Le 10/08/2022 à 06h 08

fdorin a dit:

Le RAID 6 n’est pas limité à 2 disques pour la parité. C’est certes l’usage le plus courant, mais il existe des RAID 6 avec plus de 2 disques de tolérance. Ils sont moins utilisés car les calculs de parité sont bien plus gourmands, mais ils existent ;)

Ils existent en théorie, je suis d’accord. Mais en pratique ? Par exemple mdadm sous Linux ne connaît que le RAID6 avec deux disques :(

Le 19/07/2022 à 11h 04

Dj a dit:

C’est juste que les caméras n’ont jamais vraiment montré leur utilité donc c’est plus une mesure électoraliste qu’autre chose.

Qu’est-ce qui te fait dire ça, concrètement ?

Le 15/07/2022 à 09h 10

Sa défense a été bonne, mais pas au point de l’innocenter

Le 03/07/2022 à 20h 36

JnnT a dit:

Personne n’a besoin de la domotique, sauf ceux qui en font commerce. Même si on argue de tel ou tel avantage, ils sont contrebattus par un enfermement croissant dans des technologies de plus en plus complexes.

Personne n’a besoin de jeux, sauf ceux qui en font commerce non plus. Idem pour le cinéma.

Au final, qui définit ce qui est interdit de ce qui est autorisé ?

Le 23/06/2022 à 05h 01

Les clefs sont généralement générées par l’enclave sécurisée elle-même, et ça peut être fait à tout moment.
Et pour la lecture d’empreinte, rien n’est envoyé à Apple. Lors de la première capture, un certain nombre de points sont conservés dans l’enclave sécurisée, et lors des vérifications, on vérifie seulement s’ils sont présents.

Ensuite, sur du Linux, il y a toujours une amélioration car la preuve peut être donnée par captcha habituel, mais avec mémorisation par CF et Apple (même si ça ne sera pas Apple en l’occurrence) : tu auras donc moins de captcha à remplir.

Bien sûr, Apple se préoccupe d’abord de son écosystème. Charge aux autres de s’occuper des leurs.

Le 22/06/2022 à 19h 57

(quote:2078411:33A20158-2813-4F0D-9D4A-FD05E2C42E48)
Quelqu’un peut m’expliquer le principe ?

Le principe du captcha est que le serveur ne fait pas confiance au client pour procéder à la vérification. Si le client dit “oui je suis un mac et je jure sur l’honneur qu’il y a bien un utilisateur”, qu’est-ce qui empêche un robot d’envoyer le même type de message ?

Au mieux, il y aura une clé privée dans chaque Mac. Mais alors cette clé privée est dans l’image d’iOS 16 et peut être extraite. Pas nécessairement par madame Michu, mais une société dont le business est de créer des faux comptes a des ressources à y consacrer.

Les clefs privées peuvent être stockées dans des enclaves sécurisées et ne sont alors pas extractibles (comme avec une carte à puce) : tu donnes le message à déchiffrer à l’enclave, le code PIN (ou tu poses ton doigt, tu montres ta frimousse, etc.) et l’enclave te le ressort en clair, sans donner la clef privée à l’OS.

Sinon, de ce que j’ai compris, et en très gros :
Depuis ton Mac/iPhone enregistré via ton compte [email protected], tu visites sur un site web NextInpact (au hasard) qui intègre un captcha fourni par CloufFlare. CloudFlare voit (via l’UserAgent) que tu as Safari, et contacte Apple pour savoir si tu es un humain avec un identifiant unique (mais sans lui dire que tu regardes NextInpact). Apple vérifie si [email protected] est bien un compte normal (au besoin en te demandant de poser ton doigt) et répond que c’est bon à CloudFlare.

CloudFlare n’a aucun moyen de connaître tes infos personnelles (qui ne sont pas fournies par Apple), Apple n’a aucun moyen de connaître les sites que tu visites (non fournis par CloudFlare), Google perd un moyen gratuit d’entraîner ses IA et d’enrichir sa base de connaissance des internautes.
Apple y gagne car Google y perd.

