Parce qu on peut pas tout faire pour surveiller qu un salarié bosse . Ce n est pas parce que le job est payé que c’est open bar pour la surveillances . La CNIL a motivé la sanction.
Ensuite vous semblez dire que ces mesures de protection des salariés pourrait favoriser les robots . C est fallacieux. Amazon remplacera les employés par des robots qu il y ait ce genre de sanction ou pas.
Question bonus ; pourquoi défendre des entreprises qui exploitent et favorisent le mal être au travail ? Ce genre de pratique devrait être interdite . C est comme si on demandait à un développeur de remplir un ticket Jira toutes les 10 minutes parce qu il commit pas assez vite . C est debile et déshumanisant
J’ai testé avec mes compte google et ça fonctionne très bien sur desktop.
sur mobile c’est moins concluant côté iphone. Il y’a un paquet d’application qui s’ouvre et avec laquelle je m’authentifie via mon compte google. Malheureusement l’authentification se fait via un navigateur embarqué dans l’app qui ne prend pas du tout en compte la passkey stocké dans 1password
Quel est le lien entre ta réponse et mon commentaire ?
Je dis juste que normalement DSP2 ne prévoit pas la fourniture et le stockage des identifiants bancaires
Le
04/09/2023 à
06h
12
(quote:2149670:consommateurnumérique) C’est pareil avec l’Open banking qui permet de rassembler tous ses comptes de différentes banques sur la même interface bancaire de banque en ligne : on fournit ses codes d’accès et sur ce coup-là, c’est permis par la règlementation européenne DSP2.
Tu fournis pas tes codes d accès normalement dans DSP2 . C est une authentification forte qui permet de générer des jetons Oauth2 ( généralement ) qui ont un périmètre d autorisation défini pendant l authentification.
Il n est normalement pas question de donner les identifiants bancaires
Ben le problème c’est que si une appli (bancaire ou autre) n’accepte QUE les téléphones supportés par les constructeurs (cad, pour moi, avec des maj de sécu régulière) , ben clairement vu l’état actuel du parc , soit tu obliges tes clients à changer de téléphone tous les 2 ans, soit tu élimines beaucoup de clients. Effectivement, la seule solution serait d’obliger les constructeurs à faire 5 ans de mises à jour…. (et comment s’assurer qu’ils font bien ces correctifs de sécu… ?)
C’est - à mon sens - là que le root de téléphone que VOUS considérez comme si dangereux est pour moi un point très positif : les OS alternatif genre linéage , eux, proposent des maj régulières pour tous les téléphones supportés et un mécanisme d’OTA - les tél rootés sont bien plus à jour que OS des constructeurs. Et ça permet justement de redonner vie à un tél qui sinon aurait fini à la poubelle.
Alors oui je comprends bien que dans l’absolu c’est pas dans l’intérêt des constructeurs (ni des banques, ni des opérateurs). Mais pour les gens c’est un avantage, pas un inconvénient.
En plus les téléphones récent signalent assez fortement que le téléphone est rooté (au démarrage avec un gros message en rouge ou orange). La manipulation pour passer le tel en debug , déverrouiller le bootloader puis installer une nouvelle image est quand même pas si triviale au point que la banque ait peur que jojo puisse le faire.
Je n’ai pas d’app bancaire sur mon téléphone. Mais à une époque celle de La Poste demandais absolument toute les permissions possible - au point que je me suis demandé si c’était pas un stagiaire qui avait rempli le manifeste - les permissions en question n’étant pour la plupart jamais utilisés par l’appli (mais aurait pu l’être par une maj , du coup). Il y avait notamment celle de “recouvrir” une autre app, la géoloc bien sur, le fait de remplacer l’app de messagerie, …
Mouais. Donc en fait c’est ce que je pensais , les banques se défient des opérateurs en les considérant incapable de fixer la sécurité de leurs réseaux et préfèrent faire des appli elles-même, avec N niveaux de sous-traitance.
Je me demande bien en qui j’ai le plus confiance… :-/
J’ai l’impression que les banques imaginent des hackers internationaux comme dans les films qui infiltrent des programmes espions secrètement dans le coeur des réseaux des opérateurs et profite des téléphones rootés pour voler les tokens bancaires. Alors que la majorité des “hack” c’est une alloteuse qui est assez habile en social engineering pour que mme michu lui file son code de l’appli bancaire par tel…
Excuse moi de te le dire comme ça mais tu as une sacré imagination pour ton dernier paragraphe. Tu fais un petit peu une fixette sur les banques non ? Pour les SMS, je n’ai pas dit que c’était les banques qui imposaient leur retrait. Leur retrait est imposé dans certains standard de sécurité qu’elles ne sont pas obligé de suivre. Pas mal de banque sont toujours friante du SMS alors que c’est vraiment un facteur d’authentification faible. Paypal me fait toujours de l’OTP par SMS. J’avais même auditer une banque qui reposait toute son authentification là dessus ( même pas de mot de passe). Elle n’a pas des masses apprécié ma remarque sur le sujet.
Tu parles comme si c’était les banques qui faisait la pluie et le beau temps en sécurité en terme de sécurité. Ce n’est pas le cas elles les subissent. Si elle pouvait donner des login mot de passe croit moi qu’elle le ferait c’est moins cher.
Concernant les téléphone rootés ça se discute. Pour moi le danger c’est que ça pétait ( j’utilie le passé parce que ça fait longtemps que je n’ai pas regardé ) la ségrégation et le système de permission entre application et ça représente un risque réèl. Mais croit mois que certains faisaient bien la tête quand ils voyaient ce finding parce que ça coute vraiment cher de faire la détection de root directement.
Pareil pour les vieux téléphones, ce n’était pas du tout un finding qui les arrangeait. Et je tiens à préciser que les remarques que je mettais dans les rapport n’étaient pas obligatoirement suivis. Je faisais juste mon travail de remonter les vulnérabilités. Et oui parfois les remédiation ont des conséquences sur l’utilisabilité.
Je ne suis pas un fan du secteur financier. Mais il n’y a pas “les banques”. Elles n’ont pas toutes le même niveau de sécurité et n’appliquait pas toutes les recommandations de la même manière. C’était une question de risque, de politique interne et bien sûr de régulation :) .
Pour la poste je suis pas étonné tiens
Le
30/06/2023 à
15h
38
SebGF a dit:
Non rien d’aussi compliqué, juste savoir si le formulaire de connexion utilisé sur le portail d’une banque, celui qui fait apparaître le clavier virtuel, peut être attaqué par brute force (c’est à dire tests multiples d’accès) comme d’importe quel autre formulaire de login/password.
Car côté client oui, je sais qu’ils sont vulnérables aux keyloggers qui auraient la capacité de screenshot le clic pour récupérer le code.
Mais après c’est peut être pas un vecteur d’attaque. C’était justement ma question, désolé si je l’exprime mal
Je ne peux pas répondre à ces questions. Je n’étais pas auditeur en France et le clavier numérique je ne suis jamais tombé dessus mais je dirais que oui c’est sensible comme tout autre authentification login/mot de passe. Sauf qu’ici t’es avec un mot de passe super faible. Autant dire que les mesures anti bruteforce sont vraiment nécéssaire.
Pour l’account locking je persiste à dire que ce n’est pas une très bonne méthode de protection et le risque de déni de service est connu et documenté au niveau des référentiel de sécurité logiciel. Deux exemples :
Je pense que ce n’est pas parce que des banques et des organisations utilisent ce mécanisme que c’est valide. La plupart des organisations obligent leurs utilisateurs à faire une rotation de mot de passe tous les 90 jours. C’est vraiment un antipattern bien documenté mais encore trop courant.
