Le 04/04/2022 à 13h 37

Quand je vois l’appel lancé par OVH, je doute qu’il soit sur la partie O365/Collab.

fate1 a dit:

A partir du moment où le logiciel est préinstallé lors de l’installation de Windows sans que tu puisses, à ma connaissance, refuser son installation et que Windows te notifie que tu peux y sauvegarder tes données dessus, j’appelle ça essayer de l’imposer.

Que tu n’aimes pas la pub, ça peut se comprendre; par contre, “imposer”, ce n’est pas ça. Les mots ont un sens. Et la définition ne prend pas en compte le critère “y sauvegarder des données dessus”.

fate1 a dit:

Ils auraient très bien ajouter une option lors de l’installation te proposant d’installer OneDrive en expliquant clairement ce qu’est un cloud et que tes données seront hébergées non plus sur ton PC mais sur les serveurs de Microsoft (ce que des utilisateur non technophile ne comprennent pas toujours). Bizarrement, ils ont préféré l’installer par défaut…

ça existe depuis des années, c’est dans les premiers écrans de configuration de Windows après une installation.

fate1 a dit:

Ca a toujours été le problème avec Microsoft qui met en avant ses logiciels/produits en se servant de Windows (IE, Office, OneDrive), ce qui induit forcément un problème de concurrence vu que les concurrents ne peuvent bénéficier de cette mise en avant. Google a fait un peu pareil avec Chrome.

Quel problème de concurrence ? La concurrence est étouffée par OneDrive ? Avec Google Drive qui a annoncé 1 milliard d’utilisateurs et DropBox 700 millions ?

MS vend une plateforme, et il est normal qu’elle promeuve ses services, tant que ceux des autres ne sont pas bloqués.

TF1 ne va pas faire de la pub pour M6. Audi ne te dit pas d’aller faire ton entretien chez Porsche. HP vend des cartouches HP, qui ne rentreront pas dans les Canon. J’ai pas souvenir non plus de voir les éditeurs de bouquins faire de la pub pour les collections concurrentes.

Le 29/03/2022 à 06h 11

Merci pour l’explication

Le 28/03/2022 à 18h 09

Je m’interroge sur la partie suivante :

(non ceux partagés avec un nombre indéterminé d’internautes)
En quoi ton lien répond-t-il à ma question ?
L’asséner avec de l’agressivité ne rendra pas ta réponse plus pertinante.

Le 28/03/2022 à 16h 13

Vous êtes sur de ce que vous dites sur Gmail ?
Quand je lis la news, il est dit explicitement :

la CJUE permet de faire entrer dans le giron des calculs des barèmes de redevance toutes les copies réalisées dans le cloud, du moins les tiroirs personnels accessibles depuis des serveurs distants (non ceux partagés avec un nombre indéterminé d’internautes).

Pour moi Gmail est typiquement dans le cas où cela ne rentre pas en compte (bien que je trouve la phrase un peu bancale)

Le 28/03/2022 à 16h 03

OlivierJ a dit:

Tu as des exemples de cas où un poste de travail sous Linux a permis des attaques informatiques ?

https://github.com/jgamblin/Mirai-Source-Code , par exemple

OlivierJ a dit:

En tous cas ce que je sais c’est que si je voulais une sécurité importante, déjà je n’utiliserais aucun Windows. Il y a des boîtes 100 % Linux qui ont l’esprit plus tranquille que l’entreprise lambda (que Linux soit intrinsèquement plus sûr ou bien qu’il ait une faible par de marché destkop, peu importe le résultat est le même).

Tu aurais un exemple de boîte qui ne soit pas composé de 100% de geeks et qui tourne à 100% sur du Linux, infra & postes compris ?

Le 28/03/2022 à 14h 30

OlivierJ a dit:

En fait quand tu te connectes sur des Linux avec des Windows, tu ne prends pas de risque. Le risque est surtout dans ce que l’utilisateur pourrait faire avec des données de l’entreprise (sur des disques partagés typiquement).

En plus de l’extraction de données (typiquement ce que recherchent les attaquants, cf la news), des exemples que j’ai pu voir en attaques, tu peux avec une machine compromise (qu’importe l’OS) :

• apporter un canal de communication avec l’extérieur et déclencher une charge virale (en activant un C2 planqué dans ton infra)


• offrir une porte d’entrée à l’attaquant (cf la news originelle) et lui permettre de sécuriser sa présence dans l’infrastructure cible


• faire une cartographie détaillée des réseaux internes, en énumérant les services/machines/vulnérabilités, et t’assurer une phase de reconnaissance de qualité pour un minimum d’effort et forger un malware spécifiquement pour cette infrastructure

Le 28/03/2022 à 13h 27

OlivierJ a dit:

Dans la société où je travaille les déploiements des mises à jour Windows sont automatiques, donc pas vraiment une histoire de clé USB.
[…]
Pas besoin de InTune pour pouvoir faire ça.

