Le 04/01/2024 à 16h 29

Les ventes de mouchoirs en papier ne baisseront pas ! Maintenant, les gens vont pleurer, c'est tout

Le 04/01/2024 à 16h 08

Presque un revenant :)

Tes articles me manquent. Heureusement que je continue de te suivre sur l'Informé ;)

Le 01/01/2024 à 10h 27

Yes, j'y pense toujours, mais pas trop eu le temps ces derniers temps !

Le 01/01/2024 à 10h 09

Bonne année à toute l'équipe, qu'il s'agisse des journalistes, des dev, de moji, de Ferd, du concierge

Le 04/01/2024 à 14h 55

Il existe de nombreux risques.

On peut citer le risque lier aux assurances / prêt / mutuelle / etc. comme l'ont déjà fait d'autres commentaires, je ne vais pas forcément revenir dessus.

Cela permet également de connaitre beaucoup de chose sur la personne. Son genre, son origine ethnique (d'un point de vue "purement ADN" bien sur), certains problèmes de santé. Pour certains, une partie de nos comportement trouverait son origine également dans notre ADN. Avoir tout ça, permet d'établir un profil, permettant de mieux réaliser une attaque, ou simplement de faire de la publicité ciblé (homme grand blond aux yeux bleus vs une femme noire d'origine africaine par exemple).

Cela pourrait également avoir de nombreux impacts dans plein de domaines, de la recherche d'un emploi à l'octroi d'un logement par exemple.

Autrement dit : la personne malveillante ne va pas forcément en faire grand chose par elle-même. Simplement "revendre". Les conséquences de cette revente va forcément dépendre de qui achète.

On pourrait également avoir une variante du prince Nigérian sinon (on a vu avec votre ADN que vous étiez le seul et unique héritier, ...)

Le 03/01/2024 à 21h 03

Quelques exemples sont donnés :

« Oui à du réseau mobile sur l’ensemble du territoire, mais non aux antennes ;

oui à la 5G, mais attention aux ondes ;

oui à la fibre, mais non aux travaux dans les rues ;

oui aux débits de plus en plus élevés et à une qualité de service optimisée, mais à des conditions sans rapport avec le niveau des investissements associés ».

Ca me fait penser à cette vidéo : YouTube

Le 03/01/2024 à 14h 52

(386sx avec 3 Mo ... la rolls !)

Alors que maintenant, 4Go, c'est le strict minimum à peu près viable...

Le 03/01/2024 à 09h 58

Yep !

Le premier run est tout simple, et la map semble tout ce qu'il y a de plus classique. Rien d'anormal ai-je envie de dire.

Le deuxième run, pour commencer à être fun, c'est comme le premier. Sauf qu'à la fin, après être sorti de la maison mais avant de sortir du niveau, il faut faire le tour de la maison et y rentrer de nouveau. Pour le reste, je te laisse découvrir sans spoiler ;)

Le 01/01/2024 à 13h 39

J'ai acheté Doom 2 rien que pour y jouer Il est disponible chez GOG pour une bouchée de pain.

Pour profiter pleinement du jeu, il faut aussi consulter le journal, qui donne de précieux indices sur le jeu, et participe grandement à la création de l'ambiance très spéciale.

Tout est disponible sur le google drive du créateur : Google

Et si avec la vidéo cela semble "facile" d'en venir à bout, avec les labyrinthes, c'est une autre paire de manche !

Le 31/12/2023 à 13h 53

preums !

