Bonjour,
Je vole le thread pour relancer sur un autre type de souci avec l'administration francaise :
J'ai recu il y a quelques temps de mon employeur l'invitation à m'inscrire sur http://www.moncompteformation.gouv.fr/. J'ai voulu m'inscrire avec mon adresse perso, configurée sur mon serveur perso, selon les recommandations de https://cipherli.st/ :
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1 smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1 smtp_tls_mandatory_ciphers = medium tls_medium_cipherlist = AES128+EECDH:AES128+EDH
Sauf que lorsque je m'inscris sur moncompteformation.gouv.fr, je ne recois pas le mail, et je trouve dans mes logs :
Apr 8 13:21:04 ks postfix/smtpd[13513]: connect from mailfrontcpfa2b.caissedesdepots.fr[158.156.163.73] Apr 8 13:21:04 ks postfix/smtpd[13513]: SSL_accept error from mailfrontcpfa2b.caissedesdepots.fr[158.156.163.73]: -1 Apr 8 13:21:04 ks postfix/smtpd[13513]: warning: TLS library problem: 13513:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:649: Apr 8 13:21:04 ks postfix/smtpd[13513]: lost connection after STARTTLS from mailfrontcpfa2b.caissedesdepots.fr[158.156.163.73] Apr 8 13:21:04 ks postfix/smtpd[13513]: disconnect from mailfrontcpfa2b.caissedesdepots.fr[158.156.163.73]
J'ai tenté d'envoyer un email à postmaster@caissedesdepots.fr, mais je n'ai aucun retour pour le moment :
Est-ce que la mauvaise conf est de mon coté ? Qui pourrais-je informer de l'autre coté ? J'ai vraiment pas envie de m'inscrire sur ce truc avec mon adresse gmail...
++ Nicolas
Le 2015-04-02 02:00, Stephane Martin a écrit :
De mémoire, la désactivation du copier/coller est une mesure de protection contre les bots (j'ai pas dit que c'était efficace...)
Le problème de l'absence de règle de complexité sur les mots de passe du portail pro a été identifié et remonté il y a quelques semaines, c'est normalement dans le pipe.
En même temps, comme cela a été dit ailleurs, on a peu de risques de fraude à l'identité sur un téléservice qui permet de payer ses impôts, le mot de passe est essentiellement une mesure de lutte contre la "nuisance" sur internet.
J'espère qu'on parviendra à rendre tout cela plus ergonomique dans les mois à venir, notamment dans le cadre du projet FranceConnect et de l'entrée en vigueur du règlement européen EIDAS.
Si d'autres bizarreries sont constatées sur les téléservices du ministère, vous pouvez les remonter sur mon adresse pro (prenom dot nom at finances dot gouv dot fr), on les routera aux DSI en charge.
Bien cordialement, Stéphane Martin (RSSI MINEFI)
Arnaud Launay a écrit :
Tu as aussi le problème que j'ai soulevé cet après-midi si tu veux t'amuser encore un peu plus:
https://twitter.com/asl/status/582837760022749184
Arnaud. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/