Le 04/04/2024 à 11h 44

Ils savent toujours pas dire comment ils ont été piraté ? Pour le coup ça fait vraiment pas sérieux vu l'acteur.

Vu ce que Microsoft fait à son propre gouvernement, le jour où il y aura suspicion de fuite chez nous, quand le gouvernement français posera des questions ils vont répondre "bonjour support technique Microsoft, pouvez vous faire la commande sfc /scannow sur votre machine ?"

Le 13/03/2024 à 20h 08

Pendant ce temps là à France Travail, un conseiller à une personne lambda:

"Le "cybersécurité" ? C'est quoi ? Vous voulez pas plutôt prendre cette offre raisonnable en usine à mi temps CDD deux semaines ?"

Le 24/02/2024 à 01h 08

KVM et Hyper V sont des hyperviseurs de type 1.

KVM parce que l'application fait appel à des modules du kernel et sont contrôlable depuis l'OS mais sont implémentés sur le noyau. Proxmox ne change pas ce comportement, c'est une Debian modifiée et centrée sur la virtualisation. La version du noyau Proxmox est plus avancée qu'une Debian classique, ce qui lui permet sûrement de profiter des versions plus récentes des modules de virtualisation implémentés dans le noyau, ainsi que les nouveautés hardware.

Hyper V est annoncé de type 1 par Microsoft, quelque soit le Windows qui est derrière, client (10, 11...), serveur, OS dédié...

VMware vSphere (type 1) dispose bien d'un OS appelé PhotonOS qui tourne pour faire fonctionner l'ESXi, mais sont restés sur des fonctions de gestions et il a un aspect très léger/austère sans vCenter, mais on peut y aller en SSH.

Virtualbox et Vmware workstation/player sont type 2, et dépendant des appels matériel réalisés par Windows au lieu de l'accès direct dont implémentent et disposent les type 1.

Le 21/02/2024 à 13h 14

Oui, encore énormément de très mauvais pratiques sur la conteneurisation, très mal comprise et encore plus par les décideurs.

Les mêmes qui commencent à se faire rattraper par leur comptabilité sur les factures exorbitantes qu'ils se rendent compte avoir à payer aux fournisseurs de cloud, dont ils n'avaient rien estimé.

Comme souvent dans le monde de l'entreprise. Il y a aussi du gachis énorme dans ces endroits, juste ils ne sont pas tenus de les expliquer ou les communiquer.

Le 21/02/2024 à 12h 58

Très bon article.

Mon retour de vécu, c'est que la virtualisation a très largement permis de diminuer le nombre de serveur physiques dont une entité avaient besoin pour fonctionner, on pouvait voir transformer une salle entière en une seule baie selon les cas de figure. On avait ainsi une simplification physique mais pas forcément logique dans le sens où il faut faire vivre les VMs. Chaque changement ou mise à jour reste à définir. Ils restent des irréductibles qui ne jurent que par les serveurs physiques, prétextant une baisse de performance d'une VM vs un serveur physique, ce discours est encore maintenu par certains intégrateurs d'applications dont l'ingénierie remonte à des années.

La conteneurisation elle est plus de l'avènement du cloud, où les hébergeurs ont réfléchi à un service de masse dans le commissionnement, le maintien du service, ses changements et son arrêt, donc dans le cycle de vie d'une applications. Cela a pris en puissance dans les années où les entreprises commençaient à avoir des liens internet "abordables" et performant pour aller vers des applications de plus en plus SaaS/externalisées.

Google a rendu son projet Kubernetes en open source en 2014 et il n'a fait que monter en puissance, les conteneurs ne sont pas aujourd'hui présent dans toutes les entreprises, cela reste une marche conséquente dont les bénéfices ne semblent pas perceptible à première vue, mais selon moi cela sera partout d'ici 10 ans.
Un Kubernetes apporte de nombreux avantages au développement d'applications, ce qui nécessite quand même d'y avoir été formé convenablement. Dans les avantages on peut compter: trivialité de créer des environnements de test identique à la production, trivialité dans les mécanismes de mises à jours et de rollback, un environnement toujours défini dans le conteneur qui est neutre et écarte tout bug lié aux X dépendances qui pourraient être installées sur serveur, coexistance possible de plusieurs process qui remplisse la même fonction, par exemple des bases de données en différentes versions...

Sur un autre sujet, le conteneur (docker, lxc... autres) est extrêment léger comparé à une machine virtuelle sur laquelle on mettrait l'application voulue, tant en espace disque qu'en mémoire consommée.
Par contre en terme de sécurité, il y a avertissement qu'un conteneur partage le même noyau que son "hôte" contrairement à une machine virtuelle où le noyau lui est dédié. Le risque c'est qu'une faille du noyau peut permettre à un process d'un conteneur d'atteindre l'hôte, l'hôte est donc moins isolé que dans le cas de la machine virtuelle. C'est quelque chose qui je pense pouvoir dire n'est pas activement exploité par des hacker, nous voyons très très peu de news d'attaques de ce genre, mais c'est une attention qu'il faut avoir en terme de sécurité.

Le 11/02/2024 à 16h 40

Penser qu'on est protégé de quoique ce soit en chiffrant son disque système, que ce soit bitlocker ou autre système, reste une fantaisie de toute manière.

Je continuerai à le faire pour mes clients / mon employeur parce que ça leur permet de passer des audits.

Mais concrètement le risque pris à ne pas chiffrer les disques d'un poste est tellement minime qu'il est virtuel.

