DetunizedGravity
est avec nous depuis le 6 décembre 2004 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
250 commentaires
N26 corrige plusieurs failles, la sécurité des « néo-banques » en question
Le 29/12/2016Le 29/12/2016 à 10h 34
Il est tout aussi légal de dire “On déchiffre tout pour notre propre sécurité et les accès aux données déchiffrées sont contrôlés suivant le cadre légal. Si vous allez sur votre site bancaire dans ces conditions, c’est votre problème.”
Dès lors que ce cadre est posé, il n’y a plus d’obligation d’exclure quoi que ce soit.
Dans la même veine, pour éviter les conflits, il est aussi légal de dire: “On déchiffre tout, et on interdit complètement les sites bancaires (et quelques autres du même genre inutiles pour votre boulot) comme ça vous ne viendrez pas vous plaindre qu’on vous espionne.”
Ce qui est important, c’est de poser officiellement les règles. Une entreprise n’a pas d’obligation légale de respecter la tolérance habituelle en termes d’utilisation personnelle de l’accès Internet en France, du moment que ses employés sont au courant des règles, et qu’elles ne sont pas discriminatoires. C’est seulement si elle choisi d’être tolérante qu’elle a intérêt d’exclure les sites bancaires, administratifs, etc., pour éviter les conflits au prud’hommes.
Le 29/12/2016 à 10h 21
Il veut dire par là que l’on laisse les banques juger elles-même de la qualité de leur sécurité, sans avoir de comptes à rendre. Pour “qu’il en soit autrement,” il suffit d’introduire dans le processus un tiers régulateur et des sanctions.
Le fond du problème ici est l’externalisation du risque : ce n’est pas la banque elle-même qui souffre d’une faible sécurité. Améliorer cela réduit les revenus de la banque. Elle n’a donc aucune motivation pour corriger sa sécurité. La régulation, tellement détesté par la finance, est une façon d’écrire dans la loi que la banque a la responsabilité de la sécurité financière de ses clients, et donc qu’elle peut être sanctionnée. Du coup, le risque est réinternalisé (la banque paye pour ses manquements) et la situation s’améliore.
Une sénatrice veut une autorité pour « préjuger » de l’illicéité des contenus du Net
Le 29/11/2016Le 29/11/2016 à 15h 07
ownCloud 9.1 : du changement pour l’authentification et la gestion des sessions
Le 22/07/2016Le 22/07/2016 à 14h 10
Qualitatif peut-être, mais fermé.
Ce n’est pas seulement une question de confidentialité. C’est aussi une question de…
* pérennité du service (wave? picasa?…),
* de ses conditions d’utilisation (je stocke tes données, et demain je peux t’interdire de les chiffrer pour pouvoir les exploiter commercialement, ou te faire payer le service une fois que tu es bien accro),
* de propriété des données stockées (je stocke tes photos, mais je prends les droits dessus, et je peux décider de prendre une part sur les bénéfices qu’elles pourraient t’apporter),
* d’interopérabilité (p.e. je stocke ton agenda, et je fais évoluer ou ferme mes API après quelques temps de sorte à tuer la concurrence et donc l’innovation),
* de contrôle (p.e. je décide de quelle façon tu peux, ou pas, partager tes données et collaborer avec les autres utilisateurs de mes services et de ceux de la concurrence),
* d’attractivité de la cible (à niveau de sécurité technique équivalent, un Google est bien plus susceptible de se faire attaquer que toi tout seul - le rapport travail/bénéfices attendus est sans commune mesure).
Et j’en oublie sûrement. L’idée est que avec des hébergeur où tout est intégré verticalement comme Google, dès lors que tu leur confies tes données, tu acceptes de les exploiter de la façon que eux ont prévu. C’est à dire qu’ils ne chercheront à plaire qu’à la majorité (en terme de ROI) et toujours de sorte à augmenter leurs propres revenus plutôt que les tiens ou ton confort. Avec une solution comme Owncloud cet argument ne pèse plus sur la conception du produit. Tu reste maître de tes données et de l’usage qui en est fait.
Mais évidemment with great powers comes great responsibilities. C’est plus de boulot.
