Reprise du message précédent :
Le fait que l'a dmz n'accèdes pas au réseau interne n'est en rien obligatoire, c'est c$$ mais c'est tout à fait réalisable, tout est possible au niveau du firewall, même les pires conneries (ou c'est même parfois nécessaire pour certains webmails https de lotus). C'est bien pour ça que je demande si tu es déjà sûr que toute la conf est parfaite au niveau du firewall.

C'est aussi pour ça que je te dis que ça dépend de plein de choses, dont les règles de routage au niveau du firewall.

Sur le principe, si je reprends ce que tu me dis:

1) il faut déjà prendre le contrôle de la machine sur la DMZ. ==> Sur une machine à jour, je suis curieux de savoir comment il fait. Si c'était si simple et généralisé internet ne pourrait exister. Tous les serveurs web and co sont en frontal sur internet...  Es tu sûr que déjà il ne dispose pas d'une connexion à ladite machine? (Ou que la dite machine possédait une faille connue et pas de firewall..)

2) En partant du principe qu'il a un accès à une machine sur la dmz, alors dans un cas précis, ça reste possible de voir une partie du trafic, voir le trafic selon comment c'est configuré.

Mais là je pense qu'en relisant ce que tu me dis, j'ai l'impression qu'il n'est question que d'"écouter" les paquets qui circulent.  Chose facilement réalisable pour tout ce qui n'est pas chiffré sur internet à partir du moment ou on peut s'intercaler entre l'utilisateur et internet, ou être sur le même réseau interne.

Je ne sais pas trop quel est ton niveau de connaissance Réseau et informatique du coup je réponds peut-être à côté, mais je pense que tu sur estimes grandement ce qui c'est passé.

EN l'occurence si tu as plus d'info et ou que tu veux développer peut-être devrions nous continuer en mp pour ne pas pourrir ce topic d'informations qui n'ont plus rien avoir avec le sujet d'origine.

Bah personne n'est obligé de suivre les best practices, mais dans les rules d'une DMZ, la connexion DMZ vers réseau interne est prohibée.
 

Je pense que c'est tout sauf simple, mais c'est son métier de traquer les failles et de bloquer les hacks. On lui confie une architecture n tiers et lui cherche les failles pour les mettre en évidence. Pourtant, ceux qui ont fait les configs sont généralement des spécialistes réseaux et pas des amateurs. Mais comme je te dis, je ne sais pas comment il procède et je ne suis même pas sur de comprendre s'il me l'expliquait.
Ces mecs là sont pas câblés comme nous. Je ne parle pas d'un informaticien qui s’intéresse au sujet hein ? Il fait parti d'une cellule chez nous. Cette cellule est internationale et intervient pour tous nos clients dans le monde.
 
Je sais qu'il profite aussi des failles des outils que nous utilisons.
 
Je ne peux pas t'en dire beaucoup plus.
Moi, en dehors de tout ce qu'on vient de se dire, la seule chose que j'en ai retenu à son contact c'est :
- Ne pas payer avec sa CB sur un site internet => Utiliser une e-carte bleue
- Ne jamais signer le dos de sa CB
- Ne jamais autoriser la gestion d'un compte bancaire par internet notamment si cette gestion autorise les virements.
- Ne se connecter que sur des sites connus ou réputés et fuir tout ce qui brille trop où semble trop beau pour être vrai.

C'est vrai qu'on a un poil dévié ...  

continuez ici, pas de souci  je veux savoir aussi comment il fait  

Bah ca on ne le saura pas.

Aucun soucis avec une CB sur le net, étant donné qu'il n'y a pas certification du payement par le code de la CB, l'achat est présumé frauduleux par défaut.
C'est toi qui décide si le payement est valide ou non.
Si par hasard tu constates un usage abusif de ta CB, tu téléphones à ta banque, tu envoies une lettre avec accusé de réception, et la banque doit te rembourser sans autre formalité, et tu as 70 jours pour le faire.
et la banque doit même te rembourser tous les frais qui serait dû à cet usage, c'est la loi.
et tu peux commander alors une nouvelle CB sans frais, enfin là c'est suivant les banques.
tu n'as même pas à porter plainte, c'est à la banque de le faire si elle veut être remboursée.
 
