Les britanniques sont complètement fous sur le sécuritaire, et ça ne date pas d'hier... Le gros problème c'est que le reste de l’Europe semble s'être lancé dans une course pour savoir qui touchera le fond le premier.
Le
05/02/2024 à
17h
51
les agences de renseignements utilisent des failles 0 days non publiées, et généralement découverte par leurs soins et pas communiquées aux éditeurs
De là à faire le taf à leur place au détriment des utilisateurs...
Le
05/02/2024 à
17h
14
Avec le Cyber Resilience Act que l'U.E. nous mitonne, on est pas si loin que ça de ce genre d'idées.
Le CRA ne parle pas de bloquer les mises à jour sécurité, mais attaque le problème différemment en exigeant une notification endéans les 24h en cas de découverte de vulnérabilité, ce qui peut permettre aux agences de renseignement de maximiser la fenêtre d'opportunité pour des attaques en utilisant l'information en question.
On peut arrêter de parler de space x dans chaque news concernant ariane 6... ?
Même si ce que fait spacex est très ambitieux et bluffant, est-ce qu'on peut se réjouir de nos avancées ?
Disons que le ratio explosions/annonces de SpaceX rend d'office SpaceX plus intéressant et spectaculaire qu'Arianespace qui a pour le moment surtout des annonces et très peu d'explosions... ou même de flammes.
C'est clair... et le moteur de recherche de cybernews est vastement inutile car il ne te dis pas la date du dernier leak... ça ne m'intéresse pas de savoir que je suis dans des leaks, je veux savoir au moins la date du dernier pour savoir l'urgence de prendre des contremesures.
OK, tu n'as donc aucune donnée sur la rentabilité et pour savoir s'il y a un seuil à cette rentabilité si celle existe.
SpaceX est rentable: https://www.wsj.com/tech/behind-the-curtain-of-elon-musks-secretive-spacex-revenue-growth-and-rising-costs-2c828e2b
La question est plutôt de savoir si arianespace l'est encore...
Après, si avoir un accès détaillé aux informations financières et opérationnelles d'un concurrent est nécessaire pour arriver à rester dans la compétition pour un secteur de service donné, il vaut mieux la quitter tout de suite (un peu ce qu'Arianespace fait depuis quelques années)
La question est plus "est-ce que je peux y arriver?" que "comment il fait l'autre, pour y arriver?"
Mais c'est vrai que ce serait intéressant de voir si SpaceX a encore de la marge pour casser les prix si Arianespace arrivait à mettre une offre compétitive sur la table: c'est là que se situe le point d'inflexion pour savoir si l'activité économique d'Arianespace a encore du sens. Réutilisable ou pas réutilisable, c'est une question secondaire, surtout quand on a plus de produit.
Le
25/01/2024 à
12h
28
1) de quels bureaux d'études parles-tu et as-tu des liens vers leurs projections ?
J'en suis resté à : on ne connaît pas les chiffres de Space X, donc on ne sait pas si c'est rentable.
2) comparer un lanceur comme Ariane et les Falcons n'a pas beaucoup de sens. Falcon 9 lance beaucoup pour Starlink en orbite basse (124 lancements sur les 290 jusqu'à aujourd'hui) et seulement 52 en géostationnaire. Pour les orbites basses, Arianespace utilisait plutôt Soyouz pour des questions de prix et ces lancements ne se font plus depuis presque 2 ans et Ariane 5 était plutôt utilisée pour les orbites géostationnaires. Comme Ariane 6 est en retard et que l'on n'a plus d'Ariane 5, SpaceX a un concurrent de moins et a dû récupérer une partie des lancements.
Je n'adhère pas à cette vision "On ne connaît pas les chiffres de SpaceX, donc il est impossible pour un être humain de faire la moindre estimation"
D'abord, une partie des informations financières de SpaceX sont publiques, on peut se faire une idée des bénéfices.
Ensuite, cela fait 8 ans que Spacex a fait atterrir pour la première fois un premier étage de Falcon 9, je doute qu'en 8 ans
- personne dans l'aérospatial européen n'ait bâti une connaissance suffisante du métier et de l'industrie pour faire une étude d'opportunité - personne n'ait fait cette étude d'opportunité avec des projections chiffrées de ce que cela coûterait de développer, produire et réutiliser une fusée rencontrant les besoins actuels
Pour le reste, si comparer Falcon9 et Ariane 5 c'est un tout petit peu comme comparer une péniche et cargo, il faut bien considérer que toute l'offre basée sur du Soyouz est la preuve même qu'un pan entier de l'aérospatiale européen a un problème de souveraineté et de robustesse.
Reste qu'Ariane6 a62 a intérêt arriver vite et à coûter moins de 80 millions par lancement géostationnaire si Arianespace espère encore tenir sa niche commerciale.
Le
24/01/2024 à
13h
30
Justement sur la "réutilisabilité", on a des chiffres concrets ? J'avais vu a l'époque que c'était rentable que au bout de X tirs par an, or Ariane c'est 6 tirs par an. Là ou SpaceX est dopé par sa constellation payé en parti par l'Etat US.
Ben j'espère que les bureaux d'étude ont des projections correctes... Maintenant on pourrait aussi se poser la question de la rentabilité d'Ariane... si on en est vraiment à 6 tirs par an (deux en 2023) , est ce que ça vaut la dépense? Question économies d'échelle pour rentabiliser le R&D, les infrastructures, ... ça doit être chaud...
SpaceX a lancé sur une année presque autant de fusées Falcon 9 qu'il n'y a eu de lancements d'Ariane 5 en 27 ans... et avec un taux de succès plus élevé. On ne peut même pas parler de compétition entre les deux tant le niveau de prestation diffère. Hormis quelques lancements très pointus, genre le télescope spatial James Webb, il reste quoi comme marché pour Ariane?
Le
23/01/2024 à
23h
52
Le problème aussi avec l’Europe, qui s’est illustré avec l' A400M, c’est d’avoir 4-5 pays qui coopèrent de face mais se tirent dans les pattes derrière…notamment l’Allemagne.
On ne verrait pas aux US un programme de la NASA où la Californie essayerait de dégommer le Texas pendant que le Connecticut essaye de tout ramasser derrière (exemple). La NASA est une agence fédérale qui reste le maitre du jeu, alors que pour l’ESA, pas de pouvoir sur les dirigeants des pays participants.
On ne verrait pas aux US un programme de la NASA où la Californie essayerait de dégommer le Texas pendant que le Connecticut essaye de tout ramasser derrière (exemple).
Ah mais si, tout le temps... c'est la bagarre entre les états et à peu près tous font du chantage au budget de la NASA pour avoir une partie de la production de telle ou telle pièce chez eux. C'est d'ailleurs en grande partie ce type de comportement qui a fait que la NASA est restée si longtemps sans lanceur propre après la mise à la retraite forcée des navettes spatiales.
Le
23/01/2024 à
17h
50
Pour la question de la nécessité d'avoir une industrie spatiale, je pense qu'il suffit de regarder autour de nous. Les américains et les chinois en ont une. Les soviétiques en avaient une.
Mais dans le monde d'aujourd'hui, un certain nombre d'autres pays s'y lancent : l'Inde, les deux Corée, le Japon, Israël, l'Iran. Quant aux pays qui développent une industrie spatiale, ils sont bien plus nombreux. Il faudrait que l'Europe reste à l'écart ? C'est vrai qu'on pourrait toujours compter sur nos "amis" américains pour lancer nos satellites militaires...