Alors oui ça oblige la banque a supporter plusieurs systèmes. Mais le choix d’imposer une application reste un choix de leur part.
Et de plus, pour cette application c’est aussi un choix de leur part de refuser les téléphones rootés mais mis à jour comme d’accepter les téléphones non rootés mais sur un vieil android non patché…
Clairement le modèle de menace qu’ils envisagent me parait inadequat.
Ben tout dépends de la confiance que tu as dans la qualité de leur dev , de leurs process de gestion des risques & de leur réponse aux particuliers en cas de problèmes. Et de mon point de vu le danger provient davantage de l’appli bancaire et des données que la banque collecte (et ce qu’elle en fait) que d’un hack ciblé sur moi & mon terminal.
Perso je faisais des remarques à chaque fois qu’une app bancaire accepté les tel rooté . Mais je faisais également des remarques lorsqu’elle acceptait de s’installer sur des mobiles non supportés.
Concernant les permissions demandé je n’ai jamais vu d’abus et j’en ai analysé pas mal. Mais c’était à un instant ’t’ donc je ne prétends pas à l’exhaustivité des mon expérience. Mais je suis curieux tu as un exemple d’abus précis en tête ( sans forcément cité la banque ).
Concernant le SMS, il n’est plus considéré comme un facteur sécurisé pour les raisons que tu as cité. Fragilité du protocole SS7 et fragilité des process de certains opérateurs qui permettait de faire du hijacking de carte SIM. Il y’a eu des affaires de wallet bitcoin volait qui ont largement contribué à jeter le discrédit sur ce facteur d’authentification. Il est plus facile je pense en tant que fournisseur d’identité et d’authentification de se débarrasser de cette méthode que de compter sur le fait que les opérateurs vont combler leurs lacune. En plus, Le NIST ne le recommande plus depuis au moins 2016. Ce n’est certes pas une autorité faisant fois ici mais leur recommandations finnissent souvent par arriver chez nous quand même.
Le
30/06/2023 à
09h
46
Oui c’est ça, côté client où le formulaire de login ferait l’objet d’attaques automatisées.
Je suis désolé mais je ne comprend pas le cas d usage . Tu peux expliquer ? Bruteforce à partir d où et pour quel objectif ?
Parce que si je suis un attaquant et que je veux récupérer des credentials côté client, il vaut mieux que j arrive à me mettre sur le poste client ou dans le navigateur de ma victime. Dans ce cas rien besoin de bruteforcer je dois juste attendre qu il entre le pin et récupérer les infos soit quand la requête part vert le serveur( peut être inutile si le pin sert à signer un challenge ) ou encore mieux directement en mémoire dans le navigateur. Ici même si le pin sert juste à résoudre un challenge à envoyer au serveur, il sera forcément un moment ou un autre manipuler en clair.
Je tape peut être à côté avec mon raisonnement mais je vois mal ce qu on peut accomplir avec un bruteforce côté client .
Le
30/06/2023 à
07h
11
C’est déjà expliqué en détail dans les deux actus (en lien dans cet article) sur les recommandations de la CNIL et de l’ANSSI
Ah je suis désolé je m étais arrête à l article
Le
30/06/2023 à
06h
59
SebGF a dit:
Pour moi c’est un complément plus qu’une parade : X tentatives échouées, on bloque l’accès car potentiellement frauduleux. Cette méthode n’existe pas que dans le bancaire, à peu près toutes les gestions d’authent que j’ai connues en entreprise ont aussi ce mécanisme.
Ne travaillant pas à la DSI de ma banque, je ne suis pas en capacité de dire si cette mesure existe ou non. Bloquer la source est aussi une action complémentaire de mon point de vue. La réponse à un DDoS n’est pas que dans le bruteforce de l’authent, elle est générale sur un service en ligne (Azure en a encore fait les frais hier).
J’en profite pour poser une question, vu que tu semble avoir une bonne expérience sur le sujet, le clavier virtuel des portails des banques est-il attaquable par brute force ?
Pour le clavier virtuel tu peux préciser ta pensée ? L anti bruteforce se situe côté serveur avec le mécanisme de blocage de compte. Tu penses à une attaque côté client ?
Le
30/06/2023 à
05h
12
Je trouve dommage que l article ne parle pas de la rotation des mot de passe de 90 jours imposée dans beaucoup d organisation.
C est à présent considèré, au moins par le NIST, comme une mauvaise pratique de sécurité car les utilisateurs réutilisent leur mot de passe en ajoutant un préfixe ou un suffixe qui sont souvent un incrément ou la date de changement de mot de passe.
Le
30/06/2023 à
05h
04
A supprimer : doublon
Le
30/06/2023 à
05h
02
Tandhruil a dit:
Un peu comme un numéro de compte (en général masqué) et un code ?
Ma remarque était plutôt que lorsque je tape mon code de CB je fais en sorte de m’assurer qu’autour de moi personne ne regarde, je ne vois pas pourquoi il ne faudrait pas être aussi attentif pour se connecter à sa banque. Enfin, je ne connais pas d’opération financière à réaliser en ligne avec sa banque qui soit si impérieuse qu’il faille les réaliser dans la rue. A titre personnel, toutes mes opérations bancaires, je les fait à mon domicile ou dans mon hébergement (hôtel par exemple) quand je suis en déplacement ?
Euh alors . Vous êtes entrain de dire que les banques qui utilisent encore ce système de pad virtuel à 6 chiffre comme seul moyen d authentification ne sont pas négligeante ?
Vous comparez avec l authentification par carte bancaire mais ce n est pas du tout la même chose. L’authentification par carte bancaire est une vrai authentification à plusieurs facteurs.
Pour rappel une authentification par plusieurs facteurs doit permettre à l utilisateur de fournir des éléments pour être authentifier. Il doit fournir au moins deux elements de types différents . Les types sont :
un élément que l on connaît
un éléments que l on possède
un élément qui nous constitue ( biométries )
Dans le cadre d un paiement DAB, il y a bien deux facteurs . La carte est un élément que l on possède et le PIN est un élément que l on connait. Il s agit bien d une authentification à multiple facteur assez secure.
Vous semblez dire que le numéro de compte est un facteur d authentification. Non il s agit d un facteur d identification pas nécessairement secret ( facile d accès ) et ne saurait être utilisé comme élément d authentification. Et même si c était possible ce ne serait pas un multiple facteur d authentification car ce serait un élément que l on connaît comme le pin.
Le mécanisme de lockout rend compliqué le bruteforce mais ce type d authentification est très sensible au malware ou aux attaque par homme du milieu.
Et de toute façon la RGPD et la régulation bancaire PSD2 impose de ne plus utilisé ce type d authentification car il n y a pas de multiple facteurs.
SebGF a dit:
Le code d’accès de ta banque est limité en nombre de tentatives normalement. Dans mon cas au bout de trois le compte est verrouillé. Et pour déverrouiller c’est soit service client, soit appli smartphone.
Si ce n’est pas le cas, change de banque.
Le blocage de compte est une mauvaise pratique qui ne doit pas être utilisé comme parade à une politique de mot de passe et d authentification merdique.
Bien que le blocage permette d éviter le bruteforce, il peut être détourner pour faire des attaques par déni de service.
Si en tant qu attaquant j arrive à bruteforce les identifiants , je peux imaginer un scénario où je scripte un robot qui fera des tentatives d authentification en boucle pour bloquer les comptes et crée une situation de déni de service pour les utilisateurs.
