PROJET AUTOBLOG


Le blog de Genma

Site original : Le blog de Genma

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Sécurité - Petit scénario de social enginering

jeudi 1 janvier 1970 à 01:00

Imaginons le scénario suivant, fictif mais plausible, que j'ai imaginé. Je le soumets à votre analyse.

Dans le TGV, un attaquant repère un PC sur lequel on a un signe distinctif sous la forme d'un gros stickers collé sur le dos du PC. Le sticker étant le logo d'une entreprise. Cela donne une information précieuse, un moteur de recherche permettant de très rapidement d'avoir des informations complémentaires sur la dite société et l'intérêt potentiel que peuvent avoir les données confidentielles du PC (si il y a).

Le PC portable n'a pas d'écran de confidentialité, son utilisateur se connecte. On a donc son identifiant / nom. Autre solution, attendre que la personne aille aux toilettes en laissant son PC verrouillé (qu'il se verrouille de façon automatique ou qu'il soit vérouillé de façon manuelle par l'utilisateur sensibilisé aux problématiques de confidentialité) et bouger la souris : l'identifiant apparaît. Une bonne mémoire ou un appareil photo sur smartphone peuvent aider à retenir l'information.

A la voiture bar, un complice discute avec la personne "j'ai vu que vous étiez de l'entreprise X, cf les logos sur votre PC... Je suis intéressé". Échange de cartes de visite, on récupère le nom et le numéro professionnel de la personne, le login confirme qu'on a bien à faire à la bonne personne. Avec sa carte de visite, on a la position dans la hiérarchie de la personne.

On vole le PC. Ce PC est peut être chiffré et bien protégé (on peut espérer), il faut donc aller plus loin. On fait alors intervenir des méthodes de social engineering / ingénieure sociale classique

Vu que l'on a le numéro de portable professionnel de la personne, on l'appelle et on tient le discours suivant "C'est le service informatique. Votre PC a été retrouvé aux objets trouvés de la SNCF et nous a a été remis. On a besoin de changer votre mot de passe car il a été forcé sans succès et ça a verrouillé le PC, on doit mettre un différent, c'était quoi votre mot de passe avant ? Vous inquiétez pas comme on l'a retrouvé rapidement, pas besoin de déclaration ou on fera annulé les procédures en cours... " On joue sur l'urgence et le stress de la personne, l'affect / la compassion... On joue selon les réactions de la personne, qui après avoir vu son PC volé voit son PC retrouvé et est probablement contente...

Et on accède aux données / on a un point d'entrée sur le réseau de l'entreprise (via le VPN) pendant quelques heures le temps que la personne s'aperçoivent que finalement l'appel n'était pas un véritable appel du vrai service informatique.

Moralité et ce que nous apprend ce scénario fictif :
- chiffrement du PC en mobilité obligatoire ;
- sensibilisation du personnel au social engineering ;
- pas de signe distinctif sur le PC ;
- PC dédié pour les voyages avec le minimum de documents ou une façon autre de les récupérer (nécessite alors d'avoir des accès sécurisés aux services Cloud de l'entreprise, mais c'est un autre histoire).

Lifehacking A quoi je veux consacrer mon temps

jeudi 1 janvier 1970 à 01:00

De temps en temps, des personnes laissent un commentaire au delà de quelques lignes sur le blog (la plupart du peu de messages et de retours que je peux encore avoir étant pour la plupart déporté sur les réseaux sociaux). Et dans ces commentaires que je lis et valide (hormis les quelques spams), il y a souvent des choses intéressantes.

Parmi toutes ces réflexions, il y en a une qui attirer mon attention.

J'ai longtemps écris sur le Lifehacking, beaucoup d'articles de réflexions et de partage de mon expérience personnel. Et une personne a réussi à résumer ça en une phrase (je ne retrouve plus le commentaire en question pour pouvoir faire le lien hypertexte qui va bien, désolé) : Le Lifehacking, c'est ce à quoi je veux consacrer mon temps.

Cette phrase a raisonnée et raisonne encore en moi. J'ai toujours vu le Lifehacking comme un outil et non une fin en soi, mais la volonté d'optimiser, de ne pas perdre de temps, d'être productif, efficace, efficient, la course contre le temps et les années qui passent, m'a fait oublier ces dernières années des choses essentielles.

La question que je dois me poser est donc "A quoi je veux consacrer mon temps". Chaque matin, quand je me lève, je me pose cette question : "Aujourd'hui, à quoi je veux consacrer mon temps".

