Comment construire un réseau de switches redondant et qui fonctionne ?

En effet, si on tente de construire par exemple un triangle ou un carré de switches, on constate qu’il devient très rapidement inutilisable, parce qu’on crée ainsi une boucle de niveau 2, dans laquelle certaines trames tournent infiniment en consommant une bonne partie des ressources. Le réseau ne fonctionne plus. C’est ce qu’on appelle une tempête de diffusion.

Il est toujours possible qu’une boucle soit créée suite à un câblage intempestif (encore Gaston ! Il s’est mis à quatre pattes sous les bureaux et il a relié entre elles deux prises murales RJ45 par un câble croisé). Sur le terrain, la meilleure façon d’éviter les problèmes, c’est encore d’appliquer la bonne pratique déjà citée : empêcher que les PC puissent communiquer entre eux au niveau 2.

Le STP à la rescousse... ou presque !

Mais cela ne permet pas de relier des switches pour former un carré. Pour que cela fonctionne, on a créé STP. Au sein du réseau de switches, STP établi et calcule dynamiquement un arbre en désactivant les liaisons redondantes. Si la forme du réseau change, l’arbre est recalculé, cela prend quelques secondes (mais pendant ce temps, le réseau ne marche pas bien).

STP fonctionne en échangeant des informations à l’aide de trames spéciales, les BPDUs. Tant que cela marche, c’est parfait. Mais au cas où quelque chose irait de travers, le réseau devient instable et il est très difficile de faire un diagnostic. Il est donc recommandé de documenter avec la plus grande précision l’état "normal" du réseau, en repérant l’état de chaque liaison, de façon à savoir où intervenir. Et il est nécessaire d’instaurer des procédures strictes de câblage.

Laissez-moi vous conter un fait réel : sur un site, suite à la demande insistante des utilisateurs, j’ai autorisé la mise en œuvre de STP. Eh bien, ce site est devenu indisponible pendant plus d’une heure suite à une erreur humaine (non, ce coup ci, ce n’était pas Gaston). Et on ne compte pas les réseaux qui se sont effondrés parce que quelqu’un avait branché un "vieux" switch de récupération. Ceux-ci ont de fortes chances de devenir la racine de l’arbre calculé par STP.

Le STP : les choses à retenir

Première leçon : le STP ne résiste pas aux erreurs humaines.
Deuxième leçon : la maintenance de STP demande une connaissance précise du réseau.
Ce que j'en ai retenu: heu ... je préfère éviter

Du côté des menaces ...

Maintenant, du point de vue des nuisances volontaires, STP offre de nombreuses possibilités. En premier lieu, un sniffer permet d’apprendre beaucoup de choses comme les VLANs utilisés, et l’adresse mac du switch « root ». On peut très facilement perturber le protocole, avec des BPDU créées de toutes pièce.

Les effets vont du banal déni de service (l’attaquant fait en sorte de se faire perpétuellement élire en tant que racine de l’arbre) à des effets plus subtils, comme le détournement du trafic à des fins d’observation ou de substitution.

Conclusion : ne pas utiliser STP

Pour ma part, je recommande d’utiliser des mécanismes beaucoup plus simples. Par exemple, chez CISCO, le « Flex Links » qui repose sur une décision locale du switch (il réagit typiquement en 800ms) ou le « Resilient Ethernet Protocol », un peu plus complexe, qui gère les topologies en anneaux.

Si l'on doit absolument utiliser STP, il faut en limiter l’usage au strict nécessaire, mais cela demande une configuration soigneuse. 
De nombreuses personnes pensent que STP "empêche les boucles". C'est loin d'être le cas. Il faut observer deux choses : d'une part, une boucle, ce n'est pas si fréquent, et d'autre part, ce qui est génant, ce ne sont pas les boucles, mais les tempêtes de diffusion.

Ma recommandation est de mettre en place une limitation de la bande passante BUM (Broadcast, Unknown unicast et Multicast) de façon à limiter l’intensité d’une éventuelle tempête de diffusion ou d'une éventuelle attaque basée sur des trames broadcast, saturation de la table des adresses mac, etc.

Vos remarques, questions et autres interventions sont les bienvenues.

Pascal Bonnard

© Tasosk - Fotolia.com

Voir cette vidéo sur YouTube

Lorenzo Rapido, notre chef de projet n'est jamais en manque d'idées quand il s'agit de faire avancer son projet. Revenons sur les techniques utilisées par un Chef De Projet (CDP) pour enfouir les actions portant à la sécurité.

Pour ceux qui suivent (et oui, il y en a), nous avions déjà fait connaissance de Lorenzo Rapido lors de l'épisode 1 de CaméraSécu : les choses avaient été... comment dire..... un peu trop vite torchées. Comme dans CaméraSécu on aime bien le travail bien propret, on remet une couche... :-)

La technique du "on a pas le temps"

Cette technique est classique et la plus directe : on écarte les actions sécurité dès le départ, sans même évaluer les charges et préciser l'objectif. L'objectif de toute personne étant de se simplifier la vie, les personnes de l'équipe projet vont rester silencieuses et laisser le CDP faire le tri.

Si les personnes de la sécurité disent "il faut faire", alors la technique de "la patate chaude" vient à la rescousse : c'est celui-ci qui l'ouvre qui s'y colle...

La technique du "on savait pas"

Cette technique est surtout du fait des chefs de projet "bordéliques" : ils ne traçent pas tous les besoins (pas de suivi du tout, aucun compte-rendu, ou alors des comptes-rendus de réunions qui se remplacent les uns après les autres). Une action listée dans le CR d'il y a trois mois sera naturellement oubliée : si une personne de la sécurité se dit "mais il manque quelque chose" et remet le sujet sur la table, le CDP dira "on savait pas, c'est un nouveau besoin, on verra plus tard"...

La technique du "c'était pas ce qui avait été convenu" est très similaire : personne n'a envie de relire les 25 derniers comptes-rendus de réunion... Sauf que de temps en temps, c'est le cas ! Et là, c'est "paf le chien".... Le chef de projet est mis devant la réalité : pas de problème, il se confondra en excuses et utilisera une autre technique pour, in-fine, ne pas réaliser l'action.

La technique de "faut prioriser les actions" ou "la dilution homéopatique"

Un classique que cette technique de "priorisation des actions" : à la base, il y a tellement de choses qui ne vont pas en termes de sécurité que l'équipe projet est désemparée. D'une trentaine de points on va se cantonner aux plus "urgentes", à ce qui est "réaliste". Dehors toutes les actions de fond !

