votre avatar

francois-battail

est avec nous depuis le 14 novembre 2005 ❤️

867 commentaires

Le 06/11/2015 à 14h 14

Pas seulement, c’est une très bonne technique dilatoire pour occuper les gens qui sont compétents sur le sujet pendant que la chambre d’enregistrement enregistre dans son coin.

Côté com’ c’est pas mal non plus parce qu’il faut bien expliquer aux exégètes amateurs numéristes les subtilités de l’élaboration d’une loi et les contraintes exercées par les lobbys (ah non, ça fallait pas le dire).

Le 05/11/2015 à 16h 18

Si c’est pour faire une saisine vide faisant la réclame du Sénat et pouvoir pavaner comme la dernière fois, c’est peut être pas utile…

Le 15/10/2015 à 22h 49

Je crois qu’en informatique c’est mieux de se protéger tout ce qui provient de l’extérieur, on pourrait peut-être l’appliquer à l’électronique <img data-src=" /> Généralement c’est le cas pour les équipements télécom.&nbsp; Datasheet d’une diode transil type, ces petites bêtes encaissent bien.

Le 15/10/2015 à 22h 32

Mouais on parle quand même d’une énergie ridicule, de plus je doute fortement que le convertisseur DC/DC puisse produire 5A tout en élevant la tension d’un facteur 44. Par contre la tension élevée peut faire claquer la plupart des semi-conducteurs sur le passage. Donc des diodes transil restent la meilleure solution pour se prémunir en écrêtant la surtension rapidement (5 ns de temps de réaction).

Le 15/10/2015 à 16h 18

Avec des diodes transil bidirectionnelles sur D+ et D-,&nbsp; l’attaque deviendrait inopérante d’autant que le courant est faible (2A mais le plus souvent seulement 500mA, du moins en USB 2 sous 5V) et qu’avec du 220 V c’est 44 fois moindre, mais d’ici à ce que les constructeurs de cartes mères mettent 0,5 € de plus pour protéger un minimum les ports E/S…

Le 09/10/2015 à 08h 15

Tout est sous le pouvoir de l’exécutif, il ne peut pas y avoir de contradictoire (pas d’accès au dossier, secret défense). Ça fait beaucoup pour une loi qui n’est pas une loi d’exception.

Le 08/10/2015 à 20h 10

C’est un angle d’attaque et c’est mieux que rien. En cas de succès il y aura des dommages collatéraux et vu que l’édifice est instable et techniquement irréaliste, cela pourrait faire très mal. Là ça va se jouer à la CJUE en pesant la légitimité des atteintes aux libertés par rapport aux buts recherchés, la décision pourrait être d’ordre plus général.

Le 08/10/2015 à 14h 07

Marc, je crois que sur ce coup là tu as gagné une fiche « S » bien méritée, d’ailleurs peut-être une occasion après la CADA de tester la CNCTR #jdcjdr

Le 05/10/2015 à 16h 27

Ça existe déjà : la TVA et c’est une invention française <img data-src=" />

Le 21/09/2015 à 16h 36

Seuil d’imposition pour l’impôt sur les revenus après abattements / quotient familial : 9690 €, (2015, annuel)&nbsp; seuil de pauvreté : ~ 987 - 822&nbsp; € (selon la méthode de calcul, mensuel, 2012), SMIC : 1457 € (2015, mensuel, brut). Sources : ministère des finances, INSEE.

Un seuil à 5000 € annuel apparaît comme un truc « pour simplifier les choses » mais sans tenir compte des autres paramètres officiels et de la réalité…

Le 21/09/2015 à 13h 20

« Aucune difficulté » C’est pas comme si les règles de la TVA avait changé en Europe en 2015 et que c’est encore pire surtout avec la surcouche française qui donne une obligation de résultats aux entreprises pour déterminer le le taux de TVA applicable alors que l’Europe ne (se) prévoit qu’une obligation de moyens pour rendre l’information disponible.

Encore une belle surcouche sur une usine à gaz, mais c’est pas grave : refaire un SI tous les ans ça coûte pas cher aux entreprises <img data-src=" />

Le 18/09/2015 à 17h 25







Z-os a écrit :



Je suis un peu tiraillé par ce genre de solutions. Après avoir vu ce genre de produits, certains ont tendance à faire compliqué au lieu d’aller au plus simple (je me souviens d’une discussion ou mon interlocuteur voulait mettre un PIC là où quelques diodes, transistors et résistances suffisaient).