Le 31/12/2023 à 10h 52

Je ne me prononcerais pas pour la ToIP que je ne connais pas vraiment. Pour avoir étudier XMPP par contre, je vois plusieurs écueil à ce standard :
- c'est une collection de "compliance" (en gros, de fonctionnalité). On peut avoir un serveur XMPP qui fasse de la messagerie instantanée, mais pas de la vidéo, ou inversement. Du coup, dire machin est ouvert car basé sur XMPP ne vient rien dire tant qu'on ne sait pas quels sont les fonctionnalités supportées
- le standard évoluant beaucoup, beaucoup de XEP sont encore non finalisées. Il est donc plus ou moins courant d'avoir des fonctionnalités qui "marchouillent", à cause d'un souci de spécifications entre le client et le serveur (soit parce que les spécifications ont évoluées, soit parce que l'implémentation est incomplète / boguée, soit du côté client, soit du côté serveur)
- le XMPP est basé sur du XML. Très bien pour de nombreuses choses, beaucoup moins pour d'autre (les streams audio et vidéo par exemple), nécessitant la mise en place de protocoles plus moins complexe comme Jingle
- la plupart des gens de s'y intéresse pas, car ils s'en foutent royalement de ce qu'est XMPP. Cela relève du détail technique. Ce qu'ils veulent, c'est pouvoir communiquer via messagerie instantanée ou passer des appels vidéo
- en l'état actuelle des choses, certaines fonctionnalités de XMPP nécessite que le serveur, le client A et le client B supporte tous, et de manière compatible, les fonctionnalités souhaitées pour pouvoir en bénéficier. A l'époque où j'avais essayé, les appels vidéo étaient très sensible à ça, et le meilleur moyen d'y arriver, c'était que le client A et le client B utilise le même client de messagerie (et dans la même version !)
- il faut saisir ses contacts un à un (pas de migration "auto" possible depuis ses contacts comme avec d'autres services comme Whatsapp)... si on sait qu'ils ont un compte compatible XMPP !

Avec le recul, je trouve XMPP très bien... en théorie. C'est un standard ouvert, utilisable par tout le monde. Mais en pratique, tous les clients et tous les serveurs qui utilisent XMPP n'ont pas un support équivalent, provoquant de nombreux problèmes de communication et d'interopérabilité.

Du coup, moi je suis sans messagerie instantanée (sauf le SMS :p). Donc c'est mail, SMS + téléphone. Pas envie de me faire ch* avec 36 applications et me souvenir laquelle utiliser en fonction de mon correspondant.

Le 29/12/2023 à 14h 15

Suis-je le seul à avoir chercher ce que pouvait vouloir dire le contenu de la bulle du dessin de Flock ?

En base 64, j'ai trouvé les mots "configurat" et "launched. In this" (les 2 dernières lignes, les premières ne veulent rien dire, c'est du binaire). Je retourne à ma pas de vie xD

Le 28/12/2023 à 16h 55

Pour compléter, il faut en fait distinguer le verbe "avérer" du verbe pronominale "s'avérer" :
- avérer : qui est vrai (ce fait est avéré)
- s'avérer : qui est une forme plus ou moins acceptée aujourd'hui comme synonyme de "se révéler".

Du coup :
- ce fait est avéré : forme correcte
- ce fait est avéré vrai : pléonasme
- ce fait est avéré faux : contresens
- ce fait s'est avéré faux : ce fait s'est révélé faux.

La dernière forme est très litigieuse, surtout compte tenue de l'étymologie, et on l'évitera donc. Soit on remplace "s'avérer" par "se révéler", soit on change la tournure de la phrase : As tu des exemples avérés de fact check concernant les vaccins qui soient faux ?

Finalement, ça me sert les cours du projet voltaire ^^

Le 28/12/2023 à 13h 58

Je suis tombé sur cette vidéo l'autre jour : YouTube

La conclusion de la vidéo est tout ce qu'il y a de plus d'actualité.

Le 28/12/2023 à 15h 45

Une licence payante

Oui. Et ? Tout n'est pas gratuit dans la vie.

une interface à la Windows

Oui. Et ? Cette interface plait à beaucoup. Peut être pas à toi, mais à d'autres oui.

un support commercial

Oui. Et ? La grande majorité des distributions linux n'en ont pas (et non, l'aide communautaire n'est pas un support commercial)

une dépendance à une entreprise

Où est la dépendance ? De plus, Zorin OS est libre

Mais à quel paradigme ces utilisateurs (consommateurs ?) s'accrochent-ils ?

Il y a une chose incroyable qui existe aujourd'hui, c'est la liberté de choix, et le respect des autres. Ce n'est pas parce que les autres n'ont pas le même avis que toi sur un sujet qu'ils ont tord.

Sans surprise, un dérivé d'Ubuntu, distribution faite pour les prisonniers qui veulent prétendre ne plus l'être.

Zorin OS ne te convient pas ? Très bien. Prends une autre distribution. Il y a beaucoup de choix. Ce n'est pas pour autant qu'il faut manquer de respect envers celles et ceux qui ne partagent pas de ton avis.

Pour rappel, il faut parler de distribution GNU/Linux, car Linux n'étant que le noyau, l'écrasante majorité des outils l'entourant (et avec lequel l'utilisateur s'interface 100% du temps) sont des outils pour la majorité GNU… et d'autres qui ne sont pas libres.

