Le 01/06/2023 à 06h 18

Oui, aucun intérêt à avoir WinRAR. Et même si c’est intégré dans Windows 11, ce qui est une excellente nouvelle, je préférerai continuer d’utiliser 7-ZIP pour créer des archives et les extraire.

Au moins, l’intégration proposée par Microsoft (en fait, l’utilisation d’une bibliothèque libre) fournira la possibilité d’extraire des archives protégées. Chose qui n’était pas supportée depuis trop longtemps (mais c’est parce que le composant utilisé ne le supportait pas, et Microsoft n’avait pas vraiment le contrôle dessus).

Le 26/05/2023 à 05h 53

Déjà que la Logitech G Cloud à 350 € est bien trop chère pour ce qu’elle est (et elle est pourtant compatible avec plein de services de Cloud Gaming), alors que dire de cet accessoire (uniquement compatible PS5) s’il sera vendu proche des 300 €…

Le 25/05/2023 à 13h 38

(reply:2134324:Ler van keeg)

Surtout que ce sont des successions d’images, au contraire des algorithmes vidéo qui sont plutôt vectoriels (mémorisent les changements entre chaque image).

Sinon le truc marrant, c’est que les GIF sont souvent secrètement convertis en véritables vidéos derrière pour les rendre moins lourdes

Le 25/05/2023 à 12h 33

misocard a dit:

Après je n’ai effectivement aucune idée de comment facebook voulait rentabiliser son utilisation (ni même shutterstock dans l’idée)

En établissant des profils publicitaires, ou du moins des profils d’utilisateurs. Probablement. C’est moins le contenu qui vaut de l’argent que son usage par les utilisateurs.

Intéressant, merci pour ces liens. J’irai regarder. N’empêche, je trouve quand même les GIF plus éco-friendly que de devoir passer par une IA à chaque fois (et je n’aurai jamais cru dire un jour que les GIF, un format lourd, sont plus “verts” ).

Le 25/05/2023 à 11h 45

(reply:2134263:Ler van keeg)

Truc de vieux, je ne sais pas. En tout cas sur WhatsApp, c’est quelque chose que je vois souvent (la recherche intégrée de GIF se fait en piochant dans Giphy justement).

(quote:2134260:127.0.0.1)
De toutes façons, les IA génératives vont balayer tout cela…

Pas certain. On parle là d’images animées, le plus souvent une séquence tirée d’une œuvre culturelle comme un film ou une série, un jeu vidéo, etc. Dans un cas comme celui-là, je vois mal ce qu’une IA pourrait apporter, sinon l’aide à la création de tels GIFS, mais il faudra quand même toujours une banque de données quelque part pour les stocker

Le 25/05/2023 à 05h 50

(reply:2134140:consommateurnumérique)

Pareil. J’avais bien aimé STD, mais aussi Better Call Saul, Altered Carbon, etc.

Le 24/05/2023 à 06h 55

Bonne question. Il y a longtemps, je sais qu’elle avait été sur Netflix (en Suisse du moins). Genre la première saison.

Le 24/05/2023 à 06h 25

(reply:2133950:consommateurnumérique)

Parfois, il y a tout de même de belles perles. Faut-il encore tomber dessus, ou qu’elles ne disparaissent pas du jour au lendemain (The Expanse )…

Le 24/05/2023 à 06h 53

Patatt a dit:

J’ai tendance à penser qu’en 2023, un service IT qui se veux sensibilisé à la sécurité devrait proposer un gestionnaire de mot de passe par défaut à tout le monde avec la partite formation qui va bien pour s’en servir correctement.

On l’a fait depuis peu ici en interne avec KeePass justement, qu’on utilisait déjà pour nos mots de passe sensibles.

Dans KeePass, les valeurs sensibles comme les mots de passe sont protégées en mémoire grâce à CryptoAPI de Windows. De mémoire, les valeur sont écrites dans des zones protégées de la mémoire dont aucun autre processus n’a accès et qui ne sont pas répliquées dans le fichier d’échange, par exemple. Dans le cas de cette faille, il y a eu un oubli qui fait que certaines informations exfiltrent quand même.

