votre avatar Abonné

nicobuq

est avec nous depuis le 22 mars 2016 ❤️

50 commentaires

Aujourd'hui à 11h 30

Ils feraient mieux d'utiliser Tchap, la messagerie instantanée sécurisée souveraine développée et mise à disposition par l'État !

Aujourd'hui à 10h 16

Tu peux préciser la question, car tous ces coeurs restent sur une base ARM.

Le 13/10/2024 à 00h 28

Et Opteron ?

Et Athlon ?

Le 10/10/2024 à 17h 10

Meta (le juge Mehta) veut démanteler Google !! :roule:

Le 09/09/2024 à 15h 43

Et re-router ce qui passait par des fibres détruites sur des canaux hertziens/satellites risque de saturer très très vite la bande passante des satellites et de leur faire un équivalent de DDOS.

Le 04/09/2024 à 22h 28

Super !
:merci:

J'ai déjà constaté le comportement décrit sur Element , qui te dis parfois que les messages sont indéchiffrable, et même parfois ceux que j'ai moi-même envoyé (mais avec une autre instance).

:inpactitude:

Dans un usage multi-devices sur un compte, c'est souvent lié à une desynchro des clés de signature croisée (cross-signed).
Si tu as activé la "sauvegarde des messages" (en fait la sauvegarde chiffrée des clés de chiffrement des messages), tu peux alors :
- régénérer la signature croisée depuis le device ayant accès au plus grand nombre de messages
- puis régénérer une "recovery key" depuis ce device automatiquement vérifié

Cela redonnera accès à la sauvegarde des clés de chiffrement à chaque device qui se vérifiera à nouveau contre le device ayant régénéré le cross-signing, et permettra le déchiffrement des messages.

Le 30/08/2024 à 12h 50

Un point que j'arrive pas trop à comprendre:

Si , dans le cas d'un échange pair à pair il reste "relativement" simple d'établir un chiffrement sûr et connu que des 2 parties - par exemple en confirmant via un autre canal un code pin ou autre suite d'image, ou un qrcode comme le fait threema,

comment faire pour qu'un groupe de personne puisse échanger de manière fiable sans pour autant que le serveur ne puisse écouter tous les échanges, soit directement soit en introduisant un "bot" qui se comporterais comme l'un des membre du groupe (et aurait donc accès à tous les messages en clair) ? Et ce sans alourdir la procédure pour se rajouter au groupe (dans le cas supposé où les gens du groupe ne se connaissent pas physiquement et n'ont pas d'autres moyens d'échanger un secret)

Ce que fait la messagerie Element par exemple :
- un participant à un groupe transmet ses clés de chiffrement de SES messages à tous les autres membres du groupe par un canal DIRECT (d'appareil à appareil)
- quand il poste un message (qui sera chiffré par une de ses clés), il poste (le message + l'index de clé utilisée pour le chiffrement) sur le serveur qui dispatchera ce couple d'information

Les clés n'ont jamais transité par le serveur qui n'en n'a pas connaissance.

Pour plus de sécurité, il faut renouveler régulièrement le lot de clés de chacun :
- quand le lot de clés est consommé
- quand un utilisateur quitte le groupe (pour qu'il ne puisse pas déchiffrer les messages suivants)
- au bout d'un certains temps

C'est le 'double ratchet' (bloquer le déchiffrement des messages précédents et suivants) : en cas d'accès aux clés d'un utilisateur à un moment donné, l'écouteur ne pourra avoir accès qu'à une partie des message (le renouvellement de clés définit la largeur de cette fenêtre d'accès).

Le 'double ratchet" est la base du chiffrement de Signal aussi (et des autres clients de messagerie se basant sur le protocole Signal).

Le 04/09/2024 à 15h 06

Concernant Tchap, on fait un peu plus que de la simple intégration.
Et c'est en effet une assez petite équipe en proportion du nombre d'utilisateurs actifs et des contraintes d'hébergement souverain.

Le 30/08/2024 à 09h 33

En supposant que ton chiffrement est incassable en un temps acceptable, tu as toujours la possibilité de faire des attaques par canaux auxiliaires.