Et blablabla. Ce débat, sur le nom, bien qu'intéressant sur certains aspects, n'a pas sa place ici, car on est très loin du sujet. ZorinOS, c'est pour des néophytes, des non-initiés. Et croire que c'est GNU/Linux parce que la majorité des outils sont GNU, c'est ne strictement rien avoir compris au problème sous-jacent (et ce n'est pas ma position, mais celle de Richard Stallman, père du projet GNU). Mais sinon, moi je milite pour une convention du style Grub/GNU/Linux/SystemD/Flatpak/Kde/Firefox :p

[edit] J'avais oublié le chargeur de démarrage dans ma convention. Je l'ai rajouté

Le 27/12/2023 à 15h 24

Je suis tombé sur ce reportage. Absolument incroyable : YouTube

En très très gros : c'est un mod de doom.

Mais un MOD à tiroir. On peut le finir en quelques minutes, en se disant, ouais, c'est juste un MOD. Mais si on creuse... on tombe dans un univers très noir, extrêmement travaillé, aux multiples fins, très psychologique, à la prouesse technique également, qui plaira beaucoup aux nostalgiques.

Le 24/12/2023 à 10h 18

Je me souviens d'un service qui, pour prouver que les conditions n'étaient pas lus, avait mis qu'en les acceptant, l'âme était "vendue" à la société

Sinon, lors des auditions de Mark Zuckerberg aux Etats-Unis (je crois que c'était dans le cadre du scandale de Cambridge Analytica), un membre de la commission en charge de l'audition, plutôt familier avec le droit (c'était son métier) avait dit deux choses très intéressantes :
- la longueur des CGUs étaient absolument imbitable
- le contenu était incompréhensible, même pour lui, pourtant spécialiste du droit. Il y avait des phrases qu'il n'arrivait tout simplement pas à comprendre.

Le 27/12/2023 à 11h 37

Il faut lire également l'article jusqu'au bout. 68 000 €, c'est pour 2 contrôles seulement. Il y en a encore 15 en attente, et je ne me risquerai pas à une règle de 3 vu les chiffres.

A voir aussi sur le long terme. Car comme précisé, le coût indiqué c'est le coût "sans prendre en compte les moyens humains internes à l’administration et les dispositifs informatiques préexistants". Donc c'est plutôt un coût de développement et de mise en place, c'est-à-dire un coût "oneshot" et pas un coût "régulier".

Notons également l'effet dissuasif que cela peut avoir, et si certains rentrent dans les clous "par peur", c'est autant de montant qui ne seront pas récupérés via les contrôles, mais pourtant récolés indirectement grâce à ce dispositif.

Donc parler de rentabilité (ou non), aujourd'hui, me semble un peu prématuré.

Le 26/12/2023 à 14h 57

Les piétons, je veux bien, les automobilistes, j'ai des doutes ;)

Le 26/12/2023 à 13h 39

Il y a toujours le choix ;) Ne rien écouter :p

Le 26/12/2023 à 11h 09

Le 26/12/2023 à 09h 49

Dans le même style, à savoir "pollution" qui gène l'entourage : le nombre de personnes que je vois écouter de la musique à fond dans la rue sur une enceinte portative au lieu de simplement mettre des écouteurs. Et je ne parle pas de groupes, mais de personnes seules !

Alors d'accord, le "silence" n'est pas un service essentiel. C'est un bien commun, ainsi que le respect d'autrui.

Le 24/12/2023 à 14h 35

jour = 36;
mois = 0;

Le 22/12/2023 à 15h 34

Bonnes vacances :)

Le 21/12/2023 à 20h 42

Ce que je voulais dire, c'est que dans le cadre du RGPD, on parle du Délégué à la Protection des Données, ou DPO (mais très rarement de DPD).

Le 21/12/2023 à 08h 23

Ils ont oublié l'essentiel : on dit "chiffrer" et non "crypter" ( je suis déjà dehors ).

Plus sérieusement, il n'y a que DAD qui me pose problème. Ca fait Développement à la demande, pas plateforme de développement à la demande. Je constate qu'on a du mal en français (en tout cas, en France) avec des acronymes qui pourraient être détournés de manière offensante.

On ne parle jamais de DPD, mais de DPO. On ne parle pas de PDAD, mais de DAD. C'est pas la première fois que je le remarque...

