Le 28/01/2024 à 09h 05

Parce qu on peut pas tout faire pour surveiller qu un salarié bosse . Ce n est pas parce que le job est payé que c’est open bar pour la surveillances . La CNIL a motivé la sanction.

Ensuite vous semblez dire que ces mesures de protection des salariés pourrait favoriser les robots . C est fallacieux. Amazon remplacera les employés par des robots qu il y ait ce genre de sanction ou pas.

Question bonus ; pourquoi défendre des entreprises qui exploitent et favorisent le mal être au travail ? Ce genre de pratique devrait être interdite . C est comme si on demandait à un développeur de remplir un ticket Jira toutes les 10 minutes parce qu il commit pas assez vite . C est debile et déshumanisant

Le 27/01/2024 à 09h 25

Avec la politique très très à droite du gouvernement actuel non ce n’ est pas du tout une récupération politique honteuse.

Le 27/01/2024 à 09h 21

Pour le délai de détection c est pas choquant par contre . Ça peut être généralement beaucoup plus lent que ça.

Le 26/09/2023 à 05h 36

Bon courage à vous pour la suite et merci pour tout :)

Ah ça sent quand même la startup nation avec un job board sur welcome to the jungle et tout. Bon courage à ceux qui restent :)

Le 21/09/2023 à 20h 29

J’ai testé avec mes compte google et ça fonctionne très bien sur desktop.

sur mobile c’est moins concluant côté iphone. Il y’a un paquet d’application qui s’ouvre et avec laquelle je m’authentifie via mon compte google. Malheureusement l’authentification se fait via un navigateur embarqué dans l’app qui ne prend pas du tout en compte la passkey stocké dans 1password

Le 04/09/2023 à 18h 05

(reply:2150299:consommateurnumérique)

Quel est le lien entre ta réponse et mon commentaire ?

Je dis juste que normalement DSP2 ne prévoit pas la fourniture et le stockage des identifiants bancaires

Le 04/09/2023 à 06h 12

(quote:2149670:consommateurnumérique)
C’est pareil avec l’Open banking qui permet de rassembler tous ses comptes de différentes banques sur la même interface bancaire de banque en ligne : on fournit ses codes d’accès et sur ce coup-là, c’est permis par la règlementation européenne DSP2.

Tu fournis pas tes codes d accès normalement dans DSP2 . C est une authentification forte qui permet de générer des jetons Oauth2 ( généralement ) qui ont un périmètre d autorisation défini pendant l authentification.

Il n est normalement pas question de donner les identifiants bancaires

Le 01/07/2023 à 11h 50

OB a dit:

Ben le problème c’est que si une appli (bancaire ou autre) n’accepte QUE les téléphones supportés par les constructeurs (cad, pour moi, avec des maj de sécu régulière) , ben clairement vu l’état actuel du parc , soit tu obliges tes clients à changer de téléphone tous les 2 ans, soit tu élimines beaucoup de clients. Effectivement, la seule solution serait d’obliger les constructeurs à faire 5 ans de mises à jour…. (et comment s’assurer qu’ils font bien ces correctifs de sécu… ?)

C’est - à mon sens - là que le root de téléphone que VOUS considérez comme si dangereux est pour moi un point très positif : les OS alternatif genre linéage , eux, proposent des maj régulières pour tous les téléphones supportés et un mécanisme d’OTA - les tél rootés sont bien plus à jour que OS des constructeurs. Et ça permet justement de redonner vie à un tél qui sinon aurait fini à la poubelle.

Alors oui je comprends bien que dans l’absolu c’est pas dans l’intérêt des constructeurs (ni des banques, ni des opérateurs). Mais pour les gens c’est un avantage, pas un inconvénient.

En plus les téléphones récent signalent assez fortement que le téléphone est rooté (au démarrage avec un gros message en rouge ou orange). La manipulation pour passer le tel en debug , déverrouiller le bootloader puis installer une nouvelle image est quand même pas si triviale au point que la banque ait peur que jojo puisse le faire.

Je n’ai pas d’app bancaire sur mon téléphone. Mais à une époque celle de La Poste demandais absolument toute les permissions possible - au point que je me suis demandé si c’était pas un stagiaire qui avait rempli le manifeste - les permissions en question n’étant pour la plupart jamais utilisés par l’appli (mais aurait pu l’être par une maj , du coup). Il y avait notamment celle de “recouvrir” une autre app, la géoloc bien sur, le fait de remplacer l’app de messagerie, …

Mouais. Donc en fait c’est ce que je pensais , les banques se défient des opérateurs en les considérant incapable de fixer la sécurité de leurs réseaux et préfèrent faire des appli elles-même, avec N niveaux de sous-traitance.

