Bonsoir, Aujourd'hui, ma comptable me demande de créer mon compte sur impots.gouv.fr. OK, je découvre le truc pour les entreprises, pas de soucis.
Je cliqouille tranquillement quand je tombe sur ça : https://inscriptionpro.impots.gouv.fr
Avec un certificat expiré depuis le ... 09/05/2013 ! Rien de que ça.
Mais que fait l'ANSSI ? Maintenant qu'ils sont assermentés, ils pourraient peut être soulever le tapis et commencer à enlever les 25 cms de poussière dessous non ?
Oui, chuis énervé oui.
Julien
Bonsoir,
Ce n'est pas réellement un problème technique c'est une négligence, mais je te suggère de le leur signaler pour qu'ils incluent le renouvellement des certificats dans leur monitoring.
A ce sujet il y a un article de Stéphane Bortzmeyer qui traite de ce problème : http://www.bortzmeyer.org/tester-expiration-certifs.html
Il pourrait être utile de leur transmettre, c'est aussi des sysadmin. ;-)
Florian
On 31. 03. 15 21:06, Julien Escario wrote:
Bonsoir, Aujourd'hui, ma comptable me demande de créer mon compte sur impots.gouv.fr. OK, je découvre le truc pour les entreprises, pas de soucis.
Je cliqouille tranquillement quand je tombe sur ça : https://inscriptionpro.impots.gouv.fr
Avec un certificat expiré depuis le ... 09/05/2013 ! Rien de que ça.
Mais que fait l'ANSSI ? Maintenant qu'ils sont assermentés, ils pourraient peut être soulever le tapis et commencer à enlever les 25 cms de poussière dessous non ?
Oui, chuis énervé oui.
Julien
Liste de diffusion du FRsAG http://www.frsag.org/
Bonsoir,
L'oublie n'est pas le certificat, mais l'url qui n'est plus utilisée. Il doit juste manquer une redirection vers la bonne page s'il y en a une nouvelle. En tout cas, il n'y a plus de service derrière cette url actuellement
Bonne soirée http://www.captainadmin.com
Le 31-03-2015 21:17, Florian Siegenthaler a écrit :
Bonsoir,
Ce n'est pas réellement un problème technique c'est une négligence, mais je te suggère de le leur signaler pour qu'ils incluent le renouvellement des certificats dans leur monitoring.
A ce sujet il y a un article de Stéphane Bortzmeyer qui traite de ce problème : http://www.bortzmeyer.org/tester-expiration-certifs.html [3]
Il pourrait être utile de leur transmettre, c'est aussi des sysadmin. ;-)
Florian
On 31. 03. 15 21:06, Julien Escario wrote:
Bonsoir, Aujourd'hui, ma comptable me demande de créer mon compte sur impots.gouv.fr. OK, je découvre le truc pour les entreprises, pas de soucis.
Je cliqouille tranquillement quand je tombe sur ça : https://inscriptionpro.impots.gouv.fr [2]
Avec un certificat expiré depuis le ... 09/05/2013 ! Rien de que ça.
Mais que fait l'ANSSI ? Maintenant qu'ils sont assermentés, ils pourraient peut être soulever le tapis et commencer à enlever les 25 cms de poussière dessous non ?
Oui, chuis énervé oui.
Julien
Liste de diffusion du FRsAG http://www.frsag.org/ [1]
Links:
[1] http://www.frsag.org/ [2] https://inscriptionpro.impots.gouv.fr [3] http://www.bortzmeyer.org/tester-expiration-certifs.html
Liste de diffusion du FRsAG http://www.frsag.org/
Le 31/03/2015 21:22, jr@captainadmin.com a écrit :
Bonsoir,
L'oublie n'est pas le certificat, mais l'url qui n'est plus utilisée. Il doit juste manquer une redirection vers la bonne page s'il y en a une nouvelle. En tout cas, il n'y a plus de service derrière cette url actuellement
Si si, je viens de créer mon compte ! Bon, ok, après, il faut attendre le papier avec le code par la poste. Manquerait plus qu'ils sachent signer un mail ...
Julien
Le Tue, Mar 31, 2015 at 09:28:39PM +0200, Julien Escario a écrit:
L'oublie n'est pas le certificat, mais l'url qui n'est plus utilisée. Il doit juste manquer une redirection vers la bonne page s'il y en a une nouvelle. En tout cas, il n'y a plus de service derrière cette url actuellement
Si si, je viens de créer mon compte ! Bon, ok, après, il faut attendre le papier avec le code par la poste. Manquerait plus qu'ils sachent signer un mail ...
Tu as aussi le problème que j'ai soulevé cet après-midi si tu veux t'amuser encore un peu plus:
https://twitter.com/asl/status/582837760022749184
Arnaud.
Le 31/03/2015 21:54, Arnaud Launay a écrit :
Le Tue, Mar 31, 2015 at 09:28:39PM +0200, Julien Escario a écrit:
L'oublie n'est pas le certificat, mais l'url qui n'est plus utilisée. Il doit juste manquer une redirection vers la bonne page s'il y en a une nouvelle. En tout cas, il n'y a plus de service derrière cette url actuellement
Si si, je viens de créer mon compte ! Bon, ok, après, il faut attendre le papier avec le code par la poste. Manquerait plus qu'ils sachent signer un mail ...
Tu as aussi le problème que j'ai soulevé cet après-midi si tu veux t'amuser encore un peu plus:
https://twitter.com/asl/status/582837760022749184
Arnaud.
En même temps, leur réponse est plutôt sympa. Par contre, j'aurais pas publié mon mot de passe sur twitter mais bon, c'est toi qui voit hein ;-)
Julien
Le 31/03/2015 21:57, Julien Escario a écrit :
j'aurais pas publié mon mot de passe sur twitter mais bon
Il espère peut être que quelqu'un va payer sa tva à sa place ?...