Avec de la créativité la protection se bypass, que ce soit mdp ou que ce soit clé physique.
Si la machine est déjà allumée, il n'y a plus de protection, ce qui est une très grosse partie du temps.
Aujourd'hui les données importants sont de moins en moins en local et de plus en plus en ligne, loin de la partition chiffrée.

Pour bitlocker, on a permis aux utilisateurs de ne pas se soucier des clés de chiffrement en utilisant une puce TPM. Ce n'était qu'une question de temps que quelqu'un aille regarder la puce TPM. Donc honnêtement la manip ne m'étonne pas et ne m'effraie pas plus que ça non plus. C'est by design.
Tout accès physique au matériel rend caduque n'importe quelle protection "automatique" qui ne demande pas d'interaction. Toute tentative d'échapper à cette règle ne sont que des exercices de forme et d'obfuscation.

C'est une énigme impossible où on dispose d'une clé (le secret), et on voudrait la laisser sur la machine pour pouvoir l'utiliser quand on veut, ou pouvoir la démarrer automatiquement ou pouvoir la réinitialiser au cas où, mais on voudrait en même temps qu'elle ne soit pas récupérée par la personne qui récupère la machine. C'est impossible.

Et quand on compare le risque de se voir sa machine piratée via une connexion externe quand il est allumé, vs le risque que quelqu'un vous prenne votre pc, qu'il prenne le disque, qu'il a la compétence pour siphoner ce qui s'y trouve. L'effort et le risque pris par le hacker dans le second cas sont plus élevés de plusieurs ordres de grandeurs.

Le 30/10/2023 à 12h 21

Entre

Patch a dit:

Le problème étant que ce sont souvent eux qui sont promus, pour les sortir de production. C’est l’énorme défaut de la gestion du personnel à la francaise, au lieu d’utiliser le principe de Peter comme le font les anglo-saxons, on y préfère le principe de Dilbert.

et

Witcher a dit:

C’est la fin d’un métier, l’IA approche…

On a réussi à reproduire un débat BFMTV dans les commentaires. Chapeau bas.

Le 21/09/2023 à 17h 30

Comprend pas trop les débats dans les commentaires sur Android et les embarqués.

Le constructeurs qui vous sortent un device avec un noyau qui a déjà 2 ans, vous pouvez vous rincer pour qu’il fasse des mises à jour noyau derrière. Et quand il est en capacité de le faire il l’a modifié.

LTS ou pas ça n’a aucune importance, le device a 2 ans de retard de mise à jour notamment sécurité, c’est un fait qui existe avec ou sans support. Rien n’empêche le constructeur de mettre le noyau à jour avec sa compatibilité matérielle, mis à part le fait qu’il va sûrement pas mettre le budget pour des ingés pour des devices qu’il considère déjà être des déchets, ce qui est l’essence du problème.

Le 07/09/2023 à 17h 02

quicky_2000 a dit:

fais chier, cette annonce fait plonger l action de ma boite vu que la Pomme est l un de nos gros clients :(

ça doit être plutôt confort d’avoir Apple comme client.

D’ici quelques jours ça sera comme s’il s’était rien passé.

Le 01/09/2023 à 21h 51

Windows Server quoi, dont les failles sont les mêmes depuis des dizaines d’années sans aucune recommandations/réactions. Obligé de passer par un pentest pour savoir qu’il vaut mieux désactiver tel ou tel paramètres par GPO.

Couplé au fait qu’il est partout chez des organisations qui paient une fois la licence et le matos et ensuite espèrent ne plus jamais entendre à parler d’avoir à le gérer.

Un W2022 est vulnérable de base, mais de toute façon il y a encore des 2003r2 et 2008r2 un peu partout. D’ailleurs à bientôt avec la fin du support de base de 2012r2 ^^

Le 08/03/2023 à 20h 07

Que Twitter s’effondre et qu’on construise quelque chose d’autre à la place.

Ce service n’a aucune particularité ni ne couvre le moindre besoin que n’importe quelle autre plateforme ne saurait remplir en 1 à 2 mois de développement.

C’est tout juste un outil de règne américain sur l’information.

Le 04/03/2023 à 17h 05

« Gandi reste indépendant au sein du groupe Your.Online »

Cette phrase c’est une technicité de communication.

Le 05/02/2023 à 12h 25

fred42 a dit:

Belle illustration du propos de la brève, qui d’ailleurs ne parle pas de savoir-être mais de savoir communiquer.

Le paragraphe sur le ransomware est justement ce qu’il faut faire et ce qui manque probablement souvent, en étant encore plus concret si possible sur les coûts induits.

Par contre, dire que l’informaticien sait ce qu’il fait quand il dit non, c’est justement ce qu’il ne faut pas faire.

Le dernier paragraphe prouve aussi le problème de communication : non, le message sur la sécurité informatique n’est pas passé. Il a été envoyé mais n’a pas été reçu.

Les managers sont globalement bons en tant que décideurs (comme les informaticiens dans leur domaine). Donc, s’ils ne prennent pas les “bonnes décisions” sur la sécurité informatique, ce n’est pas parce qu’ils sont mauvais, c’est parce que l’on ne leur a pas passé le message comme il faut.

En fait, il y a probablement des améliorations à apporter de chaque côté.

“Par contre, dire que l’informaticien sait ce qu’il fait quand il dit non, c’est justement ce qu’il ne faut pas faire.”