&nbsp;





On peut faire plus simple, mais pour apprendre à programmer et à comprendre toutes les couches en jeu c’est quand même pratique. Après on peut imaginer d’autres choses comme du PWM contrôlé par une boucle de contre-réaction en fonction d’une donnée analogique (et là ça commence à demander beaucoup de transistors).

L’intérêt pédagogique est de donner à la fois rapidement un résultat palpable, d’avoir démystifié l’ensemble de la chaîne et peut-être d’avoir créé quelques vocations…


Le 18/09/2015 à 16h 05

Après tout c’est <img data-src=" />-di, quel est le rapport entre un tableur et un éveil à la programmation informatique ?

Le 18/09/2015 à 15h 09

On est d’accord mais le minimum c’est quand même l’algèbre de Boole pour commencer, AMHA les automatismes, l’électronique sont de bons candidats pour faire des choses très simples avant de passer à la notion plus abstraite d’algorithme.

Mais là en dehors de tout contexte et dans ce cursus, encore une fois c’est du gaspillage ; ça va se résumer à tenter d’enseigner des rudiments de technologies dépassées plutôt que de donner des vraies bases parce qu’il faut tenir dans le planning et dans le respect du programme (si j’ose dire <img data-src=" />).

Le 18/09/2015 à 14h 51

Désolé, je ne percute pas. Autant je saluerais un projet sur un semestre consistant à faire clignoter une led avec une Arduino (ou autre) en expliquant toutes les couches et le pourquoi, autant prétendre donner des rudiments d’algorithmique sans base solide préalable me semble du gaspillage à tous les niveaux.

Le 18/09/2015 à 14h 33

Message sponsorisé par le ministère de l’intérieur <img data-src=" />

Le 18/09/2015 à 14h 26

Donc avant même de connaître, grossièrement, les grands principes de fonctionnement d’un ordinateur (von Neumann), l’électricité, les études de fonctions (log, exp), on va balancer à des gamins des trucs que les profs seront incapables d’expliquer, qui n’ont aucun intérêt dans la vie professionnelle et probablement au détriment d’autres matières, joli programme.

Le 15/09/2015 à 15h 18

J’entends bien. Mais l’idéal ce serait de disposer d’un mot de passe costaud, facile à retenir pour l’utilisateur et difficile à deviner pour un tiers. Or c’est pas si difficile, avec une phrase ; une citation qu’on apprécie, une phrase qui commence en français et qui se termine en tahitien, on peut imaginer beaucoup de variantes.

&nbsp;

Le gros facteur limitant ce sont les sites qui imposent des mesures débiles au lieu de simplement mettre un&nbsp; indicateur d’entropie quant à la qualité du mot de passe choisi et surtout d’expliquer ce qu’ils en font après, mais ça c’est franchement pas gagné…

Le 15/09/2015 à 13h 52







RaoulC a écrit :



Mais le chiffrement/encodage du mdp c’est pas sérieux. Si la base est compromise, pourquoi les scripts permettant de déchiffrer (je parle encodage, chiffrement symétrique ou asymétrique , osf) ne le seraient pas?

&nbsp;





Merci. C’est un point tellement évident que j’ai oublié de le soulever ! On a la base, probablement le code (et donc connaissance de l’algorithme de chiffrement) et peut-être même les clés. C’est Bob, Carole et Alice qui vont être contents <img data-src=" />


Le 15/09/2015 à 13h 19

<img data-src=" /> Si je vois :

&nbsp;

Y2VjaSBlc3Qgc3VwcG9zw6kgw6p0cmUgdW4gbW90IGRlIHBhc3NlIGNvbXBsZXhlCg==

&nbsp;

&nbsp;Déjà je sais que c’est du base 64 (en plus de ça les ‘=’ en sont la signature et de plus superfétatoires) donc :

&nbsp;

&nbsp;echo “Y2VjaSBlc3Qgc3VwcG9zw6kgw6p0cmUgdW4gbW90IGRlIHBhc3NlIGNvbXBsZXhlCg==” | base64 -d

&nbsp;

&nbsp;=&gt; ceci est supposé être un mot de passe complexe

&nbsp;

Ça c’est si c’est en clair (mais ça n’arrive jamais : aucun site web au 21ème siècle ne fait ça, pas vrai ?). Après en fonction du type de chiffrement on avise. Si c’est du symétrique avec clé fixe, c’est plié aussi, on a juste perdu 90% des script kiddies à ce stade.