Le 31/03/2015 22:11, Thomas Constans a écrit :
Le 31/03/2015 21:57, Julien Escario a écrit :
j'aurais pas publié mon mot de passe sur twitter mais bon
Il espère peut être que quelqu'un va payer sa tva à sa place ?...
En même temps, avec des questions de sécurité du type : quel est le prénom de votre compagne. Pas un compagnon d'ailleurs, c'est les hommes hétéro qui paient les impôts, et paf ! Bref, l'info doit être vraiment super dure à avoir pour écraser le mot de passe du compte.
Julien
Le Tue, Mar 31, 2015 at 09:57:16PM +0200, Julien Escario a écrit:
En même temps, leur réponse est plutôt sympa.
Oui. Mais je préférerais pouvoir utiliser un vrai mot de passe, surtout là-dessus.
Par contre, j'aurais pas publié mon mot de passe sur twitter mais bon, c'est toi qui voit hein ;-)
CTRL-P dans Keepass :) Mais mes mots de passe ressemblent tous un peu à ça, du coup, oui. Enfin, quand on peut faire du C/C...
Arnaud.
Le 31/03/2015 21:54, Arnaud Launay a écrit :
Tu as aussi le problème que j'ai soulevé cet après-midi si tu veux t'amuser encore un peu plus:
Je confirme faut désactiver le javascript pour pouvoir coller ses passwords, juste dingue car cela force à mettre un mdp facile à taper. Perso j'ai laissé le cabinet comptable s'amuser avec cette administration pas de temps à perdre avec des interfaces pas bien conçues. Perso c'est le formulaire qui empêche le collé de mdp et le fait qu'ils veulent tout dématérialiser mais où pour l'inscription il faut faire du courrier et prouver qu'on est bien qui on est avec des copies de documents qui m'ont fait arrêté la procédure d'inscription. J'ai tout donné aux experts comptables, j'aime pas m'amuser avec l'adm mais à priori eux aiment bien.
De mémoire, la désactivation du copier/coller est une mesure de protection contre les bots (j'ai pas dit que c'était efficace...)
Le problème de l'absence de règle de complexité sur les mots de passe du portail pro a été identifié et remonté il y a quelques semaines, c'est normalement dans le pipe.
En même temps, comme cela a été dit ailleurs, on a peu de risques de fraude à l'identité sur un téléservice qui permet de payer ses impôts, le mot de passe est essentiellement une mesure de lutte contre la "nuisance" sur internet.
J'espère qu'on parviendra à rendre tout cela plus ergonomique dans les mois à venir, notamment dans le cadre du projet FranceConnect et de l'entrée en vigueur du règlement européen EIDAS.
Si d'autres bizarreries sont constatées sur les téléservices du ministère, vous pouvez les remonter sur mon adresse pro (prenom dot nom at finances dot gouv dot fr), on les routera aux DSI en charge.
Bien cordialement, Stéphane Martin (RSSI MINEFI)
Arnaud Launay a écrit :
Tu as aussi le problème que j'ai soulevé cet après-midi si tu veux t'amuser encore un peu plus:
https://twitter.com/asl/status/582837760022749184
Arnaud. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le Thu, Apr 02, 2015 at 02:00:06AM +0200, Stephane Martin a écrit:
De mémoire, la désactivation du copier/coller est une mesure de protection contre les bots (j'ai pas dit que c'était efficace...)
Mettez une captcha, si c'est juste pour éviter qu'un bot tape à la porte de vos serveurs... Ou encore mieux, au bout de mettons 5 essais foireux, un timer de 60 secondes avant de pouvoir retenter.
Mais laissez-nous gérer des mots de passe complexes ! Là je ne peux absolument pas utiliser "-?p>E4p":"A mP._]nZz3Ha5{]", j'ai mis 'turlute2015' pour être tranquille...
(Surtout avec les nouvelles règles, il semble que je vais devoir me connecter une fois par mois et non plus quatre fois par an, ça non plus ça n'aide pas la simplification).
Le problème de l'absence de règle de complexité sur les mots de passe du portail pro a été identifié et remonté il y a quelques semaines, c'est normalement dans le pipe.
Oui mais ça c'est un problème dans la tête des gens, pas dans la technique. Bloquer le copier/coller, ça me paraît idiot en tant qu'anti-bot, surtout que comme suggéré sur twitter, il suffit d'outrepasser le .js pour pouvoir faire des tentatives, au final ça n'emmerde que les gens qui veulent utiliser un gestionnaire de mots de passe :)
En même temps, comme cela a été dit ailleurs, on a peu de risques de fraude à l'identité sur un téléservice qui permet de payer ses impôts, le mot de passe est essentiellement une mesure de lutte contre la "nuisance" sur internet.
Je n'ai pas forcément envie que les infos qu'on y trouve (déclarations de TVA, d'IS, contenant mon identité, les parts, mes revenus, et l'intégralité du bilan) se retrouvent ailleurs qu'entre mes mains, celles de mon comptable et le fisc. Donc, désolé, mais cet argument là n'est pas du tout recevable. C'est justement un bout d'Internet que j'ai envie de protéger *beaucoup* plus que mon compte Twitter.
Donc, laisser la possibilité de faire du c/c, forcer les mdp forts si vous voulez (mais sans mettre une limite sur les caractères utilisables ou la taille (ou alors bien large, genre 256), et aussi (surtout ?) ajouter la possibilité de faire une validation en deux étapes avec une app quelconque, pour renforcer la sécu. Mais pas interdire le c/c, ça pousse justement les gens à utiliser un mot de passe faible et facilement tapotable, et en plus ça le rend lisible par un keylogger !
