstances ^_^. Sur ce, Portez-vous bien.

Bonsoir tout le monde, Les journalistes en algérie, lorsqu'ils font leur travail (càd un journalisme d'investigation) sont harcelés, attaqués en justice, arretés, muselés. Beaucoup ont payé de leur vie. D'autre part, beaucoup sont là pour désinformer ( je ne sais pas pour vous, mais moi des fois quand je lis des articles sur el watan j'ai l'impression que cette journaliste est partout tout le temps, même dans les endroits les plus improbables, racontant des détails non vérifiables et pourtant tellement précis). Vous avez déja vu de l'investigation sur nos journaux ? Je pense qu'ils s'en réjouissent. Et pour finir, un petit disclaimer : "l'avis de chawki amari ne représente pas forcément mon opinion, et je n'ai posté son article que pour illustrer une idée, loin de moi l'intentiion d'être un relais ouvert [1]" Voila, ça c'est fait. Portez vous bien. [1] : on a discuté un peu des relais ouverts dans cette discussion : http://www.forumdz.com/showthread.php?t=8852

^_^ Je suis ingénieur, formé en algérie. Je travaille pour le compte d'une boite algérienne en tant que consultant. Il m'est demandé parfois d'effectuer de l'intelligence, l'on voit souvent des choses qui vous hantent pendant des semaines. Mais le problème n'est pas là. ça m'a pris du temps pour sortir de mon mutisme, et comme je l'ai dis dans un post précédent, je passe en full-disclosure. Nombreux sont ceux qui constatent que la sécurité de nos données personnelles et professionelles est compromise chaque jour à dessein. Cette insécurisation est intentionelle, mais subtile. J'ai décidé de remuer le cocotier. Je comprend bien que ceci est dur à admettre, mais j'espere incha'-allah arriver à convaincre. Je pense que l'on peut changer les choses en pointant du doigt le mal, en le caractérisant méthodiquement. Comme j'ai dit plus haut, la peur vient de la non maitrise. Je ne peux le repeter assez : tout ce que vous voyez dans le domaine des ntic (et par extension au reste) n'est absolument pas le fruit du hasard. Je ne dis pas que tout est controlé dans le détail, mais plutot dans l'ensemble. Tous ce que vous voyez comme agitations n'est que théatre. Il est absolument necessaire d'en prendre conscience. Encore faut-il considérer que problème il y'a. Bonne nuit à tous.

C'est vrai, sur cette partie là, il a tendance à penser ainsi. Ce n'est pas la première fois qu'il emet des avis simiaires, et je ne suis guere d'accord avec lui sur ce point là. J'espere que c'est de bonne foi de sa part.