Le 11/06/2022 à 20h 12

fofo9012 a dit:

Ce qui est très con c’est que Word en 2013 gèrait déjà nativement les PDF en lecture / écriture, pas besoin d’un soft foireux supplémentaire de type “imprimante PDF” !

De mémoire, les PDF générés n’étaient pas terribles (pour sélectionner le texte).

Le 23/05/2022 à 10h 50

Bien sûr que non, la Constitution prime toujours, et les Allemands sont particulièrement attentifs à ça. Après, bien sûr que la CE va dire le contraire, et en pratique le CC adapte à chaque fois la Constitution pour que ça colle.

https://fr.m.wikipedia.org/wiki/Hiérarchie_des_normes_en_droit_français

Le 23/05/2022 à 05h 23

Liam a dit:

Les futures seront conformes à la Constitution dans les mêmes conditions. Par contre, elles resteront non-conformes au droit européen, qui prime sur le droit français (article 55 de la Constitution : “Les traités ou accords régulièrement ratifiés ou approuvés ont, dès leur publication, une autorité supérieure à celle des lois, sous réserve, pour chaque accord ou traité, de son application par l’autre partie.”)

Mais la Constitution est supérieure au droit européen. Si le Conseil constitutionnel dit que c’est bon, c’est que c’est bon.

Le 10/04/2022 à 16h 06

fofo9012 a dit:

J’avoue n’avoir jamais compris comment les crypto peuvent servir d’activités illicites. Autant TOR qui utilise le même principe (un canal entrant sort sur différents canaux de sorties) c’est efficace car pour analyser le système il faudrait sniffer tous les canaux de sorties pour espérer reconstituer le trafic à l’intérieur.

Mais en cryptomonnaie tout est public, si je te paie 100€ même en saucissonnant en millions de pouillème de centimes qui passeraient par des portefeuilles indépendants, à un moment en analysant les transactions (publiques) tu vois que 100€ sont sorti d’un compte pour arriver sur un autre peu importe le nuage d’intermédiaires, c’est une simple offuscation. Sur un système bancaire classique, ces stratagèmes fonctionnent car tu arrives toujours tôt ou tard sur une banque qui ne joue pas le jeu. (ou un “commerçant” qui facture des fausses prestations) Mais la blockchain, c’est un livre de compte disponible à tout le monde.

Parce que les mixers ne fonctionnent pas comme tu penses, tout simplement.
Tu donne 100 bitcoins, et on t’en rend 50 en plusieurs transactions un certain temps après, qui ne sont aucunement reliés à ta transaction.

Le 29/03/2022 à 19h 23

En effet, ça n’a rien à voir.

Ton ordinateur interroge un serveur DNS (généralement celui de ton FAI) sur un nom de domaine d’un serveur web, et en réponse reçoit une adresse IP. Si le serveur DNS est menteur, il donnera une mauvaise IP.
Pour contourner cela, il suffit de changer de serveur DNS.

Le routage correspond à la route suivie par la communication entre ton ordinateur et le serveur web que tu consultes. Si un équipement (routeur) sur le chemin détourne le trafic vers un autre serveur, tu ne peux rien faire.

Si le routeur n’est pas sur le chemin, il peut tout de même tenter d’« attirer » le trafic vers lui en annonçant des fausses routes à ses routeurs voisins. Imagine quelqu’un à l’entrée d’un rond point qui change les panneaux. Si tu l’écoutes, tu vas dans la mauvaise direction, mais tu peux ne pas l’écouter. Autrement dit, si le routeur compromis n’est pas dans le pays ciblé, il peut être ignoré et donc être inoffensif.

Le 11/03/2022 à 17h 38

En effet, accepterait-on des appels à la violence contre Bush pour son invasion de l’Irak ?