Illustration : c'est un peu comme aller voir son médecin. Celui-ci vous dit "vous êtes malade, il faut réagir", son ordonnance est sans appel : médicaments, activité physique régulière... Bref, un changement de style de vie ! Que va faire le malade ? Il va se cantonner à acheter ses médicaments : il aura bonne conscience et se dira "j'ai fait l'essentiel". Un projet et la sécurité c'est parfois un peu pareil... Un beau firewall ici, un bel antivirus là, et ça roule !

L'éventail des techniques est vaste... Très vaste même !

Après, il y a aussi les techniques dites de "la saucisse", du "bu bac à douche" ou celle du "on m'a forcé la main" : celles-ci sont pas mal aussi mais ça sera pour une prochaine fois !

Les remerciements

Un "merci Martine !!" (mais aussi à Françoise, elle est juste à coté) pour leur soutien logistique mais aussi pour les retours du genre "le son il est pas bon, on entends rien" (normal vu leur âge ! ;-) alors là je cherche les noises...).

La mention légale : pas de souffrances ni de brutalités dans CaméraSécu

Il est important que tous nos lecteurs sachent, soient bien au courant, bref qu'ils l'impriment : aucun animal ni personne n'a été brutalisé ni n'a souffert dans le cadre de CaméraSécu. Bref, on est PETA-ready. :-) A noter que ce 4ème épisode a été auto-produit de A à Z par une seule et même personne. Aucun nom ne sera livré à la foule, cette personne souhaite conserver son anonymat le plus strict : je suis en phase avec elle.

Je vous propose d’aborder rapidement celui de Microsoft qui a officiellement été communiqué lors de la conférence RSA d’octobre. Le rapport complet peut être téléchargé ici.

Quelques chiffres.

Les chiffres qui vont maintenant être évoqués ont été établis au travers des remontées fournies par l’outil Malicious Software Removal Tool (MSRT) sur le premier semestre 2011. Environ 600 millions de machines le font tourner tous les mois, il s’agit donc d’un échantillon plus que représentatif pour pouvoir établir des tendances.

45%. C’est la proportion des cas de compromission demandant une action effective de l’utilisateur (installation, lien web, ouverture de pièce jointe, …). Les campagnes de sensibilisation sont donc plus que jamais d’actualité pour réduire les risques.

43%. L’exploitation des autoruns (USB ou réseau) représentent 43% des incidents relevés. Un travail de fond pour continuer à maîtriser les postes de travail au travers du renforcement des OS est donc plus que jamais d’utilité public. La suppression des lancements automatiques est naturellement l’une des fonctions à mettre en place, les environnements les plus strictes supprimant tout simplement les accès à des périphériques externes de type USB.

6% des incidents auraient pu être évités si les machines avaient été mises à jour.

1%. Les exploits de type « zero day » dont on parle pourtant beaucoup représente moins de 1% des incidents sécurité relevés par Microsoft.

Les failles applicatives

Les environnements Java/Flash/HTML/JScript représentent toujours la grande majorité des failles, immédiatement suivi par les OS. La mise à jour des navigateurs et l’activation des quelques fonctions de sécurité disponibles sont des actions simples qui peuvent participer à réduire le risque représenté par ces technologies que nous utilisons tous les jours. Chacun peut être un membre actif de la lutte !

Les failles applicatives restent donc très largement en tête. Les formations de « Secure coding » et les outils d’analyse de code sont donc un domaine qui devrait continuer à s’imposer peu à peu et qui, espérons le, permettront à terme de diminuer les vulnérabilités dans les applications.

Une ouverture sur l‘avenir

Le déport de certaine fonctions et responsabilités dans le « cloud », concept à la mode actuellement, pourrait permettre une amélioration du niveau de sécurité de certaines entreprises. En effet, en externalisant et centralisant ce type de responsabilité sur un acteur expérimenté et soumis contractuellement à une obligation de résultat, il est possible que les processus sécurité de base soient mieux suivis.

Est-ce pour autant une déresponsabilisation de l’entreprise ? Non. Cette dernière devra malgré tout suivre ses prestataires de service et auditer régulièrement le niveau de service rendu pour s’assurer que tout est en ordre et répond à ses besoins.

Des conclusions ?

Bien que les nouvelles tendances annoncent l’inutilité et la mort prochaine des outils traditionnels de la sécurité, il semblerait malgré tout que les updates, antivirus/antimalware et autres hardening aient encore une utilité et réduisent les risques de façon significative.

Pour ouvrir le débat et ne pas rester sur l’analyse d’un éditeur, je ferai référence à mon précédent post où le directeur de l’ANSSI a fermement porté un message assez proche.

Par ailleurs, pour ceux qui souhaiteraient approfondir le sujet antivirus, le dernier numéro du magasine « Global Security Mag » titre en couverture « que reste-t-il de nos antivirus ? » - un moyen simple de croiser les informations et de nourrir les réflexions...

Un dernier chiffre pour la route : 13%. C’est l’augmentation, selon Microsoft, des incidents détectés sur le territoire français entre H1 et H2 par l’outil MSRT. Les acteurs de la sécurité ont encore une longue route à parcourir !

Cédric

Voir cette vidéo sur YouTube

La triade sécurité peut prendre différentes formes : il y a la classique triade "CIA" (Confidentiality, Integrity, Availablity) mais il existe aussi la "triade globale" rappelant les 3 composantes fondamentales d'une défense dite en profondeur (In-depth security) : Prévention, Détection et Réaction.

#1 - Prévention

La première composante de cette triade a pour objectif de prévenir l'apparition d'un risque : on retrouve ici toutes les mesures visant à:

• segmenter les réseaux (déploiement de firewalls, mise en place de zones DMZ, ...)
• durcir les systèmes (désactivation des services inutiles, application des correctifs de sécurité)
• utiliser les techniques de développement sécurisé (filtrage des données en entrée, requêtes SQL préparées, ....).

La prévention se matérialise tant via la mise en place d'équipements de sécurité, de principes d'architecture mais aussi de processus comme c'est notamment le cas pour le déploiement des correctifs de sécurité ou des campagnes de sensibilisation et de formation à la sécurité.

#2 - Détection

Cette seconde composante de la triade a pour objet de détecter un événement que la première composante (Prévention) n'aura pas été en mesure bloquer. Encore une fois, les moyens que l'on retrouve ici peuvent être technique ou organisationnel.

En ce qui concerne le volet technique, nous avons par exemple les sondes de détection d'intrusion (IDS) positionnées à des endroits stratégiques ou encore la collecte et l'analyse de logs. 

Du coté organisationel, on retrouve le bon vieux coup de téléphone de la part des équipes du support technique, l'annonce dans la presse mais aussi les remontées d'infos de la part des personnes en charge de l'administration, alertées par un brusque arrêt de certains équipements (une consommation de bande passante soudainement dix fois supérieure à la normale).

