Le 16/08/2022 à 15h 18

Chiuchu a dit:

Déjà que les GAFAM censurent massivement et éhontément tous les sujets mainstream (cf. https://www.youtube.com/watch?v=bWbytHBp0zI ).

Je ne savais pas que “pancake” était un sujet mainstream. Il est pourtant “censuré massivement et honteusement”. Idem pour “haricot vert”.

Bref, on voit ce que l’on a envie de voir

Le 16/08/2022 à 13h 33

micromy a dit:

Après, peut-être que les autorités compétentes ont appris à se servir de GnuPG, et ont échangé leurs clefs publiques avec toutes les plates-formes de publication de contenus afin que leurs mails ne disparaissent pas dans les Spams…

Sauf que le mail ne garanti pas les délai ;) Utiliser cette approche tout en ayant un délai d’1h me parait totalement illusoire.

letter a dit:

Un système de ticketing?

Donc une procédure par hébergeur. Bonjour le bazar pour envoyer une notification

Le 16/08/2022 à 12h 49

Techniquement, ce nouveau texte organise notre législation au règlement européen du 29 avril 2021, entrée en vigueur le 7 juin 2022. Chaque pays européen doit en effet désigner l’autorité chargée du pouvoir d’émettre des injonctions de retraits des contenus terroristes. Tel est l’objet de
cette présente loi.
[…]
En France, l’autorité compétente sera la même que celle qui s’occupait jusqu’à présent des notifications de retrait en 24 heures des contenus terroristes et pédocriminels, à savoir l’OCLCTIC (pour Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication).

Du coup, en pratique, comment se passe l’injection de retrait de contenu, car :

• vu les délais, hors de question qu’il s’agisse d’un courrier postal.


• un coup de téléphone n’est absolument pas sécurisé et n’assure en rien l’identité de la personne qui appelle


• un mail, si c’est en général rapide, peut mettre plusieurs heures à arriver… s’il arrive (car le protocole classique de mail n’assure pas la délivrance d’un e-mail)


• une procédure spécifique par hébergeur, cela signifie autant de procédures que d’hébergeurs. Bref, une usine à gaz vu le nombre d’hébergeurs.

Donc je me demande par quel canal les injonctions sont envoyées aujourd’hui…

Le 15/08/2022 à 18h 59

(quote:2088767:127.0.0.1)

Certes, Free c’est du low-cost avec tous les défauts que ca comporte. Mais sans Free vous n’auriez certainement pas les offres low-cost Sosh/Red de Bouygues Orange/SFR.

Le 12/08/2022 à 13h 40

Nicky5 a dit:

Le soucis est qu’on n’a pas la garantie que les données de la BDD ne sont pas en clair :/

Ce n’est pas une obligation de chiffrer les données en base de données. Et si un pirate arrive à récupérer les données, ce qui sera très certainement sanctionné c’est la faille aillant permis d’accéder aux données :

• si la BD est accessible depuis internet => aie


• si les données ont été accédées via une injection SQL => aie (car on s’est très bien aujourd’hui comment s’en prémunir, cela fait parti de l’état de l’art)


• si les données ont été accédées via une intrusion dans le système d’informations => pas aie (en tout cas, pas forcément, ça va dépendre du pourquoi du comment)

Il n’y a qu’une donnée à ma connaissance qui a l’obligation de ne pas être stockée en clair en BD : les mots de passe. Et pour un stockage chiffré (et non hashé), il faudrait avoir de très sérieuses justifications devant la CNIL pour que cela ait une chance de passer…

Maintenant, il y a un élément à prendre en compte dans l’article 32 du RGPD, c’est le “coûts de mise en oeuvre” de la sécurisation. Un truc qui ne coute rien (comme un certificat let’s encrypt pour sécuriser les communications), ça risque de faire en cas de contrôle. Un dispositif de sécurité qui nécessiterait une refonte complète du système d’information et donc des coûts prohibitifs n’est pas nécessaire si d’autres viennent compenser ce dispositif.

Pour le cas de la base de données, il n’est pas nécessaire de procéder à un chiffrement par colonne par exemple, si on chiffre toute la base d’un coup, ou si la partition sur laquelle est stockée la base de donnée est elle-même chiffrée.

Une mesure, seule et isolée peut sembler inutile. Mais un ensemble de mesures non. Par exemple, base de données non disponible sur internet, IPs filtrées, stockage chiffré, log des activités et monitoring des activités suspects, gestion de droits, etc…

En tant que simple utilisateur, il est quasiment impossible de connaître les mesures qui sont effectivement mises en place. Il y a seulement des éléments qui peuvent alerter sur quelques manquements (connexion HTTP et non HTTPS, renvoi du mot de passe en clair par mail au lieu d’une réinitialisation, …)

Le 12/08/2022 à 12h 23

Si le RGPD ne mentionne pas directement le chiffrement en tant que tel (cf. Article 32), il impose la sécurisation des données.

La sécurisation des données se fait en fonction de l’état de l’art. Et aujourd’hui, il en ressort que :

• le chiffrement des communications (par exemple HTTPS au lieu de HTTP) est facile à mettre en oeuvre, tant du point de vue technique que du point de vue coût (ça ne coute pas grand chose, voir rien)


• le chiffrement du stockage (persistance) permet d’éviter des fuites de données en cas d’accès “physique” non autorisé (par exemple, en cas de perte d’un disque dur ou par un prestataire d’hébergement) ou d’intrusion. Là encore, il existe de nombreuses solutions. Chiffrement niveau du système de fichiers, des fichiers eux-mêmes, de l’applicatif, qu’importe, il faut que l’accès physique aux données ne compromettent pas leur confidentialité.

On peut également se référer aux sanctions de la CNIL, où le défaut de chiffrement est plus ou moins régulièrement sanctionné. Et surtout, l’état de l’art évolue. Donc ce qui est sécurisé un jour peut ne plus l’être le lendemain. L’usage de protocoles devenus obsolètes (comme SSL) est donc à proscrire.

Au passage, concernant le chiffrement des données de santé, la CNIL a déjà prononcé des sanctions à l’encontre de 2 médecins pour défaut de chiffrement. Il s’agissait de données de santé avec imagerie (compte rendu, scanner, etc…) donc avec un gros risque pour les patients en cas de fuite.

