Le 19/05/2014 à 14h 35

Deux autres citations du rapport (dans l’avant-propos).

Plutôt bien dit :
Dans tous les cas, il faut combattre farouchement l’argument sans cesse ressassé du « rien à se reprocher, rien à cacher ». Ce raisonnement simpliste est précisément celui qui était utilisé par les régimes totalitaires pour justifier la surveillance généralisée. Il associe le droit à l’intimité à la culpabilité plutôt que de l’associer à une liberté fondamentale non négociable. Il affirme que la vie privée est ce que l’on cache alors que la vie privée est l’expression de la volonté légitime d’autonomie de chacun d’entre nous.

Moins rassurante :
Il ne s’agit pas de remettre en cause leur modèle économique dont les données personnelles constituent la principale richesse, mais de les contraindre à une utilisation de ces données moins opaque.

Le 19/05/2014 à 09h 31

Ce qui fait peur, c’est plus pour Firefox 42, quand il y aura des mises à jour silencieuses du blob propriétaire de DRM fourni par Adobe.

Le 15/05/2014 à 09h 00

C’est affligeant. Quelle trahison et quelle insulte pour ses contributeurs !


un refus obstiné aurait probablement conduit à une chute des parts de marché du navigateur.


Les parts de marché sont plus importantes que la mission que Mozilla s’est donnée…

Le 01/05/2014 à 22h 23

f-heure-7 a écrit :

Pidgin stocke aussi ses mots de passe en clair et a un document très complet pour l’expliquer.



Ah merci pour le lien !

À chaque fois que quelqu’un me dit qu’une appli n’est pas sécurisée parce qu’elle stocke les fichiers localement en clair plutôt que chiffrées, je passe du temps à expliquer que non, chiffrer sans demander un secret à l’utilisateur à chaque utilisation, ça ne change rien. Ce lien m’aidera… " />

Le 01/05/2014 à 22h 13

Wawet76 a écrit :

…

On peut reprocher la même chose à n’importe quel client lourd pour le mail.

L’argument “si quelqu’un a accès à la machine il peut récupérer les infos”, franchement… Si quelqu’un a accès à la machine, il peut installer un keylogger aussi !


+1

Ça, me choque beaucoup plus:
skype backdoor confirmation
Think your Skype messages get end-to-end encryption? Think again

Au passage, une petite conf de John Sullivan’s (FSF) :
What do you mean you can’t Skype?!

PS: NextInpact, envisagez-vous de passer à Markdown pour les commentaires (comme linuxfr par exemple)? La syntaxe est moins lourde et ça éviterait tous ces bugs de liens avec les crochets (par exemple, mettre des crochets dans le nom du lien (qui est entre crochets pour la balise), ça ne marche pas.

Le 23/04/2014 à 16h 19

A33 a écrit :

J’ai du mal à croire que le spyware Chrome soit tant prisé.
Ou est-ce seulement dû aux installeurs qui phagocytent le système avec ce logiciel tiers?



Quand tu vois le nombre de personnes, y compris sensibles au logiciel libre, qui utilisent les GoogleApps (PlayStore, Hangouts…) sur leur ordinateur de poche (et qui donc donne les droits système à Google, techniquement et légalement, sur leur propre machine)…

Le 22/04/2014 à 09h 38

eXa a écrit :

strcpy cherche le \n qui n’est pas toujours présent


Tu confonds ‘\n’ avec ‘\0’ je pense.



eXa a écrit :

strncpy ne lis pas plus que ce qu’on lui dit


Mais si tu lui dit de chercher jusqu’au prochain ‘\0’, ça ne change rien ;-)



eXa a écrit :

Ca évite les buffer overflows et donc les failles.


Si le 3e paramètre n’est pas le strlen() du deuxième, oui :-)

Le 22/04/2014 à 09h 30

240-185 a écrit :

Un mec passe en revue le code d’OpenSSL et y trouve des choses bien peu râgoutantes : http://opensslrampage.org

Par exemple, ici :


strncpy(d, s, strlen(s)) is a special kind of stupid.



Pourquoi n’avoir pas utilisé strcpy(d, s); ?

Pasqu’on m’a dit que strncpy c’était plus secure, ‘sieur !

