BlueSquirrel
est avec nous depuis le 23 février 2020 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
201 commentaires
Les promesses non remplies des caisses automatiques
Le 18/01/2024 à 20h 16
Alcool.Le 18/01/2024 à 20h 13
Par contre de mémoire il disait que c'était pas un problème côté données personnelles que ça soit pas censuré du moment que la vidéo est pas accessible à tout le monde. Ce qui m'a étonné.
Le 18/01/2024 à 20h 05
[Édito] Mots de passe, double authentification : grrrrr… il est temps d’agir !
Le 18/01/2024 à 09h 15
Parfaitement d'accord. L'informatique est un outil bien trop puissant et à l'impact bien trop lourd si ça tourne mal, comparé aux compétences de l'individu moyen la manipulant ou y étant exposé. Les Anglais ont un dicton du genre "donner une lame de rasoir à un singe". Aucun mépris dans le terme singe, je me mets dedans, bien que je sois dev et passionné du sujet.
Sans parler de la notion d'ordinateur fatal, qui pousse la réalité à se plier à un modèle informatique (qui peut être limité ou erroné) et pas l'inverse, comme l'explique Benjamin Bayart : https://www.youtube.com/watch?v=7VnJ_NiiHas&t=1623s.
Le 16/01/2024 à 10h 03
Parfaitement d'accord ! On fera jamais plus simple qu'avoir une clé à mettre dans une serrure.
Comment ça ? Certes il y a de moins en moins de gens qui savent utiliser un ordinateur, mais c'est parce qu'ils utilisent uniquement (et beaucoup) un smartphone ou une tablette, pas parce qu'ils rejettent la technologie.
Néanmoins je pense que "se sentir dépassé par l'informatique" est très lié au fait que les gens n'utilisent quasi plus qu'un smartphone ou une tablette : Ils sont enfermés dans des écosystèmes applicatifs conçus pour faire de la rétention au maximum et avec une ergonomie aux petits oignons qui les assiste beaucoup. Résultat ils sont perdus dès qu'ils sortent de leurs applis habituelles car ils n'ont jamais eu à développer la compétence "galérer sur un PC et chercher comment faire telle chose".
Une prof de collège ou lycée m'avait expliqué que pas mal d'élèves avaient des difficultés en informatique pour accomplir des tâches que l'on considère comme "simples" : copier/déplacer un fichier d'un dossier à un autre, envoyer un email... Peut-être parce que sur smartphone il n'y a pas de gestion de fichier aussi libre que sur PC ni d'arbo claire, et qu'aujourd'hui la plupart des communications numériques se font par WhatsApp.
Le changement régulier est déconseillé par l'ANSSI, le problème ici c'est avant tout l'appli qui fait n'importe quoi. Je te rejoins sur la galère de taper des mdp forts sur un clavier de téléphone/tablette, mais malheureusement les gens n'utilisent quasi plus que ça...
Et à mon avis c'est eux qui ont commencé, pas l'industrie. Mais cette dernière a suivi et entretient maintenant l'habitude, notamment en poussant les utilisateurs vers les applis mobiles car c'est là qu'elle met tout le budget, étant donné que la plupart des utilisateurs sont avant tout sur mobile.
Le 15/01/2024 à 12h 07
Côté aisance de frappe, opter pour une phrase de passe plutôt que mot de passe pour les comptes que tu es susceptible d'utiliser sur des appareils où le gestionnaire n'est pas présent. Le problème étant que la plupart des sites imposent la présence de caractères spéciaux et compagnie, voire limitent la longueur du mdp au point où une phrase de passe serait trop faible.
Côté mémoire, aujourd'hui c'est impossible d'avoir des mots de passe sécurisés ET que tu peux retenir, car tu as des dizaines de comptes nécessitant tous un mot de passe fort et unique.
C'est à peu près les deux seuls OS qui sont vraiment utilisés par une part non négligeable de la population. De plus il existe des logiciels sur PC permettant de générer les codes 2FA.
Si le téléphone est trop vieux pour gérer l'appli, deux cas :
- c'est un smartphone et il faut arrêter de l'utiliser car n'étant plus maintenu il est bourré de failles de sécurités (du genre prise de contrôle totale juste en t'envoyant un MMS)
- ce n'est pas un smartphone, mais ça reçoit des SMS, reste plus qu'à espérer que le site proposant la 2FA la propose aussi par SMS
Ne pas oublier la 2FA par email aussi, ça reste assez répandu, et là pas besoin d'un 2e appareil.
Pour le reste de ton propos tu prônes l'abandon de l'informatique : Je ne me prononcerai pas sur le bien ou le mal de la chose, mais le fait est que ce n'est pas du tout dans cette direction que nous allons.
Le 13/01/2024 à 17h 36
En plus de cette sauvegarde "à la mano", certaines applis permettent une fois le QR code flashé d'accéder aux seeds (la donnée dans le QR code) voire ont une fonctionnalité d'export. Ca permet donc de faire une sauvegarde.