Le 12/08/2022 à 10h 16

mips_mips a dit:

@fdorin: Et que penser de Doctolib ? Perso je suis très remonté, non pas contre Doctolib mais contre les professionnels de santé qui sans le dire explicitement inscrivent les rendez vous sur Doctolib, alors que je n’ai pas de compte chez eux et que je ne souhaite pas en avoir.

Dans un sens, vous avez raison. Le praticien devrait vous informer des traitements de données, surtout qu’il s’agit de données sensibles (données de santé).

En théorie, Doctolib a mis en place le chiffrement de bout en bout, et donc l’accès aux données ne devrait pas être possible. En pratique, j’ai ouïe dire que certaines données n’étaient pas chiffrées, comme les données de rdv ou de spécialiste consulté.

Et sur ce point, vous avez entièrement raison : une consultation chez un médecin EST une donnée de santé, et devrait donc être protégée.

Maintenant, je n’ai pas creusé les détails de ce dossier. Mais le chiffrement de bout en bout n’est pas une obligation, et n’est pas sans impact sur ce qu’il est possible de faire. Si les données de rdv du médecin étaient chiffrées de bout en bout de même que vos informations personnelles liées à votre compte, il serait très difficile de faire le rapprochement entre les deux…

Et pour que les choses soient claires, je parle bien du chiffrement de bout en bout qui n’est pas obligatoire. Le chiffrement, notamment lors du stockage et de la communication (échange sur le réseau) lui l’est.

Le 11/08/2022 à 13h 17

garn a dit:

Tu as surement raison d’un point de vue pécunier mais ca n’est pas ce qui importe a ces entreprises si tu leur dis “ok vous payez 100% de votre bénéfice sur 3 ans mais après vous faites ce que vous voulez”, elles signent.

Je ne partage absolument pas ton point de vue. Déjà, parce qu’on ne peut pas généraliser sur ce que veulent les entreprises. Et à moins d’être au conseil d’administration d’une de ces entreprises, tu ne peux rien dire. Et si c’est le cas, tu pourras juste le faire pour cette entreprise en particulier.

Ensuite, comme je l’ai dis plus haut, l’amende n’est pas un passe droit. Si l’entreprise ne fait rien, elle peut s’en prendre d’autres après le délai qui lui aura été accordé. Et les délais de la CNIL sont relativement court (quelques mois).

Sans oublier que la CNIL peut mettre une astreinte en cas de non respect, pour un montant maximum de 100 000 € / j de retard (36 millions / an, ce n’est pas rien dans le cas qui nous occupe). Sans oublier non plus qu’en cas de non respect de l’astreinte, tu peux être sûr que la CNIL va réexaminer le dossier (on ne peut pas vraiment dire le rouvrir puisqu’il serait clos uniquement une fois l’injonction respectée). Le non respect d’une injection relève ensuite du pénal (si je ne dis pas de bêtise, si un professionnel du droit pouvait confirmer/infirmer) et peut donc mener à des poursuites judiciaires.

Enfin, et surtout pour une entreprise côté en bourse, avec des actionnaires à qui rendre des comptes, l’argent est tout, sauf secondaire.

Le 10/08/2022 à 11h 54

garn a dit:

je ne parle pas de couler l’entreprise, mais j’ai travaillé dans suffisamment de grandes entreprises pour savoir que oui, 60m pour criteo c’est rien. Après, on peut pas faire plus, c’est la législation qui compte, donc mieux vaut 60m que rien du tout

Honnêtement, même avec la meilleure volonté du monde, je ne sais pas comment on peut dire cela. 60 millions, dans le cas de Criteo, c’est presque la moitié du bénéfice au niveau mondial, et c’est plus que le bénéfice réalisé au niveau européen. C’est tout ce que l’on veut, sauf rien. 60 millions pour une boite qui faite 60 milliards de bénéfices, oui, c’est rien, je suis d’accord. C’est loin très d’être le cas ici.

Je n’argumente pas contre Criteo en particulier, même si je ne suis pas fan de ce type d’entreprise. C’est juste logique de ne pas trouver l’amende dissuasive.

Deux choix s’offrent à Critéo :

• se mettre en conformité et ne plus payer d’amende à ce sujet à l’avenir. Ou


• quitter le marché européen (et pour une boite française, ce serait le comble).

Comment peut-on trouver que l’amende n’est pas dissuasive ? Car une amende CNIL, c’est pas un laisser passer pour l’avenir. Tant que l’entreprise ne se sera pas mise en conformité, la CNIL pourra revenir et infliger d’autres amendes, et si la société ne fait rien, il n’est pas absurde d’imaginer que le contrôle serait plus rapide et le montant de l’amende atteindre rapidement le maximum en cas de récidive.

Une sanction de la CNIL, c’est au minimum une mise en conformité dans un délai imparti. Il peut y avoir une sanction financière (mais ce n’est pas une obligation) ainsi qu’un devoir d’affichage de la sanction (pour la rendre publique).

Le 09/08/2022 à 16h 36

C’est exactement ça. Et si on y réfléchit 2s, s’attaquer aux régis et non aux sites est contreproductif. Si une régis coule, il y aura toujours les autres (et elles, elles ne seront pas forcément française ou européenne pour leur coller une amende).

Mais tant que les sites ne changeront pas leurs manières, si une régis coule, ils vont simplement… passer à une autre !

Le 09/08/2022 à 07h 23

Non. Une amende n’est pas une provision et est imposable.

Résultat des courses : 60 millions d’amende = 60 millions de perte de bénéfice. Que le montant de l’amende ait été prévisionné ou non ne change rien, cela ne fait qu’étaler cette perte de bénéfice.

que ce soit proche du maximum possible est une chose, c’est ce maximum qui est faible

4% du CA mondial, c’est loin d’être négligeable, pour une amende à portée européenne. Si on rapporte cela aux bénéfices, le montant de l’amende est supérieur aux bénéfices réalisés en Europe. Mais vous avez raison, ce “n’est rien et pas suffisant”.