Le 21/12/2023 à 10h 51

Il suffit de regarder :
- le lien : YouTube
- le texte : Next

Du coup, quand tu cliques sur le lien, tu es redirigé vers YouTube. Le lien ne contient pas le @ => pas d'alerte. Le texte en contient un, mais on s'en fou, car ce n'est que du texte...

Le 20/12/2023 à 16h 23

Pas vraiment d'accord, à cause d'un simple fait : l'usage légitime du @ dans une adresse HTTP(S) au sein d'un navigateur (je dis bien, au sein d'un navigateur)... ben je n'en vois pas. De ce fait, cela ne peut résulter dans la grande majorité des cas d'un comportement dangereux.

Les autres comportements que tu cites (lien trompeurs, redirections, etc.) sont des comportements très utilisés aujourd'hui, et il serait bien difficile de trier le bon grain de l'ivraie.

Le 19/12/2023 à 07h 26

C'est assez peu utilisé avec le HTTP. Ce fut plus ou moins courant avec les FTP par contre, dont les URL fonctionnent exactement de la même manière que pour HTTP, sauf que le schema est ftp:// au lieu de http://

Le 18/12/2023 à 14h 37

Le hack ne nécessite pas le contrôle du serveur. Il pourrait s'agir d'une simple faille (sans aller jusqu'au contrôle donc) à un lien dans un commentaire. Difficile de demander au serveur d'envoyer une en-tête pour l'authentification dans ce cas.

Pour ma part, je pense qu'il serait plus simple de bannir cette utilisation tant elle est peu usitée dans ce genre de contexte. Et si vraiment il y en a besoin, le public cible doit être très restreint et devrait aller modifier lui-même les paramètres du navigateur pour l'autoriser.

Le 18/12/2023 à 14h 31

C'est même pas la version 4k... ça craint

Blague à part, si j'apprécie grandement le rick roll en général, ici, il gâche complètement l'effet de vouloir montrer l'impact du @ sur l'URL, puisque le texte et le lien vers lequel il redirige ne sont pas les mêmes, et que le "vrai" lien ne contient même pas de @. Eventuellement un YouTubeaurait été plus adapté (tout en conservant la "blagounette")

Le 20/12/2023 à 16h 09

Après, au niveau ressource serveur, il suffit de monter un cluster Kubernetes avec répartition de charge, autoscaling, réplication de la BD sur 5 machines différentes avec un cluster Redis de 10 machines pour la mise en cache.

Ah... on me dit dans l'oreillette que c'est un peu overkill

Le 20/12/2023 à 15h 57

Ce sont les chiffres opérateurs, donc 300Mpbs (ça fait 8x plus que si le débit était annoncé en Mo/s xD)

Mais même 300Mpbs, c'est amplement suffisant. Car même si le serveur tiens la charge derrière, je suis limité par mon Wifi derrière :p

Le 20/12/2023 à 11h 17

J'ai eu aussi le problème. De mon côté, c'était une problématique de chargement de la page, ce qui peut survenir, surtout sur une connexion un peu lente (soit en débit, soit à cause de la latence).

En gros, il y a 1 requête par commentaire. Donc sur un sujet sur lequel il y a beaucoup de commentaire, cela prend du temps, et si tu navigues trop vite, je pense que le commentaire n'est tout simplement pas marqué comme lu, d'où la persistance de la notification.

Donc, essai d'ouvrir la page correspondant en cliquant que la notification, attends de nombreuses secondes pour être sur que la page est entièrement chargée, et voit ce que cela donne ensuite.

[edit] histoire de donner un ordre d'idée, avec une connexion fibre 300 Mo, il m'a fallu 40s pour un chargement complet de cette page. 386 requêtes au total, dont 128 d'Ajax.

Le 20/12/2023 à 10h 30

Il faut inverser les 5C : celui de CNIL, les 2 de courroucée, celui de comportement et celui de commune ;)

Le 20/12/2023 à 10h 29

Je te déteste (maintenant, je l'ai dans la tête)

Le 18/12/2023 à 16h 51

auk

Le 16/12/2023 à 08h 45

« Cryptées » et « chiffrement de niveau secret défense » dans la même phrase, c’en était trop pour certains, d’autant plus venant d’un docteur en cryptographie.

Je ne sais pas si je dois me sentir visé ou pas car j'avoue que je l'ai fais.