Bonjour tout le monde, Avant de donner mon avis , je voudrais clarifier une chose particulière me concernant. Je suis tout aussi interessé par la théorie de l'idée que par sa réalisation (quelque soit le problème concerné). Ceci dit, je ne suis pas partisant du tout-théorique, ou du tout-pratique. La méthode et la technique marchent ensemble, et l'on doit maitriser les deux si l'on souhaite faire de l'engineering. Les FAI sont déja soumis légalement à l'obligation de fournir toute information requise par les services de sécurité (decret executif 98-257). Cette nouvelle loi, à mon sens, vient conforter ceci, mais elle sert aussi de "rappel". Rappeler qu'ils sont toujours là, au cas ou l'on aurait oublié, sur le web aussi. (C'est comme l'affichette "Beware of the dog" que l'on suspend pour rappeler que le chien méchant est là pour veiller au grain). Pour illustrer, voici une prise d'écran d'un email [1] faisant partie d'un échantillon de messages, qui reprend la méthode et la technique de requete/réponse entre le fournisseur eepad et les services de sécurité, résumant la procédure à suivre en cas de demande d'identification d'adresse ip notamment. Comme vous voyez, ces pratiques remontent très loin avant l'adoption de la loi de ce mois-ci. Ce qui me conforte à penser que cette nouvelle démarche concernant la cybermachin criminalité à un tout autre objectif. Rappelez-vous, nous sommes toujours dans l'état d'urgence. Par conséquent , notre gouvernement, ses agents, contractants et executants sont aptes à effectuer des controles, saisies, (...) sans mandats. Notre réaction face à ce genre de manipulations (le fait de parler de cybercrimnalité sans cesse par exemple) n'est pas correctement dimensionnée. Lorsque l'on combine peur et manque de recul, on obtient un mouvement de panique. L'on dit qu'on va installer des cameras un peu partout. Nous avons donc peur d'être surveillé en permanence, perdre ce sentiment d'anonymat. Nous nous arretons malheureusement à ce constat, nous manquons d'éléments d'informations et nous commençons à emettre des hypotheses. Le problèmes n'est pas de produire des hypothèses, mais de les vérifier. Il nous manque de franchir cette barriere, nous avons tellement peur d'aller au bout des choses. Nous avons peur de la technique, de la science, peur de la théorie. Dans ce context, l'enjeu est clair. Il faut maitriser deux aspects : -l'autonomie dans la récolte de l'information, -l'autonomie de la puissance dans le traitement de cette information. La manipulation passe, entre autres, par la rumeur. La rumeur est véhiculée par des relais. En relayant l'information qui à pour objectif la manipulation de masses, les personnes deviennent des agents du système. Les relais sont soit conscients de leur action dans l'ensemble ou en partie, soit inconscients. Par analogie au spam, je les appelerais des relais ouverts. Les relais ouverts vont innonder leurs contacts, par exemple, d'informations recueillies, sans les confirmer ou les vérifier. Prenez l'exemple des chaines par email. Prenez l'exemple des informations tout à fait inutiles que l'on répercute quotidiennement, des fichiers powerpoint (parfois stupides) qui gaspillent la bande passante. Prenez l'exemple des discussions de café concernant telle ou telle nouvelle façon de decrypter un bouquet numérique, ou de la dernière voiture de luxe du fils d'un ex-je ne sais quoi. Le pattern de la rumeur est persistant : la source est inconnue, la destination est inconnue, l'information n'est pas directement vérifiable. L'ensemble est flou, mais comporte un certain interet. Les rumeurs alimentent nos "small-talks" (papotages). Notre quotidien est tellement vide au niveau information utile qu'on ne trouve pas mieux que de véhiculer de l'information pourrie. Prenez un autre exemple de relais ouverts : les journaux ( certains articles) Essayez cet exercice : prenez vos journaux favoris, cherchez les articles parlant de la société, de politique. Essayez de trouver un article qui présente une information et qui reprend de l'information vérifiable ou réutilisable. Posez-vous cette question : êtes-vous un relai ouvert ? Sur-ce, Portez-vous bien. [1] identification des ip effective bien avant la loi ( cas eepad, été 2007)

Bonjour tout le monde, Je vais rebondir sur cet article en postant un autre, celui de Chawki Amari [1], paru sur le journal Elwatan d'aujourd'hui, résumant bien la situation, avis que je partage. Cela fait plaisir que les "maintstream" media laissent filtrer ce genre d'avis, qui restent tabous. Bonne lecture. [1] Descente de police dans le web - Chawki Amari - El Watan du 30 Nov. 2008 http://www.elwatan.com/IMG/pdf/elwatan30112008.pdf