Arnaud.
Le 02/04/2015 03:28, Arnaud Launay a écrit :
Mettez une captcha, si c'est juste pour éviter qu'un bot tape à la porte de vos serveurs...
Depuis quand un captcha bloque un bot ? C'est nouveau ??
Ou encore mieux, au bout de mettons 5 essais foireux, un timer de 60 secondes avant de pouvoir retenter.
Mieux oui.
Une méthode simple qui marche entre entreprises quand on doit accéder à des informations sensibles c'est la limitation d'accès de chaque compte. Ainsi lors de la création du login ou par la suite, on déclare les adresses ip (v4 mais surtout v6) autorisées à se connecter avec cet identifiant et le problème des bots est réglé (bon je passe le fait qu'un employé derrière une de ces ip fasse un bot pour brut force l'accès au compte, le risque est faible).
Tant que j'y suis je déteste aussi toute forme de mot de passe visuel qui n'est pas du tout sécurisant dans un bureau avec des yeux partout autour et même à titre perso je suis sur que ma femme connaît mes identifiants mdp de ma banque pour mon compte perso à force d'être à côté de moi pour faire les comptes ... alors qu'un copier coller d'un mot de passe complexe rend impossible la captation de mot de passe à la volée.
Le 02/04/2015 02:00, Stephane Martin a écrit :
De mémoire, la désactivation du copier/coller est une mesure de protection contre les bots (j'ai pas dit que c'était efficace...)
Le problème de l'absence de règle de complexité sur les mots de passe du portail pro a été identifié et remonté il y a quelques semaines, c'est normalement dans le pipe.
En même temps, comme cela a été dit ailleurs, on a peu de risques de fraude à l'identité sur un téléservice qui permet de payer ses impôts, le mot de passe est essentiellement une mesure de lutte contre la "nuisance" sur internet.
J'espère qu'on parviendra à rendre tout cela plus ergonomique dans les mois à venir, notamment dans le cadre du projet FranceConnect et de l'entrée en vigueur du règlement européen EIDAS.
Si d'autres bizarreries sont constatées sur les téléservices du ministère, vous pouvez les remonter sur mon adresse pro (prenom dot nom at finances dot gouv dot fr), on les routera aux DSI en charge.
Bien cordialement, Stéphane Martin (RSSI MINEFI)
Arnaud Launay a écrit :
Tu as aussi le problème que j'ai soulevé cet après-midi si tu veux t'amuser encore un peu plus:
https://twitter.com/asl/status/582837760022749184
Arnaud. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Hello,
Une méthode simple qui marche entre entreprises quand on doit accéder à des informations sensibles c'est la limitation d'accès de chaque compte. Ainsi lors de la création du login ou par la suite, on déclare les adresses ip (v4 mais surtout v6) autorisées à se connecter avec cet identifiant et le problème des bots est réglé (bon je passe le fait qu'un employé derrière une de ces ip fasse un bot pour brut force l'accès au compte, le risque est faible).
v6 et grandes entreprises... #joker. Ceci dit, je suis 100% d'accord avec cette méthode utilisée. J'ajoute dans mon coté un certificat par personnes dans certains cas (eg. clef ssh).
Tant que j'y suis je déteste aussi toute forme de mot de passe visuel qui n'est pas du tout sécurisant dans un bureau avec des yeux partout autour et même à titre perso je suis sur que ma femme connaît mes identifiants mdp de ma banque pour mon compte perso à force d'être à côté de moi pour faire les comptes ... alors qu'un copier coller d'un mot de passe complexe rend impossible la captation de mot de passe à la volée.
100% d'accord avec toi, mais c'est tellement le bout de sparadrap pour tenir une plaie qui pisse le sang que ça sert à rien. Alors que des OTP hardware (RSA ou bien d'autres) suffisent pour gérer ce genre de choses. En France, on eu toujours du retard avec la technologie... Ceci est un bel exemple.
Exemple de OTP + banque : Bank Of China (en France) le propose par défaut... Alors que la Chine est censé être un pays moins développé que nous (j'avais ce compte avec mon épouse en 2012-2013, plus maintenant pour des raisons perso, mais c'est quand même la seule banque qui propose ça...).
Xavier
Ciao
Pour rappel en tant que particulier on avait droit à une authentification par certificat, il y a un temps. Mais cela a été retiré car trop en pointe par rapport aux usages réels. Comprendre pas grand monde arrivait à conserver le certificat d'une déclaration à l'autre.
On est des geeks qu'on le veuille ou non (en tant qu'entreprises ou individus), les impôts ne s'adressent pas à nous en particulier et en plus on est une toute petite partie du public cible. Par exemple le truc de geek de valider par IP un login; ça marche là où les FAI (pro/perso) fournissent de l'IP fixes et ce n'est pas partout le cas.
Si on prend en compte une vision à court terme (si les décisions changent d'une année sur l'autre) et que la pyramide décisionnelle est haute, ça doit limiter les marges de manœuvres.
Vu les remarques c'est imparfait, c'est perfectible et c'est pris en compte pour s'améliorer. Je trouve que c'est pas si mal vu le contexte.
Km
On Thu, Apr 2, 2015, at 13:03, Xavier Beaudouin wrote:
Hello,
Une méthode simple qui marche entre entreprises quand on doit accéder à des informations sensibles c'est la limitation d'accès de chaque compte. Ainsi lors de la création du login ou par la suite, on déclare les adresses ip (v4 mais surtout v6) autorisées à se connecter avec cet identifiant et le problème des bots est réglé (bon je passe le fait qu'un employé derrière une de ces ip fasse un bot pour brut force l'accès au compte, le risque est faible).