Pour de la 2FA par une app propre au service (banque, Steam, Battle.net...) c'est pas franchement possible je dirais. Sauf si ton smartphone est jailbreak peut-être, mais si c'est le cas l'app de la banque refusera probablement de fonctionner donc ça aidera pas au final.
Dans ce cas faut voir avec la banque ce qu'elle prévoit côté secours : Normalement les services permettant la 2FA te fournissent aussi des codes de secours que tu peux entrer à la place du code 2FA. Ca permet au moins de se connecter une fois histoire de désactiver puis réactiver la 2FA sur un autre appareil.
Si ta banque ne propose rien côté secours ils sont mauvais. Ce qui ne serait pas étonnant, les banques étant souvent à côté de la plaque côté sécurité. Moi la 2FA de ma banque c'est un code envoyé par SMS une fois tous les 6 mois. Je vois pas à quoi ça sert mis à part s'assurer tous les 6 mois que j'ai pas changé de numéro de mobile xD
Le 13/01/2024 à 14h 09
A mon humble avis le JWT est pertinent uniquement lorsque la bdd contenant l'utilisateur et se chargeant de l'auth est gérée par un tiers plutôt que par le site. Ca évite de requêter ce tiers à chaque requête de l'utilisateur pour récupérer les informations de ce dernier ou authentifier la requête. Auquel cas le JWT agit un peu comme un cache.
Mais dans la plupart des cas la bdd est gérée par l'appli consommée par l'utilisateur, donc l'intérêt me semble très très limité: Si récupérer un utilisateur en bdd est lent l'appli a des gros soucis d'optimisation.
En outre, même si la bdd est gérée par un tiers, des données aussi critiques que l'auth je trouve ça mal venu de les mettre en cache : Ca me dérange le fait de trouver ça acceptable qu'on puisse ne pas virer un attaquant quand on veut car on doit attendre que le "cache" (le token) expire. Tout ça pour faire l'économie d'un hit à la bdd/API tierce.
Beaucoup de sites utilisent le JWT uniquement parce que c'est la mode. Et aussi pour y stocker et récupérer des données utilisateur (pseudo, adresse email) pour les afficher en front, ce qui est un gros problème de sécurité : Ils vont stocker le JWT dans un espace accessible au JS (probablement le local storage, bien qu'un cookie sans le flag HttpOnly fasse aussi l'affaire), ça signifie que le JWT peut être volé en cas de faille XSS (cf https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html#local-storage)
Le 13/01/2024 à 10h 33
Bof. Je te pirate en pleine nuit, le temps que tu vois la notif le lendemain matin j'aurai fais mon office depuis plusieurs heures.
Même si c'est pas en pleine nuit, du moment que l'attaque est automatisée les dégâts seront faits en quelques secondes. Peut-être même avant que la notif arrive jusqu'à toi.
Changer de mot de passe suite à une telle notif c'est comme changer de serrure une fois qu'un cambrioleur est passé. Ca peut l'empêcher de revenir mais ça n'empêchera pas les dégâts de son premier passage.
D'ailleurs c'est même pire que ça : De nombreux sites ne virent pas les utilisateurs actuellement connectés à ton compte si tu changes de mot de passe. Donc c'est un peu comme changer la serrure alors que le cambrioleur est toujours chez toi, sans possibilité de le forcer à partir.
Sur ce sujet cf par exemple les classements de Bitwarden comme https://bitwarden.com/blog/industry-leaders-security-rankings-personal-email-services-edition/, regardez le nombre de sites qui ont "Does not require login using new password".
Ca a tendance à être le cas notamment des services utilisant JWT, car par défaut le JWT est décorrelé des informations du compte utilisateur, et ne sera donc pas impacté si elles changent (mot de passe, adresse email...). Le JWT restera donc valide jusqu'à sa péremption, ce qui peut prendre plusieurs minutes à plusieurs heures voire jours.
Donc au mieux une telle notif va te permettre de prendre tes dispositions pour contrer le piratage en prévenant les gens que ça pourrait impacter, en bloquant ta CB, etc. Mais elle n'empêche pas le piratage, qui a déjà eu lieu.
Deuxième intérêt d'une telle notif : Ca peut éviter à un pirate de maintenir dans le temps un accès furtif à ton compte. Et encore, cf ce que j'ai dis sur les services qui ne virent pas les utilisateurs actuellement connectés quand tu changes ton mot de passe.
Edit: Pas dingue votre nouveau WYSIWYG Next, ça gère pas les URLs automatiquement, pas de bouton pour en créer une (donc faut connaître le markdown), et même en connaissant le markdown impossible de faire une citation.