J'ai repris le temps de me faire des créneaux d'écriture pour ce blog, des moments où je choisis de consacrer du temps pour écrire, par plaisir (et non par contrainte). En parlant de contraintes, mon temps disponible / que je peux me réserver à moi-même (de façon assez égoïste) est encore soumis à beaucoup de contraintes. Les contraintes biologiques que sont la nécessité de dormir, manger etc. Les obligations de la société moderne, le fait d'avoir la nécessité de travailler (je mets de côté le débat que cette remarque engendre, avec les problématiques de revenu universel etc.) et pour le faire, de prendre les transports en communs...

Et il y a le cas particulier des obligations familiales, qui vont prendre une place plus d'autant plus importante dans quelques semaines... Mais pour ce dernier point, la famille est ce à quoi je veux consacrer mon temps. Il faudra que je trouve un équilibre, que je ne passe pas du tout ou rien.... Mais j'ai déjà là un élément de réponse sur "A quoi je veux consacrer mon temps".

Le Lifehacking n'est donc pas abandonné, il mute, évolue, au fur et à mesure de ma propre évolution et avancée dans la vie. Avec en ce moment, le fil rouge de à quoi je veux consacrer mon temps.

De l'importance de l'Expérience, de la Mémoire pour faire des déductions

jeudi 1 janvier 1970 à 01:00

Dans mes billets Du plaisir de former et d'enseigner et plus globalement Être chef d'équipe, retour sur mes bonnes pratiques quotidiennes je parlais de la passation de connaissances et de ma façon de le faire.

De formation scientifique, j'ai forcément une déformation lié à mes études dans mon approche des problèmes. Au quotidien dans mon travail d'administrateur système, je suis confronté à des choses que je connais et que j'ai déjà traité, mais également confronté à l'inconnu. Et je peux constater toute l'importance de l'Expérience et la Mémoire, pour pouvoir effectuer des Déductions permettant alors de résoudre les problèmes.

Expérience

L'expérience doit se faire par soi-même et en bon chef d'équipe, il faut savoir déléguer du temps pour que cette expérience soit faite par les collaborateurs. Cette expérience passe également par le partage de sa propre expérience aux collaborateurs.

Dans mon cas, cette passation, je la fais par une passation orale, dans le cadre de formation des personnes avec qui je travaille, mais aussi par la rédaction de la documentation aussi complète que possible. Est-ce besoin de rappeler l'importance de la documentation (wiki et autres).

Mémoire

On ne peut pas tout retenir. L'expérience fait que l'on apprend de ce que l'on rencontre comme problèmes, la mémoire fait que l'on s'en souvient. Il y a la mémoire liée à nos capacités cognitives. Mais la mémoire peut et doit être également assistée.

Un wiki est une forme de mémoire (d'où l'importance de la rédaction).

Il y a beaucoup de choses que je ne connais par cœur mais pour lesquelles je sais rapidement et facilement retrouver l'information.

J'accorde beaucoup d'importance à la mémoire et sensibilise à l'usage de cette dernière. Il faut se rappeler que l'on a déjà rencontré ce problème ou un problème similaire et savoir aller chercher dans la documentation. Il faut se rappeler que l'on nous avait fait un partage d'expérience sur un problème similaire.

Expérience et mémoire permette alors de faire des déductions pour parvenir à résoudre le problème en cours.

Déduction

Lorsque l'on rencontre quelque chose de nouveau, un nouveau problème, on se basera sur son expérience et sa mémoire pour faire des déductions, trouver des pistes de résolution du nouveau problème.

Sa résolution amènera à l'acquisition d'expérience et à l'enrichissement des connaissances et donc à l'enrichissement de de sa mémoire (avec écriture de la documentation / du wiki pour aider la prochaine fois).

Conclusion

En conclusion, comme montré dans ce billet de blog, Expérience, Mémoire et Déduction, sont étroitement liés et l'un ne va pas sans l'autre...

Quand j'ai parlé de cette méthode sur les réseaux sociaux, on m'a fait remarquer que l'on pourrait rajouter la Réactivité et l'Efficacité pour avoir un acronyme plus rigolo (Les lettres étant E, M, D, R, E, à remettre dans le bon ordre). C'est sur ce bon mot que je conclurai cet article.

Bureau réglable en hauteur

jeudi 1 janvier 1970 à 01:00

Depuis quelques semaines, je peux travailler à un bureau qui est réglable en hauteur.

Les bureaux réglables en hauteur, ce n'est pas nouveau. Il y a quelques années, il y avait eu une discussion sur le sujet sur LinuxFr et on trouve des articles et des présentations de produits en lignes.

Il y a quelques postes de travail dans l'openspace qui sont des bureaux réglables en hauteur électriquement, disponibles en libre-service et d'autres qui peuvent être affectés à des collaborateurs. Je me suis donc installé à l'un des bureaux et j'expérimente donc le poste de travail adaptable en hauteur.

