Le 02/07/2018 à 16h 18

Patrick Pailloux refuse de détailler la politique … […]  Il répond simplement qu’elle répond au besoin de protéger les Français.





 On vous cache tout, mais c’est pour votre sécurité… blabla… démocratie….. => Ce discours à gerber" />

Le 16/06/2018 à 09h 17

hwti a écrit :



Ils devraient demander des hashs, ça permettait de ne révéler que les adresses qui auraient été espionnées (éventuellement par hasard), sans compromettre les autres.





" />



A lui de ne leur donner que les hashs. Excellente idée.

Le 09/06/2018 à 21h 29

J’ai pas compris les terroristes de la culture, c’est qui ?

Sinon super fournée, 1 3 4 5 excellentes !

Le 08/06/2018 à 12h 30

sephirostoy a écrit :



Leur interface sombre est juste parfaite, pas trop contrastée. Pourquoi Microsoft n’est pas fichu de faire pareil…





+1

Chez Microsoft le thème sombre est en approche pour l’explorateur, mais ça sera du texte blanc #fff sur fond noir #000.

Aïe.

Encore 20 ans après, le design est toujours délaissé par MS et adoré par Apple.

Le 08/06/2018 à 09h 07

Pareil, je comprends pas ce genre d’article où on ne nous donne pas l’info principale.

Il faut aller lire un autre site d’actualité pour avoir l’info dans sa totalité. " />



Donc l’abus en question consiste, dans le cas où un constructeur de téléphone veut pré-installer Play Store sur ses appareils, à imposer l’installation des logiciels de Google (Google Search, Chrome,…) et de mettre Google comme moteur de recherche par défaut.



Messieurs les rédacteurs, voyez, ça prend 2 lignes. " />

Le 07/06/2018 à 11h 45

Ca c’est les gens qui consomment passivement, ils peuvent se contenter de VoD, ils regardent ce qui leur est proposé.

Mais Netflix c’est pas l’alpha et l’omega non plus.

Quand le dernier épisode de GoT ou le dernier Marvel est dispo en p2p ou streaming illégal, les gens qui savent ce qu’ils veulent vont pas attendre 1 an. " />

Le 07/06/2018 à 05h 56

ErGo_404 a écrit :



suffi d’une offre correcte pour les films pour qu’on arrête de télécharger.





Tant que des disques copiables sortent avant la dispo en VOD, y aura des gens pour télécharger du BDrip.

La machine est bien huilée, ca fait 20 ans que ca dure !

Le 06/06/2018 à 15h 37

Si je comprends bien, ils recoupent plusieurs méthodes. Dont un “suivi” de sites. Je sais pas ce que veut dire suivi.

 

Le document ALPA dit:



DDL :

mesure basée sur le suivi de 246 sites et applications identifiés comme étant dédiés à la contrefaçon de vidéos.

P2P :

mesure basée sur le suivi de 137 sites et applications identifiés comme étant dédiés à la contrefaçon de vidéos.



edit: ha non j’ai rien dit, ça doit être un suivi sur le pc des utilisateurs tout simplement.

Le 05/06/2018 à 05h 53

Rien sur l’ouverture de la puce NFC pour les devs ?

Le 03/06/2018 à 09h 31

C’est fini les LIDD ??

Le 29/05/2018 à 16h 45

Du coup, NXI contre-attaque pour mise en demeure abusive, tentative d’intimidation et entrave à la liberté de la presse. " />

Le 28/05/2018 à 17h 04

Chrome a damé le pion à Opera, alors qu’Opera était plus ancien et plus complet.

Comme quoi le marketing ça joue beaucoup.



PS: ça en est où l’implémentation du Dns-over-Tls dans les navigateurs ?

(niveau système oui, mais pas que)

Le 27/05/2018 à 10h 46

Comment il se fout de la gueule du type qui demande des explications sur les shadows profiles !

Aucun respect en fait.

Faut légiférer sévèrement là, c’est pas possible cette attitude.

Le 25/05/2018 à 11h 49

Pour les bandeaux de cookie, l’Europe a compris que c’est bien chiant et avait prévu un nouveau règlement appelé ePrivacy. Mais apparement ils ont peur de déplacer les réglages de consentement dans le navigateur, car il est contrôlé par les géants du web (sauf firefox).

 J’aurais trouvé ça plus malin pourtant, le réglage DoNotTrack par exemple était un 1er pas.



