Le 08/01/2024 à 20h 09

Le 22/10/2023 à 13h 51

Pensez-vous que nous devrions limiter ou arrêter certaines thématiques ?
Je trouve toutes vos thématiques d’articles intéressantes. Pour moi l’espace à autant sa place que le reste, ce n’est qu’un environnement dans lequel se repend le numérique.
Devrions-nous au contraire renforcer certaines thématiques ou en lancer de nouvelles ? Si oui, lesquelles ?

1. Je pense que si vous faites plus d’articles sur la sécurité numérique, cela ferait venir pas mal de gens. A part 1 site francophone, le reste des médias traitant ce sujet se rapprochent fortement du ramassis d’influenceurs, chercheurs de gloire, grappes de superstars auto-congratulants, créateurs de réseaux de leur espèce adeptes du copier/coller sur Linkedin. Linkedin étant en substance la lie de l’humanité.


2. Plus de brèves à lire ? Votre zone de jeux est tellement vaste qu’il y a de quoi faire

Nos articles sont-ils souvent trop longs ?
Non ils ne le sont pas. Et si j’ai envie de lire des articles courts je vais dans les brèves.

Le 13/09/2023 à 15h 22

“Pour améliorer l’efficacité énergétique des réseaux, il faut donc passer en 4G/5G”
Essaie-t-on de nous faire avaler que cette nouvelle 5G, tant décriée, est bonne pour l’environnement et le vivant en la groupant avec la 4G.
De toute façon le consommateur ne fera qu’acheter les téléphones que les constructeurs feront. Ce sont ces derniers qui selon moi on le pouvoir de rendre le 5G utilisée ou pas. Quelle est donc la part de responsabilité des constructeurs dans les augmentations de consommations, toutes les matières premières et les coûts de construction pour ce réseau 5G ?
J’aimerai bien voir une étude objective sur les besoins de 5G, accompagnée d’une étude de risques RSE rêvons un peu.. Un truc encore plus complet que https://www.ariase.com/mobile/dossiers/5g-environnement

Le 01/09/2023 à 21h 56

Que pensez-vous de vscodium ?
https://github.com/VSCodium/vscodium
https://vscodium.com/

Libre, facile à installer, fonctionnalité qui ressemble étrangement à vscode ;)
Je n’utilise plus que ca depuis quelques mois. RIP Atom et autres IDE

Le 28/06/2023 à 14h 50

Je finalise ce qu’il me reste à faire pour que ce soit correct et je pense mettre l’arborescence sur github d’ici quelques jours/semaines. Je t’enverrai le lien par MP.
Pour les autres qui seront intéressés contactez-moi (je n’ai pas trouvé quelque chose de simple et de tout fait déjà à base d’exim, si je peux faire gagner du temps à certains).

Le 27/06/2023 à 12h 21

debian 12 + podman + fail2ban
pod alpine linux contenant : [exim, dovecot] + rspamd + clamav (est-ce vraiment utile?) + instance letsencrypt pour le certificat
Volume persistant des emails en structure mailDir pour des utilisateurs systèmes dédiés dans le containers et le tout géré par des Makefile pour en rendre la maintenance plus rapide.
Depuis quelques jours j’ai tout refait from scratch pour le plaisir, et il me reste à refaire :

• liaison des containers rspamd et clamav


• remettre une surveillance de bon fonctionnement avec swaks


• remettre les bonnes règles et optimiser les jails fail2ban sur les ports exim et dovecot

Une fois le truc en place, je tiens à jour mes containers avec la commande make update
Si pas de version majeure qui bousille la configuration des applis cela me prend 1 minute pour les maintenir à jour (je pourrais l’automatiser en cron et ne plus avoir à m’en occuper du tout)

Le 31/01/2023 à 01h 04

Oui exactement, les ops et les utilisateurs à privilège bureautique (helpdesk) ont déjà tous les outils et bcp de comptes pour compromettre leur SI et tout dépend de l’objectif qu’ils se fixent. Perso je préfère chercher des bases de remoteNG et autres leurs MDP inscrits dedans pour faire de l’élévation de privilège horizontale.
-> je trouve l’utilisation de Keepass (bien installé) bcp moins risquée que l’usage des outils d’exploit au mdp chiffrés symétriquement, ou des clefs ssh sans MDP, certains scripts / outils de connexions RDP qui tracent le user et mdp dans l’historique du powershell, etc.