Ainsi on peut varier / changer de position de travail au cours de la journée, passant de la station assise à debout et inversement. Et dans la position assise, cela permet de régler la hauteur de la table (hauteur de la partie horizontale), en fonction de la hauteur de son siège et donc de sa morphologie (si on a des grandes jambes par exemple, on aura un poste de travail plus haut et donc mieux adapté). De même qu'il est important d'avoir les écrans à hauteur des yeux (évitant de se pencher / casser le cou), avoir le bureau dans le prolongement des coudes permet d'adopter une meilleure posture.

Je ne passe pas mes journées debout. J'alterne. Je commence généralement ma journée debout, passant la matinée (un peu moins de 3h ainsi), je passe ensuite dans un mode assis, adapté en hauteur pour l'après-midi. Et selon l'humeur et l'envie, je repasse en station debout en fin de journée, le bureau étant alors réglé pour le lendemain matin.

Je continue donc la mise en place de mon environnement de travail. J'ai trois écrans (cf mon billet Ubuntu et trois écrans ? Oui c'est possible et Lifehacking - Trois écrans : réel confort, luxe ou superflu ?), j'utilise Redshift pour la gestion des couleurs avec la journée. Là je suis passé au bureau réglable. A voir d'ici quelques semaines / mois si je vois une différence dans ma façon de me tenir car il est encore trop tôt pour me prononcer sur un quelconque changement au niveau de ma physiologie.

Netflix - Love death robots

jeudi 1 janvier 1970 à 01:00

Présentation

Avec Love, Death & Robots, David Fincher (Mindhunter, Fight Club, Gone Girl) et Tim Miller vont proposer plusieurs histoires courtes avec des genres (science-fiction, fantastique, horreur ou encore comédie) et des animations (2D traditionnel au CGI 3D photoréaliste) totalement différents selon les épisodes grâce à plusieurs équipes de cinéastes venus du monde entier. Destinée avant tout à un public adulte, la première saison de la série d'animation d'anthologie proposera pas moins de 18 épisodes, allant de 5 à 15 minutes (185 minutes au total).

Source : Begeek.fr

La critique de Genma

Le souvenir que j'ai de cette série de mini films d'animation est très positif, et ce plusieurs jours après le visionnage, en plusieurs fois. Du coup je me dis qu'il faut que je rédige une petite bafouille pour en parler et la recommander.

Tout d'abord, l'aspect technique. Mes premiers contacts avec des personnages 3D virtuels remonte à la prouesse technologique qu'étaient les film d'animation Final Fantasy les créatures de l'esprit, le film Pôle Express ou encore Beowulf. Il n'y a pas à dire la technologie a beaucoup progressé depuis !!! (Et oui j'ai quand même suivi les technologies avec les différents films parus depuis, je n'ai pas vécu dans un grotte). Dans plusieurs des épisodes de cette série, je me posé la question de est-ce de la 3D pure ou des captations de personnes retouchées pour donner un aspect plus lissé, plus 3D cohérent avec les effets de lumière des décors, un aspect mieux intégré, moins "filmé sur fond vert" du fait que les décors étaient vraiment des environnements virtuels. Pour les épisodes réalisés en animation plus traditionnelle (du dessin animé), là encore, la qualité était au rendez-vous. Je ne suis pas un spécialiste et un critique cinéma, je dis juste que pour l'amateur éclairé que je suis, la réalisation et l'image sont de qualité.

Recommandé 18+ pour cause de certaines scènes assez explicites dans la violence ou dans le sexe, ce n'est pas si violent ou si explicite et cela sert toujours le propos de l'épisode, ce n'est jamais gratuit, aguicheur ou malvenu. Et cela concerne très peu d'épisodes sur l'ensemble que comporte la série.

Scénario et écriture maintenant. Il y a des choses convenues auxquelles on peut s'attendre et quelques bonnes trouvailles. Chaque épisode apporte son petit truc, son petit élément qui m'ont fait me dire "J'ai bien aimé cet épisode ci" à chaque fin d'épisode. Pas un épisode que j'ai moins aimé, trouvé banal.

Et pour certains, j'ai beaucoup aimé les moments de poésie montrés à l'écran.

Chaque épisode est indépendant, ce qui est pratique pour regarder en plusieurs fois, comme un petit plaisir court, comme une boîte de chocolat dont on mange quelques chocolats sur plusieurs jours, ou au contraire, en les regardant tous à la suite, se faisant une orgie de plaisir pour les yeux et les neurones.

Bref vous aurez compris que j'ai beaucoup apprécié cette série. A voir. Et si vous ne voulez pas vous abonnez à Netflix, le premier mois d'essai est gratuit. Pratique et aucune raison du coup de manquer cette série.