Le 18/01/2024 à 20h 16

Alcool.

Le 18/01/2024 à 20h 13

Va dire ça à Aeris22/Imirhil qui a signalé à la CNIL le même supermarché plusieurs fois car une caméra pointée sur des TPE a son flux vidéo non censuré affiché aux yeux du public à l'accueil.

Par contre de mémoire il disait que c'était pas un problème côté données personnelles que ça soit pas censuré du moment que la vidéo est pas accessible à tout le monde. Ce qui m'a étonné.

Le 18/01/2024 à 20h 05

A une époque il y avait même quelqu'un pour manipuler l'ascenseur à ta place. Apparemment la raison était que les ascenseurs étant nouveaux, les gens avaient peur de les utiliser par eux-mêmes.

Le 18/01/2024 à 09h 15

Et si nous sommes abonnés ici, c'est que nous discutons entre intéressés, voire passionnés, mais vous avez une idée du gouffre qui nous sépare des autres ? C'est pour ça que c'est une folie de tout numériser et de donner ensuite une responsabilité à l'utilisateur de sécurité (et ça va être de sa faute si toute sa vie privée est copiée à l'infini suite à une fuite ? Mais il n'a jamais voté pour s'exposer comme ça, en connaissance de cause, derrière de maigres sécurités ! Il n'a pas la moindre idée des possibilités de ce monde au-delà de ce qu'il comprend de ce qui s'affiche sur son écran !).

Parfaitement d'accord. L'informatique est un outil bien trop puissant et à l'impact bien trop lourd si ça tourne mal, comparé aux compétences de l'individu moyen la manipulant ou y étant exposé. Les Anglais ont un dicton du genre "donner une lame de rasoir à un singe". Aucun mépris dans le terme singe, je me mets dedans, bien que je sois dev et passionné du sujet.

Sans parler de la notion d'ordinateur fatal, qui pousse la réalité à se plier à un modèle informatique (qui peut être limité ou erroné) et pas l'inverse, comme l'explique Benjamin Bayart : https://www.youtube.com/watch?v=7VnJ_NiiHas&t=1623s.

Le 16/01/2024 à 10h 03

J'ai le sentiment que de plus en plus de gens se sentent totalement dépassé par l'informatique et ses règles qui changent trop vite par rapport à la capacité que l'humain moyen d'apprendre.

Parfaitement d'accord ! On fera jamais plus simple qu'avoir une clé à mettre dans une serrure.

Avec la réduction progressive du nombre de PC et de la partie de la population qui est vraiment à l'aise sur le sujet, je pense que l'on risque le rejet total de la technologie.

Comment ça ? Certes il y a de moins en moins de gens qui savent utiliser un ordinateur, mais c'est parce qu'ils utilisent uniquement (et beaucoup) un smartphone ou une tablette, pas parce qu'ils rejettent la technologie.
Néanmoins je pense que "se sentir dépassé par l'informatique" est très lié au fait que les gens n'utilisent quasi plus qu'un smartphone ou une tablette : Ils sont enfermés dans des écosystèmes applicatifs conçus pour faire de la rétention au maximum et avec une ergonomie aux petits oignons qui les assiste beaucoup. Résultat ils sont perdus dès qu'ils sortent de leurs applis habituelles car ils n'ont jamais eu à développer la compétence "galérer sur un PC et chercher comment faire telle chose".
Une prof de collège ou lycée m'avait expliqué que pas mal d'élèves avaient des difficultés en informatique pour accomplir des tâches que l'on considère comme "simples" : copier/déplacer un fichier d'un dossier à un autre, envoyer un email... Peut-être parce que sur smartphone il n'y a pas de gestion de fichier aussi libre que sur PC ni d'arbo claire, et qu'aujourd'hui la plupart des communications numériques se font par WhatsApp.

Perso, quand j'ai dû changer le mot de passe de cette puin d'application des chèques vacances sur laquelle je dois me loguer à chaque fois car ils imposent un changement régulier, je les ai aï. Taper un vrai mot de passe sur un tel, pour ouvrir l'application au moment de payer, c'est juste une horreur ergonomique.

Le changement régulier est déconseillé par l'ANSSI, le problème ici c'est avant tout l'appli qui fait n'importe quoi. Je te rejoins sur la galère de taper des mdp forts sur un clavier de téléphone/tablette, mais malheureusement les gens n'utilisent quasi plus que ça...
Et à mon avis c'est eux qui ont commencé, pas l'industrie. Mais cette dernière a suivi et entretient maintenant l'habitude, notamment en poussant les utilisateurs vers les applis mobiles car c'est là qu'elle met tout le budget, étant donné que la plupart des utilisateurs sont avant tout sur mobile.

Le 15/01/2024 à 12h 07

intérêt d'un mot de passe qu'on ne peut pas retenir et donc taper sur une machine qui n'est pas la nôtre et où on ne dispose pas de notre fameux gestionnaire rendu indispensable ?

Côté aisance de frappe, opter pour une phrase de passe plutôt que mot de passe pour les comptes que tu es susceptible d'utiliser sur des appareils où le gestionnaire n'est pas présent. Le problème étant que la plupart des sites imposent la présence de caractères spéciaux et compagnie, voire limitent la longueur du mdp au point où une phrase de passe serait trop faible.

Côté mémoire, aujourd'hui c'est impossible d'avoir des mots de passe sécurisés ET que tu peux retenir, car tu as des dizaines de comptes nécessitant tous un mot de passe fort et unique.

la double authentification oblige à avoir un smartphone Android/iOS récent car les applications sont en général uniquement compatibles avec ces deux OS, en plus donc du terminal utilisé (PC...). Ou de prendre le risque d'utiliser une VM Android pleine de "télémétrie"...