Le 30/01/2023 à 22h 25

Si j’ai bien compris : Pour exploiter cette “vulnérabilité”, il faut que l’utilisateur ait les droits d’écriture du fichier de conf -> vulnérabilité de configuration des exploitants, pas du logiciel lui même.
Dans le cas contraire, il y a déjà eu une élévation de privilège sur la machine qui permet de modifier le fichier de conf pour configurer un trigger -> un admin a tout les droits sur la machine, il peut tout voir et entendre de ce que fait l’utilisateur. D’autres choses sont plus inintéressantes à faire alors, sauf si c’est le poste d’un exploitant informatique qui dispose d’un grand nombre de comptes.
Les applis portables, avec l’utilisateur qui a les droits d’écriture sur les binaires / fichier de conf c’est pas bien pour n’importe quelle application.

Je trouve qu’on fait bcp de bruit pour pas grand chose avec cette soi-disant vulnérabilité de Keypass. Plusieurs SGBD, et des applis comme Gitlab a aussi des trigger e on peut faire des choses pas jolies sans élévation de privilège. Y aurait-il des conflits d’intérêts à faire de la mauvaise pub à Keepass par ses concurrents qui veulent gagner des parts de marcher ?

Si on a un accès distant avec un privilège utilisateur le plus simple d’exécuter un keylogger pour attraper son mot de passe de coffre ou de capturer les copier/coller des mdps qu’il utilise ou la sortie écran pour voir l’usage qu’en fait l’utilisateur connecté, avec un peu de chance l’IHM Keepass a été configurée par l’utilisateur pour afficher les MDP en visible.
Donc on n’a même pas besoin de configurer le fichier de conf pour retrouver ces mots de passe, avec un baecon fait-maison on passe sous les alertes antivirales et si l’EDR n’est pas trop bien configuré (~90% des cas) on peut pivoter et se rapprocher de la cible en quelques heures / jours.

Le 28/10/2022 à 18h 26

A part les transportables 17” avec CPU de desktop il existe cela qui se raproche de ce que tu demandes : https://frame.work/fr/fr
Concept très intéressant je trouve

Le 25/10/2022 à 16h 10

Si vous démarrez sous KDE neon : pour les mises à jour, préférez sudo pkcon update -y à sudo apt update && sudo apt upgrade -y.

Le 19/06/2022 à 07h 43

RatonLaveur54 a dit:

Perso, je suis à la recherche d’un executable windows qui s’ouvre avec un mot de passe fort, et qui permette d’editer son contenu comme un notepad, puis se referme et s’autorechiffre avec la clé. Rien trouvé de satisfaisant dans l’open source jusqu’à présent.

T’as essayé CheeryTree ? https://www.giuspen.net/cherrytree/#features
Ou le mécanisme ne t’as pas plu ? “password protection (using http://www.7-zip.org/) – NOTE: while a cherrytree password protected document is opened, an unprotected copy is extracted to a temporary folder of the filesystem; this copy is removed when you close cherrytree”

Moi, à défaut de mieux, j’utilise cela

Le 08/05/2022 à 16h 05

SebGF a dit:

Après, la mise en oeuvre du 2FA propose à chaque fois des codes de récupération normalement. Personnellement je les stocke dans mon Keepass et celui-ci est synchro sur plusieurs machines donc peu de risques d’en perdre l’accès à un moment donné.

Accessoirement, KeepassXC sait faire générateur TOTP, si le service en ligne autorise plusieurs sources de 2FA, j’ai pris l’habitude de le déclarer systématiquement. Mais oui, c’est pas une pratique courante pour le commun des mortels.

