Je ne prétends pas non plus décrire une solution miracle. Tous les athéistes présents seront d’accord avec moi sur le fait que, de toutes façons, les miracles ça n’existe pas. Ce n’est pas le sujet.
Mon intervention était en réponse à “je ne vois pas comment il pourrait en être autrement” (que laisser la sécurité des banques aux seules mains des banques). Et bien voilà, comme ça. Il en est autrement, comme ça. Réglementations, obligations d’audit, charge de la preuve et obligation de rembourser qui pèsent par défaut sur la banque dans certains cas, etc. Les banques ont des comptes à rendre sur leur sécurité et elles se voient partiellement dicter par des tiers comment l’implémenter. C’est tout ce que je dis.
Le
29/12/2016 à
10h
52
the_frogkiller a écrit :
ah bon si une faille de sécurité est exploitée ce n’est pas la banque qui en paye le prix?
Je pense que la réponse correcte est: “ça dépend”. Il n’est pas toujours facile de déterminer qui est le responsable/fautif:
* Une faille de sécu de la banque?
* Le laxisme moyen de l’interface chaise clavier dans la gestion de ses identifiants?
* Une faille de sécu dans l’O.S. du téléphone que le client a utilisé pour accéder au service en ligne?
* Une 0day dans un protocole que tout le monde croyait sûr jusque là, ce qui fait que la banque peut dire de bonne foi avoir fait tout ce que la loi lui imposait?
* Etc.
Et si on n’impose pas une certaine transparence à la banque (régulation!), il devient impossible de répondre à cette question. Et ça commence par une obligation faite aux entreprises (dont les banques) de déclarer aux autorités les intrusions dans leurs système (Je ne sais plus où nous en sommes dans ce domaine en France), et la mise en œuvre de normes comme PCI DSS, etc.
Le
29/12/2016 à
10h
43
La régulation ça commence déjà par faire porter par la banque le dédommagement des pertes subies par ses clients qui prouvent qu’ils ont été fraudés (c’est partiellement implémenté). Ensuite, tu peux imposer aux banques la réalisation d’audits one shot ou réguliers >>à ses frais<< pour être autorisée à fournir certains services. Les audits sont faits par des entreprises tierces spécialisées. C’est un modèle qui marche bien et qui est utilisé dans un nombre incalculable de cas de figure aujourd’hui, pas seulement bancaires. Les points importants à surveiller sont que le coût de l’habilitation ne soit pas exorbitant au point d’empêcher l’entrée de nouveaux acteurs, et que les autorités certifiantes soient bel et bien indépendantes des intérêts économiques et financiers des entreprises à certifier.
Le
29/12/2016 à
10h
34
Il est tout aussi légal de dire “On déchiffre tout pour notre propre sécurité et les accès aux données déchiffrées sont contrôlés suivant le cadre légal. Si vous allez sur votre site bancaire dans ces conditions, c’est votre problème.”
Dès lors que ce cadre est posé, il n’y a plus d’obligation d’exclure quoi que ce soit.
Dans la même veine, pour éviter les conflits, il est aussi légal de dire: “On déchiffre tout, et on interdit complètement les sites bancaires (et quelques autres du même genre inutiles pour votre boulot) comme ça vous ne viendrez pas vous plaindre qu’on vous espionne.”
Ce qui est important, c’est de poser officiellement les règles. Une entreprise n’a pas d’obligation légale de respecter la tolérance habituelle en termes d’utilisation personnelle de l’accès Internet en France, du moment que ses employés sont au courant des règles, et qu’elles ne sont pas discriminatoires. C’est seulement si elle choisi d’être tolérante qu’elle a intérêt d’exclure les sites bancaires, administratifs, etc., pour éviter les conflits au prud’hommes.
Le
29/12/2016 à
10h
21
Il veut dire par là que l’on laisse les banques juger elles-même de la qualité de leur sécurité, sans avoir de comptes à rendre. Pour “qu’il en soit autrement,” il suffit d’introduire dans le processus un tiers régulateur et des sanctions.
Le fond du problème ici est l’externalisation du risque : ce n’est pas la banque elle-même qui souffre d’une faible sécurité. Améliorer cela réduit les revenus de la banque. Elle n’a donc aucune motivation pour corriger sa sécurité. La régulation, tellement détesté par la finance, est une façon d’écrire dans la loi que la banque a la responsabilité de la sécurité financière de ses clients, et donc qu’elle peut être sanctionnée. Du coup, le risque est réinternalisé (la banque paye pour ses manquements) et la situation s’améliore.
Ce n’est pas seulement une question de confidentialité. C’est aussi une question de…
* pérennité du service (wave? picasa?…),
* de ses conditions d’utilisation (je stocke tes données, et demain je peux t’interdire de les chiffrer pour pouvoir les exploiter commercialement, ou te faire payer le service une fois que tu es bien accro),
* de propriété des données stockées (je stocke tes photos, mais je prends les droits dessus, et je peux décider de prendre une part sur les bénéfices qu’elles pourraient t’apporter),
* d’interopérabilité (p.e. je stocke ton agenda, et je fais évoluer ou ferme mes API après quelques temps de sorte à tuer la concurrence et donc l’innovation),
* de contrôle (p.e. je décide de quelle façon tu peux, ou pas, partager tes données et collaborer avec les autres utilisateurs de mes services et de ceux de la concurrence),
* d’attractivité de la cible (à niveau de sécurité technique équivalent, un Google est bien plus susceptible de se faire attaquer que toi tout seul - le rapport travail/bénéfices attendus est sans commune mesure).
Et j’en oublie sûrement. L’idée est que avec des hébergeur où tout est intégré verticalement comme Google, dès lors que tu leur confies tes données, tu acceptes de les exploiter de la façon que eux ont prévu. C’est à dire qu’ils ne chercheront à plaire qu’à la majorité (en terme de ROI) et toujours de sorte à augmenter leurs propres revenus plutôt que les tiens ou ton confort. Avec une solution comme Owncloud cet argument ne pèse plus sur la conception du produit. Tu reste maître de tes données et de l’usage qui en est fait.
Mais évidemment with great powers comes great responsibilities. C’est plus de boulot.
Naïvement, comme ça, il y a l’intérêt de se protéger des intermédiaires qui pourraient vouloir lire et/ou modifier tes requêtes et les pages renvoyées par NXI. Par exemple tous les intervenants dans le fonctionnement de ton téléphone portable (manufacturier chinois, O.S. américain GAFA, éditeurs d’applications tierces potentiellement malveillants), les fournisseurs d’accès à Internet (qui se croient régulièrement autorisés à espionner et MODIFIER le trafic Web “pour la bonne cause”, sans parler des DNS menteurs qui font le bonheur des registrars), et les opérateurs de backbone Internet (parfois à la botte d’une dictature ou d’une autre, sachant que certaines ne se gènent pas pour détourner de gros volumes de trafic Internet via leurs infrastructures de temps en temps, pour des motifs certainement inavouables).
Ce n’est pas le monde des Bisounours. Le chiffrement de bout en bout a vocation à devenir la norme, à mon sens.
Il y a le fait qu’il n’y a plus assez d’IP pour tout le monde, à moins de passer en IPv6. Pour l’instant pas suffisamment de services sont disponibles via IPv6, et la moitié des opérateurs français en sont seulement à dire qu’ils vont commencer à tester en 2016 ou 2017. Ensuite il y a le fait que les opérateurs n’ont aucun intérêt économique à ce que l’auto hébergement se développe. L’auto hébergement se pose en concurrent de tous leurs services à l’exception de leur métier de base de fournisseur de tuyaux.
La nature même du principe de chiffrement des données, sur la base d’un secret qui authentifie le propriétaire de la donnée chiffrée, fait que la présence d’une backdoor détruirait complètement et définitivement l’utilité du chiffrement pour qui que ce soit:
* une backdoor est un secret partagé, et un secret partagé dans un produit public finit toujours par ne plus être un secret du tout,
* par conséquent une backdoor deviendra toujours, avec le temps, utilisable par tout le monde,
* par conséquent la donnée n’est en pratique pas protégée par le chiffrement.
Donc demander une backdoor n’est qu’une façon polie de demander l’interdiction du chiffrement pour tous ceux qui en ont un usage légitime, sans pouvoir pour autant empêcher les usages criminels. Les criminels n’en auront, excusez l’expression, rien à branler qu’on leur fasse les gros yeux si on ne peut pas déchiffrer leur téléphone.