Si c'est uniquement pour les satellites militaires que nous le faisons, ça peut être vu comme une question de souveraineté et non de compétitivité, mais du coup il ne faut pas se plaindre du manque de compétitivité ou d'intérêt pour le grand public...
Le tout est de savoir ce que l'on veut vraiment et de mettre les efforts pour l'atteindre. Si on veut en même temps innover, inspirer et faire du commercial, faire de la défense, faire du top secret souverain, il faut faire très attention sur où on place les priorités, sous peine de sortir avec une usine à gaz genre A300M.
On est loin d'avoir un alignement naturel de tous les enjeux de tout le monde.
Et si on reprend l'exemple de SpaceX, l'entreprise a su utiliser les budgets militaires pour financer son R&D pour poser les fondations créer son succès commercial. Si l'aérospatial européen essaye de financer son 'souverain/défense' sur le dos des clients commerciaux, ça risque de ne pas marcher du tout.
Le
23/01/2024 à
14h
02
En effet, la question n'est pas juste le risque mais la compétitivité. On a maintenant du recule sur le réutilisable et il y a certainement moyen d'en faire sans jouer à faire pêter des lanceurs sur le pas de tir.
Maintenant, la question est de savoir si ça vaut la peine d'être compétitifs, ou même d'avoir une industrie spatiale.
Reste la phrase « Il n’existe pas, à l’heure actuelle, de personnalité politique incarnant la politique spatiale européenne et encore moins de récit spatial européen » qui montre bien que c'est une analyse franchouillarde de la situation: il faut un chef, il faut un mec, il faut un coq, un leader, un Napoléon, un Abraracourcix (un Raoult?)... comme si les gens achetaient des volkswagen ou des toyota à cause du charisme du CEO...
Après, je pense que le succès de Linux est aussi grâce à la communauté qui s'est très rapidement construite autour et aux entreprises qui ont investi dedans très tôt (coucou Red Hat ou encore Yggdrasil, première distrib commerciale). Ironiquement, Linux avait été aussi démarré comme projet "perso et sans grosses ambitions comme GNU", et depuis c'est un composant majeur là où Hurd n'a jamais réellement percé alors qu'il est porté par la FSF au même titre que GNU.
Et à côté nous avons pourtant les noyaux BSD qui sont très matures, mais beaucoup moins bruyants que Linux.
Mais c'est aussi la beauté de l'open source, plein de projets qui naissent, se développent, et meurent, avec un cycle de vie inlassable. Parfois le ré-inventage de roue n'est pas forcément une idée négative : ça peut permettre de trouver des approches un peu plus innovantes. Mais sur le plan professionnel, très peu d'entreprises ont l'envie de le faire.
Le problème de BSD, c'est que le support matériel n'a pas suivi. Comme il n'est pas sous licence copyleft, il y a eu moins d'encouragement à étoffer ses pilotes. Les distributions à bases BSD sont fantastiques en pas mal de points, mais la polyvalence n'est pas au rendez-vous. C'est plus une technologie qui est bénéfiques aux OEM'S qu'à une communauté.
J'utilise exclusivement Debian depuis la 9 jusqu'à la 12 et les montées de versions ont conduit à par mal de problèmes vus les gros changements opérés vers systemd.
Sur une « fresh install », cela fonctionne mieux mais je ne considère pas comme normal le fait de devoir réinstaller mon système à chaque nouvelle version majeure.
Dernier gag en date avec fail2ban qui ne fonctionne plus sous debian sans avoir à mettre les mains dans le camboui.
Pour ceux qui migrent depuis la 11, fail2ban ne sais plus où trouver les informations car il n'y a plus les informations de sshd dans le journal /var/log/auth.log et il faut migrer le jail.conf pour utiliser systemctl donc systemd.
Pour ceux qui migrent vers la 12 et même ceux qui installent une version 12 toute fraiche, fail2ban cherche à utiliser iptable au lieu de nftable et il faut aller dans fail.conf modifier les lignes banaction. Là, il s'agit d'un problème de cohérence dans la distribution.
Pour ceux que cela intéresse, il s'agit de remplacer:
banaction = iptables-multiport
banaction_allports = iptables-allports
par:
banaction = nftables-multiport
banaction_allports = nftables-allports
Pour revenir à mon problème de base, systemd fait de mauvais travail en lançant en vrac tous les services là où init.d permettait d'attendre la résolution des dépendances.
Avec d'utilisation de SLAAC ou DHCPv6, le réseau n'est prêt que quand tous ces processus sont terminés. Quand systemd lance SSHD ou nginx avant que le réseau soit totalement démarré, ils plantent car les adresses configurées dans leurs fichiers de configurations ne sont pas encore attribués. Pire, la résolution de nom ne fonctionne pas à ce moment donc il faut tout configurer dans les fichiers /etc/hosts des VM. Cela va à l'encontre de la centralisation de la configuration.
Pour permettre à mes machines de démarrer, j'ai dû ajouter une configuration magique :
Devoir bidouiller pour rendre le système fonctionnel alors que mes besoins sont banals, c'est tout sauf acceptable.
En gros, tu me dis que Debian n'est pas assez cohérent, fait mal ses upgrades, que les configs des logiciels ne sont pas forcément adaptées pour fonctionner dès déploient du paquet, ...
et que le problème c'est systemd, nftable, ...
Je pense que tu en demandes trop à Debian...
Les mains dans le cambouis, ça fait partie du contrat. Si on aime pas comprendre le système et ses évolutions, on ne prend aps de risque et on fait une installation "clean"
Le
06/01/2024 à
18h
55
Tu aurais pu dire "PulseAudio" pour rester dans la thèmatique de systemd.
Pipewire, c'est la philosophie pulseaudio qui fait un hold-up sur jack...ce qui a des avantages et aussi pas mal d'inconvénients pour la MAO...
Le
06/01/2024 à
12h
09
Avec l'inflation, ils n'ont peut-être plus les moyens de s'acheter du matériel Apple
Un changement soudain de plateforme peut être lié à une fin de support d'un composant pour lequel il n'y a pas de mise à jour satisfaisante possible.
Si Apple dans les années 90 était la marque d'ordinateurs préférée des créatifs (musique, video, presse, image), il faut bien reconnaître qu'Apple a envoyé une partie de ce monde se faire voire pendant les années 2000 et surtout 2010 ... Apple se veux imprévisible et capable de changements radicaux sur son offre sans prévenir et sans vision moyen terme pour ses utilisateurs, soit, mais ça a pour effet de régulièrement faire partir des utilisateurs.
Mention spéciale pour le "Mac Vador/Pro" qui a du jour au lendemain dit aux professionnels où ils pouvaient s'insérer leurs cartes PCIe ...
Le
06/01/2024 à
00h
34
Systemd, c'est bien le truc qui démarre tous les services réseaux alors que le réseau n'est pas démarré ?
J'ai du autoriser ssh et nginx à faire des bind sur des adresses que le noyau n'avais pas encore pour qu'ils démarrent correctement à l'allumage de mes VM.
Quel progrès en effet.
Et puis pour arrêter, il ne sera plus possible de faire shutdown now car il faut passer par systemctl.
Pourquoi garder la commande que tout le monde maitrisait bien? Autant tout péter sans raison.