Le 13/01/2024 à 10h 11
Un service proposant la mise en place de la 2FA doit aussi proposer des codes de sécurité à entrer au cas où l'appareil générant la 2FA n'est pas disponible.Faire des sauvegardes des QR codes 2FA est aussi une option. Un logiciel spécialisé peut ensuite exploiter le QR code pour générer le code 2FA, pas besoin d'attendre le nouveau smartphone.
Le 13/01/2024 à 09h 35
La 2FA via une app dédiée n'a pas se problème mais elle en a un autre : Augmentation de la charge du support client du service concerné par les utilisateurs qui n'ont plus leur smartphone et s'aperçoivent que, comme la plupart des gens, ils n'ont pas fait de sauvegarde. Donc ils sont enfermés dehors.
Le 13/01/2024 à 09h 26
En effet. La CNIL a elle aussi mis à jour ses recommendations pour s'aligner : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite. La force minimale recommandée va aussi varier en fonction des contre-mesures présentes sur la plateforme (par exemple blocage du compte après n essais).Edit: Tiens, j'ai dû faire le markdown de l'URL à la main, sinon le parser ne la rend pas cliquable.
Le 13/01/2024 à 09h 23
Attention à la sécurité du logiciel qui gère ton fichier texte : Il se peut par exemple que lorsque tu le modifies le fichier se retrouve avant sauvegarde dans le dossier temporaire de ton ordinateur. De mémoire c'est par exemple le cas de Notepad++ avec l'option backup/snapshot.C'est aussi à ça que sert un gestionnaire : Les devs ont pris en compte les endroits où le mdp va se retrouver en clair et y font attention (mémoire volatile, mémoire non volatile, presse papier...).
C'est d'ailleurs une des mises en garde dans la doc de VeraCrypt: Même si le conteneur est chiffré, le logiciel qui exploite la donnée située dans le conteneur peut laisser des traces hors de ce dernier.
Attention au presse papier : Si ton OS a une fonctionnalité d'historique du presse papier et qu'elle est activée, tes mdp copiés sont en clair dans cet historique.
Pour finir, attention aux sites de phishing : Tu peux te faire avoir par une URL quasi identique voire véritablement identique (homographe, très peu répandu car l'utilisateur moyen sait de toute façon pas lire une URL du tout), ou même une URL bien différente si tu es pas réveillé ou pressé. Un gestionnaire intégré à ton navigateur et se chargeant de remplir le formulaire à ta place lui ne se fera pas avoir.
Le 13/01/2024 à 09h 11
La plateforme Neosurf de paiement en ligne sans carte bancaire écope d'une amende de la CNIL
Des arnaques en pagaille
Le 13/01/2024 à 18h 55
C'est chaud quand même côté mots de passe, bcrypt est recommandé depuis plus de 11 ans. Ca fait sacrément longtemps que la veille n'a pas été faite là...
Oh même les grosses. Un truc qui se fait beaucoup c'est hasher à l'état de l'art les nouveaux mots de passe mais garder les hashes vulnérables des mots de passe pas mis à jour depuis le changement d'algo.
Regarde le cas de EDF, sanctionnée par la CNIL en 2022 : ça stockait des vieux hashes en MD5, et en 2018 ça se "modernise" en utilisant SHA2 qui est pas plus adapté (mais au moins sans faille de sécu) mais il y a du progrés : le retard par rapport à l'état de l'art passe de 20 ans à 10 ans...
Le 13/01/2024 à 18h 53
Exactement, reCAPTCHA est soit illégale soit inutile dès lors que le RGPD s'applique :- Soit tu recueilles pas le consentement et n'es donc pas conforme au RGPD
- Soit tu conditionnes la présence de reCAPTCHA au consentement préalable de l'utilisateur, et s'il ne consent pas ben pas de captcha pour lui (donc la présence de la captcha est inutile, vu qu'on peut choisir de ne pas "l'activer").
[Édito] Crypter, chiffrer : le défi de la vulgarisation
Un sujet calme pour finir la semaine…
Le 17/12/2023 à 14h 13
Concernant chiffrement/cryptage et en tant que web dev, perso j'ai un peu lâché le combat pour me concentrer sur le fond de l'échange avec mon interlocuteur.La raison étant que peu importe si l'interlocuteur est un profane ou un collègue dev, qu'il utilise ou non le bon terme ne va pas vraiment m'aider à comprendre de quoi il parle.
Par exemple en me disant "les mots de passe du site sont cryptés" mon interlocuteur peut en réalité vouloir me dire différentes choses qui n'ont rien à voir et vont conditionner ma réaction :
- ils sont uniquement chiffrés, c'est mal car ils sont récupérables si la clé de chiffrement fuite
- ils sont encodés, c'est mal car c'est comme s'ils étaient en clair
- ils sont hashés, ça peut être bien mais ça peut aussi être mal, tout dépend de l'algo
- ils sont hashés puis chiffrés, idem
En me disant "les mots de passe du site sont cryptés", mon interlocuteur même s'il est dev mais pas franchement au point côté sécurité, veut dire "c'est sécurisé mais je sais pas trop comment ça marche", ce qui équivaut à dire qu'il n'a en réalité aucune idée de si c'est réellement sécurisé.
