Le 18/06/2020 à 08h 13

Ce choix est uniquement basé sur le fait que le numéro de version peut correspondre à une année et prêter à moquerie parce qu’elle correspond à quelques années antérieures ?



C’est fou de déployer tant d’efforts (j’imagine que ça peut impacter pas mal d’outils et scripts chez eux) pour ça. Surtout que pour les versions qui sortiront à partir de 2021, ils n’auraient plus eu ce souci-là.

Le 17/06/2020 à 12h 31

Non, tu ne vois que le “contenu” de l’enveloppe (headers + message) et non les commandes SMTP qui ont été exécutées et qui constituent l’enveloppe de l’email (en l’occurence MAIL FROM et RCPT TO qui peuvent diverger des headers correspondants).

Le 17/06/2020 à 09h 21

" />

Le 17/06/2020 à 09h 12

tpeg5stan a écrit :



Il n’y a pas de « vrai mot » pour les décrire en français, juste des périphrases ?







Dayglow et nightglow ne sont pas plus de vrais mots, ils veulent littéralement dire lueur diurne / nocture. Aucun nouveau mot n’a été créé pour ce phénomène.

Le 15/06/2020 à 15h 07

AltreX a écrit :



(ce qui a mené à l’anecdote du rayon couche à côté du rayon bière)





Elle n’est pas dû à l’étude des flux de circulation des clients " />

Le 15/06/2020 à 08h 54

  Bertrand Gié a écrit :



LE CONSEIL D’ÉTAT VALIDE LES COOCKIE WALL





C’est bien Bertrand, tout tourne autour des cookies et le seul mot que tu foires, c’est celui-là.

 Bravo mon grand, et deux fois dans ton tweet ! ^^’

Le 15/06/2020 à 12h 26

tazvld a écrit :



L’unicode est aussi un système reliant une valeur numérique à un glyphe. Du coup, pourquoi ne pas combiner les 2, que la valeur numérique de l’erreur revoie à un glyphe unicode (j’attends la police d’écriture avec des “Ho Shit” “Holy fuck!” “WTF is this fucking shit!” en glyphe pour les codes d’erreurs).





Parce que ça n’ajoute aucune information en plus du code d’erreur ?



Ca reste une blague.



Vous savez que pour afficher une message plus clair à l’utilisateur final, on utilise déjà depuis longtemps le corps de la réponse pour pouvoir expliquer ça dans une belle page html/css ?

Le 15/06/2020 à 09h 05

Stéphane Bortzmeyer a écrit :



 

Si vous voyez le signe mâle séparé, cela veut dire que le moteur de rendu utilisé ne gère pas la combinaison des caractères. (Qui est quelque chose de relativement récent dans Unicode, et qui sert entre autres à éviter la duplication des émojis : pas besoin de deux émojis « médecin mâle » et « médecin femelle », il suffit d’un émoji médecin abstrait, et des combinaisons.)





Je ne crois pas qu’il ait voulu parler de ça. Ca doit juste être lié à la manière dont il a copié/collé le texte.



 Je crois qu’il sort le popcorn en attendant une réaction disproportionnée de quelques acharnés qui pensent qu’ils faut voir une attaque envers les femmes ou la communauté LGBTQ dans tout.

Le 14/05/2020 à 12h 55

Depuis quand on ne peut écrire des biographies que de gens biens sous tous rapports ?

Le 08/05/2020 à 10h 43

stratic a écrit :



La résolution de ce genre de problèmes, ça touche souvent le le cœur de mon métier. Par exemple, si tu défragmente des disques sous avec le défragmenteur Windows, tu fais tourner la base code que j’ai créé il y a maintenant 32 ans. Pour VMS de Digital à l’époque, et c’est encore la même base de code aujourd’hui. Si tu est développeur Java, ou si tu travaille avec BD Oracle par exemple, la aussi tu fais probablement tourner pas mal de choses dont certains algos repose sur une conception faite par un touriste. Et surtout, attention si tu prend le train, la plateforme qui permettant plannification des trains, leur constitution et l’affectation des conducteurs avait été conçue par le même touriste.





Ha oui, tous des problèmes très proches du cas qui nous concerne ici… " />



Les chevilles, ça va , sinon ? ^^

Le 07/05/2020 à 17h 08

Faith a écrit :



La triangulation multiplie les incertitudes.

Certains algo pourraient se contenter de conserver la pire.





A partir du moment où tu veux une position à partir d’une distance par rapport à un point connu, il te manque une inconnue. Il est nécessaire de recouper des mesures.



Comment pourrais-tu avoir un algo qui te retourne une position tout en ne se basant que sur une seule mesure de distance  par rapport à un point connu (puisque tu parles de ne conserver qu’une seule mesure) ?

