votre avatar Abonné

Stéphane Bortzmeyer

est avec nous depuis le 23 février 2016 ❤️

Bio

Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?

341 commentaires

Le 08/07/2024 à 21h 42

Tous les régimes autoritaires filtrent et surveillent attentivement les liens internationaux.
On peut d'ailleurs doucement rire de l'incapacité de tels gros pays à réaliser cela. Y aurait-il un lien avec le fait que les cerveaux capable d'une telle ingénierie ont fui le pays ?

De nombreuses pannes, qu'elles soient interne à ces pays ou contaminant le réseau mondial, ont régulièrement lieu.
Me vient immédiatement en tête une panneau mondiale avec des sites inaccessibles résultant d'un bricolage BGP au Pakistan qui s'est mal passé, envoyant dans un "trou noir" des préfixes entiers annoncés vers cette destination.
D'ailleurs, l'authentification des annonces BGP au niveau mondial n'avance toujours pas, alors que cela permettrait tout simplement de s'assurer qu'une entité ne puisse pas effectuer des annonces concernant des préfixes appartenant à une autre…
Compliquée, la coopération à (nombreuses !) entités.

Le déploiement de la RPKI avance au contraire pas mal, comme l'a montré l'ampleur de la panne quand la RPKI est utilisée comme attaque https://www.bortzmeyer.org/orange-espagne-bgp.html

Le 08/07/2024 à 21h 40

La Russie a essayé, ça s'est mal passé ! https://www.numerama.com/cyberguerre/1622286-lenorme-panne-dinternet-en-russie-serait-liee-a-une-grande-operation-de-controle-du-kremlin.html

"Les autorités russes ont depuis longtemps averti qu’elles essaieraient de transférer tous les utilisateurs du pays vers un serveur DNS national. C’est probablement ce qui se passe actuellement avec la masse de sites dans la zone .ru », peut-on lire dans une publication sur Telegram."

L'article de Numerama est du grand n'importe quoi, débunké partout ailleurs, et qui ne repose que sur de la spéculation. La raison de la panne et parfaitement connue. https://www.bortzmeyer.org/ru-dnssec.html

Le 01/07/2024 à 08h 29

Et au fait que ce n'est pas du logiciel libre ?

Le 01/07/2024 à 08h 28

Pour justement ne pas être embêter par un potentiel sniff franco-français, j'ai un setup similaire avec adguard qui utilise quad9 (Suisse) en backend pour tout ce qui est externe à chez moi. La différence est que je m'y connecte en DoH au lieu de DoT.

Si je peux me permettre une question au big boss du DNS, quel est ton/votre avis sur DoH vs DoT? J'ai l'impression que DoT n'a pas vraiment pris et a déjà été remplacé (pas techniquement, mais par l'usage) par DoH, sans compter DoQuic qui commence à montrer le bout de son nez?

Si, DoT a pris (il est en standard sur Android depuis des années par exemple) et est utilisé. Il est notamment bien plus simple à programmer que DoH (qui nécessite de se lier à une bibliothèque HTTP/2, un gros morceau). C'est pour cela que je l'utilise sur Unbound (Unbound ne sait faire du DoH en aval que depuis très peu). L'unique problème de DoT (mais c'est un problème sérieux) est le cas des réseaux àlakon avec un pare-feu àlakon qui bloque le port 853.

Le 29/06/2024 à 20h 39

« Les néophyte à qui on a configuré OpenDNS car "c'est mieux » Dans ce cas, le néophyte doit s'en prendre à « on », qui avait pris une mauvaise décision. Rappel : si vous laissez « on » changer votre config', soyez sûr que « on » est fiable et responsable (et intervient pour corriger, si nécessaire).

Le 29/06/2024 à 20h 37

IDEM, comme ça, sûr de ne jamais être emmerdé par le moindre blocage, et sûr qu'aucun résolveur ne va enregistrer mes requêtes à mon insu

Attention, si on a sa propre résolveur qui parle directement aux serveurs faisant autorité, on n'empêche pas vraiment le FAI de voir les requêtes, puisque celles-ci sont en clair. C'est un petit peu plus difficile pour lui d'espionner le trafic du port 53 que de simplement demander au résolveur une copie des requêtes mais ça reste très possible.
Si on est très soucieux de vie privée, il faut que le résolveur local fasse suivre les requêtes (évidemment chiffrées, par exemple avec DoT) vers un résolveur public de confiance. Exemple de la configuration d'Unbound pour cela :
forward-zone:
name: "."
# FDN
# forward-addr: 2001:910:800::12@853#ns0.fdn.fr
# My resolver
# forward-addr: 2001:41d0:302:2200::180@853#dot.bortzmeyer.fr
# DNS.sb
# forward-addr: 2a11::@853#dot.sb
# forward-tls-upstream: yes
# DNS4ALL
forward-addr: 2001:678:8::3#dot.dns4all.eu
forward-tls-upstream: yes

