Le 29/12/2016 à 10h 34

Il est tout aussi légal de dire “On déchiffre tout pour notre propre sécurité et les accès aux données déchiffrées sont contrôlés suivant le cadre légal. Si vous allez sur votre site bancaire dans ces conditions, c’est votre problème.”
Dès lors que ce cadre est posé, il n’y a plus d’obligation d’exclure quoi que ce soit.
Dans la même veine, pour éviter les conflits, il est aussi légal de dire: “On déchiffre tout, et on interdit complètement les sites bancaires (et quelques autres du même genre inutiles pour votre boulot) comme ça vous ne viendrez pas vous plaindre qu’on vous espionne.”
Ce qui est important, c’est de poser officiellement les règles. Une entreprise n’a pas d’obligation légale de respecter la tolérance habituelle en termes d’utilisation personnelle de l’accès Internet en France, du moment que ses employés sont au courant des règles, et qu’elles ne sont pas discriminatoires. C’est seulement si elle choisi d’être tolérante qu’elle a intérêt d’exclure les sites bancaires, administratifs, etc., pour éviter les conflits au prud’hommes.

Le 29/12/2016 à 10h 21

Il veut dire par là que l’on laisse les banques juger elles-même de la qualité de leur sécurité, sans avoir de comptes à rendre. Pour “qu’il en soit autrement,” il suffit d’introduire dans le processus un tiers régulateur et des sanctions.

Le fond du problème ici est l’externalisation du risque : ce n’est pas la banque elle-même qui souffre d’une faible sécurité. Améliorer cela réduit les revenus de la banque. Elle n’a donc aucune motivation pour corriger sa sécurité. La régulation, tellement détesté par la finance, est une façon d’écrire dans la loi que la banque a la responsabilité de la sécurité financière de ses clients, et donc qu’elle peut être sanctionnée. Du coup, le risque est réinternalisé (la banque paye pour ses manquements) et la situation s’améliore.

Le 29/11/2016 à 15h 07

ArchangeBlandin a écrit :

C’est une approche assez pragmatique, mais un type tout seul, c’est en effet un inquisiteur… 


Et à plusieurs ça peut devenir une commission de censure… :)

Le 22/07/2016 à 14h 10

Qualitatif peut-être, mais fermé.
Ce n’est pas seulement une question de confidentialité. C’est aussi une question de…
* pérennité du service (wave? picasa?…),
* de ses conditions d’utilisation (je stocke tes données, et demain je peux t’interdire de les chiffrer pour pouvoir les exploiter commercialement, ou te faire payer le service une fois que tu es bien accro),
* de propriété des données stockées (je stocke tes photos, mais je prends les droits dessus, et je peux décider de prendre une part sur les bénéfices qu’elles pourraient t’apporter),
* d’interopérabilité (p.e. je stocke ton agenda, et je fais évoluer ou ferme mes API après quelques temps de sorte à tuer la concurrence et donc l’innovation),
* de contrôle (p.e. je décide de quelle façon tu peux, ou pas, partager tes données et collaborer avec les autres utilisateurs de mes services et de ceux de la concurrence),
* d’attractivité de la cible (à niveau de sécurité technique équivalent, un Google est bien plus susceptible de se faire attaquer que toi tout seul - le rapport travail/bénéfices attendus est sans commune mesure).

Et j’en oublie sûrement. L’idée est que avec des hébergeur où tout est intégré verticalement comme Google, dès lors que tu leur confies tes données, tu acceptes de les exploiter de la façon que eux ont prévu. C’est à dire qu’ils ne chercheront à plaire qu’à la majorité (en terme de ROI) et toujours de sorte à augmenter leurs propres revenus plutôt que les tiens ou ton confort. Avec une solution comme Owncloud cet argument ne pèse plus sur la conception du produit. Tu reste maître de tes données et de l’usage qui en est fait.

Mais évidemment with great powers comes great responsibilities. C’est plus de boulot.

Le 18/04/2016 à 18h 55

Ce texte a été décapité par la justice européenne qui l’a trouvé bien
trop respectueux sur le terrain du respect des libertés et de la vie
privée.

Hm. N’a-t-il pas été décapité parce que trop peu respectueux des libertés et de la vie privée, au contraire?

Le 28/01/2016 à 12h 16

Naïvement, comme ça, il y a l’intérêt de se protéger des intermédiaires qui pourraient vouloir lire et/ou modifier tes requêtes et les pages renvoyées par NXI. Par exemple tous les intervenants dans le fonctionnement de ton téléphone portable (manufacturier chinois, O.S. américain GAFA, éditeurs d’applications tierces potentiellement malveillants), les fournisseurs d’accès à Internet (qui se croient régulièrement autorisés à espionner et MODIFIER le trafic Web “pour la bonne cause”, sans parler des DNS menteurs qui font le bonheur des registrars), et les opérateurs de backbone Internet (parfois à la botte d’une dictature ou d’une autre, sachant que certaines ne se gènent pas pour détourner de gros volumes de trafic Internet via leurs infrastructures de temps en temps, pour des motifs certainement inavouables).

Ce n’est pas le monde des Bisounours. Le chiffrement de bout en bout a vocation à devenir la norme, à mon sens.

Le 12/11/2015 à 15h 35

Il y a le fait qu’il n’y a plus assez d’IP pour tout le monde, à moins de passer en IPv6. Pour l’instant pas suffisamment de services sont disponibles via IPv6, et la moitié des opérateurs français en sont seulement à dire qu’ils vont commencer à tester en 2016 ou 2017. Ensuite il y a le fait que les opérateurs n’ont aucun intérêt économique à ce que l’auto hébergement se développe. L’auto hébergement se pose en concurrent de tous leurs services à l’exception de leur métier de base de fournisseur de tuyaux.

Le 13/08/2015 à 15h 45

La nature même du principe de chiffrement des données, sur la base d’un secret qui authentifie le propriétaire de la donnée chiffrée, fait que la présence d’une backdoor détruirait complètement et définitivement l’utilité du chiffrement pour qui que ce soit: 
 * une backdoor est un secret partagé, et un secret partagé dans un produit public finit toujours par ne plus être un secret du tout,
 * par conséquent une backdoor deviendra toujours, avec le temps, utilisable par tout le monde,
 * par conséquent la donnée n’est en pratique pas protégée par le chiffrement.
 