 

Le 07/05/2020 à 16h 35

Faith a écrit :



En triangulant des distances dont l’incertitude est de 2 mètres, on obtient une localisation qui est l’intersection de 3 bandes de 4m de large.

Ca donne une forme approximativement hexagonale de 4m de “diamètre”, environ 10.4m²

Si la précision est deux fois moins bonne, ça nous fait une zone de 41.6m², soit 4x moins bonne.





Ce n’est donc bien pas propre à la triangulation. Tu peux utiliser d’autres algorithmes, tu auras toujours besoin de recouper plusieurs mesures dont les incertitudes vont se multiplier. La triangulation ne devient pas imprécise à cause de ça.



Après, on est d’accord, ici il ne s’agit pas d’une triangulation (il s’agirait de triangulation si on nous donnait la position d’une même personne par rapport à différent points) mais d’un problème bien plus complexe à résoudre et je te rejoins sur le fait que c’est très vite inexploitable en pratique.



On nous donne juste le nombre de personnes infectées dans un périmètre

donné, le problème est ici d’isoler une seule personne par périmètre de

manière à pouvoir faire de la triangulation justement. Tout en sachant que si on trouve deux zones proches avec 1 personne, rien n’indique qu’il s’agit d’une seule personne et non de deux personnes situées à des extrémités des deux zones.



A partir du moment où la triangulation est possible, alors on a la position de la personne (à l’incertitude des mesures en effet, mais c’est pas ça qui fait que cette méthode est irréalisable en pratique, c’est le fait d’isoler une personne unique).

 

Le 07/05/2020 à 11h 34

Faith a écrit :



Trianguler c’est multiplier les incertitudes (et encore, je crois que la croissance de l’incertitude est exponentielle).

 





Tu peux  expliciter ? Parce que, autant je suis d’accord que la technique utilisée dans cette faille n’est pas à proprement parler de la triangulation, autant ta définition de la triangulation est mensongère également.

Le 29/04/2020 à 14h 08

Ce sont les centres de distributions Amazon en France qui sont suspendus, mais Amazon continue de tourner, même en France hein ;)

Le 21/04/2020 à 15h 17

Nozalys a écrit :



C’est marrant de voir qu’un acteur qui ne fournit aucun service critique en terme de risques sur la sécurité des informations implémente plus rapidement un “nouveau” (ça fait quand même 2 ans…) protocole de sécurité, bien avant d’autres services critiques.



J’ai testé les sites de mes 3 banques, le site des impôts, ameli.fr, ma mutuelle de santé, et ma mutuelle d’assurances, ils sont tous en TLS 1.2.



Y a peut-être pas les mêmes techs derrière " />



 



MisterDams a écrit :



Pour le bancaire, c’est un système hyper compliqué où tout est interconnecté avec des infrastructures hétérogènes, on imagine que s’il suffisait de faire apt-get upgrade ce serait en place depuis longtemps.





Déjà juste la connexion vers leur site-web ce serait bien non ?

 

Sincèrement, je pense pas que ce soit la complexité de leur infra qui retarde la mise-à-jour, mais la complexité de leur gestion d’équipe et de projets…

Le 21/04/2020 à 15h 03

C’est ce que j’ai fait ne t’inquiète pas.



Le document soulève de vrais problèmes d’abus possibles.



Mais en l’occurence, l’abus numéro 5 du pdf (Comment  savoir  si  une  personne  pr ecise  est  malade ?L’espionnage `a la port ee de tous) n’est pas correct, c’est tout (cf ce que j’ai dit, il faut tout lire l’ami ;) )

Le 21/04/2020 à 14h 52

La conclusion de l’exemple présenté sur le site n’est pas tout à fait correcte. Dans leur document, c’est l’exemple présenté pour montrer comment déterminer qui est malade. Or ce n’est pas le cas ici, cela détermine qui a un risque d’être malade.



Etant donné les circonstances, tous les participants ayant installé l’application vont flasher “à risque”. L’exemple est erroné. Ca permet juste de dire “qui n’a pas installé l’application ?”



Il y a des raisons de se soucier des abus que cela induira. C’est triste d’exagérer ses propos pour mieux faire passer la pilule… surtout par des scientifiques. " />

Le 21/04/2020 à 10h 46

vizir67 a écrit :



La réelle utilité de cette ‘App.’ sera pour plus tard, lorsqu’on aura repris un train de vie normale

et où l’obsession de rester à distance s’estompera (penser aux événements sportifs, à tous les

rassemblements culturels qui vont bien finir par reprendre). Il faudra bien devoir réagir

et isoler des personnes (tout en respectant leur volontés) beaucoup plus rapidement que ce qui a été fait

dans ce dernier cas.