La raison principale derrière cette demande est présentée de façon malhonnête. 74 téléphones qui n’ont pas pu être débloqués… En 9 mois. Sur approximativement 100 000 cas. Soit un obstacle rencontré dans 0,074% des cas. Sans que pour aucun de ces cas on n’ait la certitude que cela aurait changé quoi que ce soit. On nous demande donc de rester vulnérable à tous les salopards qui auraient envie de nous voler notre vie privée pour PEUT-ETRE faciliter la vie des enquêteurs dans 7 cas sur 10 000. Et ce, dans l’hypothèse improbable et absurde où les criminels qu’on poursuit n’auraient pas l’idée d’utiliser quand même le chiffrement devenu illégal.
“En avril dernier, nous relations comment l’ancien directeur de la NSA, le général Keith Alexander, tentait d’alerter l’opinion publique aux États-Unis sur un énorme problème potentiel : les systèmes informatiques de l’armée ou des agences de sécurité sont pratiquement tous tournés vers la défense.”
Ah bon? Moi j’avais plutôt l’impression que les U.S. étaient entièrement portés sur l’offensive. Offensive contre leurs ennemis supposés et alliés déclarés, sous la forme d’espionnages des réseaux à la fois massifs et ciblés, détournements actifs de trafic Internet, prise de contrôle de milliers de machines à travers le monde façon botnet (“mais là c’est justifié, c’est gou-ver-ne-men-tal, vous comprenez”), etc. Offensive contre tout mécanisme de défense informatique pour le public (puce Clipper, interventionnisme destructeur dans la recherche sur le chiffrement, backdoors obligatoires, etc.). Et pour finir chasse aux sorcières contre les sonneurs d’alarme. Je ne me souviens pas avoir vu le gouvernement U.S. allouer le plus petit dollar dans la sécurisation effective des système. Rien de défensif.
Alors forcément, oui, ils voient qu’ils se font attaquer puisque rien n’est correctement défendu. Et ça leur sert à justifier quoi? Encore plus de capacité offensive.
“Seulement voilà, détecter les tentatives d’intrusions n’est qu’une partie de la défense, encore faut-il les bloquer efficacement. Ou riposter.”
Le “problème,” c’est que tout mécanisme défensif efficace peut aussi être utilisé pour se défendre contre les abus de son gouvernement. Parce que dans le cybermonde, en substance, ce qui est accessible à l’un finit toujours par être accessible à tous.
Du coup, en tant que recourt légal, le CC étant l’ultime échelon dans cette république, les seuls recourts qui restent ne sont plus légaux (en tout cas prévu par la loi, mais il me semble qu’ils sont prévu par des textes constitutionnels).
De l’intérêt, paradoxalement, pour quelqu’un qui souhaite qu’un texte passe et ne puisse plus être remis en cause, de faire une saisine du proactive du CC, la plus vague possible mais suffisamment outrée et verbeuse pour ne pas être considérée comme une saisine blanche.
Ce qui me fais penser que les promoteurs d’un texte devraient être interdits de saisine du CC à titre personnel. je dis ça, je dis rien, hein?..
Si une loi Française peut demander à Google de retirer un lien partout dans le monde, qu’est ce qui empêche [mettre un pays totalitaire] de créer une loi qui demande à Google de déréférencer un lien partout dans le monde ?
Le fait que la Chine n’ait pas jurisdiction sur le lien et/ou le contenu vers lequel il pointe. En l’occurrence nous parlons de données personnelles de citoyens français (par exemple), qui tombent dans le giron de la loi française. Si la Chine veut se déclarer compétente sur les données des citoyens français ou américains, je lui souhaite bon courage…
Le
12/06/2015 à
10h
01
Papa Panda a écrit :
Cela va finir à un tribunal mondial ?
Car comment la cnil peut obliger d’imposer sa “loi” à d’autres pays non Français /Européen vu qu’ils ont leur propres lois sur la question ,non ?
Je relis pour comprendre ce point.
En substance, ce n’est pas une question de pays d’appartenance de l’entreprise. C’est une question de cadre légal qui s’applique aux données considérées (qui définit si ce sont des données personnelles, et de quelles protections elles bénéficient).
Les autres pays ont peut-être des lois différentes, mais qui s’appliquent à leurs propres citoyens, pas aux citoyens français. Un citoyen français (et d’autres) bénéficie des protections accordées par les lois françaises et/ou à l’échelle européenne. Ces lois ne disent pas “un citoyen européen bénéficie d’une protection contre les autres citoyens européens mais il est à poil face au reste du monde et c’est la fête du slip aux Etats Unis”. Elles disent “un citoyen européen bénéficie de telles protections, point final.” Et si une entreprise, fût-elle américaine, veut commercer avec un citoyen français, il doit respecter ces lois, et appliquer ces protections du français contre… Tout le monde. L’effacement des données doit être effectif dans le monde entier, dès lors que l’on parle de données personnelles auxquelles s’applique le cadre légal français.
Si tu ne veux pas respecter le cadre légal qui s’applique au citoyen français, tu ne commerces pas en France, et tu reste loin des données personnelles appartenant à des français. C’est aussi simple que ça.
En parlant de XN, ça serait pas mal qu’il viennent fibrer mon quartier, parce que s’il se dépêche pas, je vais passer chez Orange qui va le faire d’ici peu* dans mon quartier.
*Sachant que le d’ici peu dure depuis déjà deux ans " />
Ah oui tiens d’ailleurs la fibre Orange vient d’arriver dans mon immeuble, donc il paraît qu’ils ont X mois d’exclu avant que le service soit ouvert aux autres opérateurs. Il paraît. Quelqu’un a des infos officielles là-dessus quelque part, que je sache quoi dire dans mon ticket de support à Free? Parce que bon, je ne m’attend pas à ce qu’Orange prévienne Free, donc je compte le faire moi-même.
Et donc on fait en sorte qu’une fonction de sécurité dépende d’un protocole tellement peu sûr que je refuse qu’on me file une carte bancaire NFC et que je désactive la puce NFC de tout smartphone qui entre en ma possession.
On se demande si l’ESA espère vraiment qu’on prenne au sérieux un pseudo-argument aussi fallacieux…
Si le jeu est abandonné par l’éditeur, alors il n’est plus vendu. Autoriser la création de serveurs de substitution ne fait donc pas perdre un sou à l’éditeur et par conséquent ne détruit rien du tout. CQFD
Si. Il détruit le business model consistant à te revendre le même jeu repeint dans une autre couleur chaque année. Sauf que dit comme ça ça expose la malhonnêteté du modèle. Donc on préfère dire “c’est la fin du môôôônde!”
Food for thoughts: FB ne fournit pas les résultats du service de reconnaissance faciale dans les pays dans lesquels c’est interdit. OK OK OK… Quelqu’un a pensé à vérifier s’ils font aussi en sorte que les ressortissants européens ne soient pas soumis à la reconnaissance faciale lorsque c’est, mettons, un américain qui utilise le service? La solution de FB n’a-t-elle pas consisté (comme dans d’autres cas) à seulement dissimuler le fait aux européens qu’ils se font scanner la tronche sur les photos publiées par les irresponsables de tous poils?
Question subsidiaire: comment FB peut-il faire pour ne pas faire la reconnaissance faciale d’un non abonné européen, sur qui c’est interdit, avant de l’avoir reconnu… Facialement?
Tout ça ne tient pas debout techniquement. Il n’y a mathématiquement aucune façon d’imposer à FB de ne faire de la reconnaissance faciale que “sur ses abonnés et à condition que ce ne soit pas interdit par la législation locale” puisque FB est obligé de faire ce qui est peut-être interdit pour savoir si ça l’est. La seule solution qui fonctionnerait dans le monde de la vraie vie consisterait à complètement interdire la reconnaissance faciale à FB (et consorts). Mondialement.
Autant les points 2 à 4 ont du sens, autant il me paraît ahurissant de vouloir forcer Google à faire la pub de ses concurrents. Ce n’est pas comparable au ballot screen des navigateurs, là. On parle d’un service, pas d’un logiciel.
