Reprise du message précédent :
En septembre nouveau job.
 
La Rh m'a parlé d'un choix mac ou PC.  
Bordel je sens déjà les lusers mac  

 
S'acheter son propre clavier c'est un truc, alterer la modif de l'ordi, c'est différent.  
Un mec qui change lui-même son disque, et donc probablement cloné l'ancien ou je ne sais quoi, je lui tombe dessus direct aussi.

Confirmé et c'est loin, très loin d’être du blabla

Il suffit qu'une seule soit connectée au SI pour qu'on entre. Tu serais surpris de voir le % de réussite de cette technique (allez un indice, c'est un % à trois chiffres et sans virgule ^^).

ma boite de chez tchutchtupasdemarque ^^ en fait ils fonctionnent à l'inverse.
t'as un forfait moisi (10h 50 Mo de data) avec 15€ de dépassement préchargé, sorte de découvert autorisé quoi. Au dela de ces 15europoeens, c'est directement décompté sur ta paie du mois suivant. T'as ce mois glissant pour justifier le dépassement en note de frais. et la je peux te dire que les factures sont détaillées au poil de fion.

tellement contraignant que personne n'accepte les condition d’obtention des tels portables. Avantage : on n'est pas emmerdés en dehors du bureau

 
 
le jou ou j'apprends qu'on met à jour les ordis de l'établissement, j'achete un ssdet je demande à l'it, à réception des bécanes, de coller le SSD à la place du disque qui va avec la machine (et j'aurai l'impression de tourner avec un avion de chasse pendant quelques années)

je suis une inculte de l'informatique mais je ne me rappelle pas de phrases culte due à mon indigence. je le regrette , j'aurais tant voulu vous faire rire à mes dépens.

Quand j'ai un fichier douteux, je l'ouvre toujours au bureau

+1, c'est la méthode utilisée par Stuxnet pour attaquer les centrales nucléaires iraniennes, c'est pas rien quand même
https://en.wikipedia.org/wiki/Stuxnet
http://www.wired.com/2011/07/how-d [...] d-stuxnet/

sans allez jusque la...

Ouais enfin en l’occurrence c'est de l'ingénierie sociale. Donc bon, réussir un pentest grâce à ça c'est quand même un peu petite b###
C'est surtout un outil sympa d'awareness, c'est suffisamment concret pour faire réfléchir.

Non, c'était simplement rajouter un deuxième disque en utilisant la baie slim non utilisée du lecteur optique. Grosso-modo l'équivalent d'une clé USB, quoi  

ah ça, j'ai jamais osé prétendre le contraire   (haheum bien au contraire ^^)

et surtout ça n’évite pas "le reste du test" ca permet juste de rappeler que la première faille c'est le luser qui lui en manque pas mal d'awarnessitude. j'inclus aussi la dedans les gens des dsi qui sont aussi en totale manque d'awarnessitude sur le meme manque de leurs lusers
 

J'ai déjà fait... (trouver une clé USB par terre)
Mais sur les PC de mon IUT  

Après 895 pages, une dizaine d'année d'xp et avoir murement réfléchi, j'arrive à la conclusion que LA phrase culte au final est :  
 

 
Il y a une sorte d'unité qui fait chaud au cœur.

 
Ouep... c'est bizarre non ?

Mr. Robot Episode 6
D'ailleurs je vous conseille à tous cette série.

 
Le meilleur moment du pentest, quand t'as chopé pas mal de mdp et que les Domain Admin ont des mots de passe du genre "Passw0rd" ou "r00tr00t"  

si c'est prévu dans le contrat non.
pour avoir eu une facture de 2000€ à payer y a 14 ans, je connais les clauses de contrat qui vont avec.
genre 'on vous fournit du matériel professionnel pour vos besoins professionnels, tout usage privé vous sera refacturé.'
 
et roulez.  

En fait, vous avez plus ou moins raison pour les deux.
 
Légalement, la retenue sur salaire en cas de hors forfait est parfaitement autorisé, mais ça ne peut pas dépasser un certain montant par mois.
(ce qu'ils appellent "fraction saisissable du salaire.", un truc chiant à calculer mais vaguement 10% du salaire mensuel).

il vont te refourguer un vieux compac sorti de la réserve t'aura de la chance si la connectique reseau est rj45 et pas une bonne vielle bnc.

 
Avec un peu de chance sera équipé d'un connecteur AUI, y'aura bien un admin réseau qui aura un vieux transceiver 10 base T qui traine au fond d'un placard  

Ceux qui suivent une sorte de sous-process en mode no-brain sur une feuille de brouillon à base d'instruction à taper au clavier (chiffres->enter->chiffres->fonction->lettres+chiffres->enter.....) sans explication, sans screenshot, en ayant strictement aucune idée des écrans, des menus qu'ils traversent et de ce qu'ils valident jusqu’à arriver au résultat final.
 
Forcement dès qu'il y a un truc même infime qui à changé, ou qui n'est pas exactement sur le profil type de la procédure c'est la panique..
Ou qu'un événement extérieur les interrompt et qu'ils sont incapables de comprendre à quels étapes ils sont et doivent donc recommencer intégralement cette obscure incantation.  
 

