🐧 Darks' 📷 is a user on mastodon.xyz. You can follow them or interact with them if you have an account anywhere in the fediverse. If you don't, you can sign up here.
🐧 Darks' 📷 @Darks

Hey Masto, j'ai besoin d'un avis technique. On étudie la sensibilité des cadres à la sécurité de leur environnement numérique, et on comprends pas trop pourquoi le domicile est à ce point considéré comme non-sûr. Des avis ?
Repouets appréciés 🤗

Maybe @TheForeignAgent @devnull @aeris @thomas ?

· Web · 8 · 1

@Darks @thomas @aeris @devnull @TheForeignAgent
Peut-être que les personnes ayant répondu se sentent moins en sécurité parce que chez eux, ils pensent leur connexion plus facile à pirater / leurs données plus accessibles ?
Il suffit d'oublier de se déconnecter d'un truc pro pour que ton enfant y accède par exemple (si ordi familial partagé)

@Colunadoc Ouais enfin ça demande de manipuler de la donnée sur son PC familial, je ne sais pas si c'est courant comme pratique. Pour moi, en général t'utilise à minima un PC perso, quand c'est pas celui fourni par la boite.
Ceci dit y'a peut-être le fait que tu penses être à l'abri et donc fait pas gaffe, contrairement au hall de gare où là tu passe direct par un VPN et consort.

@Darks @TheForeignAgent @devnull @aeris @thomas Simple effet numérique ? 66,67 %, ça fait juste deux tiers, ça tombe trop juste pour être honnête.

On n'a interrogé que trois personnes ? :-)

@bortzmeyer On a une trentaine de réponses (pour le moment), à priori venant de secteurs différents et assez larges. Ça fait peu, mais 2/3 c'est une tendance qui continue à chaque fois qu'on a des réponses en plus.

Le lien du sondage si y'en a qui veulent répondre 😋
framaforms.org/securite-de-len

@Darks @bortzmeyer La dernière question (l'effort entre 0 et 10) est super étrange… On parle d'effort à cause de la difficulté de la chose, de la flemme qu'on peut avoir de le faire (même si facile), de la résistance du management ? Il peut y avoir tellement de causes diverses :/

@milouse @bortzmeyer Ça peut être un mix des trois. Quand on a fait le questionnaire, on pensait surtout au niveau de flemme global : faut s'investir pour apprendre, et pour mettre en pratique.
Je reconnais qu'on a complètement zappé l'aspect inertie du management, mais à la question si y'a déjà eu de la sensibilisation y'a qu'un gus qui a répondu non, donc j'en déduis que c'est surtout du PEBKAC

@Darks Peut-étre un excès de confiance dans les équipement de « sécurité » déployés en entreprise?

Après bon, le réseau domestique de la plupart des gens une passoire et leurs PC windows avec pleins de logiciels tipiak font probablement parti de 3 botnets… Donc ils ont pas forcément tord.

Puis chez toi, t'as pas l'esclave qui passe 5 heures à nettoyer tes 500 virus…

@TheForeignAgent @aeris @thomas

@devnull
Passoire, passoire, je sais pas mais en général c'est pas un réseau ouvert aux 4 vents…
Ceci dit ouais, faut voir l'état des machines familiales pourries par du W$ infecté de spyware x)

@Darks Ah bah si. Pas de parefeu confoguré sur ton réseau = passoire

@devnull C'est vrai que par défaut y'a pas ça sur les box. J'ai plus l'habitude des réseaux à deux balles… >_<

@Darks Y en a qui pensent que NAT = sécurité donc bon…

@Artanux
Dans quel sens ? Je veux dire, un gamin va (pour moi) pas copier tes données du boulot sur une clé pour les revendre au black x)
Alors que le type qui est dans le TGV qui va pisser sans verrouiller sa session, il est juste inconscient (j'ai déjà vu ça…)

@Darks @Artanux je crois que le mot c'est "inconscient" et donc dans ton formulaire il n'en tiendra pas compte

@Dam_ned @Artanux C'est sûr qu'on a orienté le truc essentiellement sur le ressenti, pas sur ce qui est fait en pratique. Pour ça y'a déjà les rapports de l'ANSII ^^

@Darks C'était un peu ironique. Mais j'imagine très bien faire des conneries en travaillant si j'ai des enfant qui jouent/se disputent derrière moi.