#3 - Réaction

La dernière composante de la triade est une suite logique de la précédente : une fois une anomalie ou attaque détectée il s'agit d'y apporter le plus rapidement une réponse. Ici le coté organisationnel est roi mais la technique a quand même le droit de cité.

Coté organisationnel, une équipe de personnes spécialisées apportera son soutien pour comprendre, circonscrire et donc limiter l'étendue de l'attaque. Au-delà des équipes spécialisées dans la sécurité, c'est l'ensemble des processus opérationnels qui seront sollicités dont ceux liés à la communication interne et externe.

En ce qui concerne le périmètre technique, une base de signatures pourra être déployée rapidement sur les antivirus ou un port sera temporairement bloqué au niveau d'un firewall, etc...

Autres types de défense en profondeur

Nombre d'entre-vous auront très surement déjà mis en place, ou tout du moins déjà entendu parler d'une "stratégie de défense en profondeur". La plupart du temps il s'agit d'une défense basée sur la mise en place de mesures techniques venant se renforcer les unes les autres, un peu comme des briques venant s'empiler (aka. deux ou trois couches de firewalls de marques différentes).

Dans tous les cas, ces deux approches de "défense en profondeur", qu'elles soient basées sur une vision globale (Prévention, Détection et Réaction) ou "classique" (via empilement de technologies) restent valides et doivent être appliquées car elles sont complémentaires.

De la théorie à la pratique

De ce que je peux voir, l'empilement de technologies est l'approche classique, celle basée sur la triade globale (Prévention, Détection et Réaction) est très souvent limitée à une mise en place de la première composante et très peu des deux dernières.

Quel est votre retour d'expérience ? Merci de vos retours/commentaires !

Et c’est ici qu’intervient VTP : VLAN Transfert Protocol. Ce protocole propriétaire a un équivalent normalisé : MRP.

L’idée est simple : dans un réseau local, un seul switch (le serveur) connait les VLANs utilisés, les autres switches vont apprendre ces VLANs grâce au protocole VTP.

Si on veut par exemple ajouter un VLAN, il suffit de mettre à jour la VLAN DATABASE dans le switch serveur. C’est très bien, tant que le switch serveur fonctionne. Mais s’il est en panne je fais quoi ? Et bien, dans ce cas, je configure un serveur de secours... Oui, mais s'ils marchent tous les deux, lequel a raison ?  Ah, mais c’est qu’on a pensé à tout : il y a un numéro de version de la VLAN DATABASE qui sert à choisir la plus à jour.

Tout cela est très bien, sauf que … Si Gaston branche un switch dont la VLAN DATABASE porte un numéro de version supérieur à celle du serveur, le LAN récupère la VLAN DATABASE du switch de Gaston. On peut parier que le LAN ne va plus bien marcher.

Du coup, VTP utilise un paramètre « vtp domain», assorti d’un « vtp password », qui permet d’éviter un tel accident. Certes, cela devrait éviter beaucoup d’accidents mais ce n’est pas suffisant pour prévenir une attaque...

Conclusion : avec VTP, pour éviter les accidents, il faut définir un « domain name ». Seuls les naïfs feront confiance au « vtp password »...

Une bonne pratique est de ne pas utiliser VTP. Pour cela, il faut configurer VTP en mode off (si disponible), ou sinon en mode transparent.

En l’absence de VTP, il faut bien sûr configurer les VLANs dans chaque switch du LAN.
Nota : avec le mode transparent, les « extended VLAN » sont accessibles. En clair, on peut utiliser des numéros de VLAN entre 1 et 4095.

Vos remarques, questions et autres interventions sont les bienvenues.

Pascal Bonnard

Les articles de la série "Ethernet" :

Ethernet, un niveau à ne pas négliger
Les attaques « classiques » : interception de trafic, dénis de service
A éliminer d’urgence : DTP
Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
Les VLANs pour les Nuls : VTP / MRP
Les boucles et les tempêtes : STP et comment s’en dispenser
L’art d’en dire trop : CDP et LLC
Incroyable, mais vrai : CTP loopback
A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
Conclusion, la configuration ultime pour mes switches

CamilleLaBille elle travaille au marketing produit : c'est elle qui connait le marché, quels sont les besoins des entreprises et qui en conséquence lance les projets pour développer les services qui seront commercialisés.

La sécurité c'est pour les paranoïaques ou les hyponcondriaques du bit de droite

Pour CamilleLaBille, la sécurité, c'est des conneries. Enfin presque. C'est ce qu'elle pense dans s

on fort intérieur : CamilleLaBille, elle connait le marché, les besoins et attentes des clients, etc... Si d'un coté elle comprend des choses que d'autres ne peuvent même pas appréhender, dans le cas de la sécurité, comme elle ne comprend pas grand chose, c'est que ça vaut pas le coup, c'est que ça n'est pas intéressant. La sécurité, les hackers et tous ces trucs, CamilleLaBille elle ne saisit pas...

Et oui, CamilleLaBille elle capte rien dans la sécurité informatique... alors quand LorenzoRapido lui parle de sécurité elle fait style de comprendre : "OK, OK, OK". Elle pose 2 ou 3 questions histoire de montrer qu'elle touche mais en fait, elle est paumée... Surtout en bonne société (lire : réunions avec des chefs).

La sécurité ça fait bien dans les slides et les fiches produit

Elle ne dit pas complètement non à la sécurité. La raison est simple : la sécurité, ça pète sur les slides, ça fait bien dans les descriptions de services. La sécurité, ça permet de maintenir son niveau de prix, de se démarquer de la concurrence, etc.... Le saint-graal c'est de mettre un  super logo marqué "certification ISO27K" ou "Critères Communs".

Une certification sécurité, ça rassure le client, ça balance la concurrence dans les bas-fonds et ça donne des arguments "massue" aux commerciaux. En plus, pour CamilleLaBille, une certification c'est bon pour se faire mousser auprès de son chef car lui, il capte encore moins de quoi il s'agit...

Marquer "sécurité" tout en ne faisant pas grand chose de concret

OK! Donc faut pouvoir mettre "sécurité ceci" ou "sécurité cela" dans les slides et le contrat... Comment on va faire ? Simple : on va laisser LorenzoRapido (le chef de projet) discuter avec SecuNinja (l'expert sécurité de la maison) et il nous montent un plan "de la mort qui tue".