Le 29/06/2024 à 20h 34

Certes, moi aussi mais, politiquement, il faut penser aux autres qui n'ont pas le temps, les compétences ou l'envie de le faire (ou qui n'imaginent même pas que cela soit possible ; à mon dernier cours DNS dans une école d'ingénieurs en informatique, les gens s'étonnaient qu'on ait le droit d'interroger les serveurs racine). La liberté, cela ne doit pas être que pour les geeks.

Le 19/06/2024 à 09h 13

Bonne question. On peut voir qu'il est autodidacte, son BTS d'informatique de gestion n'étant pas une voie pour ce statut.

Mais, en fait, je n'ai pas la réponse. On peut lire :

À 27 ans, il avait été sélectionné pour participer à une compétition réunissant les vingt meilleurs hackers européens.

Il a probablement un certain niveau.

Mouais, les « vingt meilleurs hackers européens »… Compte-tenu de la mentalité du milieu, je prends cette information avec les pincettes.

Le 18/06/2024 à 18h 46

« d’après le chercheur en sécurité Mr SaxX » C'est vraiment un chercheur en sécurité ? Quels sont ses droits à ce titre ? J'ai plutôt l'impression que c'est juste un type qui relaie sur Twitter les infos non vérifiées qu'il a lu sur Telegram. Il y a une autre source pour ces « attaques » ?

Le 13/06/2024 à 11h 39

« cela pourrait être attribué à la courbe d'apprentissage abrupte par rapport à Twitter » Très bizarre, comme argument. L'étude https://arxiv.org/abs/2406.04005 ne porte que sur des gens qui ont réussi à créer leur compte (l'étape qui en déroute certain·es). Une fois que c'est fait, je ne vois pas en quoi c'est plus difficile à utiliser que Twitter.

Le 14/05/2024 à 15h 39

Oui mais c'est classique dans les études en psychologie. La blague classique est que tout ce qu'on sait en psychologie, c'est sur la psychologie des étudiant·es de première année en psychologie.

Le 14/05/2024 à 13h 58

Bonne question. Je ne sais pas combien de testées ont décidé de continuer après la fin de l'étude. Est-ce que ça a été étudié ?

Le 04/04/2024 à 11h 23

À moins d'installer des alphas partout il est improbable d'être touché par cette vulnérabilité....

Si on utilise des "rolling releases" (Arch Linux, Debian sid, Fedora rawhide), on a été touché.

Le 04/04/2024 à 11h 22

Trop tard, et depuis des années... BSD a eu sa backdoor via le serveur mail, Linux via sudo...

Plusieurs années pour les découvrir - donc pas vraiment mieux que sur du proprio.

Référence ? Une porte dérobée, c'est quand c'est mis volontairement et je ne me souviens pas d'un cas documenté pour sudo.

Le 03/04/2024 à 08h 28

Tu as des exemples de cette situation ? Ça m'intéresse.

Oui, je veux bien des exemples aussi. Le cas le plus connu est évidemment l'affaire Milka https://fr.wikipedia.org/wiki/Milka_contre_Kraft_Foods (décision de la justice, pas du registre, donc ça aurait été pareil avec un .com) mais autrement, .com, en raison des procédures de gestion de litige de l'ICANN, est bien plus favorable aux titulaires de propriété intellectuelle que .fr (qui ne donne pas forcément la priorité aux entreprises, cf. https://www.afnic.fr/observatoire-ressources/papier-expert/parl-une-atteinte-a-la-marque-suffit-elle-pour-obtenir-gain-de-cause/ )

Les décisions du registre (via la procédure Syreli) sont publiques https://www.syreli.fr/fr/decisions et donc chacun·e peut vérifier que les décisions ne sont pas forcément favorables aux ayant-droits.

Le 03/04/2024 à 08h 24

À quel endroit sont disponibles ces informations sur leur site ?

Es-tu chaud pour faire une p'tite étude sur un an ? :D

https://www.afnic.fr/produits-services/services-associes/donnees-partagees/#Liste quotidienne des noms de domaine enregistrés-8

Le 04/03/2024 à 14h 57

Il faudrait vraiment que tu jettes un œil au "cyber resilience act" de l'U.E. ...parceque la responsabilisation des "fabricants", distributeurs et importateurs de logiciels atteint des sommets, en permettant à toute entreprise de poursuivre un de ces acteurs en justice en cas de dégâts liés à une vulnérabilité, et ce même si l'entreprise plaignante utilise le logiciel en question à titre gracieux.