" />



Oui, mais encore ?

 

J’ai du mal à décoder la signification de ce smileys pour être honnête ^^

Le 20/04/2020 à 11h 51

Cumbalero a écrit :



C’est tout simplement grotesque. S’il faut attendre que l’épidémie ait cessé d’elle-même, l’appli ne sert à rien. Si elle était prête le 11 mai (de cette année!) pour servir d’outil d’aide au dé-confinement, elle biperait pour tout le monde plusieurs fois par jour et ne servirait à rien.





 Ce n’est pas grotesque. Clairement pour éviter la pandémie actuelle, ben c’est un peu tard.



Cette app pourrait servir à prévenir d’une future épidémie de ce genre en isolant plus rapidement les personnes à risque.

 

En quoi son utilité serait nulle tout d’un coup ? Tu penses sérieusement qu’on est à l’abri d’une future épidémie ?



Pour le déconfinement, elle pourrait déjà servir si elle est prête. Elle ne bipera pas constamment cependant, il y a de fortes chances que tu n’ais pas croisé quelqu’un d’infecté si tu appliques les gestes barrières. Le déconfinement ne veut pas dire qu’on va tous aller se rouler des pelles dans la rue hein.



La réelle utilité de cette app sera pour plus tard, lorsqu’on aura repris un train de vie normale et où l’obsession de rester à distance s’estompera un peu, voire totalement (penser aux événements sportifs, à tous les rassemblements culturels qui vont bien finir par reprendre). Il faudrat bien pouvoir réagir et isoler des personnes (tout en respectant leur volonté) beaucoup plus rapidement que ce qui a été fait dans ce cas-ci.

Le 20/04/2020 à 11h 02

Faith a écrit :



Mets en balance ces deux risques:

• risque éventuel sur la vie privée, sous réserve de ne pas désinstaller une application
  


• risque certain sur la santé de centaines de milliers de français, dont de nombreux morts.
  
  Tu trouves qu’ils sont du même ordre ?
  
  
  
  
  
  Ils ne sont pas du même ordre mais aucun n’est d’ordre nul.
  
  
  
  Je ne vois pas pourquoi il faudrait taire des inquiétudes sur le souci de vie privée au nom d’une supposée (personnellement je crois que cela pourrait être efficace, mais cela reste en grosse partie une supposition) efficacité pour endiguer une épidémie, sachant que dans ce cas-ci les deux ne sont pas totalement mutuellement exclusif.
  
  
  
  Tout ici est discussion sur l’implémentation d’une future application pour établir un historique de contacts entre personne. C’est bien à ce moment-ci qu’il faut se poser ces questions de respect de la vie privée, pas après où le coût serait prohibitif pour changer le système mis en place.
  
  
  
  A partir du moment où on a une application respectueuse de ces utilisateurs, tu ne penses pas que cela pourrait pousser les gens à l’installer plus facilement, et du coup pour cette app à en améliorer les performances ?

Le 20/04/2020 à 09h 28

Faith a écrit :



Désolé, mais quand une personne a un “avis” qui tue des gens. Et qu’ils gardent volontairement cet avis après qu’on leur a expliqué que ça tue des gens, alors oui, il n’y a plus qu’une solution: ce sont des enf*és d’égoïstes.



Note bien que ceci est mon “avis”, mais que celui là au moins ne tue personne…





Pas sûr que ça ne puisse tuer personne… Je connais pas mal d’histoire de personnes harcelée voire tuée par le simple fait d’être mal vues par d’autres personnes. Mais soit.



Tu sembles tout autant te fermer face aux arguments de personnes ayant plus d’inquiétudes que toi. Je ne pense pas qu’ils aient dit à un moment qu’ils s’en foutaient royalement de la santé d’autres personnes et de prévenir une possible future pandémie.



Ils expriment juste leurs inquiétudes face à l’usage que puisse être fait par ces applications par le gouvernement ou d’autres personnes, et qui pourraient entraver à leur vie privée. L’argument de “ça sauve des vies” ne répond pas du tout à leurs inquiétudes et ne participe pas à savoir si cette application est respectueuse de la vie privée.



Il y a pourtant de quoi montrer que ces apps pourraient l’être. On attend de voir l’implémentation effective en fait.



Mais pour le coup, tu tapes à côté. Et le fait des les traiter d’enflures montre plutôt bien que c’est toi qui fout vite les gens dans des cases avec une belle étiquette “incompétent dont je me fous de comprendre le propos”

Le 19/04/2020 à 17h 13

Oui on peut se poser cette question.



Mais clairement la remarque ici ne fait que mettre en avant une ligne de l’article de framasoft qui dit que toute application gouvernementale serait mauvaise et servirait à espionner la population. La question ne se poserait même pas, c’est catégorique de manière définitive, c’est peut-être pas forcément la vérité, si ?