 Donc demander une backdoor n’est qu’une façon polie de demander l’interdiction du chiffrement pour tous ceux qui en ont un usage légitime, sans pouvoir pour autant empêcher les usages criminels. Les criminels n’en auront, excusez l’expression, rien à branler qu’on leur fasse les gros yeux si on ne peut pas déchiffrer leur téléphone.
 
La raison principale derrière cette demande est présentée de façon malhonnête. 74 téléphones qui n’ont pas pu être débloqués… En 9 mois. Sur approximativement 100 000 cas. Soit un obstacle rencontré dans 0,074% des cas. Sans que pour aucun de ces cas on n’ait la certitude que cela aurait changé quoi que ce soit. On nous demande donc de rester vulnérable à tous les salopards qui auraient envie de nous voler notre vie privée pour PEUT-ETRE faciliter la vie des enquêteurs dans 7 cas sur 10 000. Et ce, dans l’hypothèse improbable et absurde où les criminels qu’on poursuit n’auraient pas l’idée d’utiliser quand même le chiffrement devenu illégal.
 
&nbsphttps://www.schneier.com/blog/archives/2015/08/another_salvo_i.html
&nbsphttps://www.eff.org/deeplinks/2015/07/top-five-takeaways-todays-hearings-encrypt…
&nbsphttp://www.wired.com/2015/07/manhattan-da-iphone-crypto-foiled-cops-74-times/
 
 [EDIT] Typos + liens
 

Le 04/08/2015 à 12h 03

“En avril dernier, nous relations comment l’ancien directeur de la NSA, le général Keith Alexander, tentait d’alerter l’opinion publique aux États-Unis sur un énorme problème potentiel : les systèmes informatiques de l’armée ou des agences de sécurité sont pratiquement tous tournés vers la défense.” 
 Ah bon? Moi j’avais plutôt l’impression que les U.S. étaient entièrement portés sur l’offensive. Offensive contre leurs ennemis supposés et alliés déclarés, sous la forme d’espionnages des réseaux à la fois massifs et ciblés, détournements actifs de trafic Internet, prise de contrôle de milliers de machines à travers le monde façon botnet (“mais là c’est justifié, c’est gou-ver-ne-men-tal, vous comprenez”), etc. Offensive contre tout mécanisme de défense informatique pour le public (puce Clipper, interventionnisme destructeur dans la recherche sur le chiffrement, backdoors obligatoires, etc.). Et pour finir chasse aux sorcières contre les sonneurs d’alarme. Je ne me souviens pas avoir vu le gouvernement U.S. allouer le plus petit dollar dans la sécurisation effective des système. Rien de défensif.
 
 Alors forcément, oui, ils voient qu’ils se font attaquer puisque rien n’est correctement défendu. Et ça leur sert à justifier quoi? Encore plus de capacité offensive.
 
 “Seulement voilà, détecter les tentatives d’intrusions n’est qu’une partie de la défense, encore faut-il les bloquer efficacement. Ou riposter.” 
Le “problème,” c’est que tout mécanisme défensif efficace peut aussi être utilisé pour se défendre contre les abus de son gouvernement. Parce que dans le cybermonde, en substance, ce qui est accessible à l’un finit toujours par être accessible à tous.

Le 17/07/2015 à 14h 45

tazvld a écrit :

Du coup, en tant que recourt légal, le CC étant l’ultime échelon dans cette république, les seuls recourts qui restent ne sont plus légaux (en tout cas prévu par la loi, mais il me semble qu’ils sont prévu par des textes constitutionnels).


De l’intérêt, paradoxalement, pour quelqu’un qui souhaite qu’un texte passe et ne puisse plus être remis en cause, de faire une saisine du proactive du CC, la plus vague possible mais suffisamment outrée et verbeuse pour ne pas être considérée comme une saisine blanche.
 
Ce qui me fais penser que les promoteurs d’un texte devraient être interdits de saisine du CC à titre personnel. je dis ça, je dis rien, hein?..

Le 12/06/2015 à 10h 08

atomusk a écrit :

Si une loi Française peut demander à Google de retirer un lien partout dans le monde, qu’est ce qui empêche [mettre un pays totalitaire] de créer une loi qui demande à Google de déréférencer un lien partout dans le monde  ?


Le fait que la Chine n’ait pas jurisdiction sur le lien et/ou le contenu vers lequel il pointe. En l’occurrence nous parlons de données personnelles de citoyens français (par exemple), qui tombent dans le giron de la loi française.  Si la Chine veut se déclarer compétente sur les données des citoyens français ou américains, je lui souhaite bon courage…

Le 12/06/2015 à 10h 01

Papa Panda a écrit :

Cela va finir à un tribunal mondial ?

Car comment la cnil peut obliger d’imposer sa “loi” à d’autres pays non Français /Européen vu qu’ils ont leur propres lois sur la question ,non ?

Je relis pour comprendre ce point.



En substance, ce n’est pas une question de pays d’appartenance de l’entreprise. C’est une question de cadre légal qui s’applique aux données considérées (qui définit si ce sont des données personnelles, et de quelles protections elles bénéficient).
 
Les autres pays ont peut-être des lois différentes, mais qui s’appliquent à leurs propres citoyens, pas aux citoyens français. Un citoyen français (et d’autres) bénéficie des protections accordées par les lois françaises et/ou à l’échelle européenne. Ces lois ne disent pas “un citoyen européen bénéficie d’une protection contre les autres citoyens européens mais il est à poil face au reste du monde et c’est la fête du slip aux Etats Unis”. Elles disent “un citoyen européen bénéficie de telles protections, point final.” Et si une entreprise, fût-elle américaine, veut commercer avec un citoyen français, il doit respecter ces lois, et appliquer ces protections du français contre… Tout le monde. L’effacement des données doit être effectif dans le monde entier, dès lors que l’on parle de données personnelles auxquelles s’applique le cadre légal français.
    
