Le 08/12/2017 à 09:51, Julien Escario a écrit :
Bonjour, Bon, c'est vendredi mais on va peut être gentiment pouvoir arrêter le troll parce qu'on s'éloigne à vitesse grand V du sujet initial et on se rapproche pas mal du point Godwin.
Peut être pas quand même, on est bien élevé :)
On fait le tour des poncifs de notre métier : oui, un point de sécu tout seul ne sert à rien (aka TLS si le mec se connecte à partir d'un poste tout vérolé), oui, il faut assurer une compatibilité raisonnable avec d'anciennes versions et ne pas tordre le bras aux clients chaque fois que la nouvelle-techno-à-la-mode-avec-un-joli-buzzword sort.
Après, chacun voit midi à sa porte concernant ces choix : est-ce la compatibilité doit être assurée pendant 3 jours, 3 mois, 3 ans ?
Maintenant, qu'on me balance sur une liste qu'il faut encore supporte IE6 sous XP ou qu'on contraire, il faut bannir tout avant IE10 win8, ben en fait, vous pissez dans un violon les mecs. C'est pas votre problème puisque vous ne connaissez pas mon environnement de boulot.
Oui la je pense qu'on est tous d'accord : chacun son environnement, contraintes, et priorités.
Maintenant, les vérités :
- En 2018, TOUT service doit être dispo en chiffré (forcé ou non, c'est votre
choix).
C'est un choix. Comme je disais parfois cela ne coute pas cher, donc parfois il n'y a pas de réel raisons objectives de ne pas le faire. Parfois c'est plus compliqué et je peux comprendre qu'on investisse pas (encore) de temps la dessus ; et malheureusement sur des parties bien plus critiques que le sous domaine mail (DNS, BGP).
- Les gens qui traînent des vieilles versions DOIVENT savoir qu'elles prennent
un risque non négligeable.
Comme tous les gens qui utilisent un ordinateur pour communiquer en fait :) elles prennent juste un peu plus de risque. Le problème c'est que ce n'est absolument pas quantifiable/quantifié. Si on prend une analogie foireuse, on pourrait arguer que toutes les mesures concernant la sécurité routière ont eu un effet bénéfique si on en croit les chiffres officiels du nombre de morts/accidents. Sur la sécurité informatique j'aimerais bien avoir des indicateurs qui m'aiguille sur quelle mesure prendre en priorité, et qu'est ce que cela a apporté. Vous avez un nombre de combien d'usurpation d'identité d'une boite mail a empêché TLS/SSL ? moi non. (après on est bien d'accord cet exemple précis est pourri parce que cela ne coute rien à faire, la compat cliente est bonne, donc c'est un peu triste de ne pas le faire).
- C'est AUSSI notre boulot de faire passer la bonne parole.
Quelle est la bonne parole ? :) Pour moi c'est d'abord l'éducation des utilisateurs et professionnels de l'outil informatique. Comment ça marche, qu'est ce que cela implique, quels sont les risques, et quels sont les bonnes pratiques ?
Anecdote : hier, on était à une formation RIPE sur DNSSEC. Le grand argument, c'est qu'actuellement, c'est que l'ensemble de la chaîne de confiance est basée sur UN seul groupe de personnes (7 sous l'égide de l'ICANN dont Vinton Cerf 'le trouble') au lieu des quelques 700 autorités de certifications reconnues actuellement. OK, mais ça me gêne un peu : à aucun moment n'a été évoqué la raison pour laquelle je devrais faire confiance à ces mecs. La réponse ne tiendrait pas ici et chacun doit se faire son avis. Ce n'est pas parce que la communauté fait un truc qu'on est forcément tous d'accord. C'est d'ailleurs le principe des RFCs et comme ça qu'on a bâti l'informatique et le net en général.
Pareil pour let's encrypt d'ailleurs : chouette projet très utile, mais ne vous faites pas d'illusion, ça va merder techniquement ou politiquement un jour ou l'autre.
Autre énorme sujet que les autorités de confiance. Qui décide qui est de confiance ou pas ? Google au moins visiblement (voir l'histoire Thawte/Symantec en cours).
Allé, bon trollday à toutes et à tous (je ne perds pas espoir que notre métier se féminise davantage), Julien
PUB : on doit avoir une des DT les plus féminines de France , au moins 40% de femmes :) et nous recrutons encore (femmes, hommes, dev, ops, devops).
-- Raphael Mazelier