Quand j étais auditeur l authentification c était toujours gagnant
pas de blocage de compte => risque de bruteforce
blocage de compte => déni de service
La bonne réponse n est pas de bloquer le compte mais de bloquer la source des tentatives et mettre un monitoring efficace pour permettre à la DSI de prendre des mesures.
De toute façon les mécanismes de blocage de compte ou de source ne protège pas les mots de passe contre plusieurs classes d attaque. C est pour ça que je dis que le PIn a 6 chiffres c est pas du tout une bonne pratique. Il est acceptable uniquement s il y a du multiple facteur. De préférence de type yubikey ou TOTP app à la rigueur. Pas de SMS par contre.
Snark a dit:
J’ai toujours été effaré par la saisie du mot de passe de ma banque:
Un code UNIQUEMENT numérique, de précisément 6 chiffres…
Que tu dois saisir sur un clavier “visuel”, donc bien visible à l’écran ou tous les gens autour peuvent voir le mot de passe. Génial quand tu veux consulter tes comptes dans un lieu public.
Et ça choque personne….
Si si ça m interpelle d autant que ce n est pas conforme avec les régulations modernes
Cracker un password stocker en SHA 1 ou SHA2 c est pas la même que cracker un mot de passe en argon2
Le
16/05/2023 à
07h
43
SebGF a dit:
Parce qu’on a toujours pas compris que la sécurité IT ne repose pas sur une unique mesure mais sur un ensemble de pratiques ?
Un compte subissant un brute force doit être verrouillé au bout de X tentatives, c’est pas plus compliqué. Tout comme la source doit être géolocalisée pour détecter rapidement une tentative “anormale”. Les services en ligne qui intègrent ces pratiques sont malheureusement bien trop rares.
Je pense qu ici on parle de crackage offline, le lockout ne s’applique pas.
Sinon j aimais bien les formulaire d authentification quand je faisais des audit techniques :
Pas d account lockout :
je disais que c était vulnérable au bruteforce Account lockout present
je disais que c était vulnérable au deni de service automatisé.
Mais sinon l account lockout n est pas une bonne solution. Il vaut mieux throttler, exclure les IP et monitorer que complètement lockout l account
La nouvelle loi interdit de diffuser du porno sans être sûr qu’aucun mineur n’est au bout du fil.
Sauf que le controle n’est pas possible sans avoir à manipuler des données sensibles. Les mesures techniques sont trop facilement contournable. Il suffit de se géolocaliser ailleurs en tant qu’utilisateur.
Il faut aller au plus simple : mise en place d’un contrôle parental. Pourquoi toujours vouloir faire compliqué ?
Je ne suis pas tes arguments. Je maintiens que se demander quel serait l’avis d’un seul homme c’est une starification de la science.
Et ouais je me méfie de livre dont le titre sert manifestement juste à attirer l’oeil. Je ne dis pas que je ne le lirais pas mais perso ça me refroidit.
Le
23/03/2022 à
07h
29
(reply:2062591:Trit’)
ça me choque un peu de mettre en avant l’avis d’un seul homme, autant chercheur qu’il soit, face à une méta-étude. J’aurais tendance à prendre la méta-étude plus ou sérieux dans le sens ou c’est une revue de plusieurs études.
La science c’est pas l’affaire d’un seul homme. Surtout quand on sort des livres avec des titres aussi racoleur en fait …. ça ne présage rien de bon pour la confiance.
Bein je trouve que la vie est revenu comme avant. Je sors comme avant, je vois mes amis comme avant. Juste de temps en temps je dois mettre un masque et je devais montrer un QR code ( useless à mon avis mais c’est comme ça .
Mais là depuis quelques mois j’ai l’impression qu’on est pas mal revenu à la vie d’avant sur pas mal de point.
Il n’y a pas à être “pour” ou “contre” le vaccin. Il y a à écouter la Science. et ce que la Science dit, c’est que le rapport bénéfice/risques est trèèèèès largement en faveur du vaccin. Point barre. Ni toi, ni moi, ni 99,9% de la population (antivaxx inclus) n’a pas compétences nécessaires pour en juger.
ça t’arrive souvent de prendre un extrait choisi de commentaire et de juge balancer une petite rhétorique simpliste dessus ?
Non je ne pense pas que ni toi ni moi somme compétent par contre toi et moi sommes capable de lire des vulgarisations scientifiques et je pense et de comprendre de cette façon les tenants et les aboutissants.
Et objectivement il y’a pas de mal à se méfier d’un vaccin à un instant T. Des accidents sur des produits vaccinales sont déjà arrivés ( Sanofi - Dengue) et il y’a pas de mal à se renseigner. Après c’est sûr faut pas persister quand toutes les parution scientifiques serieuses et que des millions d’injection montrent que c’est ok.
Et sinon en fait mon commentaire évoquait principalement le passe vaccinal et ses problèmes. Pas le vaccin en lui même.
Le
05/03/2022 à
14h
38
En outre j’ai passé sous silence une faiblesse majeur du pass vaccinal : C’est quand même une des rares fois qu’un simple QR code qui peut être facilement volé ( basiquement il y’a un risque de vol à chaque contrôle ) est utilisé pour donner des droits d’accès à certains lieu. Quelque chose d’aussi critique doit être réalisé avec un minimum de sécurité. D’un point de vue sécurité de l’information le passe vaccinal a un design vraiment faible. J’espère qu’on ne réitèrera pas cela.
Le
05/03/2022 à
14h
26
Ok donc il y’a que deux camps ? Ceux qui sont pour le vaccin et les anti vaccins ? Je comprend pas trop ta façon de pensé c’est super binaire.
Donc être contre le pass vaccinal fait de moi un idiot utile ? Alors que j’ai expliqué que j’étais pour une obligation vaccinal forte ?
Est-ce qu’on a encore le droit de penser de façon nuancer ou il faut choisir un camp ?
Et je connais de nombreuses personnes qui ont douté de l’ARN et qui l’ont exprimé. Ca ne les a pas empêchée de se faire vacciner parce qu’elles se méfiaient du COVID et j’irai pas à les traiter d’antivax. T’oserais ? Juste parce qu’elles émettent un doute ?
Faut vraiment brancher son cerveau parfois … Désolé de le dire comme ça mais la vie c’est pas 1 ou 0 .
Le
05/03/2022 à
08h
57
OlivierJ a dit:
Non même pas.
Les citoyens ont des droits et des devoirs (civiques), donc ne pas accomplir ses devoirs fait qu’ils sont de mauvais citoyens, oui. C’est juste factuel. Le rappeler ne te fait pas plaisir, tant pis assume. Le chef de l’État n’a fait que dire ce que beaucoup pensent (et disent aussi). Dans mon entourage pro et perso c’est plutôt le cas.
LOL pour les 2 phrases. On en est encore là en mars 2022 ? Et nia nia “antipass pas antivax”. Mais tu crois convaincre qui de la logique du truc ?
T’en n’as pas marre de relancer ces sujets alors que ça a déjà générés de centaines ou milliers de commentaires rien que sur NXI ? T’as même pas conscience d’être un troll ? T’as pas mieux à faire que de venir pourrir les commentaires ?
Il a pas tord cependant. On peut etre pour le vaccin et contre le pass. Perso j ai tanné toute la partie réfractaire de mon entourage à se faire vacciner et pourtant j ai vraiment un problème morale avec le pass. Deja présenté la vaccination comme un faux choix n était pas particulièrement intelligent.
J’aurais préféré un gouvernement qui assume et decrete l obligation vaccinale sinon forte amende. Il y avait des soucis constitutionnels à ça mais des changements auraient pu être fait avec beaucoup d efforts.