Le 23/05/2023 à 11h 56

Ou directement depuis la mémoire vive, plus simple pour un éventuel malware.

L’auteur ayant pu apporter un correctif, c’est bien une erreur de programmation qui peut ensuite mener à la chaîne d’exploitation que tu décris. Cela ne remet aucunement en question l’excellence du produit ni le sérieux du développeur, bien au contraire

Le 23/05/2023 à 11h 12

Qui a dit ça ?

Le 23/05/2023 à 09h 15

Je crois que tu as loupé la blague

Le 23/05/2023 à 06h 38

Le fait qu’une trace reste en mémoire vive peut être problématique, mais en réalité, à moins d’avoir sa machine compromise, ce n’est effectivement pas un réel problème en soi.

Sauf que l’article ne précise pas un point important : la trace du mot de passe peut aussi se retrouver dans le fichier d’échange (pagefile.sys) ou d’hibernation (hiberfil.sys) ! Et là, une attaque hors ligne peut être exploitée sur ces fichiers, surtout si le disque n’est pas chiffré. Risque particulièrement aggravé si le disque est jeté sans être formaté intégralement ou détruit. Prudence donc, en attendant le correctif.

Le 24/05/2023 à 06h 23

Je vais sûrement me faire l’avocat du diable, mais j’imagine qu’une telle fonctionnalité n’est pas forcément la plus triviale à implémenter, qui plus est dans le cadre d’un échange chiffré de bout en bout (E2E)

Le 23/05/2023 à 09h 19

C’est marrant comme les choses changent perpétuellement. Effectivement, de nos jours, Facebook est le réseau des parents et des grands-parents. Un réseau que les plus jeunes (la vingtaine et moins) délaisse de plus en plus au profit d’Instagram ou de TikTok.

Je me souviens qu’il y a environ dix ans de cela, tu étais has-been si tu n’avais pas un compte FB. Un réseau qui n’était pas encore plébiscité par les “adultes”

Et encore avant ça, MSN Messenger/Caramail/MySpace…

Le 17/05/2023 à 13h 22

Merci pour le lien ! Un autre article sur le sujet (en français) : https://wonderfall.space/password/

Le 16/05/2023 à 13h 11

Perso, j’ai configuré ma base pour une 1 seconde de délai avec un i7 4770 comme référence. Mon téléphone de 2018 arrive à l’ouvrir sans souffrir d’une lenteur extrême. Car c’est uniquement à l’ouverture et l’enregistrement que ce délai peut se faire ressentir, pas pour les autres actions.

Le 16/05/2023 à 11h 15

Je ne suis pas un spécialiste et je me permets à nouveau de citer la documentation de KeePass :

Argon2d provides the best resistance against GPU/ASIC attacks. The resistance of Argon2id against GPU/ASIC attacks is somewhat weaker, but Argon2id additionally makes certain side-channel attacks slightly harder.

Mais comme des attaques par canal auxiliaire sont peu pertinentes et moins praticables sur un PC “client” (pas un serveur), ils recommandent plutôt l’utilisation d’Argon2d.

Du reste, je te recommande fortement de lire cette rubrique dans l’aide si tu souhaites en savoir plus sur Argon2 et comment le configurer efficacement

Un dernier détail : tous les algos de chiffrement (AES ou ChaCha20) ou de dérivation de clé ne sont pas forcément supportés par tous les “forks” de KeePass (applications mobiles, KeePassXC, etc.). Attention au choix de ceux-ci si on ouvre une base de données KeePass avec plusieurs applications différentes. Par expérience, ChaCha20 est supporté dans KeePass2Android, mais j’ignore ce qu’il en est pour le reste…

Le 16/05/2023 à 08h 24

D’après la documentation de KeePass, un bon compromis (entre temps de chiffrement/déchiffremnt de la base et la sécurité apportée) est de sélectionner une valeur qui mène à un délai d’une seconde d’itérations (avec AES-KDF) sur sa(ses) machines(s). Selon la puissance de sa bécane, à l’heure actuelle, on est plutôt dans l’ordre des dizaines de millions que 60’000.