Pour traiter du contenu, je suis quand même assez surpris que l’on condamne quelqu’un qui révèle les failles d’un logiciel massivement utilisé. Alors certes, il a voulu en faire un business (mais visiblement il n’a pas eu le temps d’en tirer des profits), mais que le jugement reconnaisse “le mal fait à M$” pour avoir dévoilé des backdoors, plutôt que “le bien fait à la communauté”, ça me laisse perplexe.
A la base les juges font appliquer la loi, pas la justice ou la morale. En l’occurrence, la loi interdit de faire un business de la publication d’information officiellement secrètes, et il y a bien eu dommage à la réputation de Microsoft et de son produit. Quoi que l’on pense de Microsoft et de son produit, cela ne change rien à l’affaire.
On peut d’ailleurs noter que Microsoft n’a pas réussi à faire jouer l’argument comme quoi c’est le hacker qui aurait fait du mal à la communauté en permettant l’exploitation d’une faille. Et aussi que les peines, eu égard aux volumes financiers considérés, sont du domaine du symbolique de mon point de vue. Donc je pense que le juge a passé un message à la fois au condamné et au plaignant: “arrête d’essayer de te faire passer pour le gentil” à l’un et “ne t’attende pas à ce qu’on défende ton droit à faire de la merde, faudrait quand même pas nous prendre pour des jambons” à l’autre.
Dévoyer les mots est aussi une mission de service public. Au moins avec l’argent des autres, elle ne risque pas la panne sèche dans la vallée de la mort du financement.
Si l’objectif de ces dispositifs est d’aider “les plus modestes, les plus fragiles, les plus pauvres” et donc probablement les moins doués (non péjoratif), c’est raté.
Tout est présenté sur une page surchargée alors qu’on aurait pu distribuer les saisies de manière plus ordonnée et logique par un assistant, thème par thème. Les acronymes ne sont pas traduits, de même que certains termes techniques sont toujours en anglais.
Plus prosaïquement, la seule vertu de ces dispositifs est de démontrer à la face du monde notre savoir-faire indéniable en matière d’usines à gaz sociales et de châteaux de cartes fiscaux.
Il ne leur serait pas venu à l’idée de raser ces empilements anarchiques et irresponsables de législorhée administrative.
Mais non, il faut bien nourrir la clientèle électrice.
“Le dernier objectif d’OpenFisca est encore plus ambitieux, mais terriblement d’actualité : rationnaliser l’inflation législative, c’est-à-dire l’empilement croissant de nouvelles réglementations. « Si on a de meilleurs outils de simulation des règles et des impacts des réformes, il y a une chance que ça permette de mieux légiférer » pense ainsi Henri Verdier.”
Donc, un, il faut lire ce qu’on critique. Et, deux, en ce qui me concerne, je préfère une démarche rationnelle de simplification plutôt qu’une stratégie énervée de la table rase au mépris des imprévisibles mais inévitables conséquences.
“Le système a largement évolué depuis, au point qu’il est fourni en standard avec le Oneplus One.”
Alors oui mais non. Le divorce est consommé entre OnePlus et Cyanogen depuis plusieurs mois, et a même fait l’objet d’articles ici même si ma mémoire est bonne. Et les causes de ce divorce ne semblent pas éclairer Cyanogen d’une lumière très flatteuse pour l’instant.
Tout peut être piraté, mais une authent forte plus faible qu’une authent simple? Tu peux développer? Je sors le popcorn.
Le
24/03/2015 à
13h
30
js2082 a écrit :
Keepass et consorts sont effectivement à éviter.
Ce sont des points de concentration des mdp.
Il est plus facile pour un pirate de s’attaquer à un seul point d’accès (keepass) pour accéder à la totalité des fichiers protégés plutôt que de devoir s’attaquer à chacun des point d’accès pour chaque fichier protégé.
Keepass, c’est la fausse bonne idée qui fragilise la sécurité au final.
C’est un faux argument, tant que la sécurité de l’algorithme de Keepass n’est pas compromise. Et aux dernières nouvelles elle ne l’est pas à ma connaissance. Je sais que c’est contre-intuitif mais qu’il n’y ait qu’un seul point d’attaque ne le rend pas par définition plus faible en l’occurrence. Au contraire puisque, n’ayant qu’un seul mot de passe à retenir, je peux le choisir beaucoup plus robuste que si je devais en retenir des dizaines. Et puisqu’il s’agit d’un outil open source réputé et tenu à jour.
Rappels:
* Un “vol” de base Keepass consiste en une copie. Tu es toujours en possession de l’original (faites des backups les gens!), et donc tu gardes la possibilité de changer tes mots de passe.
* Keepass ne dispense pas de l’obligation de changer tes mots de passe régulièrement. Mieux, il facilite grandement leur renouvellement régulier.
* Keepass rend possible l’utilisation de mots de passe beaucoup plus robustes. Inhumainement robustes. Genre 64 caractères aléatoires, et pas deux mots de passe identiques. La fête du slip du mot de passe.
* Une utilisation correcte d’un gestionnaire de mdp implique un mot de passe maître TRES robuste.
Un attaquant se voit donc OBLIGE de casser ta base Keepass pour casser tes comptes sauf schéma d’authentification pourri de la part du fournisseur (et rien ne te protègera contre ça). Et si tu fais bien ton boulot, il n’y arrivera pas avant que le soleil cesse de briller. Ce qui te laisse largement le temps de changer tes mots de passe, et donc de rendre ses efforts inutiles.
Le
24/03/2015 à
13h
02
js2082 a écrit :
Même une double authentification peut être piratée, voire peut-être même plus facilement, les gens pensant du coup qu’ils sont en sécurité, ils se méfieront moins.
Pardon?
Le
24/03/2015 à
12h
59
Bel Iblis a écrit :
“Comme nous le rappelons régulièrement, il faut utiliser « un mot de passe unique pour chaque service sensible » afin d’éviter un piratage en série en cas de fuite. Mais l’ANSSI recommande également de « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ».”
Je viens de regarder, j’ai 160 mots de passe dans ma base keepass.
Alors il faudrait peut-être en sortir que les services les plus sensibles mais bon c’est un investissement d’en apprendre une dizaine de différents et de plus de 12 caractères.
Ma première réflexion en lisant ce guide a été qu’ils sont déconnectés de la réalité du terrain. A cause de ce chapitre. pas le temps de lire le reste en détail tout de suite, mais je suis inquiet. Je doute de la capacité de la plupart des gens de retenir plus de 3 mots de passe respectant leurs contraintes. Et nous vivons tous avec bien plus de 3 “services sensible” (compte pro, email perso principal, impôts et tous les fournisseurs de services de base: banque, énergie, etc.).
Je peut scanner avec mon iPhone, pourquoi j’ai besoin d’un accessoire inutile, limité a une seule fonction, et qui plus est chere, l’idée est bonne, mais encore une fois l’execution est pitoyable
C’est le grand mystère qui a jailli dans ma tête à la lecture de l’article. Qu’y a-t-il dans Izy qui ne soit pas déjà présent dans le smartphone qu’il est de toutes façons nécessaire de posséder pour utiliser Izy?
Cette histoire c’est juste… N’importe quoi?
Je crois que la réponse est dans les paroles de Julie Leconte : le but est de créer un contexte qui décourage les gens de “zapper” (sic) d’une chaîne de magasin à l’autre. En te faisant croire que ces systèmes vont exiger un nouveau matériel pour chaque chaîne de magasin, on pousse les gens à faire un choix et à s’y tenir.
Etant donné que ce n’est bien sûr pas vrai, puisque n’importe quel smartphone moderne contient le même matériel qu’Izy, je classe ça dans les pratiques anti-concurrencielles. Et ne souscrirais pas.
“base64 decode U3VycHJpc2U=” marche aussi dans plusieurs moteurs de recherche qui décodent directement (testé DDG, Google). On n’arrête pas le progrès-euh.
Aujourd’hui oui pour des raisons pratiques : Wordpress ne prend pas les epub, et, quand j’ai mis tous mes écrits en version livre électronique en plus des PDF, j’ai tout migré vers mon NAS courant 2012 après avoir pris mon abo pour la fibre.
Au moment des faits, Wordpress était l’hébergeur de mes PDF. Désormais, un pinpin qui voudrait me faire suer se ferait renvoyer sur les roses par WP, qui n’a que les écrits de mon blog, quelques recettes de cuisine et les liens vers mes écrits, hébergés sur mon NAS.