Donc stop aux raisonnements binaires. On peut etre contre le pass tout en étant vraiment très très favorable à la vaccination.
Le nombre de faille mise à jour ? Avoir un grand nombre de failles mise à jour si c est en interne ou dans le cadre d un buf bounty ne devrait pas avoir d impact négatif sur le score j espere. C est plutôt un signe de bonne santé.
Le nombre de faille n est pas un indicateur pertinent. La façon de les traiter oui par contre.
Le prix de 10 euro par mois m interpelles. À mon avis à ce prix là il ne leur donne pas d aide pour réaliser une bonne stratégie de sauvegarde ou un plan de reprise d activité qui tienne la route.
Or pour une petite entreprise c est plus intéressant que des dashboards.
Oui, mais donc ? On vit extrêmement bien sans assistant vocal.
Je conçois que l’on puisse trouver ça utile, j’essaie pas de dire le contraire. Mais on n’est clairement pas sur de la technologie tellement révolutionnaire qu’elle mérite le sacrifice de l’intimité de son domicile. On parle d’un objet qui permet d’écouter de la musique, électrocuter ses enfants et fermer les volets sans lever son derrière. Mais la technologie d’avant où on levait son derrière fonctionne toujours.
Moi je vois aussi la possibilité par des gens qui ont des handicapes moteur mais toujours la parole d’utiliser des interfaces qui ne leur sont normalement pas accessibles.
Le
22/01/2022 à
09h
42
SIaelrod a dit:
cool amazon va encore ajouté un nouvelle appareille de surveillance qu’il faut acheté
Après c’est difficile d’avoir un assistant vocal digne de ce nom en version libre et facilement utilisable par le grand publique.
ce que tu dis est juste, seulement le vaccin à été vendu comme solution miracle et c’est là le plus gros souci à mon sens :
d’un coté on nous dit “vaccinez-vous et reprenez une vie normale”
de l’autre “ah mais non il faut une nouvelle dose et vous êtes quand même potentiellement contagieux donc gardez quand même vos distances et gestes barrières”
ces 2 discours opposés brisent la confiance qu’on peut avoir dans les déclarations des uns et des autres et la première à clairement poussé l’idée du “vaccin miracle” qui est de plus en plus fausse et personne n’a la franchise de dire, à minima, quelque chose comme “bon, ok on s’est gouré, le vaccin à des défauts (à savoir au moins une durée d’efficacité limitée et nécessitant un nombre non encore arrêté de doses, ainsi que le fait de pouvoir quand même être contagieux) mais pour le moment on n’a pas mieux”
le plus malheureux dans cette histoire, c’est que le passe vaccinal est clairement moins fiable sanitairement que le sanitaire. je m’explique : avec le vaccinal, on peut être vacciné mais contagieux (dans l’absolu, je n’avance pas de probabilité ou de % de chances, c’est une possibilité), avec le sanitaire (comprendre un test, si c’est un pass sanitaire car on est vacciné le problème est le même que le passe vaccinal) on sait qu’on n’est pas contagieux pendant un temps donné (dépendant de la fiabilité du test)
Ah oui je me souviens des postes de publicité qui disait que c’était LA solution pour retrouver une vie normale.
La propagande gouvernemental sur le sujet a été problématique et je les considère aussi comme responsable de l’attente démesuré des gens. C’est vrai j’aurai pu le préciser dans le premier message. Mais l’inculture scientifique des gens me consterne alors que les infos sont disponibles dans les premieres pages affiché par google ….
Le
13/01/2022 à
11h
13
Tu connais d’autre “vaccins” qui nécessitent un “rappel” tous les 4 mois ? Désolé, mais “vacciner” 100% de la population tous les 4 mois ce n’est pas viable…
Je ne sais pas s’ il faut vacciner la population tous les 4 mois suis pas médecin. L’OMS ne semble pas en phase avec cette stratégie non plus. En revanche même si l’OMS n’est pas ok avec ces doses de rappel à foison, elle n’a pas déclassé les vaccins pour autant. Le fait qu’il faille plusieurs dose ne dit rien sur le fait que ce soit un vaccin ou pas faut pas se tromper d’argumentaire.
Ces produits sont des vaccins vous pouvez faire du ouin ouin comme vous voulez ça changera pas ce fait.
Le
13/01/2022 à
10h
58
Gordonux a dit:
Apres avoir dit en conférence de presse que le traitement (4 doses, voire plus, ce n’est pas un vaccin pour moi) n’empêchait pas la transmission, instaurer un pass vaccinal…
C’est aussi pour ça qu’on en sort pas. Chacun a sa petite définition de ce qu’est un vaccin en niant toute réalité sur le sujet et en ayant une attente démeusuré du coup :
La plupart des vaccins nécéssitent plusieurs doses. Certes celles pour la COVID semble pour l’instant devoir être très rapproché pour une éfficacité optimale mais ce n’est pas une raison suffisante pour dire que ce n’est pas un vaccin
Les vaccins ne sont pas forcément immunisant. C’est à dire que beaucoup de vaccin n’empêche pas de contracter ou de transmettre la maladie par contre ils en atténuent beaucoup les effets.
Ce serait quand même bien de se renseigner un peu avant d’avoir des attentes disproportionnées sur ce que doit être un vaccin.
Je crois que la plupart des tricheurs utilisent un vrai passe mais en se refilant le QRCode. Il y a eu aussi pas mal d’imprudents qui ont pris leur attestation vaccinale en photo pour la balancer sur les rézosocio. C’est facile, c’est gratuit…
Il faut dire que la façon dont le pass a été conçu est un appel à se le faire voler. N’importe quel control peut théoriquement résulter à la perte d’un pass. Suffit d’un TACVerif modifier et un controleur malveillant peut se faire sa petite base de données. Sans control d’identité ce QR code n’est pas du tout sécurisé.
Je n’ai effectivement pas souvenir non plus d’avoir du justifier de mon identité après avoir souscrit à mon abonnement Sosh Fibre il y a quelques années.
Cependant, c’est potentiellement une faute des opérateurs s’ils ne le font pas : un mineur n’a pas le droit de souscrire à un contrat téléphonique ou Internet.
J’ai la sensation aussi que c’était une faute opérateur. Ceci dit j’ai essayé de me servir de la première facture pour justifier de mon domicile aupres de la mairie pour inscription sur les listes électorale. Ils étaient pas chaud chaud.
Mais honnêtement je vois maintenant comment des gens peuvent produire des à leur nom quand ils squattent un domicile qui n’est pas le leur
Cumbalero a dit:
C’est pourtant une obligation légale, y compris pour les cartes prépayées.
Oui mais en tout cas sur le fixe il y’a des lacunes on dirait. Je trouve même ça plus dangereux limite.
Le
27/12/2021 à
21h
45
Cumbalero a dit:
Certains services sont mêmes conditionnés à la présentation d’une pièce d’identité. Essaie d’ouvrir une ligne GSM sans présenter tes papiers par exemple.
Alors juste pour celle là. Quand j’ai emménagé j’ai appelé SFR pour souscrire un abonnement internet dans mon nouveau logement. J’ai pas envoyé un papier franchement ils m’ont tout ouvert comme ça sur simple déclaration. Alors c’était du fixe mais sur ça marche avec le mobile
Quelques mois plus tard j’ai changé pour orange. Mise à part le numéro de prise fibre dans mon logement je ne crois pas avoir donné ni un papier d’identité ni une prise fibre.
Je vais peut être dire une connerie mais je trouve qu’il y’a des notions d’architecture réseaux qui sont rarement prise en compte dans les remédiations.
