Hors sujet extrait de Mails arrivant dans ma boîte mail sans aucune action de ma part

Citation de: vivien le 14 août 2016 à 08:20:00

Sur Windows, des logiciels récupèrent le carnet d’adresse de Windows (utilisé par Windows Express) et tire 2 adresses au hasard pour le SPAM, en espérant que les deux se connaissent.

Donc il faut qu'une machine (PC ou autre) ait été infectée par un logiciel mal-intentionné, sans que l'antivirus ne l'ait détecté. PC sur lequel le carnet d'adresse contenait les 2 adresses e-mail en question.
Effectivement, ça me semble probable comme explication.
Mais ça veut dire qu'il n'y a aucune restriction des logiciels au carnet d'adresse? Ils peuvent y accéder sans le consentement de l'utilisateur?

Leon.

Le carnet d’adresse d'outlook express est accessible par n'importe quel logiciel.

Aucune protection.

Mais ça veut dire qu'il n'y a aucune restriction des logiciels au carnet d'adresse? Ils peuvent y accéder sans le consentement de l'utilisateur?

Mais de quoi tu parles? Pourquoi voudrais-tu que le carnet d'adresse soit non accessible?

Qu'est-ce que le "consentement" de "l'utilisateur"?

Parce que tu poses la question comme un ignare absolu, enfin c'est ce que je perçois. Le consentement de l'utilisateur ou l'utilisateur ça n'existe pas pour l'ordinateur, il y a juste des programmes à exécuter. L'ordinateur exécute un OS et des programmes dont certains sont démarrés automatiquement. Tout cela est tellement élèmentaire que je m'étonne d'avoir à le rappeler : je ne comprends même pas où est l'interrogation.

Il ne s'agit même pas "sécurité". Et puis d'ailleurs je préfère dire que ça n'existe pas la "sécurité". Tu as juste des programmes qui s'exécutent et dont on veut qu'ils produisent le résultat voulu. Penser en terme de sécurité me semble très contre productif.

Je ne pense pas que la méthode "le prof doit expliquer aux élèves ce qu'ils ne comprennent pas" ait déjà marché quelque part dans le monde. C'est à l'élève d'expliquer au prof ce qu'il a compris ou pas.

Je ne veux pas passer du temps à écrire des choses évidentes pour toi ce qui serait méprisant.

tl;dr : pour moi la réponse à ta question est "c'est évident" et c'est à toi de me montrer en quoi ce n'est pas forcèment le cas pour tout le monde

Donc tu es en train de nous dire qu'un OS qui demande à l'utilisateur son consentement pour qu'un programme accède aux données personnelles dudit utilisateur ça n'existe pas ?



Alors, oui, évidemment, ça ne va marcher qu'avec le service de gestion de contacts fourni par l'OS, pas avec des softs tiers. Et oui, il est possible que ce ne soit pas infaillible. Mais de là à dire que ça n'existe pas et prendre de haut @leon_m (mais tu es coutumier du fait, je ne suis pas surpris)...

Si c'est tellement évident pour toi...

Oui, absolument, c'est tautologique.

Voilà 3 exemples qui me font douter de ce que tu me dis (et le doute, c'est le début de la sagesse, non?):

Merci de me donner des exemples, c'est exactement ce que j'attendais.

* Si mes souvenirs sont bons, dans "Lotus Notes" (logiciel de messagerie d'entreprise que j'ai utilisé), les e-mails, les agendas, et les carnets d'adresses sont cryptés, même en local. Et pour les applications qui souhaitent inter-agir avec le carnet d'adresse, ou l'agenda, il faut leur donner explicitement l'autorisation, et leur fournir un fichier qui contient une clé de cryptage.

Tu peux chiffrer tout ce que tu veux évidemment, mais si tu as la clé dans un fichier, ça revient à dire que le secret qui protège les données est le chemin d'accès du fichier clé de chiffrement. Donc en fait tu déplaces un problème de sécurité; bon, tu me diras, toute la cryptographie ne fait que déplacer des problèmes, mais elle les déplace utilement. Là je ne vois pas trop l'utilité.