Restrictions par IP c'est un peu l'assurance a plus jamais pouvoir toucher au rien cote reseau. Been there, done that. Faire comprendre a des presta externes qu'on peut se connecter a partir d'un /20 ... /24 - pas possible. En IPv6 ca va juste empirer. Bonjour pour leur expliquer que tu te connectes a partir d'un /64 voire pire, d'un /56 ou /48 - encore moins possible.
Exemple de OTP + banque : Bank Of China (en France) le propose par défaut... Alors que la Chine est censé être un pays moins développé que nous (j'avais ce compte avec mon épouse en 2012-2013, plus maintenant pour des raisons perso, mais c'est quand même la seule banque qui propose ça...).
HSBC faisait ca en France pour les entreprises il y a deja quelques annees.
Le 7 avril 2015 17:45, Radu-Adrian Feurdean frsag@radu-adrian.feurdean.net a écrit :
Restrictions par IP c'est un peu l'assurance a plus jamais pouvoir toucher au rien cote reseau. Been there, done that. Faire comprendre a des presta externes qu'on peut se connecter a partir d'un /20 ... /24 - pas possible. En IPv6 ca va juste empirer. Bonjour pour leur expliquer que tu te connectes a partir d'un /64 voire pire, d'un /56 ou /48 - encore moins possible.
Et encore tu as de la chance de pouvoir leur donner des notations CIDR. Je travaille avec plusieurs partenaires qui n'acceptent que des IP seules, et quand je leur donne des tranches IP, refusent d'ajouter 1024 ACLs à leur système. Avec IPv6 ça va être drôle.
Olivier
On Tue, Apr 7, 2015, at 17:49, Olivier wrote:
Le 7 avril 2015 17:45, Radu-Adrian Feurdean
Restrictions par IP c'est un peu l'assurance a plus jamais pouvoir toucher au rien cote reseau. Been there, done that. Faire comprendre a des presta externes qu'on peut se connecter a partir d'un /20 ... /24 - pas possible.
Et encore tu as de la chance de pouvoir leur donner des notations CIDR. Je travaille avec plusieurs partenaires qui n'acceptent que des IP seules, et quand je leur donne des tranches IP, refusent d'ajouter 1024 ACLs à leur système. Avec IPv6 ça va être drôle.
C'est exactement l'experience qu j'ai eu a plusieurs reprises. Tu peux toujours leur donner un CIDR, mais quelque-part des droides transforment ca dans des IP-par-IP, et la, meme un bloc de 256 (/24) ca ne passe pas.
Hello,
Une méthode simple qui marche entre entreprises quand on doit accéder à des informations sensibles c'est la limitation d'accès de chaque compte. Ainsi lors de la création du login ou par la suite, on déclare les adresses ip (v4 mais surtout v6) autorisées à se connecter avec cet identifiant et le problème des bots est réglé (bon je passe le fait qu'un employé derrière une de ces ip fasse un bot pour brut force l'accès au compte, le risque est faible).
Restrictions par IP c'est un peu l'assurance a plus jamais pouvoir toucher au rien cote reseau. Been there, done that. Faire comprendre a des presta externes qu'on peut se connecter a partir d'un /20 ... /24 - pas possible.
On y arrive, mais c'est difficile a faire comprendre c'est sûr.
En IPv6 ca va juste empirer. Bonjour pour leur expliquer que tu te connectes a partir d'un /64 voire pire, d'un /56 ou /48 - encore moins possible.
Bah déjà que les *gens* aient IPv6 ca sera déjà un challenge... Quand on voit que j'ai eu a debogger des trucs comme "ces ip 10.10.3.x c'est vous ?", non on sort avec "172.16.52.1/32", "ah bon"... (il y a avais 5 NAT...).
Exemple de OTP + banque : Bank Of China (en France) le propose par défaut... Alors que la Chine est censé être un pays moins développé que nous (j'avais ce compte avec mon épouse en 2012-2013, plus maintenant pour des raisons perso, mais c'est quand même la seule banque qui propose ça...).
HSBC faisait ca en France pour les entreprises il y a deja quelques annees.
Pour les entreprises, mais pour les particuliers on a au choix: le pad virtuel que tout le monde peux voir en openspace, la carte OTP qu'on perds, ou ... le fax quand il est allumé (hein LCL et BNP).
Bref, la préhistoire... (heureusement que X25 a été éteins car je rajouterais 3615 LABANQUE a 90€ la minute).
Xavier
Bonjour,
Je vole le thread pour relancer sur un autre type de souci avec l'administration francaise :
J'ai recu il y a quelques temps de mon employeur l'invitation à m'inscrire sur http://www.moncompteformation.gouv.fr/. J'ai voulu m'inscrire avec mon adresse perso, configurée sur mon serveur perso, selon les recommandations de https://cipherli.st/ :
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1 smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1 smtp_tls_mandatory_ciphers = medium tls_medium_cipherlist = AES128+EECDH:AES128+EDH
Sauf que lorsque je m'inscris sur moncompteformation.gouv.fr, je ne recois pas le mail, et je trouve dans mes logs :
Apr 8 13:21:04 ks postfix/smtpd[13513]: connect from mailfrontcpfa2b.caissedesdepots.fr[158.156.163.73] Apr 8 13:21:04 ks postfix/smtpd[13513]: SSL_accept error from mailfrontcpfa2b.caissedesdepots.fr[158.156.163.73]: -1 Apr 8 13:21:04 ks postfix/smtpd[13513]: warning: TLS library problem: 13513:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:649: Apr 8 13:21:04 ks postfix/smtpd[13513]: lost connection after STARTTLS from mailfrontcpfa2b.caissedesdepots.fr[158.156.163.73] Apr 8 13:21:04 ks postfix/smtpd[13513]: disconnect from mailfrontcpfa2b.caissedesdepots.fr[158.156.163.73]
J'ai tenté d'envoyer un email à postmaster@caissedesdepots.fr, mais je n'ai aucun retour pour le moment :
Est-ce que la mauvaise conf est de mon coté ? Qui pourrais-je informer de l'autre coté ? J'ai vraiment pas envie de m'inscrire sur ce truc avec mon adresse gmail...