Si tu ne veux pas respecter le cadre légal qui s’applique au citoyen français, tu ne commerces pas en France, et tu reste loin des données personnelles appartenant à des français. C’est aussi simple que ça. 

 
 

Le 10/06/2015 à 15h 44

Jaskier a écrit :

En parlant de XN, ça serait pas mal qu’il viennent fibrer mon quartier, parce que s’il se dépêche pas, je vais passer chez Orange qui va le faire d’ici peu* dans mon quartier.

*Sachant que le d’ici peu dure depuis déjà deux ans " />


Ah oui tiens d’ailleurs la fibre Orange vient d’arriver dans mon immeuble, donc il paraît qu’ils ont X mois d’exclu avant que le service soit ouvert aux autres opérateurs. Il paraît. Quelqu’un a des infos officielles là-dessus quelque part, que je sache quoi dire dans mon ticket de support à Free? Parce que bon, je ne m’attend pas à ce qu’Orange prévienne Free, donc je compte le faire moi-même.

Le 08/06/2015 à 17h 14

Et donc on fait en sorte qu’une fonction de sécurité dépende d’un protocole tellement peu sûr que je refuse qu’on me file une carte bancaire NFC et que je désactive la puce NFC de tout smartphone qui entre en ma possession.
 
Ca va pas être top pratique, tout ça…

Le 10/04/2015 à 13h 15

CounterFragger a écrit :

On se demande si l’ESA espère vraiment qu’on prenne au sérieux un pseudo-argument aussi fallacieux…

Si le jeu est abandonné par l’éditeur, alors il n’est plus vendu. Autoriser la création de serveurs de substitution ne fait donc pas perdre un sou à l’éditeur et par conséquent ne détruit rien du tout. CQFD


Si. Il détruit le business model consistant à te revendre le même jeu repeint dans une autre couleur chaque année. Sauf que dit comme ça ça expose la malhonnêteté du modèle. Donc on préfère dire “c’est la fin du môôôônde!”

Le 09/04/2015 à 15h 24

Food for thoughts: FB ne fournit pas les résultats du service de reconnaissance faciale dans les pays dans lesquels c’est interdit. OK OK OK… Quelqu’un a pensé à vérifier s’ils font aussi en sorte que les ressortissants européens ne soient pas soumis à la reconnaissance faciale lorsque c’est, mettons, un américain qui utilise le service? La solution de FB n’a-t-elle pas consisté (comme dans d’autres cas) à seulement dissimuler le fait aux européens qu’ils se font scanner la tronche sur les photos publiées par les irresponsables de tous poils?

Question subsidiaire: comment FB peut-il faire pour ne pas faire la reconnaissance faciale d’un non abonné européen, sur qui c’est interdit, avant de l’avoir reconnu… Facialement?

Tout ça ne tient pas debout techniquement. Il n’y a mathématiquement aucune façon d’imposer à FB de ne faire de la reconnaissance faciale que “sur ses abonnés et à condition que ce ne soit pas interdit par la législation locale” puisque FB est obligé de faire ce qui est peut-être interdit pour savoir si ça l’est. La seule solution qui fonctionnerait dans le monde de la vraie vie consisterait à complètement interdire la reconnaissance faciale à FB (et consorts). Mondialement.

Le 07/04/2015 à 14h 08

Autant les points 2 à 4 ont du sens, autant il me paraît ahurissant de vouloir forcer Google à faire la pub de ses concurrents. Ce n’est pas comparable au ballot screen des navigateurs, là. On parle d’un service, pas d’un logiciel.

Le 07/04/2015 à 09h 56

Nozalys a écrit :

Pour traiter du contenu, je suis quand même assez surpris que l’on condamne quelqu’un qui révèle les failles d’un logiciel massivement utilisé. Alors certes, il a voulu en faire un business (mais visiblement il n’a pas eu le temps d’en tirer des profits), mais que le jugement reconnaisse “le mal fait à M$” pour avoir dévoilé des backdoors, plutôt que “le bien fait à la communauté”, ça me laisse perplexe.


A la base les juges font appliquer la loi, pas la justice ou la morale. En l’occurrence, la loi interdit de faire un business de la publication d’information officiellement secrètes, et il y a bien eu dommage à la réputation de Microsoft et de son produit. Quoi que l’on pense de Microsoft et de son produit, cela ne change rien à l’affaire.

On peut d’ailleurs noter que Microsoft n’a pas réussi à faire jouer l’argument comme quoi c’est le hacker qui aurait fait du mal à la communauté en permettant l’exploitation d’une faille. Et aussi que les peines, eu égard aux volumes financiers considérés, sont du domaine du symbolique de mon point de vue. Donc je pense que le juge a passé un message à la fois au condamné et au plaignant: “arrête d’essayer de te faire passer pour le gentil”  à l’un et “ne t’attende pas à ce qu’on défende ton droit à faire de la merde, faudrait quand même pas nous prendre pour des jambons” à l’autre.

Le 02/04/2015 à 12h 04

tmtisfree a écrit :

Dévoyer les mots est aussi une mission de service public. Au moins avec l’argent des autres, elle ne risque pas la panne sèche dans la vallée de la mort du financement.

Si l’objectif de ces dispositifs est d’aider “les plus modestes, les plus fragiles, les plus pauvres” et donc probablement les moins doués (non péjoratif), c’est raté.

Tout est présenté sur une page surchargée alors qu’on aurait pu distribuer les saisies de manière plus ordonnée et logique par un assistant, thème par thème. Les acronymes ne sont pas traduits, de même que certains termes techniques sont toujours en anglais.

Plus prosaïquement, la seule vertu de ces dispositifs est de démontrer à la face du monde notre savoir-faire indéniable en matière d’usines à gaz sociales et de châteaux de cartes fiscaux.

Il ne leur serait pas venu à l’idée de raser ces empilements anarchiques et irresponsables de législorhée administrative.

Mais non, il faut bien nourrir la clientèle électrice.