Le truc, c'est que le plan sécurité de LorenzoRapido et SecuNinja, il est bien mais il implique de faire des choses en plus que CamilleLaBille, elle n'avait pas prévu . Donc ici, CambilleLaBille, elle va chercher à édulcorer le plan pour faire que des choses pas compliquées (aka celles qui coûtent pas cher) ou alors elle va botter en touche (aka son sport favori) vers un "projet transverse" ou un "plan d'action à venir"... L'important c'est que le mot "sécurité" soit présent... le reste, elle s'en tamponne !

La certification sécurité "élastique" : Le truc de la mort qui tue

L'autre technique de CamilleLaBille, c'est de récupérer le travail que les autres ont pu faire. Allez, on va prendre un exemple simple : dans la boîte, on a des SOC (Security Operating Centers) qui ont été certifiés ISO27001... Et comme le service de CamilleLaBille est supervisé par ce SOC, elle va jouer sur le flou : elle va laisser trainer des "certifié ISO27001" dans les slides et support de présentation du service.....

Et paf ! C'est gagné ! Jackpot ! Le prospect un peu bonnet et n'y connaissant pas grand chose, par agglomération d'idées, va se dire "le service de CamilleLaBille il est certifié IS27001". Elle est forte CamilleLaBille.

En tout cas, on peut dire qu'elle sait tourner les choses à sa sauce, bref tout l'art d'un bon marketing produit !

Les courants sous jacents

Certaines thématiques n’ont été que peu abordées de façon frontale dans les ateliers mais ont été citées à de nombreuses reprises. La nécessité de fournir des indicateurs fiables aux équipes en charge de la gouvernance fait partie de ceux-là. Ce sujet a été abordé sous tous les angles possibles : de la collecte des données, jusqu’à l’introduction des techniques de business intelligence pour extraire le maximum d’informations pertinentes. La création de dashboards sécurité adaptés aux différents niveaux de hiérarchie, de l’expert technique au CEO, a été un motif récurrent qui devrait s’imposer peu à peu pour affiner le pilotage et les décisions.

Et la téléphonie ?

Un sujet plus inhabituel abordé durant cette dernière journée a été les problématiques de sécurité et plus spécifiquement de fraude dans les environnements de téléphonie. Ces interventions visaient à sensibiliser l’auditoire sur les spécificités de ce domaine (qui se traitent autant par des équipements dédiés à la sécurité que par des configurations adaptées finement sur le PABX lui même).

L’héritage des risques de la téléphonie semble désormais reconnu et les réflexions pour proposer des solutions adaptées se généralisent. Nous allons peut être vers la naissance d’une nouvelle spécialité à moyen terme … Une chose est sûre, le montant des fraudes économiques - de 1 000€ à environ 600 000€ - à fait réagir la salle.

Sécurité et économie

Evoquer le ROI de la sécurité est un sujet qui fait sourire ou qui provoque une réflexion intense, douloureuse et la plupart du temps n’arrivant pas à un résultat satisfaisant. Conscient de cette difficulté, un groupe de travail a lancé une réflexion sur un axe alternatif en cherchant plutôt des outils de mesures pertinents. Il ressort de ces premiers résultats une classification des entreprises, une première série de ratios concrets et adaptés à l’activité, des pistes inattendues et une bonne nouvelle.

En effet, Il est désormais prouvé que la sécurité devient moins onéreuse lorsque les spécialistes de la fonction achat accompagnent les experts que nous sommes dans les phases de négociations. Indéniablement, cette professionnalisation devrait permettre d’optimiser les budgets serrés pour investir dans les trop nombreuses solutions qui sont aujourd’hui nécessaires. Un travail très intéressant dont les évolutions seront à suivre lors des prochaines assises.

Une vision de l’avenir

Un axe de présentation de ce qui nous attend dans l’avenir assez différent dans cette présentation et collant au plus près aux actualités : le monde change, économiquement, géographiquement et techniquement à une allure encore jamais rencontrée. Quelques chiffres à la clé pour illustrer ces bouleversements qui impose également une dynamique toujours plus importante dans nos métiers :

• 10 milliards de tweets en 5 mois.
• 2012 : 33% de solutions achetées sur un mode As a Service.
• 2012 : cinq fois plus de données crées en 5 mois que sur l’année 2008 complète.
• 2013/14 : les smartphones sont désormais le mode d’accès prédominant au web.
• 2015 : les réseaux sociaux remplacent l’usage du mail pour 20% des utilisateurs professionnels.
• 2015 : 50% des entreprises auront plus de 80% des fonctions IT en mode As a Service.

Comment faire face à cette montagne ? En continuant avec une vigueur renouvelée la sensibilisation de nos utilisateurs, en assurant une veille, en embrassant les innovations qui se présentent, et surtout, surtout, en créant de l’échange entre l’ensemble des acteurs sécurité pour que les informations essentielles soient connues de tous.

Cette conférence c’est terminée avec la présentation de l’excellent rapport « Data breach investigation report » pour 2011 et une citation de Darwin : “It’s not the strongest who survives, nor the most intelligent, but the ones most adaptable to change“. A méditer.

Pour conclure

Pour finir, il est impossible de ne pas évoquer la conférence de clôture, réalisée par le directeur de l’ANSSI, qui a été un rappel des grands risques actuels mais aussi et surtout, que les risques encourus sont démultipliés par le non respect du strict minimum touchant la sécurité (qui a parlé des fessées morales ?). De trop nombreuses attaques réussissent en exploitant des mots de passe faibles ou par défaut, des machines non mises à jour, des droits d’accès mal gérés, etc.

L’empilement des outils n’est pas en soit une réponse à l’éclatement des périmètres traditionnels et à la démultiplication des périphériques. L’échange entre les équipes des différents domaines, le ciblage précis de certains problèmes, la communication autour des alertes sont des points qui font toujours défaut et doivent être traités. S’il est nécessaire d’affronter l’avenir, cela ne signifie pas pour autant que les enseignements du passé doivent être oubliés.

Ai-je oublié ou manqué quelque chose ? Bien sur ! Les ateliers et stands étaient trop nombreux pour pouvoir être couvert en seulement trois jours. Ainsi, si vous n’avez pas vu évoqué la gestion des périphériques mobiles ou d’autres sujets d’actualités, c’est simplement que le temps a manqué, mais absolument pas leurs absences Je vous renvois vers le site des assises pour avoir le détail des ateliers et partenaires de cette édition 2011. Bien entendu, si vous voulez parler de ce que vous avez vu (ou vouliez voir) en commentaire, n’hésitez pas !

Vivement les assises 2012 !

Cedric

Voir cette vidéo sur YouTube

SecuNinja est l'un d'entre-eux. SurfMachine, dans un accès soudain et violent de conscience, rencontre SecuNinja est évoque avec lui le projet de Lorenzo-Rapido, notre chef de projet.