Bonsoir tout le monde, Analysons : On peut être d'accord que le domaine eepad.dz existe ( enregistré ). Ce sera notre échantillon témoin. Prenons ensuite le domaine qui est cité ici, boutichesaid.cv.dz Faisons une requete sur le site nic.dz pour les deux noms de domaines. Résultat : le domaine eepad.dz est déclaré encore libre (absurde), et l'autre domaine est renvoyé comme enregistré. Vous pourrez constater aussi que nombreux domaines en point dz sont dits non attribués par ce formulaire alors qu'ils sont enregistrés et en production. ( les exemples ne manquent pas ) ( ce qui est tragi comique, c'est que le domaine .cv.dz n'est "pas encore attribué" alors que son sous domaine l'est) Votre conclusion n'est pas valable puisque le moteur de recherche de nic point dz n'est pas fiable ( ou crédible, c'est selon ). Comment peut-on croire un moteur de recherche qui se mélange les pinceaux ainsi ? Le formulaire de nic point dz ne va pas intérroger un serveur whois (s'il existe) mais plutot, à mon sens, une base de donnée pas du tout à jour. Ce n'est pas un 'vrai' whois comme le voudrait le standard. La fiabilité des résultats étant erratique, nous ne pouvons nous appuyer sur les résultats de ce moteur. Il était une fois le DNS : - j'entre l'adresse monsite.domaine.dz dans mon navigateur - mon navigateur effectue une requete dns pour avoir l'adresse ip à partir du nom de domaine (un appel vers une api, par exemple ) - l'OS effectue les étapes suivantes : + quel est le serveur autoritaire sur .dz ? réponse = server1 + je demande à server1 : quel est le serveur autoritaire sur domaine.dz ? réponse = server2 + je demande à server2 : quel est le serveur autoritaire sur monsite.domaine.dz ? réponse = server3 + je demande à server3 : quel est l'ip de la ressource correspondant à monsite ? réponse = 1.2.3.4 - le navigateur finalement se connect vers la machine 1.2.3.4 sur le port 80 et commence la transaction http ( valable pour les autres protocoles) Le DNS, c'est comme un arbre. Les branches sont le fameu point qui sépare les (sous) domaines. Ce process s'effectue donc en prenant en compte que l'éclatement de la chaine de caracteres monsite.domaine.dz se fait par rapport au point ( monsite, domaine, dz ). Reprenons le site : boutichesaid.cv.dz La requete se fera ainsi : + .dz ? + .cv.dz ? + et finalement boutichesaid.cv.dz ? Donc, votre OS ne demandera jamais le domaine boutichesaid.cv chez .dz mais plutot boutichesaid chez .cv.dz Arrivé ici, on a deux choix : - Se dire que les gens travaillant chez le Cerist, s'occupant du point dz sont tout simplement incompétents. Admettons. Continuons dans cette voie, et prenons l'idée de l'"exploit" (pas encore confirmé ^^ ) de ButterflyOfFire, comme quoi le dépot d'un domaine avec un point serait possible. Imaginons maintenant le process : - Bonjour je viens acheter un domaine - Bonjour, quel est le domaine qui vous interesse ? - Je voudrais le domaine : cer.ist.dz - ( qlq tonnes de paperasses plus tard ...) - Félicitations ! voici votre contrat pour l'enregistrement du domaine. Ok, voyons maintenant ce qui pourrait se passer en backend : - Un client demande le domaine suivant : cer.ist.dz - Tech guy : ah m*rde ! c'est un domaine qui contient un point, je dois donc enregistrer le domaine ist.dz d'abord ! ( bon, je crois que vous avez compris ce que je veux dire ) L'hypothèse de l'incompétence slash erreur humaine slash bug ne tient pas la route sans admettre que le staff chez le cerist est particulièrement stupide. - Choix numéro deux : se dire que les gens du cerist n'ont tout simplement pas respecté les regles de nommage. Le problème est que, les logiciels gérants les dns respectent plus ou le standard, et en respectant le standard, ne permettraient pas cette absurdité, ils (staff cerist point dz ) devraient donc recompiler une version qui leur permettrait eventuellement d'outrepasser ce qu'ils verraient comme limitation. Mais attendez, il y'a un probleme, les clients eux , respectent toujours le standard ( l'histoire de l'eclatement autour du point), donc du coup, changer ou pas coté serveur n'a pas d'impact puisque coté client, ça ne suit pas. Nous tombons donc sur une singularité. Alors, à votre avis, singularité/super-admins ou stupidité ? Sur ce, Portez-vous bien.

d'aprés la charte de nic point dz [1] ce qui me semble normal, vu que c'est ce qui se fait en standard en ce qui concerne le nommage ( matiere a discussion, ceci dit ) du coup, on ne peut pas demander un nom de domaine ( ni en .dz ni ailleurs ) qui contienne un point. Le point servant de délimiteur, c'est un caractère réservé. Le schéma que présente Djoss me semble hautement improbable. ce qui exclue l'utilisation de sous domaines pour du mass hosting ou autre pratiques d "allégement". Je trouve qu'ils ont bien pensé leurs restrictions. Le whois me laisse perplexe par contre, un nic-handle en sous domaine ? je trouve l'idée intéressante. Une recherche Whois sur nic.dz pour le domaine eepad.dz me donne ceci : Ceci me rassure; le moteur whois du point dz n'est absolument pas crédible. Sur ce, Portez vous bien ps : comment ont-ils pu s'arranger pour avoir un certificat https aussi pourri ? [1] Charte de nommage pour la zone dz https://www.nic.dz/images/pdf_nic/charte.pdf