L’obligation de conservation des données de connexion auscultée par la CJUE
Le 18/04/2016Le 18/04/2016 à 18h 55
Ce texte a été décapité par la justice européenne qui l’a trouvé bien
trop respectueux sur le terrain du respect des libertés et de la vie
privée.
Hm. N’a-t-il pas été décapité parce que trop peu respectueux des libertés et de la vie privée, au contraire?
Pourquoi Next INpact arrête la publicité classique et passe au HTTPS pour tous
Le 28/01/2016Le 28/01/2016 à 12h 16
Naïvement, comme ça, il y a l’intérêt de se protéger des intermédiaires qui pourraient vouloir lire et/ou modifier tes requêtes et les pages renvoyées par NXI. Par exemple tous les intervenants dans le fonctionnement de ton téléphone portable (manufacturier chinois, O.S. américain GAFA, éditeurs d’applications tierces potentiellement malveillants), les fournisseurs d’accès à Internet (qui se croient régulièrement autorisés à espionner et MODIFIER le trafic Web “pour la bonne cause”, sans parler des DNS menteurs qui font le bonheur des registrars), et les opérateurs de backbone Internet (parfois à la botte d’une dictature ou d’une autre, sachant que certaines ne se gènent pas pour détourner de gros volumes de trafic Internet via leurs infrastructures de temps en temps, pour des motifs certainement inavouables).
Ce n’est pas le monde des Bisounours. Le chiffrement de bout en bout a vocation à devenir la norme, à mon sens.
Loi Lemaire : le droit à l’auto-hébergement gagne en précision
Le 12/11/2015Le 12/11/2015 à 15h 35
Il y a le fait qu’il n’y a plus assez d’IP pour tout le monde, à moins de passer en IPv6. Pour l’instant pas suffisamment de services sont disponibles via IPv6, et la moitié des opérateurs français en sont seulement à dire qu’ils vont commencer à tester en 2016 ou 2017. Ensuite il y a le fait que les opérateurs n’ont aucun intérêt économique à ce que l’auto hébergement se développe. L’auto hébergement se pose en concurrent de tous leurs services à l’exception de leur métier de base de fournisseur de tuyaux.
Chiffrement : le procureur de Paris critique l’intérêt « marginal » face aux enquêtes bloquées
Le 13/08/2015Le 13/08/2015 à 15h 45
La nature même du principe de chiffrement des données, sur la base d’un secret qui authentifie le propriétaire de la donnée chiffrée, fait que la présence d’une backdoor détruirait complètement et définitivement l’utilité du chiffrement pour qui que ce soit:
* une backdoor est un secret partagé, et un secret partagé dans un produit public finit toujours par ne plus être un secret du tout,
* par conséquent une backdoor deviendra toujours, avec le temps, utilisable par tout le monde,
* par conséquent la donnée n’est en pratique pas protégée par le chiffrement.
Donc demander une backdoor n’est qu’une façon polie de demander l’interdiction du chiffrement pour tous ceux qui en ont un usage légitime, sans pouvoir pour autant empêcher les usages criminels. Les criminels n’en auront, excusez l’expression, rien à branler qu’on leur fasse les gros yeux si on ne peut pas déchiffrer leur téléphone.
La raison principale derrière cette demande est présentée de façon malhonnête. 74 téléphones qui n’ont pas pu être débloqués… En 9 mois. Sur approximativement 100 000 cas. Soit un obstacle rencontré dans 0,074% des cas. Sans que pour aucun de ces cas on n’ait la certitude que cela aurait changé quoi que ce soit. On nous demande donc de rester vulnérable à tous les salopards qui auraient envie de nous voler notre vie privée pour PEUT-ETRE faciliter la vie des enquêteurs dans 7 cas sur 10 000. Et ce, dans l’hypothèse improbable et absurde où les criminels qu’on poursuit n’auraient pas l’idée d’utiliser quand même le chiffrement devenu illégal.
 https://www.schneier.com/blog/archives/2015/08/another_salvo_i.html
 https://www.eff.org/deeplinks/2015/07/top-five-takeaways-todays-hearings-encrypt…
 http://www.wired.com/2015/07/manhattan-da-iphone-crypto-foiled-cops-74-times/
[EDIT] Typos + liens
Devant les attaques chinoises, les États-Unis abordent le problème de la riposte
Le 04/08/2015Le 04/08/2015 à 12h 03
“En avril dernier, nous relations comment l’ancien directeur de la NSA, le général Keith Alexander, tentait d’alerter l’opinion publique aux États-Unis sur un énorme problème potentiel : les systèmes informatiques de l’armée ou des agences de sécurité sont pratiquement tous tournés vers la défense.”