J’avais bien récupéré mes codes de récupération OVH, sauf que je n’ai pas utilisé le premier sur le moment pour les activer… j’avais pas tout lu à l’époque, j’en ai payé le prix. Après, avec OVH ca s’est bien passé, je n’ai pas perdu de temps.
Merci du conseil, j’utilise bien KeepassXC et je n’avais jamais remarqué la fonctionnalité d’OTP

Le 08/05/2022 à 05h 38

Autant en milieu PRO, le 2FA n’a pas sont égal :

• ton MDP dans ta tête + token OTP physique avec une partie de code mémorisée non choisie ou par ton badge d’accès


• ton MDP dans ta tête + ton badge d’accès


• une carte + un mdp (court) que tu n’a pas choisi pour les combiner dans ta calculette

en cas d’oubli : bon si t’habites trop loin pour refaire l’aller-retour, tu t’organises, tu fais des réunions prévues un autre jour ou t’aides tes collègues sur des sujets, au pire du perds une journée
en cas de perte ou de vol : direction l’accueil, ils désactivent l’ancien et t’en fournissent un opérationnel rapidement. Tu n’a pas 50 mille actions à faire.

Autant en milieu perso la 2FA sur smartphone ou USB c’est la galère pour 2 raisons :

• OTP sur ton smartphone, clef USB, n’importe quel système externe de toi

en cas d’oubli : blocage sur des actions importantes : à la caisse lors de tes courses par exemple, administration de tes sites web ou infra internet , accès à ses emails, consultation banque
en cas de perte ou de vol : tu ne peux faire aucune des activités ci-dessus tant que tu n’as pas fait désactivé UNITAIREMENT le 2FA auprès de chaque fournisseurs. Avec pour certains des famines : tu ne peux pas t’authentifier en Authenticator ? :

• pas de problème on t’envoie un code SMS, .. mais “on m’a piqué mon téléphone !! “


• on te demande de passer par l’application mobile que tu n’as pas installé ou “on m’a piqué mon téléphone !! “


• on te demande d’envoyer un email avec des pièces d’identités prouvant que tu es toi : mais je n’ai pas accès à mon webmail car je l’ai aussi en 2FA et je n’ai plus la clef ou le téléphone avec authenticator
  Bref c’est une merde sans nom (pour l’avoir vécu dernièrement).

Le 20/03/2022 à 07h 51

J’ai pris l’abonnement sur 2 ans (le 18 mars je crois), mais je suis encore statué en non abonné, le paiement a bien été prélevé.
Le délai est-il normal car week end, actions manuelles de votre part , etc.
ou c’est purement automatique et j’ai pas de chance ?

Le 07/05/2021 à 06h 52

La vidéo d’il y a 1 an en montre beaucoup plus sur les personnages et sur la trame que cette nouvelle de 20 secondes :
YouTube

(il faut juste faire abstraction des 40 premières seconde de récup d’images sur d’autres vidéos. Après c’est du miam pour les yeux .

Le 14/03/2021 à 23h 29

à part le son des moteurs et autres que l’on entend dans l’espace, il est vrai qu’il y a peu à leur reprocher niveau technique/réaliste. Vaiment dommage ce son de moteurs, le silence dans les séquences spatiales aurait donné tellement plus de valeur aux images et à l intensité ..

Le 16/07/2020 à 07h 05

Ah ben voila d’où viennent les messages pas très intelligents de Trump, il s’était fait pirater son compte en phase pilote avant la généralisation sur les autres comptes !! .. ah.. on me dit que son compte n’a pas été piraté en fait..

Le 08/07/2020 à 07h 41

Ah Younited, je reçois toutes les semaines des SMS pour finaliser des demandes de crédit que je n’ai jamais passé. Impossible d’avoir un service client  tel/email/formulaire contact …  je fais peut etre partie de ces 3.5 millions d’utilisateurs qui sait ?

Le 28/06/2020 à 08h 23

vince120 a écrit :



Vu l’activité, ils devaient être soumis à Bâle III, non ?

C'est pas justement censé anticiper ce genre de catastrophe et empêcher ce type de magouilles ?