De mon point de vue si les serveurs impactés par la faille ont une liste blanche des adresses qu’il peuvent contacté sur Internet et si le type de trafic est limité à certains services (genre HTTP / HTTPS ) il y’a quand même moyen de considérer cette faille comme uniquement exploitable en interne. C’est déjà pas mal mais ça réduit l’urgence à patcher.
Comme les navigateurs font tout par défaut en HTTPS, à moins de modifier manuellement l’URL pour forcer HTTP personne ne va jamais voir la page du CSA.
Si le site porno implémente l entete HTTP Strict transport security. C est mort !
Le
14/12/2021 à
20h
39
Pourquoi ? À priori un simple changement dns suffira …
Il n’y a jamais eu (si je me trompe, n’hésite pas à me donner une source) de règle sur le passe au niveau européen. Déjà, tous les Etats membres ne l’ont pas adopté dans les mêmes conditions.
C’est le bordel dans les règles, on est d’accord, difficile de voir une grande cohérence (j’ai bien des exemples en tête). Mais il est normal que les règles changent en fonction de la situation. Là on est dans une phase haute de contamination, les hôpitaux commencent à se remplir de nouveaux, c’est logique que les règles ne soient plus les mêmes qu’il y a 3 mois.
On ne t’a pas entendu râler en août/septembre quand les règles étaient différentes, ais dans l’autre sens, parce que la courbe de contamination était au lus bas. Pourtant, ces règles avaient aussi et encore changé, non ?
Certe oui mais comment expliqué qu’à certains endroits les regles se durcissent et dans d’autres elles se relachent.
Exemple : Le virus continu de circuler, on ne ferme plus de classe s’il y’a seulement un élève positif ( il en faut 3) . C’est absurde.
Je râle souvent contre les changements de règle mais je me sens pas forcément obligé de le faire ici . J’ai beaucoup râler sur le pass vaccinal par exemple ( je suis pour une obligation vaccinal plus dur avec très forte amende plutôt que de faire peser la charge du contrôles sur les commerçants / organisateur d’évènements ).
Patch a dit:
Il faudrait faire des tests PCR quand on change décole? C’est un cas qui arrive rarement, tu en conviendras.
Je ne sais pas si je suis pas clair ou si tu me prends juste pour un con mais je vais développer dans le doute . Je pointe du doigt le manque de cohérence des règles en Général. Et je prenais l’exemple de l’école où les règles changent souvent et parfois de façon totalement stupide et incohérente ( voir l’exemple ci dessus).
Le
13/12/2021 à
17h
51
Patch a dit:
Je ne vois pas le rapport entre les écoles et les déplacements à l’étranger.
Le rapport est la cohérence des règles. Il n y en a pas …
Le
13/12/2021 à
00h
16
Il a pas tord c est quand meme contraire à ce qui a été annoncé au moment de sa mise en place et les regles sont toujours aussi floues et absurde.
C’est tellement pas inviolable que ça ne sert absolument à rien de l’activé . Seul la passphrase est une sécurité valable pour le WiFi la protection MAC se contourne toujours.
Sur Azure, tu peux utiliser les crédits prépayés (i.e., le trial de 150$) et bloquer la consommation : Microsoft
Merci je n’avais pas fait attention quand je l’ai utilisé il y’a deux ans. C’est le service qui m’a faitp erdre 200 balles
Le
16/11/2021 à
17h
55
Je profite un peu de ce thread pour demander. J’aimerais bien jouer avec les services cloud mais le fait de devoir mettre ma carte de crédit et me faire prélever à la consommation me freine juste pour des tests et j’ai peur des erreurs qui pourraient me couter gros.
Existe t’il des service cloud qui propose d’acheter un volume d’heure sans prélevement en cas de dépassement ?
Ah ? Et ? Ce sont-ils trompė ? Au vu du comportement d’enfants gâtés de nos concitoyens face à la vaccination le mot abruti me paraît même faible. Ma belle famille au Brésil nous regardait comme des extraterrestre à refuser l’injection et à tergiverser entre je veux du x moi du y et moi du z quand eux pleurait pour avoir ne serait-ce qu’une dose de vaccin chinois. Donc oui une très grosse génération d’abrutis et on avait une télé de qualité comparé à nos jours
Oui ils ont tord parce que toutes les générations font ces critiques sur la suivante et c’est débile.
Tu es hors sujet il y’a pas eu tant de monde qui ont refusé les injections de tel ou tel vaccin.
449 commentaires
Surveillance des salariés : la CNIL inflige une amende de 32 millions d’euros à Amazon
23/01/2024
Le 28/01/2024 à 09h 05
Parce qu on peut pas tout faire pour surveiller qu un salarié bosse . Ce n est pas parce que le job est payé que c’est open bar pour la surveillances . La CNIL a motivé la sanction.Ensuite vous semblez dire que ces mesures de protection des salariés pourrait favoriser les robots . C est fallacieux. Amazon remplacera les employés par des robots qu il y ait ce genre de sanction ou pas.
Question bonus ; pourquoi défendre des entreprises qui exploitent et favorisent le mal être au travail ? Ce genre de pratique devrait être interdite . C est comme si on demandait à un développeur de remplir un ticket Jira toutes les 10 minutes parce qu il commit pas assez vite . C est debile et déshumanisant
Avortement : en France aussi, les anti-choix diffusent de la désinformation
18/01/2024
Le 27/01/2024 à 09h 25
Avec la politique très très à droite du gouvernement actuel non ce n’ est pas du tout une récupération politique honteuse.Fuite de tests ADN : 23andMe n’a pas détecté l’attaque pendant cinq mois
26/01/2024
Le 27/01/2024 à 09h 21
Pour le délai de détection c est pas choquant par contre . Ça peut être généralement beaucoup plus lent que ça.Next INpact change de propriétaire : au revoir chère communauté ;-)
25/09/2023
Le 26/09/2023 à 05h 36
Bon courage à vous pour la suite et merci pour tout :)
Ah ça sent quand même la startup nation avec un job board sur welcome to the jungle et tout. Bon courage à ceux qui restent :)
Les passkeys sont à présent disponibles dans 1Password
21/09/2023
Le 21/09/2023 à 20h 29
J’ai testé avec mes compte google et ça fonctionne très bien sur desktop.
sur mobile c’est moins concluant côté iphone. Il y’a un paquet d’application qui s’ouvre et avec laquelle je m’authentifie via mon compte google. Malheureusement l’authentification se fait via un navigateur embarqué dans l’app qui ne prend pas du tout en compte la passkey stocké dans 1password
Boursorama demande les identifiants et mots de passe des impôts, la CNIL la met en demeure
30/08/2023
Le 04/09/2023 à 18h 05
Quel est le lien entre ta réponse et mon commentaire ?
Je dis juste que normalement DSP2 ne prévoit pas la fourniture et le stockage des identifiants bancaires
Le 04/09/2023 à 06h 12
Tu fournis pas tes codes d accès normalement dans DSP2 . C est une authentification forte qui permet de générer des jetons Oauth2 ( généralement ) qui ont un périmètre d autorisation défini pendant l authentification.
Il n est normalement pas question de donner les identifiants bancaires
[MàJ] Mots de passe : bilan des mauvaises pratiques des sites et services
30/06/2023
Le 01/07/2023 à 11h 50
Excuse moi de te le dire comme ça mais tu as une sacré imagination pour ton dernier paragraphe. Tu fais un petit peu une fixette sur les banques non ? Pour les SMS, je n’ai pas dit que c’était les banques qui imposaient leur retrait. Leur retrait est imposé dans certains standard de sécurité qu’elles ne sont pas obligé de suivre. Pas mal de banque sont toujours friante du SMS alors que c’est vraiment un facteur d’authentification faible. Paypal me fait toujours de l’OTP par SMS. J’avais même auditer une banque qui reposait toute son authentification là dessus ( même pas de mot de passe). Elle n’a pas des masses apprécié ma remarque sur le sujet.