Juste un petit bémol quand même : utiliser des approximations lorsqu'on fait preuve de vulgarisation ne me dérange pas si cela apporte un réel plus d'un point de vue pédagogie.

Chiffrer/crypter, il n'y a pas de différence pour le commun des mortels, et les deux sont compris. Qu'un néophyte se trompe ne me pose pas de problème et ne se prendra aucune remarque. Qu'un expert le fasse, c'est un peu plus dérangeant.

Les reproches que j'ai pu exprimer à l'encontre de cette déclaration erronée ne concerne pas tant l'usage/le mésusage de la langue française, mais le manque de plus value que cela apporte et de fait l'impact sur la crédibilité de la personne ayant tenu ces propos. Dans la mesure où il y avait d'autres propos qui posaient des problèmes pour des raisons différentes.

"Mettre de l'eau dans son vin" est effectivement une bonne chose, lorsque le discours reste juste sur le fond. Quand on souhaite argumenter et exprimer des doutes sur la qualité du discours de l'intervenant pour exprimer un doute général, on s'attaque aussi bien à la forme qu'au fond. Surtout lorsqu'il y a du "bullshit marketing" derrière.

Le 18/12/2023 à 09h 37

Il faut savoir précisément ce que l'on entend par "entrainer" :
- est-ce réaliser des jeux de données sur lesquels entrainer (= instruire) le modèle ?
- est-ce réaliser des jeux de données sur lesquels vérifier le résultat de l'entrainement (= examen) ?
- est-ce afin de comparer les performances entre modèles ?

Le point 1 est clairement celui qui est problématique.
Le point 2 peut l'être, ou non, en fonction de comment est utilisé le résultat. Si c'est juste pour avoir une évaluation (genre 90% des réponses sont correctes) mais sans se servir de ce feedback pour faire une boucle de rétro-action quelconque sur l'apprentissage, alors je ne pense pas que cela pose de problème particulier.
Le point 3 n'est pas problématique.

Le 17/12/2023 à 17h 57

Héhé, je comprends. Je me suis fais l'intégrale il y a 2 ou 3 ans. J'étais tombé sur le coffret complet.

Ce que j'aimais bien, c'était le côté sans lien entre les épisodes (en tout cas, au début). On pouvait rater un épisode ou deux, cela ne changeait pas grand chose à l'histoire (puisqu'il n'y en avait pas).

Puis après est venu se greffer la théorie du complot, et là, hors de question de rater un épisode si on veut être sur de tout comprendre... Du coup, se sont les premières saisons mes préférées :)

Le 17/12/2023 à 09h 58

Moi, dans mon enfance, on m'a rétorqué sans cesse que "la vérité est ailleurs"... Mais maintenant que Twitter s'appelle X, est-ce que chercher dans ses archives correspond à ouvrir les X-files ? (tuu tuu tuuu tuuu tuuuuu tuuuuuuuuuuuuu)

Le 16/12/2023 à 08h 26

Bon ben voilà, j'ai l'air malin maintenant. La plupart des propos sur lesquels je réagis ne sont pas les siens et sont issus d'une déformation...

Maintenant, au delà de ça, je suis d'accord de faire preuve de tolérance lorsqu'il ne s'agit pas d'une discussion entre experts et qu'il faille parfois faire preuve de simplification et de pédagogie.

Maintenant, chiffrer/crypter, les gens comprennent. Pas forcément la nuance subtile, mais ils la comprennent. Donc qu'une personne qui ne connaisse pas utilise crypter, ne me dérange pas outre mesure et je ne m’amuserai pas à la corriger. Qu'un expert du domaine le fasse, c'est plus problématique tant il n'y a pas de plus value.

Par contre, je maintiens l'autre partie de ma critique envers son argumentaire (car apparemment cette partie n'a pas été démentie). Justifier la sécurité par le cataclysme que représenterait l'existence de faille est un non-sens. Jeter le discrédit sur ceux qui ne sont pas d'accord et pensent le contraire comme relevant du conspirationnisme est une insulte.

La peur des conséquences n'est en rien une justification. Le manque de respect non plus. Et ce, que l'on fasse preuve de pédagogie ou non.

Le 15/12/2023 à 12h 52

Communiquer c'est une chose. Utiliser des arguments fallacieux (et pour moi, justifier la robustesse sur le fait que si ce n'était pas le cas, tout la sécurité d'aujourd'hui s'effondrerait en est un) non.