Le 15/04/2014 à 08h 23

En tout cas, leur transparence est à remarquer. Ça change des “y’a eu un problème, mais vous inquiétez pas tout est sécurisé y’a plus de problème, juste temporairement éventuellement quelqu’un aurait pu par inadvertance accéder malencontreusement à quelques données qui pourraient éventuellement être personnelles, mais c’est corrigé promis juré, et on ne vous donne aucune information plus précise, car nous pensons que ce n’est pas ce qui intéresse nos clients”.

Le 08/04/2014 à 17h 02

GentooUser a écrit :

comparé l’intégrité des système par rapport aux archives



Tu utilises quoi ?

Sur Debian, il y a debsums -c, mais si debsums a été modifié ?

Le 08/04/2014 à 16h 58

Oungawak a écrit :

Le petit cœur de la NSA doit saigner en ce moment, son bébé est mouru. " />


On dirait que les révélations de Snowden ont motivé certains audits de code récemment… C’est une très bonne chose (même si la NSA a très probablement encore de l’avance sur les vulnérabilités SSL).

Le 08/04/2014 à 16h 45

@Bylon, oui, ou : python ssltest.py mail.yahoo.com

où tu trouves quasiment à chaque exécution au moins un login avec un password d’un utilisateur yahoo…

Le 08/04/2014 à 16h 37

TaigaIV a écrit :

Si j’ai bien suivi c’est pour tout ce qui utilise la version bugguée d’OpenSSL. Un client allant sur un serveur malicieux pourra éventuellement fournir des données privées, c’est bien plus limité mais ce n’est pas tout à fait inexistant.


Effectivement, je n’avais pas pensé à ça.

Sinon je trouve hallucinant qu’un site comme [url=]yahoo.com[/url] soit toujours vulnérable…

Le 08/04/2014 à 15h 54

Zergy a écrit :

MàJ faite à 8h30-8h40 chez moi, il y a peut-être eux une seconde mise à jour dans la nuit.
Ah, oui, il faut redémarrer les services utilisant SSL (Apache, SSH, ect…)


Oui, il me semble que je l’avais fait… Mais pas sûr à 100%.
En tout cas sur la mise à jour d’aujourd’hui, une dialog demande de redémarrer les services.

Le 08/04/2014 à 15h 50

lol.2.dol a écrit :

Enfin, de ce que j’ai lu les navigateurs Firefox, Chrome n’ont pas l’air d’être touché.


C’est un problème côté serveur (un client mal intentionné pourrait récupérer des données), pas côté client.

Le 08/04/2014 à 15h 37

Zergy a écrit :

Debian propose la mise à jour depuis hier. " />
A jour pour moi depuis ce matin. :)


Moi j’ai fait une mise à jour d’openssl hier soir tard (après minuit) sur Debian Wheezy, et aujourd’hui quand j’ai fait le test, j’étais encore vulnérable. Je pense qu’il y a eu une nouvelle mise à jour dans la journée, qui cette fois corrige le problème… Ou alors j’ai raté qqch.

Le 08/04/2014 à 15h 33

lol.2.dol a écrit :

Malheureusement, il y a eu certes un vent de panique sur le Net et pour autant, je n’ai pas encore vu une seule personne prouvant qu’il avait réussi à récupérer des informations sur un site impacté.
De ce que j’ai lu, pour pouvoir utiliser cet exploit, il faudrait qu’un hacker mettent en place un honeypot en SSL et que des utilisateurs se connectent sur ce honeypot. Les utilisateurs qui naviguent grâce à Firefox ou Chrome ne seraient pas impactés car Firefox désactive le HeartBeat en question & Chrome n’utilise pas OpenSSL (sauf pour sa version Android).
Enfin, certes le hacker pourrait récupérer jusqu’à 64Ko de données par “session”, mais on ne sait pas quelles sont ces données : est-ce que c’est 64Ko aléatoire? toujours les mêmes?

C’est très bien qu’il y ai eu une diffusion de l’information importante, mais pour autant, je trouve que le site HeartBleed.com n’est pas très avare sur “Quels sont les vrais risques?”.

(Ah et aussi les mecs de chez CloudFlare ont dit qu’ils n’allaient changer les certificats que si ils arrivent à récupérer ces informations en utilisant l’exploit)…



http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html


Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.