“Le dernier objectif d’OpenFisca est encore plus ambitieux, mais terriblement d’actualité : rationnaliser l’inflation législative, c’est-à-dire l’empilement croissant de nouvelles réglementations. « Si on a de meilleurs outils de simulation des règles et des impacts des réformes, il y a une chance que ça permette de mieux légiférer » pense ainsi Henri Verdier.”

Donc, un, il faut lire ce qu’on critique. Et, deux, en ce qui me concerne, je préfère une démarche rationnelle de simplification plutôt qu’une stratégie énervée de la table rase au mépris des imprévisibles mais inévitables conséquences.

[EDIT] Mise en page

Le 31/03/2015 à 09h 20

“Elle craque, de tous côtés”

  Dutronc, Jacques - 1969

Le 25/03/2015 à 10h 34

“Le système a largement évolué depuis, au point qu’il est fourni en standard avec le Oneplus One.”

Alors oui mais non. Le divorce est consommé entre OnePlus et Cyanogen depuis plusieurs mois, et a même fait l’objet d’articles ici même si ma mémoire est bonne. Et les causes de ce divorce ne semblent pas éclairer Cyanogen d’une lumière très flatteuse pour l’instant.

Le 24/03/2015 à 14h 29

js2082 a écrit :

" />
…
Nooon…???
" />


Tout peut être piraté, mais une authent forte plus faible qu’une authent simple? Tu peux développer? Je sors le popcorn.

Le 24/03/2015 à 13h 30

js2082 a écrit :

Keepass et consorts sont effectivement à éviter.
Ce sont des points de concentration des mdp.

Il est plus facile pour un pirate de s’attaquer à un seul point d’accès (keepass) pour accéder à la totalité des fichiers protégés plutôt que de devoir s’attaquer à chacun des point d’accès pour chaque fichier protégé.

Keepass, c’est la fausse bonne idée qui fragilise la sécurité au final.


C’est un faux argument, tant que la sécurité de l’algorithme de Keepass n’est pas compromise. Et aux dernières nouvelles elle ne l’est pas à ma connaissance. Je sais que c’est contre-intuitif mais qu’il n’y ait qu’un seul point d’attaque ne le rend pas par définition plus faible en l’occurrence. Au contraire puisque, n’ayant qu’un seul mot de passe à retenir, je peux le choisir beaucoup plus robuste que si je devais en retenir des dizaines. Et puisqu’il s’agit d’un outil open source réputé et tenu à jour.

Rappels:
* Un “vol” de base Keepass consiste en une copie. Tu es toujours en possession de l’original (faites des backups les gens!), et donc tu gardes la possibilité de changer tes mots de passe.
* Keepass ne dispense pas de l’obligation de changer tes mots de passe régulièrement. Mieux, il facilite grandement leur renouvellement régulier.
* Keepass rend possible l’utilisation de mots de passe beaucoup plus robustes. Inhumainement robustes. Genre 64 caractères aléatoires, et pas deux mots de passe identiques. La fête du slip du mot de passe.
* Une utilisation correcte d’un gestionnaire de mdp implique un mot de passe maître TRES robuste.

Un attaquant se voit donc OBLIGE de casser ta base Keepass pour casser tes comptes sauf schéma d’authentification pourri de la part du fournisseur (et rien ne te protègera contre ça). Et si tu fais bien ton boulot, il n’y arrivera pas avant que le soleil cesse de briller. Ce qui te laisse largement le temps de changer tes mots de passe, et donc de rendre ses efforts inutiles.

Le 24/03/2015 à 13h 02

js2082 a écrit :

Même une double authentification peut être piratée, voire peut-être même plus facilement, les gens pensant du coup qu’ils sont en sécurité, ils se méfieront moins.


Pardon?

Le 24/03/2015 à 12h 59

Bel Iblis a écrit :

“Comme nous le rappelons régulièrement, il faut utiliser « un mot de passe unique pour chaque service sensible » afin d’éviter un piratage en série en cas de fuite. Mais l’ANSSI recommande également de « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ».”

Je viens de regarder, j’ai 160 mots de passe dans ma base keepass.
Alors il faudrait peut-être en sortir que les services les plus sensibles mais bon c’est un investissement d’en apprendre une dizaine de différents et de plus de 12 caractères.


Ma première réflexion en lisant ce guide a été qu’ils sont déconnectés de la réalité du terrain. A cause de ce chapitre. pas le temps de lire le reste en détail tout de suite, mais je suis inquiet. Je doute de la capacité de la plupart des gens de retenir plus de 3 mots de passe respectant leurs contraintes. Et nous vivons tous avec bien plus de 3 “services sensible” (compte pro, email perso principal, impôts et tous les fournisseurs de services de base: banque, énergie, etc.).

Le 20/03/2015 à 12h 01

Naneday a écrit :

Je peut scanner avec mon iPhone, pourquoi j’ai besoin d’un accessoire inutile, limité a une seule fonction, et qui plus est chere, l’idée est bonne, mais encore une fois l’execution est pitoyable


C’est le grand mystère qui a jailli dans ma tête à la lecture de l’article. Qu’y a-t-il dans Izy qui ne soit pas déjà présent dans le smartphone qu’il est de toutes façons nécessaire de posséder pour utiliser Izy?

Cette histoire c’est juste… N’importe quoi?

Je crois que la réponse est dans les paroles de Julie Leconte : le but est de créer un contexte qui décourage les gens de “zapper” (sic) d’une chaîne de magasin à l’autre. En te faisant croire que ces systèmes vont exiger un nouveau matériel pour chaque chaîne de magasin, on pousse les gens à faire un choix et à s’y tenir.

Etant donné que ce n’est bien sûr pas vrai, puisque n’importe quel smartphone moderne contient le même matériel qu’Izy, je classe ça dans les pratiques anti-concurrencielles. Et ne souscrirais pas.

Le 10/03/2015 à 13h 49

Bientôt dans notre pays, 1000 coups de fouets, à raison de 50 par semaine, pour crime de lèse-président.

Le 10/03/2015 à 08h 48

atomusk a écrit :

U3VycHJpc2U=  => Surprise en base64   ( https://www.base64decode.org/  pour décoder)


“base64 decode U3VycHJpc2U=” marche aussi dans plusieurs moteurs de recherche qui décodent directement (testé DDG, Google). On n’arrête pas le progrès-euh.