Je me demande bien en qui j’ai le plus confiance… :-/

J’ai l’impression que les banques imaginent des hackers internationaux comme dans les films qui infiltrent des programmes espions secrètement dans le coeur des réseaux des opérateurs et profite des téléphones rootés pour voler les tokens bancaires. Alors que la majorité des “hack” c’est une alloteuse qui est assez habile en social engineering pour que mme michu lui file son code de l’appli bancaire par tel…

Excuse moi de te le dire comme ça mais tu as une sacré imagination pour ton dernier paragraphe. Tu fais un petit peu une fixette sur les banques non ? Pour les SMS, je n’ai pas dit que c’était les banques qui imposaient leur retrait. Leur retrait est imposé dans certains standard de sécurité qu’elles ne sont pas obligé de suivre. Pas mal de banque sont toujours friante du SMS alors que c’est vraiment un facteur d’authentification faible. Paypal me fait toujours de l’OTP par SMS. J’avais même auditer une banque qui reposait toute son authentification là dessus ( même pas de mot de passe). Elle n’a pas des masses apprécié ma remarque sur le sujet.

Tu parles comme si c’était les banques qui faisait la pluie et le beau temps en sécurité en terme de sécurité. Ce n’est pas le cas elles les subissent. Si elle pouvait donner des login mot de passe croit moi qu’elle le ferait c’est moins cher.

Concernant les téléphone rootés ça se discute. Pour moi le danger c’est que ça pétait ( j’utilie le passé parce que ça fait longtemps que je n’ai pas regardé ) la ségrégation et le système de permission entre application et ça représente un risque réèl. Mais croit mois que certains faisaient bien la tête quand ils voyaient ce finding parce que ça coute vraiment cher de faire la détection de root directement.

Pareil pour les vieux téléphones, ce n’était pas du tout un finding qui les arrangeait. Et je tiens à préciser que les remarques que je mettais dans les rapport n’étaient pas obligatoirement suivis. Je faisais juste mon travail de remonter les vulnérabilités. Et oui parfois les remédiation ont des conséquences sur l’utilisabilité.

Je ne suis pas un fan du secteur financier. Mais il n’y a pas “les banques”. Elles n’ont pas toutes le même niveau de sécurité et n’appliquait pas toutes les recommandations de la même manière. C’était une question de risque, de politique interne et bien sûr de régulation :) .

Pour la poste je suis pas étonné tiens

Le 30/06/2023 à 15h 38

SebGF a dit:

Non rien d’aussi compliqué, juste savoir si le formulaire de connexion utilisé sur le portail d’une banque, celui qui fait apparaître le clavier virtuel, peut être attaqué par brute force (c’est à dire tests multiples d’accès) comme d’importe quel autre formulaire de login/password.

Car côté client oui, je sais qu’ils sont vulnérables aux keyloggers qui auraient la capacité de screenshot le clic pour récupérer le code.

Mais après c’est peut être pas un vecteur d’attaque. C’était justement ma question, désolé si je l’exprime mal

Je ne peux pas répondre à ces questions. Je n’étais pas auditeur en France et le clavier numérique je ne suis jamais tombé dessus mais je dirais que oui c’est sensible comme tout autre authentification login/mot de passe. Sauf qu’ici t’es avec un mot de passe super faible. Autant dire que les mesures anti bruteforce sont vraiment nécéssaire.

Pour l’account locking je persiste à dire que ce n’est pas une très bonne méthode de protection et le risque de déni de service est connu et documenté au niveau des référentiel de sécurité logiciel. Deux exemples :

• https://owasp.org/www-community/controls/Blocking_Brute_Force_Attacks#:~:text=An%20attacker%20can%20cause%20a,depending%20on%20the%20error%20responses.


• Le MITRE attack framework y dédit un scénario et la mitigation est de proposer un “throttling” de la source plutôt qu’un lockout : https://capec.mitre.org/data/definitions/2.html

Je pense que ce n’est pas parce que des banques et des organisations utilisent ce mécanisme que c’est valide. La plupart des organisations obligent leurs utilisateurs à faire une rotation de mot de passe tous les 90 jours. C’est vraiment un antipattern bien documenté mais encore trop courant.

OB a dit:

Ben il me semble que c’est possible si je lis ça : https://www.banque-france.fr/stabilite-financiere/comite-national-des-moyens-de-paiement/faq-les-paiements-en-questions/les-changements-introduits-par-la-dsp2 (chapitre “ Le renforcement de la sécurité des paiements en ligne “)

Alors oui ça oblige la banque a supporter plusieurs systèmes. Mais le choix d’imposer une application reste un choix de leur part.

Et de plus, pour cette application c’est aussi un choix de leur part de refuser les téléphones rootés mais mis à jour comme d’accepter les téléphones non rootés mais sur un vieil android non patché…

Clairement le modèle de menace qu’ils envisagent me parait inadequat.