Donc on va se taper des boutons [ j’accepte ] et [ j’ai compris ] partout, tout le temps " />



Is GDPR recharging cookie notice popups?

Le 25/05/2018 à 10h 41

Très bon résumé ! " />



Y a t’il une avancée concernant les cookie notices qui défigurent toutes les homepages du web depuis 2011 ?

Le 24/05/2018 à 17h 01

Bizarre, j’utilise l’appli android ‘Google Authenticator’ pour générer les codes de Facebook, depuis quelques années déjà.

Ca se configure facilement avec un qr code, donc je vois pas la nouveauté.

J’ai pas l’appli Facebook sur mon tel.

Le 19/05/2018 à 15h 46

GTO a écrit :



" />





Mais laisse donc, puisqu’on te dit que c’est mieux pour NXI de faire 50 news par mois sur le droit numérique, les conneries du gouvernement etc… " />



Et après ça vient s’étonner de plafonner à 8000 abonnés, mais franchement quand on voit le nombre d’actus qu’on ne voit jamais sur NXI (alors que d’autres sites les traitent) même dans le brief, ou qui arrivent en retard, franchement ça donne pas envie de donner des sous! " /> " />





Le débat (constructif " />) a lieu ici : Next INpact

Le 18/05/2018 à 15h 50

" /> Une actu importante que NextInpact a manqué* :

 Chrome impose, depuis le 1er mai, que tous les certificats soient conformes à la politique Certificate Transparency, c.a.d publiés publiquement, sous peine d’alerte du browser.



 

* un des reproches que je fais à NextInpact depuis quelques temps : zapper des actus importantes.

Le 12/05/2018 à 14h 35

boogieplayer a écrit :



je souhaite en savoir plus, et surtout de voir quelqu’un d’autre le faire, avant de lever complètement mon doute. Pour l’heure on a qu’une video sur YT





Evilginx MITM attack :

GitHub YouTube 







boogieplayer a écrit :



Je ne dis rien d’autre depuis le début.



   

 Depuis le début, tu prétends que ce n'est pas du MITM.

Le 12/05/2018 à 11h 12

boogieplayer a écrit :



Moi je ne demande qu’à croire, mais je me me fit qu’aux preuves et à la répétabilité scientifique d’un expérience, quelle qu’elle soit. Pas d’une simple vidéo où je devrai croire sur parole ce qu’il me dit.



C’est sans doute vrai, mais j’aimerai voir le code. Voir faire l’expérience moi même. Ou toi même, tu m’as l’air d’en avoir largement les compétences. Apparemment blouser linkedin est très aisé et c’est inquiétant.





Quand on connait les principes évoqué, on sait que c’est faisable.

Je me moque légèrement parce que tu restes buté sur ton idée et on voit bien que tu ne comprends pas ce qu’est un mitm, malgré que tu t’en défendes, et malgré les explication détaillées de moi et d’autres.

 Il ne “blouse” pas linkedin mais l’utilisateur, qui donne ses données à un pirate. Ca fonctionne sur n’importe quel site, même correctement sécurisé. Il démontre juste que l’U2F n’est pas plus sécurisant qu’un mot de passe vis-à-vis d’une attaque par phishing, puisque l’U2F se réduit à un cookie de session qui se copie et se réutilise.

Le 12/05/2018 à 10h 55

 

boogieplayer a écrit :



MITM c’est pas vraiment ce qu’il à fait.





Et bien si. C’est exactement ce qu’il a fait.  " />

 

 Lâche ton CSRF 2 secondes, puisqu’on te dis que c’est pas ça. T’es borné et tu n’écoute pas, j’aimerais pas travailler avec toi.

 

Va lire ces articles (un du créateur de l’outil, qui dit lui-même que c’est un MITM), qui expliquent plus en détail la mise en place de l’attaque par Mitnick :

https://breakdev.org/evilginx-advanced-phishing-with-two-factor-authentication-bypass/

 https://www.extremetech.com/extreme/269121-this-tool-can-hack-your-accounts-even-with-two-factor-authentication

Le 12/05/2018 à 06h 07

boogieplayer a écrit :



Je reste septique quant à la possibilité de faire vraiment ce qu’il dit, car je pense (pour ne pas dire je sais) que linkedin se défend -justement- d’un connexion depuis un serveur via un bot/script.





Y a pas de bot ou script, juste un intermédiaire qui retransmet les requêtes et réponses qui transitent.

Comme le fait un simple routeur.