C'est à peu près les deux seuls OS qui sont vraiment utilisés par une part non négligeable de la population. De plus il existe des logiciels sur PC permettant de générer les codes 2FA.
Si le téléphone est trop vieux pour gérer l'appli, deux cas :
- c'est un smartphone et il faut arrêter de l'utiliser car n'étant plus maintenu il est bourré de failles de sécurités (du genre prise de contrôle totale juste en t'envoyant un MMS)
- ce n'est pas un smartphone, mais ça reçoit des SMS, reste plus qu'à espérer que le site proposant la 2FA la propose aussi par SMS

Ne pas oublier la 2FA par email aussi, ça reste assez répandu, et là pas besoin d'un 2e appareil.

Pour le reste de ton propos tu prônes l'abandon de l'informatique : Je ne me prononcerai pas sur le bien ou le mal de la chose, mais le fait est que ce n'est pas du tout dans cette direction que nous allons.

Le 13/01/2024 à 17h 36

Par app dédiée j'entendais une app comme Authy, Google Authenticator, etc. Avec ce genre d'app tu peux au moins faire une sauvegarde du QR code : Lorsque le site te l'affiche quand tu actives la 2FA, tu enregistres l'image ou fais une capture d'écran.
En plus de cette sauvegarde "à la mano", certaines applis permettent une fois le QR code flashé d'accéder aux seeds (la donnée dans le QR code) voire ont une fonctionnalité d'export. Ca permet donc de faire une sauvegarde.

Pour de la 2FA par une app propre au service (banque, Steam, Battle.net...) c'est pas franchement possible je dirais. Sauf si ton smartphone est jailbreak peut-être, mais si c'est le cas l'app de la banque refusera probablement de fonctionner donc ça aidera pas au final.

Dans ce cas faut voir avec la banque ce qu'elle prévoit côté secours : Normalement les services permettant la 2FA te fournissent aussi des codes de secours que tu peux entrer à la place du code 2FA. Ca permet au moins de se connecter une fois histoire de désactiver puis réactiver la 2FA sur un autre appareil.

Si ta banque ne propose rien côté secours ils sont mauvais. Ce qui ne serait pas étonnant, les banques étant souvent à côté de la plaque côté sécurité. Moi la 2FA de ma banque c'est un code envoyé par SMS une fois tous les 6 mois. Je vois pas à quoi ça sert mis à part s'assurer tous les 6 mois que j'ai pas changé de numéro de mobile xD

Le 13/01/2024 à 14h 09

Par contre, tu as raison sur les services qui ne déconnectent pas au changement de mot de passe, et la mauvaise gestion des jetons JWT (qui doivent avoir une durée de vie très courte en réalité pour être sécurisés).

A mon humble avis le JWT est pertinent uniquement lorsque la bdd contenant l'utilisateur et se chargeant de l'auth est gérée par un tiers plutôt que par le site. Ca évite de requêter ce tiers à chaque requête de l'utilisateur pour récupérer les informations de ce dernier ou authentifier la requête. Auquel cas le JWT agit un peu comme un cache.
Mais dans la plupart des cas la bdd est gérée par l'appli consommée par l'utilisateur, donc l'intérêt me semble très très limité: Si récupérer un utilisateur en bdd est lent l'appli a des gros soucis d'optimisation.

En outre, même si la bdd est gérée par un tiers, des données aussi critiques que l'auth je trouve ça mal venu de les mettre en cache : Ca me dérange le fait de trouver ça acceptable qu'on puisse ne pas virer un attaquant quand on veut car on doit attendre que le "cache" (le token) expire. Tout ça pour faire l'économie d'un hit à la bdd/API tierce.

Beaucoup de sites utilisent le JWT uniquement parce que c'est la mode. Et aussi pour y stocker et récupérer des données utilisateur (pseudo, adresse email) pour les afficher en front, ce qui est un gros problème de sécurité : Ils vont stocker le JWT dans un espace accessible au JS (probablement le local storage, bien qu'un cookie sans le flag HttpOnly fasse aussi l'affaire), ça signifie que le JWT peut être volé en cas de faille XSS (cf https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html#local-storage)

Le 13/01/2024 à 10h 33

C'est toujours bon, ça ne coûte rien et évite bien des soucis, car si une nouvelle connexion arrive, on peut très rapidement agir et changer son mot de passe.

Bof. Je te pirate en pleine nuit, le temps que tu vois la notif le lendemain matin j'aurai fais mon office depuis plusieurs heures.

Même si c'est pas en pleine nuit, du moment que l'attaque est automatisée les dégâts seront faits en quelques secondes. Peut-être même avant que la notif arrive jusqu'à toi.

Changer de mot de passe suite à une telle notif c'est comme changer de serrure une fois qu'un cambrioleur est passé. Ca peut l'empêcher de revenir mais ça n'empêchera pas les dégâts de son premier passage.

D'ailleurs c'est même pire que ça : De nombreux sites ne virent pas les utilisateurs actuellement connectés à ton compte si tu changes de mot de passe. Donc c'est un peu comme changer la serrure alors que le cambrioleur est toujours chez toi, sans possibilité de le forcer à partir.
Sur ce sujet cf par exemple les classements de Bitwarden comme https://bitwarden.com/blog/industry-leaders-security-rankings-personal-email-services-edition/, regardez le nombre de sites qui ont "Does not require login using new password".
Ca a tendance à être le cas notamment des services utilisant JWT, car par défaut le JWT est décorrelé des informations du compte utilisateur, et ne sera donc pas impacté si elles changent (mot de passe, adresse email...). Le JWT restera donc valide jusqu'à sa péremption, ce qui peut prendre plusieurs minutes à plusieurs heures voire jours.

Donc au mieux une telle notif va te permettre de prendre tes dispositions pour contrer le piratage en prévenant les gens que ça pourrait impacter, en bloquant ta CB, etc. Mais elle n'empêche pas le piratage, qui a déjà eu lieu.

Deuxième intérêt d'une telle notif : Ca peut éviter à un pirate de maintenir dans le temps un accès furtif à ton compte. Et encore, cf ce que j'ai dis sur les services qui ne virent pas les utilisateurs actuellement connectés quand tu changes ton mot de passe.