Ben tout dépends de la confiance que tu as dans la qualité de leur dev , de leurs process de gestion des risques & de leur réponse aux particuliers en cas de problèmes. Et de mon point de vu le danger provient davantage de l’appli bancaire et des données que la banque collecte (et ce qu’elle en fait) que d’un hack ciblé sur moi & mon terminal.

Perso je faisais des remarques à chaque fois qu’une app bancaire accepté les tel rooté . Mais je faisais également des remarques lorsqu’elle acceptait de s’installer sur des mobiles non supportés.

Concernant les permissions demandé je n’ai jamais vu d’abus et j’en ai analysé pas mal. Mais c’était à un instant ’t’ donc je ne prétends pas à l’exhaustivité des mon expérience. Mais je suis curieux tu as un exemple d’abus précis en tête ( sans forcément cité la banque ).

Concernant le SMS, il n’est plus considéré comme un facteur sécurisé pour les raisons que tu as
cité. Fragilité du protocole SS7 et fragilité des process de certains opérateurs qui permettait de faire du hijacking de carte SIM. Il y’a eu des affaires de wallet bitcoin volait qui ont largement contribué à jeter le discrédit sur ce facteur d’authentification. Il est plus facile je pense en tant que fournisseur d’identité et d’authentification de se débarrasser de cette méthode que de compter sur le fait que les opérateurs vont combler leurs lacune. En plus, Le NIST ne le recommande plus depuis au moins 2016. Ce n’est certes pas une autorité faisant fois ici mais leur recommandations finnissent souvent par arriver chez nous quand même.

Le 30/06/2023 à 09h 46

Je suis désolé mais je ne comprend pas le cas d usage . Tu peux expliquer ? Bruteforce à partir d où et pour quel objectif ?

Parce que si je suis un attaquant et que je veux récupérer des credentials côté client, il vaut mieux que j arrive à me mettre sur le poste client ou dans le navigateur de ma victime. Dans ce cas rien besoin de bruteforcer je dois juste attendre qu il entre le pin et récupérer les infos soit quand la requête part vert le serveur( peut être inutile si le pin sert à signer un challenge ) ou encore mieux directement en mémoire dans le navigateur. Ici même si le pin sert juste à résoudre un challenge à envoyer au serveur, il sera forcément un moment ou un autre manipuler en clair.

Je tape peut être à côté avec mon raisonnement mais je vois mal ce qu on peut accomplir avec un bruteforce côté client .

Le 30/06/2023 à 07h 11

Ah je suis désolé je m étais arrête à l article

Le 30/06/2023 à 06h 59

SebGF a dit:

Pour moi c’est un complément plus qu’une parade : X tentatives échouées, on bloque l’accès car potentiellement frauduleux. Cette méthode n’existe pas que dans le bancaire, à peu près toutes les gestions d’authent que j’ai connues en entreprise ont aussi ce mécanisme.

Ne travaillant pas à la DSI de ma banque, je ne suis pas en capacité de dire si cette mesure existe ou non. Bloquer la source est aussi une action complémentaire de mon point de vue. La réponse à un DDoS n’est pas que dans le bruteforce de l’authent, elle est générale sur un service en ligne (Azure en a encore fait les frais hier).

J’en profite pour poser une question, vu que tu semble avoir une bonne expérience sur le sujet, le clavier virtuel des portails des banques est-il attaquable par brute force ?

Pour le clavier virtuel tu peux préciser ta pensée ? L anti bruteforce se situe côté serveur avec le mécanisme de blocage de compte. Tu penses à une attaque côté client ?

Le 30/06/2023 à 05h 12

Je trouve dommage que l article ne parle pas de la rotation des mot de passe de 90 jours imposée dans beaucoup d organisation.

C est à présent considèré, au moins par le NIST, comme une mauvaise pratique de sécurité car les utilisateurs réutilisent leur mot de passe en ajoutant un préfixe ou un suffixe qui sont souvent un incrément ou la date de changement de mot de passe.

Le 30/06/2023 à 05h 04

A supprimer : doublon

Le 30/06/2023 à 05h 02

Tandhruil a dit:

Un peu comme un numéro de compte (en général masqué) et un code ?

Ma remarque était plutôt que lorsque je tape mon code de CB je fais en sorte de m’assurer qu’autour de moi personne ne regarde, je ne vois pas pourquoi il ne faudrait pas être aussi attentif pour se connecter à sa banque. Enfin, je ne connais pas d’opération financière à réaliser en ligne avec sa banque qui soit si impérieuse qu’il faille les réaliser dans la rue. A titre personnel, toutes mes opérations bancaires, je les fait à mon domicile ou dans mon hébergement (hôtel par exemple) quand je suis en déplacement ?