Je ne porte pas spécialement les entreprises comme Criteo dans mon coeur, mais il faut arrêter de dire que ce n’est pas suffisant. Tant qu’une amende ne permettra pas de couler une boite pour certains, cela ne sera pas suffisant…

Le 08/08/2022 à 12h 31

BlueSquirrel a dit:

Dans le cas de Critéo et autres entreprises du genre le consentement est la seule base légale possible. D’ailleurs c’est la pire des bases légales existantes, tu passes par elle justement quand tu n’as pas de bonne raison légitime d’exploiter les données, ce qui est le cas de ce genre d’entreprise qui ne fournit aucun service aux utilisateurs.

Au contraire, le consentement, c’est la voie royale, car tu as un accord explicite non sujet à interprétation. L’intérêt légitime, à défaut d’avoir une jurisprudence dessus, est aussi utilisable. C’est une question d’interprétation et c’est d’ailleurs pour cela que les premières décisions de la CNIL à ce sujet vont être très intéressantes (et sans doute qu’elles prennent également autant de temps).

Si si, besoin. Sinon la plupart des concepteurs de navigateurs ne miserait pas autant de marketing sur la vie privée : Ils ont identifié un besoin et y répondent pour que leur produit (le navigateur) se “vende”.

Identifier un besoin (=une demande) et avoir besoin de (=nécessité) c’est très différent. On est bien dans une demande, et non une nécessite. Ta phrase initiale était donc incorrecte. Ce n’est pas pour le plaisir de jouer sur les mots, mais tu jouais sur les nuances tout à l’heure, donc autant être précis jusqu’au bout ;)

Je te suggère d’aller discuter avec des propriétaires de sites web, le consensus semble être que seule la pub ciblée est suffisamment lucrative pour que le site puisse en vivre. Donc le business de la pub peu ou pas ciblée…

Je me souviens d’une époque où pourtant cela marchait très bien. Avec l’apparition des bloqueurs de pub (et donc la diminution des revenus), ils (=les sites) ont cherché à augmenter autrement les revenus… via des publicités ciblées plutôt que de réfléchir à changer leur mode de financement basé exclusivement sur la publicité et d’une manière complètement disproportionnés pour certains d’entre eux.

Résultats des courses : parce que des sites ont eu de mauvaises pratiques, on s’attaque aux régis publicitaires. Le problème n’est pas la régis publicitaire en tant que tel, le problème est ceux (=les sites) qui les utilisent.

Le fonctionnement d’une régie publicitaire peut tout à fait être compatible avec le RGPD. Dire que le RGPD a tué le business de la publicité ciblée est un contre-sens. S’attaquer aux régis en leur reprochant des pratiques qui ne relèvent pas de leur ressort, c’est être à côté de la plaque (j’ai bien dit “des” pratiques et pas “les pratiques”, nuances importantes car il y a bien des griefs tout à fait justifiés à leur encontre)

Et non, ces annonceurs ne veulent pas simplement afficher une pub quitte à ce qu’elle soit non-ciblée, ils contournent activement les techniques mises en place pour empêcher le traçage, car c’est sur la data que leur business est fondé, sur le profilage le plus précis possible des gens, pas sur des pubs random non-ciblées qui génèrent quasi aucun clic justement car non-ciblées et donc pas ou peu pertinentes.

Sauf que tu oublies un détail (que j’ai pourtant déjà mentionné) : pas de pub affiché = pas de revenus. Tu pourras avoir derrière toutes les données que tu veux sur les utilisateurs, si tu ne peux pas le monétiser derrière, cela ne sert à rien. L’objectif premier, c’est donc bien l’affichage de la publicité.

De très nombreux sites peuvent afficher une publicité ciblée sans traçage car s’adressant à un lectorat particulier.

Le jeu du chat et de la souris sur les mesures techniques de traçage/antitraçage/affichage de pub, etc… c’est parce qu’on a aujourd’hui

1. un web qui paie les excès et abus de certains et


2. qui refuse de/n’arrive pas à se renouveller et s’adapter.

Ces entreprises tentent de contourner les bloqueurs non pas pour leur composante anti-pub, mais avant tout pour leur composante anti-traçage.

Non. cf ci-dessus.

Le 08/08/2022 à 10h 27

BlueSquirrel a dit:

Sans consentement valide de l’utilisateur, grosse nuance, l’information n’est pas du tout suffisante, on est plus en pré 2018 avec les bandeaux “ce site utilise des cookies, en poursuivant votre navigation vous l’acceptez”. Le RGPD exige que le consentement de l’utilisateur soit recueilli, et que ce consentement soit :

1. je n’ai jamais dis que l’information était suffisant. J’ai dis que c’était nécessaire


2. le RGPD n’exige pas le consentement. Le RGPD exige une base légal et le consentement en est une. Le RGPD précise en outre que pour qu’un consentement soit considéré comme valide, il doit être éclairé, univoque, libre et spécifique.

Les annonceurs ne veulent pas te demander ton consentement, ils veulent que tu le donnes : ici encore, grosse nuance. Ils savent très bien que s’ils demandent simplement et honnêtement la plupart des gens va refuser et ils vont donc mourrir. C’est pour ça que la plupart des pop-ups cookies violent tout ou partie des 4 critères de validité que j’ai listé plus haut.

Enorme amalgame entre un site affichant de la publicité (et recourant à un annonceur) et l’annonceur lui-même. Et le fait que la demande de consentement sur le site X ou Y soit bancal n’est pas la faute de l’annonceur.

Navigateurs qui répondent au besoin des utilisateurs de ne pas être pistés. Et j’ai comme un doute, la plupart des gens étant sur Chrome, qui est à la traîne côté vie privée (normal, c’est Google derrière).

Pas besoin. Le droit, ou l’envie, si tu veux, mais ce n’est pas un besoin. Idem pour les bloqueurs

D’ailleurs les bloqueurs sont un excellent exemple du fait que les annonceurs veulent te forcer la main : le fait que l’utilisateur ait un tel bloqueur s’apparente à mon sens à un refus de donner son consentement pour être pisté. Mais alors pourquoi existe-t-il un jeu du chat et de la souris permanent entre les annonceurs qui tentent de contourner les blocages (par ex via alias CNAME) et les bloqueurs qui s’adaptent aux contournements ? Parce que les annonceurs veulent pister quand même ces utilisateurs qui manifestent pourtant très clairement le souhait de ne pas l’être :)

C’est ton interprétation. L’apparition des bloqueurs, ce n’était pas tant pour éviter le pistage, mais plutôt pour accélérer le chargement des pages, notamment celles qui abusaient de la publicité, à une époque où les connexions haut-débits n’étaient pas encore aussi répandu, et sur mobile pour diminuer la consommation de data.