Le 25/02/2022 à 06h 46

Drepanocytose a dit:

Oui, bon, c’est valable n’importe quand, même hors tension internationale. D’ailleurs la tension internationale est visible aujourd’hui, mais même quand elle ne l’est pas, elle est souvent larvée.

La Russie pourrait prendre moins de gants et il pourrait y avoir d’autres NotPetya, encore plus violents, et ça peut affecter d’autres cibles par erreur. Saint-Gobain était une victime collatérale par exemple.
Mais sur le fond, tu as raison, ces mesures devraient toujours être prises.

Le 19/02/2022 à 07h 14

Si, ils ont bien envoyé un message.

Le 17/02/2022 à 19h 26

Ils ne savaient peut-être pas que les mdp étaient en sha512.

Le 11/02/2022 à 17h 51

Freeben666 a dit:

Ou sinon un pirate peut compromettre un site web, contaminant tous les visiteurs du site en question. Vu le nombre de plugins WordPress vulnérables dernièrement…

Je ne dis pas que la faille n’est pas grave ; je dis que ce n’est pas du zéro-clic.

Le 11/02/2022 à 08h 23

Il faut donc une action de l’utilisateur s’il doit cliquer sur un lien pour visiter la page.
Un vrai zéro-clic n’a besoin d’aucune action de l’utilisateur (par exemple un texto qui active le piège à sa réception).

Le 28/01/2022 à 13h 46

J’espère que ce n’est pas du FTP mais plutôt du ftps ou du sftp

Le 17/01/2022 à 05h 45

(quote:1923806:Stéphane Bortzmeyer)
« services de filtrage d’URL » Le terme figure en effet dans l’appel à propositions mais il est absurde puisqu’un résolveur DNS ne voit pas les URL, seulement les noms de domaines. C’est une des raisons pour lesquelles utiliser un résolveur DNS menteur pour la sécurité n’est pas une bonne idée. Si le site Web de la mairie de Champignac se fait p0wNer et que http://www.mairie-champignac/wp-quelquechose/malware.php distribue du logiciel malveillant, il n’y a aucun moyen, au niveau DNS, de bloquer seulement cet URL.

C’est certain que le DNS n’est pas la solution magique à toutes les attaques possibles. Pour autant, ça peut être un vrai plus pour augmenter la sécurité globale, en permettant de bloquer facilement des noms de domaine malveillants et en permettant d’avoir une idée de son usage.

Le 03/01/2022 à 10h 15

Et le tout avec un modèle économique clair : la version gratuite est un produit d’appel pour les entreprises.

Le 28/12/2021 à 23h 02

mais tout ça, ce n’est absolument pas le boulot des services de police judiciaire…

Le 28/12/2021 à 06h 57

SIaelrod a dit:

oui c’est surtout le problème, ils ne publie rien pour les ids/ips donc personne n’aura la protection préventive qu’il aurais pu amener, et il le supprime après un certain temps, donc hormis une liste pour aider au dépistage des attaques par la police, elle ne servira a rien.

Je traduis : hormis servir à ce pourquoi elle est mise en place, elle ne servira à rien. C’est plutôt pas mal, non ?

Et heureusement que les informations des enquêtes judiciaires ne sont pas publiques !
Celles qui ont vocation à l’être seront certainement transmises à l’ANSSI.

Le 01/12/2021 à 07h 03

OB a dit:

Il y a des gens qui passent leurs vie dans des négociations sur ce problèmes de normes différentes, et même pas avec la chine : Regarde le CETA. Alors vu les normes chinoise, on est pas prêt de trouver un accord.