La chaîne, c’est Wordpress pour les liens, no-ip pour la redirection et Synology pour l’hébergement. Bonne chance aux amateurs… " />" />" />" />" />
Je pense que quelqu’un qui est déterminé à abuser d’un système anti-contrefaçon pour effectuer un travail de police privée/censure, ne verra pas beaucoup d’objection à attaquer sur le plan technique si le chemin légal lui est inaccessible. DoS sur l’accès Internet, attaque du NAS… Je recommande de multiples copies de sauvegarde :)
Le
09/03/2015 à
12h
05
A-snowboard a écrit :
Je me pose une question, ça se passe comment pour le paiement ?
Car le british, je pense qu’il va se démerder pour ne pas payer non ?
Après je comprend qu’il se déplace pas. Je ne vais pas aller me payer un billet d’avion par ce qu’un ricain m’assigne en justice.
D’ailleurs en france, les procès ont lieu au tribunal le plus proche de l’accusé. (et non de celui qui accuse)
A savoir:
* Le procès n’a pas été ouvert suite à la requête DMCA, contrairement à ce qui est dit dans l’article. Justement, l’auteur du billet avait renoncé à se défendre à cause des coûts impliqués (déplacements…). Dans un premier temps ils ont gagné, en obtenant de WordPress une censure a priori et sans vérification. Ce n’est qu’après que Straight machin UK ait demandé à l’étudiant de retirer toute référence à leur association de son blog que ça a fait le buzz et qu’il a reçu de l’aide pour effectivement se défendre. S’ils n’avaient pas été trop gourmands, nous n’aurions jamais entendu parler de cette affaire.
* L’avocat du plaignant qualifie cette victoire de “creuse” parce que, justement, ils ne pensent pas jamais réussir à collecter la somme. En fin de compte, rien de changé pour ceux qui abusent du système. Le problème structurel de ce système reste entier et non résolu.
Toutes les installations de flash (et bien d’autres logiciels) font pareil depuis longtemps, çà coche par défaut l’installation de chrome et google en main page. C’est exactement pareil que la barre ask…
Alors oui et non. On peut discuter du niveau de malveillance de Chrome dans l’absolu, mais comparé à Ask il ne se met pas navigateur par défaut sans me demander la permission, il ne me rend pas volontairement vulnérable à des attaques par XSS, je peux remettre le paramétrage d’origine sans avoir à me battre. Et Google ne se cache pas de collecter des informations sur nos habitudes.
Donc oui, les installeurs avec bundle de merde, c’est mal, et oui je préfère utiliser FF que Chrome pour tout un tas de raisons philosophiques, mais je ne mettrais quand même pas Chrome et Ask au même niveau.
Le
06/03/2015 à
16h
16
Inny a écrit :
Un point sur les finances d’Oracle serait intéressant dans un prochain article svp. :) Parce que là j’ai l’impression qu’ils ont de gros problèmes de sous pour tomber aussi bas.
Je pense que ce n’est pas avec ça qu’Oracle va faire son beurre, ni se sortir d’éventuelles difficultés. Oracle est un mastodonte. Ce genre d’accord doit leur rapporter l’équivalent d’un café ramené à mon salaire. Genre. Ce qui rend la pratique incroyablement mesquine, au passage.
Le
06/03/2015 à
16h
10
Je note que, alors même que j’avais employé l’astuce consistant à modifier le registre pour que Ask ne me soit plus proposé, il l’est à nouveau depuis au moins quelques jours (Win 7). Déjà que l’astuce était hors de portée de Mme Michu…
Albert Einstein: “La folie est de faire la même chose, encore et encore, en espérant des résultats différents.”
Et pourtant Oracle continue à me poser encore et toujours la même question dans l’espoir que demain je répondrais “oui”. Le fait qu’ils aient défait ce que j’avais fait pour ne plus être emm*bêté démontre en plus une volonté délibérée de piéger même même les pros et autres power users.
Le mec pomé dans les champs qui tourne à 128kb/s peut être ?
Et comme le mac paumé dans les champs a beaucoup plus à gagner en général à avoir une meilleure connexion à Internet, qui pourrait participer à ce qu’il soit un peu plus placé dans la société moderne et un peu moins paumé dans ses champs, je préférerais que nos chers députés s’inquiètent plus de combler la “fracture numérique” que sauver une profession qui n’a plus beaucoup d’utilité.
Outre les services sus-cités qui dépendent encore de technos analogiques, moi je me pose la question des services d’urgence. j’attire votre attention sur un problème qui concerne la téléphonie sur le DSL aussi bien que sur la fibre, avec lequel les U.S. se battent toujours alors qu’ils l’ont identifié depuis longtemps, et que visiblement en France on a complètement glissé sous le tapis politique.
Le réseau RTC est auto-alimenté. Quand vous avez une catastrophe naturelle qui touche votre centrale de distribution électrique locale, p.e. une inondation, vous n’avez plus de courant mais vous pouvez toujours appeler les secours parce que votre central téléphonique a sa propre alimentation de secours et que c’est lui qui alimente votre téléphone fixe filaire de base à 10 euros.
Si on ajoute à ça que de plus en plus de services d’urgence délaissent leurs systèmes de communication radio au bénéfice de téléphones cellulaires qui leur reviennent moins cher, on imagine la catastrophe: plus de téléphonie du tout pour personne (ni les filaires ni les relais de mobiles ne fonctionneront plus en cas de coupure d’alimentation électrique). Ni pour les victimes qui souhaitent signaler leur présence, ni pour les agents de terrain des services d’urgence.
Alors il me semble qu’en France certain services (pas forcément des services d’urgence) font marche arrière et remettent en fonction leurs radios après des expériences malheureuses avec la téléphonie mobile. Mais ça ne règle qu’une partie du problème. Autant je suis heureux que le gouvernement français pousse au cul pour le déploiement de la fibre, autant je suis atterré de ne pas entendre parler de loi imposant aux opérateurs aDSL (qui a le même problème) et fibre d’assurer la continuité de service de tous leurs équipements (répartiteurs, etc.) pendant X heures (voire jours!) en cas de catastrophe naturelle, p.e. à l’aide de batteries de secours. Ou alors, à tout le moins, imposons aux services d’urgence de ne pas dépendre de la téléphonie publique, qui va sous peu devenir un colosse au pieds d’argile.
Donc, si je comprends bien, si faire les gros yeux ne suffit pas, on va dénoncer au grand frère Valls? Le même qui exhibe une volonté manifeste de ficher et videosurveiller les gens?
Qui est pour amender l’article 45 de la loi de 78 pour y ajouter une vraie sanction?
This app has access to: Location approximate location (network-based)precise location (GPS and network-based) SMS send SMS messagesreceive text messages (SMS) Phone reroute outgoing callswrite call logdirectly call phone numbersread call log Photos/Media/Files read the contents of your USB storagemodify or delete the contents of your USB storage Wi-Fi connection information view Wi-Fi connections Device ID & call information read phone status and identity Other change your audio settingsfull network accesscontrol vibrationview network connections
Ca m’a étonné aussi. Je suis un fervent défenseur du “tu touches pas à ton téléphone quand tu conduis” (sauf GPS), donc j’ai voulu lui donner une chance quand même. Depuis, mon HTC One (M7) ne me permet plus de rentrer mon code PIN et reboote en boucle.
Bon, j’avoue, je n’ai pas tout lu ayant déjà vu le sujet traité par ArsTechnica. Je passe juste signaler que, comme cela a été dit dans les commentaires sur AT, le chiffrement utilisé était DES pendant longtemps. Ce n’est pas comme si ces clefs apportaient beaucoup de sécurité de base…
“« Il était difficile de prévoir que les utilisateurs allaient
devenir producteurs de données. Il y a un besoin de débit montant et de
faible latence lors des jeux en ligne ou de discussions Skype. »”
Sérieux? D’une part c’est LE principe FONDATEUR du Web. D’autre part ça fait depuis que le DSL existe en France qu’il y a des gens pour dire que le choix technique de l’aDSL au lieu du sDSL par les opérateurs historiques découle en grande part d’une volonté délibérée du politique et des opérateurs (qui se voyaient déjà virer fournisseurs de contenus) de garder totalement le contrôle sur la production de contenu. Alors, que les amateurs de complots aient raison ou pas, venir nous dire aujourd’hui que ça a pris tout le monde par surprise c’est vraiment nous prendre pour des cons.