ça m'est déjà arrivé d'avoir des payements frauduleux,  à l'époque un type avait utilisé un générateur de CB, et c'était tombé sur moi, coup de fil, lettre, remboursement, aucun soucis.
 

Sauf que si tu utilises une carte non signée, les commerçants peuvent la refuser.
Perso je mets une 'fausse' signature.
 

Là, encore, c'est du n'importe quoi.
il faut que le hacker compromette un des 2 côtés de la connexion pour commettre des actes frauduleux.
si tu es à jour, y a pas de soucis, si la banque est hackée, elle devra te rembourser les actes frauduleux.
 

non.
des sites de premier plan ont déjà été hackés, et ont diffusé massivement des trojans et autres joyeusetés, il faut un anti-virus et un firewall à jour.

Je sais tout ca, mais ca fait ch.er quand même de faire toutes ces démarches.
J'utilise une eCarte bleue et 0 soucis 0 risque 0 démarche.
Tu devrais essayer.
 
 

Ca fait 30 ans que j'ai pas signé ma CB. Essaye tu verras.
Une fausse signature peut te mettre dans les gros soucis.
Fais gaffe.
 

Non, c'est pas n'importe quoi.
Le point faible c'est ton PC, tu t'identifies, lors de l'identification, tu te fais hacker tes identifiants et le tour est joué.
Tu crois que si tu es à jour sur ton PC, tu es invulnérable ? lol
Mais bien sur que la banque va te rembourser immédiatement tes 55€. Si tu as pris 10000€ sur le pif, vas y pour avoir un remboursement immédiat. On ne vit pas dans un monde de Bisounours, la Banque sait qu'elle doit te rembourser mais fera trainer et là bonjour la galère qui t'attends.  
 

Le risque est moindre sur les sites connus que sur les autres, ca sonne comme une évidence.
Dans tous les cas, il faut un AV et un firewall à jour, mais j'ai l'impression que tu les considères comme le saint Graal.
Fais attention, c'est loin d'être le cas. Alors mieux vaut être prudent sur les sites que l'on visite.

Entre envoyer une lettre très rarement, dans l'hypothétique cas où je suis victime d'une fraude, et devoir installer plug-in, SMS, courriel, et dieu sait quelles autres démarches à faire pour utiliser une eCB, j'ai choisi, je m'emmerde pas
 

 
Et comment je me fais 'hacker' si ni la banque ni moi ne sommes déjà hacké?
C'est très compliqué une attaque 'man in the middle'...
surtout quand les données sont cryptées en asymétrique, ce qui est le cas des clefs https...
 
Alors oui, si tu as des trojans chez toi, c'est à dire que ton anti-virus et ton OS ne sont pas à jour, tu as des problèmes
 
et que ce soit 55 ou 10000€ c'est pareil, la banque DOIT rembourser, et sans traîner, puisque les frais sont à sa charge, si elle fait traîner elle devra rembourser TOUS les frais inhérent à la fraude...
si tu te fais interdire bancaire: à sa charge de te retirer des listes.
chèque, prélèvement refusé: à sa charge de rembourser les frais que cela engendre, y compris les frais que te chargerais les autres organismes...
 
alors crois moi, une banque rembourse très vite quand elle sait que ça va lui coûter cher.

L'AV et l'OS à jour, c'est la base, si t'as pas ça, c'est mort.
moi j'ai ajouté une machine qui fait routeur / firewall / surveillance, c'est pas à la portée du premier venu, c'est plutôt du domaine de l'entreprise, mais j'ai une alerte dès que j'ai des tentative de connexion qui sortent et que j'ai pas autorisées.

C'est toi qui voit.    
 
 

D'abord, même à jour, il n'existe aucun AV ou Firewall fiable à 100% donc tu peux très bien être hacké et ne pas le savoir.
Tu peux très bien avoir un micro code sur ton pc qui capte ce que tu tapes au clavier et le détourner (C'est une façon de récupérer les identifiants de connexion). je t'ai dit plus haut qu'il m'en a fait la démonstration. Ensuite, c'est un jeu d'enfants.
 