Imagine ton satellite espion s'approchant de sa cible pour écouter les émissions électromagnétiques de celle-ci. Si sa cible active ses instruments (e.g., caméras) il y a de fortes chances pour que le satellite espion puisse le détecter et savoir où tu observes. Il ne sait pas forcément ce que tu cherches ni comment tu observes (visible, IR...) mais il sait que tu observes cette région.

Idem, il peut aussi savoir où tu transmets les données par la suite, même si elles sont chiffrées. Si ton antenne de reception terrestre (et aussi d'envoie de commande) se situe en France, tu peux penser que la France est derrière ce satellite et s'interesse à tel et tel zone/objectifs.

Tout à fait, comme sur des messageries qui peuvent être chiffrées E2E, ou les fadettes : le plus intéressants sont souvent les meta-data et non le contenu du message lui-même.

Le 30/08/2024 à 09h 23

Merci pour l'article très intéressant.

Et la vidéo "Women in Games" m'a franchement fait rire. Elle ne m'a donc pas laissé indifférents.
En changeant le genre du personnage féminin, la caricature saute encore plus au visage.

Le 26/08/2024 à 18h 28

Le protocole de chiffrement développé par Signal est largement reconnu comme étant ce qu'il se fait de mieux en terme de chiffrement des communications.
L'implémentation et les spécifications sont accessibles et open source.
Les concepts cryptographiques développés par Signal sont aujourd'hui repris par d'autres.

Pour les groupes, ils ont aussi développé un protocole de très haute qualité qui va bien plus loin qu'une simple clé partagée. Les communications sont protégées contre la compromission des clés.

Ça n'est pas très gourmand en ressources car les primitives cryptographiques utilisées sont peu gourmandes (pas de RSA...). Par ailleurs les opérations cryptographiques sont effectués sur les appareils des utilisateurs et non sur le serveur.

Le mécanisme de "double ratchet" devient problématique sur les gros groupes (plusieurs milliers de participants). Chaque message fait transiter sa clé de déchiffrement vers chaque participant du groupe. Ça pèse alors lourd sur le/les serveurs. Il faut une infra qui suive la route et ça coûte rapidement très cher.

Le 22/08/2024 à 07h 50

SOITEC par exemple, basé en France.

Le 23/07/2024 à 10h 17

Oui, c'est la même chose. Le nom du programme est "beta.gouv" mais l'url où il se trouve est "beta.gouv.fr" ;)

Je confirme.

Le 08/07/2024 à 12h 03

Ils vont peut-être redécouvrir Pluton ? :roule:

Le 16/05/2024 à 14h 35

BASIC ou GFABASIC ?

GFA pour moi sur Amiga (après avoir revendu mon Atari)

Le 08/03/2024 à 19h 57

Je pense que nos jeunes actuels vont être exposés à tellement de fake news qu'une certaine part va développer un esprit critique aiguisé.
Mais une certaine part seulement, et je ne connais pas la proportion de cette part.

J'espère qu'elle sera élevée et qu'on ne tombera pas non plus dans l'excès inverse : la paranoïa.

Le 29/12/2023 à 20h 09

Paa nécessairement européen. Il manque des standards tout court. Avant avec IRC c'était facile. Aujourd'hui quel standard de messagerie peut proposer qqch d'aussi souple ? Chaque solution a ses protocoles, on n'est juste pas dans la bonne vision.

Quelles messageries proposent ce standard : Tchap, Element… ou tout autre messagerie basée sur le protocole Matrix fédéré !

Le 17/12/2023 à 17h 52

Franchement, il y a quand même pas mal de taff pour faire un bastion tout intégré avec coffre fort et chaine de confiance, tout en gérant l'intégrité des logs.

Tchap aux dernières nouvelles est sur une voie de garage, il y a eu des soucis. Maintenant il est préconisé l'utilisation de OLVID.

Edit: et un énorme problème d'une solution "faite maison" est sa soutenabilité. Surtout dans le secteur public, ce qui explique -hélas- la présence de contrats avec des sociétés privées avec des factures mirobolantes. Parce qu'elles savent qu'elles sont indispensables, faute d'avoir l'attractivité nécessaire à avoir les compétences pour internaliser un tel projet.
Sans parler des contraintes liées à l'homologation, notamment.