La fiabilité du recommandé dépend FORTEMENT du facteur " />
Encore ce matin, ma mère a reçu un recommandé pour moi, et l’a signé à ma place.
Ca me dérange pas en soit, c’est ma mère ; mais si j’étais en mauvais termes avec elle, je l’aurais dans le cul-cul.
C’est con comme exemple, mais c’est illégal et c’est pratiqué par énormément de postiers.
Et souvent, dans les petites villes/villages, tout le monde connait tout le monde, et il arrive que des voisins signent un recommandé pour leur autre voisin vu qu’il était pas là & ainsi de suite.
Idem pour les colis contre signature qu’on remet au voisins parce que le client est pas là, etc.
Comme tu dis, c’est illégal, donc opposable. Si un tribunal te condamne par contumace parce que tu ne t’es pas présenté, tu peux dans ce genre de cas arguer du fait que tu n’as jamais reçu la convocation, et te retourner contre celui qui a signé en ton nom, et contre le postier (faute professionnelle et compagnie, etc.) . Les colis c’est encore un autre sujet. Pas vraiment en rapport avec le schmilblick. Sauf en ce que c’est représentatif du pire du pire, et de ce à quoi s’attendre si la justice se rend dépendante des emails.
Le
19/02/2015 à
12h
50
philanthropos a écrit :
Le soucis de ton contre exemple c’est que l’état s’en tape totalement et que, en l’occurrence, tu sera en faute puisque “nul n’est censé ignorer la loi”.
Comme tu le dis, il y a des “croyances populaires”, mais les gens doivent prendre la responsabilité de leur vie parfois aussi " />
Après, de toute manière, il est prévus que ce soit fait “sur consentement par déclaration expresse” ; à partir de là le constat est simple et sans appel ; et si tu ne te tiens pas au courant de ce qui se passe sur cet e-mail de temps en temps (ou que tu ne change pas ton adresse de Carte Grise pour ton exemple), c’est ta faute.
“Nul n’est censé ignorer la loi” est hors sujet. On parle ici d’appliquer la loi, pas de l’enseigner. Avec ton raisonnement je pourrais aussi bien conclure que chaque tribunal a pour seule obligation de mettre à disposition les convocations dans son hall d’entrée. Puisque les citoyens peuvent venir les consulter sur place, et qu’ils ont l’obligation absolue de ne pas ignorer la loi… Qu’ils se démmerdent, ça fera moins d’impôts à payer! Sans déconner…
Tu prends la responsabilité de ta vie, mais tu fais confiance à tes proches et tu crois ce qu’ils te disent. Ca s’appelle la confiance. C’est la base de toute communauté, et c’est une des choses qui ont permis à l’humanité de traverser les millénaires. Alors oui, ça donne parfois naissance à des croyances populaires erronées, mais c’est inévitable. Ma réaction face à ça est d’essayer d’éduquer les victimes. Pas “ils l’ont bien cherché, nierk nierk nierk”.
Pour finir, mon point est que non, justement, “se tenir au courant de ce qui se passe sur cet email” n’est pas suffisant. Parce que l’email, ce n’est pas aussi fiable qu’un recommandé, et que ça renverse la charge de la preuve. Si un tribunal m’envoie un recommandé qui n’arrive pas, le tribunal ne pourra pas m’accuser de l’avoir ignoré volontairement. Parce qu’il ne pourra pas produire d’accusé de réception avec a signature. De la même façon, j’ai une trace officielle de l’envoi par le tribunal, qui ne peut pas prétendre le contraire (imputabilité et non répudiation, dans les deux sens). Avec un email, ce serait à moi de prouver que je ne l’ai jamais reçu. Ce qui est impossible en l’état actuel des choses. Et même si j’y arrivais aucune contrainte légale ou contractuelle ne pèse sur les opérateurs de serveurs de messagerie, contrairement aux services postaux. La faute ne serait donc imputable à personne et ne serait pas punie! Il n’y aurait aucune pression pour l’obtention d’un service fiable, puisqu’il n’y a pas d’enjeu financier pour les intermédiaires techniques. Pour finir, quand je reçois effectivement un email émis par un tribunal, je n’ai aucune preuve, aucun moyen raisonnable de vérifier qu’il a bien été envoyé par celui qui le prétend, à la date indiquée et qu’il n’a été ni lu ni modifié en chemin. Et je suis censé traiter un sujet aussi sérieux qu’une convocation au tribunal dans ces conditions? Sans aucune garantie?
Donc, encore une fois… merci mais non merci. Je recommande de dire “Non. Allez vous planter sans moi et revenez me voir quand vous serez prêts à faire les choses bien.”
Le
18/02/2015 à
14h
59
philanthropos a écrit :
Après évidement, ça pose le problème de penser à aller la voir ; mais en soit si c’est utilisé pour tout ce qui est convocation en justice & co’, t’es censé être au courant d’une procédure avant généralement.
Euh… Non. Le premier courrier/email est celui qui te met au courant, par définition de “premier”.
Contre-exemple simple: tu déménages sans changer de département. Tu crois à tort, comme beaucoup de gens, que dans ce cas tu n’as pas besoin de faire corriger ta carte grise. Tu fais une entorse au code de la route. Les courrier de l’administration partent à la mauvaise adresse. Jusque et y compris la convocation au tribunal. Condamnation par contumace. La procédure commence et se termine sans que tu sois au courant de rien. Enfin si, tu seras mis au courant lorsque ta banque t’appellera pour te prévenir d’un avis à tiers détenteur sur ton compte, du montant très majoré (majoration + pénalités de retard de paiement) d’une infraction dont tu ignores tout.
Le
18/02/2015 à
14h
15
ActionFighter a écrit :
Déjà, être convoqué par la justice, c’est suspect, mais si en plus tu demandes la confidentialité sur cette information, c’est que vraiment quelque chose à te reprocher " />
Je crois que je vais envoyer ton dossier à l’Inquisiteur le plus proche pour effectuer une enquête sur tes bonnes mœurs " />
Tu peux être convoqué au titre de témoin ou de partie civile et tu es innocent jusqu’à preuve du contraire. Le genre de choses qui n’intéresse pas les personnes qui veulent juste savoir qui est convoqué et à quel sujet, histoire de monnayer l’information ou de te faire un chantage à la réputation.
Donc, un peu mon neveu que je veux que ce genre d’information transite chiffrée… Mieux encore, je veux que les metadonnées soient chiffrées: celui qui intercepte le message ne doit non seulement pas pouvoir le lire, mais ne pas non plus pouvoir dire qui sont l’émetteur et le(s) destinataire(s).
Donc, email = out.
Le
18/02/2015 à
09h
43
+1
Ma première réflexion en lisant ça a été “c’est bien beau de vouloir numériser toutes les interactions avec l’état, jusqu’à ce qui concerne la justice, mais alors il faudrait peut-être mettre un peu d’efforts et de pognon dans la fiabilisation des emails”. Les protocoles de messagerie actuel ne satisfont absolument AUCUNE exigence de sécurité. Disponibilité? Si un serveur n’arrive pas à transmettre un message au bout de 4 jours, il le jette, et personne ne s’en inquiètera. Confidentialité? Chiffrer ses emails relève du parcours du combattant pour l’émetteur et le destinataire, ce n’était pas prévu à la conception. Intégrité? Idem confidentialité, les technologies de signature sont les mêmes. Preuve? (authentification/imputabilité, non répudiation…) Idem toujours.
Le fonctionnement de la justice sur la base d’emails… Partez devant, hein? Je vous suis…
Je lance le chrono: à cette date seul Firefox essaie de contrer cette possibilité d’abus de la fonction. En quelle année Chrome, Safari et I.E. en feront autant?
Indice: de Google, Apple et la fondation Mozilla, seul Mozilla n’a à ce jour aucun intérêt financier direct et affiché à exploiter/revendre les infos sur vos habitudes de surf. Quand à la réactivité de Microsoft, l’article qui précède résume bien la situation.
J’ajouterais un problème de fond, en relation avec ce que tu évoques, dans le raisonnement de la SACEM. A moins que ce soit une imprécision dans la façon de NextINpact de les rapporter.
Il est impossible de taxer une activité illicite. Par définition, par principe. Une activité qui devrait être taxée mais qui échappe à la taxation est ce qui s’appelle une activité “licite occulte”. Je vous renvoie par exemple au chapitre I.B de projet de loi rectificative de 2009, trouvé sur le net :
(En l’occurrence le but était de corriger une injustice qui menait dans certains cas à punir plus sévèrement une activité licite occulte qu’une activité illicite.)