L’origine ne trouve absolument pas son origine contre le tracking, mais contre le confort d’utilisation (chargement plus rapide) et gain (moins de data = facture moins grosse).

Parce que les annonceurs veulent pister quand même ces utilisateurs qui manifestent pourtant très clairement le souhait de ne pas l’être :)

Parce qu’ils veulent surtout afficher de la publicité. Une publicité non affiché, c’est une publicité qui aura 0 chance d’être cliquée. Une publicité non traquée sera seulement moins ciblée.

Le 08/08/2022 à 09h 18

BlueSquirrel a dit:

Ca reste donc rentable. C’est sûr que ça l’est moins que s’il n’y avait pas l’amende, mais ça reste bien plus rentable que mettre la clé sous la porte en se mettant en conformité.

Non, rien n’indique que la mise en conformité provoquerait la mise sous la porte et couterait plus cher que l’amende.

Le RGPD a juridiquement tué la pub ciblée, point.

Absolument pas. Le RGPD a mis un terme à la jungle où chacun faisait ce qu’il voulait. Le RGPD n’a pas pour but de tuer le business des entreprises, mais de cadrer les choses, notamment :

• en obligeant les entreprises à faire l’état des lieux des données collectés et des traitements ;


• à minimiser les données collectées (le “on collecte et on verra plus tard” n’est pas toléré) ;


• à s’assurer d’avoir une base légale pour le traitement des données (et non, le consentement n’a jamais été l’unique base légale, il y en a 6, dont l’intérêt légitime)


• à informer les gens de leurs droits et des traitements.

Il est dommage que nous n’ayons pas le rapport préliminaire de la CNIL, cela permettrait d’y voir beaucoup plus clair. On ne peut que se baser sur les éléments fournis par Privacy Internal sur tweeter. Si on les reprends :

1. défaut d’information. Mise en conformité possible


2. défaut de compréhension de ce qu’est la pseudonymisation : mise en conformité possible


3. le croisement des données en tant que tel n’a rien d’illégal. Comme tout traitement de données, il doit avoir une base légal et les utilisateurs informés => mise en conformité possible


4. défaut d’information. Mise en conformité possible.

Etonnamment, Privacy International ne semble pas, dans ses griefs, mentionner l’absence du droit à l’opposition.

En bref, le RGPD n’a pas tué la publicité ciblée. Elle a tué le tracking en douce sans information à l’utilisateur.

Et du point de vue des dégâts sur la publicité ciblée, plus que le RGPD, je pense que les navigateurs et les adblockers ont fait plus de mal encore à ce secteur en ajoutant jour après jours des mécanismes de protection de la vie privée.

Le 08/08/2022 à 08h 13

Non, ils ne s’en foutent pas un peu, car ce qui compte, c’est de comparer le montant de l’amende par rapport aux bénéfices, pas par rapport au CA. Les bénéfices en 2021 sont de 134 millions de dollars. L’amende est de 60 millions d’euros. Presque la moitié du bénef, c’est loin d’être rien.

Quant à la faiblesse du montant reproché par certains, on n’est pourtant pas très loin du maximum autorisé (qui serait dans les 80 millions d’€).

Le 06/08/2022 à 18h 24

Alors 4% du CA c’est déjà énorme, et tu voudrais plus ? En gros, ton objectif, c’est couler la boite quoi…

Le 06/08/2022 à 16h 47

4% du CA, c’est pas 4% du bénéfice. Une entreprise peut être condamnée à une amende malgré des pertes.

Et pour information, c’est 4% du CA mondial, pas du CA en France. Donc ça peut faire très mal…

Le 06/08/2022 à 14h 03

Je sais, je l’ai même mentionné dans un autre commentaire

Le 06/08/2022 à 13h 50

Je l’ai pourtant précisé ;) En cas de perquisition d’un local en France, les données stockées aux USA et accessible depuis les locaux perquisitionnés font parties des informations qui peuvent être récupérées lors de le perquisition.

Le 06/08/2022 à 12h 37

mips_mips a dit:

C’est oublier l’extraterritorialité du droit US.

C’est aussi oublier l’extraterritorialité du droit français lorsque cela nous arrange. Lors d’une perquisition par exemple, toute donnée accessible depuis le réseau de l’entreprise est “syphonable” pour analyse ultérieure (cf. Uber et son kill switch), y compris si les données sont situées à l’étranger.

Et bizarement, dans le cas d’Uber, ça pose problème (de ne pas pouvoir accéder aux données), mais quand c’était Microsoft qui protégeait l’accès à des e-mails stockées en Irlande face au FBI, le discours était tout autre…

Les deux positions se défendent. J’ai un avis et honnêtement, il n’importe pas ici (cela n’apporterait rien au débat). Mais par contre, il faut être cohérent :

• soit on approuve l’attitude de Microsoft, et on ne peut pas reprocher à Uber de faire de même ;


• soit on n’approuve pas l’attitude d’Uber, et dans ce cas là, celle de Microsoft non plus.

Le 11/08/2022 à 06h 28

OB a dit:

Pour moi j’ai tj pas résolu la question de savoir si il vaux mieux garder un équipement vieux et énergivore avec des limitations en bande passante , ou bien le remplacer par un équipement plus moderne, qui passe plus de débit (notamment par une meilleure efficacité d’usage du spectre radio) tout en consommant moins, mais qu’il a fallu construire et concevoir avant…

Un élément de réponse de la part de l’ADEME : le construction seule d’un téléphone portable représente les ³⁄₄ des émissions équivalents de CO2 durant la durée de vie dudit téléphone. Le reste, c’est la distribution (qui doit représenter environ la moitié de ce qu’il reste si ma mémoire est bonne) et l’utilisation.

Si ton objectif c’est de réduire ton impact environnemental, la question est donc de savoir si le différentiel de consommation entre les deux téléphones à l’utilisation compensera l’achat du nouveau. A moins d’avoir une utilisation particulièrement intensive et longue du téléphone nécessitant de le recharger 3x par jour, il y a peu de chance que cela soit le cas.