Le 09/03/2015 à 12h 15

Commentaire_supprime a écrit :

Aujourd’hui oui pour des raisons pratiques : Wordpress ne prend pas les epub, et, quand j’ai mis tous mes écrits en version livre électronique en plus des PDF, j’ai tout migré vers mon NAS courant 2012 après avoir pris mon abo pour la fibre.

Au moment des faits, Wordpress était l’hébergeur de mes PDF. Désormais, un pinpin qui voudrait me faire suer se ferait renvoyer sur les roses par WP, qui n’a que les écrits de mon blog, quelques recettes de cuisine et les liens vers mes écrits, hébergés sur mon NAS.

La chaîne, c’est Wordpress pour les liens, no-ip pour la redirection et Synology pour l’hébergement. Bonne chance aux amateurs… " />" />" />" />" />


Je pense que quelqu’un qui est déterminé à abuser d’un système anti-contrefaçon pour effectuer un travail de police privée/censure, ne verra pas beaucoup d’objection à attaquer sur le plan technique si le chemin légal lui est inaccessible. DoS sur l’accès Internet, attaque du NAS… Je recommande de multiples copies de sauvegarde :)

Le 09/03/2015 à 12h 05

A-snowboard a écrit :

Je me pose une question, ça se passe comment pour le paiement ?

Car le british, je pense qu’il va se démerder pour ne pas payer non ?

Après je comprend qu’il se déplace pas. Je ne vais pas aller me payer un billet d’avion par ce qu’un ricain m’assigne en justice.

D’ailleurs en france, les procès ont lieu au tribunal le plus proche de l’accusé. (et non de celui qui accuse)


A savoir:
* Le procès n’a pas été ouvert suite à la requête DMCA, contrairement à ce qui est dit dans l’article. Justement, l’auteur du billet avait renoncé à se défendre à cause des coûts impliqués (déplacements…). Dans un premier temps ils ont gagné, en obtenant de WordPress une censure a priori et sans vérification. Ce n’est qu’après que Straight machin UK ait demandé  à l’étudiant de retirer toute référence à leur association de son blog que ça a fait le buzz et qu’il a reçu de l’aide pour effectivement se défendre. S’ils n’avaient pas été trop gourmands, nous n’aurions jamais entendu parler de cette affaire.

* L’avocat du plaignant qualifie cette victoire de “creuse” parce que, justement, ils ne pensent pas jamais réussir à collecter la somme. En fin de compte, rien de changé pour ceux qui abusent du système. Le problème structurel de ce système reste entier et non résolu.

Le 06/03/2015 à 16h 25

hadoken a écrit :

Toutes les installations de flash (et bien d’autres logiciels) font pareil depuis longtemps, çà coche par défaut l’installation de chrome et google en main page. C’est exactement pareil que la barre ask…


Alors oui et non. On peut discuter du niveau de malveillance de Chrome dans l’absolu, mais comparé à Ask il ne se met pas navigateur par défaut sans me demander la permission, il ne me rend pas volontairement vulnérable à des attaques par XSS, je peux remettre le paramétrage d’origine sans avoir à me battre. Et Google ne se cache pas de collecter des informations sur nos habitudes.

Contrairement à Ask.

Donc oui, les installeurs avec bundle de merde, c’est mal, et oui je préfère utiliser FF que Chrome pour tout un tas de raisons philosophiques, mais je ne mettrais quand même pas Chrome et Ask au même niveau.

Le 06/03/2015 à 16h 16

Inny a écrit :

Un point sur les finances d’Oracle serait intéressant dans un prochain article svp. :) Parce que là j’ai l’impression qu’ils ont de gros problèmes de sous pour tomber aussi bas.


Je pense que ce n’est pas avec ça qu’Oracle va faire son beurre, ni se sortir d’éventuelles difficultés. Oracle est un mastodonte. Ce genre d’accord doit leur rapporter l’équivalent d’un café ramené à mon salaire. Genre. Ce qui rend la pratique incroyablement mesquine, au passage.

Le 06/03/2015 à 16h 10

Je note que, alors même que j’avais employé l’astuce consistant à modifier le registre pour que Ask ne me soit plus proposé, il l’est à nouveau depuis au moins quelques jours (Win 7). Déjà que l’astuce était hors de portée de Mme Michu…

Albert Einstein: “La folie est de faire la même chose, encore et encore, en espérant des résultats différents.”

Et pourtant Oracle continue à me poser encore et toujours la même question dans l’espoir que demain je répondrais “oui”. Le fait qu’ils aient défait ce que j’avais fait pour ne plus être emm*bêté démontre en plus une volonté délibérée de piéger même même les pros et autres power users.

Way to go, Oracle. Way to go.

Le 04/03/2015 à 09h 38

CheX a écrit :

Le mec pomé dans les champs qui tourne à 128kb/s peut être ?


Et comme le mac paumé dans les champs a beaucoup plus à gagner en général à avoir une meilleure connexion à Internet, qui pourrait participer à ce qu’il soit un peu plus placé dans la société moderne et un peu moins paumé dans ses champs, je préférerais que nos chers députés s’inquiètent plus de combler la “fracture numérique” que sauver une profession qui n’a plus beaucoup d’utilité.

Le 25/02/2015 à 16h 23

Outre les services sus-cités qui dépendent encore de technos analogiques, moi je me pose la question des services d’urgence. j’attire votre attention sur un problème qui concerne la téléphonie sur le DSL aussi bien que sur la fibre, avec lequel les U.S. se battent toujours alors qu’ils l’ont identifié depuis longtemps, et que visiblement en France on a complètement glissé sous le tapis politique.

Le réseau RTC est auto-alimenté. Quand vous avez une catastrophe naturelle qui touche votre centrale de distribution électrique locale, p.e. une inondation, vous n’avez plus de courant mais vous pouvez toujours appeler les secours parce que votre central téléphonique a sa propre alimentation de secours et que c’est lui qui alimente votre téléphone fixe filaire de base à 10 euros.

