tag:blogger.com,1999:blog-7986081543618046546.post6683412990972469730..comments2024-02-13T04:50:23.310-08:00Comments on CIDRIS - Cyberwarfare: L'Inde et son OS : un passage obligé ?Unknownnoreply@blogger.comBlogger4125tag:blogger.com,1999:blog-7986081543618046546.post-80875026734205689562010-10-12T05:08:08.144-07:002010-10-12T05:08:08.144-07:00Très très intéressant ! Encore merci pour votre pa...Très très intéressant ! Encore merci pour votre partage !<br /><br />Je ne peux que partager votre conclusion finale :) !<br /><br />N'hésitez pas à me contacter directement si vous souhaitiez prolonger l'échange !CIDRIShttps://www.blogger.com/profile/09991642900700357942noreply@blogger.comtag:blogger.com,1999:blog-7986081543618046546.post-58160281195418970782010-10-12T05:02:48.227-07:002010-10-12T05:02:48.227-07:00Désolé, je me suis mal exprimé.
Faire des tests de...Désolé, je me suis mal exprimé.<br />Faire des tests de vulnérabilité en boite blanche, c'est facile. <br />Faire des tests de vuln en boite noire, c'est plus difficile.<br />Faire des tests en boite noire sur un OS distant non connu et sécurisé, sans se faire repérer, c'est du gros challenge.<br /><br />La sécurité d'une infra connectée ne doit pas résider dans la seule sécurisation d'un OS mais dans la sécurisation de l'infra elle même. Les failles existent de toute façon, OS propriétaire ou non. Je pense que faire son OS maison à partir d'un OS libre permet de bénéficier de la communauté de testeur et rend plus complexe l'attaque directe.<br /><br />Pensez-vous qu'injecter une mise à jour faite par une personne inconnue dans l'intégralité de ses OS ne présente pas de risque sur la sécurité? La maîtrise de son OS permet justement, à mon sens, d'analyser et de tester les effets de bord possibles.<br /><br />Le tout est de pouvoir mesurer le risque d'attaque et de pénétration de son réseau en partant d'un OS commercial, d'un OS libre ou d'un OS maison. Ce n'est pas simple mais si tant de pays s'y mettent, c'est que l'OS maison doit, selon eux, présenter moins de surface d'attaque possible. De plus, je pense que c'est très formateur en terme de lutte informatique offensive et défensive et permet de rester dans la course de la SSI sans être dépendant de communautés de chercheurs.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7986081543618046546.post-72870940666153699232010-10-12T03:03:04.082-07:002010-10-12T03:03:04.082-07:00Bonjour et merci du commentaire..
Je me suis atta...Bonjour et merci du commentaire..<br /><br />Je me suis attardé sur ces pays car ils ont une ambition autre que la nôtre. Nous ne sommes pas au même niveau même si je suis convaincu de notre capacité d'excellence !<br /><br />Trouver une faille sur un OS ouvert et publié n'est pas une chose aisée, mais pas infaisable. <br /><br />=> c'est même régulier ! Non ?<br /><br />Trouver une faille sur un OS sécurisé et plus confidentiel diminue encore les risques.<br /><br />=> Je ne vois pas trop comment...Car si vous utilisez cet OS dans des infras connectées, il sera forcément testé "sans précaution" dans le but de s'y introduire...on découvrira les failles "trop tard"..<br /><br />Pour le dernier point, on a beau injecté le dernier cri en matière de sécurité dans l'OS, si on ne teste pas l'environnement habituel du système, on ne sait pas s'il n'existe pas des effets de bords néfastes à la sécurité !<br /><br />Qu'en pensez-vous ?CIDRIShttps://www.blogger.com/profile/09991642900700357942noreply@blogger.comtag:blogger.com,1999:blog-7986081543618046546.post-27993654885414526382010-10-12T02:28:08.914-07:002010-10-12T02:28:08.914-07:00Et quid des initiatives francaises ?
Ce n'est ...Et quid des initiatives francaises ?<br />Ce n'est pas vraiment un OS, mais le soucis de protection est le même : <br />http://www.ssi.gouv.fr/IMG/pdf/cp.pdf<br /><br />50 ingénieurs pour un Os from scratch, oui, c'est du quasi impossible. Par contre, pour sécuriser un linux ou un FreeBSD, c'est tout à fait envisageable. Et comme vous l'indiquez, c'est la solution la plus probable.<br /><br />Trouver une faille sur un OS ouvert et publié n'est pas une chose aisée, mais pas infaisable. Trouver une faille sur un OS sécurisé et plus confidentiel diminue encore les risques.<br />La fermeture du système ne sera probablement qu'unidirectionnelle : ils ne publient pas le source de leur OS, mais profite des améliorations de la communauté pour les modifier et les injecter dans leur produit. <br />C'est juste s'asseoir sur les licenses d'utilisation, mais tant que ça reste dans le secret...Anonymousnoreply@blogger.com