Euh alors . Vous êtes entrain de dire que les banques qui utilisent encore ce système de pad virtuel à 6 chiffre comme seul moyen d authentification ne sont pas négligeante ?

Vous comparez avec l authentification par carte bancaire mais ce n est pas du tout la même chose. L’authentification par carte bancaire est une vrai authentification à plusieurs facteurs.

Pour rappel une authentification par plusieurs facteurs doit permettre à l utilisateur de fournir des éléments pour être authentifier. Il doit fournir au moins deux elements de types différents . Les types sont :

• un élément que l on connaît


• un éléments que l on possède


• un élément qui nous constitue ( biométries )

Dans le cadre d un paiement DAB, il y a bien deux facteurs . La carte est un élément que l on possède et le PIN est un élément que l on connait. Il s agit bien d une authentification à multiple facteur assez secure.

Vous semblez dire que le numéro de compte est un facteur d authentification. Non il s agit d un facteur d identification pas nécessairement secret ( facile d accès ) et ne saurait être utilisé comme élément d authentification. Et même si c était possible ce ne serait pas un multiple facteur d authentification car ce serait un élément que l on connaît comme le pin.

Le mécanisme de lockout rend compliqué le bruteforce mais ce type d authentification est très sensible au malware ou aux attaque par homme du milieu.

Et de toute façon la RGPD et la régulation bancaire PSD2 impose de ne plus utilisé ce type d authentification car il n y a pas de multiple facteurs.

SebGF a dit:

Le code d’accès de ta banque est limité en nombre de tentatives normalement. Dans mon cas au bout de trois le compte est verrouillé. Et pour déverrouiller c’est soit service client, soit appli smartphone.

Si ce n’est pas le cas, change de banque.

Le blocage de compte est une mauvaise pratique qui ne doit pas être utilisé comme parade à une politique de mot de passe et d authentification merdique.

Bien que le blocage permette d éviter le bruteforce, il peut être détourner pour faire des attaques par déni de service.

Si en tant qu attaquant j arrive à bruteforce les identifiants , je peux imaginer un scénario où je scripte un robot qui fera des tentatives d authentification en boucle pour bloquer les comptes et crée une situation de déni de service pour les utilisateurs.

Quand j étais auditeur l authentification c était toujours gagnant

• pas de blocage de compte => risque de bruteforce


• blocage de compte => déni de service

La bonne réponse n est pas de bloquer le compte mais de bloquer la source des tentatives et mettre un monitoring efficace pour permettre à la DSI de prendre des mesures.

De toute façon les mécanismes de blocage de compte ou de source ne protège pas les mots de passe contre plusieurs classes d attaque. C est pour ça que je dis que le PIn a 6 chiffres c est pas du tout une bonne pratique. Il est acceptable uniquement s il y a du multiple facteur. De préférence de type yubikey ou TOTP app à la rigueur. Pas de SMS par contre.

Snark a dit:

J’ai toujours été effaré par la saisie du mot de passe de ma banque:

• Un code UNIQUEMENT numérique, de précisément 6 chiffres…


• Que tu dois saisir sur un clavier “visuel”, donc bien visible à l’écran ou tous les gens autour peuvent voir le mot de passe. Génial quand tu veux consulter tes comptes dans un lieu public.

Et ça choque personne….

Si si ça m interpelle d autant que ce n est pas conforme avec les régulations modernes

Le 23/06/2023 à 07h 28

Bah pourquoi pas faire poireauter des rachats à 70Gb dollars ? Ça leur fait les pieds à ces grosses boites

Le 23/06/2023 à 07h 17

Bof je trouve que ça commence quand même à faire beaucoup Betsheda et activision blizzard .

Je pense pas que ce soit intéressant de telle concentration.

Gentil et patient ? Je vois pas où est la gentillesse et la patience dans le fait de respecter des procédures …

Le 24/05/2023 à 08h 37

Du coup c est pas cool que la méthode de détection soit pas connu.

Si l adresse ip publique du foyer change ( par exemple reset de box ) faudrait pas avoir une détection de changement de foyer à cause de ça

Le 16/05/2023 à 08h 17

Cracker un password stocker en SHA 1 ou SHA2 c est pas la même que cracker un mot de passe en argon2

Le 16/05/2023 à 07h 43

SebGF a dit:

Parce qu’on a toujours pas compris que la sécurité IT ne repose pas sur une unique mesure mais sur un ensemble de pratiques ?

Un compte subissant un brute force doit être verrouillé au bout de X tentatives, c’est pas plus compliqué. Tout comme la source doit être géolocalisée pour détecter rapidement une tentative “anormale”. Les services en ligne qui intègrent ces pratiques sont malheureusement bien trop rares.

Je pense qu ici on parle de crackage offline, le lockout ne s’applique pas.