Tu parles comme si c’était les banques qui faisait la pluie et le beau temps en sécurité en terme de sécurité. Ce n’est pas le cas elles les subissent. Si elle pouvait donner des login mot de passe croit moi qu’elle le ferait c’est moins cher.
Concernant les téléphone rootés ça se discute. Pour moi le danger c’est que ça pétait ( j’utilie le passé parce que ça fait longtemps que je n’ai pas regardé ) la ségrégation et le système de permission entre application et ça représente un risque réèl. Mais croit mois que certains faisaient bien la tête quand ils voyaient ce finding parce que ça coute vraiment cher de faire la détection de root directement.
Pareil pour les vieux téléphones, ce n’était pas du tout un finding qui les arrangeait. Et je tiens à préciser que les remarques que je mettais dans les rapport n’étaient pas obligatoirement suivis. Je faisais juste mon travail de remonter les vulnérabilités. Et oui parfois les remédiation ont des conséquences sur l’utilisabilité.
Je ne suis pas un fan du secteur financier. Mais il n’y a pas “les banques”. Elles n’ont pas toutes le même niveau de sécurité et n’appliquait pas toutes les recommandations de la même manière. C’était une question de risque, de politique interne et bien sûr de régulation :) .
Pour la poste je suis pas étonné tiens
Le 30/06/2023 à 15h 38
Je ne peux pas répondre à ces questions. Je n’étais pas auditeur en France et le clavier numérique je ne suis jamais tombé dessus mais je dirais que oui c’est sensible comme tout autre authentification login/mot de passe. Sauf qu’ici t’es avec un mot de passe super faible. Autant dire que les mesures anti bruteforce sont vraiment nécéssaire.
Pour l’account locking je persiste à dire que ce n’est pas une très bonne méthode de protection et le risque de déni de service est connu et documenté au niveau des référentiel de sécurité logiciel. Deux exemples :
Je pense que ce n’est pas parce que des banques et des organisations utilisent ce mécanisme que c’est valide. La plupart des organisations obligent leurs utilisateurs à faire une rotation de mot de passe tous les 90 jours. C’est vraiment un antipattern bien documenté mais encore trop courant.
Perso je faisais des remarques à chaque fois qu’une app bancaire accepté les tel rooté . Mais je faisais également des remarques lorsqu’elle acceptait de s’installer sur des mobiles non supportés.
Concernant les permissions demandé je n’ai jamais vu d’abus et j’en ai analysé pas mal. Mais c’était à un instant ’t’ donc je ne prétends pas à l’exhaustivité des mon expérience. Mais je suis curieux tu as un exemple d’abus précis en tête ( sans forcément cité la banque ).
Concernant le SMS, il n’est plus considéré comme un facteur sécurisé pour les raisons que tu as
cité. Fragilité du protocole SS7 et fragilité des process de certains opérateurs qui permettait de faire du hijacking de carte SIM. Il y’a eu des affaires de wallet bitcoin volait qui ont largement contribué à jeter le discrédit sur ce facteur d’authentification. Il est plus facile je pense en tant que fournisseur d’identité et d’authentification de se débarrasser de cette méthode que de compter sur le fait que les opérateurs vont combler leurs lacune. En plus, Le NIST ne le recommande plus depuis au moins 2016. Ce n’est certes pas une autorité faisant fois ici mais leur recommandations finnissent souvent par arriver chez nous quand même.
Le 30/06/2023 à 09h 46
Je suis désolé mais je ne comprend pas le cas d usage . Tu peux expliquer ? Bruteforce à partir d où et pour quel objectif ?
Parce que si je suis un attaquant et que je veux récupérer des credentials côté client, il vaut mieux que j arrive à me mettre sur le poste client ou dans le navigateur de ma victime. Dans ce cas rien besoin de bruteforcer je dois juste attendre qu il entre le pin et récupérer les infos soit quand la requête part vert le serveur( peut être inutile si le pin sert à signer un challenge ) ou encore mieux directement en mémoire dans le navigateur. Ici même si le pin sert juste à résoudre un challenge à envoyer au serveur, il sera forcément un moment ou un autre manipuler en clair.
Je tape peut être à côté avec mon raisonnement mais je vois mal ce qu on peut accomplir avec un bruteforce côté client .
Le 30/06/2023 à 07h 11
Ah je suis désolé je m étais arrête à l article
Le 30/06/2023 à 06h 59
Pour le clavier virtuel tu peux préciser ta pensée ? L anti bruteforce se situe côté serveur avec le mécanisme de blocage de compte. Tu penses à une attaque côté client ?
Le 30/06/2023 à 05h 12
Je trouve dommage que l article ne parle pas de la rotation des mot de passe de 90 jours imposée dans beaucoup d organisation.
C est à présent considèré, au moins par le NIST, comme une mauvaise pratique de sécurité car les utilisateurs réutilisent leur mot de passe en ajoutant un préfixe ou un suffixe qui sont souvent un incrément ou la date de changement de mot de passe.
Le 30/06/2023 à 05h 04
A supprimer : doublon
Le 30/06/2023 à 05h 02
Euh alors . Vous êtes entrain de dire que les banques qui utilisent encore ce système de pad virtuel à 6 chiffre comme seul moyen d authentification ne sont pas négligeante ?
Vous comparez avec l authentification par carte bancaire mais ce n est pas du tout la même chose. L’authentification par carte bancaire est une vrai authentification à plusieurs facteurs.
Pour rappel une authentification par plusieurs facteurs doit permettre à l utilisateur de fournir des éléments pour être authentifier. Il doit fournir au moins deux elements de types différents . Les types sont :
Dans le cadre d un paiement DAB, il y a bien deux facteurs . La carte est un élément que l on possède et le PIN est un élément que l on connait. Il s agit bien d une authentification à multiple facteur assez secure.
Vous semblez dire que le numéro de compte est un facteur d authentification. Non il s agit d un facteur d identification pas nécessairement secret ( facile d accès ) et ne saurait être utilisé comme élément d authentification. Et même si c était possible ce ne serait pas un multiple facteur d authentification car ce serait un élément que l on connaît comme le pin.
Le mécanisme de lockout rend compliqué le bruteforce mais ce type d authentification est très sensible au malware ou aux attaque par homme du milieu.
Et de toute façon la RGPD et la régulation bancaire PSD2 impose de ne plus utilisé ce type d authentification car il n y a pas de multiple facteurs.
Le blocage de compte est une mauvaise pratique qui ne doit pas être utilisé comme parade à une politique de mot de passe et d authentification merdique.
Bien que le blocage permette d éviter le bruteforce, il peut être détourner pour faire des attaques par déni de service.
Si en tant qu attaquant j arrive à bruteforce les identifiants , je peux imaginer un scénario où je scripte un robot qui fera des tentatives d authentification en boucle pour bloquer les comptes et crée une situation de déni de service pour les utilisateurs.
Quand j étais auditeur l authentification c était toujours gagnant
La bonne réponse n est pas de bloquer le compte mais de bloquer la source des tentatives et mettre un monitoring efficace pour permettre à la DSI de prendre des mesures.
De toute façon les mécanismes de blocage de compte ou de source ne protège pas les mots de passe contre plusieurs classes d attaque. C est pour ça que je dis que le PIn a 6 chiffres c est pas du tout une bonne pratique. Il est acceptable uniquement s il y a du multiple facteur. De préférence de type yubikey ou TOTP app à la rigueur. Pas de SMS par contre.
