Pas seulement, c’est une très bonne technique dilatoire pour occuper les gens qui sont compétents sur le sujet pendant que la chambre d’enregistrement enregistre dans son coin.
Côté com’ c’est pas mal non plus parce qu’il faut bien expliquer aux exégètes amateurs numéristes les subtilités de l’élaboration d’une loi et les contraintes exercées par les lobbys (ah non, ça fallait pas le dire).
Je crois qu’en informatique c’est mieux de se protéger tout ce qui provient de l’extérieur, on pourrait peut-être l’appliquer à l’électronique " /> Généralement c’est le cas pour les équipements télécom. Datasheet d’une diode transil type, ces petites bêtes encaissent bien.
Le
15/10/2015 à
22h
32
Mouais on parle quand même d’une énergie ridicule, de plus je doute fortement que le convertisseur DC/DC puisse produire 5A tout en élevant la tension d’un facteur 44. Par contre la tension élevée peut faire claquer la plupart des semi-conducteurs sur le passage. Donc des diodes transil restent la meilleure solution pour se prémunir en écrêtant la surtension rapidement (5 ns de temps de réaction).
Le
15/10/2015 à
16h
18
Avec des diodes transil bidirectionnelles sur D+ et D-, l’attaque deviendrait inopérante d’autant que le courant est faible (2A mais le plus souvent seulement 500mA, du moins en USB 2 sous 5V) et qu’avec du 220 V c’est 44 fois moindre, mais d’ici à ce que les constructeurs de cartes mères mettent 0,5 € de plus pour protéger un minimum les ports E/S…
Tout est sous le pouvoir de l’exécutif, il ne peut pas y avoir de contradictoire (pas d’accès au dossier, secret défense). Ça fait beaucoup pour une loi qui n’est pas une loi d’exception.
Le
08/10/2015 à
20h
10
C’est un angle d’attaque et c’est mieux que rien. En cas de succès il y aura des dommages collatéraux et vu que l’édifice est instable et techniquement irréaliste, cela pourrait faire très mal. Là ça va se jouer à la CJUE en pesant la légitimité des atteintes aux libertés par rapport aux buts recherchés, la décision pourrait être d’ordre plus général.
Le
08/10/2015 à
14h
07
Marc, je crois que sur ce coup là tu as gagné une fiche « S » bien méritée, d’ailleurs peut-être une occasion après la CADA de tester la CNCTR #jdcjdr
Seuil d’imposition pour l’impôt sur les revenus après abattements / quotient familial : 9690 €, (2015, annuel) seuil de pauvreté : ~ 987 - 822 € (selon la méthode de calcul, mensuel, 2012), SMIC : 1457 € (2015, mensuel, brut). Sources : ministère des finances, INSEE.
Un seuil à 5000 € annuel apparaît comme un truc « pour simplifier les choses » mais sans tenir compte des autres paramètres officiels et de la réalité…
Le
21/09/2015 à
13h
20
« Aucune difficulté » C’est pas comme si les règles de la TVA avait changé en Europe en 2015 et que c’est encore pire surtout avec la surcouche française qui donne une obligation de résultats aux entreprises pour déterminer le le taux de TVA applicable alors que l’Europe ne (se) prévoit qu’une obligation de moyens pour rendre l’information disponible.
Encore une belle surcouche sur une usine à gaz, mais c’est pas grave : refaire un SI tous les ans ça coûte pas cher aux entreprises " />
Je suis un peu tiraillé par ce genre de solutions. Après avoir vu ce genre de produits, certains ont tendance à faire compliqué au lieu d’aller au plus simple (je me souviens d’une discussion ou mon interlocuteur voulait mettre un PIC là où quelques diodes, transistors et résistances suffisaient).
On peut faire plus simple, mais pour apprendre à programmer et à comprendre toutes les couches en jeu c’est quand même pratique. Après on peut imaginer d’autres choses comme du PWM contrôlé par une boucle de contre-réaction en fonction d’une donnée analogique (et là ça commence à demander beaucoup de transistors).
L’intérêt pédagogique est de donner à la fois rapidement un résultat palpable, d’avoir démystifié l’ensemble de la chaîne et peut-être d’avoir créé quelques vocations…
Le
18/09/2015 à
16h
05
Après tout c’est " />-di, quel est le rapport entre un tableur et un éveil à la programmation informatique ?
Le
18/09/2015 à
15h
09
On est d’accord mais le minimum c’est quand même l’algèbre de Boole pour commencer, AMHA les automatismes, l’électronique sont de bons candidats pour faire des choses très simples avant de passer à la notion plus abstraite d’algorithme.
