Le 08/06/2023 à 19h 08

L’article fait quand même une belle inversion du raisonnement de la DGSI…
DGSI : « ils ont des activités malveillantes et utilisent donc des applications chiffrées pour les masquer. »
La QDN transforme ça en « utiliser des applications chiffrées est la preuve qu’on a des activités malveillantes pour la DGSI. ».

On a est à la limite de la désinformation…

Le 06/06/2023 à 17h 38

C’est tout de même globalement très léger en termes de nouveautés.

Le 01/06/2023 à 11h 34

Pour moi, le byte est la plus petite unité de mémoire adressable et non un groupe de 8 bits. Généralement, c’est la même chose, mais il n’y a aucune obligation.
Par exemple, le protocole SATA fait des bytes de 10 bits (pour 8 bits utiles). Je ne serais pas surpris que les premiers procos aient eu des bytes de 7 bits.

Le 16/05/2023 à 05h 54

C’est exactement ça.
Et c’est aussi pour ça qu’il faut abandonner MD5 en faveur de fonctions de hashes volontairement lentes à calculer.

Le 04/04/2023 à 20h 03

Je vous remercie et vous félicite encore pour la qualité de vos articles. Vous êtes d’intérêt public et bien trop peu reconnus et visibles pour ça

Si seulement on pouvait avoir plus d’équivalents (des journalistes sérieux qui essaient de bien faire leur boulot) de NextInpact dans la presse généraliste !

Le 30/03/2023 à 10h 46

Un peu comme toute pub, non ?

Le 24/03/2023 à 22h 37

Patch a dit:

Les Teorem ne sont plus utilisés depuis 2-3 ans

Il y a deux ans, les Teorem étaient encore utilisés, et surtout ce n’est pas le même usage que Signal (ou Olvid).

Le 21/03/2023 à 06h 49

fred42 a dit:

Wayland ne les a pas négligés. Ce n’est pas sa cible qui est le desktop. Comme je te l’ai déjà répondu, X org existe toujours et peut être installé sans problème si tu en as besoin. Il doit même pouvoir être installé en plus de Wayland.

Fort existe toujours… mais pour combien de temps ? Il y a quand même un risque d’abandon quand Wayland sera définitivement installé et qu’il faudra faire évoluer Xorg.

Le 08/02/2023 à 07h 01

Gamble a dit:

Le rang 0 qui est souvent un pillage de wikipedia ? Au moins il y a un lien vers la source, contrairement à chatgpt.

Au début ce n’était que ça. Maintenant il pille parfois d’autre sources.

Le 04/02/2023 à 20h 53

tomdom a dit:

Moi, pareil, quand je ne regarde pas, je ne vois pas …

Pas besoin de regarder pour entendre parler d’exemples de fausses informations. Jusqu’à présent, j’ai entendu beaucoup de personnes prétendre que RT racontait n’importe quoi, mais jamais eu le moindre exemple concret.

carbier a dit:

Tu te poses une question et tu demandes aux autres d’y apporter une réponse ? Intéressant comme principe

En fait, OlivierJ annonce que RT est connu pour « bidonner régulièrement » et « raconter n’importe quoi ». Ça ne devrait donc pas lui être difficile d’amener des exemples concrets. Et oui, le principe sur un forum est d’échanger.

Cadeau
b

Maintenant, tu lis, tu t’abonnes si tu veux et tu te fais ta propre opinion. RT France est principalement connue pour son “role” de catalyseurs des antitout pendant la pandémie et pour ses propos permanents pro Poutine (ce qui est normal) avec la reprise mot pour mot des éléments de langage russe pendant la guerre, pardon “l’opération spéciale”.

carbier a dit:

Si tu veux vraiment comprendre ce qu’est un organisme indépendant, tu liras les articles de France 24 sur le gouvernement

Du coup on va faire l’inverse: merci à toi ou à tes amis de nous sortir un seul article de RT France critique de la politique de Poutine.