Edit: Pas dingue votre nouveau WYSIWYG Next, ça gère pas les URLs automatiquement, pas de bouton pour en créer une (donc faut connaître le markdown), et même en connaissant le markdown impossible de faire une citation.

Le 13/01/2024 à 10h 11

Un service proposant la mise en place de la 2FA doit aussi proposer des codes de sécurité à entrer au cas où l'appareil générant la 2FA n'est pas disponible.

Faire des sauvegardes des QR codes 2FA est aussi une option. Un logiciel spécialisé peut ensuite exploiter le QR code pour générer le code 2FA, pas besoin d'attendre le nouveau smartphone.

Le 13/01/2024 à 09h 35

La 2FA par SMS est la pire 2FA. C'est mieux que pas de 2FA, mais si ton opérateur mobile se plante et transfert ton numéro sur la SIM d'un attaquant se faisant passer pour toi, c'est cet attaquant qui va récupérer le code et pas toi. C'est déjà arrivé de nombreuses fois et arrivera encore. Ca s'appelle le SIM swapping.

La 2FA via une app dédiée n'a pas se problème mais elle en a un autre : Augmentation de la charge du support client du service concerné par les utilisateurs qui n'ont plus leur smartphone et s'aperçoivent que, comme la plupart des gens, ils n'ont pas fait de sauvegarde. Donc ils sont enfermés dehors.

Le 13/01/2024 à 09h 26

En effet. La CNIL a elle aussi mis à jour ses recommendations pour s'aligner : https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite. La force minimale recommandée va aussi varier en fonction des contre-mesures présentes sur la plateforme (par exemple blocage du compte après n essais).

Edit: Tiens, j'ai dû faire le markdown de l'URL à la main, sinon le parser ne la rend pas cliquable.

Le 13/01/2024 à 09h 23

Attention à la sécurité du logiciel qui gère ton fichier texte : Il se peut par exemple que lorsque tu le modifies le fichier se retrouve avant sauvegarde dans le dossier temporaire de ton ordinateur. De mémoire c'est par exemple le cas de Notepad++ avec l'option backup/snapshot.
C'est aussi à ça que sert un gestionnaire : Les devs ont pris en compte les endroits où le mdp va se retrouver en clair et y font attention (mémoire volatile, mémoire non volatile, presse papier...).
C'est d'ailleurs une des mises en garde dans la doc de VeraCrypt: Même si le conteneur est chiffré, le logiciel qui exploite la donnée située dans le conteneur peut laisser des traces hors de ce dernier.

Attention au presse papier : Si ton OS a une fonctionnalité d'historique du presse papier et qu'elle est activée, tes mdp copiés sont en clair dans cet historique.

Pour finir, attention aux sites de phishing : Tu peux te faire avoir par une URL quasi identique voire véritablement identique (homographe, très peu répandu car l'utilisateur moyen sait de toute façon pas lire une URL du tout), ou même une URL bien différente si tu es pas réveillé ou pressé. Un gestionnaire intégré à ton navigateur et se chargeant de remplir le formulaire à ta place lui ne se fera pas avoir.

Le 13/01/2024 à 09h 11

Tout à fait, et tu peux le bloquer dans ton pare-feu pour t'assurer que même s'il est compromis il n'essaiera pas d'extraire tes données.

Le 13/01/2024 à 18h 55

Ça semble le cas de cette société qui utilise des solutions qui ne sont plus adaptées à l'état de l'art actuel : mots de passe en clair (ou dans le meilleur des cas hash SHA)1 et reCaptcha.

C'est chaud quand même côté mots de passe, bcrypt est recommandé depuis plus de 11 ans. Ca fait sacrément longtemps que la veille n'a pas été faite là...

Le nombre de petites sociétés non conformes doit être énorme.

Oh même les grosses. Un truc qui se fait beaucoup c'est hasher à l'état de l'art les nouveaux mots de passe mais garder les hashes vulnérables des mots de passe pas mis à jour depuis le changement d'algo.
Regarde le cas de EDF, sanctionnée par la CNIL en 2022 : ça stockait des vieux hashes en MD5, et en 2018 ça se "modernise" en utilisant SHA2 qui est pas plus adapté (mais au moins sans faille de sécu) mais il y a du progrés : le retard par rapport à l'état de l'art passe de 20 ans à 10 ans...

Le 13/01/2024 à 18h 53

Exactement, reCAPTCHA est soit illégale soit inutile dès lors que le RGPD s'applique :
- Soit tu recueilles pas le consentement et n'es donc pas conforme au RGPD
- Soit tu conditionnes la présence de reCAPTCHA au consentement préalable de l'utilisateur, et s'il ne consent pas ben pas de captcha pour lui (donc la présence de la captcha est inutile, vu qu'on peut choisir de ne pas "l'activer").

Le 17/12/2023 à 14h 13

Concernant chiffrement/cryptage et en tant que web dev, perso j'ai un peu lâché le combat pour me concentrer sur le fond de l'échange avec mon interlocuteur.
La raison étant que peu importe si l'interlocuteur est un profane ou un collègue dev, qu'il utilise ou non le bon terme ne va pas vraiment m'aider à comprendre de quoi il parle.

Par exemple en me disant "les mots de passe du site sont cryptés" mon interlocuteur peut en réalité vouloir me dire différentes choses qui n'ont rien à voir et vont conditionner ma réaction :
- ils sont uniquement chiffrés, c'est mal car ils sont récupérables si la clé de chiffrement fuite
- ils sont encodés, c'est mal car c'est comme s'ils étaient en clair
- ils sont hashés, ça peut être bien mais ça peut aussi être mal, tout dépend de l'algo
- ils sont hashés puis chiffrés, idem

En me disant "les mots de passe du site sont cryptés", mon interlocuteur même s'il est dev mais pas franchement au point côté sécurité, veut dire "c'est sécurisé mais je sais pas trop comment ça marche", ce qui équivaut à dire qu'il n'a en réalité aucune idée de si c'est réellement sécurisé.
Partant de là, je vais alors lui demander quel(s) algo(s) sont utilisés, et j'aurai vite une information claire sur la réalité technique derrière la phrase "les mots de passe du site sont cryptés". A moins que mon interlocuteur n'en ait aucune idée, auquel cas on en reste au stade qu'il ne sait pas.