Mais là en dehors de tout contexte et dans ce cursus, encore une fois c’est du gaspillage ; ça va se résumer à tenter d’enseigner des rudiments de technologies dépassées plutôt que de donner des vraies bases parce qu’il faut tenir dans le planning et dans le respect du programme (si j’ose dire " />).
Le
18/09/2015 à
14h
51
Désolé, je ne percute pas. Autant je saluerais un projet sur un semestre consistant à faire clignoter une led avec une Arduino (ou autre) en expliquant toutes les couches et le pourquoi, autant prétendre donner des rudiments d’algorithmique sans base solide préalable me semble du gaspillage à tous les niveaux.
Le
18/09/2015 à
14h
33
Message sponsorisé par le ministère de l’intérieur " />
Le
18/09/2015 à
14h
26
Donc avant même de connaître, grossièrement, les grands principes de fonctionnement d’un ordinateur (von Neumann), l’électricité, les études de fonctions (log, exp), on va balancer à des gamins des trucs que les profs seront incapables d’expliquer, qui n’ont aucun intérêt dans la vie professionnelle et probablement au détriment d’autres matières, joli programme.
J’entends bien. Mais l’idéal ce serait de disposer d’un mot de passe costaud, facile à retenir pour l’utilisateur et difficile à deviner pour un tiers. Or c’est pas si difficile, avec une phrase ; une citation qu’on apprécie, une phrase qui commence en français et qui se termine en tahitien, on peut imaginer beaucoup de variantes.
Le gros facteur limitant ce sont les sites qui imposent des mesures débiles au lieu de simplement mettre un indicateur d’entropie quant à la qualité du mot de passe choisi et surtout d’expliquer ce qu’ils en font après, mais ça c’est franchement pas gagné…
Le
15/09/2015 à
13h
52
RaoulC a écrit :
Mais le chiffrement/encodage du mdp c’est pas sérieux. Si la base est compromise, pourquoi les scripts permettant de déchiffrer (je parle encodage, chiffrement symétrique ou asymétrique , osf) ne le seraient pas?
Merci. C’est un point tellement évident que j’ai oublié de le soulever ! On a la base, probablement le code (et donc connaissance de l’algorithme de chiffrement) et peut-être même les clés. C’est Bob, Carole et Alice qui vont être contents " />
=> ceci est supposé être un mot de passe complexe
Ça c’est si c’est en clair (mais ça n’arrive jamais : aucun site web au 21ème siècle ne fait ça, pas vrai ?). Après en fonction du type de chiffrement on avise. Si c’est du symétrique avec clé fixe, c’est plié aussi, on a juste perdu 90% des script kiddies à ce stade.
L’intérêt d’une telle technique est quand même d’empêcher des attaques relativement faciles avec des rainbow tables (dictionnaire pré-hashé avec un index). Donc ça peut effectivement empêcher quelques attaques basiques.
Mais ça ne change pas fondamentalement le problème, on s’en remet complètement à l’algorithme / protocole de chiffrement. Mais comme la quantité d’information / entropie n’a pas changé mais seulement la notation et compte tenu des techniques élaborées de cryptanalyse, s’il y a une faille ou une possibilité de réduction de la combinatoire exploitable dans la fonction de hashage, c’est ce qui sera utilisé et donc le fait que ce soit en base 64 ne jouera qu’à la marge.
Le
15/09/2015 à
12h
36
J’ai bien compris. Mais là où tu te trompes c’est en supposant que le mot de passe sera plus complexe - pour l’utilisateur en revanche c’est certain - puisque c’est simplement un changement de l’alphabet utilisé. Si c’est du hash salé fait dans les règles ça peut avoir un effet.
Mais si c’est du chiffrement symétrique avec clé fixe (genre un xor sur un buffer circulaire - très fréquent dans les progiciels voire en milieu industriel) la simple analyse statistique de la distribution des symboles des mots de passe « chiffrés » dit que le mot de passe source est en base 64, dès lors attaque par dictionnaire en prenant le soin d’encoder en base 64 les mots à tester, retour case départ.
Le vrai problème c’est que les sites (ou que le CNIL) devraient systématiquement indiquer publiquement les mesures prises en vue d’assurer la confidentialité des données et de l’authentification.
Le
15/09/2015 à
11h
55
Sauf que dans les bonnes pratiques, le mot de passe en clair doit être effacé dès traitement et remplacé par un token cryptographique non rejouable excepté sur une fenêtre de quelques minutes.
N’importe quel programme sous l’utilisateur courant peut lire ce fichier et le balancer à l’extérieur et il n’y aura aucune alerte de consignée.
Le « mieux » est vraiment l’ennemi du bien en sécurité. Or, en l’espèce le coup du base 64 c’est assez stupide ; avant de faire une attaque par dictionnaire, il faut faire une analyse du jeu de symbole utilisé et de la dispersion pour essayer de réduire la combinatoire. Détecter et décoder du base64 c’est pas trop dur, puis après attaque classique par dictionnaire. Intérêt : strictement zéro sauf pour emmerder les script kiddies.