L’intérêt d’une telle technique est quand même d’empêcher des attaques relativement faciles avec des rainbow tables (dictionnaire pré-hashé avec un index). Donc ça peut effectivement empêcher quelques attaques basiques.

&nbsp;

Mais ça ne change pas fondamentalement le problème, on s’en remet complètement à l’algorithme / protocole de chiffrement. Mais comme la quantité d’information / entropie n’a pas changé mais seulement la notation et compte tenu des techniques élaborées de cryptanalyse, s’il y a une faille ou une possibilité de réduction de la combinatoire exploitable dans la fonction de hashage, c’est ce qui sera utilisé et donc le fait que ce soit en base 64 ne jouera qu’à la marge.

Le 15/09/2015 à 12h 36

J’ai bien compris. Mais là où tu te trompes c’est en supposant que le mot de passe sera plus complexe - pour l’utilisateur en revanche c’est certain - puisque c’est simplement un changement de l’alphabet utilisé. Si c’est du hash salé fait dans les règles ça peut avoir un effet.

Mais si c’est du chiffrement symétrique avec clé fixe&nbsp; (genre un xor sur un buffer circulaire - très fréquent dans les progiciels voire en milieu industriel) la simple analyse statistique de la distribution des symboles des mots de passe « chiffrés » dit que le mot de passe source est en base 64, dès lors attaque par dictionnaire en prenant le soin d’encoder&nbsp; en base 64 les mots à tester, retour case départ.

Le vrai problème c’est que les sites (ou que le CNIL) devraient systématiquement indiquer publiquement les mesures prises en vue d’assurer la confidentialité des données et de l’authentification.

Le 15/09/2015 à 11h 55

Sauf que dans les bonnes pratiques, le mot de passe en clair doit être effacé dès traitement et remplacé par un token cryptographique&nbsp; non rejouable excepté sur une fenêtre de quelques minutes.

N’importe quel programme sous l’utilisateur courant peut lire ce fichier et le balancer à l’extérieur et il n’y aura aucune alerte de consignée.

&nbsp;

Le « mieux » est vraiment l’ennemi du bien en sécurité. Or, en l’espèce le coup du base 64 c’est assez stupide ; avant de faire une attaque par dictionnaire, il faut faire une analyse du jeu de symbole utilisé et de la dispersion pour essayer de réduire la combinatoire. Détecter et décoder du base64 c’est pas trop dur, puis après attaque classique par dictionnaire. Intérêt : strictement zéro sauf pour emmerder les script kiddies.

Le 15/09/2015 à 11h 41

En laissant une belle trace du mot de passe en clair dans .bash_history pour la postérité <img data-src=" />

Le 15/09/2015 à 10h 22

Non, mais sur un serveur public s’il y a 10 000 authentifications à traiter sur une période temps très courte. 5ms ou 500ms de traitement par authentification ça fait une sacrée différence de charge sur les backends sans compter le délai de réaction ce qui est toujours quelque chose que l’on souhaite le plus faible possible.

Le 15/09/2015 à 07h 02

Sérieux. Ma banque pro est comme ça : faille POODLE non patchée, SSL toujours activé, et 6 chiffres pour le mot de passe. Il y a eu une conférence Pas sage en Seine cette année sur les configs TLS, l’intervenant a testé une grande quantité d’accès aux comptes en ligne de banques françaises, à quelques très rares exceptions la note était (selon SSLLabs) : F <img data-src=" />

Le 14/09/2015 à 15h 26

L’idéal c’est de saisir une phrase où il y aura naturellement de la ponctuation et éventuellement des signes diacritiques. Mais en matière de sécurité de mots de passe le mieux ce sont les banques pour l’accès en ligne : le plus souvent limité à 6 chiffres pour le mot de passe, un beau certificat EV à au moins 250 $ et une config https notée F par SSLLabs !