Le 09/08/2022 à 16h 28

gathor a dit:

Oui, de manière générale il est ici question des minimums pour chaque niveau de RAID

Justement, à la lecture, on n’a pas l’impression que c’est un minimum, mais un absolu

Le 09/08/2022 à 13h 49

Le RAID 6 n’est pas limité à 2 disques pour la parité. C’est certes l’usage le plus courant, mais il existe des RAID 6 avec plus de 2 disques de tolérance. Ils sont moins utilisés car les calculs de parité sont bien plus gourmands, mais ils existent ;)

Le 09/08/2022 à 08h 09

Hebus a dit:

Tout à fait raison. Pour ceux qui veulent un exemple sur le comportement identiques des Américains, lisez le livre “Le piège américain” sur les déboires d’un francais qui bossait chez Alcatel Alstom et qui est allé en taule au US juste pour que les ricains puisse racheter Alstom. https://livre.fnac.com/a12948288/Frederic-Pierucci-Le-piege-americain

Ca fait froid dans le dos, mais c’est à lire.

Et je confirme, lecture très intéressante. Existe aussi en BD !

Le 07/08/2022 à 16h 07

Merci. Ca explique clairement le caractère aléatoire et son fonctionnement.
Pour résumer en quelques mots : c’est une randomisation persistante, sauf pour les réseaux Wifi public à partir d’Android 10, où c’est une randomisation non persistante.

Le 07/08/2022 à 13h 43

(quote:2087524:matrix-bx)

Nuançons un peu, un périphérique ne laisse une trace que sur les bornes auxquelles ils se connecte, pas sur celles qui sont simplement au voisinage (c’est possible, mais il faut une config particulière pour le faire et je n’ai jamais lu ou entendu dire que les box le faisaient).

C’est pour cela que l’adresse MAC est aléatoire lors du scan des réseaux wifi depuis peut être une dizaine d’année maintenant ;)

De plus comme mentionné précédemment les périphériques récents utilisent de plus en plus des MAC changeantes précisément pour contrer ce genre de pratiques de traçage.

Les péripéhriques Android et iOS récents oui. Les plus “anciens” pas forcément. Et avoir le support des MAc aléatoires ne signifie pas que cela soit activé par défaut. Pour Android, ce n’est le cas que depuis la version 10 (3 ans donc). Et il n’y a pas que iOS et Android comme smartphone (même s’ils représentent aujourd’hui la grande majorité)

Enfin, même si les MACs des périphériques ne sont pas/plus collectées, ce qui est plus que souhaitable, si l’ANFR est en mesure de déterminer la MAC d’un périphérique perturbateur alors elle est aussi en mesure de déterminer la MAC du point d’accès de raccordement dans le cas où ce périphérique est bien associé à un PA (il suffit de capturer une trame, elle contient ces 2 infos).

Je ne suis pas certains que l’ANFR décodent les trames. Je pense qu’elle se sert du signal perturbateur comme d’un phare et tel un papillon de nuit, se dirige vers la lumière. C’est l’impression que j’en ai en tout cas quand on lit leurs enquêtes

Le 06/08/2022 à 20h 50

(quote:2087515:matrix-bx)

Donc pour revenir à la question du départ, le FAI pourrait-il être en mesure de communiquer à l’ANFR l’adresse précise de localisation d’une adresse MAC si celle-ci est utilisée sur son réseau ? J’ai toujours tendance à le croire et rien jusqu’ici ne m’incite à envisager le contraire.

Au vue des évolutions règlementaires et de la prise de conscience des risques pour la vie privée des utilisateurs ces dernières années, j’ai plutôt tendance à penser le contraire.

Vu le maillage des wifi des grands opérateurs, avoir l’adresse MAC des périphériques connectés, c’est pouvoir suivre à la trace énormément de monde (à travers leur téléphone portable notamment). Est-ce que les opérateurs prendraient ce risque aujourd’hui et ainsi que celui de se prendre une grosse amende par la CNIL pour un bénéfice nul ? J’en doute (mais je vis peut être dans un monde de bisounours ^^)

Le 06/08/2022 à 16h 45

(quote:2087505:matrix-bx)
Pour le coup c’est toi qui présumes ;)

Je ne dis pas qu’il n’y a pas d’info envoyé, je dis simplement que je doute fortement que ce soit directement les logs. Un FAI n’a que faire des logs DHCP de ses millions de clients ;)

La dernière fois que j’ai regardé, il y a quelques années déjà

Oui, tu l’as dis, en 2008. Cela fait 14 ans quand même, beaucoup de choses ont changé depuis ;)

mais ces transferts se faisant en https et non plus en clair comme précédemment, impossible de dire précisément ce qu’ils contenaient ou ne contenaient pas.

Voilà, impossible de dire ce qu’il y a dedans. Qu’il y ait des informations envoyées vers le FAI, cela ne m’étonne guère, ne serait-ce que pour avoir un état interne de la box et détecter des dysfonctionnement.

Et c’est pas vraiment la question, un serveur DHCP ça log la MAC du client qui demande un bail. Pour éventuellement pouvoir faire du debug, pour ne pas attribuer deux fois une même IP, pour pouvoir redonner la même IP au même client quand il renvient, pour pouvoir faire de l’allocation d’adresse IP fixe, pour remplir la table arp de manière sécurisé et empêcher qu’un autre client puisse détourner le trafic en empoisonnant cette table, … Que ce soit dans une box ou chez un FAI, ça fonctionne de la même manière.

Ca je suis d’accord. Maintenant, ce qui se passe chez le client, le FAI s’en fiche (ou en tout cas, n’a pas à le savoir).

Et chez lui, il n’a pas besoin de l’adresse MAC de l’interface WAN, puisqu’il se base sur des informations d’authentification ;)

J’ai un accès parfaitement légitime à ce serveur radius.

Je n’ai pas supposé un accès illégitime, juste de la curiosité sur comment. J’imagine donc que c’est par ton travail que tu as un accès à ce type de serveur chez un FAI en particulier. On est d’accord pour dire que l’accès à ce genre de log n’est pas possible pour le quidam lambda ?

Le 06/08/2022 à 15h 03

(quote:2087499:matrix-bx)
Un log DHCP, c’est un log DHCP, par défaut ça log la MAC du client qui demande un bail.