En U.E. la mozilla foundation, ou dans certains cas des contributeurs, pourraient se faire poursuivre par les utilisateurs lésés par une vulnérabilité.

Il ne sera plus possible de s'abriter derrière une clause de type "ce logiciel est mis à votre disposition tel quel, utilisez-le à vos risques et périls"

De ce que j'ai lu de l'approche US sur la question, on reste dans un cadre moins dangereux pour les petits acteurs, les contributeurs du libre, ...

Et les recommandations techniques du rapport US sont sérieuses, alors que pour le CRA européen, elles seront écrites par CEN/CENELEC, qui n'y connait rien en programmation.

Le 04/03/2024 à 14h 54

Quite à faire des vérifications à la compil parce que le dev est un légume, dans ce cas, passe directement à l'ADA.

L'utilisation d'ADA n'empêche pas la destruction de fusée(s) Ariane ...
J'ai de bons souvenirs de la fac concernant ADA : rigueur, définition de types au micro poil. Mais aussi des souvenir de "lourdeur", qui s'expliquent par les origines, surtout la syntaxe/structure très Pascal.

Sinon, dites moi les codeurs C/C++, si Rust vous fait le même effet que moi : j'ai commencé deux fois le tuto sans jamais réussir à le terminer. Mon cerveau bloque sur des éléments de syntaxe et fait des nœuds.
Bon, après, faut dire que je suis vieux, je manque de souplesse ...

Rust (et d'autres langages "memory-safe" comme Zig) rend la compilation plus difficile, car la priorité est la sécurité du code produit. Les nombreuses vérifications à la compilation (qui sont aussi dues au typage, pas seulement à la gestion de la mémoire, d'ailleurs) sont pénibles mais, quand ça compile enfin, on a un programme plus sûr (et il est plus facile de lire les messages d'erreur du compilo que de déboguer un segmentation fault).

Le 04/03/2024 à 14h 51

ADA a probablement plus d'ancienneté dans le domaine.

Notez aussi qu'il s'écrit Ada. C'est un prénom, pas un sigle.

Le 04/03/2024 à 12h 47

Et bien sûr le classique, la grande majorité des gens qui commentent le rapport ne semblent pas l'avoir lu.

Le 04/03/2024 à 12h 46

Eh bien, si vous vous demandez pourquoi, en 2024, la sécurité informatique est toujours mauvaise et qu'on empile les CVE, lire cette discussion vous aidera à comprendre. Négationnisme (C n'a pas de faiblesses de sécurité), rejet de la faute sur l'utilisateur ou le programmeur, virilisme (c'est le développeur qui était nul), etc.

Le 04/03/2024 à 11h 40

« Je rêve d'avoir un CVE à mon nom. »

Le 04/03/2024 à 11h 36

Ce genre de réaction explique pourquoi des autorités comme la Maison-Blanche estiment nécessaire d'intervenir. Manifestement, il y a des développeurs qui nient la réalité. (Regardez autour de vous tous les dispositifs de sécurité dont aucun n'est parfait. On les supprime ?)

Le 04/03/2024 à 11h 33

Ceci dit pourquoi ça serait au langage de porter la notion d'intégrité de la mémoire ?

Normalement, un dev sait comment un ordi fonctionne, sait comment un processus vit en mémoire, sait comment le code et les données sont agencées dans l'espace mémoire du process et sait comment le langage ordonne les données en mémoire.

A quoi bon bouffer des perfs en compil et en execution pour faire des contrôles inutiles dans la mesure où le dev a déjà fait le travail ?
:D

« Normalement, un dev sait comment un ordi fonctionne, sait comment un processus vit en mémoire, sait comment le code et les données sont agencées dans l'espace mémoire du process et sait comment le langage ordonne les données en mémoire. » Ça, ce n'est pas un dev, c'est un Surhomme, voire un Dieu Vivant venu de l'espace. Les devs que je connais sont humain·es et ont des capacités cérébrales finies (d'où l'importance du rapport de la Maison-Blanche, avec lequel je suis d'accord).

Le 04/03/2024 à 11h 32

Rust est cité une seule fois dans le rapport de l'ONCD. ici:

According to experts, both memory safe and memory unsafe programming languages meet these requirements. At this time, the most widely used languages that meet all three properties are C and C++, which are not memory safe programming languages. Rust, one example of a memory safe programming language, has the three requisite properties above, but has not yet been proven in space systems.


