Comments on Déprimante sécurité informatique

Couard Anonyme (2013-05-23T19:08:41Z)

> Ça me semble évident qu'il est impossible d'éviter les DDoS, dès lors qu'on admet qu'un site Web
> typique n'est pas capable de tenir la charge si, disons, tous les internautes du monde essaient
> de s'y connecter simultanément

C'est une variante du problème du spam. Si tu fais payer les emails, tu réduis considérablement l'intérêt du spam. Dans le cas présent, si tu fais payer les requêtes à l'unité, quelqu'un qui prend contrôle de l'ordinateur de ta mère pourrait faire de requêtes jusqu'à épuisement de son crédit (en admettant qu'il n'ait pas pris le contrôle du système de crédit lui même,mais c'est une autre discussion).

Du coup pour mettre en place une attaque DoS il faudrait vraiment prendre le contrôle de tous les ordinateurs du monde… ça met la barre beaucoup plus haut.

zEgg (2013-05-23T11:08:54Z)

Ruxor →

"Ce qui est éventuellement théoriquement possible s'il s'agit d'un site purement statique (il faudrait remplacer HTTP par une forme de BitTorrent + signature crypto, pour que le nombre de machines servant le site augmente avec le nombre de connexions)"

Freenet ?
<URL: http://en.wikipedia.org/wiki/Freenet >
<URL: https://freenetproject.org/ >

Ruxor (2013-05-22T10:26:07Z)

Ça me semble évident qu'il est impossible d'éviter les DDoS, dès lors qu'on admet qu'un site Web typique n'est pas capable de tenir la charge si, disons, tous les internautes du monde essaient de s'y connecter simultanément : en effet, il n'y a rien qui distingue une montée soudaine et imprévisible en popularité (genre, une rumeur veut que ce soit le blog secret de Justin Bieber et un milliard de fans hystériques veulent le lire) d'une attaque DDoS : il est parfaitement possible que la montée en popularité soit une version subtile et sociale de l'attaque DDoS (je fais circuler la rumeur pour faire tomber le site).

La seule solution, ce serait donc de faire des sites qui fonctionnent également bien *quel que soit* le nombre de personnes qui s'y connectent. Ce qui est éventuellement théoriquement possible s'il s'agit d'un site purement statique (il faudrait remplacer HTTP par une forme de BitTorrent + signature crypto, pour que le nombre de machines servant le site augmente avec le nombre de connexions), et encore, je ne suis pas du tout persuadé que ça résiste aux attaques malicieuses. Mais pour un site qui doit faire intervenir une autorité ou base de données centrale (par exemple un site marchand), je ne vois vraiment pas de solution (peut-être qu'on pourrait vaguement imaginer un système à base de protocoles de calcul distribué en milieu hostile, mais ça devient vraiment de la fumette).

simple-touriste (2013-05-22T07:16:41Z)

> Le problème me semble être qu'on n'a pas encore trouvé de moyen de prévenir les attaques de type DoS, ce qui quelque part semble ridicule puisque globalement nous contrôlons les liens entre les serveurs.

Je ne vois pas en quoi c'est ridicule.

Si le PC de la maman d'un geek envoie une requête à un serveur, quel "contrôle des liens" permet de déterminer qu'il s'agit d'une partie d'une attaque DDoS?

Je ne comprends pas ce que tu veux dire.

xavier (2013-05-19T10:46:19Z)

Mais que fait la police (les outils de vérif…)

Couard Anonyme (2013-05-17T16:08:34Z)

Dans le fond je pense que ta maman a raison… le problème ce n'est pas elle, son mac et ses photos de chat. Le problème me semble être qu'on n'a pas encore trouvé de moyen de prévenir les attaques de type DoS, ce qui quelque part semble ridicule puisque globalement nous contrôlons les liens entre les serveurs. Si prendre le contrôle de l'ordinateur de ta maman ne représentait plus aucun intérêt, personne n'essayerait de le faire sauf pour en voler la puissance de calcul ou des trucs du genre.

Ruxor (2013-05-17T09:19:16Z)

@egan: Sur plusieurs de mes machines, je n'utilise pas les noyaux de distrib : sur mes DreamPlug je ne sais pas booter sur un noyau générique (la plate-forme ARM est une horreur pour ce qui est du mécanisme de boot et de détection du matériel) ; et sur d'autres machines j'ai dû commencer à faire mes propres noyaux parce que j'avais besoin d'un support matériel qui n'était disponible que dans la toute dernière version (ou via un patch), et une fois qu'on a sa propre config, on a envie de la garder (je ne suis pas d'accord avec certains choix de Debian comme SCHED_OMIT_FRAME_POINTER=y ou encore DEVKMEM=n).

Et oui, Android est vulnérable et une application peut en profiter.

egan (2013-05-17T05:43:16Z)

>>>À chaque fois je perds des heures à recompiler, ou au moins réinstaller, des noyaux pour toute une flopée de machines que j'administre

Heu…c'est le boulot de ta distro ça non ? Un petit coup d'apt-get (ou de yum) selon les préférences) et hop, le noyau est mis à jour.

>>>toute personne ayant un téléphone Android et n'ayant pas reçu une mise à jour depuis hier, est à la merci d'une application malicieuse

Je n'ai pas regardé en détail pour cet exploit, mais est-ce qu'il s'applique vraiment sur Android ? Sous Android les applications sont sandboxées par défaut donc peut-être que l'exploit est bloqué ?

Fred le marin (2013-05-16T20:54:11Z)

Cela n'a pas l'air marrant ton histoire.

Dès qu'une faille (de sécurité, etc…) est découverte dans un système (informatique ou non), elle est _systématiquement_ exploitée (d'une manière ou d'une autre).
"Le ver est dans le pingouin." (et même ailleurs)
D'un autre côté, la notion de "privilège utilisateur" me rappelle beaucoup trop l'Ancien Régime… Peurs.
"Is the dark side stronger ?" (whispers: no,no!)
Mais comment reconnaître le bon côté du mauvais s'il y a (maléfique) intrication des deux ?
Hint: "In a blaze of glory, listen to the Background Chorus of Destiny [BCD] encouraging you."

A présent, moteur, car il est grand temps de jouer la fresque !


You can post a comment using the following fields:
Name or nick (mandatory):
Web site URL (optional):
Email address (optional, will not appear):
Identifier phrase (optional, see below):
Attempt to remember the values above?
The comment itself (mandatory):

Optional message for moderator (hidden to others):

Spam protection: please enter below the following signs in reverse order: 5540b6


Recent comments