Le 08/04/2014 à 15h 31

À jour aussi, et nouvelles clés générées :
openssl req -x509 -newkey rsa:2048 -keyout /etc/ssl/private/\(keyfile -out /etc/ssl/certs/\)certfile -nodes -days 3650

Le 03/04/2014 à 16h 32

Dans un souci de cohérence, peuvent-ils bloquer TF1 sur tous les autres supports ?

Le 25/03/2014 à 16h 51

Et bien sûr le talk WAT " />

Le 21/03/2014 à 19h 26

Crysalide a écrit :

C’est faux, PCI répète depuis 2 news la même chose sans être renseigné, cf mon commentaire précédenthttp://www.pcinpact.com/news/86612-la-beta-firefox-29-integre-bien-sync-et-nouve…

Il y a une API serveur pour Sync 1.5.


Merci pour l’info " />

Le 21/03/2014 à 17h 10

Cependant, le système précédent était plus complexe à mettre en place et Mozilla avait ainsi mesuré que seulement 3 % des utilisateurs s’en servaient.


C’est juste qu’il ne fonctionnait pas correctement (avec son propre serveur).


Outre cette simplicité bienvenue (mais qui casse la possibilité d’utiliser son propre serveur)

Mais que fait Mozilla?

Le 18/03/2014 à 11h 03

Les gens auraient pu se rendre compte qu’on pouvait changer l’OS d’une machine… Trop dangereux.

Le 17/03/2014 à 10h 10

bobo38 a écrit :

+1 (de l’art de faire de titres d’article racoleurs " />)



Si tu veux un titre racoleur :
VIDÉO. Un tremblement de terre ébranle Lille Sud
(le titre a été changé depuis, mais il apparaissait bien dans le flux RSS et il est toujours dans l’URL)

Et dans le même genre, plein d’exemples dans la presse à scandales :
Ici Paris, France Dimanche : comment ces magazines fabriquent des Unes bidons

Le 17/03/2014 à 09h 16

Mozilla abandonne Firefox pour Modern UI


J’ai eu peur en lisant rapidement le titre.

Il ne faut bien sûr pas confondre :
mozilla.abandonne(firefox.modern_ui);
et
mozilla.abandonne(firefox).pour(modern_ui);

" />

Le 19/02/2014 à 17h 59

Oh la jolie capture de Piwik.

Le 19/02/2014 à 15h 38

Quand est-ce qu’ils comptent gitter le JO ?

Le 19/02/2014 à 09h 23

Arona a écrit :

Pour Hadopi il me semble qu’il manque un décret.



Il manque beaucoup de chose à l’Hadopi… À commencer par de la légitimité.

Le 14/02/2014 à 18h 24

atomusk a écrit :

Et combien d’utilisateurs ont un “téléphone Android” duquel ils ont retiré les play services ? " />



GooglePlayServices, c’est bien le truc où on doit donner son accord pour que Google fasse ce qu’il veut quand il veut sur notre téléphone en toute discrétion?

" />

Le 14/02/2014 à 18h 15

atomusk a écrit :

" /> #mauvaisefoi



En quoi ? " />

J’apporte une nuance à une phrase de l’article.
Tu me dis que ma nuance n’est pas correcte
Je te dis que si.
Tu me dis que non.
Je te dis que si.
Tu me dis “mais c’est ce que dit l’article à une nuance près”.

Mais bon, c’est pas grave. " />

Et puis en pratique, j’ai l’impression que quand on parle de CyanogenMod, on parle bien d’Android ;-)

Le 14/02/2014 à 17h 04

" /> #mauvaisefoi

Le 14/02/2014 à 15h 51

Le fait que Google n’autorise l’installation que sur des système Android qui ont passé les CTS n’a rien à voir avec le fait qu’un téléphone Android intègre ou non les GooglePlayServices.


Devices that are properly compatible can seek approval to use the Android trademark. Devices that are not compatible are merely derived from the Android source code and may not use the Android trademark.

…

Google Play is a service operated by Google. Achieving compatibility is a prerequisite for obtaining access to the Google Play software and branding.