Au sein des entreprises, les personnes de la direction sécurité (et leurs acolytes répartis ici et là) sont perçues comme des personnes complétement à coté de la plaque, vivant sur une planète bizarre peuplée de pirates violents usant de stratagèmes tordus. C'est pas du vaudoux mais presque : l'usage est de fuir ces personnes, de les éviter à tout prix.

Les gars de la sécurité : des bêtes serviles ?

A contrario, on les aime, on est prêt à leur donner la lune dès qu'un auditeur externe débarque, qu'un client commence à poser des questions ou qu'un incident de sécurité a lieu. Aux personnes de la sécruité de se charger de ces sujets et que l'on en parle plus ! En plus, ils aiment ça et ça leur permet de montrer qu'ils servent à quelque chose...

Une fois sous contrôle, le feu provoqué par une intrusion, ils perdent de facto leurs appuis : le plan d'action correctif est politiquement enterré sous une chappe de plomb...

Médiateur conjugal : un boulot en tant que tel

SurfMachine est anormalement constitué : il est rare, rarissime même, qu'une personne aille contacter de façon proactive une personne de la sécurité afin d'obtenir des conseils quant à la sécurité d'un projet....

Grâce au "médiateur conjugal" (ou "médiateur sécurité"), les préliminaires entre parties en présence se dérouleront à priori dans de meilleurs conditions : la mise en contact des corps entre-eux sera progressive pour déboucher ensuite sur une union.

Ce médiateur doit idéalement être positionné du coté du marketing produit mais doit en être indépendant : Il est force de proposition et "force gentillement" (ou "incite" pour rester politiquement correct) les parties à se parler et travailler ensemble.

SecuNinja : un concentré de communicant maitre dans la course de fond

Pour beaucoup de personnes, la sécurité est un domaine obscur. Un bon SecuNinja doit être maître dans l'art de la communication et exceller dans l'éducation et l'illustration par analogies. Exit le verbiage technique et les mots bizarres quand on explique pourquoi il est important de mettre en place telle ou telle mesure de sécurité.

Un SecuNinja devra savoir aller progressivement vers l'objectif en intégrant des notions liées à la conduite du changement : rares sont les entreprises qui savent faire volte-face en quelques semaines ou mois. Pour faire vraiment de la sécurité, il faut être champion en course de fond et pas un sprinter.

Cisco et IBM : deux concurrents pour une vision finalement assez proche de l’avenir

Les Keynotes de Cisco et IBM, bien que prenant des formes très différentes, ont confirmés les grandes directions identifiées ces deux dernières années: nécessité de prendre en main le phénomène du « Bring Your Own Device », éclatement des sources de données et des infrastructures comme moyen de réconcilier usages et sécurité. Par ailleurs, il ne faudra pas oublier la nouvelle formule magique des marketings : « anywhere, anytime, anydevice ». L’utilisateur à désormais pris les rennes et nous devons l’accompagner.

Il est aussi intéressant de noter la conclusion des experts de la XForce d’IBM: anticipez l’avenir mais n’oubliez pas les enseignements du passé. La plupart des attaques se déroulant aujourd’hui continuent à exploiter des mots de passe simples, des machines non mises à jour ou encore des applications web n’ayant jamais été auditées. Un listing de 10 points au total qui permet de se remettre en cause et de vérifier que les fondations sont solides.

Cloud et datacenters

Très logiquement, les sujets du cloud et des datacenters, ont été traités dans différents ateliers. Un planning construit de façon progressive sur cette thématique permettait d’avoir une approche globale et bien structurée sur ce sujet. Je retiens en particulier quelques éléments ciblés que j’ai trouvés assez représentatifs des problèmes actuels :

• En 2011, 60% des serveurs virtualisés sont moins bien sécurisés que leurs homologues physiques.
• Il est nécessaire de retravailler de façon proactive l’émulation et la sécurité du réseau dans les couches virtuelles pour renforcer l’étanchéité, action qui devrait être de plus en plus facilitée avec l’adaptation des solutions aux hyperviseurs.
• La mise en œuvre d’une gouvernance sérieuse, basée sur des indicateurs fiables, est indispensable. Elle devra fournir des rapports adaptés aux différents interlocuteurs, soit des équipes techniques jusqu’aux responsables et preneurs de décisions. Ces rapports devront permettre de valider le maintien en condition opérationnel du système et les SLA associés aux infrastructures.
• La réflexion du RSSI de Casino lors du retour d’expérience : un bon moyen de tester la maturité d’un partenaire potentiel est de mesurer sa proactivité dans le traitement du sujet sécurité.

Il me semble aussi nécessaire de citer l’exposé réalisé par les équipes R&D de la société Sogeti. Une approche pratique des risques liés à la virtualisation, avec une démonstration à l’appui, pour bien mettre en évidence que la sécurité doit être considérée depuis les éléments physiques, comme la carte réseau, jusqu’à l’applicatif. Un exposé trop court qui aurait mérité de pouvoir descendre plus avant dans les détails techniques.

IP V6

Pour finir cette note rapide, l’exposé sur IP V6, sujet transverse et colonne vertébrale de tout ce qui communiquera dans l’avenir, a permis de bien mettre en évidence que nous sommes désormais entré dans une phase de transition. Ce sujet discuté depuis des années est désormais une réalité. Fini les exposés théoriques !

Cette présentation a abordé les différents modes de transition d’un point de vue technique, les impacts sur les services réseaux, les niveaux de sécurité d’IP V6 avec des retours pratiques et fortement sensibilisé sur la disparité des applicatifs existants face à cette problématique.

Une solution pour aborder sereinement cette problématique : lancer un projet interne qui couvrira l’ensemble des éléments (infrastrure, SI et endpoints) et allant de l’audit de démarrage jusqu’à la planification globale des phases de migration ou de remplacements.

Pour conclure, cet évènement est donc l’une des très (trop) rares occasions ou les professionnels de la sécurité peuvent se rencontrer pour croiser leurs perceptions de l’évolution du métier, des nouvelles données à prendre en compte et cela en oubliant parfois la relation client fournisseur. Une bouffée d’air permettant de prendre du recul et de repositionner certains sujets sur l’échelle des valeurs.

Cédric

Si les médias se font de plus en plus l'écho des menaces informatiques auprès du grand public, les conséquences de ces dernières restent dans l'esprit de beaucoup, cantonnées à des problèmes informatiques (infection d'un ordinateur entrainant des pertes de performances ou des pertes de données). Hors, nous savons depuis quelques années que les conséquences sont parfois plus lourdes, avec notamment le vol de données personnelles.