Tu renverses la charge de la preuve, là. C’est à celui qui affirme que RT bidonne régulièrement de le prouver.

Et si tu prends le Monde ou Le Figaro en France, ils vont reprendre mot pour mot les éléments de langage du gouvernement, sans rien remettre en question. Suffit de prendre France24, puisque tu donnes l’exemple, sur le sujet de l’électricité : les rares articles consacrés au sujet reprennent le texte gouvernemental, sans jamais mentionner l’écrasante responsabilité de ceux actuellement aux pouvoirs. Aucun mot sur les conséquences du choix politique de rester dans le marché européen de l’énergie non plus.

Le 04/02/2023 à 10h 45

Énorme, comparer un média de propagande financé par le Kremlin, connu pour raconter n’importe quoi et bidonner régulièrement, et un média d’investigation assez transparent (sources et méthodes expliquées) comme Bellingcat.

Je ne regardais pas RT, mais je n’ai jamais vu d’exemple concret de mensonge de sa part… peux-tu en donner ? Ça devrait être assez simple si c’est si fréquent que ça.

Le 30/01/2023 à 11h 33

YonX a dit:

Il faut avoir accès au PC et attendre que la personne entre son MDP pour que la BDD soit exportée dans un fichier en clair. Puis récupérer ce fichier export.

Personnellement que comprend les deux points de vue. Les trigger dans le config c’est un peu trop facile. Mais en même temps, avec un accès en écriture on peut aussi lancer un keylogger, potentiellement modifier directement l’executable keypass (Et donc un attaquant peut rebuild keypass et le modifier même si une correction est faite), etc etc.

Donc oui c’est une faille pourrie mais la corriger protège pas grand chose. Si la session est vérolée, c’est game over comme déjà dit.

Je ne connais pas bien Windows, mais ajouter un keylogger sur macOS n’est pas transparent (il faut une autorisation supplémentaire de l’utilisateur, tout comme il faut explicitement autoriser le programme à accéder aux documents).
J’imagine qu’un système similaire est disponible sur Windows.

Le 23/01/2023 à 21h 16

Vincent_H a dit:

La précipitation, à tout le moins

Est-ce vraiment le cas ? Ils sont dans un modèle où c’est normal d’embaucher et de débaucher massivement pour s’adapter à la demande. Ce n’est pas probablement pas très favorable aux salariés (et encore… on peut se dire que ça fait deux ans pendant lesquels ils ont eu un boulot), mais est-ce défavorable à l’entreprise ?

Le 23/01/2023 à 07h 57

letter a dit:

Cela surprend encore ce genre de réflexion de la part d’un journaliste?

J’ai le sentiment que NI essaie justement de bien faire son boulot et non pondre ses articles sur commande comme on peut souvent le voir ailleurs. C’est pour ça que j’y suis abonné d’ailleurs.

Le 23/01/2023 à 07h 55

Cela peut sembler pourtant sensé. Que voulais-tu qu’ils fassent ? Passer à côté de nouveaux marchés sous prétexte que c’était temporaire ?
C’est aussi pour ça qu’il y a des CDD en France : pour les besoins de main d’œuvre passagers.

Le 23/01/2023 à 07h 51

Comme nous venons de le détailler, le kilowattheure correspond à la quantité d’énergie consommée par un appareil sur une heure

«Comme nous venons de le détailler, le kilowattheure correspond à la quantité d’énergie consommée par un appareil» tout court est mieux

Le 09/01/2023 à 07h 21

fofo9012 a dit:

??

Tout employé de Charlie Hebdo risque de se faire assassiner (il y a 8 ans, il y a quand même eu plusieurs morts), mais ils sont au moins un peu protégés. Faute de pouvoir les assassiner, des islamistes pourraient vouloir assassiner leurs lecteurs.

Le 08/01/2023 à 11h 37

fofo9012 a dit:

Question bête, mais quelle est la valeur de ces données ?

Un mail pour un éventuel phishing, ça ne doit pas couter très cher au marché noir, c’est probablement la plus basique des infos.

