Aller au contenu

Messages recommandés

Posté(e)

Je me souviens aussi d'un beau piratage, tout un root kit caché dans une image .jpg... et aussi passe inaperçu, quand Google scannait le site c'était plein d'articles sur enlarge your pen** et autres. Quand on regardait le site était normal...

Une belle plaie

Sent from my Note4

Posté(e)

Je lis parfois de ces (méchantes) choses à  propos de Wordpress et la sécurité, alors qu'il reste tout de même le CMS le plus sécurisé au monde!

A mon sens, la plus grande faille de sécurité, se trouve entre la chaise et le clavier ! Et Lazer le démontre bien dans son exemple avec son instance wordpress obsolète oubliée mais laissée en live...

 

Après, cela arrive même aux meilleurs... et puis dès qu'un système est permissif, modulaire et interfaçable, il devient alors un vrai gruyères.

 

Quoi qu'il en soit, je reste quand même persuadé (alors là  je sais que je vais me faire lyncher...) que c'est grâces à  certains de ces hacks et autres script kidding à  la con, que les éditeurs améliorent davantage leurs produits logiciels ou web et qu'un accent sur la sécurité est réellement mis.

Posté(e)

Mouais, moi j'héberge tout chez moi pour ce qu'il me faut. Et la sécurité est ultra simple et garanti à100% : Je surveille ce qui entre et sort. Je sais ce qui doit consommer de la BP, et s'il y a plus quand tout est éteint, c'est qu'il y a un souci :)

Posté(e)

Mais du coup, les applis Fibaro elles ne passent pas en HTTPS, si ?

non les applis ne savent pas utiliser le https.

Mais c'est moins gênant, car depuis mon smartphone, suis soit sur mon propre Wifi, soit sur le réseau 4G de mon opérateur. Et j'ai plus confiance dans le réseau 4G de mon opérateur que les différents réseaux auxquels je me connecte avec mon PC Portable (hôtels + entreprises). C'est là  que se situe le plus grand danger d'interception de données, c'est tellement facile à  faire...

 

 

Quoi qu'il en soit, je reste quand même persuadé (alors là  je sais que je vais me faire lyncher...) que c'est grâces à  certains de ces hacks et autres script kidding à  la con, que les éditeurs améliorent davantage leurs produits logiciels ou web et qu'un accent sur la sécurité est réellement mis.

Je suis 100% d'accord avec toi :)

 

 

Mouais, moi j'héberge tout chez moi pour ce qu'il me faut. Et la sécurité est ultra simple et garanti à  100% : Je surveille ce qui entre et sort. Je sais ce qui doit consommer de la BP, et s'il y a plus quand tout est éteint, c'est qu'il y a un souci :)

Tant de certitude.... c'est le meilleur moyen de te faire pirater sans que tu ne t'en rendes compte ;)

Posté(e)

Lazer, je disais ça comme ça, en fait je m'en tape :)

D'ailleurs tu vois bien, du coup tu laisses tout de même un port non https ouvert sur le net pour les applis Fibaro, donc bon...

Moi je me connecte que depuis du sécurisé : De chez moi, en 4G qui est assez sà»r aussi, et sinon depuis le boulot ou en déplacement mais toujours à  travers le VPN du bureau, donc pas de risque non plus.

 

Sinon ma technique de la BP marche très bien, je te le confirme. Il suffit de vérifier de façon fine. Un botnet va vite piquer dela BP, c'est sà»r, c'est leur fonctionnement. Et depuis le routeur, on voit les sources et ce qui est envoyé.

Et bientôt j'aurai l'ISP L7 sur ce dernier, et là  franchement, il faudra de l'ultra hackeur pour passer au travers.

  • Upvote 1
Posté(e)

Oui mais si tout est éteint chez toi, le botnet est éteint aussi, donc pas de trafic.

Et dès que tu rallumes ton PC, tu ne sais pas faire la différence entre le flux normal et le flux pirate. Sans compter qu'un botnet intelligent fera ses actions dans l'ombre, sans impacter ton usage, exactement comme pour mon site Web.

Le seul moyen de le détecter (et encore....) c'est un IDS. Mais les IDS ont leurs limites, car comme les antivirus, ils reconnaissent les attaques à  leurs signatures.... avec les limites que l'on sait (nouveau virus/ver/troyen/botnet/...)

 

Ensuite, le réseau de l'entreprise en VPN, je ne lui fait absolument pas confiance. Parce que je ne suis pas admin de ce réseau, et je ne sais pas ce que font les mecs avec les logs de leur proxy. Pire encore, si je m'ennuie, je sniffe le réseau et je vois le trafic des collègues. Ce qui implique que le stagiaire qui s’ennuie fait de même à  longueur de journée (je l'ai fait....)

Chez des clients, ils ont été infecté par des virus (malgré leurs protections antivirus, encore une fois ça démontre bien que ça n'est pas suffisant), et tu n'as aucune idée de ce que le virus a fait des données récupérées, elles sont surement sur des forums russes underground (les fameuses listes de mots de passes, cartes bleues, imprimantes/webcam ouvertes sur le net, etc....)