C'est plutôt un symptôme d'un problème de configuration de base de la distro, ça... Pareil pour shutdown now, ça marche très bien sur mes vm's ...
C'est quoi comme distro?
J'utilise systemd au quotidien sans avoir de problèmes du genre.
Donc oui le progrès, c'est bien, mais avec les distributions gnu/linux en général, il vaut mieux que les mainteneurs de la distribution aient fait le boulot correctement.
Le
05/01/2024 à
16h
36
Bah sans blaguer, autant systemd ca semble compliqué à la prise en main par rapport au vieux init, autant quand tu l'as compris c'est vraiment hyper puissant, et bien plus secure.
La fin d'init, c'était surtout la chance de pouvoir enfin dire aux connards illettrés d'IBM, CA et autres naufrages intellectuels de se conformer à un système de démarrage des services unique et fortement normé au lieu de faire du hors piste dégueulasse comme ils pouvaient le faire.
J'ai vu trop d'horreurs dans les scripts init dans des solutions commerciales et des solutions développées en interne pour accepter l'argument que la flexibilité d'init est un avantage...
flexible, ça veut trop souvent dire: on implémente le start, le stop, pas le status, le restart ou le reload, on laisse les codes de retour pour plus tard ou on renvoie les mauvais codes, on n'utilise évidemment pas de pidfile pour détecter un service mort, et on ne fait pas une gestion correcte de l'environnement et tant pis si le script marche pas via sudo ... et encore ça c'est quand c'est un script... j'ai aussi eu le coup du binaire dans /etc/init.d/, dans /etc/rc.d/rc3.d ... et puis il reste le classique du script "init" top feignasse qui n'est qu'un one-liner invoquant le binaire dans /usr/bin
Le
05/01/2024 à
16h
18
Je crois que la palme revient surtout à pipewire
Le
05/01/2024 à
16h
17
Il serait aussi intéressant de voir dans cette proportion combien de personnes sont sous WSL.
La plupart des gens n’ont AUCUNE idée du fonctionnement d’une centrale à fission ou fusion, ne savent sans doute même pas ce qu’est une barrière de Coulomb, et se permettent de donner leur avis d’ignares genre “ouin ouin c’est pas bien, ça pollue”. Ça s’appelle de l’obscurantisme.
Le pire, c’est qu’il existe des offres EDF 100% panneaux solaires et éoliennes, hors de prix évidemment, mais ceux qui hurlent contre le nucléaire sont les premiers à l’utiliser.
C’est à cause de ces politiques écolo-bobos que la France a chuté si bas, qu’on doit rouvrir des centrales à charbon, donc entendre des abrutis me dire encore aujourd’hui que le nucléaire pollue, ça me donne envie de leur mettre les claques que leurs parents incompétents ont oublié de leur mettre.
Lol ... il y a pas mal de problèmes...
Les déchets, évidemment... on a toujours rien comme solution réaliste pour les déchets HALV. Si on regarde l'aspect financier de conserver ces déchets en sécurité pendant des dizaines de milliers d'années, ça peut faire faire capoter assez fort le bilan financier réel du nucléaire... L'obscurantisme, c'est parfois de ne pas vouloir voir les coûts en face.
L'approvisionnement, ensuite... on ne trouve pas les matériaux fissibles dans la creuse. Il n'y a pas d'indépendance énergétique avec le nucléaire. Il suffit de quelques bouleversements géopolitiques et nos pays se retrouveront à poil sans carburant.
Le nucléaire, c'est une énergie "propre" mais que la plupart des pays ne pourront jamais se payer, entre autre à cause du risque militaire, donc vastement inutile à l'échelle de l'humanité. Il suffit de voir, d'ailleurs, comme Total énergie et les autres se ruent pour construire des centrales au charbon un peu partout dans les pays en voie de développement.
Mais bon, si on écarte le problème des déchets, de l'approvisionnement et de l'inapplicabilité à l'échelle planétaire, oui, on peut accuser les mécréants d'obscurantisme...
Pour le reste, vous avez eu des écolos au gouvernement pendant 5 ans sur quoi... toute l'histoire de France ... et c'était il y a plus de 20 ans... est-ce qu'il n'es pas temps d'assumer le fait que l'écologie en France c'est une parenthèse refermée depuis longtemps au lieu de feindre les troubles du stress post-traumatique pour justifier le foirage de Falmanville-3 ?
d'autres personnes qui n'ont pas oublié, c'est les auteurs du "cyber resilience act" de l'U.E. ... log4shell est d'ailleurs cité comme exemple dans le document d'analyse d'impact accompagnant les premiers jets du texte. C'est le genre de bug qui déclenche une forte envie chez le législateur et certains utilisateurs d'exiger des dommages aux auteurs, même bénévoles.
Bonne remarqué, surtout qu'il y avait des décélératrices (ou carte accélératroce) 3d comme les S3 (qui en plus se trompaient de texture)
Ceci dit, il me semblait que les cartes faisaient le triangle setup, la projection et le calcul d'orientation pour savoir quelle texture mettre, et dans leur majorité le z-buffering. C'est quand même une bonne aide pour le cpu,même si ça paraît peu aujourd'hui.
Par contre pas trop d'accord avec l'amélioration d'image avec la 3dfx, j'ai eu la mienne sur le tard quand on en trouvait à 500€ des voodoo2, et le lissage tenait de la myopie, les LOD étaient hyper moches, et leur pseudo-22 bits avec le dithering donnait une impression de vieux. Malgré la relative lenteur et la résolution moindre, la carte ATI rage pro avait de meilleures couleurs
Pour le non-support du TCL en hardware, c'était forcé par DirectX < 7 qui faisait toute la partie TCL au niveau cpu, du coup les cartes centrées sur DirectX ne s’embêtaient pas à implémenter la moindre fonction TCL en HW.
Du côté des cartes centrées sur OpenGl, c'était une autre histoire car le T&L pouvait être délégué à du matériel spécialisé. C'est pour cela qu'au début on trouvait des cartes professionnelles basées sur des chipsets avec une puce pour le T&L, une puce pour le raster, une puce pour la 2D, ... cela permettait de moduler l'offre avec des niveaux de charge cpu différents selon les bourses.
Le
10/12/2023 à
16h
56
Il y avait tellement de marques, mais je vais voir pour ajouter un mot sur la Permedia
C'est surtout le côté Delta Engine de 3Dlabs qui a de l'intérêt, car c'est un des premiers GPU en vente. Un autrte vrai GPU de l'époque, c'est le jeu de puces Mitsubishi/Evans & Sutherland 3DPro/2mp, qu'on retrouve dans des cartes qui étaient complètement inabordables.
Le premier GPU grand public reste le GeForce 256.
Le
09/12/2023 à
11h
00
Il faut bien le reconnaître, les cartes i740, c'était déjà anecdotique, à la ramasse question perfs (plus proche d'une riva 128 que d'une TNT)... L'AGP introduit pour cette carte était surtout une occasion pour Intel pour sous-équipper cette dernière question RAM... ce qui était désastreux question perfs dans des jeux qui en demandaient de plus en plus, fait encore aggravé par l'absence d'un support pour la décompression compression de texture.
Vu le nombre de fonctions D3D non supportées, c'était le CPU qui s'en prenait plein la figure.
... et bien entendu, ce n'était pas non-plus de vrais GPU's car aucun accélération liée au TCL.