Question comm’, ça va faire un effet Streisand et mettre un grand coup de projecteur sur les dessins qu’on voulait cacher.

Bref, j’ai du mal à comprendre l’intérêt de ce genre d’actions…

En l’occurrence, si les données sont rendues publiques (et une partie l’est déjà), ça peut surtout donner des têtes coupées.

Le 23/12/2022 à 06h 35

(quote:2111496:alex.d.)
Tu ironises, mais la clef ssh, c’est une façon standard d’avoir un couple de clef privée & clef publique, la clef est protégée par mot de passe, et c’est indépendant de tout fabricant de matériel et éditeur de logiciel. Bref, ça répond au cahier des charges et ça existe déjà. On peut y mettre un habillage graphique si c’est trop roots pour toi.

Mais tu as encore un mot de passe (qui en vrai est facultatif) et tu as la même clef pour tout le monde.

Le 07/12/2022 à 07h 03

inextenza a dit:

Pailloux n’est pas le cofondateur de l’ANSSI, c’est plutôt son premier directeur, et il n’est plus DT car il est parti au Conseil d’État.
En revanche, je suis d’accord, aucune chance pour que Poupard ne devienne DG de la DGSE (c’est un poste pour ambassadeur ou préfet, quand on regarde les derniers).

Le 14/11/2022 à 06h 54

De mémoire, l’équivalent chinois a déjà volé, en 2020.

Le 10/11/2022 à 06h 55

En théorie, assumer la responsabilité veut dire démissionner dans la foulée. Maintenant, en effet, ça veut simplement dire qu’on s’est planté et qu’on s’en moque.

Le 08/11/2022 à 21h 00

patos > j’imagine que tu passes à un moment donné par un VPN ou équivalent pour te connecter à l’infra OVH. Là, OVH parle de fournir un centre de données clefs en main à un client, complètement en vase clos.

Le 27/10/2022 à 05h 52

meyrand018 a dit:

Je ne vois pas où est le souci pour le consommateur. Le port propriétaire d’apple apportait il quelque chose ? Je n’ai jamais eu d’iPhone, ni même de matériel Mac.

C’est le changement qui est pénible, mais sur le fond c’est certainement une bonne nouvelle.

Le 06/10/2022 à 05h 30

Et si l’hôpital a dû choisir entre payer pour sa SSI et payer pour sauver des patients parce qu’il n’a pas un budget extensible, est-il coupable pour autant ?

Le 10/08/2022 à 06h 08

fdorin a dit:

Le RAID 6 n’est pas limité à 2 disques pour la parité. C’est certes l’usage le plus courant, mais il existe des RAID 6 avec plus de 2 disques de tolérance. Ils sont moins utilisés car les calculs de parité sont bien plus gourmands, mais ils existent ;)

Ils existent en théorie, je suis d’accord. Mais en pratique ? Par exemple mdadm sous Linux ne connaît que le RAID6 avec deux disques :(

Le 19/07/2022 à 11h 04

Dj a dit:

C’est juste que les caméras n’ont jamais vraiment montré leur utilité donc c’est plus une mesure électoraliste qu’autre chose.

Qu’est-ce qui te fait dire ça, concrètement ?

Le 15/07/2022 à 09h 10

Sa défense a été bonne, mais pas au point de l’innocenter

Le 03/07/2022 à 20h 36

JnnT a dit:

Personne n’a besoin de la domotique, sauf ceux qui en font commerce. Même si on argue de tel ou tel avantage, ils sont contrebattus par un enfermement croissant dans des technologies de plus en plus complexes.

Personne n’a besoin de jeux, sauf ceux qui en font commerce non plus. Idem pour le cinéma.

Au final, qui définit ce qui est interdit de ce qui est autorisé ?

Le 23/06/2022 à 05h 01

Les clefs sont généralement générées par l’enclave sécurisée elle-même, et ça peut être fait à tout moment.
Et pour la lecture d’empreinte, rien n’est envoyé à Apple. Lors de la première capture, un certain nombre de points sont conservés dans l’enclave sécurisée, et lors des vérifications, on vérifie seulement s’ils sont présents.