Imaginons maintenant que mon interlocuteur ait employé la bonne terminologie et dit "les mots de passe du site sont hashés". Est-ce que ça suffit pour que j'ai une information claire sur la réalité technique ? Non, je dois quand même demander l'algo impliqué, car si ce n'est pas bcrypt ou argon2id on a potentiellement un problème. Et même si c'est ces deux derniers on peut avoir un problème en fonction de la manière dont ils ont été configurés.
D'ailleurs, ici encore, même si le bon terme a été employé, peut-être que mon interlocuteur en a une compréhension erronée. Je ne peux en avoir le coeur net qu'en lui demandant l'algo impliqué.

En résumé, au lieu de s'arrêter au terme employé mieux vaut demander à l'interlocuteur des détails, vous n'y couperez pas si vous voulez avoir une info fiable.
Et si l'interlocuteur est un profane, cf l'article, adaptez votre discours et vos attentes, n'exigez pas une maîtrise du sujet, c'est absurde et déplacé.

C'est la même pour le chiffrement. Même si mon interlocuteur utilise le bon terme et me dit "ces données sont sécurisées par chiffrement", ça ne me dit pas si :
- la clé est suffisamment forte
- la clé est stockée et éventuellement communiquée de manière sécurisée
- l'algo est sécurisé
- l'implémentation de l'algo est sécurisée
- les données sont bien chiffrées partout où c'est important (coucou Zoom qui "confond" chiffrement de bout en bout et TLS)
Or ces informations peuvent totalement changer le sens de "ces données sont sécurisées".

Le 19/10/2023 à 10h 20

La nouveauté c’est la simplicité de génération de fakes de plus en plus poussés (ou “bons”, comme tu dis) par quelqu’un sans compétences particulières. Ce qui risque de les faire pulluler.

Rechercher la première occurence c’est bon pour les images publiques.
Quid par exemple de la photo pornographique d’une personnalité politique à quelques semaines ou mois d’une élection ? Par définition ce genre de photo provient de l’intimité et n’est donc pas vérifiable. La cible pourra bien nier autant qu’elle veut, elle l’aurait aussi fait si la photo n’était pas un fake : le doute et le buzz des médias suffiront à salir sa réputation, et quand tu vois que les élections en général ça se joue à très peu de voix…

L’IA va être un outil effroyablement efficace pour décribiliser publiquement des gens en prétendant qu’ils ont fait telles choses ou tenu tels propos dans leur intimité. Propos racistes, nudes, apparition discrète avec telle personnalité controversée soit disant prise en photo par un paparazzi (la cible et la personnalité nieront, comme elles l’auraient fait si ce n’était pas un fake)…

Le 15/09/2023 à 10h 25

Continuons de nous donner bonne conscience en regardant les vidéos en basse résolution pour économiser deux grammes de co2 pendant que la majorité des entreprises du tertiaire avec leur mentalité boomer impose toujours aux collaborateurs de se taper 30+ minutes de bagnole tous les jours pour aller au bureau devant un ordinateur et faire de la réunionite où on va entre autres “sensibiliser” au fait d’envoyer moins d’emails pour sauver la planète.

Pas étonnant que les ados soient dépressifs et anxieux face au futur, quand ils voient comment leurs aînés prennent la situation au sérieux.

Le 14/09/2023 à 08h 11

Tout à fait.

Conférence très intéressante d’un chercheur sur le sujet :
Grégoire Borst - Le cerveau des enfants et des adolescents face aux écrans (02/02/2022)
https://www.youtube.com/watch?v=CtWWDY4aW2Q

Il présente de nombreuses études et les nuance.

Le chercheur passe beaucoup de temps à expliquer la différence entre corrélation et causalité, loin de la science de comptoir et du buzz.

Le 09/08/2023 à 06h 48

On y croit. Le tout contrôlé par personne ou au mieux une entité sans pouvoir contraignant, qui “alertera” une énième fois dans un énième rapport consultatif que personne ne lira.

Le 03/08/2023 à 17h 40

La plupart des bannières cookies ont des dark patterns, donc forcément les utilisateurs sont conditionnés à accepter machinalement, car ils savent que s’ils tentent de refuser ils vont perdre du temps dans des sous menus alors qu’accepter se fait en un clic sur le gros bouton coloré.
Les stats de la CNIL sont donc une farce, tout comme elle qui laisse ces violations proliférer.

La position des autorités sur le cookies wall est pitoyable et absurde.

La navigation privée est insuffisante : Les traceurs sont toujours déposés. Certes temporairement, mais ils siphonnent quand même le temps de la session.

La meilleure extension c’est uBlock Origin car elle bloque la plupart des traceurs, que tu acceptes ou non (et sur beaucoup de sites on te trace dès que tu arrives ou même si tu refuses…)
Je ne vois pas l’intérêt d’installer des extensions comme Facebook Container ciblant tel ou tel traceur/entreprise spécifiquement, on aurait toujours une longueur de retard et ça serait sans fin. Il y a d’autres grands annonceurs, Facebook n’est pas le seul.

xlp a dit:

Pour ma part : pas de javascript en général

Tu dois bien t’amuser à utiliser le web moderne sans JS… Ce n’est pas réaliste.

Le 03/08/2023 à 14h 47

J’attends de voir la tête de la demande de consentement. S’il y a du dark pattern dans tous les sens ça ne changera pas grand chose pour la majorité des utilisateurs malheureusement.