On peut peut-être espérer voir le code source de leur app publié sur github, que ce soit auditable.

Et si ça tient la route, qu’on puisse générer l’apk nous-même et la proposer à son entourage pour éviter toute modification qui ne serait pas publiée (pour iOS ce sera plus complexe, mais on verra vite si leur serveurs restent compatibles avec les apps “opensource”).

Le 19/04/2020 à 16h 13

Haha et tu as remarqué la solution proposée par Framasoft est exactement ce que propose les solutions envisagées par stopcovid ?



Mais oui, il y a le mal partout, c’est connu.

Le 19/04/2020 à 14h 37

Je pense que c’est ce qu’il faut comprendre. Il ne dit pas que la seule chose qui empêcherait une personne d’utiliser cette appli est de ne pas avoir de smartphone.



C’est un exemple qui montre que c’est difficile de faire adopter cette application à toute personne volontaire pour l’utiliser. Bien sûr que le conseil du numérique va mettre en avant le fait que tous les smartphones ne seront pas compatibles également (même sur Android et iOS).



Ca permettrait peut-être de voir ce qui pourrait être mis en oeuvre pour combler ces trous. Pour l’absence de smartphone, je ne sais pas comment ils vont faire.



Mais par exemple pour Firefox OS, si la part de marché est suffisante, pourquoi ne pas pousser Mozilla à intégrer l’API Web Bluetooth déjà supportée par Chrome, Edge et Opera ?

Et partir aussi sur une app web qui pourraient alors tourner sur plus d’appareils (Sailfish OS, Windows Phone, …) ayant un contrôleur bluetooth assez récent.



J’irais même plus loin. Pourquoi ne pas développer un petit device à accrocher à son porte-clé qui ne servirait qu’à ça ?

Google et Apple sont derrière des projets similaires, ils n’ont pas de problèmes à fabriquer ce genre de device.

Le 21/04/2020 à 10h 59

Ne pourrait-elle pas servir pour aider à prévenir d’une future  épidémie  qui ne serait pas forcément une autre du covid-19 ?



Même pour le cas du covid-19, ça permettrait d’établir un peu plus la liste des gens ayant été en contacts avec une personne infectée plus que “je crois que j’ai mangé avec untel tel jour, .. ho non attendez c’était pas lui”. La liste des contacts d’une personne infectée, on tente de l’identifier même sans app, c’est primordiale pour essayer d’endiguer la propagation. Il est là le souci. On ne parle pas de résoudre l’épidémie actuelle mais avoir plus d’outil pour éviter une possible reprise.



Personne n’a dit que c’était une solution absolue qui pousserait à ne pas faire toutes les autres procédures déjà possibles. C’est juste un outil en plus.



Si c’est le problème de confidentialité qui vous dérange, c’est bien normal, mais argumentez en parlant de confidentialité, pas d’efficacité…



Et pour parler d’efficacité, je pense qu’on est tous un peu mal placés pour savoir si telle ou telle méthode serait inutile. Les spécialistes en infection ne savent déjà pas se mettre d’accord sur l’efficacité des masques, et d’autres procédures, alors quelqu’un dont je ne sais rien qui poste un commentaire sur NXi… permet moi de douter de ton expertise sur le sujet.



Tu présupposes juste que cette application serait inefficace, mais absolument rien ne l’indique.



Y a une chose qu’on peut vérifier, c’est qu’elle soit respectueuse de la vie privée, et là on pourra le vérifier.



Tu aimerais peut-être que les ressources utilisées pour développer ça soit utilisées pour quelque chose de plus efficace ? Sans reparler du fait que tu ne sais pas quel sera le niveau d’efficacité de cette app, tu crois que  les devs qui vont bosser dessus, ils bosseraient sur quoi d’autres à la place ? Tu veux quoi, un système de visio conférence développé par le gouvernement ? En quoi ces ressources seraient-elles d’une manière totalement objective mieux dépensées ?

Le 20/04/2020 à 10h 05

white_tentacle a écrit :



Non, ils sont mis « à risque ». Et il n’y a pas de lien entre les différentes personnes « à risque » (sinon, rapidement, tout serait saturé).





Oui, on est d’accord. Je parlais du seul flag en DB associé aux identifiants. Le terme “à risque” est plus approprié en effet.

Le 20/04/2020 à 09h 33

white_tentacle a écrit :



À la fin, je sais surtout qui est malade. Qui est précisément l’information que le système de pseudonymisation cherche à éviter que j’apprenne.