++ Nicolas
Le 2015-04-02 02:00, Stephane Martin a écrit :
De mémoire, la désactivation du copier/coller est une mesure de protection contre les bots (j'ai pas dit que c'était efficace...)
Le problème de l'absence de règle de complexité sur les mots de passe du portail pro a été identifié et remonté il y a quelques semaines, c'est normalement dans le pipe.
En même temps, comme cela a été dit ailleurs, on a peu de risques de fraude à l'identité sur un téléservice qui permet de payer ses impôts, le mot de passe est essentiellement une mesure de lutte contre la "nuisance" sur internet.
J'espère qu'on parviendra à rendre tout cela plus ergonomique dans les mois à venir, notamment dans le cadre du projet FranceConnect et de l'entrée en vigueur du règlement européen EIDAS.
Si d'autres bizarreries sont constatées sur les téléservices du ministère, vous pouvez les remonter sur mon adresse pro (prenom dot nom at finances dot gouv dot fr), on les routera aux DSI en charge.
Bien cordialement, Stéphane Martin (RSSI MINEFI)
Arnaud Launay a écrit :
Tu as aussi le problème que j'ai soulevé cet après-midi si tu veux t'amuser encore un peu plus:
https://twitter.com/asl/status/582837760022749184
Arnaud. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Salut Nicolas,
Je vole le thread pour relancer sur un autre type de souci avec l'administration francaise :
Y'en as d'autres :)
J'ai recu il y a quelques temps de mon employeur l'invitation à m'inscrire sur http://www.moncompteformation.gouv.fr/. J'ai voulu m'inscrire avec mon adresse perso, configurée sur mon serveur perso, selon les recommandations de https://cipherli.st/ :
<troll> Oula! ton serveur perso, mais tu te rends pas compte on peux pas dealer avec toutes les confs qui sont pas standard! Tu n'as pas un compte chez gmail pour qu'on puisse lire tes correspondances ? </troll>
Plus sérieusement, j'ai toujours eu du mal avec les administrations et leur gestion de la sécurité (vu des bases pour nous les geeks).... Et donc j'ai un compte gmail rien que pour ça.
Dommage d'en arriver là mais ils sont tellement formatés (mal) que vers la fin on craque.
Bon le gmail contient que des infos que l’État français a, avec le spam en plus. Donc au moins y a rien de très secret pour eux...
Xavier
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 04/30/2015 10:29 AM, Xavier Beaudouin wrote:
Salut Nicolas,
Je vole le thread pour relancer sur un autre type de souci avec l'administration francaise :
Y'en as d'autres :)
J'ai recu il y a quelques temps de mon employeur l'invitation à m'inscrire sur http://www.moncompteformation.gouv.fr/. J'ai voulu m'inscrire avec mon adresse perso, configurée sur mon serveur perso, selon les recommandations de https://cipherli.st/ :
<troll> Oula! ton serveur perso, mais tu te rends pas compte on peux pas dealer avec toutes les confs qui sont pas standard! Tu n'as pas un compte chez gmail pour qu'on puisse lire tes correspondances ? </troll>
Plus sérieusement, j'ai toujours eu du mal avec les administrations et leur gestion de la sécurité (vu des bases pour nous les geeks).... Et donc j'ai un compte gmail rien que pour ça.
Dommage d'en arriver là mais ils sont tellement formatés (mal) que vers la fin on craque.
Bon le gmail contient que des infos que l’État français a, avec le spam en plus. Donc au moins y a rien de très secret pour eux...
Plus sérieusement aussi, la configuration recommandée pour Postfix sur ce site est particulièrement peu compatible avec le monde réelle et assez peu justifiable. N'autoriser que TLSv1.2, c'est très radical. Et c'est d'ailleurs assez surprenant vu que dans les autres configurations proposées, ils ne sont pas aussi restrictifs.
Il suffit de regarder les autres configurations pour voir que généralement, ils ne désactivent que SSLv2 & SSLv3 (suffit de voir les config Apache, nginx & Lighttpd).
Je ne cherche en rien à excuser les manquements côté gouv.fr, mais, quand on n'accepte que le plus haut des protocoles en laissant de côté ceux qui sont quand même secure, on se met naturellement un peu à l'écart ;-).
À titre d'exemple : https://wiki.mozilla.org/Security/Server_Side_TLS
Just my two cents, - -- Pierre Schweitzer pierre@reactos.org System & Network Administrator Senior Kernel Developer ReactOS Deutschland e.V.
En pratique, il faut garder TLSv1 et TLSv1.1 Cordialement
On 30/04/2015 10:39, Christophe Grenier wrote:
En pratique, il faut garder TLSv1 et TLSv1.1 Cordialement
Ça sera probablement plus facile pour discuter en TLS avec caissedesdepots.fr : https://starttls.info/check/caissedesdepots.fr Question : les administrations arrivent-elles à communiquer entre elles ? (les mauvais standards sont-ils compatibles entre eux ?)
Cordialement,
JFB
Le 3/31/15 13:06, Julien Escario a écrit :
Mais que fait l'ANSSI ?
A ce sujet si quelqu'un sur cette liste à un contact chez eux je prendrais bien.