Mais reste sur la box et n’est pas envoyé au FAI !

Le log radius est bien pris chez un FAI.

Du coup, je suis curieux : comment as tu fais ?

Le 06/08/2022 à 13h 46

(quote:2087487:matrix-bx)
Elle était présente dans tous ceux que j’ai pu voir. sur un PA:

Ce sont des logs des équipements qui se connectent à la box, pas les logs côté FAI ;)

Du coup on ne doit plus logger les IP non minimisées non plus ? La prochaine réquisition va être fun.

Je n’ai pas dit ça. Je dis juste que le RGPD s’applique. Récolter une donnée personnelle pour le simple loisir de la collecter n’est pas autorisé. Récolter une donnée pour atteindre une finalité en se basant sur l’une des 6 bases légales l’est ;)

Là on discute pour savoir si les FAIs logges ou pas la MAC WAN des clients, c’est pas la question de départ qui concernait celle de l’interface wifi.

Forcément, si on ne parle pas de la même chose, c’est normal de ne pas se comprendre ;)

Pour le wifi, de mon côté, ma box ne me permet pas d’accéder aux logs.

Le 06/08/2022 à 12h 22

Tout à fait. Mais ça, ce n’est pas à toi, en tant que “fournisseurs d’accès” de le définir. Maintenant, le côté aléatoire, c’est par réseau me semble-t-il, et pas par connexion. Autrement dit, si tu te connectes 3x sur le même réseau, tu auras toujours la même adresse MAC.

Mais si tu te connectes sur un réseau différent, tu auras une adresse MAC différente.

Je n’ai pas vérifié mais j’imagine difficilement qu’il en soit autrement, vu que cela peut poser de nombreux problèmes pour tout les services qui peuvent utiliser une adresse MAC (je pense notamment aux portails de connexion, à la liste des périphériques autorisées sur un réseau, voir même certains parefeux, impossibilité d’attribuer une IP fixe via DHCP, etc…)

Le 06/08/2022 à 12h 10

(quote:2087475:matrix-bx)
la MAC est dans les logs

A moins d’avoir accès aux logs, tu n’en sais rien et ne peux que faire des suppositions. C’est loin d’être aussi simple que tu le dis.

Et dans la mesure où l’adresse MAC est une adresse identifiante au même titre que l’adresse IP, elle est donc une donnée personnelle soumise au RGPD, notamment au principe de minimisation des données collectées.

Le 06/08/2022 à 11h 31

(reply:2087462:matrix-bx)

Concernant la MAC de l’interface WAN, elle est nécessairement dans les logs des BAS et serveurs DHCP qui font l’authentification des clients, la loi en impose la conservation.

Non, la loi n’impose pas la conservation de l’adresse MAC. La loi impose la conservation des données techniques permettant l’identification d’une source, et l’adresse MAC n’en fait pas nécessairement partie.

Tu es un FAI, l’adresse MAC, tu t’en fous royalement. Car tu connais l’abonné au bout de la ligne. Tu sais déjà quel est l’adresse IP que tu lui as attribué, et jamais, je dis bien JAMAIS, tu n’auras une requête du style “qui était connecté à travers tel adresse MAC”.

Tu n’es pas FAI, mais tu mets à disposition une connexion internet à du public (exemples : hotel, macdo, etc…). Les obligations de conservation des données de connexion s’appliquent*, et là, deux choses :

• soit tu as une passerelle avec identification : dans ce cas, pas besoin de l’adresse MAC, puisque tu pourras relier directement l’IP à l’identité de ton client


• soit tu n’as pas de passerelle avec identification : dans ce cas, l’adresse MAC est une donnée technique qui pourra être demandée.

Car la loi stipule bien “les données techniques permettant d’identifier la source”, pas que tu doivent toi-même identifier la source.

Ainsi, si une activité malveillante est détectée à partir de ta connexion internet, tu dois être en mesure de dire soit c’est untel, soit c’est tel terminal (et là, généralement tu fournis l’adresse MAC, car c’est la seule donnée utilisable).

• il y a débat à ce sujet, la justice française dit oui, la justice européenne dit non. Bref, pour éviter les emmerdes, vaut mieux ne pas avoir de requête en ce sens !

Le 05/08/2022 à 16h 32

Un point d’accès Wifi, ce n’est pas nécessairement une box internet. C’est vrai chez la plupart des particuliers, plus rarement le cas dans la plupart des entreprises.

Hors défaillance (ce qui peut toujours arriver), il y a vraiment peu de chance qu’une box d’un FAI vienne créer des perturbations (car dans ce cas, ce serait l’ensemble de la gamme, et cela ferait très mal !).

Par contre, un routeur Wifi acheté sur internet sur des sites parfois laxistes comme Alibaba ou Wish (ou même Amazon avec les revendeurs tiers) qui ne respecteraient pas la législation, cela me semble beaucoup plus plausible.

Ou un routeur sous OpenWRT mal configuré permettant l’usage de canaux interdits en France mais autorisés dans d’autres pays.

Maintenant, j’ai envie de dire qu’il faut relativiser :vue le nombre d’équipements émetteur (les routeurs, point d’accès, terminaux mobiles, etc…) que l’on peut estimer de l’ordre du millions voir de la dizaine de millions en France et la portée parfois très importante (plus de 100km !), on pourrait s’attendre à avoir beaucoup plus de perturbation…

Bref, on a quelque cas exceptionnels, et si on retire les perturbations volontaires (à base de brouilleur), je pense qu’on peut dire qu’on a une couverture réseau qui ne se porte pas trop mal vu le nombre d’équipements en jeu :)

Le 04/08/2022 à 19h 32

patos a dit:

En pleine journée, une base de données de production à restaurer, c’est que la production est arrêtée ! Et ça ça ne doit pas arriver, ça coût des dizaines de milliers d’euros par heure sans…. (si ce n’est plus)

A un tel niveau d’impact, si une haute disponibilité n’a pas été mise en place, c’est qu’il y a un problème bien en amont dans le PCA et/ou PRA.

Le 03/08/2022 à 05h 57

patos a dit:

Je ne choisi pas ce que je dépanne…. Moi je les aurais mis en RAID01 double miroir: un RAID 0 de 4 groupes de RAID1 de 3 disques (en plus ça donne plus de patate hihihi), ou au pire en RAID6 avec un hotspare.