Donc voilà, la SACEM veut soit stopper les usages illicites de son capital, soit au pire être payée pour ces usages. Et ce sans avoir à passer par la case justice, où tu as une chance de perdre et où il faut avancer des fonds et du temps. Donc elle essaie de casser en douce ce principe de “l’illicite n’est pas taxable”. Parce que l’autre solution pour être payé revient à déclarer ces usages licites, et les usages licites occultes sont punis moins sévèrement.
253 commentaires
N26 corrige plusieurs failles, la sécurité des « néo-banques » en question
29/12/2016
Le 29/12/2016 à 12h 13
Je ne prétends pas non plus décrire une solution miracle. Tous les athéistes présents seront d’accord avec moi sur le fait que, de toutes façons, les miracles ça n’existe pas. Ce n’est pas le sujet.
Mon intervention était en réponse à “je ne vois pas comment il pourrait en être autrement” (que laisser la sécurité des banques aux seules mains des banques). Et bien voilà, comme ça. Il en est autrement, comme ça. Réglementations, obligations d’audit, charge de la preuve et obligation de rembourser qui pèsent par défaut sur la banque dans certains cas, etc. Les banques ont des comptes à rendre sur leur sécurité et elles se voient partiellement dicter par des tiers comment l’implémenter. C’est tout ce que je dis.
Le 29/12/2016 à 10h 52
Le 29/12/2016 à 10h 43
La régulation ça commence déjà par faire porter par la banque le dédommagement des pertes subies par ses clients qui prouvent qu’ils ont été fraudés (c’est partiellement implémenté). Ensuite, tu peux imposer aux banques la réalisation d’audits one shot ou réguliers >>à ses frais<< pour être autorisée à fournir certains services. Les audits sont faits par des entreprises tierces spécialisées. C’est un modèle qui marche bien et qui est utilisé dans un nombre incalculable de cas de figure aujourd’hui, pas seulement bancaires. Les points importants à surveiller sont que le coût de l’habilitation ne soit pas exorbitant au point d’empêcher l’entrée de nouveaux acteurs, et que les autorités certifiantes soient bel et bien indépendantes des intérêts économiques et financiers des entreprises à certifier.
Le 29/12/2016 à 10h 34
Il est tout aussi légal de dire “On déchiffre tout pour notre propre sécurité et les accès aux données déchiffrées sont contrôlés suivant le cadre légal. Si vous allez sur votre site bancaire dans ces conditions, c’est votre problème.”
Dès lors que ce cadre est posé, il n’y a plus d’obligation d’exclure quoi que ce soit.
Dans la même veine, pour éviter les conflits, il est aussi légal de dire: “On déchiffre tout, et on interdit complètement les sites bancaires (et quelques autres du même genre inutiles pour votre boulot) comme ça vous ne viendrez pas vous plaindre qu’on vous espionne.”
Ce qui est important, c’est de poser officiellement les règles. Une entreprise n’a pas d’obligation légale de respecter la tolérance habituelle en termes d’utilisation personnelle de l’accès Internet en France, du moment que ses employés sont au courant des règles, et qu’elles ne sont pas discriminatoires. C’est seulement si elle choisi d’être tolérante qu’elle a intérêt d’exclure les sites bancaires, administratifs, etc., pour éviter les conflits au prud’hommes.
Le 29/12/2016 à 10h 21
Il veut dire par là que l’on laisse les banques juger elles-même de la qualité de leur sécurité, sans avoir de comptes à rendre. Pour “qu’il en soit autrement,” il suffit d’introduire dans le processus un tiers régulateur et des sanctions.
Le fond du problème ici est l’externalisation du risque : ce n’est pas la banque elle-même qui souffre d’une faible sécurité. Améliorer cela réduit les revenus de la banque. Elle n’a donc aucune motivation pour corriger sa sécurité. La régulation, tellement détesté par la finance, est une façon d’écrire dans la loi que la banque a la responsabilité de la sécurité financière de ses clients, et donc qu’elle peut être sanctionnée. Du coup, le risque est réinternalisé (la banque paye pour ses manquements) et la situation s’améliore.
Une sénatrice veut une autorité pour « préjuger » de l’illicéité des contenus du Net
29/11/2016
Le 29/11/2016 à 15h 07
ownCloud 9.1 : du changement pour l’authentification et la gestion des sessions
22/07/2016
Le 22/07/2016 à 14h 10
Qualitatif peut-être, mais fermé.
Ce n’est pas seulement une question de confidentialité. C’est aussi une question de…
* pérennité du service (wave? picasa?…),
* de ses conditions d’utilisation (je stocke tes données, et demain je peux t’interdire de les chiffrer pour pouvoir les exploiter commercialement, ou te faire payer le service une fois que tu es bien accro),
* de propriété des données stockées (je stocke tes photos, mais je prends les droits dessus, et je peux décider de prendre une part sur les bénéfices qu’elles pourraient t’apporter),
* d’interopérabilité (p.e. je stocke ton agenda, et je fais évoluer ou ferme mes API après quelques temps de sorte à tuer la concurrence et donc l’innovation),
* de contrôle (p.e. je décide de quelle façon tu peux, ou pas, partager tes données et collaborer avec les autres utilisateurs de mes services et de ceux de la concurrence),
* d’attractivité de la cible (à niveau de sécurité technique équivalent, un Google est bien plus susceptible de se faire attaquer que toi tout seul - le rapport travail/bénéfices attendus est sans commune mesure).
Et j’en oublie sûrement. L’idée est que avec des hébergeur où tout est intégré verticalement comme Google, dès lors que tu leur confies tes données, tu acceptes de les exploiter de la façon que eux ont prévu. C’est à dire qu’ils ne chercheront à plaire qu’à la majorité (en terme de ROI) et toujours de sorte à augmenter leurs propres revenus plutôt que les tiens ou ton confort. Avec une solution comme Owncloud cet argument ne pèse plus sur la conception du produit. Tu reste maître de tes données et de l’usage qui en est fait.
Mais évidemment with great powers comes great responsibilities. C’est plus de boulot.
L’obligation de conservation des données de connexion auscultée par la CJUE
18/04/2016
Le 18/04/2016 à 18h 55
Ce texte a été décapité par la justice européenne qui l’a trouvé bien
trop respectueux sur le terrain du respect des libertés et de la vie
privée.
Hm. N’a-t-il pas été décapité parce que trop peu respectueux des libertés et de la vie privée, au contraire?
Pourquoi Next INpact arrête la publicité classique et passe au HTTPS pour tous
28/01/2016
Le 28/01/2016 à 12h 16
Naïvement, comme ça, il y a l’intérêt de se protéger des intermédiaires qui pourraient vouloir lire et/ou modifier tes requêtes et les pages renvoyées par NXI. Par exemple tous les intervenants dans le fonctionnement de ton téléphone portable (manufacturier chinois, O.S. américain GAFA, éditeurs d’applications tierces potentiellement malveillants), les fournisseurs d’accès à Internet (qui se croient régulièrement autorisés à espionner et MODIFIER le trafic Web “pour la bonne cause”, sans parler des DNS menteurs qui font le bonheur des registrars), et les opérateurs de backbone Internet (parfois à la botte d’une dictature ou d’une autre, sachant que certaines ne se gènent pas pour détourner de gros volumes de trafic Internet via leurs infrastructures de temps en temps, pour des motifs certainement inavouables).
Ce n’est pas le monde des Bisounours. Le chiffrement de bout en bout a vocation à devenir la norme, à mon sens.
Loi Lemaire : le droit à l’auto-hébergement gagne en précision
12/11/2015
Le 12/11/2015 à 15h 35
Il y a le fait qu’il n’y a plus assez d’IP pour tout le monde, à moins de passer en IPv6. Pour l’instant pas suffisamment de services sont disponibles via IPv6, et la moitié des opérateurs français en sont seulement à dire qu’ils vont commencer à tester en 2016 ou 2017. Ensuite il y a le fait que les opérateurs n’ont aucun intérêt économique à ce que l’auto hébergement se développe. L’auto hébergement se pose en concurrent de tous leurs services à l’exception de leur métier de base de fournisseur de tuyaux.