J'ai trouvé un service d'une agence (publique ?) sous tutelle de différents ministères qui leak des données personnelles. J'ai envoyé deux emails à contact@cert.ssi.gouv.fr il y a 8 mois restés sans réponse.
Je ne sais pas vraiment qui contacter à part l'ANSSI, et publier sur internet si c'est pour se faire bluetouffer non merci.
Surtout que divulguer une faille est me semble t'il interdis par la loi, le seul recours c'est l"ANSSI voir la CNIL si c'est des données perso.
Alexis
Le 7 avril 2015 19:15, Aurelgadjo aurelgadjo@gmail.com a écrit :
Le 3/31/15 13:06, Julien Escario a écrit :
Mais que fait l'ANSSI ?
A ce sujet si quelqu'un sur cette liste à un contact chez eux je prendrais bien.
J'ai trouvé un service d'une agence (publique ?) sous tutelle de différents ministères qui leak des données personnelles. J'ai envoyé deux emails à contact@cert.ssi.gouv.fr il y a 8 mois restés sans réponse.
Je ne sais pas vraiment qui contacter à part l'ANSSI, et publier sur internet si c'est pour se faire bluetouffer non merci.
Liste de diffusion du FRsAG http://www.frsag.org/
Que cela soit interdit, me semble un peu à la secu de l'autruche. Non ? ;-)
mh
Le 7 avril 2015 19:43:36 CEST, Alexis Lameire alexis.lameire@gmail.com a écrit :
Surtout que divulguer une faille est me semble t'il interdis par la loi, le seul recours c'est l"ANSSI voir la CNIL si c'est des données perso.
Alexis
Le 7 avril 2015 19:15, Aurelgadjo aurelgadjo@gmail.com a écrit :
Le 3/31/15 13:06, Julien Escario a écrit :
Mais que fait l'ANSSI ?
A ce sujet si quelqu'un sur cette liste à un contact chez eux je prendrais bien.
J'ai trouvé un service d'une agence (publique ?) sous tutelle de différents ministères qui leak des données personnelles. J'ai envoyé deux emails à contact@cert.ssi.gouv.fr il y a 8 mois restés sans
réponse.
Je ne sais pas vraiment qui contacter à part l'ANSSI, et publier sur internet si c'est pour se faire bluetouffer non merci.
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
http://www.doyoubuzz.com/var/f/HM/Du/HMDustB9bOlLhrnKUZmWCpyN-i46_P1xVJ2Gk7c...
Michael Hallgren a écrit :
Que cela soit interdit, me semble un peu à la secu de l'autruche. Non ? ;-)
mh
Le 7 avril 2015 19:43:36 CEST, Alexis Lameire alexis.lameire@gmail.com a écrit :
Surtout que divulguer une faille est me semble t'il interdis par la loi, le seul recours c'est l"ANSSI voir la CNIL si c'est des données perso. Alexis Le 7 avril 2015 19:15, Aurelgadjo <aurelgadjo@gmail.com <mailto:aurelgadjo@gmail.com>> a écrit : Le 3/31/15 13:06, Julien Escario a écrit : > Mais que fait l'ANSSI ? A ce sujet si quelqu'un sur cette liste à un contact chez eux je prendrais bien. J'ai trouvé un service d'une agence (publique ?) sous tutelle de différents ministères qui leak des données personnelles. J'ai envoyé deux emails à contact@cert.ssi.gouv.fr <mailto:contact@cert.ssi.gouv.fr> il y a 8 mois restés sans réponse. Je ne sais pas vraiment qui contacter à part l'ANSSI, et publier sur internet si c'est pour se faire bluetouffer non merci. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ ------------------------------------------------------------------------ Liste de diffusion du FRsAG http://www.frsag.org/
-- Envoyé de mon appareil Android avec K-9 Mail. Veuillez excuser ma brièveté.
Liste de diffusion du FRsAG http://www.frsag.org/
Je ne peut qu'être d'accord avec toi, néanmoins du point de vue de l'infrastructure faillible et de la loi cela est considérer comme de incitation a commettre un délit.
Cordialement Alexis Le 7 avr. 2015 20:41, "Stephane Martin" stephane.martin@vesperal.eu a écrit :
http://www.doyoubuzz.com/var/f/HM/Du/HMDustB9bOlLhrnKUZmWCpyN-i46_P1xVJ2Gk7c...
Michael Hallgren a écrit :
Que cela soit interdit, me semble un peu à la secu de l'autruche. Non ?
;-)
mh
Le 7 avril 2015 19:43:36 CEST, Alexis Lameire alexis.lameire@gmail.com a écrit :
Surtout que divulguer une faille est me semble t'il interdis par la loi, le seul recours c'est l"ANSSI voir la CNIL si c'est des données perso. Alexis Le 7 avril 2015 19:15, Aurelgadjo <aurelgadjo@gmail.com <mailto:aurelgadjo@gmail.com>> a écrit : Le 3/31/15 13:06, Julien Escario a écrit : > Mais que fait l'ANSSI ? A ce sujet si quelqu'un sur cette liste à un contact chez eux je prendrais bien. J'ai trouvé un service d'une agence (publique ?) sous tutelle de différents ministères qui leak des données personnelles. J'ai
envoyé
deux emails à contact@cert.ssi.gouv.fr <mailto:contact@cert.ssi.gouv.fr> il y a 8 mois restés sans
réponse.
Je ne sais pas vraiment qui contacter à part l'ANSSI, et publier
sur
internet si c'est pour se faire bluetouffer non merci. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
-- Envoyé de mon appareil Android avec K-9 Mail. Veuillez excuser ma
brièveté.
