[afnog] Re : défis majeurs de l'Internet en terme d e sécurité

[adotevi adotevi]

Bonjour a tous,

Il est vrai qu'une prise de conscience est primordiale.
A mon avis la première étape serait d'inciter les décideurs a obliger leurs
spécialistes en Informatique et Réseaux a s'inscrire sur cette liste afnog ne
serait-ce que pour s'informer. Je pense que s'ils lisent tout ce qui a été dit
jusqu'a présent, il verront eux mêmes le réel besoin de formation dont il font
l'objet.

Quant a la gangrène du favoritisme lors des recrutements,  je pense que le travail a faire pour pallier
ca est vraiment gigantesque.

BR//Adotevi.




________________________________
De : Nsilu MOANDA <silumoanda at yahoo.fr>
À : Benoit Morel <bm1v at andrew.cmu.edu>; Harouna MOUMOUNI <h.moumouni at gmail.com>
Cc : afnog <afnog at afnog.org>
Envoyé le : Mer 9 juin 2010, 9h 18min 48s
Objet : Re: [afnog] défis majeurs de l'Internet en terme d e sécurité


Hola, file moi les IP de ces routeurs, juste pour leur laisser un mot dessus lors de leur sessions telnet, des fois ca aide a prendre conscience...
Moi je partagerai mon experience du mois passe.
Je travail pour un ISP en RD Congo.
Nous proposons plusieurs offres dont des acces WAN.
J'ai ete ecoeure de voir des IT d'un de nos clients (une banque locale), mettre leur serveurs et agence directement dans notre reseau sans protections aucune, a peine si ils ne confondent pas IP adress avec numero de telephone. Et quand tu lui parle de ASA Cisco alors la vous ne vous entendrez pas.
Je viens ici epingler ce qui est commun en afrique a savoir, "engager quelqu'un parce que on le connait et non sur base de competence", parce que meme si nous nous entendons pour lutter ensemble contre toute forme de cyber illegalite, avec ce genre de comportement nous resterons toujours derriere.
Mais comme le dis si bien Harouna, pour le moment la haute pegre de HAcker ne font pas encore attention a nous car nous n'avons pas d'acces Internet de haute capacite, mais cela va changer, cela change et cela nous tuera si nous continuons a dormir...
--- En date de : Mar 8.6.10, Harouna MOUMOUNI <h.moumouni at gmail.com> a écrit :