Ah bon? Moi j’avais plutôt l’impression que les U.S. étaient entièrement portés sur l’offensive. Offensive contre leurs ennemis supposés et alliés déclarés, sous la forme d’espionnages des réseaux à la fois massifs et ciblés, détournements actifs de trafic Internet, prise de contrôle de milliers de machines à travers le monde façon botnet (“mais là c’est justifié, c’est gou-ver-ne-men-tal, vous comprenez”), etc. Offensive contre tout mécanisme de défense informatique pour le public (puce Clipper, interventionnisme destructeur dans la recherche sur le chiffrement, backdoors obligatoires, etc.). Et pour finir chasse aux sorcières contre les sonneurs d’alarme. Je ne me souviens pas avoir vu le gouvernement U.S. allouer le plus petit dollar dans la sécurisation effective des système. Rien de défensif.
Alors forcément, oui, ils voient qu’ils se font attaquer puisque rien n’est correctement défendu. Et ça leur sert à justifier quoi? Encore plus de capacité offensive.
“Seulement voilà, détecter les tentatives d’intrusions n’est qu’une partie de la défense, encore faut-il les bloquer efficacement. Ou riposter.”
Le “problème,” c’est que tout mécanisme défensif efficace peut aussi être utilisé pour se défendre contre les abus de son gouvernement. Parce que dans le cybermonde, en substance, ce qui est accessible à l’un finit toujours par être accessible à tous.
Loi Renseignement : le mémoire d’un collectif d’avocats franco-américains
Le 17/07/2015Le 17/07/2015 à 14h 45
Droit à l’oubli : la CNIL exige un déréférencement mondial chez Google
Le 12/06/2015Le 12/06/2015 à 10h 08
Le 12/06/2015 à 10h 01
Numericable-SFR complexifie ses offres fixes, mais étend son « click & collect » en 2h
Le 10/06/2015Le 10/06/2015 à 15h 44
NFC SSD : Apacer veut exploiter le NFC pour mieux protéger vos données
Le 08/06/2015Le 08/06/2015 à 17h 14
Et donc on fait en sorte qu’une fonction de sécurité dépende d’un protocole tellement peu sûr que je refuse qu’on me file une carte bancaire NFC et que je désactive la puce NFC de tout smartphone qui entre en ma possession.
Ca va pas être top pratique, tout ça…
Les éditeurs se dressent contre la restauration des fonctions en ligne de jeux abandonnés
Le 10/04/2015Le 10/04/2015 à 13h 15
Facebook : la légalité de la reconnaissance faciale remise en cause dans l’Illinois
Le 09/04/2015Le 09/04/2015 à 15h 24
Food for thoughts: FB ne fournit pas les résultats du service de reconnaissance faciale dans les pays dans lesquels c’est interdit. OK OK OK… Quelqu’un a pensé à vérifier s’ils font aussi en sorte que les ressortissants européens ne soient pas soumis à la reconnaissance faciale lorsque c’est, mettons, un américain qui utilise le service? La solution de FB n’a-t-elle pas consisté (comme dans d’autres cas) à seulement dissimuler le fait aux européens qu’ils se font scanner la tronche sur les photos publiées par les irresponsables de tous poils?
Question subsidiaire: comment FB peut-il faire pour ne pas faire la reconnaissance faciale d’un non abonné européen, sur qui c’est interdit, avant de l’avoir reconnu… Facialement?
Tout ça ne tient pas debout techniquement. Il n’y a mathématiquement aucune façon d’imposer à FB de ne faire de la reconnaissance faciale que “sur ses abonnés et à condition que ce ne soit pas interdit par la législation locale” puisque FB est obligé de faire ce qui est peut-être interdit pour savoir si ça l’est. La seule solution qui fonctionnerait dans le monde de la vraie vie consisterait à complètement interdire la reconnaissance faciale à FB (et consorts). Mondialement.