Tchap n'est absolument pas sur une voie de garage, crois-moi :-)

Olvid est difficilement déployable sur la cible de Tchap.

Le 04/12/2023 à 10h 27

Cela me semble indispensable de ramener ce IA à des statistiques en effet.

Actuellement, ces IA ne comprennent pas ce qui leur est demandé et ne comprennent pas ce qu'elles génèrent.

Le sens est donné par l'utilisateur.

Pourquoi qualifier cela d'Intelligence ?

Il faudrait peut-être en français trouver un terme dont la signification se rapproche plus de la signification d'"Intelligence" dans la culture anglo-saxonne, comme la "business intelligence" : l'informatique décisionnelle : fr.wikipedia.org Wikipedia

Le 12/10/2023 à 07h 40

Article très intéressant, merci.



Et commentaires encore plus intéressants. Très chouette récit sur l’activité radio-amateur.



Un coup d’œil dans le rétro pour voir d’où on est parti et quels chemins ont été pris est toujours instructif.



Et quel plaisir de lire une suite de commentaires courtois et argumentés ! ;-)

Le 06/10/2023 à 16h 28

Un ami l’a et m’en a parlé le week-end dernier. il le trouve TRÈS intéressant.



Cet ami est coach pour start-ups.

Le 26/09/2023 à 09h 01

Bienvenue Ferd !



C’est motivant et plein d’assurance. Une vision plus claire ?



En tout cas, it’s a new hope !



Je continue l’aventure avec vous !!

Le 11/09/2023 à 15h 43


Merci pour toutes ces années à gérer nextInpact et bonne chance pour la suite.



:smack:

Le 23/08/2023 à 10h 46

Les IPA d’iOS sont en effet des fichiers ZIP.
Les APK d’Android sont aussi des fichiers ZIP. Le renommage enn .zip permet de les décompresser.

Le 24/07/2023 à 15h 19

On a parfois l’impression en ce début de l’IA que c’est l’humain qui est au service de l’IA pour lui permettre d’accomplir sa promesse alors qu’au final, ce devrait être, j’espère, l’IA qui est au service de l’humain.



Bon, d’un point de vue pragmatique, c’est surtout l’IA au service de la maximisation du bénéfice.

Le 23/07/2023 à 11h 12

J’aime beaucoup le format narratif de cette suite d’images (mini BD ou comic strip quoi) plutôt qu’une suite d’illustrations sans lien entre elles.



Bravo et merci Flock :-)

Le 20/07/2023 à 09h 02

Merci pour ce très bon article, bien fouillé, bien écrit et bien fourni en références !

Le 15/06/2023 à 08h 14

Ce devait en effet être passionnant et assez unique comme expérience.

Le 09/06/2023 à 09h 30

Le Besoin en Fond de Roulement semble donc être de l’ordre de 40.000 euros/mois.
Avec 7.000 abonnés, ça fait 6 euros/abonné/mois.



L’équilibre n’est pas loin en effet, et bravo ! Mais il faut arrêter les promos alors :-)



2 sponsors (plus sûr que 1 seul) et des aides d’état (possible ?) seraient suffisants.



Courage.

Le 08/06/2023 à 07h 58

Mince.
Mais comme disent d’autres, pensez à vous d’abord. Et ce n’est pas de l’égoïsme mais de la bienveillance.



Sinon, trouver un investisseur milliardaire intéressé par votre ligne éditoriale (Klaba, Niel,…?).



Adieu l’indépendance mais bonjour les perspectives.



Bon courage en tout cas.

Le 17/04/2023 à 09h 18

Travaillant en freelance dev mobile depuis très longtemps, la semaine dernière, une plateforme de mission me disait que les grands compte n’était plus chaud pour le full-remote. Au contraire des start-ups.
Concernant les levées de fonds, Paris est saturé de demandeurs depuis quelques années. Difficile de se faire choisir au milieu d’un choix de très bons candidats pour les investisseurs.