Absolument pas, tu sais qui est potentiellement malade, tu ne sais pas du tout qui a été testé positif. (Et ça se limite au fait qu’il ait été possiblement infecté dans un délai proche du moment où il te croise, ça limite la probabilité)

Toute personnes ayant été en contact avec une personne positive est mise en état “positif” dans la DB en ne stockant pas de quel individu ça provient.



A ce moment-là, comme il s’agit d’identifiants à durée de vie limitée, tu seras aussi mis en positif par le système puisque tu es entré en contact avec cet identifiant que tu connais. Tu serais donc malade aussi à tous les coups ?



Si tu répond non à cette dernière question, tu ne sais pas répondre oui pour l’autre personne.

Le 20/04/2020 à 08h 00

white_tentacle a écrit :



Je n’ai pas encore regardé le protocole dans le détail, mais de ce que j’en ai regardé, les attaques par « side-channel » n’ont pas été évaluées (par exemple, je rencontre X, et j’en profite pour lire le NFC de son pass navigo / carte bleue pour l’identifier).





Tout est question de compromis entre utilisabilité et sécurité.

 

Des attaques par “side-channel”, il y en aura toujours. Pour le TLS, je peux aussi inventer un prétexte pour devoir chipoter à l’ordinateur d’une connaissance pour y configurer un proxy et installer mon certificat de CA dans son trust store et mettre en place un MITM bien comme il faut. En entreprise, si t’es un IT guy, le prétexte n’est vraiment pas difficile à trouver…



Je ne dis pas que ce genre d’attaque ne doit pas être envisagé, mais en l’occurence ici ces exemples vont servir à quoi exactement. A pouvoir dire que telle personne était à un endroit que tu connaissais déjà ?

Sachant que les identifiants changent régulièrement, tu ne pourras pas retrouver un trajet plus conséquent.

 

Donc, pourquoi ne pas juste scanner les pass navigo et l’associer à la position gps actuelle ?

 Ton attaque n’apporte rien de plus comme information.

Le 19/04/2020 à 17h 04

eureux a écrit :



Tu es allé voir le fonctionnement du protocole sur le Github? 



Avec le protocole Robert, les pseudo sont générés par le serveur et reçu lors de l’inscription du service. C’est une farce





Aux temps pour moi, j’avais lu qu’on recevait un algorithme de génération d’identifiants. En effet ici, c’est limite…



Est-ce que une application utilisant le protocole d’Apple/Google sera utilisable en Europe ?

Le 19/04/2020 à 16h 28

eureux a écrit :



Entre les ID générés par l’authorité centrale





Les id sont générées par le smartphone…

Le 19/04/2020 à 14h 15

Un des buts aussi ce de prévenir une future pandémie hein. C’est loin d’être la première.



Si on arrive à isoler rapidement les personnes ayant été en contact avec un patient admis à l’hôpital ayant été infecté par un nouveau virus de ce type. On pourrait limiter la casse, et si pas éviter la pandémie alors probablement pouvoir avoir des périodes de confinements beaucoup plus réduites avec moins d’impacts économiques et sociaux.

Le 18/04/2020 à 20h 28

Nicky5 a écrit :



Je suis surtout très curieux de voir comment les générer de manière parfaitement unique entre 2 smartphones





 Pour être totalement décentralisé, il n’y aura pas d’assurance à 100% qu’un identifiant soit parfaitement unique. A priori, ce seront des clés générées aléatoirement d’une longueur allant de 16 à 32 octets (d’après le protocole proposé par Google et Apple). La probabilité de doublon est faible, d’autant plus que les identifiants n’auront probablement pas une durée de vie de plus d’une quinzaine de jours, ce qui limite d’autant plus le problème.



Il faut savoir que les clés privées bitcoin sont basés sur ce principe. Tu génères une clé aléatoire de 32 octets (256 bits), tu changes de temps en temps et tu pries pour que personne ne tombe sur la même clé que toi au moment où tu l’utilises.



 





Nicky5 a écrit :



Aussi puisqu’il y aura algo fatalement, il devrait être possible de déterminer un facteur commun entre 2 ids du même smartphone.



Si c’est de la génération aléatoire, ça dépendra de la qualité de la génération du “pseudo-aléatoire” ou si le device possède une source réelle d’entropie. C’est pas forcément lié au protocole en question ici, je pense.

Le 18/04/2020 à 19h 21

Y a-t-il des informations sur la manière dont le statut d’un identifiant sera passé en covid-positif tout en évitant de possible trolls ?



Certaines personnes dans le milieu médical auront une application spéciale qui pourra (par bluetooth là aussi?) demander de récupérer la liste des identifiants stockés dans l’app d’un patient positif pour les envoyer au serveur ?