Sinon, en plus du classique AES-KDF, il y a la possibilité de choisir la fonction de dérivation Argon2. Ce dernier offre une meilleure résistance aux attaques des GPU/ASIC (du fait que la fonction est exigeante en mémoire vive).

Le 16/05/2023 à 05h 58

D’ailleurs, à celles et ceux qui utilisent KeePass, ne pas hésiter à augmenter le nombre d’itérations de la fonction de dérivation de la clé, dans les paramètres de la base. Le nombre par défaut est vraiment trop faible !

Le 16/05/2023 à 05h 57

Je me méfie toujours des outils ou articles qui essaient de quantifier le temps de “bruteforcer” un mot de passe. Selon la méthodologie employée (utilisation ou non de dictionnaires, nombres de symboles différents utilisés, puissance de calcul, etc.), les chiffres peuvent être très variables et ça peut donner un faux sentiment de sécurité. En plus, tout le monde n’a pas la même définition de ce que doit être un mot de passe robuste.

Le 16/05/2023 à 12h 09

Elles ne font pas très envies ces noms de domaines de premier niveau… Vivement .nxi

Le 11/05/2023 à 09h 40

Perso, ce que je comprends, c’est que Wordpress deviendra toujours meilleur en sécurité d’années en années grâce aux nombres de personnes qui essaient de l’attaquer et qui découvrent des failles. 2 millions de sites web vulnérables, mais si les webmasters font leur travail, ce sera aussi bientôt 2 millions de sites web patchés.

On peut critiquer Wordpress, et il y a de quoi sur bien des aspects, mais le CMS fait main par l’artisan du coin (ou une grosse boîte web) n’est pas forcément moins épargné par les failles. C’est juste qu’elles mettront plus de temps à être découvertes, et peut-être encore plus à être patchées si le développeur ne fait rien ou si les clients concernés ne sont plus sous maintenance…

Le 10/05/2023 à 06h 52

Ah les “chasseurs de tête” qui t’envoient des “opportunités” par douzaine… Ça irait si elle n’étaient pas si souvent mal ciblées (par ex, pas ton domaine d’activité, pas ton niveau de formation, pas le bon langage de programmation, pas la bonne langue parlée…).

Le 04/05/2023 à 14h 35

Uther a dit:

Malheureusement le EV pose certains problèmes, comme le fait que c’est trop facile d’obtenir un certificat avec un nom de société trompeur. C’est pour cela qu’ils ne sont plus affichés de manière particulière par les navigateurs : ça présentait plus de risques que de bénéfices.

J’apprends quelque chose. Wikipédia va dans le même sens :

Until 2019, major browsers such as Chrome and Firefox generally offered users a visual indication of the legal identity when a site presented an EV certificate. This was done by showing the legal name before the domain, and a bright green color to highlight the change. Most browsers deprecated this feature providing no visual difference to the user on the type of certificate used. This change followed security concerns raised by forensic experts and successful attempts to purchase EV certificates to impersonate famous organizations, proving the inefficiency of these visual indicators and highlighting potential abuses.

Le 04/05/2023 à 08h 04

Oui, mais ce que je regrette surtout, c’est que les sites avec certificats EV (vérification étendue) ne soient pas davantage mis en valeur comme auparavant. Lorsque tu es habitué à voir le site de ta banque “en vert” et qu’il finit par être indiqué comme n’importe quel autre site sécurisé, je trouve qu’on y perd un peu tout de même. D’autant que certaines banques mettaient en avant ce marquage supplémentaire comme un gage de sécurité (pas un site contrefait) auprès de leurs clients.

Le 04/05/2023 à 07h 10

Pourquoi pas finalement. Dans Firefox, l’icône est déjà très discrète… trop discrète ? Dans le cas de certificats EV, comme pour les banques, j’ai souvenir qu’elle s’affichait en vert avec un encadré de la même couleur qui mettait en exergue le nom de l’institution. Ce n’est plus le cas actuellement, dommage.

En fait, pour en revenir au sujet initial, c’est plus l’absence de HTTPS qui doit être clairement mis en avant que sa présence. Non ?