Chiffrement : le procureur de Paris critique l’intérêt « marginal » face aux enquêtes bloquées
13/08/2015
Le 13/08/2015 à 15h 45
La nature même du principe de chiffrement des données, sur la base d’un secret qui authentifie le propriétaire de la donnée chiffrée, fait que la présence d’une backdoor détruirait complètement et définitivement l’utilité du chiffrement pour qui que ce soit:
* une backdoor est un secret partagé, et un secret partagé dans un produit public finit toujours par ne plus être un secret du tout,
* par conséquent une backdoor deviendra toujours, avec le temps, utilisable par tout le monde,
* par conséquent la donnée n’est en pratique pas protégée par le chiffrement.
Donc demander une backdoor n’est qu’une façon polie de demander l’interdiction du chiffrement pour tous ceux qui en ont un usage légitime, sans pouvoir pour autant empêcher les usages criminels. Les criminels n’en auront, excusez l’expression, rien à branler qu’on leur fasse les gros yeux si on ne peut pas déchiffrer leur téléphone.
La raison principale derrière cette demande est présentée de façon malhonnête. 74 téléphones qui n’ont pas pu être débloqués… En 9 mois. Sur approximativement 100 000 cas. Soit un obstacle rencontré dans 0,074% des cas. Sans que pour aucun de ces cas on n’ait la certitude que cela aurait changé quoi que ce soit. On nous demande donc de rester vulnérable à tous les salopards qui auraient envie de nous voler notre vie privée pour PEUT-ETRE faciliter la vie des enquêteurs dans 7 cas sur 10 000. Et ce, dans l’hypothèse improbable et absurde où les criminels qu’on poursuit n’auraient pas l’idée d’utiliser quand même le chiffrement devenu illégal.
 https://www.schneier.com/blog/archives/2015/08/another_salvo_i.html
 https://www.eff.org/deeplinks/2015/07/top-five-takeaways-todays-hearings-encrypt…
 http://www.wired.com/2015/07/manhattan-da-iphone-crypto-foiled-cops-74-times/
[EDIT] Typos + liens
Devant les attaques chinoises, les États-Unis abordent le problème de la riposte
04/08/2015
Le 04/08/2015 à 12h 03
“En avril dernier, nous relations comment l’ancien directeur de la NSA, le général Keith Alexander, tentait d’alerter l’opinion publique aux États-Unis sur un énorme problème potentiel : les systèmes informatiques de l’armée ou des agences de sécurité sont pratiquement tous tournés vers la défense.”
Ah bon? Moi j’avais plutôt l’impression que les U.S. étaient entièrement portés sur l’offensive. Offensive contre leurs ennemis supposés et alliés déclarés, sous la forme d’espionnages des réseaux à la fois massifs et ciblés, détournements actifs de trafic Internet, prise de contrôle de milliers de machines à travers le monde façon botnet (“mais là c’est justifié, c’est gou-ver-ne-men-tal, vous comprenez”), etc. Offensive contre tout mécanisme de défense informatique pour le public (puce Clipper, interventionnisme destructeur dans la recherche sur le chiffrement, backdoors obligatoires, etc.). Et pour finir chasse aux sorcières contre les sonneurs d’alarme. Je ne me souviens pas avoir vu le gouvernement U.S. allouer le plus petit dollar dans la sécurisation effective des système. Rien de défensif.
Alors forcément, oui, ils voient qu’ils se font attaquer puisque rien n’est correctement défendu. Et ça leur sert à justifier quoi? Encore plus de capacité offensive.
“Seulement voilà, détecter les tentatives d’intrusions n’est qu’une partie de la défense, encore faut-il les bloquer efficacement. Ou riposter.”
Le “problème,” c’est que tout mécanisme défensif efficace peut aussi être utilisé pour se défendre contre les abus de son gouvernement. Parce que dans le cybermonde, en substance, ce qui est accessible à l’un finit toujours par être accessible à tous.
Loi Renseignement : le mémoire d’un collectif d’avocats franco-américains
17/07/2015
Le 17/07/2015 à 14h 45
Droit à l’oubli : la CNIL exige un déréférencement mondial chez Google
12/06/2015
Le 12/06/2015 à 10h 08
Le 12/06/2015 à 10h 01
Numericable-SFR complexifie ses offres fixes, mais étend son « click & collect » en 2 h
10/06/2015
Le 10/06/2015 à 15h 44
NFC SSD : Apacer veut exploiter le NFC pour mieux protéger vos données
08/06/2015
Le 08/06/2015 à 17h 14
Et donc on fait en sorte qu’une fonction de sécurité dépende d’un protocole tellement peu sûr que je refuse qu’on me file une carte bancaire NFC et que je désactive la puce NFC de tout smartphone qui entre en ma possession.
Ca va pas être top pratique, tout ça…
Les éditeurs se dressent contre la restauration des fonctions en ligne de jeux abandonnés
10/04/2015
Le 10/04/2015 à 13h 15
Facebook : la légalité de la reconnaissance faciale remise en cause dans l’Illinois
09/04/2015
Le 09/04/2015 à 15h 24
Food for thoughts: FB ne fournit pas les résultats du service de reconnaissance faciale dans les pays dans lesquels c’est interdit. OK OK OK… Quelqu’un a pensé à vérifier s’ils font aussi en sorte que les ressortissants européens ne soient pas soumis à la reconnaissance faciale lorsque c’est, mettons, un américain qui utilise le service? La solution de FB n’a-t-elle pas consisté (comme dans d’autres cas) à seulement dissimuler le fait aux européens qu’ils se font scanner la tronche sur les photos publiées par les irresponsables de tous poils?
Question subsidiaire: comment FB peut-il faire pour ne pas faire la reconnaissance faciale d’un non abonné européen, sur qui c’est interdit, avant de l’avoir reconnu… Facialement?
Tout ça ne tient pas debout techniquement. Il n’y a mathématiquement aucune façon d’imposer à FB de ne faire de la reconnaissance faciale que “sur ses abonnés et à condition que ce ne soit pas interdit par la législation locale” puisque FB est obligé de faire ce qui est peut-être interdit pour savoir si ça l’est. La seule solution qui fonctionnerait dans le monde de la vraie vie consisterait à complètement interdire la reconnaissance faciale à FB (et consorts). Mondialement.
La régulation de Google s’invite dans le projet de loi Macron
07/04/2015
Le 07/04/2015 à 14h 08
Autant les points 2 à 4 ont du sens, autant il me paraît ahurissant de vouloir forcer Google à faire la pub de ses concurrents. Ce n’est pas comparable au ballot screen des navigateurs, là. On parle d’un service, pas d’un logiciel.
Un informaticien condamné pour avoir contrefait Skype et révélé ses fragilités
07/04/2015
Le 07/04/2015 à 09h 56
Comment l’État s’est ouvert à l’open source avec OpenFisca et Mes-aides
02/04/2015
Le 02/04/2015 à 12h 04
Blocage administratif des sites : le PS, roi de la girouette
31/03/2015
Le 31/03/2015 à 09h 20
“Elle craque, de tous côtés”
Dutronc, Jacques - 1969
Cyanogen lève 80 millions de dollars et affiche ses ambitions
25/03/2015
Le 25/03/2015 à 10h 34
“Le système a largement évolué depuis, au point qu’il est fourni en standard avec le Oneplus One.”
Alors oui mais non. Le divorce est consommé entre OnePlus et Cyanogen depuis plusieurs mois, et a même fait l’objet d’articles ici même si ma mémoire est bonne. Et les causes de ce divorce ne semblent pas éclairer Cyanogen d’une lumière très flatteuse pour l’instant.
L’ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique
24/03/2015
Le 24/03/2015 à 14h 29
Le 24/03/2015 à 13h 30
Le 24/03/2015 à 13h 02
Le 24/03/2015 à 12h 59
Izy : Chronodrive généralise sa scanette connectée à 29,90 euros
20/03/2015
Le 20/03/2015 à 12h 01
Et si l’on bloquait les sites injurieux envers les élus, sans juge ?
10/03/2015
Le 10/03/2015 à 13h 49
Bientôt dans notre pays, 1000 coups de fouets, à raison de 50 par semaine, pour crime de lèse-président.