Tu rêves si tu crois qu'une banque va te rembourser illico presto un montant de 10 000€ débités à tort.
Ah oui, il te remboursement au final, mais après tous les recours qu'ils auront jugé nécessaire. Et ca, ca peut nécessiter des démarches de ta part à en plus finir.  
Et si en plus, tu pouvais couvrir la somme (c'est à dire qu'à ce moment les 10000€ étaient sur ton compte, alors là, c'est encore plus long, ils peuvent tenter une procédure.
Ils tenteront avant de te rejeter la responsabilité (Tu as été négligeant, la connexion s'est faite avec ton identifiant, etc ...).
Ca peut vite devenir un cauchemar.

Evidemment que c'est la base, mais c'est loin d'être suffisant.
 
N'importe quel firewall te permet de tracer les sortants sauf que ca ne passe pas par un nouveau type de flux, mais un flux simulé pour lequel tu as déjà donné une autorisation.
Ta protection te permet d'éviter la quasi totalité des hackers, mais si tu tombes sur un teigneux, tu ne l'arrêteras pas avec des outils de ce type.
Même les entreprises se battent tous les jours pour éviter ca, et ils sont autrement plus équipés et plus pointus que nous.

explique moi comment, ayant autorisé une connexion au site canalplus.fr en https sur un browser, pourquoi j’exécute un trojan de trouducul.tv?

C'est une excellente question.
J'avais pas poussé si loin mes questions.
Quand il m'a dit qu'il passait par des flux déjà autorisés, je ne lui ai pas demandé lesquels.
Ceci dit, je ne pense pas que c'est par une connexion https qu'il passe.
Runtime ? Services ? Je ne saurais te dire ...

pourtant la question est grave...
si tu ne peux pas exécuter une commande sur la machine cible, tu ne hackes pas grand chose...
 
et faut pouvoir exécuter des commandes, rien que pour lire ce qu'il y a sur un disque...

Bah oui, je suis bien d'accord, mais sur quoi il s'appuie pour lancer le code ?
 
Je n'en sais rien mais ça s’exécute, je l'ai vu de mes yeux afficher à son écran tout ce que je tapais sur mon clavier.
Si j'utilisais la souris, il affichait aussi les coordonnées des clics.  
Je te le dis, c'est flippant de voir ça.  

bah si il a installé un classique keylogger, y a pas de soucis, il a pu l'installer n'importe quand, y compris lorsque t'étais pas là, facile quand tu es sys-admin

possible de le faire venir dans ce topic pour lui poser la question ?

@master71  C'est un techos pas un escroc.
@MarioXX, Je ne suis pas un intime et c'est pas trop le genre du gars. Si je le croise à nouveau, je lui demanderai, mais je suis à peu près sur qu'il ne me dira rien, pas du genre à s'étendre sur le sujet comme tous les hackers du reste.
 
Toujours est il que maintenant je suis extrêmement prudent pour ce qui est du net, probablement de façon excessive, mais bon ...

c'est un hacker ou un professionnel de la sécurité?
si il ne dit rien, pour moi y a plus de chances que ce soit un escroc qu'un professionnel de la sécurité...

http://www.laposte.net/thematique/ [...] ctu_france
 
Son avis là dessus tant qu'à faire..

C'est ce qu'on appelle un hacker blanc.  
Je vous l'ai dit, il fait partie d'une entité chez nous et c'est leur job de chercher toute sorte de failles, toute sorte de parades, ...
Et ces mecs ne s'étendent pas sur leur boulot.
 
Je l'ai fait intervenir une douzaine de jours sur un de mes projets (site de commerce) pour en vérifier la sécurité et établir les failles, c'est tout sauf un escroc ... Même si sa mission m'a couté une blind.    
 
Mais bon, je vais pas vous raconter my life ...  

perso...
un professionnel, j'appelle ça un expert, ou un conseil, en sécurité, un 'hacker blanc' c'est de l'esbroufe.
et effectivement, du conseil et de l'expertise en sécurité informatique, ça coûte une blinde.

C'est pas de l'esbroufe, c'est comme ça qu'on les nomme ...

Tu as raison, c'est pas hacker blanc c'est "White hat" (en français : « chapeau blanc ») ... franchement moins sexy ...    
 
 
http://fr.wikipedia.org/wiki/White_hat

il va hacker HFR LDLC DOCTISSIMO pour tester la sécurité, déformation professionnelle