ASI Lite
  • Articles
  • Émissions
  • Chroniques
  • Connexion

Pour accéder à la totalité du contenu vous devez vous connecter avec vos identifiants à Arrêt sur Images.
Pour des raisons de sécurité cet accès est restreint pour le moment. Demandez la procédure à l'auteur, François.

  • Salfra 14 mai 2015 à 18:02
    J'ai testé (en essayant d'être discret, on ne sait jamais) ; bravo pour le parcours.
    Sur le certificat de sécurité, cela illustre surtout que les "gros" n'ont rien à faire des règles imposées aux petits - ce qui n'est pas vrai que sur internet...
    Leurs tests de révision sont "en dur" pour l'essentiel (réponse A => page A / réponse B => page B, etc.), et en effet, certains (au moins la roulette-puzzle) contiennent question et réponse, cela dit je doute qu'ils s'en servent pour autre chose que de l'entraînement et de la révision.
    Le plus sidérant est, pour moi aussi, le côté décevant du contenu, presque pauvre, là où on peut si facilement jeter de la poudre aux yeux...

    Avis aux amateurs de jargon : allez voir les présentations de séminaires chez Cap Gemini, par exemple celui sur la cybersécurité ou celui-ci qui propose entre autres (je cite) : "Comment piloter la trajectoire de convergence de l’existant vers une cible urbanisée"... Là, on voit qu'on est face à des professionnels, et pas des fillettes de la NSA !

  • Strumfenberg ( Aloys von ) 13 mai 2015 à 22:42
    Complètement dépassé par le sujet, je suis néanmoins admiratif de l'humour glacial de JM Manach.

  • Joël RIOU 13 mai 2015 à 20:43

    Faute d'avoir été validé, le certificat de sécurité du site web n'était pas reconnu, ce pourquoi le cadenas et la mention https, dans la barre d'adresse, étaient barrés. Il suffit pourtant de cliquer dessus pour voir qu'il émane de l'"Us Government", et plus particulièrement du DoD (Department of Defense).

    Euh, attention quand même...
    (Disclaimer : je suis mathématicien, la cryptologie n'est pas ma spécialité, mais je ne pense pas dire de choses trop fausses ci-dessous.)
    Imaginons un seul instant qu'un pays décide d'espionner les communications entre l'ordinateur de J-M. Manach et certains sites sensibles. Ils demandent à son fournisseur d'accès à Internet son adresse IP et installent une boîte noire chez ce FAI qui leur permettrait non seulement d'espionner le réseau, mais aussi de s'y immiscer. Voyant que Monsieur veut communiquer avec www.site-super-protege.org en utilisant le protocole https, ils décident de s'interposer (parce que sinon, en se contenant d'aspirer les données transmises, le chiffrement utilisé pour ces communications leur empêcherait de connaître les URL précises qui seront consultées ainsi que leur contenu) : ils répondent directement au navigateur Web de J-M. Manach en lui montrant une carte de visite (certificat) frelatée sur laquelle ils auraient écrit "US Governement/DoD" (c'est facile à faire avec une carte de visite papier si on a le bon grammage, la bonne imprimante, etc ; c'est à peu près pareil pour un certificat). La carte de visite est frelatée, en particulier, elle n'a pas été tamponnée par une autorité de confiance reconnue par les navigateurs Web (ce qui n'est semble-t-il pas le cas ici même pour le certificat authentique). Coup de bol, Monsieur clique quand même sur "I understand the risks...". Quand il veut accéder à la page https://www.site-super-protege.org/machin-tres-important/ la boîte noire le voit ; les espions savent quelle information JMM veut voir ; dans leur coin, ils vont récupérer eux-mêmes le contenu, et le font suivre au demandeur (éventuellement en le falsifiant, en remplaçant par exemple partout "Flanby" par "le très-respecté François Hollande") ; l'internaute ne se rend compte de rien... C'est le principe de l'attaque dite "Man in the middle"...
    (PS: J'ignore si les boîtes noires prévues par le projet de loi Renseignement auraient le droit de faire ça.)

  • Tony A 13 mai 2015 à 19:39
    Je ne connais pas le droit US, mais ce genre de plaisanterie en France serait constitutive du délit d'intrusion :

    Article 323-1 du Code pénal, « [l]e fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende ».

    Outre ces sanctions, l’article 323-5 du Code pénal prévoit des peines complémentaires telles que la privation des droits civiques, civils et familiaux, l’interdiction d’exercer une fonction publique ou d’exercer l’activité professionnelle dans l’exercice de laquelle ou à l’occasion de laquelle l’infraction a été commise.

    Concernant l'introduction via Google, la jurisprudence semble exonérer l'internaute s'il est de bonne foi, notamment s'il n'a pas cherché à exploiter une faille de sécurité du système...

    En tous les cas, se faire prendre à naviguer dans un système censé requérir une autorisation d'accès, ça peut coûter cher en frais d'avocat.

    Mais bravo pour cet excellent article.

  • Faab 13 mai 2015 à 16:50
    Comme ils sont sympa, sur cette page ils proposent de télécharger un certificat du Department Of Defense.
    On peut récupérer le bidule ici mais j'sais pas pourquoi, j'ai pas confiance...

  • Yogi 13 mai 2015 à 13:27
    Bravo. Excellent le coup des réponses dans le code source :-)

  • yo 13 mai 2015 à 12:12
    Dites le dragon la il est plutôt violet non (qui est la traduction de "purple")? Pourpre ça tend beaucoup plus vers le rouge... Si vous aimez pas le terme "violet" vous pouvez utiliser "mauve"...

  • Yanne 13 mai 2015 à 10:55
    Bon ! Si vous disparaissez de la circulation, on saura que c'est la NSA qui vous a chopé ! Et pourquoi !
    :-))))))


Dossiers - Thèmes - Auteurs

Ce site open-source affiche les contenus d'Arrêt sur images d'une manière optimisé sur mobile. Non affilié à Arrêt sur images. Créé par @francois2metz. Voici la documentation de l'API.