Si si, il sait ce qu’il fait quand il dit “non”, il sait aussi qu’il ne doit pas le dire. Ce que j’aimerais vous faire comprendre c’est que si vous tombez sur un “non”, il y a une bonne chance que vous ne fassiez pas d’effort dans votre demande. Faites comprendre que vous avez besoin de “X” pour votre activité, posez vous autour de la table, vous allez obtenir ce que vous vouliez. Cela demande juste de travailler un peu.

“qui d’ailleurs ne parle pas de savoir-être mais de savoir communiquer.”

Est ce que tu veux qu’on débatte sur le fait que la communication est une compétence de la catégorie savoir-être, ou pas ?

“Les managers sont globalement bons en tant que décideurs (comme les informaticiens dans leur domaine).”

En théorie je suis d’accord avec vous. Le retour d’expérience il est par contre très simple : les entreprises qui se font trouées, ceux sont celles que la sécurité informatique “fait chier”, ou “c’est pas mon problème”. Des professionnels qui n’ont pas donné une seconde d’attention à un problème parce que “j’ai autre chose à faire”, “on verra bien”, “j’ai pas le budget et à vrai dire ça m’intéresse pas de le mettre au suivant”

Le 04/02/2023 à 23h 46

wanou a dit:

En effet, j’ai constaté que dans beaucoup de cas, les IT ne sont pas des pros de la com. Dans certaines boîtes, on se demande également si ces gens sont au service de l’entreprise ou si s’est l’inverse.

Mon ressenti perso qui n’engage que moi est que le service IT constitue souvent un gros frein pour la performance de l’entreprise. Personne ne veut les comprendre mais ils ne veulent pas comprendre non plus les problèmes des utilisateurs et sont dogmatiques. Peut-être qu’en apprenant à aller vers les autres, ils pourront commencer à travailler de concert avec les utilisateurs, comme le font les divers autres métiers entre eux.

Quand la seule réponse que l’on obtient souvent est qu’il va falloir faire sans, personne n’a de temps pour les aider quand des tentatives de hameçonnage sont reçues. C’est donnant-donnant.

“comme le font les divers autres métiers entre eux.”

Les divers autres métiers ne se comprennent pas plus qu’avec la partie informatique.

“Quand la seule réponse que l’on obtient souvent est qu’il va falloir faire sans, personne n’a de temps pour les aider quand des tentatives de hameçonnage sont reçues. C’est donnant-donnant.”

Il y a un gros problème là dans vos dire : vous inversez le problème.
Imaginez que vous soyez commercial, vous prenez un ransomware et vous vous faites siphonné des données.
Vos devis, vos prix, les données de vos clients se retrouvent dans la nature, vos clients sont au courant, certains portent plainte pour négligence, et vous avez une impact sur votre image. Vous avez perdu les informations de vos prospect et des projets client en cours, vous passez à côté de plusieurs contrats. Vous êtes passé pour un c car vous n’avez pas pu fournir un document à un client qui vient d’acheter : il est cryptolocké.

Qui est impacté sur son métier ? Pas l’informaticien, lui se retrouve avec plus de travail, et enfin vous lui voyez une valeur ajoutée. Si vous fermez boutique, lui repartira avec une expérience en plus, qu’il soit dans votre équipe ou non.

Si vous voulez je peux vous refaire l’histoire si vous êtes comptable, drh, juriste, agent/chef/directeur de production, manager, marketing, directeur, sdm, adv, standardiste, R&D… Par contre je peux vous dire tout de suite : ce que je viens de raconter ce n’est pas un conte, c’est ce qui se passe tous les jours.

Quand votre IT vous répond pour une demande d’un outil, ou quand ils vous demandent de suivre des consignes de sécurité, dans les deux cas c’est lui qui vient vous aider, quelque soit sa réponse. Vous ne lui rendez pas service : vous vous rendez service en le consultant.

Quand un informaticien vous dit “non”, je vous prie de croire qu’il y a de bonne raisons derrière. Il serait peut être bon d’utiliser votre “savoir-être”, puisqu’à priori eux n’en ont pas, pour décortiquer le problème lorsque vous souhaitez résoudre dans votre activité métier par un outil informatique.

Je connais beaucoup d’informaticiens dont les compétences de savoir-être sont plus faibles que dans d’autres métiers, c’est vrai. Mais par contre je n’en connais aucun qui n’aide pas quand c’est possible pour eux d’aider. Et ce trait de vouloir aider, c’est un naturel chez eux qui est bien plus prononcé que dans plusieurs autres corps de métier pour le coup.
C’est parfois même un problème, à trop vouloir aider certains rentrent dans de la bidouille qui ne convient absolument pas à s’inscrire dans des process résilients.

Si vous comptez encore utiliser votre ordinateur pour votre métier, il serait bien pour vous d’inverser cette pensée sur le “frein”, car vous allez au devant d’autres problèmes si vous n’arrivez plus à parler à votre assistance informatique quelque soit sa forme.

Vous ne vous rendez pas compte de ce que vous dites quand vous considérez vos collègues/partenaires comme un frein, en tout cas vous lire parler de donnant-donnant après ça c’est l’hôpital qui se fout de la charité.

Mais ne vous inquiétez pas, quand vous serez à l’arrêt pour cause de piratage, il y aura encore un informaticien présent pour vous aider à repartir.

C’est pas compliqué car le message sur la sécurité informatique est passé et repassé, “l’incompréhension” je l’ai entendue encore et encore. A force ce que j’en pense ça devient : c’est utile ça permet de se couvrir. La grande majorité des organisations qui se retrouve piratées ont des manquements et ont considéré qu’ils prenaient le risque en se bouchant les oreilles, c’est quasi systématique.