Sinon j aimais bien les formulaire d authentification quand je faisais des audit techniques :

Pas d account lockout :

• je disais que c était vulnérable au bruteforce
  Account lockout present


• je disais que c était vulnérable au deni de service automatisé.

Mais sinon l account lockout n est pas une bonne solution. Il vaut mieux throttler, exclure les IP et monitorer que complètement lockout l account

Le 01/04/2022 à 11h 40

Sauf que le controle n’est pas possible sans avoir à manipuler des données sensibles. Les mesures techniques sont trop facilement contournable. Il suffit de se géolocaliser ailleurs en tant qu’utilisateur.

Il faut aller au plus simple : mise en place d’un contrôle parental. Pourquoi toujours vouloir faire compliqué ?

Le 23/03/2022 à 09h 38

Je ne suis pas tes arguments. Je maintiens que se demander quel serait l’avis d’un seul homme c’est une starification de la science.

Et ouais je me méfie de livre dont le titre sert manifestement juste à attirer l’oeil. Je ne dis pas que je ne le lirais pas mais perso ça me refroidit.

Le 23/03/2022 à 07h 29

(reply:2062591:Trit’)

ça me choque un peu de mettre en avant l’avis d’un seul homme, autant chercheur qu’il soit, face à une méta-étude. J’aurais tendance à prendre la méta-étude plus ou sérieux dans le sens ou c’est une revue de plusieurs études.

La science c’est pas l’affaire d’un seul homme. Surtout quand on sort des livres avec des titres aussi racoleur en fait …. ça ne présage rien de bon pour la confiance.

Le 14/03/2022 à 11h 57

Bein je trouve que la vie est revenu comme avant. Je sors comme avant, je vois mes amis comme avant. Juste de temps en temps je dois mettre un masque et je devais montrer un QR code ( useless à mon avis mais c’est comme ça .

Mais là depuis quelques mois j’ai l’impression qu’on est pas mal revenu à la vie d’avant sur pas mal de point.

Le 06/03/2022 à 06h 40

Patch a dit:

Il n’y a pas à être “pour” ou “contre” le vaccin. Il y a à écouter la Science. et ce que la Science dit, c’est que le rapport bénéfice/risques est trèèèèès largement en faveur du vaccin. Point barre. Ni toi, ni moi, ni 99,9% de la population (antivaxx inclus) n’a pas compétences nécessaires pour en juger.

ça t’arrive souvent de prendre un extrait choisi de commentaire et de juge balancer une petite rhétorique simpliste dessus ?

Non je ne pense pas que ni toi ni moi somme compétent par contre toi et moi sommes capable de lire des vulgarisations scientifiques et je pense et de comprendre de cette façon les tenants et les aboutissants.

Et objectivement il y’a pas de mal à se méfier d’un vaccin à un instant T. Des accidents sur des produits vaccinales sont déjà arrivés ( Sanofi - Dengue) et il y’a pas de mal à se renseigner. Après c’est sûr faut pas persister quand toutes les parution scientifiques serieuses et que des millions d’injection montrent que c’est ok.

Et sinon en fait mon commentaire évoquait principalement le passe vaccinal et ses problèmes. Pas le vaccin en lui même.

Le 05/03/2022 à 14h 38

En outre j’ai passé sous silence une faiblesse majeur du pass vaccinal : C’est quand même une des rares fois qu’un simple QR code qui peut être facilement volé ( basiquement il y’a un risque de vol à chaque contrôle ) est utilisé pour donner des droits d’accès à certains lieu. Quelque chose d’aussi critique doit être réalisé avec un minimum de sécurité. D’un point de vue sécurité de l’information le passe vaccinal a un design vraiment faible. J’espère qu’on ne réitèrera pas cela.

Le 05/03/2022 à 14h 26

Ok donc il y’a que deux camps ? Ceux qui sont pour le vaccin et les anti vaccins ? Je comprend pas trop ta façon de pensé c’est super binaire.

Donc être contre le pass vaccinal fait de moi un idiot utile ? Alors que j’ai expliqué que j’étais pour une obligation vaccinal forte ?

Est-ce qu’on a encore le droit de penser de façon nuancer ou il faut choisir un camp ?

Et je connais de nombreuses personnes qui ont douté de l’ARN et qui l’ont exprimé. Ca ne les a pas empêchée de se faire vacciner parce qu’elles se méfiaient du COVID et j’irai pas à les traiter d’antivax. T’oserais ? Juste parce qu’elles émettent un doute ?

Faut vraiment brancher son cerveau parfois … Désolé de le dire comme ça mais la vie c’est pas 1 ou 0 .

Le 05/03/2022 à 08h 57

OlivierJ a dit:

Non même pas.