Merci pour ton retour J’aurais sans doute fait quelque chose de similaire, avec peut être une hésitation entre un RAID01 et donner directement l’ensemble des RAID1 à la BD

Les LOGs sont tout aussi critiques que la BDD:

Entièrement d’accord. Sauf que je parlais pas de log de BD, mais de log tout court (dans ma tête, système de centralisation de log). Mais je suis passé un peu vite du coq à l’âne, je l’admet !

Le 02/08/2022 à 21h 22

patos a dit:

Tu me comprendras quand tu auras eu une LUN RAID 5 12 disques qui a eu la corruption en plein fichier de base de données…. : moteur crashé, VM en vrac, etc…. Ca s’appelle une mauvaise journée ^_^ (moi ça allait, j’étais le dépanneur hihihi)

Je précise d’avance que monter des RAIDs n’est pas mon métier. Mais un RAID 5 avec 12 disques pour stocker des bases de données, c’est pas un peu… suicidaire ? Quand un disque plante (et ça viendra, forcément, surtout avec 12 disques), le risque est tellement grand que pendant la reconstruction, un autre disque puisse montrer des faiblesses (surtout s’ils sont de la même série !).

Je pose la question comme tu as l’air du métier ;)

Après, pour des données non critique… comme des logs (peu de réécritures, beaucoup d’ajouts), why not…

[edit]
Grillé par CR_B7, qui pense la même chose de moi semble-t-il

Le 02/08/2022 à 19h 49

A ma connaissance, ils utilisent des gammes de disques conçus pour les NAS et les serveurs. Pas du grand public.

Et après une vérification sur quelques références, il semblerait que ce soient bien des disques pour NAS et serveurs

Le 02/08/2022 à 18h 20

Ca peut servir ;)

Le 02/08/2022 à 15h 23

Le RAID 6 n’est pas mort. L’avantage du RAID 6, c’est qu’il peut supporter m disques défaillants sur n, avec m >= 2. On voit souvent que c’est limité à 2, mais c’est une erreur et cela peut aller bien plus loin !

Maintenant, c’est comme tout : il faut dimensionner son RAID en fonction des risques que l’on est prêt à accepter.

L’article de zdnet concernant le RAID 6, je le trouve bien incomplet, sur plusieurs points :

• il est limité à 2 disques défaillants (ce qui est faux)


• l’article assume qu’un disque présentant 1 défaut de lecture est totalement inutilisable (ce qui n’est pas vrai non plus)


• l’article prétend que les défaillances de disques sont corrélés. C’est en partie vrai… pour les disques d’une même série. C’est pour cela qu’il est recommandé de prendre des disques de séries différentes dans un RAID 5 ou 6


• les disques sont SMART aujourd’hui et un bon NAS en tient compte et est capable d’avertir dès qu’une erreur survient ou est sur le point de survenir.

Là où l’article devient intéressant, c’est sur l’augmentation du risque et la probabilité croissante d’avoir des soucis, compte tenu que la taille des disques ne cesse d’augmenter (le To est la norme maintenant) de même que le nombre de disques par grappe.

Bref, pour un RAID 6, si on a peur, on peut limiter la taille de la grappe (soit vis-à-vis du nombre de disques, soit vis-à-vis de leur capacité), ou augmenter le nombre de disques de parité.

Et il ne faut pas oublier non plus que si les NAS gèrent de plus en plus de disques, il est tout à fait possible d’y avoir plusieurs grappes plus petites (réduisant ainsi les risques de défaillance par grappe). Et aujourd’hui, hormis des cas très spécifique, je ne vois guère d’intérêt à avoir une seule et unique grappe de 10To (pour reprendre l’exemple de zdnet).

Pour la reconstruction, j’en ai déjà eu 2 sur mon NAS “personnel” (bais 4 disque, RAID 6 avec 2 disques de parité). La reconstruction prend une nuit, les données restant toujours accessibles et le changement de disque défectueux se faisant à chaud.

Et pour la petite histoire, j’ai déjà eu un disque dur neuf refusé par mon NAS, au motif qu’il présentait des erreurs (remontées via SMART justement). Ce même disque, monté dans un PC classique, ne montrait aucun problème (à l’usage ou via SMART). Du coup, je m’en sers comme périphérique pour des données volumineuses et peu importantes (juste au cas où !)

Le 04/08/2022 à 18h 29

Précisons les choses pour aller jusqu’au bout :

• la suite Office existe toujours en licence perpétuelle (mais n’est pas mise en avant, je le reconnais)


• Office365 c’est une version web


• Office365 c’est une version client lourd


• le client lourd d’Office365 ne nécessite absolument pas une connexion permanente pour fonctionner (tout au plus, une connexion de quelques secondes 1x par mois environ pour la gestion de la licence).

donc, à moins d’utiliser une version en ligne (pour laquelle une connexion permanente est effectivement requise, ce qui va de soit), le client lourd Office365 fonctionne très bien hors ligne. Depuis le nombre d’années que je l’utilise (5 ans), je compte sur les doigts d’une main les fois où j’ai du me réidentifier pour l’utiliser (généralement, à la suite d’une MAJ Windows ou d’office365 lui-même).

Et pour la réidentification, aucun mail. C’est directement le programme qui affiche l’invité de connexion (donc difficile d’être redirigé vers un proxy malveillant quelconque).

Bref, ici, le problème reste le même : du phishing. Et pour lutter contre ça, on peut prendre toutes les mesures que l’on veut, la plus efficace reste l’éducation des utilisateurs : NE JAMAIS SUIVRE UN LIEN CONTENU DANS UN E-MAIL, lorsque l’e-mail n’est pas sollicité :

• “vous avez un message, cliquez ici pour l’écouter” ==> NON !!


• vous lancer une procédure de récupération de mot de passe, et vous recevez un mail ==> OUI (car c’est vous qui avez initiez la procédure et que vous attendez ce mail dans les quelques secondes qui suivent).

Le MFA n’a jamais eu pour but de se prémunir du phishing, mais de l’usurpation de compte en cas de compromission du moyen d’authentification (notamment mot de passe). Dire que l’attaque contourne l’authentification multi-facteur est donc un peu faux… Le problème, c’est les utilisateurs qui manquent de vigilance et/ou de sensibilisation à ce sujet.