On dit souvent que les banques, c'est trop gros pour faire faillite. Et pourtant on en a vu plusieurs tomber ces dernières années... L'argumentaire est ici du même acabit.

Le 15/12/2023 à 11h 39

Alors, ça, je suis désolé, mais non. Je suis aussi docteur en informatique, et je peux te garantir qu'il existe des personnes ayant un doctorat qui peuvent être très ignares, y compris dans leur domaine, une fois sorties de leur sujet de thèse ou de recherche :aie:

Du coup, j'ai cherché un peu, et je suis tombé sur sa thèse. Techniquement, je pense qu'il tient effectivement la route.

Par contre, sortir une phrase comme "Dire que ce chiffrement pourrait un jour être percé relève du conspirationnisme, car si c’était le cas, il n’y aura plus rien de sécurisé sur internet, ni transaction financière, ni aucune autre" est un non sens. Autant je suis d'accord pour dire que l'état de l'art aujourd'hui est sécurisé vis-à-vis des moyens dont nous disposons aujourd'hui et l'état de nos connaissances.

Dire que le chiffrement pourrait un jour être percé, à moins d'avoir une boule de cristal, non. Sans aller jusqu'aux ordinateurs quantiques, il y a encore de nombreux problèmes en mathématique, qui ne sont que des conjectures, parfois non mise en défaut par la pratique, mais toujours pas prouvés. On a eu, par le passé, des algorithmes considérés comme fiables jusqu'à la découverte d'attaque à leur encontre. Des algorithmes comme AES sont éprouvés depuis longtemps, mais il est impossible de prouver qu'un jour, il n'y aura pas la découverte d'une faille qui fera tomber tout l'édifice.

Et l'argument du "si c'était le cas, alors rien ne serait sécurisé", il faut me dire en quoi cela prouve que les algorithmes actuels sont fiables à 100%. Ca montre juste que si ce chiffrement est percé un jour, c'est la merde. Rien de plus. Mais pas que c'est "imperçable".

Le 17/12/2023 à 11h 34

Effectivement, c'est le contraire. J'ai repris un article de blog qui semble être la source de cette histoire : https://badcyber.com/dieselgate-but-for-trains-some-heavyweight-hardware-hacking/

Et là, pour le coup, on y apprend de nombreux mécanismes mise en place qui relève purement et simplement de l'obsolescence programmée :
- arrêt après un million de km parcouru
- arrêt après le remplacement d'une pièce (détectée par le changement de numéro de série). Il y avait une combinaison de boutons à saisir au niveau du tableau de bord pour faire accepter la pièce apparemment.
- la procédure qui permettait de faire accepter une pièce via une combinaison de bouton a été supprimé via une mise à jour
- des conditions pour générer de fausses pannes sur un compresseur après une certaine date.

J'espère que le constructeur va se prendre un beau procès, car là, le caractère volontaire est indéniable.

Le 17/12/2023 à 09h 55

Si j'ai bien suivi l'histoire, lors du redémarrage après un entretien d'un train, le logiciel vérifiait que son GPS lui indiquait une localisation correspondant à un centre de réparation appartenant au constructeur. Si ce n'était pas le cas => pas de redémarrage.

Autrement dit, le redémarrage ou non dépendait du lieu de l'entretien, et non des actions qui avaient été faites.

Le 16/12/2023 à 22h 07

Le code n'est pas à usage unique : il est valable durant un temps limité, qui n'est d'ailleurs pas défini précisément dans le RFC : il est recommandé à 30 secondes, mais il est plus souvent de l'ordre de la minute.

Désolé de te contredire, mais non ;)

Extrait de la RFC 6238 :

Note that a prover may send the same OTP inside a given time-step
window multiple times to a verifier. The verifier MUST NOT accept
the second attempt of the OTP after the successful validation has
been issued for the first OTP, which ensures one-time only use of an
OTP.

Que l'on pourrait traduire par :

Notez qu'un "prouveur" peut envoyer le même OTP à l'intérieur d'une fenêtre temporelle plusieurs fois à un "vérifieur". Le "vérifieur" NE DOIT PAS accepter la seconde tentative de l'OTP après une validation réussie du premier essai, ce qui assure un usage unique pour un OTP

Par ailleurs, il existe des versions (très) améliorées des keyloggers : les proxy locaux ou Man-in-the-Browser.