Le
09/12/2023 à
01h
37
Le VGA (1987) prédate windows 3 (1990)... Donc bien de l'époque de la ligne de commande. Le SuperVGA (1988) aussi prédate Windows .
Cet article a un gros problème car il parle de GPU, mais fait référence à de nombreuses cartes ne faisant pas une accélération des traitement géométriques.
De fait, les cartes accélératrices de première génération comme la Voodoo1, la Virge, les ATI mach, RIVA, TNT et autres sont toutes disqualifiées pour le titre de GPU car elles ne font pas de TCL (transform clipping and lighting) et laissent tout ce travail au CPU.
Les premières cartes accélératrices pour PC pouvant être qualifiées de GPU sortirent en 1995, et étaient équipées de la puce dédiée "Delta" (Geometry Processing Unit) de 3D labs, qui secondait l'accélérateur (Glint, puis plus tard Permedia) de rendu et faisait que la carte graphique pouvait enfin alléger la charge du CPU en finalisant le TCL slope/setup et les conversions FP. En 1997, 3Dlabs présente ses jeux de puces glint DMX et GMX incorporant respectivement les unités GPU delta et son successeur Gamma...
Il fallu encore attendre 2 ans pour que NVIDIA sorte son GPU complètement intégré: le geforce 256 qui mettait la barre un cran au dessus question performances et fonctionnalités, démarrant l'ère du GPU pour PC moderne.
*edit corrigé ... j'étais sûr que le delta datait de 94/95 mais je ne retrouvais pas les preuves, j'ai remis la main sur le manuel de référence de la puce, il est daté de Novembre 95. *edit, ajout des GMX DMX.
Le
08/12/2023 à
19h
56
Même pas un petit mot sur 3D Labs :(
Si on parle des GPU, il faudrait tout de même parler d'un des vrais pionniers qui fut le premier à offrir le support OpenGL sur pc et a grandement influencé l'évolution de ce standard. Si on parle de 30 ans d'évolution, il faut citer 3D labs, c'est autrement plus important que Matrox.
ça c'est quand on bosse avec un système qui se veut multitâche préemptif mais qui est totalement dépourvu de protection de la mémoire... ça ne peut finir en crash général
Dans un contexte de guerre, non justement ce n'est pas évident. Quand les combattants sont mélangés aux civils, les morts de civils sont "acceptables". Pour qu'ils ne le soient plus, il faut démontrer l'intention de tuer les civils de la part d'Israël. Et je dis cela en étant horrifié par cet article et le comportement d'Israël en ce moment.
C'est bien pratique de prétendre qu'il y a des méchants pour bombarder une zone habitée... même si le hamas se cachait effectivement derrière des boucliers humains à tous les coins de rue, le premier problème qui saute aux yeux: il y a un problème grave de proportionnalité. On en peut pas faire passer l'urgence d'assouvir sa soif de vengeance devant le risque posé à la population. Ensuite, c'est plutôt à Israël de prouver qu'il n'a pas le choix et que massacrer des dizaines de milliers de personnes était nécessaire pour éviter un nombre de morts proportionnels dans sa population civile.
Reste que dans le principe, on ne tire pas sur des terroristes qui se retranchent derrière des boucliers humains, ou alors on peut facilement résoudre toutes les prises d'otage en abattant les otages et les preneurs d'otage (les russes ont fait ça quelques fois il me semble)
Le
07/12/2023 à
20h
47
Quels sont ces 3 pour toi ?
Je vois les points 2 et 3 mais pas le 1 (officiellement) même s'ils ne prennent pas de précautions pour éviter les morts comme on peut le lire ici.
- Meurtre des membres d'un groupe - Atteinte grave à l’intégrité physique ou mentale de membres du groupe - Soumission intentionnelle du groupe à des conditions d’existence devant entraîner sa destruction physique totale ou partielle
Ce n'est pourtant pas compliqué. Le 1 est le plus évident.
Le
07/12/2023 à
08h
25
Entre ce qu'il veut, ce que le gouvernement dont il fait partie décidera, et ce que fera exactement l'IDF, il peut y avoir (on l'espère) une grande différence.
On espère, mais il n'y a pas d'indices rassurants. Il y a trop de témoignages de sources plutôt fiables qui sont accablants.
Pour en revenir à la terminologie, en droit international on qualifie de génocide le fait de remplir au moins deux des cinq critères suivants:
- Meurtre de membres du groupe - Atteinte grave à l’intégrité physique ou mentale de membres du groupe - Soumission intentionnelle du groupe à des conditions d’existence devant entraîner sa destruction physique totale ou partielle - Mesures visant à entraver les naissances au sein du groupe - Transfert forcé d’enfants du groupe à un autre groupe.
Israël en remplis 3 pour le moment.
Le
06/12/2023 à
22h
13
N'importe quoi.
Ah? Je pense que le ministre de la Sécurité Nationale Israélienne, Ben Gvir (extrème droite suprémaciste) ne serait pas d'accord avec toi, lui il appelle à écraser gaza avec toute la force possible, et "à y retourner" (c-à-d prendre le territoire pour la colonisation)... et il menace de quitter le gouvernement si ce n'est pas fait.
Le
05/12/2023 à
16h
15
Je ne parierais pas sur le fait qu'il y aura beaucoup de survivants pour se venger. Israël est dans une campagne d'extermination qui ne dit pas son nom. Ils vont juste regrouper, bombarder, raser, regrouper, bombarder, raser jusqu'à ce qu'il n'y ait plus personne. Israël n’agit pas comme s'il y avait un "après" pour les palestiniens, il agit comme si demain il n'y en aurait plus du tout.
Si tuer 8000 bosniaques et en déplacer 30000 était un génocide, il faut m'expliquer ce qu'on est occupés à voir se dérouler.
Si je suis ce que tu dis, tu devrais voir d'un bon œil les distinctions entre les notes B/BT/BE/BTE, qui répond précisément à cette problématique de vouloir tout/trop intégrer. Les entreprises ayant une gestion du risque suffisamment élaborée peuvent se focaliser sur le score B en l'intégrant à leur propres analyses. Ça n'en rend pas moins les autres scores utiles à d'autres personnes dans d'autres situations ? Il me semble justement que l'approche modulaire/multiscore proposée permet d'adresser des use cases différents de façon assez transparente.
Oui, personnellement, avec CVSS 3.x j'utilise un modèle genre BE, mais la partie E est stockée en lien avec les données de la gestion d'asset. Dans mes scripts de gestion, je crée une nouvelle entrée pour chaque cve/cvss assigné à une catégorie de système, je dérive directement l'environnement lié aux systèmes pour adapter le scoring.
Tout le problème du système cvss est que c'est une signalétique composite et quand on veut correctement gérer le risque, il faut découpler les données et définir quelle source est responsable pour quoi. Pour le score de base, c'est facle, pour environnemental, c'est souvent à déléguer, pour le temporel, c'est généralement une perte de temps. Quand aux supplémentaires, c'est vraiment des données qui n'ont qu'un intérêt moyen, insuffisantes si le but est de faire un benchmark du processus de remédiation (ce qui reste important si on veut produire des kpi)
Le
03/12/2023 à
13h
14
J'ai pas lu tous les détails sur le site de FIRST, mais c'est tout de même une spec conçue avec pas mal d'acteurs du milieu (cf https://www.first.org/cvss/v4.0/specification-document#Appendix-A---Acknowledgments) donc j'imagine que les points soulevés ont été abondamment discutés. Il y a forcément des imperfections mais vu de l'extérieur, on ne mesure pas toujours l'ensemble des cas de figure, et pour les concepteurs il s'agit bien souvent de faire le moins mauvais choix.