Si on ajoute à ça que de plus en plus de services d’urgence délaissent leurs systèmes de communication radio au bénéfice de téléphones cellulaires qui leur reviennent moins cher, on imagine la catastrophe: plus de téléphonie du tout pour personne (ni les filaires ni les relais de mobiles ne fonctionneront plus en cas de coupure d’alimentation électrique). Ni pour les victimes qui souhaitent signaler leur présence, ni pour les agents de terrain des services d’urgence.
 
Alors il me semble qu’en France certain services (pas forcément des services d’urgence) font marche arrière et remettent en fonction leurs radios après des expériences malheureuses avec la téléphonie mobile. Mais ça ne règle qu’une partie du problème. Autant je suis heureux que le gouvernement français pousse au cul pour le déploiement de la fibre, autant je suis atterré de ne pas entendre parler de loi imposant aux opérateurs aDSL (qui a le même problème) et fibre d’assurer la continuité de service de tous leurs équipements (répartiteurs, etc.) pendant X heures (voire jours!) en cas de catastrophe naturelle, p.e. à l’aide de batteries de secours. Ou alors, à tout le moins, imposons aux services d’urgence de ne pas dépendre de la téléphonie publique, qui va sous peu devenir un colosse au pieds d’argile.

Le 25/02/2015 à 12h 11

Donc, si je comprends bien, si faire les gros yeux ne suffit pas, on va dénoncer au grand frère Valls? Le même qui exhibe une volonté manifeste de ficher et videosurveiller les gens?

Qui est pour amender l’article 45 de la loi de 78 pour y ajouter une vraie sanction?

Le 24/02/2015 à 12h 05

geo87 a écrit :

Non mais vous avez vu toutes les permissions que cette application demande ?

Localisation (GPS / GSM)
Accès complet au net
[…]

Ca ressemble à une foutue application de tracking.

 Liste complète des permissions ( source ):
 

This app has access to:        Location     approximate location (network-based)precise location (GPS and network-based)      SMS     send SMS messagesreceive text messages (SMS)      Phone     reroute outgoing callswrite call logdirectly call phone numbersread call log      Photos/Media/Files     read the contents of your USB storagemodify or delete the contents of your USB storage      Wi-Fi connection information     view Wi-Fi connections      Device ID & call information     read phone status and identity       Other   change your audio settingsfull network accesscontrol vibrationview network connections

Ca m’a étonné aussi. Je suis un fervent défenseur du “tu touches pas à ton téléphone quand tu conduis” (sauf GPS), donc j’ai voulu lui donner une chance quand même. Depuis, mon HTC One (M7) ne me permet plus de rentrer mon code PIN et reboote en boucle.

…

Yay…

Le 20/02/2015 à 15h 00

Bon, j’avoue, je n’ai pas tout lu ayant déjà vu le sujet traité par ArsTechnica. Je passe juste signaler que, comme cela a été dit dans les commentaires sur AT, le chiffrement utilisé était DES pendant longtemps. Ce n’est pas comme si ces clefs apportaient beaucoup de sécurité de base…

Le 19/02/2015 à 13h 14

“« Il était difficile de prévoir que les utilisateurs allaient
devenir producteurs de données. Il y a un besoin de débit montant et de
faible latence lors des jeux en ligne ou de discussions Skype. »”

Sérieux? D’une part c’est LE principe FONDATEUR du Web. D’autre part ça fait depuis que le DSL existe en France qu’il y a des gens pour dire que le choix technique de l’aDSL au lieu du sDSL par les opérateurs historiques découle en grande part d’une volonté délibérée du politique et des opérateurs (qui se voyaient déjà virer fournisseurs de contenus) de garder totalement le contrôle sur la production de contenu. Alors, que les amateurs de complots aient raison ou pas,  venir nous dire aujourd’hui que ça a pris tout le monde par surprise c’est vraiment nous prendre pour des cons.

Le 19/02/2015 à 13h 03

FunnyD a écrit :

Ce n’est pas utilisable, c’est incorrect, un point c’est tout.
Source?


Autant j’aimerais être d’accord, autant je me sens obligé de me ranger à l’avis de l’ATILF. On fait difficilement mieux, comme source:
http://atilf.atilf.fr/dendien/scripts/tlfiv5/visusel.exe?73;s=1219960800;r=4;nat…

Le 19/02/2015 à 12h 55

philanthropos a écrit :

La fiabilité du recommandé dépend FORTEMENT du facteur " />
 
Encore ce matin, ma mère a reçu un recommandé pour moi, et l’a signé à ma place.
Ca me dérange pas en soit, c’est ma mère ; mais si j’étais en mauvais termes avec elle, je l’aurais dans le cul-cul.

C’est con comme exemple, mais c’est illégal et c’est pratiqué par énormément de postiers.
 
Et souvent, dans les petites villes/villages, tout le monde connait tout le monde, et il arrive que des voisins signent un recommandé pour leur autre voisin vu qu’il était pas là & ainsi de suite.

Idem pour les colis contre signature qu’on remet au voisins parce que le client est pas là, etc.


Comme tu dis, c’est illégal, donc opposable. Si un tribunal te condamne par contumace parce que tu ne t’es pas présenté, tu peux dans ce genre de cas arguer du fait que tu n’as jamais reçu la convocation, et te retourner contre celui qui a signé en ton nom, et contre le postier (faute professionnelle et compagnie, etc.) . Les colis c’est encore un autre sujet. Pas vraiment en rapport avec le schmilblick. Sauf en ce que c’est représentatif du pire du pire, et de ce à quoi s’attendre si la justice se rend dépendante des emails.

Le 19/02/2015 à 12h 50

philanthropos a écrit :

Le soucis de ton contre exemple c’est que l’état s’en tape totalement et que, en l’occurrence, tu sera en faute puisque “nul n’est censé ignorer la loi”.
Comme tu le dis, il y a des “croyances populaires”, mais les gens doivent prendre la responsabilité de leur vie parfois aussi " />
 
Après, de toute manière, il est prévus que ce soit fait “sur consentement par déclaration expresse” ; à partir de là le constat est simple et sans appel ; et si tu ne te tiens pas au courant de ce qui se passe sur cet e-mail de temps en temps (ou que tu ne change pas ton adresse de Carte Grise pour ton exemple), c’est ta faute.