Très juste. Presque à chaque fois qu'il y a eu un scandale avec des milliards en jeu, on a vu une incrémentation de la réglementation Bâle = Bâle\_actuel + 1.      

La réglementation va se durcir, ca va couter encore plus cher de faire des contrôles et d’être en règle avec la loi. Les gros vont devenir plus gros et vont manger les petits encore plus vite.

EY quand même un des bigs FOUR, cela va bien entacher leur image. Qui a envie de se faire contrôler par eux maintenant ? ou même audités. Il a y avoir des têtes de coupées.

Je pensais les CAC presque aussi intègres que l’ACPR ou d’autres entités de contrôle. Je me suis trompé. Mais je n’avais pas pensé que le CAC vit aux dépend de la société cliente qui la paie pour contrôler la sincérité des comptes.

OK, on ne “crash” pas dans la soupe.



Wirecard triche OK, bcp de sociétés trichent. Mais avec l’aide de CAC de EY ca c’est la citrouille sur le gateau.

Le 30/05/2020 à 19h 29

empty a écrit :



  Soit disant plus sécurisé… " />

tu peux détailler ?     

Pour moi , avec un code fixe, il y existe des scénarios de fraude ou cet élément est mémorisé  pour un usage plus tard ou vente du couple (numero de carte + CCV) très facile pour les commerçants peu scrupuleux . Avec le CCV qui change il n’est plus possible de le réaliser





la population française qui gratte le CCV fixe  doit être égale à 0.00..001%

Le 20/05/2020 à 16h 38

Cela veut simplement dire que tu as beaucoup de RAM.

Le 27/04/2020 à 19h 33

“Si ta société internet de plus de 100K d’employés ne fournit pas de solution de video-conférence après 60 jours de virus t’as raté ta vie”

 

Elles sont toutes belles  à parler de chiffrement de bout en bout ou de quasi-chiffrement de bout en bout, mais qui de ces grandes sociétés voudra parler de leurs capacités de déchiffrement de bout en bout ?

Le 03/04/2020 à 08h 23

Je vais apporter un autoradio avec un adaptateur et des HP chez ma coiffeuse, je vais l’oublier et le laisser là-bas.

Si des clients décident de l’allumer, choisir leur station, de régler le volume, alors, si j’ai bien compris, dans ce cas il n’y a pas de racket de la SACEM possible auprès de ce petit commerce qui coupe des cheveux ?



edit: pas vu le post précédent de fred42.  Donc ca confirme bien ce que j’avance ?

Le 21/03/2020 à 09h 07

Un taux de délinquance très élevé sur ces 3 territoires,  donc il doit y avoir bcp de visites dans ces établissement pour jugement ou contrôle, surtout lié à un commerce assez développé sur la farine et autres ingrédients pour la pâtisserie et les tisanes

Le 21/03/2020 à 02h 09

Mais dites moi ou est la raison suivante sur cette attestation ?



o Je dois acheter des clopes dans un bureau de tabac qui est fermé car j’en ai plus



N’est ce pas le bon moment pour arrêter de fumer ? ;)

Le 06/06/2017 à 20h 57

Tout dépend du jour et de l’heure d’envoi. Quelqu’un (Z-os je crois) a déjà parlé des traitements de masse à des heures fixes de la journée, ajoutons à cela les heures d’ouvertures des réseaux interbancaires et on arrive à avoir un virement qui peut être pris en compte du lendemain à 4 jours, voire 5 jours dans certains cas.

>https://en.wikipedia.org/wiki/TARGET2#Holidays



Je ne pense pas qu’une banque soit plus rapide qu’une autre excepté si 2 banques partagent la même infrastructure IT comme la BanquePop et la Caisse d’Epargne, là y a pas besoin de passer par une réseau couteux Wikipediaou très-très-très-très couteux (SWIFT). A force de se regrouper les banques vont devenir comme les 50 marques de lessives qui appartiennent à 2 ou 3 grands groupes.. vive la concurrence.



 En Allemagne c’est super : ils ont les banques de détail (particuliers,asso,entreprises,territorial) séparées des banques de finance (marchés, bourses), comme les USA pour l’instant (Trump…) et ils ont pleins pleins de banques dans leur landers.