Ensuite, sur du Linux, il y a toujours une amélioration car la preuve peut être donnée par captcha habituel, mais avec mémorisation par CF et Apple (même si ça ne sera pas Apple en l’occurrence) : tu auras donc moins de captcha à remplir.

Bien sûr, Apple se préoccupe d’abord de son écosystème. Charge aux autres de s’occuper des leurs.

Le 22/06/2022 à 19h 57

(quote:2078411:33A20158-2813-4F0D-9D4A-FD05E2C42E48)
Quelqu’un peut m’expliquer le principe ?

Le principe du captcha est que le serveur ne fait pas confiance au client pour procéder à la vérification. Si le client dit “oui je suis un mac et je jure sur l’honneur qu’il y a bien un utilisateur”, qu’est-ce qui empêche un robot d’envoyer le même type de message ?

Au mieux, il y aura une clé privée dans chaque Mac. Mais alors cette clé privée est dans l’image d’iOS 16 et peut être extraite. Pas nécessairement par madame Michu, mais une société dont le business est de créer des faux comptes a des ressources à y consacrer.

Les clefs privées peuvent être stockées dans des enclaves sécurisées et ne sont alors pas extractibles (comme avec une carte à puce) : tu donnes le message à déchiffrer à l’enclave, le code PIN (ou tu poses ton doigt, tu montres ta frimousse, etc.) et l’enclave te le ressort en clair, sans donner la clef privée à l’OS.

Sinon, de ce que j’ai compris, et en très gros :
Depuis ton Mac/iPhone enregistré via ton compte [email protected], tu visites sur un site web NextInpact (au hasard) qui intègre un captcha fourni par CloufFlare. CloudFlare voit (via l’UserAgent) que tu as Safari, et contacte Apple pour savoir si tu es un humain avec un identifiant unique (mais sans lui dire que tu regardes NextInpact). Apple vérifie si [email protected] est bien un compte normal (au besoin en te demandant de poser ton doigt) et répond que c’est bon à CloudFlare.

CloudFlare n’a aucun moyen de connaître tes infos personnelles (qui ne sont pas fournies par Apple), Apple n’a aucun moyen de connaître les sites que tu visites (non fournis par CloudFlare), Google perd un moyen gratuit d’entraîner ses IA et d’enrichir sa base de connaissance des internautes.
Apple y gagne car Google y perd.

Le 11/06/2022 à 20h 12

fofo9012 a dit:

Ce qui est très con c’est que Word en 2013 gèrait déjà nativement les PDF en lecture / écriture, pas besoin d’un soft foireux supplémentaire de type “imprimante PDF” !

De mémoire, les PDF générés n’étaient pas terribles (pour sélectionner le texte).

Le 23/05/2022 à 10h 50

Bien sûr que non, la Constitution prime toujours, et les Allemands sont particulièrement attentifs à ça. Après, bien sûr que la CE va dire le contraire, et en pratique le CC adapte à chaque fois la Constitution pour que ça colle.

https://fr.m.wikipedia.org/wiki/Hiérarchie_des_normes_en_droit_français

Le 23/05/2022 à 05h 23

Liam a dit:

Les futures seront conformes à la Constitution dans les mêmes conditions. Par contre, elles resteront non-conformes au droit européen, qui prime sur le droit français (article 55 de la Constitution : “Les traités ou accords régulièrement ratifiés ou approuvés ont, dès leur publication, une autorité supérieure à celle des lois, sous réserve, pour chaque accord ou traité, de son application par l’autre partie.”)

Mais la Constitution est supérieure au droit européen. Si le Conseil constitutionnel dit que c’est bon, c’est que c’est bon.