Le 15/09/2015 à 14h 07

Pour le dernier point ça ressemble fortement à la Chine qui facture la famille d’un condamné à mort d’une partie du montant de l’exécution…

Le 13/09/2015 à 14h 37

Au risque de te surprendre, le texte qui tu cites n’est pas en vigueur légalement, c’est juste une déclaration de bonne volonté la main sur le cœur (ça ne serait pas bien de faire ça) mais non contraignant.

&nbsp;

Les textes applicables sont là : Déclaration&nbsp; des droits de l’homme et du citoyen (à valeur constitutionnelle en France) et le traité européen Convention de sauvegarde des droits de l’homme et des libertés fondamentales.

Le 12/09/2015 à 08h 02

Certes mais ce monsieur omet de préciser que par exemple Google avec YouTube reverse une partie des gains publicitaires directement aux auteurs des vidéos. Dans ce cas spécifique, l’éditeur est l’auteur, ce modèle ne doit guère plaire au SNE.

Maintenant, il y a une vraie problématique de diversité et de concentration qui est posée mais on sent que, tout au long de ce pamphlet, les auteurs ne sont mis en avant que pour protéger la rente des droits voisins (jamais évoqués par le rédacteur), donc en particulier les éditeurs.

Utiliser Beaumarchais comme paravent c’est quand même particulièrement osé(*).

&nbsp;

(*) La SACD créée en 1777 par Beaumarchais avait pour finalité de défendre les auteurs contre… les éditeurs !

Le 11/09/2015 à 14h 42

C’est troll’di mais l’article de Marc place d’entrée de jeu la barre très très haut. Titre / sous-titre, c’est déjà plié. Petit faible quand même pour : « on ne compte plus les gazouillis parfumés à l’acide chlorhydrique ». <img data-src=" />

Le 12/09/2015 à 08h 17

Je ne pense pas que le code civil soit de cet avis (article 1315 en particulier) :

&nbsp;

« Celui qui réclame l’exécution d’une obligation doit la prouver. Réciproquement, celui qui se prétend libéré doit justifier le paiement ou le fait qui a produit l’extinction de son obligation. »

Le 11/09/2015 à 09h 28

Sans vouloir être médisant, la directive européenne (2001/29/CE) ne parle pas de remboursement pour le professionnel mais de non assujettissement, c’est un peu différent.

Le 11/09/2015 à 09h 13

C’est ça, mais ça peut être indirect aussi : un « ami » politique pourrait demander à un AD de servir de porte-flingue, une petite erreur dans une black list est si vite arrivée (le risible signalement de l’url 127.0.0.1 par exemple).

Le 11/09/2015 à 08h 18

Pratique, pour assécher le financement de Wikileaks par exemple ou pour dégommer en plein vol un nouvel acteur (légal) qui commencerait à faire trop d’ombre ; et bien sûr accusation, juge et bourreau confondus, c’est tellement plus efficace et pratique.

Le 10/09/2015 à 14h 53

Enfin ! C’est pas le gouvernement, c’est une initiative parlementaire. Il faut respecter la séparation des pouvoirs voyons ! <img data-src=" />

Le 10/09/2015 à 14h 10

Seul le gouvernement (PJL) peut engager des dépenses, là c’est de source parlementaire (PPL) et normalement ça dégage direct lors de l’examen en commission au titre de l’article 40.

Le 10/09/2015 à 13h 41

Hum… ils ont pas oubliés de mettre un gage (L.575 et 575A CGI) dans la PPL, parce que les boîtes noires plus permissives et le stockage ça va (nous) coûter bonbon ? Vu l’article 40 de la Constitution (pour mémoire) :

&nbsp;

&nbsp;« Les propositions et amendements formulés par les membres du Parlement ne

sont pas recevables lorsque leur adoption aurait pour conséquence soit

une diminution des ressources



                   publiques, soit la création ou l'aggravation d'une   



charge publique.&nbsp; »

Le 08/09/2015 à 12h 43

Yep, mais le problème est plus au niveau fiscal et mondial que d’écrire dans une loi un passage comme celui-là ; en gros ça officialise la notion d’établissement virtuel mais après ça va faire flop… Ou alors c’est une possibilité de chantage pour que les SR puissent&nbsp; poser des sondes mais c’est pas super convainquant.