Le 29/12/2022 à 09h 33

Effet rebond mes c

Les avancées en termes de réseau (fixe, mobile, peu importe…) n’ont que pour unique vocation à accueillir les usages qu’on demande justement au réseau.

L’ingénierie fait des efforts pour que chaque byte transféré coûte moins d’énergie. Si on arrête d’évoluer sur le réseau on va juste avoir un réseau qui consomme plus.

Parce que le problème il est pas là, aujourd’hui on a peut être des forfaits à XXGo mais tout le monde s’en bat, plus personnes ne s’inquiètent d’avoir vidé son forfait.

Par contre quand des constructeurs standardisent du 4K et du 8K, personne vient se plaindre. Quand vous enregistrez et uploadez vos photos en 20MPixel personne vient se plaindre.
Vous payez vos abonnement de streaming en haute qualité et personne vient se plaindre.

Si le réseau ne suit pas, un jour ça sera le crash et on aura tout perdu, car quand le réseau est en défaillance il n’y a plus de service, et on va commencer à remettre en cause la neutralité du net etc.

Il faut commencer maintenant à limiter tous les usages consommateurs, et quand on n’aura plus +40% d’usage constatés par an là les réseaux se demanderont pas comment les absorber dans quelques années et on commencera à faire des économies.

Le 08/11/2022 à 15h 48

BarbeDouce a dit:

J’ai du mal à voir en quoi :

• En quoi Twitter n’est plus “politiquement neutre” après la prise de position de Musk. C’est une déclaration publique qui n’engage en rien ni les employés, ni les utilisateurs. Et vu le coté sulfureux du personnage, il est plus que probable qu’il ait eu la même déclaration s’il n’avait pas racheté Twitter… qui aurait alors soutenu que le site est devenu partisan ?

Très drôle

Le 08/07/2022 à 11h 48

Dj a dit:

Un fax ça arrive dans le bureau et chaque personne est en capacité de le lire. Donc c’est (il me semble) considéré comme lu directement. Puis imagine, laisser une personne en prison car le mail est passé dans les spam ou bloqué par orange/laposte

A part si on est réfractaire, le mail on est en capacité de le lire.

Cela peut aussi se faire oublier dans la machine, c’est surtout une question d’orga/rigueur.

Les spams ça se gère aussi, les pannes téléphoniques ça existe, les pannes de fax ça existe.

En plus dans le lien il est dit que c’est un 2e mail qui a prévenu qu’ils n’arrivaient pas à envoyer un fax… Que la personne n’a pas lu son premier mail. Me semble que le fax est le plus fautif du coup ?

à 10M€ d’enjeu, facile d’accuser un point technique

Le fax c’est un vieux protocole en rien sécurisé, il ne l’est que parce que plus personne ne l’utilise donc il n’y a pas de faille connue forcément.

Les FAXs restent chez les réfractaires c’est une certitude. Santé/juridique…

Le 14/05/2022 à 09h 48

Winderly a dit:

Il suffirait que les clients ne se laissent pas berner, et ce système disparaîtrait de lui même.

C’est tellement simple la vie pour certains

Le 07/05/2022 à 12h 06

Drepanocytose a dit:

Ca changerait quoi, franchement ?

Toi ça te changerait pas, ça on sait tous que c’est cause perdue.
Par contre pour tous les autres, un ministre qui répond directement au Président, et des moyens derrières, ça améliore la qualité des propositions de lois qui seront soumis au parlement entre autres choses.

Le 03/05/2022 à 11h 36

Comment on peut tomber bas quand on a de la fierté mal placée.

Ils ont du se penser dans l’ère du temps quand ils sont allés appuyer une procédure sur la base de “nan mais regardez son facebook il nous aime pas”

L’adresse mail sur les droits des données qui n’était pas bonne… au delà des compétences, pour éviter ce genre de chose il faut mettre quelqu’un au contrôle qualité et qu’on lui donne les moyens de le faire (du temps… qu’on le prenne au sérieux…)
On peut aussi choisir d’accepter l’erreur, mais c’est pas leur cas car ils sont repartis en justice.

Le 30/04/2022 à 14h 00

j’adore

Le 25/03/2022 à 12h 04

à la télé ils iront dire sur une news de 10 secondes chrono que c’est une victoire, que Google ne payait pas la culture française et que c’était pas juste

De toute façon le débat copie privée c’est un débat qui ne peut pas exister dans la société, parce les grands acteurs de l’information et de la communication sont les mêmes qui veulent faire plus d’argent sur la notion de droit d’auteur ou à minima l’encourager, rares sont ceux qui ne sont pas sur cette ligne. Cela ne sera jamais mis en avant, et aucun politicien ne se risquera à froisser la culture, le risque pris est trop grand et il y a trop peu à gagner.

Les “taxes” sur le numérique vont inexorablement continuer à augmenter sur différents secteurs, comme on le voit bien déjà au travers de ce qui est rémonté par NXI qui nous fait cet excellent travail d’information. Il faudrait vraiment des erreurs grossières et répétées pour attirer l’attention du publique.

Et comme les outils français continueront à être plus chers pour aucune service rendu, on continuera à avoir régulièrement des produits de cultures d’autres pays (Netflix?) qui viendront chez nous, et on continuera à se demander comment ça se fait qu’on a 10 ans de retard, et on continuera à dire aux gens de “consommer Français” parce qu’il va bien falloir un argumentaire de vente.