Le
15/09/2015 à
11h
41
En laissant une belle trace du mot de passe en clair dans .bash_history pour la postérité " />
Le
15/09/2015 à
10h
22
Non, mais sur un serveur public s’il y a 10 000 authentifications à traiter sur une période temps très courte. 5ms ou 500ms de traitement par authentification ça fait une sacrée différence de charge sur les backends sans compter le délai de réaction ce qui est toujours quelque chose que l’on souhaite le plus faible possible.
Le
15/09/2015 à
07h
02
Sérieux. Ma banque pro est comme ça : faille POODLE non patchée, SSL toujours activé, et 6 chiffres pour le mot de passe. Il y a eu une conférence Pas sage en Seine cette année sur les configs TLS, l’intervenant a testé une grande quantité d’accès aux comptes en ligne de banques françaises, à quelques très rares exceptions la note était (selon SSLLabs) : F " />
Le
14/09/2015 à
15h
26
L’idéal c’est de saisir une phrase où il y aura naturellement de la ponctuation et éventuellement des signes diacritiques. Mais en matière de sécurité de mots de passe le mieux ce sont les banques pour l’accès en ligne : le plus souvent limité à 6 chiffres pour le mot de passe, un beau certificat EV à au moins 250 $ et une config https notée F par SSLLabs !
Au risque de te surprendre, le texte qui tu cites n’est pas en vigueur légalement, c’est juste une déclaration de bonne volonté la main sur le cœur (ça ne serait pas bien de faire ça) mais non contraignant.
Certes mais ce monsieur omet de préciser que par exemple Google avec YouTube reverse une partie des gains publicitaires directement aux auteurs des vidéos. Dans ce cas spécifique, l’éditeur est l’auteur, ce modèle ne doit guère plaire au SNE.
Maintenant, il y a une vraie problématique de diversité et de concentration qui est posée mais on sent que, tout au long de ce pamphlet, les auteurs ne sont mis en avant que pour protéger la rente des droits voisins (jamais évoqués par le rédacteur), donc en particulier les éditeurs.
Utiliser Beaumarchais comme paravent c’est quand même particulièrement osé(*).
(*) La SACD créée en 1777 par Beaumarchais avait pour finalité de défendre les auteurs contre… les éditeurs !
Le
11/09/2015 à
14h
42
C’est troll’di mais l’article de Marc place d’entrée de jeu la barre très très haut. Titre / sous-titre, c’est déjà plié. Petit faible quand même pour : « on ne compte plus les gazouillis parfumés à l’acide chlorhydrique ». " />
Je ne pense pas que le code civil soit de cet avis (article 1315 en particulier) :
« Celui qui réclame l’exécution d’une obligation doit la prouver. Réciproquement, celui qui se prétend libéré doit justifier le paiement ou le fait qui a produit l’extinction de son obligation. »
Le
11/09/2015 à
09h
28
Sans vouloir être médisant, la directive européenne (2001/29/CE) ne parle pas de remboursement pour le professionnel mais de non assujettissement, c’est un peu différent.
Le
11/09/2015 à
09h
13
C’est ça, mais ça peut être indirect aussi : un « ami » politique pourrait demander à un AD de servir de porte-flingue, une petite erreur dans une black list est si vite arrivée (le risible signalement de l’url 127.0.0.1 par exemple).
Le
11/09/2015 à
08h
18
Pratique, pour assécher le financement de Wikileaks par exemple ou pour dégommer en plein vol un nouvel acteur (légal) qui commencerait à faire trop d’ombre ; et bien sûr accusation, juge et bourreau confondus, c’est tellement plus efficace et pratique.
Enfin ! C’est pas le gouvernement, c’est une initiative parlementaire. Il faut respecter la séparation des pouvoirs voyons ! " />
Le
10/09/2015 à
14h
10
Seul le gouvernement (PJL) peut engager des dépenses, là c’est de source parlementaire (PPL) et normalement ça dégage direct lors de l’examen en commission au titre de l’article 40.
Le
10/09/2015 à
13h
41
Hum… ils ont pas oubliés de mettre un gage (L.575 et 575A CGI) dans la PPL, parce que les boîtes noires plus permissives et le stockage ça va (nous) coûter bonbon ? Vu l’article 40 de la Constitution (pour mémoire) :
« Les propositions et amendements formulés par les membres du Parlement ne
sont pas recevables lorsque leur adoption aurait pour conséquence soit
une diminution des ressources
publiques, soit la création ou l'aggravation d'une
Yep, mais le problème est plus au niveau fiscal et mondial que d’écrire dans une loi un passage comme celui-là ; en gros ça officialise la notion d’établissement virtuel mais après ça va faire flop… Ou alors c’est une possibilité de chantage pour que les SR puissent poser des sondes mais c’est pas super convainquant.