Partant de là, je vais alors lui demander quel(s) algo(s) sont utilisés, et j'aurai vite une information claire sur la réalité technique derrière la phrase "les mots de passe du site sont cryptés". A moins que mon interlocuteur n'en ait aucune idée, auquel cas on en reste au stade qu'il ne sait pas.
Imaginons maintenant que mon interlocuteur ait employé la bonne terminologie et dit "les mots de passe du site sont hashés". Est-ce que ça suffit pour que j'ai une information claire sur la réalité technique ? Non, je dois quand même demander l'algo impliqué, car si ce n'est pas bcrypt ou argon2id on a potentiellement un problème. Et même si c'est ces deux derniers on peut avoir un problème en fonction de la manière dont ils ont été configurés.
D'ailleurs, ici encore, même si le bon terme a été employé, peut-être que mon interlocuteur en a une compréhension erronée. Je ne peux en avoir le coeur net qu'en lui demandant l'algo impliqué.
En résumé, au lieu de s'arrêter au terme employé mieux vaut demander à l'interlocuteur des détails, vous n'y couperez pas si vous voulez avoir une info fiable.
Et si l'interlocuteur est un profane, cf l'article, adaptez votre discours et vos attentes, n'exigez pas une maîtrise du sujet, c'est absurde et déplacé.
C'est la même pour le chiffrement. Même si mon interlocuteur utilise le bon terme et me dit "ces données sont sécurisées par chiffrement", ça ne me dit pas si :
- la clé est suffisamment forte
- la clé est stockée et éventuellement communiquée de manière sécurisée
- l'algo est sécurisé
- l'implémentation de l'algo est sécurisée
- les données sont bien chiffrées partout où c'est important (coucou Zoom qui "confond" chiffrement de bout en bout et TLS)
Or ces informations peuvent totalement changer le sens de "ces données sont sécurisées".
Fantasmes et vrais dangers de l’intelligence artificielle sur la cybersécurité
Deep Fear
Le 19/10/2023 à 10h 20
La nouveauté c’est la simplicité de génération de fakes de plus en plus poussés (ou “bons”, comme tu dis) par quelqu’un sans compétences particulières. Ce qui risque de les faire pulluler.
Rechercher la première occurence c’est bon pour les images publiques.
Quid par exemple de la photo pornographique d’une personnalité politique à quelques semaines ou mois d’une élection ? Par définition ce genre de photo provient de l’intimité et n’est donc pas vérifiable. La cible pourra bien nier autant qu’elle veut, elle l’aurait aussi fait si la photo n’était pas un fake : le doute et le buzz des médias suffiront à salir sa réputation, et quand tu vois que les élections en général ça se joue à très peu de voix…
L’IA va être un outil effroyablement efficace pour décribiliser publiquement des gens en prétendant qu’ils ont fait telles choses ou tenu tels propos dans leur intimité. Propos racistes, nudes, apparition discrète avec telle personnalité controversée soit disant prise en photo par un paparazzi (la cible et la personnalité nieront, comme elles l’auraient fait si ce n’était pas un fake)…
Impact environnemental de l’audiovisuel : l’Arcom veut un mode « sobriété » et mieux informer
Des recommandations, pas d’obligation
Le 15/09/2023 à 10h 25
Continuons de nous donner bonne conscience en regardant les vidéos en basse résolution pour économiser deux grammes de co2 pendant que la majorité des entreprises du tertiaire avec leur mentalité boomer impose toujours aux collaborateurs de se taper 30+ minutes de bagnole tous les jours pour aller au bureau devant un ordinateur et faire de la réunionite où on va entre autres “sensibiliser” au fait d’envoyer moins d’emails pour sauver la planète.
Pas étonnant que les ados soient dépressifs et anxieux face au futur, quand ils voient comment leurs aînés prennent la situation au sérieux.
Écrans et développement de l’enfant : pour l’Inserm, « le temps d’exposition n’est pas le seul facteur »
Le 14/09/2023 à 08h 11
Tout à fait.
Conférence très intéressante d’un chercheur sur le sujet :
Grégoire Borst - Le cerveau des enfants et des adolescents face aux écrans (02/02/2022)
https://www.youtube.com/watch?v=CtWWDY4aW2Q
Il présente de nombreuses études et les nuance.
Le chercheur passe beaucoup de temps à expliquer la différence entre corrélation et causalité, loin de la science de comptoir et du buzz.
Les 145 exigences techniques et éthiques des « solutions algorithmiques » de vidéosurveillance des JO 2024
Le 09/08/2023 à 06h 48
On y croit. Le tout contrôlé par personne ou au mieux une entité sans pouvoir contraignant, qui “alertera” une énième fois dans un énième rapport consultatif que personne ne lira.