Ca me fait penser à Jean-Pierre du Congo qui m'a appelé y'a 2 jours pour me fourguer son abonnement Orange :
- Et donc je peux aujourd'hui vous proposer un accès à 12 Mbit/s  
- Euh merci, mais pour moins cher en ce moment je tourne à 20 Mbit/s constants    
- Mais Monsieur, vous ne vous rendez pas compte ? 12 Mbit/s    
- Si, mais 20 MBit/s ça fait plus, ça marche bien et c'est pas cher, toussa, donc forcément je suis super pas intéressé  
 
(et malgré cette dernière phrase sans ambiguité il m'a fallu un certain temps pour lui faire comprendre que j'avais quitté Orange pour le dégroupage total, c'était pas pour y revenir avec une offre plus chère et moins bonne)

z'ont évolues les luser... ils ont fait ce qu'on a dit... "compliquer les mdp"

P@sswOrd123
Pasword123!!

bon ok c'est un poil plus long... mais pas trop quand meme

dans les derniers que j'ai vus, Batman et Ironman sont quand meme bien placés.

J'ai eu la même. Quand j'ai répondu "ah mais moi je suis à 75 méga", à sa voix j'ai bien senti que le type il avait pas compris / voire il a cru que me payais sa tronche. Apparemment ils connaissent pas le VDSL là-bas  

 
J'encourage mes collègues à créer des passwords de cette manière, je fais bien ou pas?
 
Ca évite d'avoir des post-its avec "IpswPortail.38" sur l'écran.

Je suis d'accord mais souvent les contraintes (de merde) t'imposent majuscules + minuscules + chiffre (voir + caractère spécial).
Du coup ton mot de passe à 20 lettres minuscules est rejeté (et c'est bien con)

S'pas faux...

Surtout qu'à taper, ces mots de passe avec 36 accentuations & cie c'est bien plus long qu'une bête suite de caractères entre a et z trois fois plus longue.
Encore plus sur terminal mobile  

 
Toujours en débat chez nous, mais la tendance à l'air de dire non.
 
Le problème de cette image, c'est qu'elle base le brute force sur un test caractère par caractère et dans ce cas c'est pas con, mais dans la réalité, les attaques commencent plutot par du dictionnary, et là, le deuxième cas devrait tomber bien plus vite que le premier.
 
 

 
Propose-leur keepass.
 

Pour mes mots de passes je mets en fonction des preferences  
Pour moi c'est des noms d'avions suivi + caracteres speciaux @ lettres ou chiffres
Pour les autres je fout des noms de bagnoles, motos etc dans le meme schema  
C'est deja plus simple a retenir  

moi c'est toujours :  
1 mot clé de N caractères + 1 lettre MAJ + 1 chiffre + un caractère spécial ($ en général) (pour le boulot)
et j'incrémente toujours le chiffre quand vient le changement de MDP (ça passe en général)
Si j'arrive au bout du chiffre j'incrémente la lettre.

 
Oui donc t'as bien saisi l'intérêt de demander des mots de passe différents, et t'as sciemment choisi de t'en taper sévère  

oui, car c'est justement hyper casse-couille de se souvenir d'un mot de passe qu'on vient de changer. Donc j'ai mis en place cette pratique, et basta.
Si on me laissait mettre des mots de passe de 30 caractères je n'aurais pas besoin de passer par ce stratagème de merde

 
Qu'est ce qui t'en empêche ?

Perso quand j'arrive au bout du chiffre je reviens à 0 et c'est bon vu que le merdier retiens les X<9 derniers mots de passe  

Perso je procède comme ça :
1. Une phrase au hasard : les canards sont de belles salopes
2. Ce qui donne : lcsdbs
3. Transformé en : lc5d85
4. Et je personnalise en fonction du site : hflc5d85r pour HFR

Les mots de passe sont différents, c'est facile à retenir, c'est facilement long et compliqué. Y a sûrement mieux mais pour un user lambda je pense que c'est déjà pas mal.

Première règle en matière de sécurité : si tu veux que quelque chose reste secret, ne le dis à personne.
 
Application concrète : ne JAMAIS révéler une méthode de création de mot de passe.
 
Je dis ça, je dis rien.

Ouais mais comment tu relies le mot de passe au site ?
 
L'idéal, c'est de former une mot avec chaque lettre du nom du site.
Ensuite tu prends la première lettre de chaque mot, et c'est bon, password inviolable.
Par exemple: HFR -> les hommes forts rient -> HFR. Parfait.

+1, j'utilise aussi ce truc depuis un moment.
 
Le souci c'est que non seulement faut retenir le mdp, mais aussi le login (enfin je sais pas pour vous, mais moi j'ai plusieurs logins différents, c'est parfois dur de me souvenir   ). Donc puisque mes mdp ont la même construction, c'est ça en moins à retenir.

 
C'est vrai, mais bon là sans avoir la phrase en question ça risque pas grand-chose quand même.
 

 
La même phrase partout. Après c'est vrai que du coup, théoriquement si on casse un mot de passe, on casse très facilement tous les autres mais je trouve que c'est un juste milieu entre sécurité et praticité.

On va parler autre chose que mots de passe.
Aujourd'hui un client qui vient parce que sa souris marche plus.
Je regarde dessous : une grosse mouche écrasée et encastrée dans le petit creux du capteur.