La régulation de Google s’invite dans le projet de loi Macron
Le 07/04/2015Le 07/04/2015 à 14h 08
Autant les points 2 à 4 ont du sens, autant il me paraît ahurissant de vouloir forcer Google à faire la pub de ses concurrents. Ce n’est pas comparable au ballot screen des navigateurs, là. On parle d’un service, pas d’un logiciel.
Un informaticien condamné pour avoir contrefait Skype et révélé ses fragilités
Le 07/04/2015Le 07/04/2015 à 09h 56
Comment l’État s’est ouvert à l’open source avec OpenFisca et Mes-aides
Le 02/04/2015Le 02/04/2015 à 12h 04
Blocage administratif des sites : le PS, roi de la girouette
Le 31/03/2015Le 31/03/2015 à 09h 20
“Elle craque, de tous côtés”
Dutronc, Jacques - 1969
Cyanogen lève 80 millions de dollars et affiche ses ambitions
Le 25/03/2015Le 25/03/2015 à 10h 34
“Le système a largement évolué depuis, au point qu’il est fourni en standard avec le Oneplus One.”
Alors oui mais non. Le divorce est consommé entre OnePlus et Cyanogen depuis plusieurs mois, et a même fait l’objet d’articles ici même si ma mémoire est bonne. Et les causes de ce divorce ne semblent pas éclairer Cyanogen d’une lumière très flatteuse pour l’instant.
L’ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique
Le 24/03/2015Le 24/03/2015 à 14h 29
Le 24/03/2015 à 13h 30
Le 24/03/2015 à 13h 02
Le 24/03/2015 à 12h 59
Izy : Chronodrive généralise sa scanette connectée à 29,90 euros
Le 20/03/2015Le 20/03/2015 à 12h 01
Et si l’on bloquait les sites injurieux envers les élus, sans juge ?
Le 10/03/2015Le 10/03/2015 à 13h 49
Bientôt dans notre pays, 1000 coups de fouets, à raison de 50 par semaine, pour crime de lèse-président.
Free tiendra une conférence de presse demain à 9h
Le 09/03/2015Le 10/03/2015 à 08h 48
La justice américaine alloue 25 000 $ aux victimes d’une requête DMCA frauduleuse
Le 06/03/2015Le 09/03/2015 à 12h 15
Le 09/03/2015 à 12h 05
À contre-courant, Oracle intègre la barre Ask dans Java pour OS X
Le 06/03/2015Le 06/03/2015 à 16h 25
Le 06/03/2015 à 16h 16
Le 06/03/2015 à 16h 10
Je note que, alors même que j’avais employé l’astuce consistant à modifier le registre pour que Ask ne me soit plus proposé, il l’est à nouveau depuis au moins quelques jours (Win 7). Déjà que l’astuce était hors de portée de Mme Michu…
Albert Einstein: “La folie est de faire la même chose, encore et encore, en espérant des résultats différents.”
Et pourtant Oracle continue à me poser encore et toujours la même question dans l’espoir que demain je répondrais “oui”. Le fait qu’ils aient défait ce que j’avais fait pour ne plus être emm*bêté démontre en plus une volonté délibérée de piéger même même les pros et autres power users.
Way to go, Oracle. Way to go.
Fleur Pellerin invitée à sauver les vidéoclubs
Le 03/03/2015Le 04/03/2015 à 09h 38
Très haut débit : la mission Champsaur propose une extinction progressive du réseau cuivre
Le 25/02/2015Le 25/02/2015 à 16h 23
Outre les services sus-cités qui dépendent encore de technos analogiques, moi je me pose la question des services d’urgence. j’attire votre attention sur un problème qui concerne la téléphonie sur le DSL aussi bien que sur la fibre, avec lequel les U.S. se battent toujours alors qu’ils l’ont identifié depuis longtemps, et que visiblement en France on a complètement glissé sous le tapis politique.