Les citoyens ont des droits et des devoirs (civiques), donc ne pas accomplir ses devoirs fait qu’ils sont de mauvais citoyens, oui. C’est juste factuel. Le rappeler ne te fait pas plaisir, tant pis assume. Le chef de l’État n’a fait que dire ce que beaucoup pensent (et disent aussi). Dans mon entourage pro et perso c’est plutôt le cas.

LOL pour les 2 phrases. On en est encore là en mars 2022 ? Et nia nia “antipass pas antivax”. Mais tu crois convaincre qui de la logique du truc ?

T’en n’as pas marre de relancer ces sujets alors que ça a déjà générés de centaines ou milliers de commentaires rien que sur NXI ? T’as même pas conscience d’être un troll ? T’as pas mieux à faire que de venir pourrir les commentaires ?

Il a pas tord cependant. On peut etre pour le vaccin et contre le pass. Perso j ai tanné toute la partie réfractaire de mon entourage à se faire vacciner et pourtant j ai vraiment un problème morale avec le pass. Deja présenté la vaccination comme un faux choix n était pas particulièrement intelligent.

J’aurais préféré un gouvernement qui assume et decrete l obligation vaccinale sinon forte amende. Il y avait des soucis constitutionnels à ça mais des changements auraient pu être fait avec beaucoup d efforts.

Donc stop aux raisonnements binaires. On peut etre contre le pass tout en étant vraiment très très favorable à la vaccination.

Le 18/02/2022 à 17h 07

Le nombre de faille mise à jour ? Avoir un grand nombre de failles mise à jour si c est en interne ou dans le cadre d un buf bounty ne devrait pas avoir d impact négatif sur le score j espere. C est plutôt un signe de bonne santé.

Le nombre de faille n est pas un indicateur pertinent. La façon de les traiter oui par contre.

Le 10/02/2022 à 12h 00

Le prix de 10 euro par mois m interpelles.
À mon avis à ce prix là il ne leur donne pas d aide pour réaliser une bonne stratégie de sauvegarde ou un plan de reprise d activité qui tienne la route.

Or pour une petite entreprise c est plus intéressant que des dashboards.

Le 24/01/2022 à 09h 26

jpaul a dit:

Oui, mais donc ? On vit extrêmement bien sans assistant vocal.

Je conçois que l’on puisse trouver ça utile, j’essaie pas de dire le contraire. Mais on n’est clairement pas sur de la technologie tellement révolutionnaire qu’elle mérite le sacrifice de l’intimité de son domicile. On parle d’un objet qui permet d’écouter de la musique, électrocuter ses enfants et fermer les volets sans lever son derrière. Mais la technologie d’avant où on levait son derrière fonctionne toujours.

Moi je vois aussi la possibilité par des gens qui ont des handicapes moteur mais toujours la parole d’utiliser des interfaces qui ne leur sont normalement pas accessibles.

Le 22/01/2022 à 09h 42

SIaelrod a dit:

cool amazon va encore ajouté un nouvelle appareille de surveillance qu’il faut acheté

Après c’est difficile d’avoir un assistant vocal digne de ce nom en version libre et facilement utilisable par le grand publique.

Le 13/01/2022 à 11h 23

fry a dit:

ce que tu dis est juste, seulement le vaccin à été vendu comme solution miracle et c’est là le plus gros souci à mon sens :

• d’un coté on nous dit “vaccinez-vous et reprenez une vie normale”


• de l’autre “ah mais non il faut une nouvelle dose et vous êtes quand même potentiellement contagieux donc gardez quand même vos distances et gestes barrières”

ces 2 discours opposés brisent la confiance qu’on peut avoir dans les déclarations des uns et des autres et la première à clairement poussé l’idée du “vaccin miracle” qui est de plus en plus fausse et personne n’a la franchise de dire, à minima, quelque chose comme “bon, ok on s’est gouré, le vaccin à des défauts (à savoir au moins une durée d’efficacité limitée et nécessitant un nombre non encore arrêté de doses, ainsi que le fait de pouvoir quand même être contagieux) mais pour le moment on n’a pas mieux”

le plus malheureux dans cette histoire, c’est que le passe vaccinal est clairement moins fiable sanitairement que le sanitaire. je m’explique : avec le vaccinal, on peut être vacciné mais contagieux (dans l’absolu, je n’avance pas de probabilité ou de % de chances, c’est une possibilité), avec le sanitaire (comprendre un test, si c’est un pass sanitaire car on est vacciné le problème est le même que le passe vaccinal) on sait qu’on n’est pas contagieux pendant un temps donné (dépendant de la fiabilité du test)

Ah oui je me souviens des postes de publicité qui disait que c’était LA solution pour retrouver une vie normale.

La propagande gouvernemental sur le sujet a été problématique et je les considère aussi comme responsable de l’attente démesuré des gens. C’est vrai j’aurai pu le préciser dans le premier message. Mais l’inculture scientifique des gens me consterne alors que les infos sont disponibles dans les premieres pages affiché par google ….