Free tiendra une conférence de presse demain à 9 h
09/03/2015
Le 10/03/2015 à 08h 48
La justice américaine alloue 25 000 $ aux victimes d’une requête DMCA frauduleuse
06/03/2015
Le 09/03/2015 à 12h 15
Le 09/03/2015 à 12h 05
À contre-courant, Oracle intègre la barre Ask dans Java pour OS X
06/03/2015
Le 06/03/2015 à 16h 25
Le 06/03/2015 à 16h 16
Le 06/03/2015 à 16h 10
Je note que, alors même que j’avais employé l’astuce consistant à modifier le registre pour que Ask ne me soit plus proposé, il l’est à nouveau depuis au moins quelques jours (Win 7). Déjà que l’astuce était hors de portée de Mme Michu…
Albert Einstein: “La folie est de faire la même chose, encore et encore, en espérant des résultats différents.”
Et pourtant Oracle continue à me poser encore et toujours la même question dans l’espoir que demain je répondrais “oui”. Le fait qu’ils aient défait ce que j’avais fait pour ne plus être emm*bêté démontre en plus une volonté délibérée de piéger même même les pros et autres power users.
Way to go, Oracle. Way to go.
Fleur Pellerin invitée à sauver les vidéoclubs
03/03/2015
Le 04/03/2015 à 09h 38
Très haut débit : la mission Champsaur propose une extinction progressive du réseau cuivre
25/02/2015
Le 25/02/2015 à 16h 23
Outre les services sus-cités qui dépendent encore de technos analogiques, moi je me pose la question des services d’urgence. j’attire votre attention sur un problème qui concerne la téléphonie sur le DSL aussi bien que sur la fibre, avec lequel les U.S. se battent toujours alors qu’ils l’ont identifié depuis longtemps, et que visiblement en France on a complètement glissé sous le tapis politique.
Le réseau RTC est auto-alimenté. Quand vous avez une catastrophe naturelle qui touche votre centrale de distribution électrique locale, p.e. une inondation, vous n’avez plus de courant mais vous pouvez toujours appeler les secours parce que votre central téléphonique a sa propre alimentation de secours et que c’est lui qui alimente votre téléphone fixe filaire de base à 10 euros.
Si on ajoute à ça que de plus en plus de services d’urgence délaissent leurs systèmes de communication radio au bénéfice de téléphones cellulaires qui leur reviennent moins cher, on imagine la catastrophe: plus de téléphonie du tout pour personne (ni les filaires ni les relais de mobiles ne fonctionneront plus en cas de coupure d’alimentation électrique). Ni pour les victimes qui souhaitent signaler leur présence, ni pour les agents de terrain des services d’urgence.
Alors il me semble qu’en France certain services (pas forcément des services d’urgence) font marche arrière et remettent en fonction leurs radios après des expériences malheureuses avec la téléphonie mobile. Mais ça ne règle qu’une partie du problème. Autant je suis heureux que le gouvernement français pousse au cul pour le déploiement de la fibre, autant je suis atterré de ne pas entendre parler de loi imposant aux opérateurs aDSL (qui a le même problème) et fibre d’assurer la continuité de service de tous leurs équipements (répartiteurs, etc.) pendant X heures (voire jours!) en cas de catastrophe naturelle, p.e. à l’aide de batteries de secours. Ou alors, à tout le moins, imposons aux services d’urgence de ne pas dépendre de la téléphonie publique, qui va sous peu devenir un colosse au pieds d’argile.
Fichier TAJ : la CNIL épingle l’Intérieur et la Justice
25/02/2015
Le 25/02/2015 à 12h 11
Donc, si je comprends bien, si faire les gros yeux ne suffit pas, on va dénoncer au grand frère Valls? Le même qui exhibe une volonté manifeste de ficher et videosurveiller les gens?
Qui est pour amender l’article 45 de la loi de 78 pour y ajouter une vraie sanction?
Contre le téléphone au volant, la Sécurité routière propose l’application « Mode conduite »
24/02/2015
Le 24/02/2015 à 12h 05
Gemalto cambriolé par la NSA et le GCHQ, des millions de cartes SIM en danger
20/02/2015
Le 20/02/2015 à 15h 00
Bon, j’avoue, je n’ai pas tout lu ayant déjà vu le sujet traité par ArsTechnica. Je passe juste signaler que, comme cela a été dit dans les commentaires sur AT, le chiffrement utilisé était DES pendant longtemps. Ce n’est pas comme si ces clefs apportaient beaucoup de sécurité de base…
En 2014, le déploiement de la fibre optique a bondi en Europe
19/02/2015
Le 19/02/2015 à 13h 14
“« Il était difficile de prévoir que les utilisateurs allaient
devenir producteurs de données. Il y a un besoin de débit montant et de
faible latence lors des jeux en ligne ou de discussions Skype. »”
Sérieux? D’une part c’est LE principe FONDATEUR du Web. D’autre part ça fait depuis que le DSL existe en France qu’il y a des gens pour dire que le choix technique de l’aDSL au lieu du sDSL par les opérateurs historiques découle en grande part d’une volonté délibérée du politique et des opérateurs (qui se voyaient déjà virer fournisseurs de contenus) de garder totalement le contrôle sur la production de contenu. Alors, que les amateurs de complots aient raison ou pas, venir nous dire aujourd’hui que ça a pris tout le monde par surprise c’est vraiment nous prendre pour des cons.
Des SMS et courriels pour les convocations en justice
18/02/2015
Le 19/02/2015 à 13h 03
Le 19/02/2015 à 12h 55
Le 19/02/2015 à 12h 50
Le 18/02/2015 à 14h 59
Le 18/02/2015 à 14h 15
Le 18/02/2015 à 09h 43
+1
Ma première réflexion en lisant ça a été “c’est bien beau de vouloir numériser toutes les interactions avec l’état, jusqu’à ce qui concerne la justice, mais alors il faudrait peut-être mettre un peu d’efforts et de pognon dans la fiabilisation des emails”. Les protocoles de messagerie actuel ne satisfont absolument AUCUNE exigence de sécurité. Disponibilité? Si un serveur n’arrive pas à transmettre un message au bout de 4 jours, il le jette, et personne ne s’en inquiètera. Confidentialité? Chiffrer ses emails relève du parcours du combattant pour l’émetteur et le destinataire, ce n’était pas prévu à la conception. Intégrité? Idem confidentialité, les technologies de signature sont les mêmes. Preuve? (authentification/imputabilité, non répudiation…) Idem toujours.
Le fonctionnement de la justice sur la base d’emails… Partez devant, hein? Je vous suis…
Chiffrement : Internet Explorer « 12 » et Spartan gèreront le mécanisme HSTS
18/02/2015
Le 18/02/2015 à 16h 25
HSTS qui peut être détourné de son usage pour pister l’utilisateur, même en mode de navigation “privée”.
Je lance le chrono: à cette date seul Firefox essaie de contrer cette possibilité d’abus de la fonction. En quelle année Chrome, Safari et I.E. en feront autant?
Indice: de Google, Apple et la fondation Mozilla, seul Mozilla n’a à ce jour aucun intérêt financier direct et affiché à exploiter/revendre les infos sur vos habitudes de surf. Quand à la réactivité de Microsoft, l’article qui précède résume bien la situation.
…
/troll
La Sacem persiste dans sa volonté de « taxer » Internet
12/02/2015
Le 12/02/2015 à 16h 47
J’ajouterais un problème de fond, en relation avec ce que tu évoques, dans le raisonnement de la SACEM. A moins que ce soit une imprécision dans la façon de NextINpact de les rapporter.
Il est impossible de taxer une activité illicite. Par définition, par principe. Une activité qui devrait être taxée mais qui échappe à la taxation est ce qui s’appelle une activité “licite occulte”. Je vous renvoie par exemple au chapitre I.B de projet de loi rectificative de 2009, trouvé sur le net :
http://www.senat.fr/rap/l09-158-1/l09-158-17.html
(En l’occurrence le but était de corriger une injustice qui menait dans certains cas à punir plus sévèrement une activité licite occulte qu’une activité illicite.)
Donc voilà, la SACEM veut soit stopper les usages illicites de son capital, soit au pire être payée pour ces usages. Et ce sans avoir à passer par la case justice, où tu as une chance de perdre et où il faut avancer des fonds et du temps. Donc elle essaie de casser en douce ce principe de “l’illicite n’est pas taxable”. Parce que l’autre solution pour être payé revient à déclarer ces usages licites, et les usages licites occultes sont punis moins sévèrement.