J’ai cherché un peu mais je ne trouve rien de précis là-dessus :/

Le 20/04/2020 à 17h 58

macadoum a écrit :



Dieu merci, on a évité l’indienne obèse. Debian continuera à être dirigé par un homme blanc.





" />

Le 20/04/2020 à 11h 07

Ils ont peut-être les connaissances pour nous trouver un remède ! " />

Le 20/04/2020 à 08h 36

Pareil.



Est-ce que c’est parce qu’il y a assez de participants que pour que la queue des projets soient constamment vide ? Auquel cas, c’est plutôt une bonne nouvelle :)

Le 19/04/2020 à 14h 48

skankhunt42 a écrit :



La climatisation est un bon début pour lutter contre le réchauffement.





Rassure-moi c’est une blague ?



Tu le dis bien dans le sens que la climatisation est une “solution pour survivre chez soi si le réchauffement devien intenable, tout en participant au réchauffement” ?

Sinon, tu me fais peur :P

Le 19/04/2020 à 13h 59

Salamandar a écrit :



Après, quelles autres infos le Bluetooth expose-t-il ? Du style adresse MAC, identifiant matériel ou logiciel, impossible à changer ?





Oui l’adresse MAC pourrait être un souci, mais dans les dernières spécifications du bluetooth, il y a apparemment un système similaire pour générer des adresses aléatoires à intervalles réguliers (une réponse sur SO pointe vers certaines url intéressantes:https://security.stackexchange.com/questions/200474/mac-randomization-for-blueto… ) notamment utiliser pour éviter le tracking avec des pubs utilisant le bluetooth.



Il faut que l’OS donne accès à cette fonctionnalité, mais c’est aussi une fonctionnalité hardware, donc pour les smartphone Android, il pourrait y avoir des devices non-compatibles même si récent et avec la dernière version d’Android :/



Normalement pour l’utilisation du bluetooth en mode pairage (donc plus bluetooth classique et pas ble, et où l’adresse serait constante), les différents OS se mettent automatiquement en mode non-visible par défaut (il ne répond pas aux requêtes des autres devices pour savoir qui est autour d’eux) et seules les appareils auparavant pairés se voient.

 

Je ne suis absolument pas un spécialiste en la matière, mais je trouve qu’il y a un fort souci de mettre la confidentialité en avant de ces projets (grâce au GDPR j’imagine) et apparemment le bluetooth semble une bonne technologie pour ça, mais il reste la question du calcul de distance qui n’est pas encore résolu.



 





quegorosoit a écrit :



Pucer tout ceux qui entre dans notre territoire illégalement serait une bonne idée c’est clair, même si le mieux serait tout simplement de les renvoyer sans concession.



Waw, ton extrémisme n’a pas de limite. Tu imagines même un monde où il serait possible de pucer toute personne qui entre “illégalement” dans un pays.



Haha, et tu me dis comment tu le chopes s’il est justement entré illégalement et que donc les forces de l’ordre ne l’ont jamais intercepté ? " />

Le 19/04/2020 à 09h 59

Les clés sur le smartphone vont tourner. On peut lire pour certaines propositions que le cycle pourrait être de l’ordre de 15 min. Elles pourraient même être générées à la volée pour chaque échange de clé ou la première limite de x échanges/ x minutes atteintes. Cela limiterait le tracking possible.

Le 18/04/2020 à 16h 46

kwal01 a écrit :



et vu tes commentaire, pardon mais ca fait peur!  tu veux quoi ? pucer les immigrés (et les autres), tirer à vu sur ceux qui apparaîtrons en rouge ? sur quel critère……?……?!





Regarde son historique, tu vas rigoler ;)



" />

Le 17/04/2020 à 20h 58

Déjà, il ne s’agit pas d’une application pour “tracer” les personnes. S’ils voulaient imposer une application de flicage, ils le feraient, le

nombre de lois liberticides qui sont sorties montrent bien que si

c’était leur souhait, ils n’essayeraient même pas de le maquiller.



Et faudrat arrêter de sortir des arguments d’extrêmes droites à chacun de tes commentaires, ça devient lourd.

Depuis quand le simple fait de posséder un smartphone et de bien vouloir y installer une application de flicage ferait de toi un allié ou un ennemi de la nation ?

Le 17/04/2020 à 16h 17

Il ne fait qu’argumenter contre la citation qu’on entend à tords et à travers depuis quelques temps.



Une citation ne fait pas un argument et on peut ne pas être d’accord avec elle tout en étant d’accord que les libertés sont importantes.



Mais la sécurité ne l’est-elle pas aussi ?



Il n’est pas question ici de savoir laquelle de ces deux choses est la plus importante.