Il y a aussi une FAQ sur le site, qui répond peut-être à certains points soulevés, ex. sur le "pourquoi c'est au consumer de remplir telle métrique" https://www.first.org/cvss/v4.0/faq#Why-is-this-the-responsibility-of-the-consumer-and-not-the-provider-vendor
Je suppose qu'effectivement, comme dans tout comité de standardisation , on se retrouve à devoir garder des archaïsmes et des fausses bonnes idées parceque certains y sont maladivement attachés.
Le CVSS est un format qui clairement est un peu parti dans tous les sens: on est passé d'un outil tentant de mesurer la gravité d'une vulnérabilité à un outil tentant de faire de la contextualisation et à servir de moyen pour faire de l'analyse de risque chez le client.
A cette dernière fin, on a ajouté et maintenu certains paramètres qui n'ont rien à voir ou ne devraient n'avoir rien à voir avec le score final d'une vulnérabilité, ce sont les valeurs "pense-bête" qu'on retrouve dans les valeurs supplémentaires.
Pour en revenir à l' "exploit maturity", il s'agit d'une métrique difficile à évaluer, et dont l'impact serait de minimiser le CVSS sur base d'informations non-fiables et pouvant varier rapidement. Dans la mesure où les fournisseurs ne veulent pas se risquer à évaluer cette métrique et préfèrent travailler sur base du scénario le plus pessimiste, on peut se demande pourquoi un tel champ existe, il aurait dû être éliminé comme les autres attributs temporels.
Dans le standard cvss, on a les valeurs de type "supplemental", qui n'impactent pas le score mais peuvent être utilisées par les utilisateurs pour stocker des informations complémentaires, cet endroit puisqu'il existe, serait la bonne place pour une notion comme la maturité de l'exploit.
Reste que l'ensemble des valeurs "supplemental" peuvent ressembler à une tentative de faire de la gestion de risque pour l'utilisateur, mais pour moi ça reste beaucoup trop insuffisant pour un contexte de grande entreprise est cela tente de mettre à plat un modèle qui devrait être plus adapté (dans une modèle relationnel, ces éléments seraient des attributs sur le lien entre une vulnérabilité et les contextes multiples où elle s'applique, tout comme les scores environnementaux)
Le
03/12/2023 à
01h
07
À la lecture de l'article, j'ai l'impression que la v4 du CVSS est mal pensé, c'est en ça que l'article me semble orienté. 😉
C'est vrai que l'article dénote une forme de point de vue, mais c'est normal puisqu'il s'agit d'une analyse et non d'une page de manuel. Je ne suis pas d'accord sur tout mais le mérite du texte est indéniable.
Personnellement, j'ai tendance à voir le CVSS 4.0 comme une amélioration même si je trouve, par exemple, que le Remediation Level aurait toute sa place dans 'base' et 'environnemental' et qu'"exploit maturity" aurait du disparaître car c'est une métrique dont l'évaluation est objectivement difficile et qui peut mener à des sous-évaluations de la menace.
Le
02/12/2023 à
21h
03
Je suis tout à fait d'accord ! Merci pour cet article !
Il me semble par contre assez orienté, et j'aimerais bien avoir l'avis d'experts pour savoir si c'est plutôt unanime ou très sujet à débat. 😊
Que veux-tu dire par orienté? Personnellement, je ne vois pas d'éléments spécialement sujets à controverse dans cet article. Alors, il y a des questions posées, des remarques, mais si ce sont des points qui méritent discussion, je ne vois pas de polémique, juste des éléments d'analyse à approfondir, mettre en perspective la métrique, ses composantes, le cycle de vie des valeurs, et la pertinence de remplir certaines cases avec des données qui seront sans-doutes périmées avant la fin de la réunion de crise où on aura montré le cvss aux décideurs...
Le
01/12/2023 à
11h
05
PCI-DSS, c'est pour les systèmes hébergeant ou traitant les informations liées aux cartes de paiement. J'ai participé à des implémentations PCI-DSS jusqu'à la version 3, et je peux dire que la première chose nécessaire comme compétence pour ce type d'exercice, c'est la compréhension à la lecture (qui semble faire défaut malheureusement chez certains SecOff).
Dans l'ensemble, ISO 27k1 est très intéressant, mais il s'agit surtout de gouvernance et de processus encadrant le contexte sécurité (formalisation, exécution et contrôle) plutôt que de sécurité elle-même. Connaître la norme est important évidemment important si on veut obtenir la certification pour une entreprise, mais cela ne fonctionne que si on a du personnel sécurité compétent pour faire fonctionner ces processus. Pour moi un des points vraiment très importants de la norme est que ça met un cadre autour des analyses de risque et peut inciter les entreprises à les faire correctement (par exemple via iso 27k5), car sans gestion du risque correcte, on ne peut pas prendre de décisions éclairées.
cela pose la question du bien fondé de se faire héberger en France... que ce soit pour les sites ou pour le courriel, surtout si vous êtes journalistes.
Bon, à priori l'accord est passé et si j'ai bien compris l'article d'euractiv, l'ENISA se fait effectivement contourner dans de nombreux cas... on attend le texte final pour avoir les détails.
Il faut donc se poser sérieusement la question de la bienveillance de pays qui préfèrent ne pas être informés de certaines vulnérabilités si ça peut leur permettre d'avoir une connaissance exclusive sur d'autres vulnérabilités.
Et si ce qui les gène, c'est que les autres pays d'U.E. soient au courant, c'est peut-être bien parceque leur obligation de divulgation dans les délais imposés est dangereuse à la base.
Mention spéciale pour l'exemption des logiciels commerciaux liés à la sécurité nationale qui n'auront pas les obligations et pourront continuer à faire n'importe quoi...
Tout est dans la promesse. Les boîtes qui sont déjà captives d'Amazon vont se précipiter tête baissée. En 2024, si t'as pas de plans pour remplacer ton personnel par de l'I.A. générative, t'es un loser... Je constate déjà cela, avec des managers qui ont déjà adapté leur budget pour l'exercice suivant pour virer du personnel et le remplacer par Copilot...
Le
01/12/2023 à
15h
14
D'un autre côté, ce serait vraiment flippant si ce Q là bossait pour un Gafam...
Je ne sais pas pourquoi, mais chaque fois que je lis "moteur réallumable Vinci", j'ai l'image mentale d'un barrière de parking qui se lève et une voiture qui démarre pour la passer...
3766 commentaires
Le ministère de l’Intérieur britannique veut pouvoir interdire des mises à jour de sécurité
05/02/2024
Le 05/02/2024 à 17h 55
Les britanniques sont complètement fous sur le sécuritaire, et ça ne date pas d'hier... Le gros problème c'est que le reste de l’Europe semble s'être lancé dans une course pour savoir qui touchera le fond le premier.Le 05/02/2024 à 17h 51
Le 05/02/2024 à 17h 14
Avec le Cyber Resilience Act que l'U.E. nous mitonne, on est pas si loin que ça de ce genre d'idées.Le CRA ne parle pas de bloquer les mises à jour sécurité, mais attaque le problème différemment en exigeant une notification endéans les 24h en cas de découverte de vulnérabilité, ce qui peut permettre aux agences de renseignement de maximiser la fenêtre d'opportunité pour des attaques en utilisant l'information en question.