Dans ce cas, tu as déjà des outils de management, et le bon déploiement des mises à jour fait parti des indicateurs de conformité.

OlivierJ a dit:

Ce n’est pas l’impression que j’ai eue dans ma boîte (informatique).

Je parlais dans le contexte de l’attaque que j’évoquais.

OlivierJ a dit:

En tant que “informaticien” ayant conscience des problèmes de sécurité (comme mes collègues dans les milieux où je bosse), je suis pour le BYOD. J’ai passé 2 ans chez un gros hébergeur et on était en mode BYOD (il y avait des PC, quelques Mac, et certains étaient en Linux, logique vu qu’on ne gérait que du Linux). J’avais même désactivé l’anti-virus sur mon PC Windows, il ne servait à rien vu que je ne fais jamais de trucs risqués (pièces jointes suspects ou risque de fishing).
Là je vois que parfois (suis sur Win10) il me bouffe du CPU et du disque et ralentit clairement ma machine quand il s’active.

Tu es pour le BYOD mais tu qualifies les outils qui permettent à l’entreprise de se sécuriser d’inutile.
Donc pour toi, pas de problème qu’un collaborateur travaille sur du W7 hors support étendu, déploie des servers sur des vieilleries non supportées (comme du WS2003, ou des redhat EOL) …? Pas de problème que tu puisses rapporter ta machine perso et l’interconnecter à des systèmes critiques alors que tu ne respectes pas les principes de sécurité de base ?
Perso, en tant que CISO/CIO, ça me ferait flipper de savoir que des gens travaillent avec ces principes là dans l’organisation.

Le 28/03/2022 à 11h 32

OlivierJ a dit:

Ces trucs-là c’est vraiment autant “berk” qu’inutile. J’aimerais des preuves que c’est utile, car c’est une vieille lune ces histoires de vérifier la conformité avec des outils. La menace évolue toujours plus vite.

Scénario très simple vu sur plusieurs attaques. Une infrastructure complètement compromise, avec des accès suspects sur des postes managés ou non.

Je prends ici la solution de MS, Intune/MEM te permet de déployer des composants de sécurité, vérifier les logs, remonter les signaux sur les attaques, renforcer la configuration du poste/bios, prendre des mesures à distance. Pour l’avoir déjà vu, on a pu rendre propre à distance (situation de confinement) des machines compromises sans avoir à les réimager.
Avec Intune, il y a peu de chances que tu perdes ton infrastructure de gestion de poste, alors qu’une solution hebergée sur tes serveurs…

Avec un poste non managé, tu fais ça à la main. Alors oui, on a des entreprises qui se targuent de faire une campagne de patching annuelle pour leur parc, en envoyant des mecs déployer ça à la main via des clés usb, comme si c’était une fierté. Il est impossible de pouvoir justifier de la compromission ou non du device, il est impossible d’y pousser des mises à jour/correctif…
En situation de confinement, sans IT en place, les gens étaient complètement perdus et déconnectés de leur entreprise.

Les menaces évoluent, les outils aussi. Si les offres de solution de cybersécu sont de plus en plus spécialisées, c’est bien justement pour pouvoir s’affronter à armes égales avec les attaquants. Si tu enlèves ce genre de brique fondamentale, tu t’enlèves des capacités de réponse et de remédiation.

ça ne veut pas dire que j’ai envie que mon téléphone soit managé par mon entreprise. C’est pour ça que j’ai 2 téléphones, mon perso, qui n’a rien de pro dessus, et mon pro, fourni par l’entreprise et managé par elle, sur lequel il n’y a rien de perso.

Le 26/03/2022 à 09h 52

Aucun problème de sémantique, juste une approche rationnelle.