Le 13/01/2022 à 11h 13

Je ne sais pas s’ il faut vacciner la population tous les 4 mois suis pas médecin. L’OMS ne semble pas en phase avec cette stratégie non plus. En revanche même si l’OMS n’est pas ok avec ces doses de rappel à foison, elle n’a pas déclassé les vaccins pour autant. Le fait qu’il faille plusieurs dose ne dit rien sur le fait que ce soit un vaccin ou pas faut pas se tromper d’argumentaire.

Ces produits sont des vaccins vous pouvez faire du ouin ouin comme vous voulez ça changera pas ce fait.

Le 13/01/2022 à 10h 58

Gordonux a dit:

Apres avoir dit en conférence de presse que le traitement (4 doses, voire plus, ce n’est pas un vaccin pour moi) n’empêchait pas la transmission, instaurer un pass vaccinal…

C’est aussi pour ça qu’on en sort pas. Chacun a sa petite définition de ce qu’est un vaccin en niant toute réalité sur le sujet et en ayant une attente démeusuré du coup :

• La plupart des vaccins nécéssitent plusieurs doses. Certes celles pour la COVID semble pour l’instant devoir être très rapproché pour une éfficacité optimale mais ce n’est pas une raison suffisante pour dire que ce n’est pas un vaccin


• Les vaccins ne sont pas forcément immunisant. C’est à dire que beaucoup de vaccin n’empêche pas de contracter ou de transmettre la maladie par contre ils en atténuent beaucoup les effets.

Ce serait quand même bien de se renseigner un peu avant d’avoir des attentes disproportionnées sur ce que doit être un vaccin.

Le 07/01/2022 à 16h 26

Ceci dit ici vu les pré-requis il ne semble pas nécéssaire de faire un patching d’urgence

Le 03/01/2022 à 23h 17

Cumbalero a dit:

Je crois que la plupart des tricheurs utilisent un vrai passe mais en se refilant le QRCode. Il y a eu aussi pas mal d’imprudents qui ont pris leur attestation vaccinale en photo pour la balancer sur les rézosocio. C’est facile, c’est gratuit…

Il faut dire que la façon dont le pass a été conçu est un appel à se le faire voler. N’importe quel control peut théoriquement résulter à la perte d’un pass. Suffit d’un TACVerif modifier et un controleur malveillant peut se faire sa petite base de données. Sans control d’identité ce QR code n’est pas du tout sécurisé.

Le 28/12/2021 à 07h 32

SebGF a dit:

Je n’ai effectivement pas souvenir non plus d’avoir du justifier de mon identité après avoir souscrit à mon abonnement Sosh Fibre il y a quelques années.

Cependant, c’est potentiellement une faute des opérateurs s’ils ne le font pas : un mineur n’a pas le droit de souscrire à un contrat téléphonique ou Internet.

J’ai la sensation aussi que c’était une faute opérateur. Ceci dit j’ai essayé de me servir de la première facture pour justifier de mon domicile aupres de la mairie pour inscription sur les listes électorale. Ils étaient pas chaud chaud.

Mais honnêtement je vois maintenant comment des gens peuvent produire des à leur nom quand ils squattent un domicile qui n’est pas le leur

Cumbalero a dit:

C’est pourtant une obligation légale, y compris pour les cartes prépayées.

Oui mais en tout cas sur le fixe il y’a des lacunes on dirait. Je trouve même ça plus dangereux limite.

Le 27/12/2021 à 21h 45

Cumbalero a dit:

Certains services sont mêmes conditionnés à la présentation d’une pièce d’identité. Essaie d’ouvrir une ligne GSM sans présenter tes papiers par exemple.

Alors juste pour celle là. Quand j’ai emménagé j’ai appelé SFR pour souscrire un abonnement internet dans mon nouveau logement. J’ai pas envoyé un papier franchement ils m’ont tout ouvert comme ça sur simple déclaration. Alors c’était du fixe mais sur ça marche avec le mobile

Quelques mois plus tard j’ai changé pour orange. Mise à part le numéro de prise fibre dans mon logement je ne crois pas avoir donné ni un papier d’identité ni une prise fibre.

Le 23/12/2021 à 07h 27

Je vais peut être dire une connerie mais je trouve qu’il y’a des notions d’architecture réseaux qui sont rarement prise en compte dans les remédiations.

De mon point de vue si les serveurs impactés par la faille ont une liste blanche des adresses qu’il peuvent contacté sur Internet et si le type de trafic est limité à certains services (genre HTTP / HTTPS ) il y’a quand même moyen de considérer cette faille comme uniquement exploitable en interne. C’est déjà pas mal mais ça réduit l’urgence à patcher.