Le 27/04/2023 à 06h 45

Mais c’est une option ou c’est imposé ? Il va falloir que je migre d’application dans tous les cas, mais en attendant, je vais simplement ne pas faire cette mise à jour…

Le 25/04/2023 à 09h 55

Moralité : désactiver la 2G sur son téléphone ?

Le 21/04/2023 à 09h 59

Ah oui, effectivement, je le connais de nom pourtant mais je l’avais complètement zappé ! Merci.

Le 21/04/2023 à 09h 04

C’est dommage pour le prix, je trouve qu’il y aurait un marché pour des formules moins onéreuses (genre 1 à 2€/mois), quitte à ce qu’elles soient limitées d’une façon ou d’une autre.

Récemment, un retraité, utilisant l’outil informatique mais pas “power user” me demandait comment gérer ses mots de passe autrement qu’en les notant quelque part. Les offres actuellement sur le marché sont trop chères pour lui. Je lui ai bien proposé KeePass, mais il lui faut quelque chose de vraiment simple d’utilisation et synchronisé entre ses appareils (téléphone, PC).

Pour un utilisateur averti comme moi, ça ne me dérange pas de mettre mon conteneur KP dans un Cloud auto-hébergé et de faire des compromis pour l’utilisation sur mobile. Mais dans son cas, c’est une voie sans issue.

Bref, il faudrait quelque chose d’aussi simple que les ténors du marché, autant sécurisé que possible, mais à un tarif bas. Et force est de constater que je n’ai rien trouvé de tel…

Le 18/04/2023 à 12h 42

Voilà, je n’avais pas la terminologie exacte, mais je parlais bien des secret chats, qui n’est pas l’option par défaut. Non pas TLS, effectivement, mais MTProto.

Après, perso je préfère le chiffrement de bout en bout E2E de Signal (utilisé dans d’autres produits comme WhatsApp), éprouvé, mais c’est personnel.

Et non, je n’utilise pas le backup dans le Cloud de WhatsApp, par exemple, donc aucun GAFAM n’a connaissance de mes messages instantanés, ni mes fichiers d’ailleurs (NextCloud auto-hébergé)

Le 17/04/2023 à 11h 21

(reply:2129613antonQ-Robespierre)

Je suis d’accord, il y a une inversion des valeurs qui devient franchement inquiétante. De nos jours, plus besoin d’essayer d’argumenter et de réfléchir, il suffit d’accuser l’autre d’être une sorte d’ennemi (par l’usage de toutes sortes de termes très connotés) et c’est bon. Trop souvent, pour répandre/justifier une idéologie nauséabonde… C’est vraiment très triste.

Le pire, c’est l’utilisation de la religion, chrétienne en particulier, pour justifier certaines prises de position haineuses ! Quand on sait que Jésus promulguait l’amour entre tous, la tolérance, le fait de tendre l’autre joue, etc. On peut dire que ça a bien dégénéré, hélas !

Le 17/04/2023 à 11h 16

Euh chiffré quand on l’active, non, sinon c’est un échange de message dont juste le canal de communication est chiffré (TLS, pas E2E) ?

Le 17/04/2023 à 07h 59

Tiens, tiens, je ne suis même pas étonné de trouver JVC là-dedans

Le 05/04/2023 à 08h 06

J’imagine que les sticks analogiques de nos manettes d’il y a 20 ans n’utilisent pas la même technologie, car ces problèmes de “drift” semblent vraiment récents… La rançon de la miniaturisation ?

Le 14/03/2023 à 09h 56

Parmi les rares films/séries que je regarde obligatoirement en VO

Le 14/03/2023 à 07h 32

Malheureusement, les chasses aux sorcières n’ont jamais réellement cessées, elles ont juste revêtues d’autres formes et d’autres noms… À chaque fois, ce sont les mêmes mécanismes à l’oeuvre : l’incompréhension, la peur et donc la haine, qui est bien souvent la résultante des deux.

J’aimerais dire que tu as raison, mais même sans religions les gens se trouvent toujours des justifications pour haïr son prochain.

Autant, je comprends comment un croyant peut en venir à détester les homosexuels, même si je n’approuve pas, autant je ne saisis pas quelles sont les motivations derrières les homophobes qui n’ont pas “l’excuse” d’un croyance ou religion ?! Là encore, je suspecte une forme d’incompréhension de l’autre et une peur irraisonnée.