Oui, mais là, on change généralement de catégorie. Ce n'est plus un keylogger si le logiciel scrute le réseau. C'est de l'ordre de l'interception ou d'une attaque par l'homme du milieu.

Un keylogger est un dispositif (il peut être matériel ou logiciel) qui va enregistrer ce que l'utilisateur a saisie au clavier. Là, tu parles de logiciels qui vont examiner les flux réseaux. Si l'objectif recherché est le même (voler les identifiant), les moyens mis en oeuvre les classes dans des catégories très différentes.

Ayant travaillé longtemps pour une banque, je t'assure que cette technique est réelle et très efficace. Je n'ai plus le nom du plus virulent (je crois que c'était Dridex) mais la seule véritable parade était (et est toujours) d'utiliser un vrai second canal. A noter que FIDO/FIDO2 permet aussi de créer un second canal "virtuel", sous certaines conditions, en permettant de valider un challenge en dehors du navigateur.

Je n'ai jamais dis que les TOTP étaient une protection ultime. Dans ton article, c'est toi qui parle de keylogger, et qui dit que le TOTP ne protège pas des keylogger. Ce qui est erroné.

Par contre, je suis d'accord avec toi pour dire que l'OTP ne va pas protéger d'attaques plus poussées comme les attaques de l'homme du milieu, et que séparer les canaux rend les attaques très difficile à mettre en oeuvre, puisqu'il faut alors pouvoir scruter les 2 canaux en même temps, et en temps réel.

Le 16/12/2023 à 09h 52

ce qui est toujours bon à prendre, mais cela ne va pas contrecarrer un keylogger qui pourra rejouer le même code TOTP s’il agit dans la minute

Les TOTP sont à usage unique. Donc cela protège aussi des keylogger. Si le mot de passe n'est pas à usage unique, alors ce n'est pas un TOTP.

[edit] la seule fenêtre de vulnérabilité avec un keylogger, c'est le délai entre le moment où le code est saisi, et où on le valide. Soit 5s au max. Donc autant dire que la fenêtre d'exploitation est extrêmement courte, et que les conditions pour y arriver drastiques. En effet, il faudrait un keylogger qui envoie en temps réel les info (en plus d'automatiser toute la chaine d'exploitation), ce qui devrait se faire détecter assez facilement par des outils de surveillance, car une requête envoyée à chaque touche saisie, ça laisse des traces.

Le 15/12/2023 à 11h 16

Arf, j'ai pas lu l'article précédent. J'avoue ^^

Mais oui, en tout cas, c'est important de bien sécuriser les clés. C'est d'autant plus important que l'idée des articles est de monter un bastion sécurisé !

Une clé privée (ou une clé de chiffrement symétrique) se doit de n'être accessible que par le minimum de monde. Et surtout pas exécutable :aie:

Le 15/12/2023 à 11h 13

Je me pose la question sur la légalité que le gouvernement US puisse demander à une entreprise de ne plus fournir de service à un autre sous prétexte que les données hébergées soient chiffrées.

Attention, je n'ai pas dit que le prétexte devait être que les données étaient chiffrées. Le prétexte peut être "tout et n'importe quoi". Un conflit commercial, politique, etc. Ils ont déjà mis en place des mesures d'embargo contre des pays entiers ou contre certaines sociétés pour des raisons parfois plus ou moins discutable, et applicable à toutes sociétés utilisant le dollar. On a également déjà vu les Etats-Unis faire preuve d'une agressivité sans précédent envers des alliés (par ex. l'affaire Alstom).

Ensuite, politiquement, il y a très peu de chance que cela arrive, si c'était légal même. Cela demanderait un prétexte bien fort à utiliser contre des alliés. J'y crois pas.

Ils ont pourtant bien espionné, et à grande échelle, leurs concitoyens ainsi que leurs alliés. Et si aucun pays allié n'a donné asile à Edward Snowden malgré l'ampleur des révélations, ce n'est pas pour rien ("peur" des conséquences d'un tel acte).

Les désaccords profonds peuvent survenir rapidement, y compris entre alliés. Et les sujets ne manquent pas (réchauffement climatique, espionnage, conflits armées, etc.). Et là, ils auraient les moyens d'impacter les moyens de communication utilisés et poussés par un gouvernement. Cela ferait un "joli coup de semonce".