Si si ça m interpelle d autant que ce n est pas conforme avec les régulations modernes
Microsoft menace d’abandonner le rachat d’Activision Blizzard si un juge repousse la finalisation
23/06/2023
Le 23/06/2023 à 07h 28
Bah pourquoi pas faire poireauter des rachats à 70Gb dollars ? Ça leur fait les pieds à ces grosses boites
Le 23/06/2023 à 07h 17
Bof je trouve que ça commence quand même à faire beaucoup Betsheda et activision blizzard .
Je pense pas que ce soit intéressant de telle concentration.
Gentil et patient ? Je vois pas où est la gentillesse et la patience dans le fait de respecter des procédures …
Netflix facture 5,99 euros par mois le partage de compte avec « quelqu’un qui ne vit pas avec vous »
24/05/2023
Le 24/05/2023 à 08h 37
Du coup c est pas cool que la méthode de détection soit pas connu.
Si l adresse ip publique du foyer change ( par exemple reset de box ) faudrait pas avoir une détection de changement de foyer à cause de ça
Pourquoi peut-on pirater un mot de passe de 10 caractères en 2 semaines, contre 5 mois l’an passé ?
16/05/2023
Le 16/05/2023 à 08h 17
Cracker un password stocker en SHA 1 ou SHA2 c est pas la même que cracker un mot de passe en argon2
Le 16/05/2023 à 07h 43
Je pense qu ici on parle de crackage offline, le lockout ne s’applique pas.
Sinon j aimais bien les formulaire d authentification quand je faisais des audit techniques :
Pas d account lockout :
Account lockout present
Mais sinon l account lockout n est pas une bonne solution. Il vaut mieux throttler, exclure les IP et monitorer que complètement lockout l account
L’éventuel blocage de PornHub, YouPorn et sept autres sites X en appel
28/03/2022
Le 01/04/2022 à 11h 40
Sauf que le controle n’est pas possible sans avoir à manipuler des données sensibles. Les mesures techniques sont trop facilement contournable. Il suffit de se géolocaliser ailleurs en tant qu’utilisateur.
Il faut aller au plus simple : mise en place d’un contrôle parental. Pourquoi toujours vouloir faire compliqué ?
Le temps passé par les enfants devant les écrans n’entraîne guère de problèmes de comportement
22/03/2022
Le 23/03/2022 à 09h 38
Je ne suis pas tes arguments. Je maintiens que se demander quel serait l’avis d’un seul homme c’est une starification de la science.
Et ouais je me méfie de livre dont le titre sert manifestement juste à attirer l’oeil. Je ne dis pas que je ne le lirais pas mais perso ça me refroidit.
Le 23/03/2022 à 07h 29
ça me choque un peu de mettre en avant l’avis d’un seul homme, autant chercheur qu’il soit, face à une méta-étude. J’aurais tendance à prendre la méta-étude plus ou sérieux dans le sens ou c’est une revue de plusieurs études.
La science c’est pas l’affaire d’un seul homme. Surtout quand on sort des livres avec des titres aussi racoleur en fait …. ça ne présage rien de bon pour la confiance.
Le passe vaccinal est suspendu
14/03/2022
Le 14/03/2022 à 11h 57
Bein je trouve que la vie est revenu comme avant. Je sors comme avant, je vois mes amis comme avant. Juste de temps en temps je dois mettre un masque et je devais montrer un QR code ( useless à mon avis mais c’est comme ça .
Mais là depuis quelques mois j’ai l’impression qu’on est pas mal revenu à la vie d’avant sur pas mal de point.
Le gouvernement suspend le passe vaccinal le 14 mars, après s’être opposé à cette suspension au Conseil d’État
04/03/2022
Le 06/03/2022 à 06h 40
ça t’arrive souvent de prendre un extrait choisi de commentaire et de juge balancer une petite rhétorique simpliste dessus ?
Non je ne pense pas que ni toi ni moi somme compétent par contre toi et moi sommes capable de lire des vulgarisations scientifiques et je pense et de comprendre de cette façon les tenants et les aboutissants.
Et objectivement il y’a pas de mal à se méfier d’un vaccin à un instant T. Des accidents sur des produits vaccinales sont déjà arrivés ( Sanofi - Dengue) et il y’a pas de mal à se renseigner. Après c’est sûr faut pas persister quand toutes les parution scientifiques serieuses et que des millions d’injection montrent que c’est ok.
Et sinon en fait mon commentaire évoquait principalement le passe vaccinal et ses problèmes. Pas le vaccin en lui même.
Le 05/03/2022 à 14h 38
En outre j’ai passé sous silence une faiblesse majeur du pass vaccinal : C’est quand même une des rares fois qu’un simple QR code qui peut être facilement volé ( basiquement il y’a un risque de vol à chaque contrôle ) est utilisé pour donner des droits d’accès à certains lieu. Quelque chose d’aussi critique doit être réalisé avec un minimum de sécurité. D’un point de vue sécurité de l’information le passe vaccinal a un design vraiment faible. J’espère qu’on ne réitèrera pas cela.
Le 05/03/2022 à 14h 26
Ok donc il y’a que deux camps ? Ceux qui sont pour le vaccin et les anti vaccins ? Je comprend pas trop ta façon de pensé c’est super binaire.
Donc être contre le pass vaccinal fait de moi un idiot utile ? Alors que j’ai expliqué que j’étais pour une obligation vaccinal forte ?
Est-ce qu’on a encore le droit de penser de façon nuancer ou il faut choisir un camp ?
Et je connais de nombreuses personnes qui ont douté de l’ARN et qui l’ont exprimé. Ca ne les a pas empêchée de se faire vacciner parce qu’elles se méfiaient du COVID et j’irai pas à les traiter d’antivax. T’oserais ? Juste parce qu’elles émettent un doute ?
Faut vraiment brancher son cerveau parfois … Désolé de le dire comme ça mais la vie c’est pas 1 ou 0 .
Le 05/03/2022 à 08h 57
Il a pas tord cependant. On peut etre pour le vaccin et contre le pass. Perso j ai tanné toute la partie réfractaire de mon entourage à se faire vacciner et pourtant j ai vraiment un problème morale avec le pass. Deja présenté la vaccination comme un faux choix n était pas particulièrement intelligent.
J’aurais préféré un gouvernement qui assume et decrete l obligation vaccinale sinon forte amende. Il y avait des soucis constitutionnels à ça mais des changements auraient pu être fait avec beaucoup d efforts.
Donc stop aux raisonnements binaires. On peut etre contre le pass tout en étant vraiment très très favorable à la vaccination.
Cyberscore : vers un vote conforme de la proposition de loi au Sénat
18/02/2022
Le 18/02/2022 à 17h 07
Le nombre de faille mise à jour ? Avoir un grand nombre de failles mise à jour si c est en interne ou dans le cadre d un buf bounty ne devrait pas avoir d impact négatif sur le score j espere. C est plutôt un signe de bonne santé.
Le nombre de faille n est pas un indicateur pertinent. La façon de les traiter oui par contre.
Orange Cyberdefense lance sa « Cyber protection » pour les TPE et PME
10/02/2022
Le 10/02/2022 à 12h 00
Le prix de 10 euro par mois m interpelles.
À mon avis à ce prix là il ne leur donne pas d aide pour réaliser une bonne stratégie de sauvegarde ou un plan de reprise d activité qui tienne la route.
Or pour une petite entreprise c est plus intéressant que des dashboards.