Tu peux être compatible sans installer les GooglePlayServices (même si être compatible est un prérequis pour être autorisé à les installer).

Le 14/02/2014 à 15h 13

Les terminaux sans Play services, sont soit des AOSP


Et le A, il veut dire quoi ? :-)

GooglePlayServices est juste une appli propriétaire installée sur le système Android. Android ne perd pas son nom pour cela…

Le 14/02/2014 à 15h 00

il était nécessaire que le Play Services 4.2 soit installé au préalable, ce qui est désormais le cas pour tout le monde.


Pour tout le monde… qui a installé GooglePlayServices (les gapps).

< / precision >

EDIT: y’a un problème dans les commentaires: quand on écrit une balise brute, elle disparaît… (la même sans les espaces)

Le 12/02/2014 à 14h 01

C’est une blague?


Nous sommes très enthousiastes à propos de Directory Tiles parce que cette fonctionnalité apporte une valeur inhérente à nos utilisateurs

Quelle hypocrisie !

Le 11/02/2014 à 10h 55

J’avais la M2, j’ai installé la M3 sur mon Nexus 5.

J’ai vu que la configuration des permissions des applications a maintenant son propre menu (plutôt qu’être un sous-menu de “Sécurité”), ce qui est quand même plus pratique.

Par contre, concernant Trebuchet, dans Paramètres > Accueil :

• la barre Google incrustée est activée par défaut (pas grave, ça se désactive)
  


• les menus Drawer et Dock ne fonctionnent pas
  


• on ne peut plus configurer le nombre de lignes et de colonnes d’icônes sur la home (que j’augmente pour avoir des icônes plus petites, même si j’en ai peu)
  
  Et j’ai toujours ce problème quand je lance l’appareil photo à partir du lockscreen en mode landscape (ça reste noir, je suis obligé d’éteindre, de rallumer, et l’appli appareil photo plante).
  
  À part ça, ça marche bien…

Le 10/02/2014 à 13h 46

Sur ce plan, les commentateurs ont perdu une occasion de se placer sur un autre plan, celui de la protection des “Whistleblowers”. À sa manière, Bluetouff est un lanceur d’alerte, et les données téléchargées méritaient peut être d’entrer dans le débat public.


Remarque très pertinente.

Le 06/02/2014 à 11h 17

scullder a écrit :

Je veux pas faire mon relou, mais la video ne se charge pas en https avec firefox.


Firefox ne lit pas le mp4 a priori. Moi je l’ai téléchargée et lue avec VLC.

Le 06/02/2014 à 08h 49

J’ai du mal à comprendre la position du monsieur d’ElectronLibre.

Pour lui, Internet ne doit être considéré que d’un point de vue économique, la liberté d’expression, elle peut bien passer par d’autres canaux (“la radio régionale”), ce n’est pas si important que tout le monde puisse s’exprimer. C’est un point de vue, qui n’est bien sûr pas le mien.

Mais il dit que la neutralité du net est une arme au service des puissants (Google & cie…) pour imposer leurs services partout sur la planète, et qu’il faudrait bien avoir le droit de favoriser certains acteurs plutôt que d’autres. Il voudrait donc des règles de “protectionnisme” (6mn30), et pour cela Internet devrait être réglementé uniquement par “l’économie et les règles de la libre concurrence” (7mn30). Le protectionnisme implémenté par le libre échange, ça, c’est original.

Et s’il veut pénaliser les “gros” comme il le dit, son raisonnement est contradictoire: si les accès sont favorisés en fonction des négociations commerciales avec les opérateurs comme il le souhaite, qui va être favorisé à votre avis? On le voit déjà avec SFR+Youtube…

Le 03/02/2014 à 19h 58

Bien que techniquement intéressant, on peut regretter son manque d’ouverture et sa dépendance à Google.

En effet, en tant que développeur, il faut d’abord enregistrer son application auprès de Google pour obtenir un app id.

À chaque connexion, c’est Google qui fait le lien entre cet app id envoyé par l’application Android et l’url du receiver que doit récupérer le ChromeCast.

Et pour que ça marche côté client, il faut avoir les GooglePlayServices, avec l’acceptation de ses règles, à savoir, pour résumer “vous acceptez que Google fasse tout ce qu’il veut quand il veut sur votre ordinateur de poche”.