Le
08/09/2015 à
12h
28
« histoire de faire tomber les Google, Facebook, Twitter ou autres dans le droit français » sauf qu’ils ont déjà des établissements en France donc c’est pas trop dur d’assigner la filiale, en revanche récupérer du pognon sur cette base ça ne marche pas.
Le seul intérêt sera de faire peur aux petits/moyens qui ont des velléités à se positionner sur le marché français, bof, bof.
Oui, ils l’avaient évoqué mais ils vont pas tout se goinfrer d’un seul coup quand même ! Sinon le ou les amendements seraient portés par qui (gouvernement ou parlement) ?
Le
04/09/2015 à
12h
52
Bon au moins pour le moment il n’est pas (encore) question de d’assujettir les disques internes, tout n’est pas complètement négatif " />
Le
04/09/2015 à
12h
49
Cadeau. La dernière fois que j’ai lu un de ces rapports, la très sérieuse institution qualifiait la redistribution de nébuleuse…
Merci pour le résumé. Il manque peut-être la liberté de panorama (photographier un bâtiment ou une sculpture sous droit d’auteur qui apparaît de façon accessoire dans une photo) quand c’est à but non lucratif et l’absence de définition positive tant pour le domaine public(*) que pour la neutralité du net.
(*) À ce sujet on trouve une phrase étonnante dans l’exposé des motifs, page 5 : « (le domaine commun informationnel) il recouvre à la fois le domaine public intellectuel, qui n’a pas encore de définition positive (…) » WTF, c’est qui le législateur ?
D’ailleurs, si la régie a connaissance du contenu du site, ça n’en fait pas un complice ?
C’est peut-être le moyen de pression utilisé par la police pour les régies ayant pignon en UK (cf mon post #41) : « soit vous coopérez, soit on lance une action judiciaire et vous serez accusé de blanchiment / recel de contrefaçon ».
Le
27/08/2015 à
17h
06
En allant à la source, les choses deviennent plus claires :
« PIPCU further informed us that 134 advertising agencies are
participating in the program, up from 84 last year. All of these
companies have a UK presence but many operate internationally. »
Plus intéressant :
« It remains unclear what percentage of the total ads on pirate sites are
being replaced. The banners appear rarely in the wild so we assume that
the volume is relatively low. »
Mais aucune trace d’un juge ou d’un jugement…
Le
27/08/2015 à
16h
54
CryoGen a écrit :
Qui te dit qu’il n’y a pas de suite à ce système de pub ? LE juge est peut-être informé en même temps on n’en sait rien dans l’article…
« Ce chiffre a été obtenu après l’équivalent anglais d’une procédure CADA,
afin d’obtenir les informations jalousement gardées par une
administration. »
Je ne suis pas spécialiste en droit anglo-saxon mais cette phrase me laisse fortement penser que non.
Le
27/08/2015 à
16h
44
D’où ma question initiale, mais si la régie est étrangère on fait comment ?
Le
27/08/2015 à
16h
42
Par définition le site est illégal quand il a été jugé en tant que tel… L’histoire du dealer ça s’appelle de la flagrance et (en France) le procureur considéré comme un juge (ce qui est discutable) doit être prévenu a posteriori dans un délai très court et décider des suites à donner. Là c’est open bar pour l’exécutif.
Le
27/08/2015 à
16h
38
L’altération de contenu ne m’apparaît pas comme quelque chose de mineur ; c’est (même si c’est de la pub) au niveau du great firewall of China qui réécrit les articles du New-York Times. Bonjour les dérives possibles.
Le
27/08/2015 à
16h
28
Oui mais en matière de licéité " />. Sauf erreur de ma part, il n’y a aucune intervention d’un juge, et c’est un service de police (probablement privé) qui s’en occupe sur simple dénonciation des ayants droit et de plus la procédure n’est pas publique (vu qu’il a fallu saisir une commission compatible CADA). Ça choque personne ?
867 commentaires
Axelle Lemaire dévoile la « V2 » du projet de loi numérique
06/11/2015
Le 06/11/2015 à 14h 14
Pas seulement, c’est une très bonne technique dilatoire pour occuper les gens qui sont compétents sur le sujet pendant que la chambre d’enregistrement enregistre dans son coin.
Côté com’ c’est pas mal non plus parce qu’il faut bien expliquer aux exégètes amateurs numéristes les subtilités de l’élaboration d’une loi et les contraintes exercées par les lobbys (ah non, ça fallait pas le dire).