Le réseau RTC est auto-alimenté. Quand vous avez une catastrophe naturelle qui touche votre centrale de distribution électrique locale, p.e. une inondation, vous n’avez plus de courant mais vous pouvez toujours appeler les secours parce que votre central téléphonique a sa propre alimentation de secours et que c’est lui qui alimente votre téléphone fixe filaire de base à 10 euros.
Si on ajoute à ça que de plus en plus de services d’urgence délaissent leurs systèmes de communication radio au bénéfice de téléphones cellulaires qui leur reviennent moins cher, on imagine la catastrophe: plus de téléphonie du tout pour personne (ni les filaires ni les relais de mobiles ne fonctionneront plus en cas de coupure d’alimentation électrique). Ni pour les victimes qui souhaitent signaler leur présence, ni pour les agents de terrain des services d’urgence.
Alors il me semble qu’en France certain services (pas forcément des services d’urgence) font marche arrière et remettent en fonction leurs radios après des expériences malheureuses avec la téléphonie mobile. Mais ça ne règle qu’une partie du problème. Autant je suis heureux que le gouvernement français pousse au cul pour le déploiement de la fibre, autant je suis atterré de ne pas entendre parler de loi imposant aux opérateurs aDSL (qui a le même problème) et fibre d’assurer la continuité de service de tous leurs équipements (répartiteurs, etc.) pendant X heures (voire jours!) en cas de catastrophe naturelle, p.e. à l’aide de batteries de secours. Ou alors, à tout le moins, imposons aux services d’urgence de ne pas dépendre de la téléphonie publique, qui va sous peu devenir un colosse au pieds d’argile.
Fichier TAJ : la CNIL épingle l’Intérieur et la Justice
Le 25/02/2015Le 25/02/2015 à 12h 11
Donc, si je comprends bien, si faire les gros yeux ne suffit pas, on va dénoncer au grand frère Valls? Le même qui exhibe une volonté manifeste de ficher et videosurveiller les gens?
Qui est pour amender l’article 45 de la loi de 78 pour y ajouter une vraie sanction?
Contre le téléphone au volant, la Sécurité routière propose l’application « Mode conduite »
Le 24/02/2015Le 24/02/2015 à 12h 05
Gemalto cambriolé par la NSA et le GCHQ, des millions de cartes SIM en danger
Le 20/02/2015Le 20/02/2015 à 15h 00
Bon, j’avoue, je n’ai pas tout lu ayant déjà vu le sujet traité par ArsTechnica. Je passe juste signaler que, comme cela a été dit dans les commentaires sur AT, le chiffrement utilisé était DES pendant longtemps. Ce n’est pas comme si ces clefs apportaient beaucoup de sécurité de base…
En 2014, le déploiement de la fibre optique a bondi en Europe
Le 19/02/2015Le 19/02/2015 à 13h 14
“« Il était difficile de prévoir que les utilisateurs allaient
devenir producteurs de données. Il y a un besoin de débit montant et de
faible latence lors des jeux en ligne ou de discussions Skype. »”
Sérieux? D’une part c’est LE principe FONDATEUR du Web. D’autre part ça fait depuis que le DSL existe en France qu’il y a des gens pour dire que le choix technique de l’aDSL au lieu du sDSL par les opérateurs historiques découle en grande part d’une volonté délibérée du politique et des opérateurs (qui se voyaient déjà virer fournisseurs de contenus) de garder totalement le contrôle sur la production de contenu. Alors, que les amateurs de complots aient raison ou pas, venir nous dire aujourd’hui que ça a pris tout le monde par surprise c’est vraiment nous prendre pour des cons.
Des SMS et courriels pour les convocations en justice
Le 18/02/2015Le 19/02/2015 à 13h 03
Le 19/02/2015 à 12h 55
Le 19/02/2015 à 12h 50
Le 18/02/2015 à 14h 59
Le 18/02/2015 à 14h 15
Le 18/02/2015 à 09h 43
+1
Ma première réflexion en lisant ça a été “c’est bien beau de vouloir numériser toutes les interactions avec l’état, jusqu’à ce qui concerne la justice, mais alors il faudrait peut-être mettre un peu d’efforts et de pognon dans la fiabilisation des emails”. Les protocoles de messagerie actuel ne satisfont absolument AUCUNE exigence de sécurité. Disponibilité? Si un serveur n’arrive pas à transmettre un message au bout de 4 jours, il le jette, et personne ne s’en inquiètera. Confidentialité? Chiffrer ses emails relève du parcours du combattant pour l’émetteur et le destinataire, ce n’était pas prévu à la conception. Intégrité? Idem confidentialité, les technologies de signature sont les mêmes. Preuve? (authentification/imputabilité, non répudiation…) Idem toujours.