Je m’attends à encore des années de pirouettes juridiques pour qu’il soit reconnu que le consentement n’est pas libre et donc nul. Mais évidemment en pratique ça ne sera pas rétroactif et le mal sera déjà fait pour les utilisateurs existants.

Le 26/06/2023 à 09h 20

Fuyez LastPass, il est plus que temps.

https://infosec.exchange/@epixoip/109585049354200263

Et PBKDF2… Rofl. Pendant ce temps chez Bitwarden on invite les utilisateurs à passer à Argon2id, algo à l’état de l’art côté résistance au brute force.

Le 09/05/2023 à 07h 20

Par mesure de sécurité, la base de données cernée stockait les mots de passe et les numéros partiels de carte de crédit sous forme hachée et dans un format chiffré (avec salage) .

Si c’est haché et qu’il y a salage c’est du hachage, pas du chiffrement. La phrase d’origine ne dit pas ça : “In addition, the database contained, in encrypted format, hashed and salted passwords and partial credit card numbers.”

Ce qui signifie que ces champs de la bdd contiennent des hashes salés et qu’en plus ils sont chiffrés au repos. Ce n’est pas le chiffrement qui est salé.
Ce ne sont d’ailleurs que les mdp qui sont hachés (puis chiffrés au repos), les numéros de CB quant à eux sont seulement chiffrés au repos.

Il est regrettable que l’entreprise ne communique pas sur l’algorithme de hachage utilisé, car s’il est inadapté et que le mdp est faible alors c’est quasi comme s’il n’y avait pas de hachage du tout. Ca donnerait aussi une idée du fait que WD respecte les bonnes pratiques et l’état de l’art ou non.

Le 08/05/2023 à 16h 57

Rappelant que « le chiffre [la cryptologie, NDLR] est le socle de notre protection », il précise que la précédente LPM a « amplement contribué, en y consacrant environ 60 % de l’investissement important consenti dans le cyber », à réparer une « dette technique élevée » dont pâtissait le ministère des Armées, et que l’effort sera poursuivi dans la prochaine LPM :

« Il y va de la sécurisation de nos liaisons de données et de la garantie de notre interopérabilité avec les alliés, qui suppose, pour échanger avec eux des messages importants et confidentiels, d’être crédible et de disposer d’un niveau de chiffrement de haute qualité. »

En quoi consistent ces investissements ? Les algorithmes existent déjà et des implémentations sont disponibles gratuitement et librement dans de nombreux langages et librairies, non ? Utiliser de la cryptographie de “haute qualité” est à la portée de tous les développeurs aujourd’hui. TLS, Signal…
Ou il s’agit de mettre à jour des machins tellement vieux qu’ils ne supportent pas les standards actuels ?

Cela dit, en voyant par exemple ça, en effet il y a du boulot. https://cryptcheck.fr/https/www.defense.gouv.fr

Le 02/05/2023 à 14h 31

Conformité c’est vite dit. Etant de nationalité US ils restent automatiquement incompatibles avec le RGPD, cf l’arrêt Schrems 2 de la CJUE.

Le 24/04/2023 à 19h 19

J’oubliais, c’est l’occasion de mentionner la vidéo Javascripto !

https://www.youtube.com/watch?v=4GDFeVhGBew

Le 24/04/2023 à 17h 44

Exagone313 a dit:

J’utilise uMatrix (qui n’est plus maintenu) et je désactive le JS, les vidéos et le contenu tiers par défaut sur les sites que je ne connais pas. Ça protège de la majeure partie des failles de sécurité comme le CSRF, les bugs dans le JS, les mineurs de cryptomonnaie ou le tracking trop poussé (genre capturer tous les mouvements de souris).

Plus trop d’actualité le CSRF de nos jours (same-origin policy, cookie SameSite…), tu ne parles pas plutôt du XSS ?

Techniquement on peut capturer les mouvements de souris via CSS, à voir si des sites s’embêtent à mettre ça en place juste pour tracer les quelques utilisateurs qui désactivent JS.
https://www.bleepingcomputer.com/news/security/researcher-finds-css-only-method-to-track-mouse-movements/

SebGF a dit:

Et si y’a un truc que je déteste avec les sites en JS (NXI y compris), ce sont les boutons “unresponsive” sur lesquels on va cliquer et qu’on a aucune idée de si cela a déclenché réellement un événement ou pas. Quand j’ai une barre de progression ou le bouton refresh du brouteur qui passe à “X”, je sais qu’il se passe un truc. Quand je clic un bouton et here goes nothing, ça me gave. Typiquement sur ce site, je suis régulièrement amené à cliquer trois ou quatre fois sur le bouton “Envoyer” d’un commentaire qui ne semble pas réagir du premier coup. C’est nul côté expérience utilisateur. Ca doit être aussi une raison pour laquelle le JS ne m’a jamais attiré.

C’est pas un problème inhérent au JS, tu peux très bien faire en sorte que le clic ajoute un spinner voire disable le bouton le temps que l’action se fasse. Disable le bouton permet au passage d’éviter que l’action soit déclenchée plusieurs fois si l’utilisateur s’impatiente et bourre le bouton ou en cas de double clic (les fameux commentaires en double par ex).

Malheureusement il est vrai que souvent l’UX pêche sur les sites avec beaucoup de JS. Outre ton exemple, on peut aussi citer cette manie de ne pas utiliser l’API History du navigateur, ou pas “fidèlement”, donc tu navigues entre plusieurs “pages”, sous-rubriques, etc, et tu dois tout faire au clic gauche, pas possible :

• d’ouvrir un “lien” dans un nouvel onglet (vu que c’est pas un lien)


• de partager à un tiers l’exacte “page” sur laquelle tu es, parce qu’elle est pas fidèlement voire pas du tout “représentée” dans l’URL. Ou de mettre l’URL en favoris, par ex une recherche avancée précise sur un site de petites annonces ne mettant pas les critères dans l’URL en query string.