Le 01/03/2023 à 07h 20

Leur système de plugins étant propriétaire et donc non répandu ou utilisé par des équipes externes ou d’autres entreprises, il n’était pas possible pour les développeurs de trouver des réponses sur Stackoverflow lorsqu’ils étaient confrontés à une erreur ou un problème.

Le 09/12/2022 à 16h 41

Bravo à vous.
Je vous suis sur le nouveau tarif.
Merci pour la qualité des articles et l’ouverture sur le sociétal des nouvelles technologies.

Le 16/09/2022 à 17h 10

Abonné depuis plusieurs années, si le tarif augmente, je vous suivrai.
L’information de qualité se paie.
Merci pour votre travail.
Mener une entreprise n’est pas simple tous les jours; et mener une entreprise en respectant des valeurs est encore moins simple.
Bravo !

Le 08/09/2022 à 09h 33

Très bonne machine en effet (légère, solide, bonne autonomie et bonne puissance).
À noter que la version AMD (en 2020) ne gérait pas le DisplayPort sur l’USB-C contrairement à la version Intel.

Le 20/07/2022 à 08h 03

Apple a pris une fois la main à distance sur un iPhone que je n’arrivais pas à connecter à l’AppStore.
C’était moi qui avait appelé le service Support Apple par le numéro officiel, donc j’étais “en confiance”.
Mais les services Support peuvent proposer de prendre la main à distance.

Le 04/05/2022 à 06h 39

Je n’avais pas compris ça pour le play store. Pour moi ils s’agissaient du compatibilité montante des applications, les développeurs pouvant conserver une appli descendante pour les utilisateurs. Je me trompe ?

Sur le Play Store, les applications doivent être compilées contre une version récente du SDK (v31 actuellement au niveau du paramètre compileSdkVersion du build.gradle), mais peuvent être distribuées et installées sur des systèmes plus anciens (paramètre minSdkVersion du build.gradle. Je déploie sur du SDK 21 actuellement, c’est-à-dire Android 5.0).




  • Le compileSdkVersion définit le niveau de fonctionnalité du SDK auquel l’application peut faire appel.

  • Le targetSdkVersion définit le niveau du SDK contre lequel l’application doit être testée (souvent égal au compileSdkVersion).

  • Le minSdkVersion définit le niveau minimum du système Android en capacité d’accepter de faire fonctionner l’application (peut-être sans quelques fonctionnalités avancées).



Souvent, le système Android permet de faire tourner de nouvelles applications sur d’anciens systèmes via des couches de ‘compatibilité’ qui apportent les nouvelles fonctionnalités sur les anciens systèmes.



Voir https://developer.android.com/studio/build

Le 24/03/2022 à 13h 13

Ce modèle accueille plutôt des HDD de 3.5” et non 2.5”.

Le 26/01/2022 à 10h 32

Il avaient des applications natives avant.
Là, ils ont mutualisé le développement iOS/Android avec Flutter pour qu’elles soient plus en synchronisation au niveau fonctionnalités.
Mais les retours généraux que je lis sont que l’interface n’est pas fluide et qu’il manque des fonctionnalités qui existaient auparavant sur les autres applications (notamment l’inscription des billets dans le Wallet sur iOS).

Le 03/01/2022 à 09h 31

Bonne année et bonne santé (c’est prioritaire) à tous et toutes.
Merci à l’équipe NXI et David de nous informer aussi régulièrement sur des sujets techniques, technologiques et sociétaux et de continuer à ouvrir les thématiques abordées au fur et à mesure de l’usage du numérique dans nos vie.
Et bon départ à David : pour savoir si un choix est bon, il n’y a au final pas deux méthodes, il faut le tester. Donc, bon test ! ;-)

Le 26/11/2021 à 16h 31

Dans tous les cas tu paiera ton frontal de manière constante. L’intérêt du CaaS ici évoqué, c’est de montrer que tu peux avoir un conteneur, mais monté et facturé uniquement à la demande. Après il faut pouvoir supporter le cold start, mais c’est une option intéressante qui peut être utile dans certains cas ou pour certains éléments non critiques (en termes de réactivité) d’une infra.

Chez AWS, ils annonce un cold start en 1/10e de seconde.