Ariane 6 : « Nous sommes sur la bonne voie pour le lancement inaugural », au début de l’été 2024
01/02/2024
Le 01/02/2024 à 23h 25
Fin de mission pour l’hélicoptère Ingenuity sur Mars : « il n’est plus capable de voler »
26/01/2024
Le 26/01/2024 à 08h 41
"il n'est plus capable de voler"Donc il n'entrera pas au gouvernement ...
« MOAB », la compilation gargantuesque de fuites aux 26 milliards d’enregistrements
25/01/2024
Le 25/01/2024 à 16h 43
C'est clair... et le moteur de recherche de cybernews est vastement inutile car il ne te dis pas la date du dernier leak... ça ne m'intéresse pas de savoir que je suis dans des leaks, je veux savoir au moins la date du dernier pour savoir l'urgence de prendre des contremesures.Fusées : l’Europe doit prendre des risques et personnifier le récit spatial
23/01/2024
Le 25/01/2024 à 13h 01
La question est plutôt de savoir si arianespace l'est encore...
Après, si avoir un accès détaillé aux informations financières et opérationnelles d'un concurrent est nécessaire pour arriver à rester dans la compétition pour un secteur de service donné, il vaut mieux la quitter tout de suite (un peu ce qu'Arianespace fait depuis quelques années)
La question est plus "est-ce que je peux y arriver?" que "comment il fait l'autre, pour y arriver?"
Mais c'est vrai que ce serait intéressant de voir si SpaceX a encore de la marge pour casser les prix si Arianespace arrivait à mettre une offre compétitive sur la table: c'est là que se situe le point d'inflexion pour savoir si l'activité économique d'Arianespace a encore du sens. Réutilisable ou pas réutilisable, c'est une question secondaire, surtout quand on a plus de produit.
Le 25/01/2024 à 12h 28
D'abord, une partie des informations financières de SpaceX sont publiques, on peut se faire une idée des bénéfices.
Ensuite, cela fait 8 ans que Spacex a fait atterrir pour la première fois un premier étage de Falcon 9, je doute qu'en 8 ans
- personne dans l'aérospatial européen n'ait bâti une connaissance suffisante du métier et de l'industrie pour faire une étude d'opportunité
- personne n'ait fait cette étude d'opportunité avec des projections chiffrées de ce que cela coûterait de développer, produire et réutiliser une fusée rencontrant les besoins actuels
Pour le reste, si comparer Falcon9 et Ariane 5 c'est un tout petit peu comme comparer une péniche et cargo, il faut bien considérer que toute l'offre basée sur du Soyouz est la preuve même qu'un pan entier de l'aérospatiale européen a un problème de souveraineté et de robustesse.
Reste qu'Ariane6 a62 a intérêt arriver vite et à coûter moins de 80 millions par lancement géostationnaire si Arianespace espère encore tenir sa niche commerciale.
Le 24/01/2024 à 13h 30
SpaceX a lancé sur une année presque autant de fusées Falcon 9 qu'il n'y a eu de lancements d'Ariane 5 en 27 ans... et avec un taux de succès plus élevé. On ne peut même pas parler de compétition entre les deux tant le niveau de prestation diffère. Hormis quelques lancements très pointus, genre le télescope spatial James Webb, il reste quoi comme marché pour Ariane?
Le 23/01/2024 à 23h 52
Le 23/01/2024 à 17h 50
Le tout est de savoir ce que l'on veut vraiment et de mettre les efforts pour l'atteindre. Si on veut en même temps innover, inspirer et faire du commercial, faire de la défense, faire du top secret souverain, il faut faire très attention sur où on place les priorités, sous peine de sortir avec une usine à gaz genre A300M.
On est loin d'avoir un alignement naturel de tous les enjeux de tout le monde.
Et si on reprend l'exemple de SpaceX, l'entreprise a su utiliser les budgets militaires pour financer son R&D pour poser les fondations créer son succès commercial. Si l'aérospatial européen essaye de financer son 'souverain/défense' sur le dos des clients commerciaux, ça risque de ne pas marcher du tout.
Le 23/01/2024 à 14h 02
En effet, la question n'est pas juste le risque mais la compétitivité. On a maintenant du recule sur le réutilisable et il y a certainement moyen d'en faire sans jouer à faire pêter des lanceurs sur le pas de tir.Maintenant, la question est de savoir si ça vaut la peine d'être compétitifs, ou même d'avoir une industrie spatiale.
Reste la phrase « Il n’existe pas, à l’heure actuelle, de personnalité politique incarnant la politique spatiale européenne et encore moins de récit spatial européen » qui montre bien que c'est une analyse franchouillarde de la situation: il faut un chef, il faut un mec, il faut un coq, un leader, un Napoléon, un Abraracourcix (un Raoult?)... comme si les gens achetaient des volkswagen ou des toyota à cause du charisme du CEO...
Luc Lenôtre nous parle de Maestro, son kernel de type Unix écrit en Rust
10/01/2024
Le 10/01/2024 à 15h 19
Linux représenterait près de 4 % des utilisateurs d’ordinateurs de bureau
05/01/2024
Le 06/01/2024 à 19h 10
et que le problème c'est systemd, nftable, ...
Je pense que tu en demandes trop à Debian...
Les mains dans le cambouis, ça fait partie du contrat. Si on aime pas comprendre le système et ses évolutions, on ne prend aps de risque et on fait une installation "clean"
Le 06/01/2024 à 18h 55
Le 06/01/2024 à 12h 09
Si Apple dans les années 90 était la marque d'ordinateurs préférée des créatifs (musique, video, presse, image), il faut bien reconnaître qu'Apple a envoyé une partie de ce monde se faire voire pendant les années 2000 et surtout 2010 ... Apple se veux imprévisible et capable de changements radicaux sur son offre sans prévenir et sans vision moyen terme pour ses utilisateurs, soit, mais ça a pour effet de régulièrement faire partir des utilisateurs.
Mention spéciale pour le "Mac Vador/Pro" qui a du jour au lendemain dit aux professionnels où ils pouvaient s'insérer leurs cartes PCIe ...
Le 06/01/2024 à 00h 34
Pareil pour shutdown now, ça marche très bien sur mes vm's ...
C'est quoi comme distro?
J'utilise systemd au quotidien sans avoir de problèmes du genre.
Donc oui le progrès, c'est bien, mais avec les distributions gnu/linux en général, il vaut mieux que les mainteneurs de la distribution aient fait le boulot correctement.