Dans tous les cas, c’est triste d’en être encore là au 21ème siècle…

Le 13/03/2023 à 13h 38

C’est fou quand même. Au moins WA, même si elle est loin d’être parfaite, a du chiffrement de bout en bout pour chaque discussion

Le 13/03/2023 à 07h 44

Je n’affirme pas que Signal ou WA ont une porte dérobée, mais qu’il leur est imposé d’en implémenter une sous des prétextes souvent fallacieux et la porte ouverte à toutes sortes d’abus sécuritaires ensuite…

Et je ne vois pas bien ce que vient faire le BYOD dans ce débat

Le 13/03/2023 à 07h 09

Ah encore et toujours ce fantasme d’une porte dérobée sélective…

Le 13/03/2023 à 09h 34

J’ai très très rarement des messages, car ce n’est vraiment pas mon canal privilégier, alors je peux te confirmer malheureusement ce forçage de main supplémentaire de la part de Meta

“Eh, mais j’ai des messages ! Mince, impossible d’y accéder depuis le navigateur mobile, il faut l’app…” Et une fois sur le PC (ou en navigation desktop) : “Mais non, il n’y a rien en fait ?!”

Le 13/03/2023 à 07h 25

Exact, je dois faire pareil.

Autre pratique détestable : lorsque tu es sur la version web mobile, il y a toujours l’icône Messenger qui s’affiche en rouge avec une pastille qui t’annonce des notifications (nouveaux messages). En réalité, lorsque tu passes sur la version desktop, il n’en est rien… Ou comment forcer les gens à installer Messenger…

Le 10/03/2023 à 08h 24

Je n’ai ni l’une ni l’autre application, car je passe uniquement par le navigateur. Sauf que Meta et ses pratiques détestables font qu’il n’est pas possible de consulter ses messages depuis un navigateur mobile… à moins de changer l’UA ou de passer dans la version “Desktop” du site

Le 13/03/2023 à 07h 28

Intéressant, je ne connaissais pas. Après, ce n’est pas très applicable à distance… Et je ne suis pas impatient que nos téléphones aient un capteur à rayons X embarqué

Le 10/03/2023 à 13h 31

Oh purée, j’ai lu 2,095 GB (GigaByte) adults, du coup je ne comprenais pas bien

Le 10/03/2023 à 08h 21

Attendez, on parle d’une reconnaissance faciale qui estime l’âge ou compare le visage par rapport à celui présent sur une carte d’identité, par exemple ?

Si c’est le premier cas, alors bonne chance pour avoir quelque chose de fiable. Même l’être humain dont le cerveau est fait pour reconnaître des visages, peine à parfois à donner un âge à une personne… Entre ceux qui font plus vieux qu’ils ne le sont ou l’inverse, c’est une belle mascarade leur système

Pas étonnant que ça plaise à ceux qui ne jurent que par le solutionnisme technologique…

Le 08/03/2023 à 09h 02

Plus facile à dire qu’à faire. L’écrasante majorité de mes contacts sont sur cette messagerie. Quelques uns ont bien voulu essayer Threema, par exemple, mais au final, les discussions finissent à nouveau sur WhatsApp au bout d’un certain temps…

Au moins, les messages y sont chiffrés de bout en bout, c’est le minimum syndical, mais c’est la foire à la saucisse en ce qui concerne les métadonnées…

Sinon, merci à ne pas glisser sur “l’UE shaming” un peu trop facile Tout ce que l’UE fait n’est pas forcément “mal” ou contre nos intérêts.

Le 02/03/2023 à 09h 52

Je crois qu’avec un processeur Intel récent, c’est assez conseillé car Windows 11 gère mieux les coeurs “asymétriques” (coeurs performants + coeurs économes) des derniers Intel. Le scheduler de Windows 10 est moins (ou pas ?) optimisé pour cela. À moins que cela n’ait changé…

Le 02/03/2023 à 09h 48

Vous avez installé ExplorerPatcher ? C’est lui qui cause les redémarrages de l’explorateur avec la dernière mise à jour. Cas arrivé ici sur 3 machines…