Le 10/04/2022 à 16h 06

fofo9012 a dit:

J’avoue n’avoir jamais compris comment les crypto peuvent servir d’activités illicites. Autant TOR qui utilise le même principe (un canal entrant sort sur différents canaux de sorties) c’est efficace car pour analyser le système il faudrait sniffer tous les canaux de sorties pour espérer reconstituer le trafic à l’intérieur.

Mais en cryptomonnaie tout est public, si je te paie 100€ même en saucissonnant en millions de pouillème de centimes qui passeraient par des portefeuilles indépendants, à un moment en analysant les transactions (publiques) tu vois que 100€ sont sorti d’un compte pour arriver sur un autre peu importe le nuage d’intermédiaires, c’est une simple offuscation. Sur un système bancaire classique, ces stratagèmes fonctionnent car tu arrives toujours tôt ou tard sur une banque qui ne joue pas le jeu. (ou un “commerçant” qui facture des fausses prestations) Mais la blockchain, c’est un livre de compte disponible à tout le monde.

Parce que les mixers ne fonctionnent pas comme tu penses, tout simplement.
Tu donne 100 bitcoins, et on t’en rend 50 en plusieurs transactions un certain temps après, qui ne sont aucunement reliés à ta transaction.

Le 29/03/2022 à 19h 23

En effet, ça n’a rien à voir.

Ton ordinateur interroge un serveur DNS (généralement celui de ton FAI) sur un nom de domaine d’un serveur web, et en réponse reçoit une adresse IP. Si le serveur DNS est menteur, il donnera une mauvaise IP.
Pour contourner cela, il suffit de changer de serveur DNS.

Le routage correspond à la route suivie par la communication entre ton ordinateur et le serveur web que tu consultes. Si un équipement (routeur) sur le chemin détourne le trafic vers un autre serveur, tu ne peux rien faire.

Si le routeur n’est pas sur le chemin, il peut tout de même tenter d’« attirer » le trafic vers lui en annonçant des fausses routes à ses routeurs voisins. Imagine quelqu’un à l’entrée d’un rond point qui change les panneaux. Si tu l’écoutes, tu vas dans la mauvaise direction, mais tu peux ne pas l’écouter. Autrement dit, si le routeur compromis n’est pas dans le pays ciblé, il peut être ignoré et donc être inoffensif.

Le 11/03/2022 à 17h 38

En effet, accepterait-on des appels à la violence contre Bush pour son invasion de l’Irak ?

Le 25/02/2022 à 06h 46

Drepanocytose a dit:

Oui, bon, c’est valable n’importe quand, même hors tension internationale. D’ailleurs la tension internationale est visible aujourd’hui, mais même quand elle ne l’est pas, elle est souvent larvée.

La Russie pourrait prendre moins de gants et il pourrait y avoir d’autres NotPetya, encore plus violents, et ça peut affecter d’autres cibles par erreur. Saint-Gobain était une victime collatérale par exemple.
Mais sur le fond, tu as raison, ces mesures devraient toujours être prises.

Le 19/02/2022 à 07h 14

Si, ils ont bien envoyé un message.

Le 17/02/2022 à 19h 26

Ils ne savaient peut-être pas que les mdp étaient en sha512.

Le 11/02/2022 à 17h 51

Freeben666 a dit:

Ou sinon un pirate peut compromettre un site web, contaminant tous les visiteurs du site en question. Vu le nombre de plugins WordPress vulnérables dernièrement…

Je ne dis pas que la faille n’est pas grave ; je dis que ce n’est pas du zéro-clic.

Le 11/02/2022 à 08h 23

Il faut donc une action de l’utilisateur s’il doit cliquer sur un lien pour visiter la page.
Un vrai zéro-clic n’a besoin d’aucune action de l’utilisateur (par exemple un texto qui active le piège à sa réception).