Le 16/12/2021 à 13h 52

fofo9012 a dit:

Comme les navigateurs font tout par défaut en HTTPS, à moins de modifier manuellement l’URL pour forcer HTTP personne ne va jamais voir la page du CSA.

Si le site porno implémente l entete HTTP Strict transport security. C est mort !

Le 14/12/2021 à 20h 39

Pourquoi ? À priori un simple changement dns suffira …

Le 14/12/2021 à 19h 49

Cumbalero a dit:

Il n’y a jamais eu (si je me trompe, n’hésite pas à me donner une source) de règle sur le passe au niveau européen. Déjà, tous les Etats membres ne l’ont pas adopté dans les mêmes conditions.

C’est le bordel dans les règles, on est d’accord, difficile de voir une grande cohérence (j’ai bien des exemples en tête). Mais il est normal que les règles changent en fonction de la situation. Là on est dans une phase haute de contamination, les hôpitaux commencent à se remplir de nouveaux, c’est logique que les règles ne soient plus les mêmes qu’il y a 3 mois.

On ne t’a pas entendu râler en août/septembre quand les règles étaient différentes, ais dans l’autre sens, parce que la courbe de contamination était au lus bas. Pourtant, ces règles avaient aussi et encore changé, non ?

Certe oui mais comment expliqué qu’à certains endroits les regles se durcissent et dans d’autres elles se relachent.

Exemple : Le virus continu de circuler, on ne ferme plus de classe s’il y’a seulement un élève positif ( il en faut 3) . C’est absurde.

Je râle souvent contre les changements de règle mais je me sens pas forcément obligé de le faire ici . J’ai beaucoup râler sur le pass vaccinal par exemple ( je suis pour une obligation vaccinal plus dur avec très forte amende plutôt que de faire peser la charge du contrôles sur les commerçants / organisateur d’évènements ).

Patch a dit:

Il faudrait faire des tests PCR quand on change décole? C’est un cas qui arrive rarement, tu en conviendras.

Je ne sais pas si je suis pas clair ou si tu me prends juste pour un con mais je vais développer dans le doute . Je pointe du doigt le manque de cohérence des règles en Général. Et je prenais l’exemple de l’école où les règles changent souvent et parfois de façon totalement stupide et incohérente ( voir l’exemple ci dessus).

Le 13/12/2021 à 17h 51

Patch a dit:

Je ne vois pas le rapport entre les écoles et les déplacements à l’étranger.

Le rapport est la cohérence des règles. Il n y en a pas …

Le 13/12/2021 à 00h 16

Il a pas tord c est quand meme contraire à ce qui a été annoncé au moment de sa mise en place et les regles sont toujours aussi floues et absurde.

Il y a qu a voir les écoles ….

Le 19/11/2021 à 16h 40

darkbeast a dit:

c’est pas inviolable non plus

C’est tellement pas inviolable que ça ne sert absolument à rien de l’activé . Seul la passphrase est une sécurité valable pour le WiFi la protection MAC se contourne toujours.

Le 17/11/2021 à 09h 26

Myifee a dit:

Sur Azure, tu peux utiliser les crédits prépayés (i.e., le trial de 150$) et bloquer la consommation : https://docs.microsoft.com/en-us/azure/cost-management-billing/manage/spending-limit

Merci je n’avais pas fait attention quand je l’ai utilisé il y’a deux ans. C’est le service qui m’a faitp erdre 200 balles

Le 16/11/2021 à 17h 55

Je profite un peu de ce thread pour demander. J’aimerais bien jouer avec les services cloud mais le fait de devoir mettre ma carte de crédit et me faire prélever à la consommation me freine juste pour des tests et j’ai peur des erreurs qui pourraient me couter gros.

Existe t’il des service cloud qui propose d’acheter un volume d’heure sans prélevement en cas de dépassement ?

Le 17/11/2021 à 09h 23

L utilisation du TLD de la Géorgie les soumet théoriquement a la loi georgienne pour ce service ?

Le 16/11/2021 à 17h 53

lanoux a dit:

Ah ? Et ? Ce sont-ils trompė ? Au vu du comportement d’enfants gâtés de nos concitoyens face à la vaccination le mot abruti me paraît même faible. Ma belle famille au Brésil nous regardait comme des extraterrestre à refuser l’injection et à tergiverser entre je veux du x moi du y et moi du z quand eux pleurait pour avoir ne serait-ce qu’une dose de vaccin chinois. Donc oui une très grosse génération d’abrutis et on avait une télé de qualité comparé à nos jours

Oui ils ont tord parce que toutes les générations font ces critiques sur la suivante et c’est débile.

Tu es hors sujet il y’a pas eu tant de monde qui ont refusé les injections de tel ou tel vaccin.