Surveillance internationale : le président du Sénat « ne manquera pas de saisir le Conseil constitutionnel »
05/11/2015
Le 05/11/2015 à 16h 18
Si c’est pour faire une saisine vide faisant la réclame du Sénat et pouvoir pavaner comme la dernière fois, c’est peut être pas utile…
La clé USB Killer 2.0 grille une carte mère en quelques secondes
15/10/2015
Le 15/10/2015 à 22h 49
Je crois qu’en informatique c’est mieux de se protéger tout ce qui provient de l’extérieur, on pourrait peut-être l’appliquer à l’électronique " /> Généralement c’est le cas pour les équipements télécom. Datasheet d’une diode transil type, ces petites bêtes encaissent bien.
Le 15/10/2015 à 22h 32
Mouais on parle quand même d’une énergie ridicule, de plus je doute fortement que le convertisseur DC/DC puisse produire 5A tout en élevant la tension d’un facteur 44. Par contre la tension élevée peut faire claquer la plupart des semi-conducteurs sur le passage. Donc des diodes transil restent la meilleure solution pour se prémunir en écrêtant la surtension rapidement (5 ns de temps de réaction).
Le 15/10/2015 à 16h 18
Avec des diodes transil bidirectionnelles sur D+ et D-, l’attaque deviendrait inopérante d’autant que le courant est faible (2A mais le plus souvent seulement 500mA, du moins en USB 2 sous 5V) et qu’avec du 220 V c’est 44 fois moindre, mais d’ici à ce que les constructeurs de cartes mères mettent 0,5 € de plus pour protéger un minimum les ports E/S…
Le bâtonnier de Paris attaque la loi Renseignement devant la Cour européenne
08/10/2015
Le 09/10/2015 à 08h 15
Tout est sous le pouvoir de l’exécutif, il ne peut pas y avoir de contradictoire (pas d’accès au dossier, secret défense). Ça fait beaucoup pour une loi qui n’est pas une loi d’exception.
Le 08/10/2015 à 20h 10
C’est un angle d’attaque et c’est mieux que rien. En cas de succès il y aura des dommages collatéraux et vu que l’édifice est instable et techniquement irréaliste, cela pourrait faire très mal. Là ça va se jouer à la CJUE en pesant la légitimité des atteintes aux libertés par rapport aux buts recherchés, la décision pourrait être d’ordre plus général.
Le 08/10/2015 à 14h 07
Marc, je crois que sur ce coup là tu as gagné une fiche « S » bien méritée, d’ailleurs peut-être une occasion après la CADA de tester la CNCTR #jdcjdr
Deux sénateurs veulent étendre la redevance TV aux foyers sans TV
05/10/2015
Le 05/10/2015 à 16h 27
Ça existe déjà : la TVA et c’est une invention française " />
Au Sénat, des pistes pour mieux prélever l’impôt sur le numérique
21/09/2015
Le 21/09/2015 à 16h 36
Seuil d’imposition pour l’impôt sur les revenus après abattements / quotient familial : 9690 €, (2015, annuel) seuil de pauvreté : ~ 987 - 822 € (selon la méthode de calcul, mensuel, 2012), SMIC : 1457 € (2015, mensuel, brut). Sources : ministère des finances, INSEE.
Un seuil à 5000 € annuel apparaît comme un truc « pour simplifier les choses » mais sans tenir compte des autres paramètres officiels et de la réalité…
Le 21/09/2015 à 13h 20
« Aucune difficulté » C’est pas comme si les règles de la TVA avait changé en Europe en 2015 et que c’est encore pire surtout avec la surcouche française qui donne une obligation de résultats aux entreprises pour déterminer le le taux de TVA applicable alors que l’Europe ne (se) prévoit qu’une obligation de moyens pour rendre l’information disponible.
Encore une belle surcouche sur une usine à gaz, mais c’est pas grave : refaire un SI tous les ans ça coûte pas cher aux entreprises " />
Vers un éveil à la programmation informatique dès le CE1
18/09/2015
Le 18/09/2015 à 17h 25
Le 18/09/2015 à 16h 05
Après tout c’est " />-di, quel est le rapport entre un tableur et un éveil à la programmation informatique ?
Le 18/09/2015 à 15h 09
On est d’accord mais le minimum c’est quand même l’algèbre de Boole pour commencer, AMHA les automatismes, l’électronique sont de bons candidats pour faire des choses très simples avant de passer à la notion plus abstraite d’algorithme.
Mais là en dehors de tout contexte et dans ce cursus, encore une fois c’est du gaspillage ; ça va se résumer à tenter d’enseigner des rudiments de technologies dépassées plutôt que de donner des vraies bases parce qu’il faut tenir dans le planning et dans le respect du programme (si j’ose dire " />).