Le 28/01/2022 à 13h 46

J’espère que ce n’est pas du FTP mais plutôt du ftps ou du sftp

Le 17/01/2022 à 05h 45

(quote:1923806:Stéphane Bortzmeyer)
« services de filtrage d’URL » Le terme figure en effet dans l’appel à propositions mais il est absurde puisqu’un résolveur DNS ne voit pas les URL, seulement les noms de domaines. C’est une des raisons pour lesquelles utiliser un résolveur DNS menteur pour la sécurité n’est pas une bonne idée. Si le site Web de la mairie de Champignac se fait p0wNer et que http://www.mairie-champignac/wp-quelquechose/malware.php distribue du logiciel malveillant, il n’y a aucun moyen, au niveau DNS, de bloquer seulement cet URL.

C’est certain que le DNS n’est pas la solution magique à toutes les attaques possibles. Pour autant, ça peut être un vrai plus pour augmenter la sécurité globale, en permettant de bloquer facilement des noms de domaine malveillants et en permettant d’avoir une idée de son usage.

Le 03/01/2022 à 10h 15

Et le tout avec un modèle économique clair : la version gratuite est un produit d’appel pour les entreprises.

Le 28/12/2021 à 23h 02

mais tout ça, ce n’est absolument pas le boulot des services de police judiciaire…

Le 28/12/2021 à 06h 57

SIaelrod a dit:

oui c’est surtout le problème, ils ne publie rien pour les ids/ips donc personne n’aura la protection préventive qu’il aurais pu amener, et il le supprime après un certain temps, donc hormis une liste pour aider au dépistage des attaques par la police, elle ne servira a rien.

Je traduis : hormis servir à ce pourquoi elle est mise en place, elle ne servira à rien. C’est plutôt pas mal, non ?

Et heureusement que les informations des enquêtes judiciaires ne sont pas publiques !
Celles qui ont vocation à l’être seront certainement transmises à l’ANSSI.

Le 01/12/2021 à 07h 03

OB a dit:

Il y a des gens qui passent leurs vie dans des négociations sur ce problèmes de normes différentes, et même pas avec la chine : Regarde le CETA. Alors vu les normes chinoise, on est pas prêt de trouver un accord.

Moi ça me va, note, sauf qu’en vrai ce qui va se passer c’est qu’un bidule à 12€ fabriqué en EU coûtera 120€ et donc…. se vendra pas : On s’en passera, ou bien on en achètera 1 et on se le partagera entre 10 voisins. Au total on va venir te dire que ça va contracter l’activité économique des pays de l’EU (ce qui est vrai, vu que cette activité, et les TVA qui vont avec, sont indexé sur les ventes). Et ça…. ca s’appelle la décroissance, et c’est encore un trop vilain mot dans la bouche des politiques mais aussi d’une grande partie des gens qui les élisent.

Ça possède d’autres noms, beaucoup plus concrets : krach, crise économique, effondrement, …

Le 26/11/2021 à 07h 24

(quote:1914734:127.0.0.1)
Déjà anonymiser les données ?

Mais je parierai qu’une partie non négligeable des données sont des scans de documents papier. Du coup l’anonymisation c’est pas aussi simple que crypt(lastname).

Mais en vrai, comment fais-tu concrètement pour anonymiser tes documents Word et en gardant la possibilité de les lire et de les imprimer normalement ?

Le 02/11/2021 à 20h 17

tpeg5stan a dit:

Quel gâchis :/ Un classique après Louvois, la paye des fonctionnaires, etc. « heureusement » le montant n’est pas trop élevé.

Sans être expert du sujet, la gendarmerie n’a pas un projet similaire basé sur Gendbuntu, géré en interne et qui « tourne bien » ? Ce ne serait pas possible de le copier-coller et d’en transférer la gestion ? M’enfin j’imagine que la querelle d’égos police/gendarmerie doit être un frein monstrueux.

Gendbuntu est un OS pour les postes clients, qui n’a pas grand-chose à voir avec les outils métier. Là, on parle d’une application métier, probablement un serveur (avec un client lourd ou léger).
Au passage, Police et Gendarmerie partagent déjà pas mal de développements informatiques, ça ne m’étonnerait pas que ça soit le cas pour celui-ci d’ailleurs.