En Europe, Meta se résigne à demander le consentement pour la publicité comportementale
Consentement explicite demandé
Le 03/08/2023 à 17h 40
La plupart des bannières cookies ont des dark patterns, donc forcément les utilisateurs sont conditionnés à accepter machinalement, car ils savent que s’ils tentent de refuser ils vont perdre du temps dans des sous menus alors qu’accepter se fait en un clic sur le gros bouton coloré.
Les stats de la CNIL sont donc une farce, tout comme elle qui laisse ces violations proliférer.
La position des autorités sur le cookies wall est pitoyable et absurde.
La navigation privée est insuffisante : Les traceurs sont toujours déposés. Certes temporairement, mais ils siphonnent quand même le temps de la session.
La meilleure extension c’est uBlock Origin car elle bloque la plupart des traceurs, que tu acceptes ou non (et sur beaucoup de sites on te trace dès que tu arrives ou même si tu refuses…)
Je ne vois pas l’intérêt d’installer des extensions comme Facebook Container ciblant tel ou tel traceur/entreprise spécifiquement, on aurait toujours une longueur de retard et ça serait sans fin. Il y a d’autres grands annonceurs, Facebook n’est pas le seul.
Tu dois bien t’amuser à utiliser le web moderne sans JS… Ce n’est pas réaliste.
Le 03/08/2023 à 14h 47
J’attends de voir la tête de la demande de consentement. S’il y a du dark pattern dans tous les sens ça ne changera pas grand chose pour la majorité des utilisateurs malheureusement.
Je m’attends à encore des années de pirouettes juridiques pour qu’il soit reconnu que le consentement n’est pas libre et donc nul. Mais évidemment en pratique ça ne sera pas rétroactif et le mal sera déjà fait pour les utilisateurs existants.
De gros problèmes chez LastPass avec les authentifications MFA
Le 26/06/2023 à 09h 20
Fuyez LastPass, il est plus que temps.
https://infosec.exchange/@epixoip/109585049354200263
Et PBKDF2… Rofl. Pendant ce temps chez Bitwarden on invite les utilisateurs à passer à Argon2id, algo à l’état de l’art côté résistance au brute force.
Western Digital détaille les informations dérobées pendant sa cyberattaque
Le 09/05/2023 à 07h 20
Si c’est haché et qu’il y a salage c’est du hachage, pas du chiffrement. La phrase d’origine ne dit pas ça : “In addition, the database contained, in encrypted format, hashed and salted passwords and partial credit card numbers.”
Ce qui signifie que ces champs de la bdd contiennent des hashes salés et qu’en plus ils sont chiffrés au repos. Ce n’est pas le chiffrement qui est salé.
Ce ne sont d’ailleurs que les mdp qui sont hachés (puis chiffrés au repos), les numéros de CB quant à eux sont seulement chiffrés au repos.
Il est regrettable que l’entreprise ne communique pas sur l’algorithme de hachage utilisé, car s’il est inadapté et que le mdp est faible alors c’est quasi comme s’il n’y avait pas de hachage du tout. Ca donnerait aussi une idée du fait que WD respecte les bonnes pratiques et l’état de l’art ou non.
Les priorités du Comcyber : chiffre, lutte informatique d’influence (L2I) et partage de données
Le 08/05/2023 à 16h 57
En quoi consistent ces investissements ? Les algorithmes existent déjà et des implémentations sont disponibles gratuitement et librement dans de nombreux langages et librairies, non ? Utiliser de la cryptographie de “haute qualité” est à la portée de tous les développeurs aujourd’hui. TLS, Signal…
Ou il s’agit de mettre à jour des machins tellement vieux qu’ils ne supportent pas les standards actuels ?
Cela dit, en voyant par exemple ça, en effet il y a du boulot. https://cryptcheck.fr/https/www.defense.gouv.fr
ChatGPT débloqué en Italie
Le 02/05/2023 à 14h 31
Conformité c’est vite dit. Etant de nationalité US ils restent automatiquement incompatibles avec le RGPD, cf l’arrêt Schrems 2 de la CJUE.
Peut-on naviguer sur le web sans JavaScript aujourd'hui ?
Le 24/04/2023 à 19h 19
J’oubliais, c’est l’occasion de mentionner la vidéo Javascripto !
https://www.youtube.com/watch?v=4GDFeVhGBew
Le 24/04/2023 à 17h 44
Plus trop d’actualité le CSRF de nos jours (same-origin policy, cookie SameSite…), tu ne parles pas plutôt du XSS ?
Techniquement on peut capturer les mouvements de souris via CSS, à voir si des sites s’embêtent à mettre ça en place juste pour tracer les quelques utilisateurs qui désactivent JS.
https://www.bleepingcomputer.com/news/security/researcher-finds-css-only-method-to-track-mouse-movements/
C’est pas un problème inhérent au JS, tu peux très bien faire en sorte que le clic ajoute un spinner voire disable le bouton le temps que l’action se fasse. Disable le bouton permet au passage d’éviter que l’action soit déclenchée plusieurs fois si l’utilisateur s’impatiente et bourre le bouton ou en cas de double clic (les fameux commentaires en double par ex).