Voila. ni plus ni moins.

Idem dans la note de la NSA:
Recommended memory safe programming languages mentioned in the CSI include C#, Go, Java, Python, Rust, and Swift. Software manufacturers should evaluate multiple memory safe programming languages before integrating them into their workflows


Les langages sont simplement cités dans l'ordre alphabétique, sans indiquer de préférence. De plus, la note indique que les fabricants doivent en évaluer plusieurs. Donc pas foncer tête baisser vers RUST.

D'ailleurs, les bons programmeurs utilisent tous Zig, pas Rust, à la place de C :-) https://www.infoworld.com/article/3713082/fast-growing-zig-tops-stack-overflow-survey-for-highest-paid-programming-language.html

Le 04/03/2024 à 11h 30

Tout à fait d'accord pour l'empilement des couches. Depuis 30 ans que je fais de l'informatique, je n'ai quasiment jamais entendu quelqu'un parler d'optimisation...

Pour ce qui est de Rust, le langage est effectivement memory safe sauf que... pour une raison qui m'échappe, il est prévu des opérations unsafe telles que déréférencer un pointeur.

:reflechis: :fumer:

La raison qui vous échappe est, par exemple, de pouvoir parler directement au matériel. Mëme Ada avait son "chapitre 13" des opérations dangereuses. Au moins, elles sont clairement marquées. En Rust, contrairement à C, il est trivial de voir si un programme utilise des trucs qui ne sont pas "memory-safe".

Le 04/03/2024 à 11h 26

Notez que personne ne prétend réécrire tous les programmes C en six mois. Le rapport de la Maison-Blanche (dont je recommande vraiment la lecture) ne parle que des nouveaux projets.

Le 23/02/2024 à 09h 29

« nous ne feront rien pour encourager ces verticales » Le terme original de "vertical" est récent en anglais (dans ce sens de « groupe d'intérêt commun ») et serait mieux traduit, à mon avis, par « ces divisions ».

Le 05/01/2024 à 17h 45

Cela donne des marqueurs de prévalences/Facteurs de risque sur pas mal de risque connus :

-Cardiovasculaire
-Cancer
-etc.

Après cela évolue avec les avancés en recherche génétiques. Mais les facteurs de risque pour certaines maladies sont connus.

Ps : Par contre je relativiserai car je pense que ce genre de boite ne vont regarder que quelques gênes connus pour identifier des ethnies, et pas les marqueurs de maladie

Non, il y a bien l'analyse des maladies potentielles https://www.bortzmeyer.org/23andme.html

Le 03/01/2024 à 16h 25

Perso l'auto renouvellement est actif mais sur ma cb (j'ai toujours un bug quand je veux passer en virement SEPA, faut que je regarde ça avec eux vraiment), du coup j'ai déjà failli me faire avoir suite a un changement de cb ^^

Oui, d'où l'importance de la supervision.

Le 15/12/2023 à 14h 18

À titre perso je me suis toujours demandé si prendre plus d’un an n’était un risque d’oublier… Là je sais que je dois y penser tous les ans. Si je prends cinq ans, j’suis pas sur d’y penser dans cinq ans justement :/

Oui, la question se pose en effet.
Il y a encore une autre solution, ultra-sophistiquée : mettre la date de renouvellement dans son agenda. Mais c'est de la high-tech :-)

Le 15/12/2023 à 13h 57

On peut aussi (on devrait) superviser ses noms de domaines, pour être prévenu automatiquement. (Un exemple pour .fr : https://www.afnic.fr/observatoire-ressources/papier-expert/rdap-obtenir-des-informations-sur-un-nom-de-domaine/ )
On peut aussi (on devrait) activer l'auto-renouvellement ou bien prendre le nom pour plus d'une année.
Bref, il faut s'informer et se former quand on est responsable d'un portefeuille de noms.

Le 19/12/2023 à 17h 15

Avec une voiture, on peut tuer des gens (et ça arrive souvent). Avec un navigateur Web, c'est moins risqué.

Le 19/12/2023 à 17h 13

Le schéma complet des URL, c'est :

≺protocol≻:[//[≺user≻:[≺password≻]@]≺host≻[:≺port≻]]/≺path≻[?≺query≻][#≺fragment≻]

(les [] indiquent ce qui est optionnel)

URL (wikipédia)

Non, Wikipédia est correct et le premier champ est "schéma" (ou plan), pas "protocole".