Le 08/09/2015 à 12h 28

« histoire de faire tomber les Google, Facebook, Twitter ou autres dans le droit français » sauf qu’ils ont déjà des établissements en France donc c’est pas trop dur d’assigner la filiale, en revanche récupérer du pognon sur cette base ça ne marche pas.

Le seul intérêt sera de faire peur aux petits/moyens qui ont des velléités à se positionner sur le marché français, bof, bof.

Le 04/09/2015 à 13h 28

Oui, ils l’avaient évoqué mais ils vont pas tout se goinfrer d’un seul coup quand même ! Sinon le ou les amendements seraient portés par qui (gouvernement ou parlement) ?

Le 04/09/2015 à 12h 52

Bon au moins pour le moment il n’est pas (encore) question de d’assujettir les disques internes, tout n’est pas complètement négatif <img data-src=" />

Le 04/09/2015 à 12h 49

Cadeau. La dernière fois que j’ai lu un de ces rapports, la très sérieuse institution qualifiait la redistribution de nébuleuse…

Le 04/09/2015 à 10h 52

Merci pour le résumé. Il manque peut-être la liberté de panorama (photographier un bâtiment ou une sculpture sous droit d’auteur qui apparaît de façon accessoire dans une photo) quand c’est à but non lucratif et l’absence de définition positive tant pour le domaine public(*) que pour la neutralité du net.



&nbsp;(*) À ce sujet on trouve une phrase étonnante dans l’exposé des motifs, page 5 :&nbsp; « (le domaine commun informationnel) il recouvre à la fois le domaine public intellectuel, qui n’a pas encore de définition positive (…) » WTF, c’est qui le législateur ?

Le 27/08/2015 à 17h 19







John Shaft a écrit :



D’ailleurs, si la régie a connaissance du contenu du site, ça n’en fait pas un complice ?





C’est peut-être le moyen de pression utilisé par la police pour les régies ayant pignon en UK (cf mon post #41) : « soit vous coopérez, soit on lance une action judiciaire et vous serez accusé de blanchiment / recel de contrefaçon ».


Le 27/08/2015 à 17h 06

En allant à la source, les choses deviennent plus claires :

&nbsp;

&nbsp;« PIPCU further informed us that 134 advertising agencies are

participating in the program, up from 84 last year. All of these

companies have a UK presence but many operate internationally. »

&nbsp;

Plus intéressant :

&nbsp;

«&nbsp; It remains unclear what percentage of the total ads on pirate sites are

being replaced. The banners appear rarely in the wild so we assume that

the volume is relatively low. »

&nbsp;

Mais aucune trace d’un juge ou d’un jugement…

Le 27/08/2015 à 16h 54







CryoGen a écrit :



Qui te dit qu’il n’y a pas de suite à ce système de pub ? LE juge est peut-être informé en même temps on n’en sait rien dans l’article…





&nbsp;« Ce chiffre a été obtenu après l’équivalent anglais d’une procédure CADA,

afin d’obtenir les informations jalousement gardées par une

administration. »

&nbsp;

Je ne suis pas spécialiste en droit anglo-saxon mais cette phrase me laisse fortement penser que non.


Le 27/08/2015 à 16h 44

D’où ma question initiale, mais si la régie est étrangère on fait comment ?

Le 27/08/2015 à 16h 42

Par définition le site est illégal quand il a été jugé en tant que tel… L’histoire du dealer ça s’appelle de la flagrance et (en France) le procureur considéré comme un juge (ce qui est discutable) doit être prévenu a posteriori dans un délai très court et décider des suites à donner. Là c’est open bar pour l’exécutif.

Le 27/08/2015 à 16h 38

L’altération de contenu ne m’apparaît pas comme quelque chose de mineur ; c’est (même si c’est de la pub) au niveau du great firewall of China qui réécrit les articles du New-York Times. Bonjour les dérives possibles.

Le 27/08/2015 à 16h 28

Oui mais en matière de licéité <img data-src=" />. Sauf erreur de ma part, il n’y a aucune intervention d’un juge, et c’est un service de police (probablement privé) qui s’en occupe sur simple dénonciation des ayants droit et de plus la procédure n’est pas publique (vu qu’il a fallu saisir une commission compatible CADA). Ça choque personne ?