>De: Harouna MOUMOUNI <h.moumouni at gmail.com>
>Objet: Re: [afnog] défis majeurs de l'Internet en terme d e sécurité
>À: "Benoit Morel" <bm1v at andrew.cmu.edu>
>Cc: "afnog" <afnog at afnog.org>
>Date: Mardi 8 juin 2010, 19h08
>
>
>Bonjour Benoit,
>Je me réjouis de voir encore les précieuses contributions des uns et des autres et surtout de la main que
> vous nous tendez pour nous aider à essayer de relever ce défis. 
>Pour un peu illustrer ce que je dis, en septembre passé, à cause d'un problème électrique qui a fait partir des équipements, je devais aider un ami à reconfigurer les nouveaux qu'il a acquis. Il a comme ISP, un opérateur qui propose des solutions de sécurité dans ses offres. (une gamme complète pour une sécurité absolue selon lui). A travers les configurations, alors qu'il était sensé offrir une seule adresse IP routable, je me suis rendu compte qu'on avait la possibilité d'exploiter en /29. j'ai alors utilisé toutes la plage d'adresse de ce sous réseau, ça fonctionnait bien. Tenté par la curiosité, je me suis permis de tenter d'en savoir plus sur ce qu'ils font. j'ai alors pris une logiciel basique de scan (networview) et j'ai identifié les équipements sur la plage /16 de son sous réseau. J'ai pu alors identifié quelques routeur cisco "bien robustes" qui
> trônaient sur le réseau. J'ai tenté de faire des ping sur routeurs, ça ne passait pas bien sur (ils sont des spécialistes en sécurité), Mais, tenez vous bien, quand j'ai demandé une connexion telnet sur les routeurs, deux d'entre eux m'ont donné un accès privilégié avec la combinaison enable/cisco, j'ai dit "merde ces gars vont nous tuer !!! ". J'ai immédiatement pris le combiné pour appeler leurs services, on me passe alors le responsable infrastructures réseaux à qui je tentais d'expliquer le problème des adresse IP qui étaient de trop 6 au lieu d'une seule. Je lui dis qu'ils ont attribué un /29, il avait du mal à se tirer d'affaire, on a du alors expliquer en terme de IP/netmask, mais il a compris. Alors, je lui parle des routeurs non protegés, il m'a dit que c'est faut, que je n'ai pas pu avoir un accès à distance parce qu'ils disposent d'un firewall et qu'ils ont fait des test ICMP à partir de la france et le firewall les
> rejetaient tous. Devant mon insistance, il m'a alors dit "Ecoutez monsieur, je ne vais pas perdre mon temps sur cette affaire, un routeur qui n'accepte pas le ping, comment pourra t il te laisser faire un telnet sur lui et qu'il te donne un accès privilégié ?". Je lui ai alors demandé s'il y'avait un lien entre "ping" et "telnet", il a dit "nous on est pas là pour écouter les gens jouer aux connaisseurs, d'ailleurs, votre connexion marche oui ou non ?" j'ai dit "ça marche", il m'a alors dit "alors monsieur, j'ai du boulot qui m'attend, au revoir et merci"
>>Je n'en revenais pas. et dire que beaucoup d'institutions ont fait confiance en leur solutions de sécurité...
>Celui qui n'est pas capable de se défendre, pourra t il garantir la sécurité de quelqu'un sous sa protection ?... 
>>Comme vous l'avez dit Bénoit, il n'est pas donné au premier venu de voir la fragilité de cette infrastructure qui est paradoxalement tout autant critique pour le monde d'aujourd'hui. 
>nos opérateurs locaux disposent certes d'équipements de dernière génération pour la plupart d'entre eux, mais le fait qu'ils soient mal déployés ne fait qu'accentuer le problème...
>>Nous avons besoin d'être conscientisés d'abord sur les dangers et ce que notre inertie peut couter à nos infrastructures et à tout le système Internet. Après cette prise de conscience, c'est la formation qui s'impose, d'abord sur la conception d'une infrastructure réseaux, ensuite son déploiement correct et enfin son monitoring.
>>J'ai demandé à maintes reprise à certains techniciens des ISP (l'opérateur historique inclu) de demander à se faire assister (gratuitement) par AFRINIC pour les aider à résoudre certains problèmes récurrents (DNS et routage et systèmes d adressages), mais on préfère toujours tatonner... 
>>Je suis ingénieur de spécialisation sécurité systèmes et réseaux (mais au stade junior); je suis en instance de formation d'un groupe de réflexion sur la gouvernance de l'internet et la cybersécurité. Je suis en train d'échanger pour cela avec d'autres responsables informatiques et ingénieurs pour essayer de dégager la démarche à suivre ensemble; mon objectif est de toucher le maximum de décideurs pour qu'ils puissent faire appel aux vrais spécialistes qui leur feront des propositions concrètes en vue de rendre nos infrastructures plus sures et mettre à l'abri les utilisateurs et leurs ressources.  
>>Bien sur, il n'est pas facile de réunir les gens à cause de nos responsabilités professionnelles respectives; mais avec une seule action concrète, j'espère pouvoir réunir autour de ces idéaux, plusieurs personnes... 
>>Depuis l'an passé, j'ai pu faire inclure les modules de sécurité dans une école (institut africain de technologie) qui forme aux niveaux licence et master ici (modules dont je suis chargé) en espérant qu'en transmettant le peu de connaissance que j'ai, ces étudiants (à peu près 80 pour les 3 niveaux) deviendront des interlocuteurs plus tard.
>>Tous ceux qui pourront aider avec des idées, des références et leurs expériences, sont les bienvenues. 
>Many thanks
>
>--
>Harouna Moumouni
>MSc Systèmes, réseaux et sécurité 
>National IT Officer, Save the Children UK-Niger 
>>Mob : 90 05 58 04
>Niamey NIGER   
>
>-----La pièce jointe associée suit-----
>
>
>_______________________________________________
>afnog mailing list
>http://afnog.org/mailman/listinfo/afnog 



      
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://afnog.org/pipermail/afnog/attachments/20100609/bfd42123/attachment-0001.htm>