Le 03/08/2022 à 10h 05

JnnT a dit:

Les limites du truc sont claires : un parent peut communiquer le code à ses enfants qui eux-mêmes peuvent le diffuser. Sauf qu’il existe divers FAI et que le code est changé tous les mois. Par ailleurs, pas question d’accéder aux sites interdits depuis, par exemple, un Wifi public, mais c’est peut-être mieux.

Pas forcément besoin d’avoir un code unique par FAI, mais pas non plus un code par abonné. Un pool de 1000 code / FAI par exemple serait amplement suffisant :

• un code (parmis les 1000) est associé à un abonnement (ou peut être mieux : le code à utiliser parmis les 1000 est déterminé à partir du numéro de série de la box par exemple)


• le code en tant que tel n’est pas identifiant


• il change tous les mois


• les parents peuvent le donner à leurs enfants (ça reste leur responsabilité)


• les enfants ne peuvent pas le donner à leurs copains (enfin 1 chance sur 1000 que ce soit le même s’ils ont le même FAI)

Comme tu dis, ce n’est pas parfait, mais cela reste une solution simple à mettre en oeuvre, qui responsabilise les parents (en théorie du moins) et peut limiter grandement l’accès à une large proportion de mineurs…

Sauf que se posent la problématique de la communication du code. Qui se sert de l’adresse e-mail de son FAI ? Loin d’être la majorité des gens (beaucoup ne savent même pas qu’ils en ont une !). Bref :

• il faudrait pouvoir l’envoyer sur plusieurs adresses e-mail (au moins 2, une pour chaque parent, sinon, j’imagine bien le scénario “chérie, c’est quoi le code pour déverrouiller l’accès ?”, et à moins de filtrer les réseaux sociaux comme Twitter, Facebook, … la demande du code au conjoint sera “délicate”)


• mais si les réseaux sociaux sont filtrés, les enfants voudront le code et les parents le donneront, faisant s’écrouler tout l’édifice


• cela ne sera pas par courrier postal (coûts trop important pour le FAI)

Bref, si l’idée est séduisante par sa relative simplicité, il reste des zones à éclaircir (quoi filtrer, car il n’y a pas que le porno en théorie qui est visé) et comment transmettre le code.

Le 29/07/2022 à 09h 29

Je suis d’accord, mais il est bien précisé, dans l’extrait que j’ai cité, que certains d’entre eux n’exigeaient justement aucune rançon…

Le 29/07/2022 à 08h 43

Signe qu’elles n’énament pas des gangs habituels, « certaines d’entre elles n’exigeaient pas de rançon, mais semblaient vouloir compromettre “simplement” les activités opérationnelles des victimes

Du coup, peut-on encore appeler ce genre d’attaque une attaque par ransomware ? C’est une attaque par déni de service, si l’idée est “simplement” de compromettre les activités opérationnelles…

Le 27/07/2022 à 21h 26

Xandr0s a dit:

Si tu payes pour avoir le droit à copier des œuvres. Pourquoi mettre des protections pour éviter cette même copie ?

Parce que justement, ce n’est pas un droit “au sens légal du terme”. La loi ne dit pas “vous avez un droit de copie”. La loi dit que la copie est une exception au droit d’auteur qui est tolérée tant qu’elle reste dans un cadre purement privé. De ce fait, les mesures de protection sont tout à fait possible et impossible d’y opposer le droit à la copie, car justement ce droit n’existe pas.

Le 26/07/2022 à 13h 46

Attention, l’article parle des logs de connexion pour les fournisseurs d’accès, qui devaient, d’après la loi française, conserver qui (=abonné + IP + port) va où (IP de destination) et quand (date et heure).

Pour un site internet, ce n’est pas du tout le même régime et il faut distinguer les logs d’accès de consultation (requête HTTP/S) des logs d’accès suite à une authentification (utilisation d’un service)

Le 26/07/2022 à 06h 23

Toutes mes excuses à l’équipe. Ce n’était nullement le but

Le 25/07/2022 à 09h 56

le sais-tu par ouï-dire ou l’as-tu expertisé ?

Oui, je l’ai expertisé, avec un outil appelé “compilateur”. Si tu compiles et que le logiciel est utilisable, c’est que tout le code nécessaire est là. Je t’ai apporté ma preuve, montre moi la tienne

Maintenant, si tu penses que tous les noeuds (plus de 47,000 en 2021) utilisent une version spécifique et non disponible publiquement, avec un bouton d’autodestruction (allez, même pas tout le monde, juste 51% ça suffit), sachant que le système est totalement décentralisé par nature… d”où mon “bon courage”.

Et pour fixer les choses, je ne suis pas du tout pour le bitcoin. J’attends comme beaucoup qu’il se casse la gueule vu l’hérésie que c’est. Mais on peut aussi refuser de lire autant d’âneries sans réagir…

Le 25/07/2022 à 09h 40

anagrys a dit:

Non, une ONG est par définition une organisation qui ne représente pas un gouvernement, rien de plus.

Si, il y a plus. Toute organisation qui ne représente pas un gouvernement n’est pas une ONG !

D’après wikipédia :

L’habitude est de réserver le terme aux personnes morales à but non lucratif financées par des fonds privés. Les principaux critères définissant une ONG sont1 :

• le but non lucratif de son action ;


• l’indépendance financière ;


• l’indépendance politique ;


• la notion d’intérêt public.

Que l’on peut recouper avec la définition de Vie publique

Une Convention adoptée dans le cadre du Conseil de l’Europe en 1986 retient les critères suivants pour qualifier une institution d’ONG :

• avoir un but non lucratif d’utilité internationale ;


• avoir été créée par un acte relevant du droit interne d’une Partie ;


• exercer une activité effective dans au moins deux États ;


• avoir son siège statutaire sur le territoire d’une Partie et son siège réel sur le territoire de cette Partie ou d’une autre Partie.

Les deux ne s’accordent pas. L’un mentionne le coté international comme je l’ai fais, pas l’autre. Mais les deux s’accordent sur une chose : il y a des critères, et l’intérêt public y figure, de même que le côté non lucratif.

Le 25/07/2022 à 09h 09

“Tout le monde” est une cible