Moi ça me va, note, sauf qu’en vrai ce qui va se passer c’est qu’un bidule à 12€ fabriqué en EU coûtera 120€ et donc…. se vendra pas : On s’en passera, ou bien on en achètera 1 et on se le partagera entre 10 voisins. Au total on va venir te dire que ça va contracter l’activité économique des pays de l’EU (ce qui est vrai, vu que cette activité, et les TVA qui vont avec, sont indexé sur les ventes). Et ça…. ca s’appelle la décroissance, et c’est encore un trop vilain mot dans la bouche des politiques mais aussi d’une grande partie des gens qui les élisent.

Ça possède d’autres noms, beaucoup plus concrets : krach, crise économique, effondrement, …

Le 26/11/2021 à 07h 24

(quote:1914734:127.0.0.1)
Déjà anonymiser les données ?

Mais je parierai qu’une partie non négligeable des données sont des scans de documents papier. Du coup l’anonymisation c’est pas aussi simple que crypt(lastname).

Mais en vrai, comment fais-tu concrètement pour anonymiser tes documents Word et en gardant la possibilité de les lire et de les imprimer normalement ?

Le 02/11/2021 à 20h 17

tpeg5stan a dit:

Quel gâchis :/ Un classique après Louvois, la paye des fonctionnaires, etc. « heureusement » le montant n’est pas trop élevé.

Sans être expert du sujet, la gendarmerie n’a pas un projet similaire basé sur Gendbuntu, géré en interne et qui « tourne bien » ? Ce ne serait pas possible de le copier-coller et d’en transférer la gestion ? M’enfin j’imagine que la querelle d’égos police/gendarmerie doit être un frein monstrueux.

Gendbuntu est un OS pour les postes clients, qui n’a pas grand-chose à voir avec les outils métier. Là, on parle d’une application métier, probablement un serveur (avec un client lourd ou léger).
Au passage, Police et Gendarmerie partagent déjà pas mal de développements informatiques, ça ne m’étonnerait pas que ça soit le cas pour celui-ci d’ailleurs.

Le 15/10/2021 à 17h 32

David_L a dit:

qemu/kvm

Merci pour l’info :)

Le 14/10/2021 à 13h 37

Est-ce que Proxmox a son propre moteur de virtualisation, ou utilise-t-il un truc tout fait comme kvm ou xen ?

Le 13/10/2021 à 14h 32

anagrys a dit:

se pose au passage la question de la mise en construction d’autres EPR, qui est censée trouver une réponse début 2023 - soit après les élections. Et plus ou moins 20 ans après le début des travaux de Flamanville, mais bon, après tout, vu qu’on a réappris plein de trucs qui étaient basiques en 1980 avec ce chantier, autant attendre de tout ré-oublier, ça sera plus drôle quand il faudra en relancer. Sinon, pour les “réacteurs nucléaires de petite taille”, on sait en faire en France, que je sache ce n’est pas un réacteur de 900MWh qui est installé à bord du Charles de Gaulle ou des sous-marins nucléaires ! Le seul souci, c’est que l’entreprise qui fournissait la Défense Nationale en turbines pour ces réacteurs à été malencontreusement vendue à un autre pays. Bon, un pays ami, certes, mais le gens “d’ami” qui fait que parfois, on n’a pas besoin d’ennemis…

Il faut tout de même les comprendre : ça ne fait que quelques dizaines d’années qu’on sait que les énergies fossiles vont se tarir (même si on ne sait pas trop quand), qu’on aura de plus en plus besoin d’électricité et que le nucléaire est une méthode garantie pour produire de l’électricité en quantités suffisantes et de manière pilotable.

Le 13/10/2021 à 10h 31

Et hop, encore un plan de relance, qui sera rapidement oublié comme ses précédents, et qui contredit les actions (réelles) précédentes. J’imagine qu’il n’y avait plus de numéro vert disponible, vu que c’est l’autre moyen d’action gouvernemental…

Le 06/10/2021 à 10h 05

refuznik a dit:

Mouarf, toujours la même antienne : pédophiles et terrorisme. Tous ces pays qui poussent à militariser internet en mode offensif et surtout qu’est ce qui va être considéré comme une attaque une campagne de spams ou un mail de pishing ? Les UK et US nous prennent la tête franchement avec leur pseudos ennemis.