Malheureusement il est vrai que souvent l’UX pêche sur les sites avec beaucoup de JS. Outre ton exemple, on peut aussi citer cette manie de ne pas utiliser l’API History du navigateur, ou pas “fidèlement”, donc tu navigues entre plusieurs “pages”, sous-rubriques, etc, et tu dois tout faire au clic gauche, pas possible :
Une coalition policière internationale appelle Meta à ne pas étendre le chiffrement de bout en bout
Pedo Barred
Le 24/04/2023 à 17h 54
Le Royaume-Uni, toujours dans une compétition de mauvaises idées dans le numérique, concurrent de l’Australie et sa fameuse “The laws of mathematics are very commendable, but the only law that applies in Australia is the law of Australia”.
Comment vérifier l'intégrité d'un fichier via son empreinte SHA256 ?
Tout le monde est invité
Le 16/04/2023 à 10h 12
Qu’est-ce qui permet d’affirmer que c’est rare ? Et si ça l’est, est-ce plus rare que d’avoir uniquement le fichier modifié sur le serveur qui l’héberge ?
Exactement. Le seul cas où je vois un intérêt de vérifier le hash soi-même c’est si le fichier a été modifié ET que c’est seulement la machine qui l’héberge qui a été compromise, ET que c’est pas la même machine que celle qui héberge le site avec le hash et le lien. Sinon, si c’est le site lui-même qui est compromis, le pirate peut très bien changer le hash ET le lien de téléchargement pour qu’il pointe vers le fichier vérolé correspondant au hash.
Bref ça fait beaucoup de si pour que ça ait une utilité…
Ou pas, SHA c’est du hachage cryptographique et c’est très rapide, c’est même le but. La lenteur c’est avant tout pour éviter le brute force il me semble, principalement dans le cas du hachage de mots de passe. Quand on parle de hash de fichier et de collision je suis pas sûr que ça soit la vitesse l’angle d’attaque, plutôt les opérations réalisées et les éventuelles failles qui en découlent.
Votre vie privée n’est pas leur priorité
Mais finira par le devenir
Le 01/04/2023 à 17h 24
Le referer et l’user agent sont des données à caractère personnel s’il est possible d’identifier un individu en les recoupant à d’autres données.
Les Google fonts sont téléchargeables et servables en first party, rien n’oblige à passer par le CDN de Google.
Tout à fait. L’argument à opposer au commanditaire devrait être l’amende qu’il risque mais pour ça il faudrait qu’il ait une forte probabilité de se prendre une amende et que le montant soit dissuasif, ce qui est actuellement loin d’être le cas.
Le 30/03/2023 à 10h 31
C’est pas dit. Son homologue espagnole a à peu près le même budget et pourtant : 601 des 1702 condamnations au sein de l’UE, contre 34 pour la CNIL… (source : https://www.enforcementtracker.com/)
Les logs contiennent des données à caractère personnel (DCP), donc les traiter pour faire de l’analytique nécessite consentement préalable. Je le rappelle au cas où : Le RGPD encadre les traitements de DCP dans leur globalité, que ça soit via cookies, logs, bdd…
Faire de l’analytique avec la législation actuelle n’est pas vraiment possible à mon avis :
C’est le drame de l’UE : dépendance à des technos tierces (probablement US) qui ne respectent pas la législation UE. D’ailleurs pour rappel toute solution de nationalité US traitant des DCP est automatiquement contraire au RGPD, point. Cf l’arrêt Schrems 2 de la CJUE. Ce qui signifie que rien qu’un CDN US comme Google Fonts ou Akamai c’est nope, car il traite au minimum l’user agent et l’adresse IP du visiteur du site sur lequel il est appellé.
Plus globalement, le secteur du web fait n’importe quoi côté DCP depuis des décennies, donc forcément maintenant que les autorités se réveillent ça commence à piquer et beaucoup d’entreprises sont dans le déni et se comportent comme l’industrie publicitaire elle-même (notamment parce qu’elles en sont au moins partiellement dépendantes).
Le démarchage téléphonique désormais limité en semaine, de 10h à 13h et de 14h à 20h
Le 02/03/2023 à 08h 33
La CNIL dit que l’utilisateur doit être informé au moment de la collecte :
Les entreprises qui prétendent qu’une pratique est légale car intérêt légitime dans la plupart des cas c’est de l’hypocrisie pour gagner du temps avant qu’une condamnation tombe (ce qui en France prendra des années voire n’arrivera jamais). Cette base légale de l’intérêt légitime est malheureusement beaucoup trop large et livrée aux interprétations, ce qui engorge les tribunaux et autres autorités trop souvent amenées à devoir trancher.