Pour ceux que ca intéresse, je vous conseille



 LE LIVRE NOIR DES BANQUES de ATTAC et Basta! 



On apprend pleins de belles choses sur toutes nos “petites bonnes vieilles” banques françaises.

Le 14/07/2016 à 15h 49

Et CUDA OPENCL ?

Il parrait que des clusters de serveurs avec ces GPU font un très bon travail pour casser du chiffrement.

D’après ce que j’ai compris ca fait très bien le MD5 en quelques minutes pour un gros cluster > 10 GPU

 

Quelqu’un a des infos fraiches sur le sujet ?

Le 24/06/2016 à 09h 10

Encore un bel exemple des conséquences de l’externalisation et la centralisation à tout-va.

Avec la tendance actuelle on va en avoir de plus en plus je pense.

  

Continuons dans cette voie-là, je le vois tous les jours. Des personnes qui travaillent sur de l’IT en production ou en dev à plus de 5 niveaux du métier.

le Metier dialogue avec

la MOA qui est en lien avec

la MOE qui est en relation avec

la production qui passe par

un centre de service d’une SSII / ESN qui fait appel à

d’autres SSII / ESN plus petites qui ont des cerveaux moins chers et jetables

à des sociétés d’interim



saupoudrez de chefs de projets, de prestataires en AT, de chefs de services sur à peu à tous les niveaux et vous aurez une belle salade de fruits.

• Comment voulez-vous impliquer les personnes pour faire de la qualité avec ça ? Moi je ne sais pas.
  


• Et ça coute combien finalement ? Est vraiment moins cher pour le métier ? Je pense que tout dépend de la façon de calculer.
  
   
  
  Heureusement on arrive à lire des choses qui laissent un sentiment d’espoir pour les années à venir ->
  
  http://cestpasmonidee.blogspot.fr/2016/06/vers-une-re-internalisation-de.html
  
   
  
  
  
   

Le 28/03/2016 à 18h 53

Je ne suis pas fan du “nouveau” (plus si nouveau que ca) gestionnaire de bureau . Mais si c’est la seule alternative que l’on aura pour avoir un linux fonctionnel sur un PC hybrique (type Asus T100 ou Yago )

ben il va falloir que je me force ;(.

Quelqu’un connait une distribution Linux qui gère les types de portables aussi appelés 2-en-1 ?

Le 08/03/2016 à 20h 14

J’aimerais bien connaitre le % de base SQL Server dans le monde.



Dans mes précédentes boites depuis 2006 j’ai vu quasiment toutes les bases de données SQL Server migrer en Oracle, MySQL ou PostgreSQL.



Avec la quantité de produits sur le marché à l’heure actuelle je pense que c’est le seul choix qu’ils vont avoir pour ne pas perdre leurs clients entreprises, parce que bon à part pour faire tourner du LDAP ou Exchange (avis empirique subjectif) …

Le 14/01/2016 à 20h 01

Y’a tellement de concurrents chez qui aller. Bye bye Bouygues.

Le 22/12/2015 à 07h 51

Bien d’accord avec toi en tous points (en tout point encore plus :) ).

Sauf que parfois je me dis on nous a mis devant goldorak, les mondes engloutis, les cités d’or, Lamu, Bomber X, les Cats eyes ou encore les samourais pizza cat dès notre plus jeune age dans les années 80, on en ressort pas si cons que ca après tout ? Bon après, je pense que tout est une question d’équilibre entre toutes les activités. Il ne faudrait peut être pas trop leur interdire pour ensuite les frustrer et se retrouver à trop batailler s’ils essayent lors de leur adolescence de “rattraper le temps perdu” sans limites ?

Le 18/12/2015 à 10h 19

Tant que les navigateurs respectent les standards HTML/CSS/Javascript il peut y avoir autant de navigateurs que d’utilisateurs ca ne changera pas le travail d’un developpeur qui suis les standards.

Je trouve que c’est une bonne chose pour la diversité