Si on se contente de ça, on pourrait aussi se passer du chiffrer et "dissimuler" le fichier à protéger parmi d'autres fichiers qui n'ont rien à voir. (Tu peux aussi cacher ta dope dans le congélateur et dans le réservoir du WC mais c'est un peu ringard.)

Tu peux aussi chiffrer avec une clé dérivée d'une passe-phrase mais ça impose de retaper ce secret à chaque fois que tu veux accéder aux données. Ou alors tu le rentres à chaque début de session et les données en accessible pendant la durée de la session parce que la clé est conservée en mémoire...

C'est pour ça que l'équipe de sécurité de Google Chrome s'est opposé aux demandes de protéger le fichier des mots de passe enregistrés (pour ensuite céder, je leur en veux beaucoup d'ailleurs).

* dans Windows 10, dans les paramètres, tu as des réglages (dans paramètres / confidentialité) qui autorisent l'accès application par application au carnet d'adresse, à l'agenda, et aux courriers électroniques. Donc il faut le consentement de l'utilisateur, non?

Je ne connais pas le modèle de contrôle d'accès de Windows 10. Attention avec MS souvent le modèle est en carton, quand il y a seulement un modèle, ce qui n'empêche pas les journaleux incultes de cracher sur les utilisateurs qui désactivent UAC (contrôle de compte utilisateur), alors que MS a indiqué qu'il n'était pas une barrière de sécurité et que si un contournement était exposé cela ne pourrait pas être considéré comme une faille de sécurité.

Une fois que tu consens, est-ce que les applications qui ont accès aux données sont protégées? Est-ce qu'une application qui n'a pas un privilège peu aller chercher les données chez une qui a un privilège? Est-ce que les fichiers temporaires qui peuvent contenir ces informations héritent de ces protections? Est-ce que le modèle de sécurité reste intelligible? (Est-ce qu'il l'a jamais été?)

Je vais essayer de me renseigner là dessus. Bien souvent, les informations sur Windows sont difficiles à trouver, et c'est ce que je reproche à ces systèmes : ils sont incroyablement complexes avec une débauche de fonctions de sécurité qui rend au final assez douteuse la sécurité. En tout cas peu de gens arrivent à avoir une vision claire.

Je suis absolument opposé à cette accumulation de fonctions de sécurité incohérentes (même reproche aux un*x).

Je n'aime pas l'idée du contrôle d'accès obligatoire (MAC).

* Dans un autre registre, pour plusieurs actions "sensibles" (modification du registre, modification des fichiers systèmes), Windows déclenche explicitement un avertissement, et demande l'approbation de l'utilisateur. Donc ça montre bien que les systèmes d'approbation existent, contrairement à ce que tu essayes de nous faire croire.

Il doit s'agir de l'UAC, quand tu tentes une opération avec un niveau d'intégrité insuffisant?

Donc :
- ce que l'utilisateur autorise quand il valide un avertissement UAC n'est pas forcèment clair : je veux dire, y compris pour moi, sauf peut-être pour les super-gourous de Windows
- quand on installe un programme, on a le certificat de l'installeur pas du programme installé
- MS nous a informé que ça n'était pas une barrière de sécurité sur Vista
- cela ne s'applique que parce que tu n'avais pas le niveau d'intégrité requis
- au moins sur Vista, par défaut un programme d'intégrité inférieur (comme IE) pouvait lire n'importe quel fichier d'intégrité normal : bonjour la sécurité sur le Web!
- la plupart des gens ignorent tout cela
- se foutre de la tronche de ceux qui désactivent UAC sur Vista n'est pas seulement un défouloir, c'est une façon d'unifier la secte des fanboys incultes et pitoyables de Windows

C'est comme su/sudo, c'est une protection, mais quand on commence à ouvrir les vannes...

Bref, je me méfie vraiment des trucs archi évidents... Je préfère largement être un ignare, et poser des questions, plutôt que de croire des évidences trompeuses.

Tu fais bien de poser des questions.