Liste de diffusion du FRsAG http://www.frsag.org/
Le 07/04/2015 20:41, Stephane Martin a écrit :
http://www.doyoubuzz.com/var/f/HM/Du/HMDustB9bOlLhrnKUZmWCpyN-i46_P1xVJ2Gk7c...
Merci Stephane ;-)
mh
Michael Hallgren a écrit :
Que cela soit interdit, me semble un peu à la secu de l'autruche. Non ? ;-)
mh
Le 7 avril 2015 19:43:36 CEST, Alexis Lameire alexis.lameire@gmail.com a écrit :
Surtout que divulguer une faille est me semble t'il interdis par la loi, le seul recours c'est l"ANSSI voir la CNIL si c'est des données perso. Alexis Le 7 avril 2015 19:15, Aurelgadjo <aurelgadjo@gmail.com <mailto:aurelgadjo@gmail.com>> a écrit : Le 3/31/15 13:06, Julien Escario a écrit : > Mais que fait l'ANSSI ? A ce sujet si quelqu'un sur cette liste à un contact chez eux je prendrais bien. J'ai trouvé un service d'une agence (publique ?) sous tutelle de différents ministères qui leak des données personnelles. J'ai envoyé deux emails à contact@cert.ssi.gouv.fr <mailto:contact@cert.ssi.gouv.fr> il y a 8 mois restés sans réponse. Je ne sais pas vraiment qui contacter à part l'ANSSI, et publier sur internet si c'est pour se faire bluetouffer non merci. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ ------------------------------------------------------------------------ Liste de diffusion du FRsAG http://www.frsag.org/
-- Envoyé de mon appareil Android avec K-9 Mail. Veuillez excuser ma brièveté.
Liste de diffusion du FRsAG http://www.frsag.org/
Hop,
Le Tue, Mar 31, 2015 at 09:06:56PM +0200, Julien Escario a écrit:
Aujourd'hui, ma comptable me demande de créer mon compte sur impots.gouv.fr.
Je déterre, parce qu'ils ont recommencé à faire un truc classe...
Le visionnage de vidéo *obligatoire* pour accéder au site...
Si encore yavait la croix pour virer, passe encore, mais là, ça dépasse les bornes. Et en plus en navigation privée et/ou avec filtrage des cookies, le visionnage est obligatoire A CHAQUE FOIS.
Qui est le malade qui a laissé passer ça ?
Arnaud.
Enorme, you made my day.
Si quelqu'un à le numéro de leur équipe marketing j'ai des clients à leur proposer :-)
Cordialement, Guillaume
Le 11 avril 2018 à 11:27, Arnaud Launay asl@launay.org a écrit :
Hop,
Le Tue, Mar 31, 2015 at 09:06:56PM +0200, Julien Escario a écrit:
Aujourd'hui, ma comptable me demande de créer mon compte sur
impots.gouv.fr.
Je déterre, parce qu'ils ont recommencé à faire un truc classe...
Le visionnage de vidéo *obligatoire* pour accéder au site...
Si encore yavait la croix pour virer, passe encore, mais là, ça dépasse les bornes. Et en plus en navigation privée et/ou avec filtrage des cookies, le visionnage est obligatoire A CHAQUE FOIS.
Qui est le malade qui a laissé passer ça ?
Arnaud.
Liste de diffusion du FRsAG http://www.frsag.org/
Ah oui, classe... Sur Youtube en plus, alors qu'ils leur font un procès...
David ----------------------- gpg: 0x1BD490507FA3BF7D ----------------------- Ce courrier électronique ne contient aucun virus ou logiciel malveillant parce qu'il a été rédigé avec des logiciels libres.<br /> Plus d'infos : Association APRIL : http://april.org
Le 11/04/2018 à 11:27, Arnaud Launay a écrit :
Hop,
Le Tue, Mar 31, 2015 at 09:06:56PM +0200, Julien Escario a écrit:
Aujourd'hui, ma comptable me demande de créer mon compte sur impots.gouv.fr.
Je déterre, parce qu'ils ont recommencé à faire un truc classe...
Le visionnage de vidéo *obligatoire* pour accéder au site...
Si encore yavait la croix pour virer, passe encore, mais là, ça dépasse les bornes. Et en plus en navigation privée et/ou avec filtrage des cookies, le visionnage est obligatoire A CHAQUE FOIS.
Qui est le malade qui a laissé passer ça ?
Arnaud.
Liste de diffusion du FRsAG http://www.frsag.org/
Le Wed, Apr 11, 2018 at 11:38:32AM +0200, David Delhoume [david@delhoume.eu] a écrit:
Ah oui, classe... Sur Youtube en plus, alors qu'ils leur font un procès...
Moi, Request-Policy a bloque des contenus "tiers" sur youtube.com, pas de video qui s'affiche, pas de soucis pour acceder a la page d'identification :)
Le trick du pauvre :
1. Ouvrir la console de debugging du navigateur (F12) 2. Aller dans l'onglet "Console" 3. Copier/coller la ligne suivante et l'exécuter :
$("#videoPAS_container").remove(); $("#prehome-modal").modal("hide");
On Wed, Apr 11, 2018 at 11:27:44AM +0200, Arnaud Launay wrote:
Hop,
Le Tue, Mar 31, 2015 at 09:06:56PM +0200, Julien Escario a écrit:
Aujourd'hui, ma comptable me demande de créer mon compte sur impots.gouv.fr.
Je déterre, parce qu'ils ont recommencé à faire un truc classe...
Le visionnage de vidéo *obligatoire* pour accéder au site...
Si encore yavait la croix pour virer, passe encore, mais là, ça dépasse les bornes. Et en plus en navigation privée et/ou avec filtrage des cookies, le visionnage est obligatoire A CHAQUE FOIS.