C'est marrant que les gens se sentent plus en sécurité dans une gare, sur un wifi public...

@Artanux Comme ça a été évoqué, y'a peut-être une sorte d'abus de confiance dans les outils du pôle info en mobilité…

@Darks @TheForeignAgent @devnull @aeris @thomas Parce que dans les autres environnements, ils partent de l'idée (pas forcément juste) que c'est géré par des pros, donc sécurisé. Alors que chez eux, ils savent ce qy'ils ont fait ou pas, et en connaissent les limites.

@Darks

Je dirais que c'est parce que la plupart des répondants pensent qu'au bureau ou dans un espace public le réseau est géré par des professionnels alors que chez eux ils ont juste branché la box du FAI et pige rien au reste.

@Torrone (Abus de ?) confiance dans les outils/services du pôle info par rapport à chez soi où y'a personne pour dire quoi faire ?

@Darks

C'est ce que je pense.
J'ai souvent vu ce type de réaction en entreprise en tout cas.

@Darks @TheForeignAgent @devnull @aeris @thomas AMHA sur les 6 choix proposés, seul la maison fait penser à la présence des enfants, des amis et de la famille. Tout le reste fait "pro" donc semble plus sur. C'est justement ce biais qui fait que c'est faux (troll/ surtout que grâce à Hadopi, la maison est plus sécurisée /troll). C'est plus une intuition qu'une certitude...

@Zythom Surtout que les 3 derniers choix sont aussi mauvais sinon pires (plus d'attaquants potentiels) que la maison

@thomas @aeris @TheForeignAgent @Darks

@devnull
De meme j'aurais classé les 3 derniers comme etant a priori les moins sur.

C'est cocasse quand meme que les reponses donnent une plus grande confiance a l'infra de partenaire / clients que celle de leur propre entreprise. :D

J'ai l'impression que ca illustre qu'ils n'ont pas tant confiance en la securite informatique de leur propre boite !

Perso j'aurais mis que je suis plus a risque depuis une entreprise tierce que la mienne.

@Zythom @thomas @aeris @TheForeignAgent @Darks

@alfajet Yep, d'où mon incompréhension 🤷

@alfajet Nan, autant je ferai pas confiance à réseau d'entreprisesuper filtré, et potentiellement fliqué, entre autres avec des proxies TLS et les failles que ça introduit, autant je suis pas d'accord que les 3 derniers sont les moins pires…

Les WiFis publics sont un cauchemar entre le filtrage de tout !(port==80|port==443), et le MITM fait par les opérateurs.

@Zythom @thomas @aeris @TheForeignAgent @Darks

@devnull
oui, mais contrairement a un utilisateur lambda, tu as confiance dans la sécurisation de ton chez toi
@Darks @TheForeignAgent @aeris @thomas @Zythom @alfajet

@Xalofar Peut être mais il y a plus de chance de tomber sur un attaquant au McDo ou dans le train que chez soi… Le risque chez soi comme.en.entreprisr, cnest souvent d'ibstaller soi-même le malware en ouvrant les pièces jointes sans réfléchir 2 secondes

@alfajet @Zythom @thomas @aeris @TheForeignAgent @Darks

@devnull
ça c'est la réalité
pas ce que peux penser un M Michu.

quoique pour le coup...avoir confiance dans le wifi du macdo...faut en vouloir!
@Darks @TheForeignAgent @aeris @thomas @Zythom @alfajet

@Xalofar À force d'écouter les journaleux kissykonnèssent et leurs émissions sur kévin, 14 and, fils des voisins et « génie de l'informatique » qui se lève à 11h et sèche les cours après des nuits blanches à « voler des numéros de cartes bancaires »… Forcément, ça fait des dégats…

@alfajet @Zythom @thomas @aeris @TheForeignAgent @Darks

@alfajet Quand l'opérateur que tu paye fait du MITM sur HTTP, SMTP, DNS… Tu fais juste pasconfiance aux opérateurs des A publics ou semi-public.

