Well-known ¿Security.txt?

Salut,

Si vous ne connaissez pas, ci-dessus la page WikipediA

#whitehat #security #PGP

Exemple de Acknowledgments : Au nom de plus de trois milliards d’utilisateurs, nous voulons remercier les personnes suivantes pour leurs signalements responsables…

Bonjour,

Oui c’est récent, la RFC a été publiée en avril 2022.

J’ajoute cet article :

La norme security.txt est désormais obligatoire pour les sites web du gouvernement […]
La norme de sécurité obligatoire s’applique à toutes les administrations, telles que le gouvernement national, les provinces, les municipalités et les agences de l’eau. Les autres organisations du secteur public sont invitées à appliquer la norme de toute urgence, indique le Digital Trust Center, l’organisation cybernétique du gouvernement Néerlandais (Europe).

J’ajoute ces liens :

MIT PGP Public Key Server - MIT PGP Public Key Server - PGP FAQ Index

PGP : Comment ça fonctionne
Pretty Good Privacy (qu’on pourrait traduire en français par « assez bon niveau de confidentialité »)
http://www.mit.edu/afs/sipb/project/doc/pgp/pgp.html

Si vous êtes familier avec les systèmes de cryptographie conventionnels, vous connaissez probablement l’idée d’une clé cryptographique. La clé est juste une donnée nécessaire pour chiffrer ou déchiffrer le message. La plupart des systèmes de cryptographie conventionnels sont conçus pour qu’un message soit chiffré à l’aide de la clé et que toute autre personne disposant de la même clé puisse déchiffrer et lire le message. Pour cette raison, il est très important que la clé soit gardée secrète et que seuls l’expéditeur et le destinataire prévu du message aient une copie de cette clé secrète.

PGP, cependant, est basé sur un système de cryptographie à clé publique, ce qui signifie qu’il fonctionne tout à fait différemment. Au lieu d’avoir une clé qui doit rester secrète, tout le monde a deux clés différentes, dont une seule est secrète. Une clé est appelée votre clé privée et une clé est appelée votre clé publique. Votre clé privée est secrète, connue de vous seul. Votre clé publique que vous montrez au monde, vous la donnez à tout le monde. Ensuite, lorsque vous souhaitez envoyer un message crypté à quelqu’un, vous le cryptez d’abord dans sa clé publique (qu’il vous a laissé voir, ainsi qu’à n’importe qui d’autre). Ensuite, vous leur donnez le message chiffré et ils le déchiffrent en utilisant leur propre clé secrète, la clé qu’eux seuls connaissent. Ainsi, par exemple, si Matthieu veut envoyer à Stan un message crypté, Matthieu crypte d’abord son message avec la clé publique de Stan et envoie ce message crypté à Stan. Stan utilise alors sa propre clé privée pour déchiffrer le message et peut lire ce que Matthew lui a envoyé.

FlowCrypt – Du chiffrement PGP facile à utiliser pour Gmail
Chiffrement des e-mails dans Microsoft 365
GitHub - Roundcube plugin adding OpenPGP support
GitHub - Zimbra OpenPGP Zimlet - PGP Email
OpenPGP in Thunderbird - HOWTO and FAQ | Thunderbird Help

oui aux Pays-Bas si on lit correctement l’article.

D’autant que je te rappelle qu’il n’y a pas d’agence de l’eau car ce sont des entreprises privées qui fournissent l’eau, ou les municipalités.
D’autant que « agence » c’est du droit privé, il n’y a pas d’administration qui sont des agence.

Ouais, c’est Européen - je ne suis pas une agence de gouvernement, pourtant je vais me créer un petit fichier « security.txt » ainsi qu’un fichier « humans.txt »

J’habite dans un village je t’assure il y a des gens du gouvernement, plutôt du département (ce n’est plus municipalité (donc locale), en tout cas dans la « Provence-Alpes-Côte d’Azur » c’est l’Eau d’azur . L’eau pure de nos montagnes leur dénomination.