Le 04/05/2021 à 07h 44

Voici le lien vers l’article de MacG en question : https://www.macg.co/macgeneration/2021/04/rgpd-comment-bruxelles-et-la-cnil-precarisent-le-web-121069

Le 16/06/2020 à 14h 53

Il faudrait aussi parler du Reverse DNS et de l’outil : https://mxtoolbox.com/



Et Outlook, office365 et consort classent par défaut les nouveaux domaines en spam jusqu’à ce que suffisamment de leurs utilisateurs qualifient ces domaines.



C’est très pénible et je n’ai rien trouvé à faire.

Le 20/12/2019 à 13h 38

Positionnement hautement respectable.

Le fait de juger la pertinence ou l’intérêt d’un publi-rédactionnel via les smileys pourrait permettre à un annonceur de faire un pré-test de son article auprès d’un échantillon de son public cible pour vérifier son accueil et l’adpater au besoin pour la diffusion à plus grande échelle.

Et cela est vendable pour NextInpact :-)

Le 21/09/2019 à 17h 04

Bravo pour la qualité d’enquête, l’intégrité et la cohésion de votre équipe qui permet de mieux résister à ce type de pression.

Le 08/08/2017 à 11h 23

La BDD ne contient que des hashs si les précautions élémentaires ont été prises.

 

Quand on voit l’actualité de ce domaine ces 3 dernières années, on se rend compte que même sur des gros sites, ces précautions n’ont pas toujours été mises en place, ce qui est effrayant !



Et le risque principal n’est pas de se logguer sur le site en question, mais d’essayer les couple identifiant/mot de passe sur tous les sites possibles (facebook, twitter, banques,…) pour voler d’autres données et faire de l’usurpation d’identité.

Le 07/08/2017 à 19h 55

L’intérêt du hash côté client est de ne jamais faire transiter le mot de passe originel.

 

Dans le cadre de vol de BDD ou de sniffing de paquets, un hash de mot de passe ne te donnant pas le mot de passe originel, tu ne peux pas utiliser ce hash sur d’autre webservices.



Concernant le hash ‘longue durée’, il est intéressant pour une attaque générée à partir de mots de passe ‘naturels’ (type ‘Ceci_est_mon_mot_de_passe_pour_2017’). Si la génération d’un hash prend 1 seconde (on cherche a être dans cet ordre là), générer tous les hashs d’une collection importante de mots de passe ‘naturels’ prendra déjà beaucoup de temps et de ressources.



Si l’on utilise directement des hashs, alors ce temps-là ne compte plus. Mais par contre, à moins de connaître le hash recherché, il y a beaucoup plus de possiblités (surtout si on génère un hash long). Il faut garder à l’esprit que tout cela ne cherche pas à prévenir toute attaque mais seulement à les ralentir pour avoir le temps de les détecter et de les contrer.



Après, s’il y a attaque de type MITM, alors il y a compromission des communications et pas de sécurité possible.

Le 07/08/2017 à 10h 14

Il y a en effet 2 situations :





  • soit sur une page web

  • soit au sein d’une application (on a alors un peu plus de contrôle)



     Mais je suis plutôt d’accord avec @Wizaord : tant que possible, on ne fait pas transiter le mot de passe sur le réseau, même en HTTPS qui, de toute façon, peut intercepté légalement par des proxys d’entreprises (https://stackoverflow.com/a/21716654/399439)



    De plus, tant que possible, on hashe aussi côté client avec des fonctions de hashage longue en durée (type 100000 cycles de hashage en PBKDF) pour que les attaques par force brutes soient plus lentes à mettre en oeuvre.

Le 10/11/2016 à 11h 40

Les variantes en 16 et 32 Go de RAM ne sont pas du même type : la première est de type ECC, pas la seconde.

Le 30/09/2016 à 16h 38

Tout comme la plupart des commentaires ici, toujours très satisfait de LDLC.

Je commande chez eux presque depuis le début.

2 ou 3 recours à leur SAV, et rien que pour l’efficacité de ce dernier, je suis prêt à payer chez LDLC un peu plus cher que chez d’autres en connaissance de cause.