Côté interprétation voici la mienne : Le droit d’une entreprise de spammeurs/escrocs (j’y reviendrai) de déranger les gens jusque chez eux ne prime pas sur le droit de chacun à être tranquille chez soi sans se faire harceler par des voleurs. D’autant que personne (ou presque, j’y reviendrai aussi) ne répond favorablement à ce genre de démarchage : on est plus en 1950, les gens ont la télé, internet, le téléphone, l’annuaire, une voiture et des supermarchés, donc s’ils ont besoin d’un service ou d’un produit ils vont le chercher, ils n’ont pas besoin que Jean Michel les appelle ou se pointe devant leur porte pour leur vendre un truc -> ils savent déjà que le truc existe, savent comment le trouver s’ils en ont besoin, donc s’ils ne se manifestent pas c’est qu’ils n’en ont pas besoin.
A propos de l’emploi de “escrocs” et “voleurs” : Les seules personnes qui répondent “favorablement” à ce genre de démarchage (téléphone ou porte à porte, pour moi c’est le même niveau d’intrusion dans la tranquilité des gens) c’est les petits vieux, on est alors souvent dans de l’abus de faiblesse, ce qui ici encore ne fait pas du tout pencher la balance en la faveur de l’intérêt “légitime” de l’entreprise par rapport à celui du démarché.
On crève de la pub et des sollicitations constantes, tout le monde en a ras le bol, ça devrait clairement peser dans la balance de l’intérêt légitime.
Le 01/03/2023 à 12h 35
La plupart des démarcheurs c’est via achat illégal de coordonnées et pour te vendre des produits ou services qui n’ont rien à voir avec celui ayant conduit à la collecte initiale de tes coordonnées.
Tes propos sont trop génériques et ne collent pas à la réalité de terrain : La plupart des démarcheurs sont en totale illégalité car ils n’ont pas obtenu ton numéro de manière légitime (pas d’information au moment de la collecte) et te raccrochent au nez si tu cherches à exercer tes droits (leur dire de ne pas te rappeller, de te fournir l’identité de leur entreprise, comment ils ont eu ton numéro, etc).
En outre et là c’est mon opinion : Il est totalement absurde que les règles ne soient pas les mêmes que pour le démarchage par email, pour lequel la CNIL exige un opt-in préalable.
Seule exception étant pour te démarcher à propos de biens et services similaires à ceux que tu as déjà achetés à l’entreprise (et à elle seule, pas de démarchage en opt-out pour d’éventuels “partenaires”).
Cet opt-in avant démarchage téléphonique éviterait que les entreprises puissent prétendre avoir préalablement informé l’utilisateur quand cette information esten réalité un petit paragraphe noyé au milieu de 50 pages de CGV, CGU ou autre politique de confidentialité.
Absurde et dommageable, car il est bien plus difficile de filtrer en aval (avant qu’un humain soit dérangé) les appels de manière automatisée par rapport aux emails (filtre sieve, par ex). L’appel téléphonique est bien plus dérangeant et intrusif, ce qui à mon sens ne penche pas en sa faveur dans la balance nécessaire pour se prévaloir de l’intérêt légitime.
Le 01/03/2023 à 08h 13
Totale violation du principe de consentement établi par le RGPD. Les lobbies des spammeurs font bien danser le gouvernement…
Le 01/03/2023 à 08h 04
Pour rappel, dans la plupart des cas les démarcheurs sont de toute façon en violation du RGPD.
Comme souvent ce n’est pas une énième loi qu’il faut, c’est appliquer la législation existante.
LastPass : les pirates sont entrés par l’ordinateur d’un développeur
Le 01/03/2023 à 12h 46
Ca me semble être une bonne pratique. Idéalement toute action critique ne devrait être faisable qu’après validation par plusieurs individus. Ca permet exactement d’éviter que tout foute le camp si un compte avec des droits admin est compromis.
Une expiration pourrait être plus propre oui, surtout si la confirmation est vulnérable au brute force. Par exemple s’il s’agit de cliquer sur un lien unique envoyé par email et ne vérifiant pas l’authenticité de la personne qui le clique (en gros si le lien est accessible et effectif sans être connecté).
Le 01/03/2023 à 08h 17
Pour ceux qui l’auraient manqué, LastPass c’est ce niveau de compétence : https://infosec.exchange/@epixoip/109585049354200263
RGPD : noyb veut consacrer le droit d'accès à partir des cookies de suivi
Le 01/03/2023 à 12h 39
Rien que le fait que ça soit un site avec inscription et donc espace membre signifie qu’ils n’ont pas à te demander d’autre preuve que le fait que tu puisses te connecter au compte (donc il est bien à toi) voire que tu possèdes bien l’adresse email associée (par ex en t’envoyant un email avec un lien de vérification).
