oinkoink_daotter a écrit 1695 commentaires

Si l'admin du site les a rendu publique, ce n'est pas la faute de celui qui les a téléchargé de bonne foie car le SI lui a permis sans rien demander.

Oui. Mais il n'est pas non plus déconnant qu'une personne qui les rediffuse derrière en connaissance de cause puisse être poursuivie.

Si l'admin du site les a rendu publique, ce n'est pas la faute de celui qui les a téléchargé de bonne foie car le SI lui a permis sans rien demander.

Merci. Le mot clef était ici "de bonne foi".

Si tu n'es pas capable de comprendre des faits et des protocoles simples, ce n'est pas ma faute.
Mais ne vient pas expliquer derrière, à ceux qui les comprennent car ils doivent travailler avec tous les jours, comment ils marchent, et comment ta vision, qui réussit à inverser destinataire et expéditeur quand même, est tellement plus proche de la réalité…

Attention, je comprends très bien comment fonctionnent les protocoles en question.
Mais ce n'est pas au droit (un concept de société) de s'adapter à un détail d'implémentation. Ici, ce qui a plombé Bluetouff, ce n'est pas d'avoir téléchargé des trucs sensibles en toute bonne foi qui n'auraient pas du être en libre accès, c'est de SAVOIR qu'il le faisait et d'avoir continué. La valeur du code HTTP machin …

S'il a une mention « Top Secret », tu es plutôt chaudement invité à le lire, car il émane d'une puissance étrangère et pourrait concerner directement la sécurité nationale de ton pays.

Ouais, mais formellement, ça reste une compromission, car les niveaux étrangers sont transposés par des traités sur les niveaux français. Donc un procureur zélé pourrait te poursuivre.

En France, l'information est classée en Très Secret-Défense, Secret-Défense et C_onfidentiel-Défense_.

Et protégée par l'article 413-11 du code pénal (shorter : si t'as pas le droit de lire -habilité et justifiant du besoin d'en connaître-, ne pas lire).

À noter que dans les subdivisions du Très Secret-Défense, la saloperie de soumission sarkozyenne de la France à l'OTAN a fait introduire le très comique « Très Secret Cosmic », équivalent du « NATO COSMIC TOP SECRET » otanesque (Cosmic pour Control of secret material in an international command).

Foutaises :)
Ca existe depuis bien avant, à cause des accords de sécurité avec l'OTAN. Sarkozy n'a pas rejoint l'OTAN, que l'on a jamais quitté, mais juste le commandement intégré.

Cette loi dit simplement: si vous pensez qu'il y a un truc suspect sur un site OIV, vous quittez immédiatement le site.

Pourquoi mentionner le fait que c'est un OIV ? On s'en fout, non ? Godfrain ca date de bien plus tôt.

Absolument pas, c'est un fait technique, que malgré ta grandiloquence tu ne peux renier sans renier le principe même de site web internet.

Si. Je n'hésite pas une seule seconde.
Déjà, on ne parle pas de technique. Et je ne renie rien du tout. Ce n'est pas parce qu'un truc est publié que l'accès doit en être assumé comme étant openbar, c'est juste absurde. Sinon, ça veut dire que l'on ne risque rien à publier l'intégralité des données personnelles d'un million de clients d'orange, imprudemment mal sécurisées (ou pas), sous prétexte que le reste du site est public ou que tu comprends, c'est internet, tout est public, et que le serveur a retourné un quelconque code HTTP de retour dont tout le monde se fout.
Encore une fois, je trouve sain de protéger ça, sinon il n'y aurait pas d'internet pratique (tout ce qui est marchant et ou un peu sensible) et ce serait le farwest.

Un autre exemple.
Dans un magasin ouvert, tu peux avoir l'espace "ouvert au publique", et une porte fermée.

Oui, comme dans mon analogie amazon.