L'explosion du Black Market

L'explosion des logiciels malveillants (à peine 5.000 en 2007, 40.000 en 2009 et environ 60.000 en 2010) a permis le développement tout aussi rapide du Black Market numérique (un marché noir dédié aux nouvelles technologies).

Une récente étude de la société Panda Security, "The Cyber-Crime Black Market: Uncovered", publiée début 2011, décortique les mécanismes de ce marché parallèle, notamment une classification des acteurs et de leur rôle, ainsi que les processus de vente des produits et services associés.

A titre d'exemple, voici quelques chiffres relatifs aux prix des produits et services sur ce marché :

• Données d'une carte de crédit : de 2 à 90 dollars (numéro de carte et date d'expiration, ainsi que les nom, adresse, numéro sécurité sociale et date de naissance du titulaire).
   
• Carte de crédit vierge : à partir de 190 dollars pour une commande minimum de 5 cartes (plastique blanc ou impression couleur) avec hologramme bancaire et piste magnétique. Vous devrez acheter en complément les données présentées plus haut.
   
• Copieur/Duplicateur de cartes physiques : de 200 à 1.000 dollars suivant les modèles.
   
• Vrai-faux distributeur bancaire : jusqu'à 35.000 dollars. Vous pouvez également opter pour un module "Skimmer" à intégrer à un distributeur officiel et permettant la copie de pistes magnétiques.
   
• Identifiants bancaires : pour une somme allant 80 à 700 dollars, vous pouvez disposer d'identifiants de connexions aux services d'une banque en ligne (nom d'utilisateur, mot de passe et réponses aux questions de sécurité). Les comptes vendus sont garantis avec un solde positif.
   
• Blanchiment de transferts bancaires : de 10 à 40% du montant total "nettoyé".
   
• Identifiants pour plates-formes de paiement : pour une somme allant de 80 à 1.500 dollars, des identifiants de connexions à un service de paiement rapide (exemple: PayPal) vous sont fournis avec une garantie de solde positif. Les comptes à solde positif non garantis se négocient autour de 10 dollars seulement.
   
• Vrai-faux site marchand : les prix sont ici en fonction de votre projet et incluent la conception du site, son développement et sa mise en ligne.
   
• Commande et livraison de produits : une commission de 30 à 300 dollars est ici demandée pour assurer la commande (à vous de fournir les données bancaires à utilisées) et la livraison de produits achetés en ligne.

Les réseaux sociaux ne sont qu'une menace secondaire

Comme cela a été évoqué plus haut, la principale source d'informations du Black Market est constituée du vol d'informations au travers de logiciels malveillants, couplée éventuellement avec le vol de données de manière physique.

Néanmoins, il est intéressant de se poser la question concernant un certain nombre d'informations disponibles sur le Black Market, qu'il s'agisse des numéros de sécurité sociale ou des dates de naissance par exemple.

Les réseaux sociaux sont aujourd'hui souvent montrés du doigt car ils centralisent de nombreuses informations sur les utilisateurs et cristallisent ainsi les peurs. Beaucoup d'utilisateurs des réseaux sociaux sont en effet peu soucieux de la confidentialité des données et s'aperçoivent incrédules que le nom de leurs enfants, de leur chien ou leur lieu de domicile sont accessibles à tout un chacun.

Les agrégateurs de données personnelles sont également avertis, comme le rappelle la CNIL qui vient d'adresser un "Carton rouge pour les Pages Jaunes" : "[la CNIL] a considéré que l’aspiration de ces informations sur les sites des réseaux, à l’insu des personnes concernées, était déloyale et donc contraire à la loi Informatique et Libertés".

Un risque également alimenté par la multiplication des données administratives en ligne

En dehors du poste utilisateur, si les réseaux sociaux ne sont pas les principaux conteneurs d'informations, où se trouvent les informations ? Il est théoriquement possible de collecter des informations sur les sites web personnels ou les petites annonces, mais cela ne représente qu'une infime partie de la collecte.

En revanche, la multiplication ces dernières années des bases de données administratives en ligne, participe fortement à l'exposition de données fortement personnelles. Si ces données sont publiques du point de vue de l'administration, leur consultation sur Internet a permis de réduire les temps de consultation (il n'est plus utile de se rendre à un guichet de l'administration) et d'augmenter la volumétrie de consultation (la recopie d'un microfilm sur un carnet papier étant nettement moins rapide qu'une copie d'écran).

Si de nombreuses organisations sont vigilantes quant aux données personnelles des internautes dans leur ensemble, elles n'ont que peu de marge de manœuvre sur le contrôle des données relatives aux chefs d'entreprises. Ainsi, parce qu'un certain nombre de ses informations personnelles sont rendues publiques, et parce qu'il est souvent assimilé à une source de richesse, le chef d'entreprise se retrouve particulièrement exposé.

Exemple au travers d'un commerçant de proximité

Afin d'illustrer le propos, je me suis livré à un exercice de collecte d'informations selon les contraintes suivantes :

• collecter des informations sur un chef d'entreprise dont l'activité est locale
• n'accéder qu'à des informations publiques, légales et gratuites
• ne pas utiliser de données issues des réseaux sociaux
• optimiser le coût temps de recherche / richesse de l'information

Etape 1:  à la suite d'un achat avec une carte bancaire, vous êtes en possession d'un "ticket client" sur lequel apparait clairement le nom de la banque du commerçant ainsi que la raison sociale de son établissement.

Etape 2 : une rapide recherche sur un site d'informations sur les entreprises nous dévoile rapidement les noms, prénoms, date de naissance et lieu de naissance des dirigeants.

Etape 3 : une recherche élargie sur les annuaires téléphoniques en ligne, en partant du lieu du commerce, nous révèle généralement l'adresse et le numéro de téléphone personnels de ces mêmes dirigeants.

Etape 4 : certains sites spécialisés (non détaillés ici) vous permettront également d'obtenir des adresses supplémentaires comme les résidences secondaires éventuelles.

En moins de 30 minutes, les informations collectées (hors réseaux sociaux), de manière légales et gratuites, sont certes peu nombreuses mais assez sensibles.

Quand la collecte d'informations publiques rejoint le Black Market

Pour les motifs évoqués plus haut, le chef d'entreprise est donc une cible particulière pour le Black Market. La nature des informations publiques le concernant couplée à l'étendue des offres disponibles sur le Black Market permettent de déterminer rapidement et au plus juste l'utilisation de ressources frauduleuses.

Les combinaisons possibles entre les informations recueillies et leur utilisation via des services illégaux ne seront naturellement pas détaillées dans cet article mais le lecteur amateur de romans policiers et autres films d'espionnage trouvera sans doute dans ces derniers des éléments de réponse.