Le 11/01/2022 à 12h 03

(quote:1922594:skankhunt42 )
“ La forte méfiance face aux politiciens “

C’est clair que quand un politiciens me dit qu’il faut interdire X alors que la science dis que le niveau de dangerosité n’est que de 2 sur 20 mais qu’en même temps il fait ouvertement la publicité de Y alors que la science dis que le niveau de dangerosité est de 14 sur 20 mon niveau de confiance baisse fortement.

Nous en sommes arrivées à un point ou il faudrait qu’une instance supérieure puisse valider ou non leur propos avant de les relayer. Car beaucoup de gens prennent pour argent content leur avis qui ce transforme peu à peu en opinion.

Et le jours ou l’ont s’en rend compte, la confiance tombe à zéro.

Quoi ?

Le 30/12/2021 à 14h 27

MisterDams a dit:

Je comprends bien le principe de redondance, mais c’est pas ce qu’on fait ici à dupliquer les fichiers, puisqu’un fichier peut continuer à circuler alors que l’auteur lui-même l’a perdu.

Si, parce que dans ton exemple de photo, si tu as perdu ta photo, parce que t’as perdu/cassé ton téléphone, tu peux le retrouver sur ton cloud.
Si tu t’es tout fait piraté (cloud perso + réseaux sociaux) ton pote peut te redonner la photo.

Si pour tous ces usages tu ne stock qu’une fois (disons sur le cloud), lorsque tu supprimes par accident ou que tu te fais pirater, tout le monde a perdu la photo.

Si on transpose ça par exemple à Windows, disons qu’on partage System32 entre un groupe de personnes/organisations. A la première corruption d’un fichier, par exemple mauvaise mise à jour, c’est tout le monde en même temps qui ne peut plus travailler.
Notons que cet exemple existe et que c’est parfois un risque pris au sein d’une même organisation.

La blockchain n’a aucun rapport ici elle est même carrément superflue, ça serait de l’énergie dépensée pour rien. N’importe quel base de données pourrait choisir de stocker l’information comme quoi la photo se trouve sur https://sitedimages…. mais beaucoup choisissent de ne pas le faire pour des raisons d’optimisations, d’affichage, de conversions, de disponibilité, de redondance, de reconnaissance de personnes, de sécurité… j’en passe

Un exemple de sécurité (confidentialité), si ton réseau social, ton cloud, toi et ton pote et ceux qui regardent la publication, doivent tous pouvoir accéder à une image stockée en un seul endroit, ça veut déjà dire que la photo doit être accessible publiquement sur internet.
Ou alors il faut mettre en place un autre système d’authentification qui permettra de faire rejoindre tous les systèmes autour d’une même table de permissions. Bon courage…

Le 12/12/2021 à 11h 57

Ricard a dit:

“Démission de l’une des cinq dirigeantes de la CNIL belge”

Ha ? Il n’y a que des femmes qui dirigent à la CNIL ? Et la parité ?

On s’en tape ?

Le 01/12/2021 à 08h 27

Trump mais chez nous,

• propos proches


• bourdes équivalentes


• ressassage médiatique équivalent

franchement j’ai pas envie de suivre cette campagne.

Le 04/10/2021 à 11h 18

yannickta a dit:

L’existence même de ce sondage est révélateur du fait qu’ils sont complément déconnectés, si ils ne comprennent pas pourquoi les gens ne votent plus…

Et donc selon toi ?

Le 27/09/2021 à 10h 42

alain_du_lac a dit:

Il y aura toujours des râleurs quoique dise ou fasse MS. Ils ont raison : laisser les chiens aboyer et faire passer la caravane. L’an prochain, je ferai une mise à jour de mon PC avec une carte mère sécurisée et un processeur Intel dernière génération (buget prévu environ 600 €) et roule ma poule pour 10 ans (soit moins de 5 € par mois) , alors que je “claque” 15 € par mois pour mon abonnement mobile (SOSH, 80 Go) 😂

C’est pas faux

Le 17/09/2021 à 20h 46

ça va faire un sacré inpact

Le 15/08/2021 à 12h 05

barlav a dit:

Désolé, oui. J’ai réagit un peu fort.

Mais pour revenir à “c’est bon pour la planète”, entre balancer 2KW dans un convecteur ou 1.7kW + 300W de CG l’hiver, je vois pas trop de nuances. Après, t’as ceux qui se chauffent au fioul ou au gaz, mais pareil, c’est cohérent d’utiliser de l’énergie fossile? Et faire 1h de voiture par jour, c’est normal ? Bref, c’est pas le minage le pb, on balance des GW pour chauffer pleins de gens l’hiver. wackyseb veut juste une carte graphique, c’est ce que je voulais souligner. Mais pardon pour le ton, oui. Tu peux effacer, pas de soucis.

C’est beau d’essayer de se donner une conscience.

En attendant :

• tu achètes un matériel qui aura nécessité une production dans un procédé sophistiqué, long, demandeur en énergie, avec des métaux rares





• tu claques 1 an d’éléctricité sans interruption, plus 1 an après pour faire 2€ par jour





• au bout de quelques années ton matériel suit plus et tout part à la benne





• tu participes à la pénurie des composants, et quand c’est pas le cas tu participes à la croissance des usines de production (celles des riches que l’on accuse tous les jours pour le réchauffement climatique)





• tu as produit… rien, même pas du divertissement, t’as fait un achat et t’as laissé un appareil tourner 2 ans, pour produire 2€ par jour au bout d’un an, fois tout ça par carte graphique. Tu as transformé de la matière et de l’énergie en très peu d’argent. Si je lance un jeu vidéo je me suis diverti et je me suis occupé, si je cryptomine il s’est juste rien passé.