Le 18/09/2015 à 14h 51
Désolé, je ne percute pas. Autant je saluerais un projet sur un semestre consistant à faire clignoter une led avec une Arduino (ou autre) en expliquant toutes les couches et le pourquoi, autant prétendre donner des rudiments d’algorithmique sans base solide préalable me semble du gaspillage à tous les niveaux.
Le 18/09/2015 à 14h 33
Message sponsorisé par le ministère de l’intérieur " />
Le 18/09/2015 à 14h 26
Donc avant même de connaître, grossièrement, les grands principes de fonctionnement d’un ordinateur (von Neumann), l’électricité, les études de fonctions (log, exp), on va balancer à des gamins des trucs que les profs seront incapables d’expliquer, qui n’ont aucun intérêt dans la vie professionnelle et probablement au détriment d’autres matières, joli programme.
Ashley Madison : les mots de passe navrants de banalité
14/09/2015
Le 15/09/2015 à 15h 18
J’entends bien. Mais l’idéal ce serait de disposer d’un mot de passe costaud, facile à retenir pour l’utilisateur et difficile à deviner pour un tiers. Or c’est pas si difficile, avec une phrase ; une citation qu’on apprécie, une phrase qui commence en français et qui se termine en tahitien, on peut imaginer beaucoup de variantes.
Le gros facteur limitant ce sont les sites qui imposent des mesures débiles au lieu de simplement mettre un indicateur d’entropie quant à la qualité du mot de passe choisi et surtout d’expliquer ce qu’ils en font après, mais ça c’est franchement pas gagné…
Le 15/09/2015 à 13h 52
Le 15/09/2015 à 13h 19
" /> Si je vois :
Y2VjaSBlc3Qgc3VwcG9zw6kgw6p0cmUgdW4gbW90IGRlIHBhc3NlIGNvbXBsZXhlCg==
Déjà je sais que c’est du base 64 (en plus de ça les ‘=’ en sont la signature et de plus superfétatoires) donc :
echo “Y2VjaSBlc3Qgc3VwcG9zw6kgw6p0cmUgdW4gbW90IGRlIHBhc3NlIGNvbXBsZXhlCg==” | base64 -d
=> ceci est supposé être un mot de passe complexe
Ça c’est si c’est en clair (mais ça n’arrive jamais : aucun site web au 21ème siècle ne fait ça, pas vrai ?). Après en fonction du type de chiffrement on avise. Si c’est du symétrique avec clé fixe, c’est plié aussi, on a juste perdu 90% des script kiddies à ce stade.
L’intérêt d’une telle technique est quand même d’empêcher des attaques relativement faciles avec des rainbow tables (dictionnaire pré-hashé avec un index). Donc ça peut effectivement empêcher quelques attaques basiques.
Mais ça ne change pas fondamentalement le problème, on s’en remet complètement à l’algorithme / protocole de chiffrement. Mais comme la quantité d’information / entropie n’a pas changé mais seulement la notation et compte tenu des techniques élaborées de cryptanalyse, s’il y a une faille ou une possibilité de réduction de la combinatoire exploitable dans la fonction de hashage, c’est ce qui sera utilisé et donc le fait que ce soit en base 64 ne jouera qu’à la marge.
Le 15/09/2015 à 12h 36
J’ai bien compris. Mais là où tu te trompes c’est en supposant que le mot de passe sera plus complexe - pour l’utilisateur en revanche c’est certain - puisque c’est simplement un changement de l’alphabet utilisé. Si c’est du hash salé fait dans les règles ça peut avoir un effet.
Mais si c’est du chiffrement symétrique avec clé fixe (genre un xor sur un buffer circulaire - très fréquent dans les progiciels voire en milieu industriel) la simple analyse statistique de la distribution des symboles des mots de passe « chiffrés » dit que le mot de passe source est en base 64, dès lors attaque par dictionnaire en prenant le soin d’encoder en base 64 les mots à tester, retour case départ.
Le vrai problème c’est que les sites (ou que le CNIL) devraient systématiquement indiquer publiquement les mesures prises en vue d’assurer la confidentialité des données et de l’authentification.
Le 15/09/2015 à 11h 55
Sauf que dans les bonnes pratiques, le mot de passe en clair doit être effacé dès traitement et remplacé par un token cryptographique non rejouable excepté sur une fenêtre de quelques minutes.
N’importe quel programme sous l’utilisateur courant peut lire ce fichier et le balancer à l’extérieur et il n’y aura aucune alerte de consignée.
Le « mieux » est vraiment l’ennemi du bien en sécurité. Or, en l’espèce le coup du base 64 c’est assez stupide ; avant de faire une attaque par dictionnaire, il faut faire une analyse du jeu de symbole utilisé et de la dispersion pour essayer de réduire la combinatoire. Détecter et décoder du base64 c’est pas trop dur, puis après attaque classique par dictionnaire. Intérêt : strictement zéro sauf pour emmerder les script kiddies.