C’est dommage, car techniquement, rien n’obligeait cette sur-dépendance.

Le 31/01/2014 à 10h 09

flagos_ a écrit :

J’infirme. La batterie ne tient pas des jours, mais son autonomie est correct. Entre 24 et 48h pour ma part. Par contre j’ai active art, c’est possible que ca améliore l’autonomie.



Je n’utilise pas ART, et mon Nexus 5 tient au moins 24h, avec une utilisation moyenne (un peu de wifi, VLC et Firefox).

Le 22/01/2014 à 17h 05

Au passage, quelques confs d’Eben Moglen à propos de Snowden :
http://snowdenandthefuture.info/

Le 02/01/2014 à 09h 50

DeathMetroll a écrit :

elle est donnée à ceux qui n’en ont plus …de l’honneur…


En fait, l’État considère que chaque individu doit avoir un niveau minimum d’honneur. Chaque année, il en distribue donc gratuitement des portions (des “légions d’honneur”) aux plus démunis.

Le 23/12/2013 à 17h 04

Canal+ n’est même pas lisible sur mon pc, y compris les contenus “en clair” (il nécessite Flash et ne le propose nulle part dans des formats ouverts).

Le 12/12/2013 à 11h 11

Oby-Moine a écrit :

@®om
Tu peux nous dire brièvement pourquoi le pgp (ou gpg) n’est pas bien pour la messagerie instantanée ?


En 2 mots : il ne permet pas la perfect forward secrecy ni la répudiation.

La première propriété permet de ne pas pouvoir déchiffrer les messages a posteriori si la clé est trouvée plus tard.
La seconde permet de pouvoir nier l’émission d’un message (alors qu’avec GPG tu signes tout ce que tu envoies).

Pour plus de détails, le pdf dont j’ai donné le lien est assez court et compréhensible (mais en anglais).

Le 12/12/2013 à 10h 36

maverick78 a écrit :

Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir " />
Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?
J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.


En quoi les Big Data sont-elles personnelles ? (internetactu)

Le 12/12/2013 à 10h 35

JCLB a écrit :

ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.

En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat " /> ou pas…


PGP ou S/MIME n’est pas approprié pour la messagerie instantanée :
Off-the-Record Communication, or, Why Not To Use PGP

À lire aussi:
14 reasons not to start using PGP
Why the Web of Trust Sucks

PGP (GPG) est très bien, je l’utilise aussi, mais il faut bien avoir conscience des limites et de ce qu’on veut protéger, contre qui, et qu’est-ce qu’on ne protège pas et qu’on leake.

Le 10/12/2013 à 20h 02

Pour la géolocalisation « pour y avoir accès (…) il faudra que l’un des trois ministres compétents, chargé de la Défense, de l’Intérieur ou des Douanes, face une demande écrite et motivée au premier ministre, et lui ou la personne qui parlera en son nom devra faire une réponse écrite.

Ah bah ça va alors, un ministre demande à un premier ministre une réponse écrite pour avoir accès à quelque chose, c’est très réglementé.

Un juge? Pourquoi un juge? Séparation des quoi?

Le 03/12/2013 à 14h 30

Tim-timmy a écrit :

euh … le terme “commandé” est quand même super mal choisi.. " /> J’ai cru que ça parlait de n’utiliser que des LL…



Pourquoi un logiciel libre ne pourrait-il pas être commandé ?

Pour un développement spécifique, tu peux faire une “commande”, indépendamment de la licence choisie.

Sinon, effectivement, il est difficilement compréhensible qu’un logiciel dont le développement a été financé par l’État (donc par nous) ne soit pas libre.

Le 18/11/2013 à 20h 52

TaigaIV a écrit :

Il est très très méchant. " />



À lire sur le même sujet :
http://blog.llvm.org/2011/05/what-every-c-programmer-should-know.html
http://blog.llvm.org/2011/05/what-every-c-programmer-should-know_14.html
http://blog.llvm.org/2011/05/what-every-c-programmer-should-know_21.html
et
http://pdos.csail.mit.edu/papers/ub:apsys12.pdf
(ce dernier lien ne passe pas sur PCI, copiez toute la ligne)

C’est passionnant ;-)