• d’aller en avant/arrière entre les “pages”

Le 24/04/2023 à 17h 54

Le Royaume-Uni, toujours dans une compétition de mauvaises idées dans le numérique, concurrent de l’Australie et sa fameuse “The laws of mathematics are very commendable, but the only law that applies in Australia is the law of Australia”.

Le 16/04/2023 à 10h 12

Attention, dans le cas d’un piratage, il est possible que l’information affichée sur le site ait été elle-même modifiée. Ce sont cependant des cas rares.

Qu’est-ce qui permet d’affirmer que c’est rare ? Et si ça l’est, est-ce plus rare que d’avoir uniquement le fichier modifié sur le serveur qui l’héberge ?

Exactement. Le seul cas où je vois un intérêt de vérifier le hash soi-même c’est si le fichier a été modifié ET que c’est seulement la machine qui l’héberge qui a été compromise, ET que c’est pas la même machine que celle qui héberge le site avec le hash et le lien. Sinon, si c’est le site lui-même qui est compromis, le pirate peut très bien changer le hash ET le lien de téléchargement pour qu’il pointe vers le fichier vérolé correspondant au hash.
Bref ça fait beaucoup de si pour que ça ait une utilité…

Ou pas, SHA c’est du hachage cryptographique et c’est très rapide, c’est même le but. La lenteur c’est avant tout pour éviter le brute force il me semble, principalement dans le cas du hachage de mots de passe. Quand on parle de hash de fichier et de collision je suis pas sûr que ça soit la vitesse l’angle d’attaque, plutôt les opérations réalisées et les éventuelles failles qui en découlent.

Le 01/04/2023 à 17h 24

AnoNyMeuh a dit:

Le “web analytics” totalement anonymisé fournit déjà pas mal d’infos qui peuvent être suffisantes (d’où viennent les utilisateurs, quelles pages sont les plus consultées, quel matos ils utilisent…

Le referer et l’user agent sont des données à caractère personnel s’il est possible d’identifier un individu en les recoupant à d’autres données.

En effet les google fonts sont un très bon exemple. Du point de vue du commanditaire du site (celui qui te demande de créer un site pour lui), il s’en tape totalement, il veut une jolie police, il a repéré celle là sur un site qu’il aime bien, et il serait hors de question de payer des royalties massives pour obtenir une licence sur une police payante.

Les Google fonts sont téléchargeables et servables en first party, rien n’oblige à passer par le CDN de Google.

Même chose pour les analytics où d’un côté tu as Google Analytics avec tout ce qu’il faut pour zéro euro (toujours pour le commanditaire), installable en 1 clic et de l’autre… du gros bordel généralement pas top, pas user-friendly, …

Tout à fait. L’argument à opposer au commanditaire devrait être l’amende qu’il risque mais pour ça il faudrait qu’il ait une forte probabilité de se prendre une amende et que le montant soit dissuasif, ce qui est actuellement loin d’être le cas.

Le 30/03/2023 à 10h 31

Là on peut pointer du doigt le manque de moyens de la CNIL.

C’est pas dit. Son homologue espagnole a à peu près le même budget et pourtant : 601 des 1702 condamnations au sein de l’UE, contre 34 pour la CNIL… (source : https://www.enforcementtracker.com/)

AnoNyMeuh a dit:

Revenir à l’analyse de logs n’est souvent pas viable (pas toujours accès sur du mutualisé, demande beaucoup de ressources, certaines informations sont manquantes car uniquement accessibles via du JS…)

Les logs contiennent des données à caractère personnel (DCP), donc les traiter pour faire de l’analytique nécessite consentement préalable. Je le rappelle au cas où : Le RGPD encadre les traitements de DCP dans leur globalité, que ça soit via cookies, logs, bdd…

Faire de l’analytique avec la législation actuelle n’est pas vraiment possible à mon avis :

• soit elle est totalement anonymisée (pléonasme) et les informations que tu en retires sont alors très limitées et difficilement exploitables


• soit elle n’est pas anonymisée et nécessite donc consentement préalable, ce qui signifie que la plupart des gens ne va pas consentir (les solutions promettant >80% de consentement usent des dark patterns abordés dans l’article et sont donc illégales), donc les informations que tu en retires sont ici encore très limitées et difficilement exploitables

Ensuite, tu veux intégrer le moindre petit outil, plugin ou équivalent, même une bête vidéo hostée sur Youtube, bam, tu regardes et ça te fout 3 cookies alors que tu n’as rien demandé. L’autre jour un client me demande d’intégrer “Crisp”, un système de chat assez sympa. C’est une solution commerciale (même s’il existe une version gratuite) et l’inclusion de leur JS entraine masse de cookies…

Bref, ça devient la jungle et en effet pour un bête site vitrine montrant ton offre de pizza, tu te retrouves à devoir demander le consentement pour 15 cookies :(

C’est le drame de l’UE : dépendance à des technos tierces (probablement US) qui ne respectent pas la législation UE. D’ailleurs pour rappel toute solution de nationalité US traitant des DCP est automatiquement contraire au RGPD, point. Cf l’arrêt Schrems 2 de la CJUE. Ce qui signifie que rien qu’un CDN US comme Google Fonts ou Akamai c’est nope, car il traite au minimum l’user agent et l’adresse IP du visiteur du site sur lequel il est appellé.

Plus globalement, le secteur du web fait n’importe quoi côté DCP depuis des décennies, donc forcément maintenant que les autorités se réveillent ça commence à piquer et beaucoup d’entreprises sont dans le déni et se comportent comme l’industrie publicitaire elle-même (notamment parce qu’elles en sont au moins partiellement dépendantes).