Tu dis que tu connais le principe du MITM, mais tu n’en as pas l’air.

Le 11/05/2018 à 20h 48

boogieplayer a écrit :



Et comment le serveur de linkedin à l’information alors pour envoyer le SMS ?





Quelle information ?

Je viens de te le dire, la victime lui donne tout.

 



boogieplayer a écrit :



Ah si, il y’a obligatoirement une connexion distante car l’assaillant à besoin que l’internaute reçoive le SMS

lorsqu’il est toujours sur le site pirate pour le piquer le cookie de session. Il faut donct que le pirate fasse rester l’internaute sur le site pirate le temps que le SMS arrive, qu’il rentre le code du SMS et là le connecter définitivement pour prendre le cookie. Et c’est là que je ne vois pas comment ça marche techniquement, car linkedin empêche ça justement la connexion distante.



Ce n’est pas du MIM c’est du CSRF





Non, pas de connection distante. Connection directe. Le serveur pirate se connecte NORMALEMENT sur linkedin, il agit comme s’il était un utilisateur classique.

Linkedin n’empêche personne de se connecter sur son site en envoyant login/pass puis code SMS. Et ben, le serveur pirate il fait ça. Il fait exactement ce que toi ou moi faisons pour se connecter.



Je crois que tu n’as pas compris le principe du MITM :

 Le serveur pirate fait 2 choses distinctes au même moment :

• présenter une fausse page à la victime pour aspirer ses identifiants (rôle: serveur web)
  


• se connecter à linkedin.com en tant qu’utilisateur avec les identifiants (rôle: utilisateur)
  
  
  

Le 11/05/2018 à 19h 40

J’espère que le tout nouveau protocole WebAuthn, dont on nous fait les louanges, vérifiera bien le nom de domaine avant d’échanger des clés publiques et des signatures pour nous authentifier.  " />

Le 11/05/2018 à 19h 37

boogieplayer a écrit :



Encore une fois, je ne vois comment linkedin peut être trompé par la méthode qu’il montre car pour déclencher l’envoi du SMS il faut faire croire à linkedin qu’on est bien sur le domaine linkedin.com en train de tenter de s’authentifier.





Le serveur de l’attaquant se connecte tout à fait normalement sur linkedin.com, il n’a rien à “faire croire”.

 Il a tous les identifiants nécessaires, puisque la victime les lui donne.









boogieplayer a écrit :



 Une injection distante des login+pass

dans le formulaire d’authentification n’est pas possible, de fait

l’envoi du SMS ne peut pas se faire.





Il n’y a aucune injection distante, c’est un MITM tout à fait classique.

La victime ne se connecte pas à linkedin, elle donne ses identifiants au pirate, et se trouve face à une page maquillée pour ressembler au vrai site.

Le 11/05/2018 à 18h 53

Bravo MS, le thème sombre c’est bien, par contre on mets pas du texte blanc 255,255,255 sur un fond noir 0,0,0, il faut nuancer avec du gris foncé.

 P ils ont pas d’ergonomes designer chez Microsoft.

 

 Oui, on râle, mais c’est le B.A.BA de l’UX.

 Même après 30 ans de dev informatique, ils sont toujours aussi loin de Apple sur ce point. " />

Le 10/05/2018 à 12h 13

Tu n’as pas vraiment cherché en fait :



 Easy Emoji a des alternatives

FireGesture a des alternatives

Zoom page a des alternatives

 …



ton screenshot est illisible.



Je crois que tu n’es qu’un troll finalement, parce qu’avec un petit effort tu peux t’en sortir. " />

Le 10/05/2018 à 10h 38

jeje07bis a écrit :



Ben pardi!

j’en ai 58, toutes sont utiles, sorry.



https://nsa39.casimages.com/img/2018/05/10/180510101513209361.png



je te laisse zoomer..





" />





Y en a qui devraient aller à la poubelle, t’es trop émotif, faut pas s’attacher comme ça.

Pour les autres, t’as un tableau de conversion ici : Google

Le 09/05/2018 à 15h 38

Concernant l’U2F, en septembre 2017 tu écrivais :

 

David_L a écrit :



Car si GitHub reconnait par exemple parfaitement notre clé, ce n’est pas

le cas de Dropbox ou Facebook qui ont décidé de tout simplement…

limiter leur implémentation à Chrome.

 Tout autre navigateur sera ainsi

bloqué. Il faut donc désormais attendre que cette fonctionnalité rejoigne le

canal bêta puis stable, et que les éditeurs mettent leur site à jour

afin de pouvoir en profiter.