Non. Là il s’agit clairement de se défendre contre des attaques étatiques (comme le piratage de Bercy il y a 10 ans), pas de la criminalité ou du terro.

Plastivore a dit:

Mais, c’est pas censé être discret ce genre d’opérations ? C’est bien la première fois que je vois quelqu’un annoncer qu’ils mettent en place un plan de cyberattaque (bien que très vague).

Pourtant la France l’a affirmé clairement il y a quelques années, les États-Unis également…

Le 17/09/2021 à 19h 19

Gros changement apporté par snap : tous les téléchargements se font depuis le dépôt de Canonical : on ne peut pas avoir ses propres dépôts ni dupliquer le dépôt officiel.

Le 17/09/2021 à 19h 16

Gamble a dit:

Embaucher une personne corruptible et corrompue en tant que directeur dans une entreprise qui est supposée protéger les données des utilisateurs, c’est un concept. Pas sûr que ça donne envie de passer par cette entreprise.

Et une prune de 1.69M$ pour qu’il n’y ait aucune conséquence, c’est pas cher payé (bon, il ne pourront plus travailler pour l’état ni obtenir d’habilitation) pour de la criminalité en bande organisée

Et comment sont-ils censés savoir qu’elle est corrompue ?

Le 15/09/2021 à 19h 00

Ah, voilà une offre qui est sympa !
Merci NI !

Le 12/09/2021 à 12h 06

Même au niveau perso, c’est toujours mieux d’avoir un second facteur d’authentification, pour te prémunir d’une fuite de base de données de mots de passe.

Le 06/09/2021 à 20h 03

Et hop, un de plus !

Le 20/07/2021 à 11h 08

Donc un homme est une personne s’identifiant comme un homme, et une femme est une personne s’identifiant comme une femme.
Un homme est donc une femme, vu que la définition est identique. Ça n’a vraiment aucun sens…

Le 19/07/2021 à 18h 55

Quelle serait la définition d’homme (et de femme) dans ce cas ? Pour être honnête, je ne comprends pas ce que ça veut dire.

Le 12/07/2021 à 09h 00

Mais est-ce que les GAFAM seront concernés ? Il me semble que certains ne sont pas assez rentables (vu qu’ils s’arrangent pour ne pas l’être).

Le 08/07/2021 à 14h 13

hansi a dit:

Comme pour l’ANSI, on attend des fichiers de configuration immédiatement exploitables dans une PME/PMI, des exemples concrets et adaptables pour lutter efficacement contre les attaques courantes. Bref : du concret et de l’imédiatement exploitable à grande échelle. Et qu’est qu’on nous pond ici ? Un énième site présentant les activités d’un organisme d’état ! Utilité : 0 ! On a vraiment l’impression de payer des impôts pour entretenir des ingénieurs sécurité atteints de réunionite, passant leur temps à édicter leurs conseils éclairés du haut de leur pyramide, et viscéralement incapables de se mettre dans la peau des admins en première ligne ! En outre, il faudra m’expliquer le concept de sécurité intérieure avec des logiciels privateurs de liberté. Les GAFAM en rient encore.

Ce que tu demandes n’a rien à voir avec les missions de la DGSI… si tu avais lu leur site, tu l’aurais peut-être compris

Le 07/07/2021 à 08h 39

Un programme militaire américain qui se plante en beauté ?
Que c’est original !

Il va pouvoir rejoindre ses illustres prédécesseurs marins, aériens, terrestres…

Le 16/06/2021 à 20h 51

Zerdligham a dit:

A mon avis ça sera comme le Mediator, où a on dit bouhh qu’il est méchant le Servier, et où on a largement oublié que c’est les médecins qui le prescrivaient pour des conneries.