Avertissement

Cet article n'a pas pour objectif de promouvoir les activités liées au Black Market, ni d'inciter les lecteurs à des activités illégales. Il s'inscrit dans une démarche d'information et son auteur ne saurait être tenu responsable de préjudices, matériels ou moraux quels qu’ils soient, découlant de l’utilisation ou de la non-utilisation des informations présentées.

© Maxim_Kazmin - Fotolia.com

Un peu d’histoire

L’algorithme de chiffrement AES (Advanced Encryption Standard) est la référence utilisée dans un grand nombre de domaines applicatifs depuis une dizaine d’année. Sa présence est notamment très forte dans le monde des communications unifiées, où il est utilisé avec le protocole RTP pour sécuriser les flux media. C’est donc lui qui permet notamment d’assurer la confidentialité des conversations téléphoniques chez la plupart des grands éditeurs.

Son développement a été initié à la fin des années 1990 pour remplacer le DES/3DES qui était considéré comme trop fragile. En effet, non seulement de nombreuses solutions mathématiques avaient été trouvées pour « casser » ces algorithmes, mais en plus, des mises en œuvre pratiques avaient été réalisées avec des résultats plus que probants : la possibilité de déchiffrer les contenus avec du matériel standard et des temps raisonnables.

L’AES est aujourd’hui mis à mal

AES est donc devenu le nouveau standard defacto, avec jusqu’à ce jour, une résistance plus qu’honorable à tous les travaux de recherche. Néanmoins, une équipe de chercheurs (Andrey Bogdanov, Dmitry Khovratovich, Christian Rechberger) semble avoir trouvé une voie prometteuse pour briser sa sécurité. Ces derniers ont réussi à trouver une méthode permettant de réduire par quatre la complexité pour trouver la clé de chiffrement utilisée.

Ma conclusion : ne pas tomber dans l’extrême

Doit-on désormais considéré ce dernier comme n’étant plus fiable ? Cela serait sans doute basculer dans l’extrémisme. En effet, bien que la difficulté ait été réduite d’un coefficient 4, les estimations actuelles montrent qu’il faudrait environ deux milliards d’années pour un milliard de machines, éliminant un milliard de possibilités par seconde, pour identifier la bonne clé. En d’autres mots, le niveau de sécurité d’un AES 128 est plutôt proche d’un AES 126.

Aussi, déclencher un niveau d’alerte élevé ne semble pas d’actualité, par contre, mettre en œuvre une veille pour suivre les travaux autour de l’AES semble désormais une nécessité. Une fois de plus, il a été démontré que tout algorithme peut être fragilisé voir brisé. Il n’y a pas d’exception à cette règle, seules des durées plus ou moins longues pour arriver à ce résultat.

Si vous souhaitez avoir le détail complet du travail réalisé sur AES, la publication réalisée sur le sujet peut se trouver ici.

Cédric

Rappelez-vous que, par défaut, un trunk laisse passer tous les VLANs.
Cela a permis à Gaston de faire de sacrés gags !!!

Bonnes pratiques du VLAN

Une bonne pratique est de décrire explicitement les VLANs permis. Par exemple :
switchport trunk allowed vlan 10, 20-29

En plus, un trunk laisse passer les trames Ethernet natives (sans étiquette de VLAN).
Le switch place ces trames dans un VLAN spécial, c’est le VLAN natif de l’interface.
Par défaut, le VLAN natif est le VLAN 1 : les trames natives vont dans le VLAN 1.
Et le VLAN 1 est toujours actif.

En général, quand il y a une interface trunk, c’est pour échanger des trames avec une étiquette de VLAN. Dès lors, les trames sans étiquettes de VLAN doivent être écartées.
Pour cela, il suffit de spécifier, pour chaque trunk, un VLAN natif exclusif.
Quoi qu’il en soit, sur un trunk, il faut toujours spécifier le VLAN natif.

Bien sûr, il ne faut jamais utiliser la VLAN 1 pour véhiculer le trafic de données.
En effet, ce VLAN est utilisé par de nombreux protocoles de niveau 2.

Ah, j’allais oublier aussi ISL. Il s’agit d’un protocole propriétaire créé avant que les étiquettes de VLAN ne soient normalisées. A n’utiliser qu’en présence d’équipements CISCO obsolètes, qui gèrent uniquement ISL. Certains équipements récents ne gèrent plus ISL.

En résumé, un trunk bien propre du point de vue des VLAN donne :

switchport trunk encapsulation dot1q
switchport trunk native vlan 801
switchport trunk allowed vlan 10,20-29
switchport mode trunk
switchport nonegotiate

Vos remarques, questions et autres interventions sont les bienvenues.

Pascal BONNARD

Les articles de la série "Ethernet" :

Ethernet, un niveau à ne pas négliger
Les attaques « classiques » : interception de trafic, dénis de service
A éliminer d’urgence : DTP
Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
Les VLANs pour les Nuls : VTP / MRP
Les boucles et les tempêtes : STP et comment s’en dispenser
L’art d’en dire trop : CDP et LLC
Incroyable, mais vrai : CTP loopback
A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
Conclusion, la configuration ultime pour mes switches

© ktsdesign - Fotolia.com

Voir la vidéo sur YouTube

Lorenzo Rapido, c'est le chef de projet de la boite : c'est lui qui s'assure que le projet est mené à bien avec un soucis de respect des délais, du respect du cahier des charges et des charges associées au développement.

Les bons chefs de projet, c'est dur à trouver : surtout pour traiter les sujets sécurité.

Caractéristiques d'un bon chef de projet

Il est binaire : si dans la liste des choses à faire y'a rien en termes de sécurité, c'est que c'est normal, faut surtout pas en rajouter ! C'est que le plus souvent les projets sont tellement "charette" que plus on laisse de coté des choses mieux l'équipe se porte.

La stratégie du "j'savais pas" ou du "j'pensai que c'est les autres qui s'en chargaient" sont des classiques.

La reco de Yann la SurfMachine : Pour faire de la sécurité dans un projet, un chef de projet, il faut le prendre au berceau : lui expliquer dès le départ ce qu'il y a faire ou pas en termes de sécurité et s'assurer qu'il a bien tout noté. Et surtout faut le suivre... Ne pas hésiter à lui ré-expliquer si vous sentez qu'il capte que dale.

Dans la vie y'a des priorités, dans les projets c'est la même chose !

Un projet c'est compliqué à mener. Y'a des choses plus compliquées que d'autres, certaines fonctions sont prioritaires, etc... Le chef de projet, il va travailler en fonction de la "pression" qu'il a de la part des commanditaires : parmi les "puissants", on a le marketing produit.