Il serait complètement ahurissant d'expliquer que tu n'a pas le droit de rentrer dans le magasin et de voir ce qu'il y a dans les rayonnage dans la partie ouverte au publique au seul prétexte qu'il s'agit d'un propriétaire privée, et que quelque part , au fin fond du magasin, tu as une porte.

Ce n'est pas ce que je dis. Si l'on file cette métaphore, ce que je dis, c'est que si tu peux rentrer dans le magasin, si sur cette porte du fond, il y a écrit "accès interdit au public" (ou même qu'elle est montée à l'envers), ben t'as pas le droit d'aller faire mumuse dernière, même si la porte est ouverte. Ca c'est le concept de droit décrit dans la loi Godfrain. Après avec internet, c'est plus compliqué, car le concept de devant ou derrière la porte du fond est compliqué conceptuellement, mais si tu sais que c'est que ce dans quoi tu farfouilles est derrière la porte en question (parce que par exemple dans un répertoire amont tu as vu qu'il y avait une tentative de contrôle d'accès) et que tu y vas quand même, ben faut pas t'étonner de te faire toper par la patrouille. Et je le répète, pour moi c'est sain.

Un site internet est par nature publique.

C'est ton avis et surtout une assertion gratuite.
Le site d'amazon est public. Pour autant les pages de profil des utilisateurs ne le sont pas. Pareil pour les banques. Partant de là, il n'est pas déconnant qu'ils profitent d'une protection juridique (ie, ce n'est pas public).
Je ne vais redire ce qui a déjà été dit 42 fois dans la page, mais ça conforte surtout l'idée qu'il faut fermer sa gueule en GAV et se faire conseiller(que ce soit Bluetouff, Kevin, ou Dills).

Si demain vous êtes condamné parce que lors d'un ramassage des encombrants vous ramassez un ordi devant un commissariat, posé avec des poubelles en plastiques, des vieux bottins, des chaises cassés, vous trouverez fort de café que l'on vous explique que c'est privé et que vous n'auriez pas du le ramasser car il avait été mis par erreur. et

Mauvaise analogie. J'ai lu un article je ne sais plus où (chez eolas ?) qui expliquait que le fait de mettre quelque chose à la poubelle était formellement un acte par lequel on renonçait à la propriété sur quelque chose. Et que du coup, par exemple, une société ne pouvait pas poursuivre quelqu'un qui aurait fouillé dans les poubelles et refourgué des trucs sensibles balancés par erreur. Puisque ça appartient à qui le prend.

que vous êtes tombé sur des fichiers confidentiels.

Ca dépend du confidentiel.
Si c'est du confidentiel industriel, non car il n'a pas de protection juridique.
Si c'est du réglementaire (défense, médical, etc) whatever, tu pourrais être poursuivi (car l'information elle même porte une protection juridique intrinsèque) si tu vois que c'est confidentiel (ie. il est marqué) et qu'il est possible de prouver que tu l'as lu. Mais tu ne seras pas poursuivi pour une intrusion ou un maintien dans un STAD.

edit: en fait, non pour la défense, le simple fait de le posséder te rend coupable de.

Ou juste la beta (channel beta, mais ça m'indique 38.0.5, WTF?).
Ca s'est activé tout seul chez moi.

A-tu essayer d'exploiter sur ce site précisément ?

Oula, attention.
Tenter d'exploiter une vuln sur un site web c'est illégal (Godfrain toussa).
Quand on voit ce qui arrive à ceux qui expliquent comment les exploiter sur leurs lab et ceux qui utilisent google, je ne m'y risquerai pas…

Oui, mais est-ce que c'est parce qu'il n'applique pas ce qu'il doit faire (ce qui est illégal) ou bien est-ce parce qu'il a mis ça dans des textes et codes qui ne lui sont pas applicables (ce qui n'est pas illégal, même si c'est moralement discutable) ?

ben archive.org n'a pas de sauvegarde.

Oh mais @si, si. Gratuit pendant 24h.