Mais il n’y a certainement pas un rapport 100% / 0% en faveur des libertés individuelles ;)

Le 18/04/2020 à 16h 27

Ce que tu décris c’est justement de l’authentification, c’est ce qui permet de s’assurer de l’identité d’une personne (apportée par de l’identification) en attendant une preuve qui concorde avec son identité.



L’identification en soi n’apporte aucune sécurité.



Tu peux lire des papiers sérieux sur les méthodes d’authentification biométriques. Ils avertissent tous contre le fait que:

 - à l’heure actuelle c’est facile à copier (pour le cas de la reconnaissance de visage, une simple photo suffit, tu peux trouver tout un ensemble de vidéo à l’appui et le tester toi-même, pour les empreintes ça reste plus compliqué de reproduire les empreintes en utilisant un lecteur d’empreinte mais les progrès technologique ne s’arrêtent pas, et la copie reste très facile aujourd’hui)

 - il faut un fallback vers une vraie méthode d’authentification genre mot de passe qui s’activerait après chaque période (tu remarqueras par exemple que si tu actives l’empreinte digitale sur ton smartphone, ton code pin ou le pattern est toujours demandé de temps en temps)

 - les lecteurs d’empreintes, mêmes si très précis, sont configurés pour avoir une résolution cheap, sinon ça entraine beaucoup trop de faux négatifs et c’est inutilisable. Et tu ajoutes à cela la taille de ces capteurs et tu arrives à un système où la probabilité d’avoir une empreinte partagée par d’autres qui est loin d’être négligeable.

• c’est pas secret
  
   
  
  
  
  On l’utilise juste par commodité pour accélérer la procédure d’authentification mais il y a de grosses limites au système car il ne s’agit tout simplement pas d’une méthode d’authentification, et il faut tout un ensemble de “hacks” autour de ça pour limiter le risque d’attaques (genre le fallback basé sur la fraicheur d’une vraie méthode de sécurisation).
  
  
  
  Je réagissais juste à un commentaire qui proposait cela comme une solution miracle pour avoir un système sécurisé. Désolé mais non c’est pas sécurisé.
  
  
  
  Et j’ai juste dit qu’avec les smartphones et leur écran, on peut facilement entrer un mot de passe qui activerait un paiement en NFC endéans les prochaines secondes.
  
  
  
  Pas la peine de venir me rétorquer que je ne fais que sortir les vieilles paroles d’un prof en sécurité.
  
  Je n’ai toujours pas vu d’argument de ta part en quoi une empreinte digitale venait renforcer la sécurité par rapport à un mot de passe ou un code pin (avec blocage à 3 essais).

Le 18/04/2020 à 14h 43

Faith a écrit :



Non…





Il s’agit pourtant de ton droit ;)









Faith a écrit :



En fait, c’est plutôt toi ne ne saisis pas que la sécurisation repose sur les deux.

Identifier plus surement l’utilisateur d’une carte participe à la sécurisation de son usage.





Lorsqu’on parle de sécurisé l’accès à un service (comme le paiement dans ce cas-ci), il s’agit d’une authentification. Il faut utiliser un secret. Pour le cas des paiements, ou pour d’autres communications avec des smartcards, on utilise des signatures avec des clés privées contenues dans ces cartes et accessibles via code pin. Aucune de ces informations n’est lisible sur la carte, car devant resté secret.



Les cartes d’identités électroniques contenant des empreintes digitales permettent de récupérer ces empreintes, il ne s’agit pas d’un secret et dans les pays avec carte d’identité électronique, il existe beaucoup de commerces et autres entreprises qui lisent ces cartes d’identité de leur clients ou consommateurs. Qu’arrivera-t-il s’ils proposent une connexion via empreinte digitale et que leur DB se fait voler ?

 

Et une fois en possession de ces empreintes, en quoi c’est difficile de les mettre en pratique. Pour les apps Android, il suffit de décompiler une app de banque qui demande une empreinte et de modifier l’apk pour plutôt que d’appeler les fonctions lié au lecteur d’empreinte, tu lui refiles des datas prédéfinies.

Pareil pour de plausible carte nfc avec lecteur d’empreinte, un bon bidouilleur en électronique pourrait extraire le lecteur et pousser les data qu’il souhaite.



Ca donnera juste une légère sécurité en plus à court terme, et surout juste un faux sentiment de sécurité à long terme.

 

Va lire sur le sujet, tu as de grosses lacunes " />

Le 18/04/2020 à 12h 20

Tu ne sembles pas saisir la différence entre identification et authentification.



Le but ici est de s’assurer que la personne devant soi est bien celle identifiée.



Pour l’identification, on pourrait se servir des empreintes digitales, mais il y a déjà plus pratique pour nous ici, c’est le numéro de carte ou de compte. Aucun besoin de plus d’identification.