La balle est donc dans le camp de Facebook, Dropbox,… " />

Le 09/05/2018 à 15h 10

tifounon a écrit :



Enfin le support des GPO !!





Est-ce que ça empêche l’utilisateur de copier tout le dossier “Mozilla Firefox” dans un rep de son choix et de le lancer depuis là ? Si non alors c’est inutile en l’état.



 

Pour les Yubikey, on attend surtout que les sites s’ouvrent à autre chose que google chrome, Firefox est déjà compatible depuis quelques temps mais il est systématiquement refusé.



 

edit: Merci David pour l’article gratuit " />

Le 09/05/2018 à 12h 14

On l’a vu a la google I/O hier, les voitures autonomes sont loin de comprendre correctement tous les cas de figures se présentant.

 Personnes déguisées, portant un objet encombrant, comportements humains aberrants, mauvais temps,… les accident sont pas près de s’arrêter, hélas.

 

ricozed a écrit :



 prendre les commandes et réagir de façon appropriée alors qu’il n’a pas les mains sur le volant???



 

Un gros bouton arrêt d’urgence au centre de l’habitacle.

Le 09/05/2018 à 12h 08

non, le tel est pas full ouvert par usb, mais l’usb permet de passer quelques commandes qui permettent de récupérer quelques fichiers (lockdown records), qui eux permettent de casser le mdp ensuite.

Le 08/05/2018 à 18h 27

Les acheteurs de l’iphone 10 à 1000€ ne sont pas représentatifs du grand public peu technophile qui utilise Android.



Glisser le doigt 1 fois pour ceci, 2 fois pour cela, c’est pas intuitif comme un bouton qu’on presse. Un max de gens vont être perdus.

Le 08/05/2018 à 18h 16

Les gens vont être perdus avec la nouvelle navigation gestuelle à la place des 3 boutons classiques. " />

 

On se souvient tous de l’échec de la navigation gestuelle dans Windows 8  : charm bar, swipe in/swipe out, point to corner,… le merdier que personne n’a compris.

Le 02/05/2018 à 09h 44

MisterDams a écrit :



D’ailleurs, il y a encore des gens qui lancent leur navigateur depuis l’icône du bureau sur Windows 10 ?





Des millions de personnes ont découvert internet avec le E bleu.

 MS capitalise sur cette habitude.

Le 02/05/2018 à 09h 35

Haaaaaaaa, les fameuses « raisons de sécurité » " />



Dès qu’il s’agit d’entuber le grand public, on sort les “raisons de sécurité” du chapeau, comme pour la reconnaissance faciale, c’est pour notre “sécurité”. Interdit de manifester ? c’est pour des raisons de sécurité. Vous n’aurez pas accès au dossier, pour des raisons… (tous avec moi) … de sécurité !

" />

Le 01/05/2018 à 13h 27

La partition “System Reserved” de 100 (win7) à 500 (win10) Mo en début de disque sert à faire démarrer Windows, elle est indispensable.

La partition “WinRE” (Recovery Environment) parfois rajoutée en fin de disque par Windows est un environnement de récupération, utile pour faire de la maintenance, elle n’est pas indispensable. En tout cas, son montage via une lettre de lecteur ne sert à rien.

 

Ceux qui ont update Windows 10 depuis Windows 7 ont une partition “System Reserved” trop petite pour y mettre WinRE (à l’époque de win 7, l’env de récupération était sur le DVD), donc Windows le met en fin de disque dans cette partition WinRE.



 Sur une install Win10 fraîche, tout est regroupé dans la 1ère partition qui fait Boot ET Recovery.

Le 30/04/2018 à 18h 53

Est-ce que ça va raz des paramètres ?

Genre ré-associer de force leur visionneuse d’images…

Le 30/04/2018 à 09h 48

”…avec Office 365. Cette dernière devrait d’ailleurs s’appeler 2019 elle aussi à la fin de l’année”



 Donc Office 365 va changer de nom ? " />

Le 29/04/2018 à 17h 41

Patch a écrit :



Tu ne fais pas d’effort, c’est tout… " />

Certains pensent y voir un film philosophique sur la Vie. Forcément, ils ressortent décus…





Hahaha



J’ai expliqué plus haut.

Le 29/04/2018 à 12h 14

Caricature, c’est-à-dire qu’il n’y a pas de renouvellement, à chaque film on reprend les ingrédients des précédents en poussant juste les curseurs un peu plus.