Ou 0€ pour un commis d'office

http://www.vos-droits.justice.gouv.fr/avocat-11936/avocat-20181.html

Il me semble que la politique des procureurs (qui défendent l'administration au tribunal administratif)

Je crois que ça ne s'appelle pas un procureur.

Dommage que les lois sur les appels abusifs ne soient pas plus souvent appliquées

Encore faudrait-il que ce soit pénalisable devant les juridictions administratives. L'État est très très ingénieux quand il s'agit de faire voter des lois (pour modifier les codes) dans le sens qui l'arrange en matière administrative.

Un président (et un parlementaires) sont inattaquables jusqu'à ce qu'ils quittent leur fonction, c'est un choix qui a été fait pour "protéger".

T'en parleras à Balkany et à Dassault, hein.

et qui comporte toujours une part d'aléas

Oui, mais le droit essaye de limiter cette part d'aléas le plus possible en :
- donnant des droits de plus en plus larges à l'avocat au début de l'enquête (pour éviter que la personne n'avoue n'importe quoi sous la pression)
- en considérant que le doute profite toujours à l'accusé
- en donnant la possibilité de faire deux niveaux d'appel.

L'inconvénient, c'est que ça coûte un max de thunes et que c'est long.

ne fait le nécessaire travail de pédagogie, même pas le prévenu, qui aurait pourtant tout intérêt à le faire !

Y a qu'au cinéma où le prévenu fait de la pédagogie. En vrai, comme il ne maîtrise, ni le fond ni la forme, il vaut mieux qu'il ferme sa gueule, sinon il se fait retourner. L'avocat est là pour ça.

D'un autre côté il y a la stupéfaction de constater qu'un simple bot à permis de lancer une telle procédure, et qu'il semble qu'a aucun moment il n'y ai eu une première lecture afin d'évaluer la pertience d'une intervention.

Prudence la dessus. A priori, ce n'est écrit nulle part. C'est juste un truc que lui a raconté le gendarme qui l'a entendu. Qui ne doit pas y connaître grand-chose. En plus si un tel système existe de ce style, a mon avis, il y a un filtre procureur. Sinon, il ne resterait pas grand monde dans le milieu de la SSI en France.

Sinon, c'est dommage, comme le Kevin en question a mis un robots.txt qui interdit toute indexation (ce qui est un peu dommage quand on veut vulgariser de la connaissance), ben archive.org n'a pas de sauvegarde.

L'erreur, là, c'est vraiment le plaider coupable :'(. C'est séduisant mais le problème c'est quand on plaide coupable, ben on est jugé coupable.

Non, bien sûr. Pour autant, je ne crois pas qu'il ait prétendu ça.

Y en a même dans les radios : https://www.thalesgroup.com/en/worldwide/defence/land-forces-0/tactical-radios/pr4g-fstnet-combat-net-radio

Plus les investissements sur fond propre.
Par exemple : Tu sais que tu vends 1000 ton produit à ton client et tu prends 200 de marge, donc 800 de coûts brut.
Sauf qu'en fait, ton produit, il en coûte 200 de plus, que tu prends en fonds propres car tu sais que tu vas le fourguer à quelqu'un d'autre et te refaire avec ça. Est-ce à ton acheteur initial de prendre ces 200 à sa charge ? De son point de vue, non. Pourtant ça te met méchamment dans la mouise, car tu seras de ta poche de 200 en ayant au final rien de tangible.

Surtout qu'ils lui ont mis une balle dans la nuque en 2007.
Si tu peux encore parler à Clippy en 2015, va te laver les mains, c'est probablement très sale /o\.

(il n'y a que les personnes aux activités louches qui ont un VPN, c'est évident ma brave dame).

Et les entreprises. Mais elles sont louches aussi.

49mÿons par an en 2004 (cf la page kikipedia de Louvois)

Justement, je ne vois pas ce qui est tangible.
soit les chiffres sont farfelus, soit c'est signe de dysfonctionnements majeurs dans l'administration.