 

 

Enfin un mot sur le http versus https ouvert chez moi => ça ne change strictement rien en terme de sécurité que tu ouvres un port 80 ou 443.

Pourquoi ?

Parce que c'est le même serveur Web derrière (Apache + PHP), donc si il y a une faille sur l'un, elle est aussi présente sur l'autre. Pire même, puisque tu ajoutes une couche de plus, le SSL, tu as des risques en faille en plus. La preuve ? La faille OpenSSL découverte il y a environ 2 ans, obligeant à  patcher dans l'urgence la plupart des serveurs HTTPS et SSH de la planète.

Conclusion, du point de vue des services exposés, http est plus sécurité que https.

Pour s'en prémunir, il faut passer par un reverse proxy, c'est justement ce que j'ai mis en place. Et là  tu te protèges (en partie) des failles de ton serveur Web. Ensuite, tu ajoutes un IDS/IPS, et tu idoles les machines exposées dans des VLAN. Et tu as un réseau qui commence à  ressembler à  ce qu'il y a en entreprise. Mais tu verras les IDS c'est l'enfer, personnellement j'ai laissé tombé, c'est pire que les antivirus => pleins de faux positifs, et il ne voit pas passer les vraies attaques (celles que tu qualifie d'ultra hackeur).

 

Alors le https ça sert à  quoi ?

- chiffrer la communication entre ton terminal et ton serveur

- authentifier ton serveur, c'est à  dire garantir que tu t'adresses bien à  ton serveur, et qu'il n'y a pas un man in the middle qui intercepte (et modifie à  la volée) ton trafic.

C'est tout (mais c'est déjà  beaucoup).

Posté(e)

Moi je me connecte que depuis du sécurisé : De chez moi, en 4G qui est assez sûr aussi, et sinon depuis le boulot ou en déplacement mais toujours àtravers le VPN du bureau, donc pas de risque non plus.

Testé vite fait... :

Alors tu peux te connecter sur ton NAS, ton routeur, et ta box en https, c'est très bien. Mais pourquoi as-tu laissé les ports http ouverts, tu aurais pu les fermer du coup ?

Par contre je vois que tes caméras ne sont pas en https. Je suppose que tu t'y connectes quand même àdistance ?

Làpour le coup, si le fournisseur de caméra ne propose pas du https sur son interface, tu vois un des intérêts de mon reverse proxy => rajouter le https àun équipement qui ne le propose pas (donc entre les caméras, la HC2, et d'autres équipements domotiques, ça devient très utile)

Posté(e)

J'attends ma 1ère attaque chez moi, et on verra bien.

Le plus important la dedans, une bonne sauvegarde sur du long terme (Et pas seulement J-3 jours :)).

Posté(e)

ah oui les sauvegardes, je suis d'accord :)

 

Mes données les plus importantes :

RAID sur mon PC => Backup sur le premier Syno => Backup sur le 2nd Syno => Backup sur disque externe

 

Comment ça je suis parano ? :D

  • Upvote 1
Posté(e)

Si, mes caméras font du HTTPS, mais j'ai laissé, j'ai aussi la HC2 en HTTP, donc osef pour moi.

Posté(e)

Sauvegarde j'ai pareil que toi, et encore, pour le plus sensible, ma femme a encore une copie sur un petit DD USB (En taille physique, pas en Go :)) dans son sac à  main toujours sur elle :) :)

Posté(e)

Pas mal le coup du disque dur dans le sac à  main :D

 

ah j'oubliais => les documents de travail en cours sont en plus synchronisés en temps réel sur ma Dropbox limitée à  2 Go.

Posté(e)

Si jamais je perdais les photos de ma femme (Données la plus sensible de toute), autant me jeter de suite dans le Rhin. La, c'est sa responsabilité :) :)

 

Quand j'aurai plus de début, pareil, tout ira en externe. Mais bientôt (1 an), j'aurai mon second NAS qui sera déplacé dans la dépendance au fond du jardin, et là  ce sera pas mal niveau sécurité même en cas d'incendie.

Posté(e)

Perso, un proxy et un reverse proxy, si je vois pas ce qui passe c'est qu'il y a un soucis ^^.

 

Pour les backups j'en ai qu'un et il est chez les parents, coute un peu cher ici mdr.

Posté(e)

Nico

Justement mon 2nd NAS est dans le garage, ainsi que le disque externe (le fameux Touro Hitachi)

Bâtiment séparé, donc protégé de l'incendie, cambriolage.

Pour les inondations j'ai une bonne sécurité, je suis plus haut que Paris :D Déjàquand tu vois le foin qu'ils ont fait pour 5m de flotte, imagine pour 63m ! Làça sera la fin du monde pour de vrai.

  • Upvote 1
Posté(e)

Pareil, moi il est dans le garage, mais celui ci n'est collé àla maison, donc pour le moment pas top à100%

Posté(e)

Et avec les filles vous utiliser autant de protection MDR

Moi je bois un verre il paraît que l'alcool tue les microbes lol

Envoyé de mon SM-G900F en utilisant Tapatalk

×
×
  • Créer...