Même pour les androids & iphone, quand t’as rooté ton tel, tu ne peux te connecter à Intune car tu ne respectes pas les standards de sécurité : https://docs.microsoft.com/en-us/mem/intune/user-help/your-device-is-rooted-and-you-cant-connect-android

Bon, tu pourrais me dire “oui mais Lineage c’est des powers users qui savent ce qu’ils font, donc MS pourrait prendre ça en compte”

Nombre d’Iphones vendus : environ 2 milliards au global (https://en.wikipedia.org/wiki/List_of_best-selling_mobile_phones#Annual_sales_by_manufacturer)
Nombre d’androids vendus : 1 milliard en 2021 (et presque 3 milliards d’actifs - https://www.businessofapps.com/data/android-statistics/)
Nombre de Lineage actifs : 4 millions (https://stats.lineageos.org/)

Lineage n’existe tout simplement pas dans le marché d’un point de vue global, encore moins dans un contexte BYOD dans une entreprise.

Le 25/03/2022 à 16h 56

Glandos a dit:

Alors non, s’il vous plaît. Ça utilise InTune, qui est en gros un logiciel qui prend le contrôle de votre machine. Ce n’est pas disponible sous Linux (ça devrait l’être sous peu si j’ai bien compris). Ma boîte utilise ça, et accéder aux ressources de l’entreprise est devenu un enfer. Car oui, pour être productif, je n’utilise pas Windows ni MacOS.

Intune sert de couche de management du device (conformité, mise à jour, déploiement…). C’est un des outils de base du management du SI. Donc, si, bien sûr qu’il faut le déployer.
Dans la solution de MS, Intune est un des composants de base pour faire du Conditionnal Access basé sur la santé/légitimité du device.

Le support de Linux a été annoncé pour H1 2022 : https://techcommunity.microsoft.com/t5/microsoft-endpoint-manager-blog/microsoft-endpoint-manager-adds-management-and-compliance-checks/ba-p/2902346

En attendant, une VM correctement de Windows correctement enrollée dans Intun et donc managée ou une instance W365 satisferont les critères de sécurité de l’entreprise pour accéder aux ressources protégées.

Le 25/03/2022 à 11h 13

Attaque par typosquatting, c’est pas vraiment la bonne catégorie; on est pas sur des utilisateurs lambdas qui se font avoir par une faute d’orthographe/typo en allant un peu vite sur la vérification.

On est plus dans l’attaque par supply chain, à la rigueur.

Par contre, quand on regarde l’exemple dans leur billet de blog, c’est vraiment pas fin comme attaque … Suppression du scope Azure, version totalement wtf, même pas de readme affiché …

NPM a l’air d’avoir agit et supprimé au moins le paquet d’exemple : https://www.npmjs.com/package/core-tracing

Le 23/03/2022 à 13h 41

mood8 a dit:

je vais donner mes directives precoces sur le site du gouvernement

Tu aurais le lien s’il te plaît ? Je n’en avais jamais entendu parlé

Le 23/03/2022 à 13h 37

Le secret du code n’est pas une source de sécurité pour Microsoft, je ne vois pas ce qui permet d’affirmer le contraire ; c’est d’ailleurs pour ça qu’il y a des composants de sécurité matériel (TPM), software (azure key vault par exemple) ou des scanners de code.
Tu peux avoir le code, mais tu n’auras pas les différents “secrets” (clé d’API, certificats…) qui sont décorrélés.

Le 23/03/2022 à 09h 41

Bien entendu, il devient un peu plus compliqué de donner une leçon de sécurité quand on vient soi-même d’être attaqué, avec dégâts confirmés.

Ben voyons.

Diriez-vous cela aussi de l’ANSSI si elle avait été compromise de l’intérieur ? Oh, wait. https://www.zdnet.fr/actualites/la-condamnation-d-un-ancien-auditeur-de-l-anssi-devoile-des-dysfonctionnements-internes-39938905.htm

Les clients attendent ce genre de recommandations, parce que dans n’importe quelle organisation, il est possible de compromettre un individu prêt à monnayer ses accès et son identité.

Le 22/03/2022 à 10h 47

Vu leur campagne de recrutement de Lapsus$ ( https://securityaffairs.co/wordpress/128912/cyber-crime/lapsus-ransomware-is-hiring.html ), je ne pense pas que ce soient les comptes qui aient été compromis, mais plutôt les propriétaires des comptes.

Le 11/03/2022 à 11h 15

jerome_d a dit:

Un autre point important, c’est que open source ne veut pas forcément dire gratuit.

Si les structures qui décident d’utiliser de l’open source acceptaient par défaut de dépenser la moitié du coût d’une solution propriétaire, soit pour financer l’entreprise qui gère le projet open source, soit pour financer directement des développement dont elle a besoin, alors l’open source aurait les moyen de monter très largement en qualité. Et on pourrait avancer vers une plus grande autonomie / indépendence vis à vis des grosses sociétés du numérique.

