De mes anciens souvenir d'automatismes, il y avait un "schéma directeur"nommé GEMMA permettant de s'assurer de la sécurité des biens et des personnes.
Superviser tous les "automatismes" avec un bouton d'arrêt d'urgence.

Les questions à se poser, sont, le danger est réel avéré ou imaginaire ?
Quelles sont les conséquences de ne pas intervenir ? Quelles sont les conséquences d'intervenir ?
Quel est le coût d'invervention, quel est le coût de non intervention ?

Pour ma part, je considère que c'est à ceux qui connaissent les dangers de s'assurer de la protection de ceux qui n'en ont aucune idée.

C'est un peu comme si on avait des enfants sous notre protection, sans aucune notion d'un danger et que nous n'intervenions pas pour les en protéger, c'est criminel.

Je note que Vivien cite l'ANSSI, mais pas les réponses que Radu ou moi avons formulées contre ce FUD...

Ben, bof.

Je pourrais te faire un REX complet de ce que j'ai pensé du débat, mais disons qu'entre le DSI d'une grosse entreprise qui n'avait pas grand chose a voir avec les opérateurs (a mon sens la cible de la task force) et les mecs de l'ANSSI qui n'étaient pas vraiment là pour débattre, ça a été compliqué de pouvoir en placer une.

Moi, j'ai une position très simple :

Mettre un firewall, c'est une rupture du principe de bout-en-bout d'internet, et ça va forcément limiter de futurs usages.

Oui actuellement, vu qu'on est IPv4-Centric, madame michu n'a pas besoin d'ouvrir de ports, parce que c'est un tel calvaire à faire que personne ne développe d'usage qui se sert de ça.

Maintenant, sur la "faille de sécu" que ça apporte :
- Va falloir me prouver qu'on peut compromettre en masse des réseaux "michu like" parce qu'ils ont un firewall ouvert
  - Actuellement, en v4, c'est causé par les scans d'IP, un truc plus possible en v4
- Pour le risque de doxage de l'IP en utilisant des log d'un serveur compromis : Les Privacy Extensions permettent d'éviter ce relai d'attaque
- À part les DDOS Sortants en exploitant des trucs qui se font amplifier (et ça, ça se filtre les doigts dans le pif coté opérateur, même en sortant, surtout avec le SDN Cloud qu'on nous survend), y'a un vrai risque à laisser sa machine (avec un firewall) ou son iOT Shit ouvert ?

Comme les mecs de l'ANSSI, j'attends des cas concrets où la compromission vient d'un firewall d'un routeur désactivé.

Parce que bon, suffit que l'attaquant te fasse DL une merde pour télécharger des films gratos, et ça y'est, il a accès à tout ton réseau local, a ton IOT, à ta friteuse connectée, etc...

Un exemple qui devrait te parler pour récupérer une IP: Tu postes une petite image sur un forum sur un hébergement perso et tu récupère les IPv6 de tous ceux qui voient l'image et ensuite tu attaque les IPv6 en question.
(Hugues est modérateur d'un forum qui interdit les images externes pour cette raison)

Ouais, en v4 aussi, aucune différence.

C'est un exemple, il est aussi très simple de mettre en place un serveur NTP, de l'inscrire sur https://www.pool.ntp.org/fr/ et de loguer les IPv6 qui se connectent, dans le lot il y aura pleins de caméra sans aucune sécurité, plus qu'a faire son marché.

Ouais, en v4 aussi, aucune différence.

Merci d'avoir participé

On dit souvent qu'en matière de sécurité, le fait de cacher l'information, n'est pas une protection.

En quoi l'histoire de l'ipv6 le deviendrait ?

On dit souvent qu'en matière de sécurité, le fait de cacher l'information, n'est pas une protection.

En quoi l'histoire de l'ipv6 le deviendrait ?

L'idée des défenseurs du "firewall inutile" c'est, j'imagine :
En raison de la randomisation de l'ipv6, on peut assimiler la découverte d'un couple (ipv6, port TCP à l'écoute) derrière un CE router à une attaque de mot de passe long en brute force : très long, très coûteux donc peu probable.