C’est comme « agences gouvernementale », c’est privé

donc c’est bien ce que je dit: administration territoriale ce n’est pas le gouvernement qui est elle, l’administration d’état (la troisième administration française, c’est l’hospitalière).
Par ailleurs pour ce qui est de l’exemple que tu donnes c’est un EPIC mandaté par la Métropole (institution territoriale).

Ok @Zargos Merci dirais-je…

Moi je n’en sais rien.

Si tu me dis çà, çà doit être çà.

Qu’est-ce qu’une métropole EPCI ?

Selon l’article L5217-1 du code général des collectivités territoriales, une métropole est un Établissement Public de Coopération Intercommunale ( EPCI ) qui regroupe plusieurs communes « d’un seul tenant et sans enclave » qui s’associent au sein d’« un espace de solidarité pour élaborer et conduire ensemble un projet …

Par exemple le fichier « .well-known/security.txt » de LinkedIn.

Introduction
LinkedIn pense que des partenariats étroits avec des chercheurs en sécurité nous rendent tous plus sûrs. Les chercheurs en sécurité jouent un rôle essentiel dans notre écosystème en découvrant des vulnérabilités qui n’ont pas été découvertes au cours du processus de développement logiciel. Nous collaborons avec des chercheurs en sécurité pour mieux protéger nos millions de membres dans le monde.
Si vous êtes un chercheur en sécurité qui a découvert une vulnérabilité sur LinkedIn, nous voulons avoir de vos nouvelles. Vous pouvez soumettre un rapport en cliquant sur « Soumettre le rapport » sur cette page. Et si votre rapport concerne un produit ou un service qui entre dans le cadre de notre programme de primes, vous pouvez recevoir une récompense de prime.

dixit un site qui se permet de violer les données de ses utilisateurs pour par exemple générer des contacts qui n’ont pas été demandé.
C’est d’ailleurs pour ça que j’ai fermé mon compte.

Dommage que ce soit encore du vent qui ne sert au final qu’à se faire mousser.

Il y a des agences de l’Etat dans beaucoup de domaines et sous divers statut (service à compétence nationale, groupement d’intérêt public, établissement public à caractère administratif ou industriel et commercial) :

• Agences de l’Eau
• Agence des participation de l’Etat
• Agence pour l’informatique financière de l’État
• Agence du patrimoine immatériel de l’État
• Agence France Trésor
• Agence du travail d’intérêt général et de l’insertion professionnelle des personnes placées sous main de justice
• Agence nationale du sport
• Agence française pour le développement et la promotion de l’agriculture biologique
• Agence de l’environnement et de la maîtrise de l’énergie
• Agence française de développement
• Agence nationale pour la rénovation urbaine
• Agence nationale de sécurité du médicament et des produits de santé
• Agence pour l’enseignement français à l’étranger
• Agence de services et de paiement
• Agence nationale de l’habitat

Et concernant l’informatique :

• Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
• Agence du numérique

C’est pas une liste exhaustive, il y en a plein d’autre.

Oui mais justement ce sont des établissement de droits particuliers. Ce ne sont pas des administrations à par entière. Elles dépendent plu sou moins d’une administration de tutelle, mais les agents ne sont pas toujours des fonctionnaires de pleins droits.

Par exemple les régies de transports municipaux, comme c’est le cas dans ma ville, ne sont pas des fonctionnaires car la régie est une entreprise privée.
D’où la notion d’assimilé fonctionnaire.

Certaines ont été créé parce que le droit administratif ne leur permet pas de remplir toute leur mission.
D’autre pour des raisons idéologique de privatisation de service public. Dans c e cas, le plus emblématique c’est celui de pole-emploi, qui est un établissement de droit privé.

Autre exemple, l’agence de l’eau qui est un établissement public à caractère administratif. Les EPA comme les EPIC sont des services publics gérés selon les mêmes règles que les sociétés de droit privé.
Ce qui relève bien de ce que je disais.
L’AFD par exemple, a été pas mal critiqué et l’est toujours sur ses dérives. Dérives qu’une administration à par entière ne pourraient pas se permette. Ici un ,lien très explicite: Les dérives de l’aide française au développement | Mediapart.
Et ne vous y trompez pas, ce n’est malheureusement pas une exception.