L’Echo Show 15 débarque en France, pour 249,99 euros
21/01/2022
Le 24/01/2022 à 09h 26
Moi je vois aussi la possibilité par des gens qui ont des handicapes moteur mais toujours la parole d’utiliser des interfaces qui ne leur sont normalement pas accessibles.
Le 22/01/2022 à 09h 42
Après c’est difficile d’avoir un assistant vocal digne de ce nom en version libre et facilement utilisable par le grand publique.
Le projet de loi passe vaccinal adopté au Sénat
13/01/2022
Le 13/01/2022 à 11h 23
Ah oui je me souviens des postes de publicité qui disait que c’était LA solution pour retrouver une vie normale.
La propagande gouvernemental sur le sujet a été problématique et je les considère aussi comme responsable de l’attente démesuré des gens. C’est vrai j’aurai pu le préciser dans le premier message. Mais l’inculture scientifique des gens me consterne alors que les infos sont disponibles dans les premieres pages affiché par google ….
Le 13/01/2022 à 11h 13
Je ne sais pas s’ il faut vacciner la population tous les 4 mois suis pas médecin. L’OMS ne semble pas en phase avec cette stratégie non plus. En revanche même si l’OMS n’est pas ok avec ces doses de rappel à foison, elle n’a pas déclassé les vaccins pour autant. Le fait qu’il faille plusieurs dose ne dit rien sur le fait que ce soit un vaccin ou pas faut pas se tromper d’argumentaire.
Ces produits sont des vaccins vous pouvez faire du ouin ouin comme vous voulez ça changera pas ce fait.
Le 13/01/2022 à 10h 58
C’est aussi pour ça qu’on en sort pas. Chacun a sa petite définition de ce qu’est un vaccin en niant toute réalité sur le sujet et en ayant une attente démeusuré du coup :
Ce serait quand même bien de se renseigner un peu avant d’avoir des attentes disproportionnées sur ce que doit être un vaccin.
Log4j : le CERT-FR met (encore) à jour son bulletin d’alerte
07/01/2022
Le 07/01/2022 à 16h 26
Ceci dit ici vu les pré-requis il ne semble pas nécéssaire de faire un patching d’urgence
Faux passe vaccinal : l’amende ou le vaccin… un droit au repentir par la seringue
03/01/2022
Le 03/01/2022 à 23h 17
Il faut dire que la façon dont le pass a été conçu est un appel à se le faire voler. N’importe quel control peut théoriquement résulter à la perte d’un pass. Suffit d’un TACVerif modifier et un controleur malveillant peut se faire sa petite base de données. Sans control d’identité ce QR code n’est pas du tout sécurisé.
Passe vaccinal et contrôle d’identité, le retour
23/12/2021
Le 28/12/2021 à 07h 32
J’ai la sensation aussi que c’était une faute opérateur. Ceci dit j’ai essayé de me servir de la première facture pour justifier de mon domicile aupres de la mairie pour inscription sur les listes électorale. Ils étaient pas chaud chaud.
Mais honnêtement je vois maintenant comment des gens peuvent produire des à leur nom quand ils squattent un domicile qui n’est pas le leur
Oui mais en tout cas sur le fixe il y’a des lacunes on dirait. Je trouve même ça plus dangereux limite.
Le 27/12/2021 à 21h 45
Alors juste pour celle là. Quand j’ai emménagé j’ai appelé SFR pour souscrire un abonnement internet dans mon nouveau logement. J’ai pas envoyé un papier franchement ils m’ont tout ouvert comme ça sur simple déclaration. Alors c’était du fixe mais sur ça marche avec le mobile
Quelques mois plus tard j’ai changé pour orange. Mise à part le numéro de prise fibre dans mon logement je ne crois pas avoir donné ni un papier d’identité ni une prise fibre.
Log4shell : les jours d’après
21/12/2021
Le 23/12/2021 à 07h 27
Je vais peut être dire une connerie mais je trouve qu’il y’a des notions d’architecture réseaux qui sont rarement prise en compte dans les remédiations.
De mon point de vue si les serveurs impactés par la faille ont une liste blanche des adresses qu’il peuvent contacté sur Internet et si le type de trafic est limité à certains services (genre HTTP / HTTPS ) il y’a quand même moyen de considérer cette faille comme uniquement exploitable en interne. C’est déjà pas mal mais ça réduit l’urgence à patcher.
Cinq sites pornos mis en demeure par le CSA : contrôle d’âge ou blocage !
14/12/2021
Le 16/12/2021 à 13h 52
Si le site porno implémente l entete HTTP Strict transport security. C est mort !
Le 14/12/2021 à 20h 39
Pourquoi ? À priori un simple changement dns suffira …
TousAntiCovid : la CNIL déplore (encore) la tentation du « solutionnisme technologique »
09/12/2021
Le 14/12/2021 à 19h 49
Certe oui mais comment expliqué qu’à certains endroits les regles se durcissent et dans d’autres elles se relachent.
Exemple : Le virus continu de circuler, on ne ferme plus de classe s’il y’a seulement un élève positif ( il en faut 3) . C’est absurde.
Je râle souvent contre les changements de règle mais je me sens pas forcément obligé de le faire ici
. J’ai beaucoup râler sur le pass vaccinal par exemple ( je suis pour une obligation vaccinal plus dur avec très forte amende plutôt que de faire peser la charge du contrôles sur les commerçants / organisateur d’évènements ).
Je ne sais pas si je suis pas clair ou si tu me prends juste pour un con mais je vais développer dans le doute . Je pointe du doigt le manque de cohérence des règles en Général. Et je prenais l’exemple de l’école où les règles changent souvent et parfois de façon totalement stupide et incohérente ( voir l’exemple ci dessus).
Le 13/12/2021 à 17h 51
Le rapport est la cohérence des règles. Il n y en a pas …
Le 13/12/2021 à 00h 16
Il a pas tord c est quand meme contraire à ce qui a été annoncé au moment de sa mise en place et les regles sont toujours aussi floues et absurde.
Il y a qu a voir les écoles ….
Brouilleur de téléphone à Clermont-Ferrand : 24 sites mobiles perturbés et… intervention de la BRI
19/11/2021
Le 19/11/2021 à 16h 40
C’est tellement pas inviolable que ça ne sert absolument à rien de l’activé . Seul la passphrase est une sécurité valable pour le WiFi la protection MAC se contourne toujours.
L’offre Serverless de Scaleway (FaaS/CaaS) en disponibilité générale
16/11/2021
Le 17/11/2021 à 09h 26
Merci je n’avais pas fait attention quand je l’ai utilisé il y’a deux ans. C’est le service qui m’a faitp erdre 200 balles
Le 16/11/2021 à 17h 55
Je profite un peu de ce thread pour demander. J’aimerais bien jouer avec les services cloud mais le fait de devoir mettre ma carte de crédit et me faire prélever à la consommation me freine juste pour des tests et j’ai peur des erreurs qui pourraient me couter gros.
Existe t’il des service cloud qui propose d’acheter un volume d’heure sans prélevement en cas de dépassement ?
À la découverte de Nua.ge, le cloud « simple mais pas simpliste » du groupe La Poste
15/11/2021
Le 17/11/2021 à 09h 23
L utilisation du TLD de la Géorgie les soumet théoriquement a la loi georgienne pour ce service ?
Ce que prévoit la future loi LReM pour préinstaller le contrôle parental par défaut
12/11/2021
Le 16/11/2021 à 17h 53
Oui ils ont tord parce que toutes les générations font ces critiques sur la suivante et c’est débile.
Tu es hors sujet il y’a pas eu tant de monde qui ont refusé les injections de tel ou tel vaccin.