Discussion :

[_skip]

par exemple, c'est bien joli d"utiliser un algo de cryptage super béton avec un clef très longue, mais si le pass est marqué avec un post-it collé sur l'écran . . .).

Ah l'utilisateur... Souvent un gros point faible de la sécurité. Ce que tu cites ici a été la principale motivation pour la mise en place d'une authentification forte dans une entreprise ou j'ai travaillé (le fameux porte-clef qui génère des codes chaque minutes, impossibles à rejouer). Justement parce qu'on s'est rendu compte que le login seul était trop dangereux le jour où un employé a dit avoir reçu un coup de fil d'une personne prétendant être du service informatique.

Combien de gens utilisent les mêmes mots de passe partout où ils vont? Donc si j'arrive à chopper le Mp de leur MSN, je peux l'utiliser sur le VPN de l'entreprise? Inacceptable.

D'ailleurs peu de monde s'intéresse à trouver des failles dans SSL et tout ça (bien qu'il en existe une dernièrement), casser des algos de cryptage... Il est tellement plus simple de pousser l'utilisateur à révéler l'information (phising, faux sites d'ecommerce etc...).

[dams78]

C'est pour cela qu'on aime bien les fw : D

@dams78 tu peux préciser un peu c'est intéressant.

En fait lors d'un lancement, les personnes au sol n'ont pas la capacité de diriger la fusée. C'est donc la fusée via un ou plusieurs ordinateurs qui "se pilote" elle même. Lors du fameux tir d'Ariane 5, cet ordinateur a essayé de corriger le tir pour cela il doit effectuer un certain nombre de calcul, et malheureusement le langage utilisé devait être un langage du type java (c'est à dire avec une machine virtuelle dont tu sais pas forcément ce qu'elle fait) et du coup l'ordinateur c'est retrouver surchargé de calcul et à tout simplement bugué.
Lorsque j'ai fais de l'Ada, le prof nous a présenté le langage en nous disant que si Ariane avait été codée en Ada elle aurai pas explosé, justement parce que l'Ada fait parti des langage qui font toujours le même calcul une fois que c'est compilé : il n'y a pas de machine virtuelle. D'ailleurs la plupart des satellites, matériel militaire et certainement Ariane 5 maintenant, sont codés en Ada.

[deadalnix]

_skip > C'est pourquoi la sécurité ne se limite pas aux questions techniques. Il est nécessaire de mettre ne place une réelle politique de sécurité.

dams78 > Je crois que c'est un erreur d'unité, mais le problèmes est le même.

[Jihnn]

Voici un court article si ça vous intéresse (Ariane 5) : http://www.xcess.info/fr/l_erreur_de...llars_afr.aspx

[kaymak]

Merci pour les infos et les liens

[Rams7s]

La gros soucis de la sécurité, c'est son manque de publicité.
Dès qu'on a eu une sensibilisation à ça, ça permet d'éviter un grand nombre d'erreurs de bases, type sécuriser tous les inputs.
Ex: l'UAC (le pop-up) de Vista, bien souvent désactivé. Et conseillé de le désactiver dans certains FAQ pour lancer des jeux
Ce serait une abération de lancer tous les programmes en su sous linux, et pourtant sous windows l'hyper majorité des gens sont en compte admin.

Et même parmi les experts, on est toujours pas au courant des 10 erreurs de base.
Symantec et la faille SQL: http://www.secuobs.com/revue/news/164184.shtml
Ou le vol de 130 millions de cartes de crédits : http://www.justice.gov/opa/pr/2009/A...9-crm-810.html

Mais je pense que petit à petit, les entreprises vont en prendre conscience. Ça va dans le bon sens avec Microsoft qui adapte son SDL aux méthodes Agiles.


Pour Ariane, c'est un overflow

Et je sais pas faire de php, mais je connais juste la fonction magic-quote...

[deadalnix]

Le soucis de ces erreurs, c'est qu'elles peuvent être faites même pas un programmeurs connaissant les risques. Une erreur d'inattention est vite arrivée.

Il est à mon avis indispensable d'utiliser un framework pour les éviter.