Le fonctionnement de la justice sur la base d’emails… Partez devant, hein? Je vous suis…
Chiffrement : Internet Explorer « 12 » et Spartan gèreront le mécanisme HSTS
Le 18/02/2015Le 18/02/2015 à 16h 25
HSTS qui peut être détourné de son usage pour pister l’utilisateur, même en mode de navigation “privée”.
Je lance le chrono: à cette date seul Firefox essaie de contrer cette possibilité d’abus de la fonction. En quelle année Chrome, Safari et I.E. en feront autant?
Indice: de Google, Apple et la fondation Mozilla, seul Mozilla n’a à ce jour aucun intérêt financier direct et affiché à exploiter/revendre les infos sur vos habitudes de surf. Quand à la réactivité de Microsoft, l’article qui précède résume bien la situation.
…
/troll
La Sacem persiste dans sa volonté de « taxer » Internet
Le 12/02/2015Le 12/02/2015 à 16h 47
J’ajouterais un problème de fond, en relation avec ce que tu évoques, dans le raisonnement de la SACEM. A moins que ce soit une imprécision dans la façon de NextINpact de les rapporter.
Il est impossible de taxer une activité illicite. Par définition, par principe. Une activité qui devrait être taxée mais qui échappe à la taxation est ce qui s’appelle une activité “licite occulte”. Je vous renvoie par exemple au chapitre I.B de projet de loi rectificative de 2009, trouvé sur le net :
http://www.senat.fr/rap/l09-158-1/l09-158-17.html
(En l’occurrence le but était de corriger une injustice qui menait dans certains cas à punir plus sévèrement une activité licite occulte qu’une activité illicite.)
Donc voilà, la SACEM veut soit stopper les usages illicites de son capital, soit au pire être payée pour ces usages. Et ce sans avoir à passer par la case justice, où tu as une chance de perdre et où il faut avancer des fonds et du temps. Donc elle essaie de casser en douce ce principe de “l’illicite n’est pas taxable”. Parce que l’autre solution pour être payé revient à déclarer ces usages licites, et les usages licites occultes sont punis moins sévèrement.
Les députés introduisent un « principe d’innovation » dans notre droit
Le 12/02/2015Le 12/02/2015 à 16h 22
MongoDB : des BDD librement accessibles, dont celle d’un opérateur français
Le 11/02/2015Le 11/02/2015 à 12h 20
Moi, ce qui m’épate le plus, c’est que ces chercheurs recommandent de superbes rustines techniques plus ou moins compliquées, sans se poser la question du fond du problème.
Je cite:
However, a common setup and scalable solution for most Internet services is to have a database server running on one physical machine, while the services using this database service are (often virtualized) running on another machine. In this case, the easiest solution is to comment out the flag […] or to remove it completely, which defaults to accepting all network connections to the database. If access is possible from untrusted machines (e.g., from the Internet) outside the trusted network, it is crucial to also set up transfer encryption and proper access control.
Ben non. Chiffrement et contrôle d’accès au niveau 7, c’est juste regonfler la roue crevée avant d’avoir bouché le trou. “If access is possible from untrusted machines”, c’est juste une bourde d’architecture réseau monumentale. Les deux serveurs (front end & back end) ne communiquent pas à travers l’Internet, mais à travers un réseau local. Le serveur de base de données n’a donc pas besoin d’être accessible depuis l’Internet dans 99,999% des cas.
[EDIT] Retiré un “Problem solved.” final, qui laissait entendre que ce que recommandait les chercheurs était inutile. Ce qui est faux, bien sûr.
Fleur Pellerin propose (encore) de taxer la bande passante
Le 11/02/2015Le 11/02/2015 à 09h 37