Moi aussi j'ai des questions :
- Est-ce que tu comprends toujours les messages de l'UAC? Est-ce que tu sais pourquoi ils apparaissent et les conséquences du choix de valider ou pas?
- Est-ce que tu vérifies l'origine des applications que tu installes?
- As-tu déjà désactivé l'UAC? Pourquoi?

Merci corrector pour cette réponse beaucoup plus constructive.
Tu sais, tu as le droit de me demander calmement de donner des exemples sur ce que je ne comprends pas, ou ce que je crois comprendre, plutôt que de me prendre de haut...

Merci de me donner des exemples, c'est exactement ce que j'attendais.
Tu peux chiffrer tout ce que tu veux évidemment, mais si tu as la clé dans un fichier, ça revient à dire que le secret qui protège les données est le chemin d'accès du fichier clé de chiffrement. Donc en fait tu déplaces un problème de sécurité; bon, tu me diras, toute la cryptographie ne fait que déplacer des problèmes, mais elle les déplace utilement. Là je ne vois pas trop l'utilité.
[...]
Tu peux aussi chiffrer avec une clé dérivée d'une passe-phrase mais ça impose de retaper ce secret à chaque fois que tu veux accéder aux données. Ou alors tu le rentres à chaque début de session et les données en accessible pendant la durée de la session parce que la clé est conservée en mémoire...

Pour Lotus/IBM Notes, en plus du fichier contenant une clef, il fallait effectivement donner le mot de passe.
Mais pour le seul logiciel tiers que j'ai utilisé pour accéder aux données de Notes (Palm Sync pour synchroniser mon Palm), le mot de passe était retenu par le logiciel tiers une fois pour toutes, et il était stocké je ne sais pas comment.

Je ne connais pas le modèle de contrôle d'accès de Windows 10.
[...]
Je vais essayer de me renseigner là dessus

Je pense que ça en intéresserai plus d'un sur ce forum.

Moi aussi j'ai des questions :
- Est-ce que tu comprends toujours les messages de l'UAC? Est-ce que tu sais pourquoi ils apparaissent et les conséquences du choix de valider ou pas?
- Est-ce que tu vérifies l'origine des applications que tu installes?
- As-tu déjà désactivé l'UAC? Pourquoi?

Mes réponses:

1) oui, je comprends à chaque fois pourquoi un message est déclenché : installation de logiciel, logiciel qui cherche à faire des modifs dans le registre, logiciel qui veut contrôler un périphérique à la place de l'OS...
Mais non, je ne comprends pas forcèment les conséquences du choix, par exemple si c'est juste ponctuel (jusqu'au prochain redémarrage) ou si c'est une autorisation permanente; je ne sais pas non plus quels droits je donne à tel logiciel en cliquant; et je passe plein de détails qui me sont totalement obscurs.

2) Depuis pas mal d'années, oui, je vérifie les sources de ce que j'installe. Je ne fais plus de téléchargement illégal.
Je vérifie systématiquement que je suis sur un site connu, le site de l'éditeur, et en HTTPS, pour télécharger un logiciel. Même si le téléchargement prend plus de temps (à l'autre bout de la planète), tant pis.
Je fuis comme la peste les sites de distribution de logiciels, qui bidouillent parfois les fichiers d'instal.
Pareil, je refuse qu'un pote me donne un logiciel sur une clé USB.
J'ai vu à quoi ressemblait un PC infecté de malwares, je ne veux plus vivre ça, je deviens un peu parano.
Donc je pense que je prends plus de précaution que la moyenne, même si je ne suis pas expert, et donc si je fais parfois des erreurs.
Par contre, j'ai toujours du mal avec les messages "certificat non approuvé" que je rencontre souvent quand j'installe des logiciels anciens, des drivers exotiques, des logiciels qui accompagnent des outils de développement électronique (je bidouille pas mal en électronique chez moi). Et je suis bien obligé de cliquer sur "j'accepte"...

3) Non, je n'ai jamais désactivé l'UAC. Je ne sais même pas comment on fait, et je n'en n'ai jamais eu besoin.

Leon.