Je ne sais pas. Il n'en reste pas moins que c'est le chiffre donné par Le Drian un peu partout dont la commission de Défense :
http://www.opex360.com/2014/11/04/les-dysfonctionnements-de-louvois-couteront-150-millions-en-2014-autant-lan-prochain/
http://www.lepoint.fr/societe/logiciel-louvois-un-cout-de-150-a-200-millions-d-euros-par-an-09-12-2013-1766261_23.php
(etc).

Je peux reformuler ma remarque : je te mets à la tête d'un budget de 250 M€/an, ton job est de dépenser cette somme pour gérer les payes de l'armée. Comment tu fais, en pratique? Comment tu peux dépenser cette somme, dans les faits? Tu fais faire quoi aux gens?

Faut choisir. Les errements de Louvois, c'est (selon la Police) 150M€ par an de surcoût.
Je ne trouve pas effectivement de références chiffrées détaillées, mais il est probable qu'une partie soit des trop perçus que le mindef sait qu'il ne récupèrera jamais. En outre, en 2004, la chaîne de solde coutait 46M€ par an et Louvois était estimé (comment? et à quelle date ?) par la cour des comptes à 80M€. ref. D'autres éléments ici.
La paie des mili ça coûte une blinde.

Les 250M€, eux, c'est sur 10 ans et comprend notamment d'après le site BOAMP:
- la conception, la réalisation, la recette, la qualification et l'intégration […] ;
- l'installation, le déploiement du système d'information et la migration progressive […];
- la gestion des interfaces avec les systèmes d'information […] et leurs évolutions ;
- l'exploitation du système d'information ;
- la maintenance évolutive, adaptative et corrective de la solution ;
- la fourniture et la maintenance des logiciels nécessaires au fonctionnement du système d'information ;
- la reprise de données des systèmes de solde actuels ;
- la formation, la conduite et l'accompagnement du changement ;
- le transfert de compétence et la réversibilité en fin de marché

Ca ne me paraît pas si délirant que ça, vu ce que a coûté Louvois. Par ailleurs, le code des marchés publics est très favorable au pouvoir adjudicateur, car l'Etat peut avoir accès aux coûts bruts. Même s'ils étaient acculés par le coût de maintient de Louvois, les acheteurs du mindef ne sont pas des perdreaux de l'année.
Mais sans accès au CCTP/CCAP et notamment l'échéancier de paiment, c'est du de savoir où l'état pense que les coûts sont.

(post pas relu proprement)

C'est quoi le rapport avec un SNLE ?
Sinon, j'espère, pour ces raisons de clim, que François ne va pas mettre ses codes de dissuasion sur son compte dropbox. Ce serait dommage que tout crame.

Ouais, ou alors, tu ne sais pas de quoi tu parles.
Si on lit l'article à l'origine du journal, on se rend compte que corriger manuellement les errements de Louvois ont coûté par an entre 2011 et 2014 un peu moins de 200 mÿons d'€ (pas de roubles, hein).

C'est astronomique, mais c'est un élément tangible, pas des suppositions au doigt mouillé, sur lequel devrait être fondé le raisonnement. Plutôt que de dire qu'au Mindef c'est que des incapables (à la solde de Microsoft) corrompus.

Source (le logicile n'est pas de moi):
"les mesures prises pour corriger manuellement les erreurs du logicile, ont coûté entre 150 et 200 millions d'euros par an aux finances publiques."

Quand je dis "on chiffre avec quoi", c'est avec quelle clef, ou certificat, comment on établit la confiance, ce genre de trucs. Et ça n'a pas l'air d'être évoqué dans la RFC que tu évoques, qui ne fait que discourir sur comment chiffrer de l'UDP.

Parce que si c'est pour faire comme pour HTTPS, on rate un peu le problème.

J'imagine qu'il doit parler de la gestion du nxdomain. C'est toujours d'actualité le retour des champs immediatement autour d'où auraient été l'enregistrement dans le fichier de zone normalisé ? Je me rappelle que c'était un problème vers 2000, mais j'ai un peu lâché le truc après.