Le marketing produit il pousse en prirorité pour ses fonctions... Les trucs de sécurité il dit pas non (bon, ça arrive... mais c'est pas le sujet) mais c'est moins prioritaire que les super fonctionnalités de-la-mort-qui-tuent et qui-vont-ramener-plein-de-pognon.

Le chef de projet lambda il va donc mettre en priorté #1 le développements des fonctions du service... La sécurité se retrouvant souvent reléguée à un sous-niveau de bas étage...

Le Dynamic Trunking Protocol, c'est quoi ?

Le Dynamic Trunking Protocol (DTP) est un protocole développé par CISCO. Je ne connais pas d’équivalent normalisé. Le DTP, comme son nom l’indique, permet par exemple de former un trunk dynamique sur une interface configurée en accès. Dans une optique « plug and play », un réseau de switches doit marcher dès qu’on les branche. Le DTP est donc activé par défaut.

Prenons un cas concret:

Supposons le cas suivant: une interface LAN configurée avec le strict minimum, comme suit :
switchport access vlan 10.

Gaston prend le switch de secours dans la réserve et configure une interface comme cela :
switchport mode trunk.

Maintenant, Gaston branche son interface sur le LAN … Et la magie de DTP opère.
Abracadabra, l’humble et modeste interface "access" sur le LAN devient un beau trunk !!!

Par défaut, un trunk laisse passer tous les VLANs (encore le « plug and play »).
Toujours par défaut, trois protocoles très bavards sont aussi actifs, nous le verrons plus tard...

Connaissant la créativité débordante de Gaston, à n’en pas douter, après la phase « Plug », qui sait ce qu’il va faire dans la phase « Play » …

Alors là, c’est plus qu’une faille de sécurité; c’est une gorge, que dis-je, un canyon, non, c’est une fosse océanique !!!

RONTUDJU !!!

IL FAUT DESACTIVER LE DTP SUR TOUTES LES INTERFACES :
SWITCHPORT NONEGOTIATE

Sur un port access :
switchport mode access
switchport nonegociate

Sur un port trunk :
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate

Cerise sur le gâteau, sans DTP, l’interface monte plus vite parce qu’il n’est plus nécessaire d’attendre que le DTP ait fait sa négociation (environ 2 secondes).

VOUS ETES MAINTENANT PREVENUS, CORRIGEZ VITE VOS CONFIGURATIONS !

Vos remarques, questions et autres interventions sont les bienvenues.

Pascal BONNARD

Les articles de la série "Ethernet" :

Ethernet, un niveau à ne pas négliger
Les attaques « classiques » : interception de trafic, dénis de service
A éliminer d’urgence : DTP
Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
Les VLANs pour les Nuls : VTP / MRP
Les boucles et les tempêtes : STP et comment s’en dispenser
L’art d’en dire trop : CDP et LLC
Incroyable, mais vrai : CTP loopback
A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
Conclusion, la configuration ultime pour mes switches

© INFINITY - Fotolia.com
 

 Voir cette vidéo depuis YouTube

La série "CaméraSécu" débarque sur le blog sécurité d'Orange Business Services avec un objectif simple : Mettre le doigt là où la sécurité fait mal en entreprise.

Une série décalée, railleuse, absolument pas sérieuse dans la forme mais pleine de bonne  humeur et qui fait passer de réels messages sur la sécurité.

Faisons les présentations de cet ovni qu'est CaméraSécurité...

Tout le monde va prendre cher

Les CSO "Chief Security Officer" qui ne captent rien à la sécurité vont en prendre plein les dents, idem pour les directeurs financiers avares ou les chef de projets mollassons du slip : tous vont souffrir.

Idem pour les super-héros que sont les experts sécurité bardés de certifications et qui demandent des trucs irréalistes : tout le monde va y passer. Oui, on va faire dans l'auto-dérision et on va bousculer les codes.

A la base : du vécu, rien que du vécu

Dans CaméraSécu, le trait est fortement épaissi, les situations un peu foireuses et, comme vous le verrez, la réalisation technique est digne des plus grands films d'animation (c'est promis, vous aurez un "making-of").

Mais CaméraSécu a UNE règle sur laquelle nous ne transigerons pas : tous les épisodes seront tirés de situations vécues et pas de trucs inventés. Obligatoirement, certains épisodes auront un goût de déjà vu à la maison  : normal, les travers des uns sont les travers des autres.

Au fait : toute ressemblance avec des faits ou des situations réelles sera purement le fait du hasard donc que personne ne vienne nous chercher des noises. :-)

Saison 0 - Episode 0 - La SurfMachine

Yann, connu sous le nom de "SurfMachine" est la mascotte de CaméraSécu. Il est un peu le neuneu de service mais il est plein de bonne volonté. Je ne vous en dit pas plus, je vous laisse avec lui : 

Une expérience

Monter CaméraSécu est une "expérience" : si le succès n'est pas au rdv, ce sera sans scrupule que l'on sortira la 22 long-rifle pour lui loger une balle entre les 2 yeux. Par contre, si ça marche, alors on pourra pousser le bouchon encore un petit peu plus loin.

La balle est donc dans votre camp. :-)

Mais ils ont que ça à faire chez Orange ?

Pour ceux qui se poseront cette fameuse question, je leur répondrai simplement et directement : non, nous n'avons pas que ça à faire.

Les tournages de CaméraSécu se déroulent durant  la pause déjeuner et comme nous sommes des geeks nous mangeons rapidement, salement et sans discuter de trop : on a donc du temps à tuer. Après, les mauvais coucheurs, ils peuvent passer leur chemin car CaméraSécu c'est fait pour faire plaisir et se faire plaisir. Bref, mettre de l'humain et de la bonne humeur !

Dénonciation ou pas ?

Qui se cache derrière CaméraSécu ? Bon,  je ne vais pas commencer à dénoncer mes petits camarades.... Tout ce que je peux dire c'est que je suis de la partie (vous vous en seriez doutés à la lecture de ces mots).

On y retrouve aussi un autre compère dont le prénom commence par la lettre "V". Non, je vous rassure ce n'est pas un Anonymous mais il en connait un rayon sur le sujet. J'arrête, j'en ai déjà trop dit.

Un rendez-vous hebdomadaire : Tous les vendredi à 14h

Bref, trève de bavardages. Rendez-vous tous les vendredi à 14h pétantes sur ce blog.

Les prochains épisodes ont été tournés : au menu, SQL injection, chef de projet et surtout une bombasse comme vous en avez rarement vu. Bref, attention, ça va décoiffer.

Des idées ? Venez sur CaméraSécu !

Nous ne sommes pas dans un livre des années 80 "le livre dont vous êtes le héro" (Folio Junior) mais presque : proposez des idées d'épisodes et devenez une star. :-)