Le 15/09/2015 à 11h 41
En laissant une belle trace du mot de passe en clair dans .bash_history pour la postérité " />
Le 15/09/2015 à 10h 22
Non, mais sur un serveur public s’il y a 10 000 authentifications à traiter sur une période temps très courte. 5ms ou 500ms de traitement par authentification ça fait une sacrée différence de charge sur les backends sans compter le délai de réaction ce qui est toujours quelque chose que l’on souhaite le plus faible possible.
Le 15/09/2015 à 07h 02
Sérieux. Ma banque pro est comme ça : faille POODLE non patchée, SSL toujours activé, et 6 chiffres pour le mot de passe. Il y a eu une conférence Pas sage en Seine cette année sur les configs TLS, l’intervenant a testé une grande quantité d’accès aux comptes en ligne de banques françaises, à quelques très rares exceptions la note était (selon SSLLabs) : F " />
Le 14/09/2015 à 15h 26
L’idéal c’est de saisir une phrase où il y aura naturellement de la ponctuation et éventuellement des signes diacritiques. Mais en matière de sécurité de mots de passe le mieux ce sont les banques pour l’accès en ligne : le plus souvent limité à 6 chiffres pour le mot de passe, un beau certificat EV à au moins 250 $ et une config https notée F par SSLLabs !
[MàJ] Loi Création : adoption des amendements sur la copie privée
17/09/2015
Le 15/09/2015 à 14h 07
Pour le dernier point ça ressemble fortement à la Chine qui facture la famille d’un condamné à mort d’une partie du montant de l’exécution…
« La gratuité, c’est le vol » à réactions
11/09/2015
Le 13/09/2015 à 14h 37
Au risque de te surprendre, le texte qui tu cites n’est pas en vigueur légalement, c’est juste une déclaration de bonne volonté la main sur le cœur (ça ne serait pas bien de faire ça) mais non contraignant.
Les textes applicables sont là : Déclaration des droits de l’homme et du citoyen (à valeur constitutionnelle en France) et le traité européen Convention de sauvegarde des droits de l’homme et des libertés fondamentales.
Le 12/09/2015 à 08h 02
Certes mais ce monsieur omet de préciser que par exemple Google avec YouTube reverse une partie des gains publicitaires directement aux auteurs des vidéos. Dans ce cas spécifique, l’éditeur est l’auteur, ce modèle ne doit guère plaire au SNE.
Maintenant, il y a une vraie problématique de diversité et de concentration qui est posée mais on sent que, tout au long de ce pamphlet, les auteurs ne sont mis en avant que pour protéger la rente des droits voisins (jamais évoqués par le rédacteur), donc en particulier les éditeurs.
Utiliser Beaumarchais comme paravent c’est quand même particulièrement osé(*).
(*) La SACD créée en 1777 par Beaumarchais avait pour finalité de défendre les auteurs contre… les éditeurs !
Le 11/09/2015 à 14h 42
C’est troll’di mais l’article de Marc place d’entrée de jeu la barre très très haut. Titre / sous-titre, c’est déjà plié. Petit faible quand même pour : « on ne compte plus les gazouillis parfumés à l’acide chlorhydrique ». " />
Piratage : des listes noires entre ayants droit et acteurs du paiement
11/09/2015
Le 12/09/2015 à 08h 17
Je ne pense pas que le code civil soit de cet avis (article 1315 en particulier) :
« Celui qui réclame l’exécution d’une obligation doit la prouver. Réciproquement, celui qui se prétend libéré doit justifier le paiement ou le fait qui a produit l’extinction de son obligation. »
Le 11/09/2015 à 09h 28
Sans vouloir être médisant, la directive européenne (2001/29/CE) ne parle pas de remboursement pour le professionnel mais de non assujettissement, c’est un peu différent.
Le 11/09/2015 à 09h 13
C’est ça, mais ça peut être indirect aussi : un « ami » politique pourrait demander à un AD de servir de porte-flingue, une petite erreur dans une black list est si vite arrivée (le risible signalement de l’url 127.0.0.1 par exemple).
Le 11/09/2015 à 08h 18
Pratique, pour assécher le financement de Wikileaks par exemple ou pour dégommer en plein vol un nouvel acteur (légal) qui commencerait à faire trop d’ombre ; et bien sûr accusation, juge et bourreau confondus, c’est tellement plus efficace et pratique.