Le 02/03/2023 à 08h 33

La CNIL dit que l’utilisateur doit être informé au moment de la collecte :

• ça exclut donc la collecte via l’annuaire étant donné qu’elle ne se fait pas auprès de l’utilisateur et qu’on ne l’informe donc pas


• quand tu vois le nombre de personnes qui s’insurgent d’être constamment dérangées et disent ne jamais avoir été informées ni comprendre comment on a eu leur numéro, ça signifie qu’il y a globalement et factuellement un gros défaut d’information, qui est pourtant une obligation légale

Les entreprises qui prétendent qu’une pratique est légale car intérêt légitime dans la plupart des cas c’est de l’hypocrisie pour gagner du temps avant qu’une condamnation tombe (ce qui en France prendra des années voire n’arrivera jamais). Cette base légale de l’intérêt légitime est malheureusement beaucoup trop large et livrée aux interprétations, ce qui engorge les tribunaux et autres autorités trop souvent amenées à devoir trancher.

Côté interprétation voici la mienne : Le droit d’une entreprise de spammeurs/escrocs (j’y reviendrai) de déranger les gens jusque chez eux ne prime pas sur le droit de chacun à être tranquille chez soi sans se faire harceler par des voleurs. D’autant que personne (ou presque, j’y reviendrai aussi) ne répond favorablement à ce genre de démarchage : on est plus en 1950, les gens ont la télé, internet, le téléphone, l’annuaire, une voiture et des supermarchés, donc s’ils ont besoin d’un service ou d’un produit ils vont le chercher, ils n’ont pas besoin que Jean Michel les appelle ou se pointe devant leur porte pour leur vendre un truc -> ils savent déjà que le truc existe, savent comment le trouver s’ils en ont besoin, donc s’ils ne se manifestent pas c’est qu’ils n’en ont pas besoin.
A propos de l’emploi de “escrocs” et “voleurs” : Les seules personnes qui répondent “favorablement” à ce genre de démarchage (téléphone ou porte à porte, pour moi c’est le même niveau d’intrusion dans la tranquilité des gens) c’est les petits vieux, on est alors souvent dans de l’abus de faiblesse, ce qui ici encore ne fait pas du tout pencher la balance en la faveur de l’intérêt “légitime” de l’entreprise par rapport à celui du démarché.
On crève de la pub et des sollicitations constantes, tout le monde en a ras le bol, ça devrait clairement peser dans la balance de l’intérêt légitime.

Le 01/03/2023 à 12h 35

La plupart des démarcheurs c’est via achat illégal de coordonnées et pour te vendre des produits ou services qui n’ont rien à voir avec celui ayant conduit à la collecte initiale de tes coordonnées.

Tes propos sont trop génériques et ne collent pas à la réalité de terrain : La plupart des démarcheurs sont en totale illégalité car ils n’ont pas obtenu ton numéro de manière légitime (pas d’information au moment de la collecte) et te raccrochent au nez si tu cherches à exercer tes droits (leur dire de ne pas te rappeller, de te fournir l’identité de leur entreprise, comment ils ont eu ton numéro, etc).

En outre et là c’est mon opinion : Il est totalement absurde que les règles ne soient pas les mêmes que pour le démarchage par email, pour lequel la CNIL exige un opt-in préalable.
Seule exception étant pour te démarcher à propos de biens et services similaires à ceux que tu as déjà achetés à l’entreprise (et à elle seule, pas de démarchage en opt-out pour d’éventuels “partenaires”).
Cet opt-in avant démarchage téléphonique éviterait que les entreprises puissent prétendre avoir préalablement informé l’utilisateur quand cette information esten réalité un petit paragraphe noyé au milieu de 50 pages de CGV, CGU ou autre politique de confidentialité.
Absurde et dommageable, car il est bien plus difficile de filtrer en aval (avant qu’un humain soit dérangé) les appels de manière automatisée par rapport aux emails (filtre sieve, par ex). L’appel téléphonique est bien plus dérangeant et intrusif, ce qui à mon sens ne penche pas en sa faveur dans la balance nécessaire pour se prévaloir de l’intérêt légitime.

Le 01/03/2023 à 08h 13

Enfin, si le consommateur refuse ce démarchage lors de la conversation, il ne pourra pas être recontacté avant l’expiration d’une période de soixante jours calendaires révolus à compter de ce refus ».

Totale violation du principe de consentement établi par le RGPD. Les lobbies des spammeurs font bien danser le gouvernement…

Le 01/03/2023 à 08h 04

Pour rappel, dans la plupart des cas les démarcheurs sont de toute façon en violation du RGPD.
Comme souvent ce n’est pas une énième loi qu’il faut, c’est appliquer la législation existante.

Le 01/03/2023 à 12h 46

Ca me semble être une bonne pratique. Idéalement toute action critique ne devrait être faisable qu’après validation par plusieurs individus. Ca permet exactement d’éviter que tout foute le camp si un compte avec des droits admin est compromis.

Une expiration pourrait être plus propre oui, surtout si la confirmation est vulnérable au brute force. Par exemple s’il s’agit de cliquer sur un lien unique envoyé par email et ne vérifiant pas l’authenticité de la personne qui le clique (en gros si le lien est accessible et effectif sans être connecté).

Le 01/03/2023 à 08h 17

Pour ceux qui l’auraient manqué, LastPass c’est ce niveau de compétence : https://infosec.exchange/@epixoip/109585049354200263

Le 01/03/2023 à 12h 39

Rien que le fait que ça soit un site avec inscription et donc espace membre signifie qu’ils n’ont pas à te demander d’autre preuve que le fait que tu puisses te connecter au compte (donc il est bien à toi) voire que tu possèdes bien l’adresse email associée (par ex en t’envoyant un email avec un lien de vérification).

Le site lui-même devrait avoir un bouton dans l’espace membre permettant de demander la suppression des données.

Le 01/03/2023 à 08h 20

les organismes lui ont « demandé d’autres formes d’identification (telles que des détails personnels supplémentaires)

La classique infondée de “vérifier” ton identité en te demandant des informations qu’ils n’ont pas déjà et ne peuvent donc recouper avec rien en interne pour vérifier que c’est toi.