Et on sait tous qu’on ne fait pas de la cryptomonnaie pour la beauté de l’art, pour une prétendue liberté ou même encore pour se chauffer. C’est même complètement hypocrite car avec la cryptomonnaie tout l’investissement repose dans son côté spéculatif poussé à l’extrême, en vrai il n’y a que l’appât du gain qui est moteur sur cette activité.

Le 19/06/2021 à 14h 00

(quote:1880700antonQ-Robespierre)
« Dans l’espace, personne ne vous entendra péter… »

Pris en flagrant délit à des centaines d’années lumière, c’est quand même pas de chance, comme quoi on est jamais en sécurité !

Le 19/02/2021 à 12h 48

seboquoi a dit:

Merci de nous tenir informés. J’ai une énorme flemme et j’aimerais bien qu’OVH se bouge. Il m’arrive de temps en temps d’avoir un mail qui arrive en SPAM et dans un cadre pro c’est vraiment problématique.

Il faut bien être conscient que ce que vous décrivez continuera d’arriver avec ou sans la prise en charge par ces fournisseurs des fonctionnalités citées.

Le spam s’adaptera, et il faudra toujours filtrer de manière automatique ce qui veut dire parfois faux positifs et faux négatifs.

Il faut trouver son mode d’organisation pour éviter des problèmes de type message non reçu ou lu trop tard, mais aussi voir comment faire pour éviter de passer par le mail quand vous avez une activité qui réclame fiabilité et réactivité dans le passage d’information. Un mail, à l’image d’un courrier, il peut être retardé, perdu ou détruit, il n’y a pas 100% de réussite de “transmission”.

Le 26/01/2021 à 20h 04

Abatonimus a dit:

Comment font-ils pour savoir qu’il s’agit de la Corée du Nord ?

Ouhla ça va pas de poser des questions ?

Pas trop de risque à accuser aléatoirement ce genre de pays, remarque.

Le 10/10/2020 à 19h 16

KP2 a dit:

Déjà un port USB2, c’était surdimensionné pour ça

Si c’est ce qu’il fallait pour dégager le PS/2 pour les claviers/souris alors tant mieux

C’est pas spécialement bien géré, si le périphérique était pas reconnu au boot, les périphériques ne pouvaient plus fonctionner jusqu’au redémarrage, voire jusqu’à opération du saint-esprit. J’ai encore eu un cas de figure il y a quelques semaines.

Le 18/07/2020 à 17h 05

ungars a écrit :

Une telle faille me laisse en effet très dubitatif. Décidément, la sécurité informatique est décidément un vain mot.


D’aussi longtemps que l’AD et sa fonction DNS associée est là, la règle d’or ça a toujours été de ne pas permettre de requête vers un contrôleur de domaine (serveur AD et DNS) depuis Internet.

Même règle qu’interdire du RDP (port 3389) exposé sur internet.

On sait que c’est beaucoup trop de risques, à la fois au niveau failles potentielles mais aussi dans la façon de les configurer qui peut laisser trop de portes ouvertes. Cela a pu cacher cette faille.


Ce qui est pas mal avec cette faille, c’est que le modèle d’attaque est indirecte et qu’on peut provoquer un overflow via la réponse à une requête, donc le hacker s’affranchit de problématique de firewall ou de nat.

Un cas pratique imaginable de cette faille est:
-User1 clique sur un lien dans un mail sur domaine xyz.com, User1 a des serveurs Windows DNS sur son pc donc consulte Windows Server “DNS1”
-DNS1 reçoit la demande, ne la trouve pas en local et passe sur internet, demandant qui est ns1 de xyz.com
-ns1 de zyx.com est consulté. Celui ci est contrôlé par le hacker et va répondre à DNS1, dans sa réponse il introduit l’attaque avec du bout de code inséré après l’octet 65535 de la réponse DNS
-DNS1 reçoit la réponse qu’il lit, et le code inséré après le 65535e octet se retrouve en overflow, injection directe dans la mémoire avec une chance d’être lu et executé avec potentiellement les plus gros privilèges
-Le hacker en possession de zyx.com a alors peut être réussi à prendre le contrôle total de la machine DNS1, User1 lui n’est pas affecté.

Le 18/07/2020 à 10h 56

“Fustigeant un anonymat sur les réseaux sociaux (qui n’existe pas, pour
rappel), il a directement opté pour une argumentation de type point
Godwin, se rattrapant ensuite : « On peut vous traiter de tous les noms, de tous les vices, en se cachant derrière des pseudonymes ».”

Sérieusement NI ?

Vous accusez quelqu’un de parler d’anonymat et quand vous le citez la personne dit “pseudonymes”

Vous commencez votre article avec des phrases qui veulent dire “regardez la bourde.” Cela ne vous intéresse pas que vos lecteurs se fassent leur propre idée, il faut que vous leur disiez ce qu’il faut penser ? Où est ce simplement que ça attire plus “d’audience” avec ce genre de prose ?

Face à ce genre de biais je n’ai aucune idée de ce qui a été réellement dit, c’est juste une perte de temps.

Vos engagements politiques ne m’intéressent pas, comment on filtre ce genre d’articles ?

Le 11/07/2020 à 21h 09

SebGF a écrit :

Pour le télétravail, c’est pas cette annonce qui va changer grand chose.
Le rollback est déjà en cours dans pas mal d’entreprises que je côtoie avec le retour à 100% + les accords habituels de 1 ou 2 jours par semaine selon le bon vouloir de l’alignement planétaire toussa et un administratif dissuasif.