Le 05/01/2024 à 16h 36
J'ai vu trop d'horreurs dans les scripts init dans des solutions commerciales et des solutions développées en interne pour accepter l'argument que la flexibilité d'init est un avantage...
flexible, ça veut trop souvent dire: on implémente le start, le stop, pas le status, le restart ou le reload, on laisse les codes de retour pour plus tard ou on renvoie les mauvais codes, on n'utilise évidemment pas de pidfile pour détecter un service mort, et on ne fait pas une gestion correcte de l'environnement et tant pis si le script marche pas via sudo ... et encore ça c'est quand c'est un script... j'ai aussi eu le coup du binaire dans /etc/init.d/, dans /etc/rc.d/rc3.d ... et puis il reste le classique du script "init" top feignasse qui n'est qu'un one-liner invoquant le binaire dans /usr/bin
Le 05/01/2024 à 16h 18
Je crois que la palme revient surtout à pipewireLe 05/01/2024 à 16h 17
Il serait aussi intéressant de voir dans cette proportion combien de personnes sont sous WSL.[MàJ] Fusion : un exploit confirmé pour le nucléaire militaire américain
29/12/2023
Le 29/12/2023 à 11h 48
Les déchets, évidemment... on a toujours rien comme solution réaliste pour les déchets HALV. Si on regarde l'aspect financier de conserver ces déchets en sécurité pendant des dizaines de milliers d'années, ça peut faire faire capoter assez fort le bilan financier réel du nucléaire... L'obscurantisme, c'est parfois de ne pas vouloir voir les coûts en face.
L'approvisionnement, ensuite... on ne trouve pas les matériaux fissibles dans la creuse. Il n'y a pas d'indépendance énergétique avec le nucléaire. Il suffit de quelques bouleversements géopolitiques et nos pays se retrouveront à poil sans carburant.
Le nucléaire, c'est une énergie "propre" mais que la plupart des pays ne pourront jamais se payer, entre autre à cause du risque militaire, donc vastement inutile à l'échelle de l'humanité. Il suffit de voir, d'ailleurs, comme Total énergie et les autres se ruent pour construire des centrales au charbon un peu partout dans les pays en voie de développement.
Mais bon, si on écarte le problème des déchets, de l'approvisionnement et de l'inapplicabilité à l'échelle planétaire, oui, on peut accuser les mécréants d'obscurantisme...
Pour le reste, vous avez eu des écolos au gouvernement pendant 5 ans sur quoi... toute l'histoire de France ... et c'était il y a plus de 20 ans... est-ce qu'il n'es pas temps d'assumer le fait que l'écologie en France c'est une parenthèse refermée depuis longtemps au lieu de feindre les troubles du stress post-traumatique pour justifier le foirage de Falmanville-3 ?
Log4Shell, qui s’en rappelle ?
19/12/2023
Le 19/12/2023 à 18h 30
d'autres personnes qui n'ont pas oublié, c'est les auteurs du "cyber resilience act" de l'U.E. ... log4shell est d'ailleurs cité comme exemple dans le document d'analyse d'impact accompagnant les premiers jets du texte. C'est le genre de bug qui déclenche une forte envie chez le législateur et certains utilisateurs d'exiger des dommages aux auteurs, même bénévoles.Cartes graphiques : 30 ans d’évolution des GPU
08/12/2023
Le 11/12/2023 à 03h 17
Du côté des cartes centrées sur OpenGl, c'était une autre histoire car le T&L pouvait être délégué à du matériel spécialisé. C'est pour cela qu'au début on trouvait des cartes professionnelles basées sur des chipsets avec une puce pour le T&L, une puce pour le raster, une puce pour la 2D, ... cela permettait de moduler l'offre avec des niveaux de charge cpu différents selon les bourses.
Le 10/12/2023 à 16h 56
Le premier GPU grand public reste le GeForce 256.
Le 09/12/2023 à 11h 00
Il faut bien le reconnaître, les cartes i740, c'était déjà anecdotique, à la ramasse question perfs (plus proche d'une riva 128 que d'une TNT)...L'AGP introduit pour cette carte était surtout une occasion pour Intel pour sous-équipper cette dernière question RAM... ce qui était désastreux question perfs dans des jeux qui en demandaient de plus en plus, fait encore aggravé par l'absence d'un support pour la décompression compression de texture.
Vu le nombre de fonctions D3D non supportées, c'était le CPU qui s'en prenait plein la figure.
... et bien entendu, ce n'était pas non-plus de vrais GPU's car aucun accélération liée au TCL.
Le 09/12/2023 à 01h 37
Le VGA (1987) prédate windows 3 (1990)... Donc bien de l'époque de la ligne de commande. Le SuperVGA (1988) aussi prédate Windows .Cet article a un gros problème car il parle de GPU, mais fait référence à de nombreuses cartes ne faisant pas une accélération des traitement géométriques.
De fait, les cartes accélératrices de première génération comme la Voodoo1, la Virge, les ATI mach, RIVA, TNT et autres sont toutes disqualifiées pour le titre de GPU car elles ne font pas de TCL (transform clipping and lighting) et laissent tout ce travail au CPU.
Les premières cartes accélératrices pour PC pouvant être qualifiées de GPU sortirent en 1995, et étaient équipées de la puce dédiée "Delta" (Geometry Processing Unit) de 3D labs, qui secondait l'accélérateur (Glint, puis plus tard Permedia) de rendu et faisait que la carte graphique pouvait enfin alléger la charge du CPU en finalisant le TCL slope/setup et les conversions FP. En 1997, 3Dlabs présente ses jeux de puces glint DMX et GMX incorporant respectivement les unités GPU delta et son successeur Gamma...
Il fallu encore attendre 2 ans pour que NVIDIA sorte son GPU complètement intégré: le geforce 256 qui mettait la barre un cran au dessus question performances et fonctionnalités, démarrant l'ère du GPU pour PC moderne.
*edit corrigé ... j'étais sûr que le delta datait de 94/95 mais je ne retrouvais pas les preuves, j'ai remis la main sur le manuel de référence de la puce, il est daté de Novembre 95.
*edit, ajout des GMX DMX.
Le 08/12/2023 à 19h 56
Même pas un petit mot sur 3D Labs :(Si on parle des GPU, il faudrait tout de même parler d'un des vrais pionniers qui fut le premier à offrir le support OpenGL sur pc et a grandement influencé l'évolution de ce standard. Si on parle de 30 ans d'évolution, il faut citer 3D labs, c'est autrement plus important que Matrox.
Linux : le composant systemd se dote d’un écran bleu de la mort
08/12/2023
Le 08/12/2023 à 17h 26
ça c'est quand on bosse avec un système qui se veut multitâche préemptif mais qui est totalement dépourvu de protection de la mémoire... ça ne peut finir en crash généralIsraël – Hamas : comment l’IA intensifie les attaques contre Gaza
05/12/2023
Le 07/12/2023 à 23h 03
Reste que dans le principe, on ne tire pas sur des terroristes qui se retranchent derrière des boucliers humains, ou alors on peut facilement résoudre toutes les prises d'otage en abattant les otages et les preneurs d'otage (les russes ont fait ça quelques fois il me semble)
Le 07/12/2023 à 20h 47
- Atteinte grave à l’intégrité physique ou mentale de membres du groupe
- Soumission intentionnelle du groupe à des conditions d’existence devant entraîner sa destruction physique totale ou partielle
Ce n'est pourtant pas compliqué. Le 1 est le plus évident.
Le 07/12/2023 à 08h 25
Pour en revenir à la terminologie, en droit international on qualifie de génocide le fait de remplir au moins deux des cinq critères suivants:
- Meurtre de membres du groupe
- Atteinte grave à l’intégrité physique ou mentale de membres du groupe
- Soumission intentionnelle du groupe à des conditions d’existence devant entraîner sa destruction physique totale ou partielle
- Mesures visant à entraver les naissances au sein du groupe
- Transfert forcé d’enfants du groupe à un autre groupe.
Israël en remplis 3 pour le moment.