Intrigues toujours pareilles, dialogues et enjeux minimaux (ha si pardon : sauver le monde, cool), uniquement prétextes à castagne et FX.

Des humains qui volent, se font écraser, percuter sans la moindre fatigue ou goutte de sang, des revirements de situation grotesques,…

 

Je comprends que ça plaise à certains qui sont peu regardant sur tout ça, mais tous ces films faits du même moule commencent à me lasser. " />

Le 29/04/2018 à 09h 52

Le 2 était nul, j’irai certainement pas voir le 3.

 

Chaque nouveau Marvel n’est que la caricature des précédents.

Le 26/04/2018 à 09h 32

Je sais. J’avais juste envie de gueuler dénoncer cette mode du minimalisme à l’excès. " />

 

Mais niveau fonctionnalités, y a rien à dire c’est bien foutu. " />

Le 26/04/2018 à 08h 13

Et encore du blanc sur toute la surface de l’écran… " />

 

Les interfaces des années 2010s que ce soit Google ou Microsoft, ça défonce les yeux, et y a plus du tout de repères visuels entre contenu et contenant.

 

Panneaux de config, boites mail, explorateurs, tout est tout blanc ! " />



Du coup, les gens demandent des thèmes dark, et on se retrouve avec tout en noir ou tout en blanc, génial.

 (soupir) " />

Le 24/04/2018 à 09h 14

Le mode S apporte quoi par rapport à l’état actuel de Win10 où on peut déjà restreindre l’installation d’application provenant du Store uniquement ?

Le 24/04/2018 à 09h 00

Même avec une nuit qui porte conseil, je vois toujours pas le soucis de sécurité avec une disparition de LE. D’usage, oui, de sécurité, non. Du coup, y a pas de failure, donc pas de SPOF. Du coup pas d’article.



Réduire la failure à une disparition est réducteur. Que penses-tu du piratage ?

As-tu lu ce commentaire ?

Le 24/04/2018 à 08h 35

Ptitl0u a écrit :



Il faut une blockchain  pour les certificats ! " />





Il existe déjà le Certificate Transparency, qui est un grand log public automatisé des pratiques des CA.

 Mis en place par Google.

Le 24/04/2018 à 08h 14

dineptus a écrit :



J’ai du mal à voir le soucis en vrai. SI LE tombe, il te reste 1 mois pour générer un nouveau certificat d’une manière ou d’une autre (un certificat LE est renouvelé un mois avant son expiration, donc à tout moment il reste au moins un mois de validité, justement pour se protégér en cas de problème avec LE), ce qui au pire te coutera quelques euros et voila.



Ce n’est pas un SPOF, ou en tous cas pas plus que n’importe quel fournisseur de certificats. Le fait que LE tombe en panne n’empêchera aucun site de fonctionner (juste les nouveaux d’être déployés mais c’est une autre histoire).



Si on veut vraiment parler de SPOF parlons de Cloudflare ou des services DNS, ou même de AWS/GCP/Azure.



Et de toutes facons si tu es un gros site très précieux qui doit s’inquiéter de ce genre de chose tu devrais avoir un certificat étendu bien cher pas du tout par LE donc bon …





La failure c’est pas juste que le service tombe ou disparaisse.

 Il peut être piraté, une entité malintentionnée peut découvrir une faille et détourner, espionner, vendre les données circulant. Sans que ça se sache, pendant des années…

 Et comme Let’sEncrypt est gros, ça affecterait une grande partie d’internet.

 

Moralité : { plusieurs acteurs > un gros acteur } car risque réparti.

 

Le 23/04/2018 à 08h 57

 ” L’application pourrait permettre aux lycéens de se connecter avec leurs camarades et professeurs de leur école et/ou classe. “

 " />



A quand une version senior pour permettre aux seniors de se connecter avec leurs amis seniors.

Et une version féministe pour permettre aux féministes de se connecter avec leurs amis féministes.

Et une version juifs pour permettre aux juifs de se connecter avec leurs amis juifs.

Et une version hamich pour permettre aux hamichs de se connecter avec leurs amis hamichs.



 " />

Le 19/04/2018 à 09h 07

Belle diversion. " />

 

Publicité ciblée, demi-ciblée, pas ciblée,… peu importe => on veut juste que facebook et ses scripts restent sur le domaine facebook.com et pas all over the web.