Juste pour rire
- Gare SNCF de Nancy : OpenVPN bloqué
- Columbus Café à Nancy : MITM SMTP
- Univ Lille 3 : Tor et OpenVPN filtrés, y compris les bridges. J'en ai chier pour bypasser ça

Avec probablement du MITM DNS un peu partout…

@Darks @TheForeignAgent @aeris @thomas @Zythom

@alfajet Je ferai un tour avec mon laptop à la gare + suelques AP pubmics, pour rire.

Rajoute à ça les vieux routeurs pas à jour, administrables over HTTP ou SSLv3… ou avec admin/admin

1. Je vois venir le « Faut pas se connecter sur le port 25… C'est pas le sujet. Ça change rien à l'illégitimité du MITM fait un opérateur et au fait que je fais 0 confiance à la majorité des opérateurs

@Zythom @thomas @aeris @TheForeignAgent @Darks

@devnull
Je dis bien la meme chose, je m'auto quote: "j'aurais classé les 3 derniers comme etant a priori les moins sur" ;)

En fait c'est pas les memes risques. Dans une boite tierce c'est plus de la surveillance ciblee, espionage industriel qui a tendance a m'inquieter.

@Zythom @thomas @aeris @TheForeignAgent @Darks

@alfajet En partie si. L'espionnage indutriel peut avoir lieu dans le train ou dans hôtel. Et le fait de filtrer OpenVPN.par exemple, t'empêche ou rends.plus difficile de te protéger contre toute forme d'espionnage (industriel ou pas)

D'ailleurs les agences de renseignement pratiquent aussi l'espionnage industrielle. À partir du moment ou une boite installe du matos NSA-compliant…

@Zythom @thomas @aeris @TheForeignAgent @Darks

@Darks

je plussoie @NuitsDeChine @Torrone : chez soi, un utilisateur lambda a juste branché son PC sur sa box et rien fait d'autre pour la sécurité
au boulot il y a un pro qui y a touché, c'est certainement + sur

sauf si bien sur tu n'as pas confiance dans les informaticiens de ta boite, genre parce qu'ils sont au siège a Paris et que les PC sont sous windows-meme-pas-10-mais-avec-IE

@Darks
TLDR tous les commentaires, parce que contrairement au boulot, y a pas des professionnels qui s'en occupe, il n'y pas les procédures, les équipements...
@TheForeignAgent @devnull @aeris @thomas

@GuyMarty C'est beau la théorie… avec les professionnels incompétents et les procédures que personne ne respecte (et surtout pas les gens haut placés)

@thomas @aeris @TheForeignAgent @Darks

@devnull
L'utilisateur VIP est la plaie du SI d'une organisation.
Pour le reste, à mon boulot, les professionnels (les personnes en charge du SI et de sa sécurité) sont plutôt compétents ; les procédures sont globalement respectées et il y en a plus que chez moi.
@Darks @TheForeignAgent @aeris @thomas

@GuyMarty À priori, j'ai plus confiance en réseau que je contrôle et qui doit remplir certains critères en terme de matériel, logiciel, FAI… qu'en un réseau d'entreprise by agrumes telecom, avec du matos choisi par un vieux encravaté pas tech, et configuré par des gus qui n'auront pas de problème à déployer les produits de boites dont le business consiste à faire passer des spywares pour des outils de sécurité…

@thomas @aeris @TheForeignAgent @Darks

@Darks @TheForeignAgent @devnull @aeris @thomas peut être parce que l'on a de plus en plus de données perso numériques chez sois
Elle qu'elles pourraient être considérées plus sensibles que ses données pro ?

@joo Je pensais que les gens n'avaient « rien à cacher »… Il faudrai qu'ils se décident…

@thomas @aeris @TheForeignAgent @Darks

@Darks @devnull @aeris @thomas

Tout l'environnement numérique est géré par un seul acteur (le FAI) qui est non-fiable au possible et l'a démontré à de nombreuses reprises ? Juste une hypothèse.

@Darks C'est pour illustrer les propos de Bruce Schneier ? 🤔