Là on va dire bouhh le méchant Haurus, on va le mettre en taule un peu, mais pas trop non plus parce qu’on sait qu’il est loin d’être le seul plein de caca dans l’affaire. Trop compliqué de gérer les responsabilités collectives quand un système entier déraille.

Euh, faut pas exagérer non plus. Entre le ripoux qui gagne de l’argent en vendant des personnes pour qu’elles se fassent flinguer et le magistrat qui n’a matériellement pas le temps de vérifier tous les détails de chaque procédure parce qu’il se tape déjà des semaines de 70h comme ça, il y a quand une légère différence…

Le 16/06/2021 à 19h 24

La DGSI est coupée en deux : une partie renseignements et une partie judiciaire (moins connue), qui sont normalement assez étanches.
D’ailleurs, s’il y a un magistrat, c’est que c’est bien de la police judiciaire et qu’on ne parle pas de renseignement.

Le 16/06/2021 à 17h 54

Je me demande quand même pourquoi NI fait de la pub à un ripoux qui a permis l’assassinat de quelques personnes, dont apparemment au moins une personne qu’il a balancée par erreur et qui n’avait rien à voir avec la choucroute…

BlackLightning a dit:

Ce qui me choque surtout dans cette affaire (en plus de l’abus de “pouvoir”, bien que pour certains points, ça peut éventuellement se comprendre), c’est l’absence de vérification et procédure de sécurité interne. Même si c’est les renseignements, il n’empêche que ça devrait être mieux controlé/tracé que ça. Parce que si un gars de leur service fait ça, ça donne quoi une taupe interne qui pourrait être en plus discrète car elle ne ferait pas de bénéfice directe ?

En l’occurrence, on parle de service judiciaire, pas de service de renseignement.

Le 10/06/2021 à 20h 48

spidermoon a dit:

Dernier en date pour 2021 : EA s’est fait pomper 780Go de données, dont le code source de FIFA 2021

Tu aurais même pu dire des 10 prochains FIFA

Le 28/04/2021 à 20h 19

Freud a dit:

Merci pour l’article sur le fond, mais sur la forme… Vous aviez besoin de traduire absolument tout en Français ?

Bogue, charge utile, bac à sable… Le public de NextInpact n’aura aucun problème avec bug, payload, et sandbox hein. Personne n’utilise les termes francisés.

Personnellement, je trouve ça très bien !

Le 20/04/2021 à 21h 06

Pour les avis conformes (l’amendement rejeté), ça n’aurait pas tellement de sens : ça voudrait dire que le Premier ministre doit forcément autoriser une demande ayant reçu un avis favorable de la CNCTR sous peine de se retrouver devant le Conseil d’État.
La CNCTR émet un avis au regard de la loi uniquement, alors le Premier ministre se prononce sur d’autres critères (par exemple, on peut imaginer qu’il refuse une demande sous prétexte qu’il juge que c’est à un autre service de s’occuper de ce sujet).

(puis je trouve que le RAPU a raison de dire que la CJUE déborde de ses compétences, vu que son arrêt lui-même explique que la sécurité intérieure est une compétence exclusive des États)

Le 13/03/2021 à 09h 19

Geronimo54 a dit:

C’est effectivement une méthode interdite en France (et probablement d’autres pays) et donc susceptible d’annuler l’enquête. Mais est-ce le cas dans tous les pays?

Pourquoi donner un téléphone contrefait serait interdit en France ?

Le 05/02/2021 à 21h 04

C’est quand même pas mal !

Le 29/01/2021 à 20h 33

Au moins, ils sont corrects vis-à-vis de leurs clients :)

Le 27/01/2021 à 22h 08

Pour la sécurité, j’espère que les routeurs avec la compatibilité HomeKit vont se développer un peu ; cela permet justement de facilement limiter les accès des équipements HomeKit présents sur le réseau (voire de les empêcher complètement de se connecter à internet).