Le 01/03/2023 à 08h 07

KeePassXC extrêmement décevant sur Linux par rapport à KeePass (même pas XC) sur Windows. On dirait qu’il manque la moitié des fonctionnalités dans l’interface.
Par exemple quasi aucun format d’import accepté, là où KeePass sur Windows accepte les fichiers exportés depuis de nombreuses sources (LastPass, Bitwarden…), comme mentionné dans l’article.

Le 16/02/2023 à 07h 56

Ce qui me laisse dubitatif c’est comment on peut faire du chiffrement homomorphe ET authentifié en même temps, étant donné que la donnée chiffrée peut être modifiée sans connaître la clé…?

Le 11/02/2023 à 18h 01

(quote:2119042:skankhunt42 )
La solution serais de rétribuer le site qui à donné la réponse à “ l’ia ” en y rajoutant un bouton “ ceci vous à aidé ? “, en dessous de la réponse à la recherche. Et pour une recherche plus traditionnelle on pourrais aussi rajouter un système d’ancrage pour ne pas avoir à scroller le site en entier et tomber pile poil sur le bon paragraphe.

Je suis très dubitatif quant à l’efficacité d’une solution se basant sur une action facultative de l’utilisateur. La plupart des gens va “consommer” la réponse sans cliquer sur le bouton en question.
On le voit notamment sur YouTube avec la différence entre le nombre de vues et le nombre de likes.

Le 11/02/2023 à 17h 47

Si certains établissements voulaient utiliser la vidéosurveillance pour évaluer la qualité du service effectué par leurs employés, la CNIL ferme cette possibilité, « même lorsque les personnes concernées ont donné leur consentement, un tel dispositif apparaissant en principe disproportionné ».

Outre la disproportion, il est bon de rappeller qu’il serait très difficile devant un juge de faire valoir le consentement des employés en tant que base légale pour le traitement de données à caractère personnel (par ex surveillance vidéo) : Le RGPD prévoit que le consentement doit notamment être libre, ce qui implique qu’il ne doit pas être influencé ou obtenu sous la contrainte. Cela semble très difficile à prouver au vu de la relation de pouvoir entre l’employeur et l’employé.

Le 10/02/2023 à 08h 36

Wosgien a dit:

Mon avis: ça marche … mais c’est surtout pour ceux qui “pissent du code”: comprendre si vous avez besoin d’écrire un truc fastidieux, c’est génial, mais si vous concevez à l’ancienne avec toute un modèle objet et une bibliothèque à vous… Ca ne marche pas bien car il n’apprend pas bien votre structure.

Donc ça automatise la duplication de code, pas très DRY…

Pour l’analyse de code par contre, ça trouve des bugs qu’il faudrait des années pour débusquer et ça c’est cool.

Il semblerait. Ca a l’air de facilier le travail pour trouver des failles également, ou d’être capable de désobfusquer du code et ensuite de l’expliquer. Cf cette vidéo : https://youtu.be/610auZn645w

Le 08/02/2023 à 07h 59

(reply:2118956:consommateurnumérique)

Quel rapport entre un site web et une boutique physique ?
Tous les pays se cassent les dents en tentant d’encadrer l’accès des mineurs au porno sur le web, mais ils ont sans doute manqué une évidence dont tu as le secret.
Fais consultant et deviens riche, tu tiens un filon.

Le 07/02/2023 à 18h 22

SebGF a dit:

Même le POC proposé par la CNIL, s’il était très cohérent et bien foutu, a des failles pour moi dès qu’on parle de smartphone : rien ni personne ne peut garantir (car je rappelle que la loi et l’Arcom imposent une obligation de résultat) que la main qui le détient à cet instant et permet d’avoir accès au contenu soit celle d’une personne majeure. A moins de sévèrement attaquer la vie privée de cette dernière (sachant que les smartphones sont déjà conçus pour ce but, ça ne ferait que de fermer le cercueil du droit à la vie privée au pistolet à clous).

Pas moyen de “garantir”* ça en faisant en sorte que le téléphone délivre son code ou je ne sais quoi uniquement après authentification biométrique ?
Par exemple si l’appli dédiée est appairée à un compte officiel tel que France Connect pour récupérer les données biométriques du majeur que ce compte officiel aurait déjà à disposition.

*Je laisse les guillemets car même avec la biométrie on a vu des faux positifs entre membres de la même famille (fiston qui peut déverrouiller le téléphone de maman par exemple). Outre les faux positifs on peut imaginer un mineur qui authentifie un majeur à son insu pendant qu’il dort, par exemple.
Ou alors ces failles que je viens d’exposer entrent dans ton propos du fait de l’obligation de résultat imposée par la loi ?

Le 07/02/2023 à 18h 01

carbier a dit:

Qui parle d’un paiement avec CB ?

Cf mon commentaire sur la page précédente.

Ton exemple est bancal : la banque vérifie ton approbation parce qu’elle a été contactée par un site qui tente de faire un paiement via ta CB. La banque sait donc quel site l’a contactée et à propos de quelle CB (donc elle connaît ton identité, comme tu l’as dit toi-même).

Si c’est le téléphone qui génère le token alors c’est falsifiable à gogo (le secret dont est issu le token est entre les mains de l’utilisateur). Un intermédiaire entre les mains de l’utilisateur peut être modifié/détourné par ce dernier.
Si c’est un tiers de confiance (par exemple la banque) alors ce dernier a accès à ton identité + le site concerné : gros problème de vie privée.

Le 07/02/2023 à 17h 27

Je te retourne la question : Quel rapport ?

Le sujet c’est effectuer un paiement auprès d’un site web pour prouver qu’on est majeur. Il n’y a pas de tel intermédiaire quand tu entres ta CB sur un site, il a accès à ton identité pour la facturation.

Au passage, en France il me semble qu’il est possible d’avoir une CB sans être majeur.