Qui est le malade qui a laissé passer ça ?
Arnaud.
Liste de diffusion du FRsAG http://www.frsag.org/
Le Wed, Apr 11, 2018 at 12:06:07PM +0200, Jeremie Le Hen a écrit:
Le trick du pauvre :
- Ouvrir la console de debugging du navigateur (F12)
- Aller dans l'onglet "Console"
- Copier/coller la ligne suivante et l'exécuter :
$("#videoPAS_container").remove(); $("#prehome-modal").modal("hide");
Le trick du riche:
cliquer sur ublock origin dégommer tout ce qui s'appelle youtube, ytimg, et xiti tant qu'à faire.
Ce qui n'empêche que c'est lamentable.
Arnaud.
Le 11/04/2018 à 12:24, Arnaud Launay a écrit :
Le trick du riche:
cliquer sur ublock origin dégommer tout ce qui s'appelle youtube, ytimg, et xiti tant qu'à faire.
Pour ma part je dégomme à la souris les div/calques "modal" en faisant un aperçu de ce que ça affiche avant.
Résultat, voilà les 2 div que j'ai masqué : www.impots.gouv.fr##.in.fade.modal-backdrop www.impots.gouv.fr###prehome-modal
On Wed, Apr 11, 2018, at 12:24, Arnaud Launay wrote:
Le Wed, Apr 11, 2018 at 12:06:07PM +0200, Jeremie Le Hen a écrit:
Le trick du pauvre :
- Ouvrir la console de debugging du navigateur (F12)
- Aller dans l'onglet "Console"
- Copier/coller la ligne suivante et l'exécuter :
$("#videoPAS_container").remove(); $("#prehome-modal").modal("hide");
Le trick du riche:
cliquer sur ublock origin dégommer tout ce qui s'appelle youtube, ytimg, et xiti tant qu'à faire.
Le trick rapide: 1. Click sur "espace profesionnel" en haut du video. 2. Click sur "espace personnel" en haut a droite. Il faut juste eviter de re-passer par la homepage.
Et oui, c'est toujours une misere.
A titre personnel depuis qu'il n'y a plus d'intérêt (la réduction de 10% au début du service en ligne y a quelques années), je redéclare en papier même si cela va devenir obligatoire.
Le papier le seul truc chiant c'était d'aller le poster ou le déposer au centre des impôts, pour le site au début c'était bien avec le certificat x509 mais madame Michu le perdait tous les 4 matins du coup ils sont passés aux références et mots de passe avec des champs où l'on ne peut faire de copier coller, du coup obligé de mettre un mot de passe faible ...
Bref le papier a de l'avenir, je me range volontiers dans la case petits vieux, l'année passée on m'a demandé pourquoi je l'avais pas fait en ligne, j'ai dit que j'avais pas Internet chez moi et qu'au travail je travaille donc je traite pas d'affaire personnelle.
On verra s'ils me redemandent cette année.
On 11/04/2018 11:27, Arnaud Launay wrote:
Hop,
Le Tue, Mar 31, 2015 at 09:06:56PM +0200, Julien Escario a écrit:
Aujourd'hui, ma comptable me demande de créer mon compte sur impots.gouv.fr.
Je déterre, parce qu'ils ont recommencé à faire un truc classe...
Le visionnage de vidéo *obligatoire* pour accéder au site...
Si encore yavait la croix pour virer, passe encore, mais là, ça dépasse les bornes. Et en plus en navigation privée et/ou avec filtrage des cookies, le visionnage est obligatoire A CHAQUE FOIS.
Qui est le malade qui a laissé passer ça ?
Arnaud.
Liste de diffusion du FRsAG http://www.frsag.org/
J'ai bien envie de faire pareil cet année surtout qu'ils n'ont pas de service IPv6 compliant...
De: "Wallace" wallace@morkitu.org À: "frsag" frsag@frsag.org Envoyé: Mercredi 11 Avril 2018 18:23:04 Objet: Re: [FRsAG] impots.gouv.fr, la classe
A titre personnel depuis qu'il n'y a plus d'intérêt (la réduction de 10% au début du service en ligne y a quelques années), je redéclare en papier même si cela va devenir obligatoire.
Le papier le seul truc chiant c'était d'aller le poster ou le déposer au centre des impôts, pour le site au début c'était bien avec le certificat x509 mais madame Michu le perdait tous les 4 matins du coup ils sont passés aux références et mots de passe avec des champs où l'on ne peut faire de copier coller, du coup obligé de mettre un mot de passe faible ...
Bref le papier a de l'avenir, je me range volontiers dans la case petits vieux, l'année passée on m'a demandé pourquoi je l'avais pas fait en ligne, j'ai dit que j'avais pas Internet chez moi et qu'au travail je travaille donc je traite pas d'affaire personnelle.
On verra s'ils me redemandent cette année.
On 11/04/2018 11:27, Arnaud Launay wrote:
Hop,
Le Tue, Mar 31, 2015 at 09:06:56PM +0200, Julien Escario a écrit:
Aujourd'hui, ma comptable me demande de créer mon compte sur impots.gouv.fr.
Je déterre, parce qu'ils ont recommencé à faire un truc classe...
Le visionnage de vidéo *obligatoire* pour accéder au site...
Si encore yavait la croix pour virer, passe encore, mais là, ça dépasse les bornes. Et en plus en navigation privée et/ou avec filtrage des cookies, le visionnage est obligatoire A CHAQUE FOIS.
Qui est le malade qui a laissé passer ça ?
Arnaud.
Liste de diffusion du FRsAG [ http://www.frsag.org/ | http://www.frsag.org/ ]
Liste de diffusion du FRsAG http://www.frsag.org/