Pour de l’authentification, il faut avoir la confirmation qu’un secret uniquement connu de la personne identifiée soit présenté (ou prouvé mathématiquement que la personne la possède sans la présenter clairement). Et l’empreinte digitale n’est pas un secret, c’est une constante liée à la personne.



Si la police te perquisitionne ton smartphone, tu trouves ça normal de refuser de donner ton code pin, non ?



 Qu’en est-il de tes empreintes digitales ? Ben tu les donnes parce qu’il s’agit juste d’un moyen d’identification et non un moyen d’usurpation d’identité.



Alors, oui on a pas forcément des outils adaptés pour simuler une empreinte digitale sur un lecteur d’empreinte mais je ne vois pas en quoi c’est impossible, ou par le biais de hack pour pousser les données dans un TPE comme s’ils provenaient du lecteur d’empreinte. En terme de sécurité, on vise pas juste à te protéger contre le premier pélot du coin qui chourre ta carte…



Là je réagis juste à un commentaire sur une hypothétique évolution des cartes de paiement avec lecteur d’empreinte pour de la sécurité. Dans un futur où ce sera en place, le bénéfice pour développer un système pour faire croire à la carte une empreinte donnée sont en faveurs des pirates à ce moment-là.



Ca te parait théorique, mais la sécurité l’est et les failles arrivent quand on se dit “mais putain, faut que je sorte mon cours de ma tête pour pouvoir délivrer la semaine prochaine sinon on y arrivera pas”.



Comment ? Ca existe déjà ? Zoom, vous dites ? Ha oui, bon exemple !

Le 17/04/2020 à 21h 09

mum1989 a écrit :



il faudrait cependant améliorer le système de sans contact, pk pas un lecteur d’empreinte sur la carte pour l’activer.





Les empreintes digitales ne sont pas un moyen d’authentification mais d’identification. Cela n’apporte pas de sécurité. Un code connu uniquement du propriétaire de la carte est plus safe.



Avec l’utilisation de plus en plus fréquente des smartphones, on se dirige plutôt vers du paiement sans contact avec le smartphone et on entre un password sur l’écran de ce dernier.

Le 17/04/2020 à 16h 04

Je rejoins pas mal de commentaire concernant le souci de sécurité des paiements sans contacts, mais libre à vous de définir un plafond très bas poru éviter de vous faire chourrer votre argent.



Ca n’enlève pas les avantages du sans-contact pour autant (sauf pour l’argument sanitaire d’éviter de toucher le clavier numérique) parce qu’il faut savoir que le lecteur à puce est le premier élément à s’encrasser/casser dans un TPE. Pareil pour l’usure du contact de la carte. Dans certains environnement comme les boulangerie, c’est l’enfer !



Alors oui ça n’est pas un argument en faveur des consommateurs finaux, eux s’en carre l’oignon de savoir que le matériel du commerce pourra tenir plus longtemps, mais ça reste un des avantages qu’aurait un TPE “full sans contact” dans un futur où toute carte de banque sera NFC.

Le 14/04/2020 à 13h 40

Ca a été corrigé alors. J’ai bien le même comportement avec le glider qui part vers la droite.

Le 11/04/2020 à 13h 39

ndjpoye a écrit :



C’est pas cohérent, les variables sont parfois en anglais, parfois en français.



Sinon, c’est pas un scandale, juste que je pense pas qu’il faille essayer de trouver une raison compliqué. Ils se sont pas pris la tête  à réfléchir dans quelle langue travailler (ou, ils se sont pas mis d’accord). Je trouve ça dommage, pas plus.





Je pense plutôt que le problème provient du fait qu’au gouvernement ils essaient d’imposer le français autant que possible dans le code. Mais le fait d’avoir forké un code écrit en anglais, et l’habitude des devs qui vont plutôt avoir tendance à écrire leurs variables et commentaires en anglais (vu que tous les mots-clé du language sont en anglais et que la langue technique en programmation, ben c’est l’anglais), ça finit par donner ça …

Le 11/04/2020 à 13h 31

Vous avez vu la tête du changelog ? Même en français, à quoi servirait-il pour les utilisateurs ?

S’il y a un changement important à communiquer, cela se fera en français dans la page de la web app, et pas dans le repo.



Je ne dis pas qu’ils ne pourraient pas indiquer un changelog simplifié en français pour les utilisateurs finaux qui pourrait s’afficher en cliquant sur un lien “plus d’infos” sur la petite popup indiquant qu’il y a une mise à jour à faire.

Juste que la langue dans laquelle est écrite le changelog sur le repo, en vrai, c’est bien que ce soit en anglais car c’est plutôt à destination de personnes techniques. D’ailleurs leur readme devrait aussi être en anglais.



 Mais en vrai, on s’en fout un peu.