Loi Renseignement : le texte sur la surveillance internationale expliqué ligne par ligne
10/09/2015
Le 10/09/2015 à 14h 53
Enfin ! C’est pas le gouvernement, c’est une initiative parlementaire. Il faut respecter la séparation des pouvoirs voyons ! " />
Le 10/09/2015 à 14h 10
Seul le gouvernement (PJL) peut engager des dépenses, là c’est de source parlementaire (PPL) et normalement ça dégage direct lors de l’examen en commission au titre de l’article 40.
Le 10/09/2015 à 13h 41
Hum… ils ont pas oubliés de mettre un gage (L.575 et 575A CGI) dans la PPL, parce que les boîtes noires plus permissives et le stockage ça va (nous) coûter bonbon ? Vu l’article 40 de la Constitution (pour mémoire) :
« Les propositions et amendements formulés par les membres du Parlement ne
sont pas recevables lorsque leur adoption aurait pour conséquence soit
une diminution des ressources
charge publique. »
[MàJ] La loi Lemaire n’étendra pas la surveillance chez les hébergeurs étrangers
09/09/2015
Le 08/09/2015 à 12h 43
Yep, mais le problème est plus au niveau fiscal et mondial que d’écrire dans une loi un passage comme celui-là ; en gros ça officialise la notion d’établissement virtuel mais après ça va faire flop… Ou alors c’est une possibilité de chantage pour que les SR puissent poser des sondes mais c’est pas super convainquant.
Le 08/09/2015 à 12h 28
« histoire de faire tomber les Google, Facebook, Twitter ou autres dans le droit français » sauf qu’ils ont déjà des établissements en France donc c’est pas trop dur d’assigner la filiale, en revanche récupérer du pognon sur cette base ça ne marche pas.
Le seul intérêt sera de faire peur aux petits/moyens qui ont des velléités à se positionner sur le marché français, bof, bof.
Loi Création : vers une « taxe » copie privée étendue au cloud !
04/09/2015
Le 04/09/2015 à 13h 28
Oui, ils l’avaient évoqué mais ils vont pas tout se goinfrer d’un seul coup quand même ! Sinon le ou les amendements seraient portés par qui (gouvernement ou parlement) ?
Le 04/09/2015 à 12h 52
Bon au moins pour le moment il n’est pas (encore) question de d’assujettir les disques internes, tout n’est pas complètement négatif " />
Le 04/09/2015 à 12h 49
Cadeau. La dernière fois que j’ai lu un de ces rapports, la très sérieuse institution qualifiait la redistribution de nébuleuse…
Les principales mesures de l’avant-projet de loi numérique
04/09/2015
Le 04/09/2015 à 10h 52
Merci pour le résumé. Il manque peut-être la liberté de panorama (photographier un bâtiment ou une sculpture sous droit d’auteur qui apparaît de façon accessoire dans une photo) quand c’est à but non lucratif et l’absence de définition positive tant pour le domaine public(*) que pour la neutralité du net.
(*) À ce sujet on trouve une phrase étonnante dans l’exposé des motifs, page 5 : « (le domaine commun informationnel) il recouvre à la fois le domaine public intellectuel, qui n’a pas encore de définition positive (…) » WTF, c’est qui le législateur ?
La police anglaise inculque ses bonnes bannières sur 251 sites « pirates »
27/08/2015
Le 27/08/2015 à 17h 19
Le 27/08/2015 à 17h 06
En allant à la source, les choses deviennent plus claires :
« PIPCU further informed us that 134 advertising agencies are
participating in the program, up from 84 last year. All of these
companies have a UK presence but many operate internationally. »
Plus intéressant :
« It remains unclear what percentage of the total ads on pirate sites are
being replaced. The banners appear rarely in the wild so we assume that
the volume is relatively low. »
Mais aucune trace d’un juge ou d’un jugement…
Le 27/08/2015 à 16h 54
Le 27/08/2015 à 16h 44
D’où ma question initiale, mais si la régie est étrangère on fait comment ?
Le 27/08/2015 à 16h 42
Par définition le site est illégal quand il a été jugé en tant que tel… L’histoire du dealer ça s’appelle de la flagrance et (en France) le procureur considéré comme un juge (ce qui est discutable) doit être prévenu a posteriori dans un délai très court et décider des suites à donner. Là c’est open bar pour l’exécutif.
Le 27/08/2015 à 16h 38
L’altération de contenu ne m’apparaît pas comme quelque chose de mineur ; c’est (même si c’est de la pub) au niveau du great firewall of China qui réécrit les articles du New-York Times. Bonjour les dérives possibles.
Le 27/08/2015 à 16h 28
Oui mais en matière de licéité " />. Sauf erreur de ma part, il n’y a aucune intervention d’un juge, et c’est un service de police (probablement privé) qui s’en occupe sur simple dénonciation des ayants droit et de plus la procédure n’est pas publique (vu qu’il a fallu saisir une commission compatible CADA). Ça choque personne ?