Le site lui-même devrait avoir un bouton dans l’espace membre permettant de demander la suppression des données.
Le 01/03/2023 à 08h 20
La classique infondée de “vérifier” ton identité en te demandant des informations qu’ils n’ont pas déjà et ne peuvent donc recouper avec rien en interne pour vérifier que c’est toi.
Comment débuter avec KeePass ?
Le 01/03/2023 à 08h 07
KeePassXC extrêmement décevant sur Linux par rapport à KeePass (même pas XC) sur Windows. On dirait qu’il manque la moitié des fonctionnalités dans l’interface.
Par exemple quasi aucun format d’import accepté, là où KeePass sur Windows accepte les fichiers exportés depuis de nombreuses sources (LastPass, Bitwarden…), comme mentionné dans l’article.
Chiffrement homomorphe : une idée vieille de 50 ans, qui prend « vie » depuis 10 ans
Les vieux pots
Le 16/02/2023 à 07h 56
Ce qui me laisse dubitatif c’est comment on peut faire du chiffrement homomorphe ET authentifié en même temps, étant donné que la donnée chiffrée peut être modifiée sans connaître la clé…?
IA : avec ses nouveaux Bing et Edge, Microsoft veut « réinventer » la recherche
L'heure des superlatifs
Le 11/02/2023 à 18h 01
Je suis très dubitatif quant à l’efficacité d’une solution se basant sur une action facultative de l’utilisateur. La plupart des gens va “consommer” la réponse sans cliquer sur le bouton en question.
On le voit notamment sur YouTube avec la différence entre le nombre de vues et le nombre de likes.
La CNIL se saisit du dossier de la vidéosurveillance dans les chambres d'EHPAD
CCTVieux
Le 11/02/2023 à 17h 47
Outre la disproportion, il est bon de rappeller qu’il serait très difficile devant un juge de faire valoir le consentement des employés en tant que base légale pour le traitement de données à caractère personnel (par ex surveillance vidéo) : Le RGPD prévoit que le consentement doit notamment être libre, ce qui implique qu’il ne doit pas être influencé ou obtenu sous la contrainte. Cela semble très difficile à prouver au vu de la relation de pouvoir entre l’employeur et l’employé.
Comment se construit la confiance dans un logiciel de génération automatique de code ?
AIe confiance
Le 10/02/2023 à 08h 36
Donc ça automatise la duplication de code, pas très DRY…
Il semblerait. Ca a l’air de facilier le travail pour trouver des failles également, ou d’être capable de désobfusquer du code et ensuite de l’expliquer. Cf cette vidéo : https://youtu.be/610auZn645w
Le gouvernement prépare un dispositif pour bloquer l’accès des sites pornos aux mineurs
Le 08/02/2023 à 07h 59
Quel rapport entre un site web et une boutique physique ?
Tous les pays se cassent les dents en tentant d’encadrer l’accès des mineurs au porno sur le web, mais ils ont sans doute manqué une évidence dont tu as le secret.
Fais consultant et deviens riche, tu tiens un filon.
Le 07/02/2023 à 18h 22
Pas moyen de “garantir”* ça en faisant en sorte que le téléphone délivre son code ou je ne sais quoi uniquement après authentification biométrique ?
Par exemple si l’appli dédiée est appairée à un compte officiel tel que France Connect pour récupérer les données biométriques du majeur que ce compte officiel aurait déjà à disposition.
*Je laisse les guillemets car même avec la biométrie on a vu des faux positifs entre membres de la même famille (fiston qui peut déverrouiller le téléphone de maman par exemple). Outre les faux positifs on peut imaginer un mineur qui authentifie un majeur à son insu pendant qu’il dort, par exemple.
Ou alors ces failles que je viens d’exposer entrent dans ton propos du fait de l’obligation de résultat imposée par la loi ?
Le 07/02/2023 à 18h 01
Cf mon commentaire sur la page précédente.
Ton exemple est bancal : la banque vérifie ton approbation parce qu’elle a été contactée par un site qui tente de faire un paiement via ta CB. La banque sait donc quel site l’a contactée et à propos de quelle CB (donc elle connaît ton identité, comme tu l’as dit toi-même).
Si c’est le téléphone qui génère le token alors c’est falsifiable à gogo (le secret dont est issu le token est entre les mains de l’utilisateur). Un intermédiaire entre les mains de l’utilisateur peut être modifié/détourné par ce dernier.
Si c’est un tiers de confiance (par exemple la banque) alors ce dernier a accès à ton identité + le site concerné : gros problème de vie privée.
Le 07/02/2023 à 17h 27
Je te retourne la question : Quel rapport ?
Le sujet c’est effectuer un paiement auprès d’un site web pour prouver qu’on est majeur. Il n’y a pas de tel intermédiaire quand tu entres ta CB sur un site, il a accès à ton identité pour la facturation.
Au passage, en France il me semble qu’il est possible d’avoir une CB sans être majeur.