Totalement illusoire.

Le discours “les DSI sont tous des nuls” d’autres personnes est complètement con. Forcément qu’un DSI (vision à haut niveau et sur plusieurs années de comment l’IT répond au business) n’est pas la même qu’un tech (vision très opérationnelle de comment son périmètre répond aux ordres).
N’oubliez pas non plus que les DSI ne sont que rarement des executifs, et que beaucoup reportent au DAF, qui lui, a une mission bien claire : couper dans les coûts non business tous les ans.

On ne peut pas comparer le TCO de deux solutions similaires juste par rapport aux fonctionnalités, il faut prendre en compte la totalité de la chaîne de valeur, incluant les coûts en infrastructure, les coûts & difficultés liés au personnel, et les multiples coûts d’intégration. Le “best of breed”, cela ne fonctionne que sur le papier.
S’il faut comparer le TCO d’une solution Cloud (telle que M365) vs un assemblage de solutions diverses à héberger/administrer soit même, la solution SaaS sera toujours gagnante.

En déclinant votre stratégie, il faudrait que les DSI multiplient les solutions, avec plus ou moins de facilité d’intégration, dans un contexte de difficultés de recrutement, avec plus ou moins de support de l’éditeur, et donc passer toute leur vie en négociations/projets.

Si les logiciels libres ne gagnent pas le marché, c’est bien à cause de ça, pas de la qualité.

Le 11/03/2022 à 10h 54

marba a dit:

Va en ukraine faire des bisous aux russes.

marba a dit:

Tu soutiens donc les argumentaires type de l’extrême droite

C’est ça ton problème. Tu es trop manichéen. On peut ne pas être d’accord avec toi, et ne pas être avec l’autre camp pour autant.

Le 09/03/2022 à 10h 17

Merci beaucoup :)

Le 09/03/2022 à 10h 09

Pour l’Iphone SE 3, je suis à la recherche de l’info sur la compatibilité avec la fonction Localisation Precise de l’Apple Tag; j’ai cru comprendre qu’il fallait une puce spéciale qui n’était pas dans le SE 2
Est-ce que cette rev 3 inclus ce composant ?

Le 24/02/2022 à 11h 05

Je vais reformuler en parlant comme lui :
“Chaque personne à son opinion, sauf [insérer un parti politique] qui a tord”
“Il faut respecter tout le monde, sauf ce mec qui est un con”

C’est clairement les 2 premières lignes de son message en #72.

Maintenant, relis ses messages, et relis les miens. Lui blâme MS (et pour reprendre ses termes, chouine) comme étant la source des problèmes des gens, moi je persiste à dire qu’il y a tout un ensemble de gens, souvent âgés, qui auront toujours du mal avec la technologie.
La recherche a consacré le terme d’illectronisme, et dans la définition, il n’y a pas écrit “c’est la faute à Windows, passez sous Linux”.

Pour la partie mobile, les gens n’achètent pas du Linux, ils ne connaissent pas ce mot-là. Est-ce que la solution d’Apple est meilleure qu’un Android, voir un Windows Phone ? Aucune idée, et je m’en cogne.
Par contre, il y a un point intéressant à noter. Pourquoi Apple a-t-il des stores avec de la formation humaine gratuite pour ses clients ? Tout simplement parce qu’il y a trop de gens qui sont perdus.

Avant de crier sur Windows, il serait bon de comprendre la vie de nos concitoyens; et ce n’est pas en répétant “windaube” tel un mantra que cela améliorera la situation.

En effet, il ne peut y avoir de discussions sérieuses avec les gens qui ne le sont pas. Il ne cherche qu’un exutoire pour tapper gratuitement sur ce qu’il n’aime pas, voir même si j’étais taquin, n’arrive pas à comprendre.

Le 24/02/2022 à 09h 15

Calme toi jean-techos, on a bien compris que tu ne sais pas réagir avec les gens qui ne pensent pas comme toi. On croirait entendre boucherie abolition, vers libriste. C’est d’un pitoyable…
Tu es la raison typique de pourquoi Linux ne passera jamais côté grand public : ce côté moralisateur et élitiste suivant ce qui vous arrange.

Parce que tu crois que le mec qui ne sait pas se servir d’un ordi, il y arrivera mieux avec du Linux ? Il faut être complètement à la ramasse et déconnecté du réel pour penser ça.
Dans tous les cas, tu vas devoir gérer leur ordi, comme la télé, comme les téléphones, ou ce genre de choses.