Le 06/12/2023 à 22h 13
Le 05/12/2023 à 16h 15
Je ne parierais pas sur le fait qu'il y aura beaucoup de survivants pour se venger. Israël est dans une campagne d'extermination qui ne dit pas son nom. Ils vont juste regrouper, bombarder, raser, regrouper, bombarder, raser jusqu'à ce qu'il n'y ait plus personne. Israël n’agit pas comme s'il y avait un "après" pour les palestiniens, il agit comme si demain il n'y en aurait plus du tout.Si tuer 8000 bosniaques et en déplacer 30000 était un génocide, il faut m'expliquer ce qu'on est occupés à voir se dérouler.
Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques
06/12/2023
Le 06/12/2023 à 10h 03
En France, le problème c'est surtout que les bornes ne donnent que du 49.3v ...Rockstar met en ligne le trailer de GTA VI
05/12/2023
Le 05/12/2023 à 09h 58
Le 05/12/2023 à 09h 23
Ils attendent la sortie de la PS5 Pro...Le 05/12/2023 à 08h 36
Oui, il paraît qu'ils vont juste reprendre la map de Vice City, rajouter des îles volantes et un nouveau monde souterrain.Cyberrésilience : les compromis (provisoires) du trilogue européen
04/12/2023
Le 04/12/2023 à 09h 29
Petite pensée pour Hashicorp qui rate le bus de toutes façons...
CVSS 4.0 : dur, dur, d’être un expert !
30/11/2023
Le 03/12/2023 à 21h 03
Tout le problème du système cvss est que c'est une signalétique composite et quand on veut correctement gérer le risque, il faut découpler les données et définir quelle source est responsable pour quoi. Pour le score de base, c'est facle, pour environnemental, c'est souvent à déléguer, pour le temporel, c'est généralement une perte de temps. Quand aux supplémentaires, c'est vraiment des données qui n'ont qu'un intérêt moyen, insuffisantes si le but est de faire un benchmark du processus de remédiation (ce qui reste important si on veut produire des kpi)
Le 03/12/2023 à 13h 14
Le CVSS est un format qui clairement est un peu parti dans tous les sens: on est passé d'un outil tentant de mesurer la gravité d'une vulnérabilité à un outil tentant de faire de la contextualisation et à servir de moyen pour faire de l'analyse de risque chez le client.
A cette dernière fin, on a ajouté et maintenu certains paramètres qui n'ont rien à voir ou ne devraient n'avoir rien à voir avec le score final d'une vulnérabilité, ce sont les valeurs "pense-bête" qu'on retrouve dans les valeurs supplémentaires.
Pour en revenir à l' "exploit maturity", il s'agit d'une métrique difficile à évaluer, et dont l'impact serait de minimiser le CVSS sur base d'informations non-fiables et pouvant varier rapidement. Dans la mesure où les fournisseurs ne veulent pas se risquer à évaluer cette métrique et préfèrent travailler sur base du scénario le plus pessimiste, on peut se demande pourquoi un tel champ existe, il aurait dû être éliminé comme les autres attributs temporels.
Dans le standard cvss, on a les valeurs de type "supplemental", qui n'impactent pas le score mais peuvent être utilisées par les utilisateurs pour stocker des informations complémentaires, cet endroit puisqu'il existe, serait la bonne place pour une notion comme la maturité de l'exploit.
Reste que l'ensemble des valeurs "supplemental" peuvent ressembler à une tentative de faire de la gestion de risque pour l'utilisateur, mais pour moi ça reste beaucoup trop insuffisant pour un contexte de grande entreprise est cela tente de mettre à plat un modèle qui devrait être plus adapté (dans une modèle relationnel, ces éléments seraient des attributs sur le lien entre une vulnérabilité et les contextes multiples où elle s'applique, tout comme les scores environnementaux)
Le 03/12/2023 à 01h 07
Personnellement, j'ai tendance à voir le CVSS 4.0 comme une amélioration même si je trouve, par exemple, que le Remediation Level aurait toute sa place dans 'base' et 'environnemental' et qu'"exploit maturity" aurait du disparaître car c'est une métrique dont l'évaluation est objectivement difficile et qui peut mener à des sous-évaluations de la menace.
Le 02/12/2023 à 21h 03
Le 01/12/2023 à 11h 05
PCI-DSS, c'est pour les systèmes hébergeant ou traitant les informations liées aux cartes de paiement. J'ai participé à des implémentations PCI-DSS jusqu'à la version 3, et je peux dire que la première chose nécessaire comme compétence pour ce type d'exercice, c'est la compréhension à la lecture (qui semble faire défaut malheureusement chez certains SecOff).Dans l'ensemble, ISO 27k1 est très intéressant, mais il s'agit surtout de gouvernance et de processus encadrant le contexte sécurité (formalisation, exécution et contrôle) plutôt que de sécurité elle-même. Connaître la norme est important évidemment important si on veut obtenir la certification pour une entreprise, mais cela ne fonctionne que si on a du personnel sécurité compétent pour faire fonctionner ces processus. Pour moi un des points vraiment très importants de la norme est que ça met un cadre autour des analyses de risque et peut inciter les entreprises à les faire correctement (par exemple via iso 27k5), car sans gestion du risque correcte, on ne peut pas prendre de décisions éclairées.
Pourquoi le site du média StreetPress a été momentanément inaccessible
01/12/2023
Le 01/12/2023 à 17h 07
cela pose la question du bien fondé de se faire héberger en France... que ce soit pour les sites ou pour le courriel, surtout si vous êtes journalistes.Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord
30/11/2023
Le 01/12/2023 à 17h 03
Bon, à priori l'accord est passé et si j'ai bien compris l'article d'euractiv, l'ENISA se fait effectivement contourner dans de nombreux cas... on attend le texte final pour avoir les détails.Il faut donc se poser sérieusement la question de la bienveillance de pays qui préfèrent ne pas être informés de certaines vulnérabilités si ça peut leur permettre d'avoir une connaissance exclusive sur d'autres vulnérabilités.
Et si ce qui les gène, c'est que les autres pays d'U.E. soient au courant, c'est peut-être bien parceque leur obligation de divulgation dans les délais imposés est dangereuse à la base.
Mention spéciale pour l'exemption des logiciels commerciaux liés à la sécurité nationale qui n'auront pas les obligations et pourront continuer à faire n'importe quoi...
re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images
01/12/2023
Le 01/12/2023 à 15h 30
Tout est dans la promesse. Les boîtes qui sont déjà captives d'Amazon vont se précipiter tête baissée. En 2024, si t'as pas de plans pour remplacer ton personnel par de l'I.A. générative, t'es un loser... Je constate déjà cela, avec des managers qui ont déjà adapté leur budget pour l'exercice suivant pour virer du personnel et le remplacer par Copilot...Le 01/12/2023 à 15h 14
D'un autre côté, ce serait vraiment flippant si ce Q là bossait pour un Gafam...Ariane 6 : premier décollage à l’été 2024
01/12/2023
Le 01/12/2023 à 15h 22
Un couet, ch'ne vole jamé bin hôt d'tot façon.Le 01/12/2023 à 10h 22
Je ne sais pas pourquoi, mais chaque fois que je lis "moteur réallumable Vinci", j'ai l'image mentale d'un barrière de parking qui se lève et une voiture qui démarre pour la passer...Starlink accessible à Gaza sous contrôle de l’administration israélienne
30/11/2023
Le 01/12/2023 à 09h 53