Le ralentissement d’activité du confinement avait réduit de 30% les émissions de gaz à effet de serre notamment grâce au fort recul du transport routier (l’agriculture reste l’un des autres grands producteurs). Et selon le Haut conseil du climat, ça remonte déjà. Sans parler de la pollution sonore aussi qui est revenue.

Le télétravail massif n’a été possible que parce que le gouvernement l’avait décrété durant l’état d’urgence sanitaire. Le pire est que pas mal de sondages laissent apparaître des gains de productivité durant la période.

Bref, y’a encore du chemin à faire " />


Je suis d’accord, j’observe la même chose sur le télétravail.

Néanmoins cela a créé un évènement où le télétravail s’est fait, les entreprises ont quand même passé un grade dans leur réflexion, il est encore utilisé ponctuellement, l’adoption des technologies tendra vers la capacité de faire ce télétravail et les prochaines négociations internes aborderont le sujet.

Comme tu dis il y a encore du chemin à faire mais si on pouvait garder le pas qu’on a mis dedans ça serait bien.

Le 11/07/2020 à 10h 32

Je crois qu’il est très malvenu d’envoyer un signal à la population comme quoi ils auraient à payer en fonction de leur quantité d’usage internet. Rien de mieux pour foutre en l’air tout les efforts récents sur le télétravail, refaire partir les gens en voiture pour des broutilles. Il y a une partie des gens qui vont croire qu’ils participent en utilisant pas internet.

On était en confinement et internet était “poussé à fond” et pour autant les indices de pollutions étaient au plus bas, il faut clairement aller dans le sens de plus d’internet, ça reste une activité basse consommation malgré tout.

Le 06/07/2020 à 18h 48

Methio a écrit :

Question pour être sûr de bien comprendre : au 1er Septembre 2020 les navigateurs (en tout cas Safari) mettront une alerte de sécurité, la “même” qu’en face d’un certificat auto signé, si le certificat a une durée totale (début + fin) de plus d’un an ? Y compris les certificats dont la date de début précède Septembre 2020 ?

Quid des certificats clients ? Non affectés ? (Quand le serveur web est configuré pour ne laisser passer que les clients qui possèdent eux même un certificat pour prouver leur identité)


Super, une partie de la réponse à mes questions est dans le lien de la newshttps://support.apple.com/fr-fr/HT211025
 

• Pas d’effet sur les autorités installées soi même (donc j’en conclue PKI perso/d’organisation inclus)
  


• 398 jours de validité pour les certificats qui débutent en Septembre 2020, les autres restent valides
  


• Certificat client a rarement du sens sur les autorités pré installées donc pas affectés ?
  
  Je ne suis pas sûr pour le message d’alerte, il est juste dit que ça échouera.

Le 06/07/2020 à 18h 17

En vrai ça soule, ça force tout le monde a la même règle alors que tous “serveurs webs” n’ont pas la même exposition.

 Cela m'embête pour les PKI internes avec parfois du https qui ne doit fonctionner que dans un LAN bien défini.       

 Question pour être sûr de bien comprendre : au 1er Septembre 2020 les navigateurs (en tout cas Safari) mettront une alerte de sécurité, la "même" qu'en face d'un certificat auto signé, si le certificat a une durée totale (début + fin) de plus d'un an ? Y compris les certificats dont la date de début précède Septembre 2020 ?    

Quid des certificats clients ? Non affectés ? (Quand le serveur web est configuré pour ne laisser passer que les clients qui possèdent eux même un certificat pour prouver leur identité)

Le 02/07/2020 à 11h 10

Cqoicebordel a écrit :

Titre un peu putaclic quand même.


Franchement d’accord

Le 30/06/2020 à 21h 35

“Si vous voulez profiter de DNS over HTTPS, vous devrez installer votre propre serveur relai, par exemple.”

Bon après DoH ça sert qu’à se sentir mieux dans sa peau en se disant qu’on chiffre un truc. Et si je fais une capture de trame wouahou je vois plus les DNS ! Sauf que le serveur DNS les voit très bien et l’appli de navigateur que je viens d’installer me colle un MITM et j’ai aucun moyen de le voir.

Le 29/06/2020 à 10h 50

" />

Le 19/06/2020 à 18h 42

David_L a écrit :

C’est pour ça que j’ai précisé dans l’article qu’on parle de normes qui ont pour certaines près de 15 ans et intégrées par certains acteurs depuis presque 10 ans.

PS : et même si on pourrait ergoter pour DKIM du fait du besoin de générer des clés, pour SPF, on parle d'un enregistrement TXT quoi... On est bien d'accord que ça peut se gérer comme projet, en moins de 15 ans ?

J’ai bien conscience,

Mon premier commentaire c’était de donner mon retour d’exp sur ces sujets, mais aujourd’hui mon entreprise a la plupart de ces mécanismes en place.

Ce que je déplore à l’origine, c’est que les équipes informatiques se mettent doucement divers bâtons dans les roues au fur et à mesure que leur utilisation du mail évolue, parce qu’ils ne regardent souvent pas le fonctionnement de ce vieil outil qu’est le mail (la boîte noire). Par exemple :

• Avoir une infra où des serveurs avec des technos différentes et des IP différentes se mettent à envoyer du mail.
  


• Laisser mettre en place des services externes qui peuvent envoyer des mails avec le même domaine.
  


• Faire envoyer du mail sans avoir la main complète sur le nom de domaine.
  