“Nul n’est censé ignorer la loi” est hors sujet. On parle ici d’appliquer la loi, pas de l’enseigner.  Avec ton raisonnement je pourrais aussi bien conclure que chaque tribunal a pour seule obligation de mettre à disposition les convocations dans son hall d’entrée. Puisque les citoyens peuvent venir les consulter sur place, et qu’ils ont l’obligation absolue de ne pas ignorer la loi… Qu’ils se démmerdent, ça fera moins d’impôts à payer! Sans déconner…

Tu prends la responsabilité de ta vie, mais tu fais confiance à tes proches et tu crois ce qu’ils te disent. Ca s’appelle la confiance. C’est la base de toute communauté, et c’est une des choses qui ont permis à l’humanité de traverser les millénaires. Alors oui, ça donne parfois naissance à des croyances populaires erronées, mais c’est inévitable. Ma réaction face à ça est d’essayer d’éduquer les victimes. Pas “ils l’ont bien cherché, nierk nierk nierk”.

Pour finir, mon point est que non, justement, “se tenir au courant de ce qui se passe sur cet email” n’est pas suffisant. Parce que l’email, ce n’est pas aussi fiable qu’un recommandé, et que ça renverse la charge de la preuve. Si un tribunal m’envoie un recommandé qui n’arrive pas, le tribunal ne pourra pas m’accuser de l’avoir ignoré volontairement. Parce qu’il ne pourra pas produire d’accusé de réception avec a signature. De la même façon, j’ai une trace officielle de l’envoi par le tribunal, qui ne peut pas prétendre le contraire (imputabilité et non répudiation, dans les deux sens). Avec un email, ce serait à moi de prouver que je ne l’ai jamais reçu. Ce qui est impossible en l’état actuel des choses. Et même si j’y arrivais aucune contrainte légale ou contractuelle ne pèse sur les opérateurs de serveurs de messagerie, contrairement aux services postaux.  La faute ne serait donc imputable à personne et ne serait pas punie! Il n’y aurait aucune pression pour l’obtention d’un service fiable, puisqu’il n’y a pas d’enjeu financier pour les intermédiaires techniques. Pour finir, quand je reçois effectivement un email émis par un tribunal, je n’ai aucune preuve, aucun moyen raisonnable de vérifier qu’il a bien été envoyé par celui qui le prétend, à la date indiquée et qu’il n’a été ni lu ni modifié en chemin. Et je suis censé traiter un sujet aussi sérieux qu’une convocation au tribunal dans ces conditions? Sans aucune garantie?

Donc, encore une fois… merci mais non merci. Je recommande de dire “Non. Allez vous planter sans moi et revenez me voir quand vous serez prêts à faire les choses bien.”

Le 18/02/2015 à 14h 59

philanthropos a écrit :

Après évidement, ça pose le problème de penser à aller la voir ; mais en soit si c’est utilisé pour tout ce qui est convocation en justice & co’, t’es censé être au courant d’une procédure avant généralement.


Euh… Non. Le premier courrier/email est celui qui te met au courant, par définition de “premier”.
 
Contre-exemple simple: tu déménages sans changer de département. Tu crois à tort, comme beaucoup de gens, que dans ce cas tu n’as pas besoin de faire corriger ta carte grise. Tu fais une entorse au code de la route. Les courrier de l’administration partent à la mauvaise adresse. Jusque et y compris la convocation au tribunal. Condamnation par contumace. La procédure commence et se termine sans que tu sois au courant de rien. Enfin si, tu seras mis au courant lorsque ta banque t’appellera pour te prévenir d’un avis à tiers détenteur sur ton compte, du montant très majoré (majoration + pénalités de retard de paiement) d’une infraction dont tu ignores tout.

Le 18/02/2015 à 14h 15

ActionFighter a écrit :

Déjà, être convoqué par la justice, c’est suspect, mais si en plus tu demandes la confidentialité sur cette information, c’est que vraiment quelque chose à te reprocher " />

Je crois que je vais envoyer ton dossier à l’Inquisiteur le plus proche pour effectuer une enquête sur tes bonnes mœurs " />


Tu peux être convoqué au titre de témoin ou de partie civile et tu es innocent jusqu’à preuve du contraire. Le genre de choses qui n’intéresse pas les personnes qui veulent juste savoir qui est convoqué et à quel sujet, histoire de monnayer l’information ou de te faire un chantage à la réputation.

Donc, un peu mon neveu que je veux que ce genre d’information transite chiffrée… Mieux encore, je veux que les metadonnées soient chiffrées: celui qui intercepte le message ne doit non seulement pas pouvoir le lire, mais ne pas non plus pouvoir dire qui sont l’émetteur et le(s) destinataire(s).

Donc, email = out.

Le 18/02/2015 à 09h 43

+1

Ma première réflexion en lisant ça a été “c’est bien beau de vouloir numériser toutes les interactions avec l’état, jusqu’à ce qui concerne la justice, mais alors il faudrait peut-être mettre un peu d’efforts et de pognon dans la fiabilisation des emails”. Les protocoles de messagerie actuel ne satisfont absolument AUCUNE exigence de sécurité. Disponibilité? Si un serveur n’arrive pas à transmettre un message au bout de 4 jours, il le jette, et personne ne s’en inquiètera. Confidentialité? Chiffrer ses emails relève du parcours du combattant pour l’émetteur et le destinataire, ce n’était pas prévu à la conception. Intégrité? Idem confidentialité, les technologies de signature sont les mêmes. Preuve? (authentification/imputabilité, non répudiation…) Idem toujours.

Le fonctionnement de la justice sur la base d’emails… Partez devant, hein? Je vous suis…

Le 18/02/2015 à 16h 25

HSTS qui peut être détourné de son usage pour pister l’utilisateur, même en mode de navigation “privée”.