Les agence sont des moyens de pouvoir faire du capitalisme et donc du profit avec des administration financées par les impôts des contribuables, qui n’en voient jamais les bénéfices car ceux-ci sont privatisés le plus souvent.

En gros, socialisation des investissement et des coûts, privatisation des bénéfices, ou comment faire du fric avec de l’argent public. sans parler des utilisation à des fins de détournements de fonds publics, comme avec l’AFD ou les agence de l’eau.

Je ne peux te laisser tenir ces propos

ça dépend. L’agence des participation de l’État est un service à compétence nationale (SCN), et donc une administration de plein droit (juridiquement). Les EPCA relève uniquement du droit public (code générale de la fonction public et non code du travail pour les agents, Code des relations entre le public et l’administration et non code du commerce pour les particulier, etc.)
C’est plus variable pour les GIP.
Les EPCI (qui ont une activité commerciale ou industrielle donc) sont de droit privé.

Non.
Les agences de l’Eau sont des EPCA et ne sont pas du tout gérées comme des entreprises :

• les « salariés » sont soit des fonctionnaires, soit des contractuels de droit publics (non soumis au code du travail mais au code général de la fonction publique) ;
• d’un point de vue financier, ils ne sont pas soumis aux obligation des entreprise mais à celles des administrations ;
• contrairement aux entreprises, elles ne fixent pas leur « tarifs », mais perçoivent des redevances dont le montant est fixé par l’État ;
• leur activité est déterminée par l’État, (via le Ministère de tutelle) à travers des conventions d’objectif et de moyen ;
• Et pour finir, c’est le tribunal administratif et non de commerce qui tranche les éventuels conflits.

Je ne suis pas un grand défenseur des agences publiques pour des raisons, par exemple, d’efficience (exercer la tutelle monopolise des moyens au niveau des ministères), de lisibilité pour les citoyens ou, dans de rare cas, de manque de contrôle sur les-dites agences.
Mais il est complètement faux de prétendre que ce ne sont pas des administrations. Comme dit plus haut les agences sous statut de SCN et les EPCA (le gros du bataillon) ont toutes les caractéristiques et prérogatives d’une administration.

Pardon j’ai effectivement fait une erreur, les EPA et les EPIC se distinguent effectivement, les EPIC sont de droit privé.

Je parlais spécifiquement de celles qui s’appellent « Agences ». Car globalement comme tu le dit elles nécessitent des moyens de tutelles qui seraient tout aussi bien utilise à faire le job directement. Elles sont souvent inefficaces (Agence du numérique par exemple). Elles coutent cher, et une bonne partie des fonds publics alloués finissent souvent d’une façon très douteuses (Etablissement Français du Sang, où le sang donné gracieusement, est ensuite monétisé et facturé à ces mêmes donneurs ou à l’état au prix fort) quand elles ne sonty pas clairement inutiles comme le signbale régulièrement la Cours des Comptes dans son rapport comme l’ Agence de financement des infrastructures de transport de France pour en citer une.

Tout cela reviend à dire, qu’il y a un tel nombre de ces structures, qu’il devient trtès difficile de savoir où vont réellement les fonds publics et sont autant de mannes pour les plus riches et les entreprises (Comme le crédit d’impôt de recherche très prisé des entreprises informatique, où même la secrétaire comptable signe le registre du personnel réalisant des actions de recherche dans l’année, désolé j’ai oublié le nom de cette niche mais ça reviendra car c’est malheureusement du vécu).

La France est une grande spécialiste de toutes ces entité par rapport à beaucoup d’autres pays. Mais que dire dans le pays qui compte à lui tout seul plus d’élus (locaux et nationaux) que la moitié des pays de l’Union européenne.

Tous ces établissement ne font que disperser massivement des fonds publique pour des résultats assez médiocre au regard du coût pour les contribuables.

pas si rare que cela malheureusement. Tous les exemples que j’ai donnés entrent dans cette catégorie (sauf Pole Emploi, mais là, c’est devenu une politique idéologique et non sociale)

On parlait d’quoi déjà

Sinon je m’instruis, merci à vous 2 @Mu et @Zargos - c’est bien connu (tout) çà

Bon weekend.