Le 15/12/2023 à 14h 17

Pour créer un TLD (le terme « extension » ne veut rien dire), deux solutions :
- créer un pays et c'est alors gratuit et immédiat (le dernier cas a été le .ss)
- attendre l'ouverture (date non encore fixée) du prochain cycle d'enregistrements de TLD, le montant qu'il faudra payer n'a pas encore été décidé.

Le 15/12/2023 à 14h 14

En effet, depuis 2006 https://www.bortzmeyer.org/3490.html

Le 15/12/2023 à 14h 12

Ça me paraît normal mais j’ai dû lire de travers ou en manque de café, car vu que c’est un gTLD qui me semble ouvert (et plus cher que le .fr et le .com de mémoire!) et que Google aime bien les bretons, je me suis dit que c’était peut-être sous la juridiction des ricains avec l’ICANN.


Le .bzh est en effet sous contrat avec l'ICANN. https://www.icann.org/en/registry-agreements

Le 15/12/2023 à 14h 11

Ça doit être l’Afnic puisque associé à la Bretagne.


Non, c'est l'association pik.bzh https://www.iana.org/domains/root/db/bzh.html

Le 15/12/2023 à 14h 10

@pm.me même. J’espère aussi qu’ils savent ce qu’ils font…


Quand on enregistre un nom, il y a une case à cocher « J'ai lu les conditions d'utilisation et je les accepte ». Ces conditions indiquent notamment les tribunaux compétents.
Je vous laisse imaginer combien de personnes ou d'organisations lisent les conditions avant de cocher la case.

Le 15/12/2023 à 14h 08

L’ICANN s’est [officiellement émancipé des US en 2016]https://www.nextinpact.com/article/23952/101613-gouvernance-icann-semancipe-officiellement-controle-americain) :chinois:




(reply:2163557:consommateurnumérique)
Oui, j’en parle d’ailleurs dans l’actualité ^^



Notez que c'est largement bidon. L'ICANN reste une organisation de droit étatsunienne et, de tout façon, la gestion de la racine reste au gouvernement (l'ICANN n'étant qu'un des sous-traitants). Comme l'a montré la re-délégation ratée du .net, Washington ne laisserait jamais les TLD importants lui échapper.

Le 15/12/2023 à 14h 06

La liste donnée dans l'article était pour l'Afnic, pas pour la France. .mq, .gp, .gf, .nc et .pf sont gérés par d'autres registres.

Le 15/12/2023 à 14h 01

« Un nom de domaine, tout le monde voit à peu près ce que c’est : nom.extension » J'étrangle un chaton et je reviens. C'est quoi, alors, www.terre.defense.gouv.fr ? Et phy.cam.ac.uk ?

Le 09/10/2023 à 11h 42


eglyn a dit:


Tu devrais changer ton code génétique pour plus de sécurité :transpi:




Fastoche, avec les vaccins à ARN (ça doit être vrai, je l’ai lu sur Twitter, donc ça doit être authentique).


Le 09/10/2023 à 09h 02

Chic, avec un peu de chance, vous pouvez trouver sur le Dark Dark Web mon ADN https://www.bortzmeyer.org/23andme.html


Le 02/10/2023 à 08h 49


gilluc a dit:


pas de lien avec HAL?? https://hal.science/




HAL est un dépôt d’articles, Matilda une base de données bibliographiques. Les articles ne sont pas sur Matilda, mais HAL n’a pas tous les articles.


Le 02/10/2023 à 08h 42

Je recommande de lire la FAQ, qui explique bien les difficultés d’un tel projet. https://matilda.huma-num.fr/faq Notamment, l’identification des auteurs est une question ouverte.
Pour la recherche, sur votre nom, vous avez bien sûr taper “Prénom Nom” entre guillemets (sinon, il trouve tous les articles des gens ayant le même prénom) ?


Le 19/09/2023 à 09h 15

38 To de données sensibles. Bon courage aux espions chinois qui vont devoir se taper 37,9 To de films de vacances pour arriver à trouver les données vraiment intéressantes.


Le 19/09/2023 à 07h 23

L’article mentionne que les décisions Syreli sont publiques et qu’il y a un moteur (vroum, vroum) de recherche ; son adresse est https://www.syreli.fr/


Le 19/09/2023 à 07h 20

À noter que, puisque cet article est une rediffusion d’un article initialement publié dans le magazine, certaines choses ont changé. Ainsi, il n’est plus exact de dire « En cas de victoire, le requérant peut réclamer un remboursement », cette possibilité a été supprimée le 1 janvier 2023.


Le 19/09/2023 à 07h 11

« Pour éviter le far ouest » Le phare le plus à l’Ouest ? Le Lointain-Ouest ?


1 2 6 7