Je lance le chrono: à cette date seul Firefox essaie de contrer cette possibilité d’abus de la fonction. En quelle année Chrome, Safari et I.E. en feront autant?

Indice: de Google, Apple et la fondation Mozilla, seul Mozilla n’a à ce jour aucun intérêt financier direct et affiché à exploiter/revendre les infos sur vos habitudes de surf. Quand à la réactivité de Microsoft, l’article qui précède résume bien la situation.

…

/troll

Le 12/02/2015 à 16h 47

J’ajouterais un problème de fond, en relation avec ce que tu évoques, dans le raisonnement de la SACEM. A moins que ce soit une imprécision dans la façon de NextINpact de les rapporter.

Il est impossible de taxer une activité illicite. Par définition, par principe. Une activité qui devrait être taxée mais qui échappe à la taxation est ce qui s’appelle une activité “licite occulte”. Je vous renvoie par exemple au chapitre I.B de projet de loi rectificative de 2009, trouvé sur le net :
http://www.senat.fr/rap/l09-158-1/l09-158-17.html
(En l’occurrence le but était de corriger une injustice qui menait dans certains cas à punir plus sévèrement une activité licite occulte qu’une activité illicite.)
 
Donc voilà, la SACEM veut soit stopper les usages illicites de son capital, soit au pire être payée pour ces usages. Et ce sans avoir à passer par la case justice, où tu as une chance de perdre et où il faut avancer des fonds et du temps. Donc elle essaie de casser en douce ce principe de “l’illicite n’est pas taxable”. Parce que l’autre solution pour être payé revient à déclarer ces usages licites, et les usages licites occultes sont punis moins sévèrement.

Le 12/02/2015 à 16h 22

uzak a écrit :

My bad, une seconde définition :

Qui est exprimé par un nombre, qui utilise un système d’informations, de mesures à caractère numérique. Système digital. (Quasi-)synon. binaire, numérique; (quasi-)anton. analogique.Le traitement des quantités, est effectué, dans un ordinateur digital, par un organe appelé l’unité arithmétique (Jolley, Trait. inform.,1968, p. 207).

Digital est donc correct…


D’après un traité informatique de 1968, si je lis bien ta citation. Les traités informatiques définissent ce qui est correct en informatique, pas la langue française… “Digital” est un anglicisme pour “numérique”
(en rapport avec les nombres et donc les chiffres). Cet anglicisme vient de ce que “chiffre” se dit “digit” en anglais, ce qui vient du fait que les chiffres en base dix, on les compte sur les doigts. Après, on peut débattre de ce qu’un anglicisme fasse ou non partie de la langue française…

http://atilf.atilf.fr/dendien/scripts/tlfiv5/visusel.exe?12;s=1888437180;r=1;nat…
http://www.larousse.fr/dictionnaires/francais/digital_digitale_digitaux/25502/di…

Le 11/02/2015 à 12h 20

Moi, ce qui m’épate le plus, c’est que ces chercheurs recommandent de superbes rustines techniques plus ou moins compliquées, sans se poser la question du fond du problème.

Je cite:
However, a common setup and scalable solution for most Internet services is to have a database server running on one physical machine, while the services using this database service are (often virtualized) running on another machine. In this case, the easiest solution is to comment out the flag […] or to remove it completely, which defaults to accepting all network connections to the database. If access is possible from untrusted machines (e.g., from the Internet) outside the trusted network, it is crucial to also set up transfer encryption and proper access control.

Ben non. Chiffrement et contrôle d’accès au niveau 7, c’est juste regonfler la roue crevée avant d’avoir bouché le trou.  “If access is possible from untrusted machines”, c’est juste une bourde d’architecture réseau monumentale. Les deux serveurs (front end & back end) ne communiquent pas à travers l’Internet, mais à travers un réseau local. Le serveur de base de données n’a donc pas besoin d’être accessible depuis l’Internet dans 99,999% des cas.

[EDIT] Retiré un “Problem solved.” final, qui laissait entendre que ce que recommandait les chercheurs était inutile. Ce qui est faux, bien sûr.

Le 11/02/2015 à 09h 37

TBirdTheYuri a écrit :

Le problème ce ne sont pas les “géants du net”, mais la fiscalité confiscatoire de la France.
Pourquoi ils se cassent le cul à payer des banquiers pour créer des holding et des montages financier complexes au Luxembourg, plutôt que de  créer une structure en France directement?
La réponse est simple : trop d’impôts.
Si la fiscalité était plus raisonnable, les entreprises resteraient en France, et paieraient leurs impôts en France.


“La fiscalité confiscatoire de la France” => source? Qui a fait ses devoirs et est allé vérifier ce lieu commun? Mal utilisée, mal fagotée, trop complexe, c’est sûr, c’est visible. Mais est-elle vraiment plus lourde que celle de la majorité des autres pays ? Pas sûr. Pas sûr du tout. Plus lourde que celle de quelques pays ultra-ultra-libéraux servis en exemple en boucle (jusqu’à la nausée) comme le Royaume Uni et les U.S.? Certes. Pour ce que ça leur réussit…

Point de vue: l’évasion fiscale c’est une application du principe de la règle du moins disant, dans une vision commerciale du monde. Une vision où les systèmes fiscaux sont vus par les entreprises comme des offres de services de la part des legislateurs.

Sauf que voilà, dans offre de services, il y a services. Tu ne payes pas, tu n’es pas servi. Pas d’impôts? Plus de service non plus. Plus d’accords commerciaux transfrontaliers, donc plus de droit de commercer depuis l’étranger (adieu le Web marchand!). Plus de protection de tes brevets. Plus de protection de ta propriété intellectuelle. Plus d’accès aux données publiques, territoriales, aux registres de commerce, etc. Plus d’accès aux établissements de recherche publiques. Tu te démmerdes avec tes déchets (tout en restant condamnable si tu ne respectes pas les règlementations ne la matière), etc. Je pourrais continuer longtemps.

Je ne dis pas qu’on n’a pas de problèmes avec la fiscalité des entreprises en France. Mais quand je vois poindre le genre de discours simpliste que nous sort TBirdTheYuri, des fois, ça m’énerve…