  Là j’étais côté client, mais le blame est aussi côté fournisseurs, auxquels la plupart des entreprises délaissent la partie mail. Car il y a encore peu, même si le client s’intéresse un peu aux spams, on lui parle pas de SPF, DKIM, DMARC la plus grande partie du temps.
  Les prestataires n’appellent pas le client pour dire “à propos de votre système mail, rencontrez-vous des problèmes, avec vous activé les systèmes pour lutter contre le spam et l’usurpation ?”
  J’ai eu un fournisseur il y a quelques années (dont je taierai le nom, surtout que je ne m’en souviens plus) qui m’a dit en substance sur DKIM “c’est pas la peine, c’est pas assez utilisé, ne faites pas”. Et mes échanges sur SPF étaient pas forcément mieux.
  
  Aujourd’hui on est dans une situation bizarre où si on met tout ça en place, le bénéfice est incertain car très très peu d’organisation activent les filtres, parce que trop de monde ne l’a pas fait, et ceux qui filtrent laissent le bénéfice du doute et laissent passer du faux mail alors qu’il ne devrait plus y en avoir.
  Comme c’est facile à faire sur un nouveau système mail, les mails spams/virus l’ont tous activé, il suffit d’un script bien trouvé sur le net pour monter une VM d’envoi de mail avec toute la techno de “certification”
  
  Pour résumer, les clients ne le demandent pas (savent pas ce que c’est), et les fournisseurs ne le proposent pas (ils disent “bof”)
  A un moment il va falloir durcir le ton et dire “on n’acceptera plus vos mails si vous respectez pas x standard”, mais ça va faire mal.

Le 17/06/2020 à 18h 40

aureus a écrit :

adminsys/ingé sys est un métier. Si la boite est pas assez grosse pour avoir un admin dédié messagerie, ca se couple avec de l’AD, du DNS, des filesystem, des ESX, de l’OS, ….

Si personne chez vous ne veut mettre en place le SPF c’est qu’ils sont soient tous mauvais, soient que personne n’a été embauché pour le faire.




David_L a écrit :

Réponse d’OVHcloud reçue, intégrée dans l’article " />

Disons que si personne ne sait ajouter un enregistrement TXT au DNS, y'a effectivement un souci ">

C’est facile de faire un nouveau domaine de faire un serveur mail et d’avoir le spf, dkim, dmarc, il n’y a pas besoin d’être du métier pour ça.

Et il y a arriver dans un contexte avec du mail existant qui n’est pas du tout conçu avec ces mécanismes à l’esprit.

Le 17/06/2020 à 11h 29

J’aime beaucoup cet article

Pour un retour d’expérience :

Même les informaticiens ne savent que de très loin ce qu’est le SPF, ils ne connaissent souvent que le terme et vaguement la finalité, même si j’ai l’impression que ça va de mieux en mieux. Il n’a pas été simple de se faire accompagner sur cette mise en place, qui au final n’a rien de si compliqué du moment qu’on sait ce que c’est DNS. C’est même franchement anecdotique à faire avec Internet en ressource.

J’ai l’impression que cette méconnaissance est liée au fait que le mail c’est la petite boîte noire que personne ne veut toucher, que c’est un domaine d’expertise d’une facette de l’informatique. S’il y a du vrai là-dedans, cela provoque cette situation où même quand on pourrait avoir la compétence de faire, on ne touche à rien à ce qui fonctionne, et ni la partie technique ni le client ne cherche à creuser le sujet.

Pourtant c’est super dommageable même pour les organismes/entreprises qui se retrouvent devant des situations où un mail important est passé en spam, personne sait s’il a été reçu, et ça fait perdre du temps à tout le monde ou ça impose de redescendre d’un niveau “fonctionnel” comme en devant appeler pour dire “avez-vous bien reçu mon email ?”

 
C’est là aussi que c’est pas étonnant que les systèmes bonnes pratiques soient en place sur du mail marketing, parce que les services marketing quand ils se retrouvent avec un taux de mise en spam de 20, 30, 50%, eux se posent réellement la question, et vont chercher les outils pour améliorer leurs scores. Notamment les services de publipostage implémentent souvent les bonnes pratiques à leur niveau.

SPF, DKIM, DMARC ne sont pas suffisant pour lutter contre le spam, mais aujourd’hui chacun fait à sa sauce pour le filtrage et tout le monde réinvente la roue de son côté. Petite mention spéciale à outlook qui laisse pas passer certains mails légitimes, sans laisser aucune trace à qui que ce soit, par contre les spam malware je les ai tous les jours. Puis derrière sur ce beau bordel des services antispam se sont construits pour faire encore plus de filtrage.

Le 13/06/2020 à 18h 45

Facebook a choisi son camp. Ils n’auraient pas répondu autrement, et encore moins pour dire en substance qu’ils ont choisi d’appliquer les “règles” du gouvernement en place comme un gentil toutou, en s’assurant de se justifier par la “démocratie”, comme si c’était pas déjà implicite.

Le 27/05/2020 à 19h 23

Ils doivent se dire que leurs joueurs n’ont pas de téléphones mobiles pour suivre une conférence en ligne.

Le 26/05/2020 à 18h 56

Teams est pas mal et il remplit son office (héhé)
 
Par contre plus de choses passent par Teams, et plus il est facile de faire prendre de nouveaux usages aux utilisateurs, mais en même temps ça me fait de plus en plus flipper que l’outil tourne mal et qu’il devienne une superbe usine à gaz.

Le 25/05/2020 à 18h 22

Faudrait un dessin de Floch avec des gens qui s’engueulent sur les bienfaits et méfaits des technologies 4G/5G/?, via leurs smartphones en couverture data.