Mais je comprends, il est plus simple de se mettre les doigts dans les oreilles en hurlant “OLOL WiNdAuBe M$$ OlOL BlAsTeR la securitayyyy”

Le 23/02/2022 à 08h 49

Albirew a dit:

mais qui forcent windaube sans raison
la solution […] a des problèmes de sécurité

Typical jean-techos option linux qui pense que les gens n’ont que ça à foutre de leur vie d’essayer toute la palanquée d’OS qui peut exister pour se former, et qui, en même temps, ne se forme pas et reste sur des poncifs de 20ans.

Le 22/02/2022 à 08h 45

Qu’ils comprennent ou pas, si tu interviens, tu peux AUSSI leur configurer correctement. M’est avis que s’ils ne “veulent plus entendre parler du Cloud” c’est surtout parce que tu ne veux pas en entendre parler. Sinon, tu ne crierais pas à tout va que ODest “malveillant”.

Le 21/02/2022 à 12h 58

C’est un espèce de remake de lutte des classes ? Le gentil opprimé au bas débit vs le méchant privilégié en haut débit ?
ça fait depuis presque 15 ans que j’utilise Onedrive (Skydrive de son petit nom avant), et j’ai longtemps habité la campagne avec un ADSL anémique. Et ni moi, ni les proches chez qui j’ai configuré ça correctement n’ont eu le moindre problème.
Sur OD, tu peux limiter la bande passante à ta guise.

ça me parait bien faible pour qualifier OD de malveillant.

Le 21/02/2022 à 12h 47

TheKillerOfComputer a dit:

Car les activer par défaut ne peut que créer des problèmes chez les usagers qui n’en ont pas connaissance, et évidemment > JE < vais devoir encore corriger pour le compte des idiots qui ont eu ces idées.

Alors là, je suis très curieux de savoir quels problèmes sont créées chez les usagers. S’il y a bien un outil de MS qui fonctionne tout seul, c’est bien OD. Tout se fait en arrière-plan sans interaction utilisateur. Il n’y a aucune différence fonctionnelle pour un utilisateur d’explorer ses dossiers et d’ouvrir ses fichiers avec ou sans OD d’activé.

Je ne comprends toujours pas d’où tu tiens ce positionnement de “malveillant”.

Le 21/02/2022 à 08h 40

TheKillerOfComputer a dit:

De toute façon l’usager lambda se MOQUE du Cloud et sauvegarde sur clés USB au mieux car c’est tout ce qu’il parvient à faire. Les rares qui s’en servent UN PEU sont les usagers disposant d’équipements Apple par le jeu de la synchronisation des photos entre Mac et iPhone.

François-Billy Martingale, c’est toi ?

Le positionnement est bizarre. ça hurle sur l’intégration native de OD et en même temps ça conchie sur l’user lambda qui de toute façon ne sait rien faire.
Que ça ne plaise pas aux anti-MS, c’est une chose. Que quelqu’un qui ait ses propres outils de backup ne s’en veuille pas s’en servir, ça se comprend. Pour ces personnes, on parle grosso modo d’une GPO à activer.
Mais pour un random user, au final, l’intégration de OD est une très bonne chose, et permet de les sécuriser.

Pour l’utilisateur lambda qui vieillit, le vrai risque c’est pas les datacenters américains, mais le risque de perdre sa clé usb …

Le 20/02/2022 à 18h 46

TheKillerOfComputer a dit:

Cela supposément pour permettre à l’usager d’économiser de l’espace…

Résumer OD à “économiser de l’espace”, c’est comme dire qu’un NAS est un disque dur externe. Alors oui, tu peux ne t’en servir que dans cet usage, mais c’est malhonnête intellectuellement de le résumer à ça. J’en veux pour preuve la landing page https://www.microsoft.com/fr-fr/microsoft-365/onedrive/online-cloud-storage , on te parle t’économiser de l’espace à la dernière ligne de la page …

Pour faire le techos pour pas mal de gens autour de moi, OD c’est surtout donner aux gens une capacité à sauvegarder des données & fichiers critiques, et de pouvoir relancer assez facilement leur machine en cas de corruption/ransomware/problème matériel. Jean-lambda ne va pas mettre en place une stratégie de backup 3-2-1 pour ses fichiers perso…

Le 20/02/2022 à 11h 35

hansi a dit:

Alors pourquoi microsoft se priverait t’il de spolier les consommateurs

En quoi Microsoft spolie les consommateurs ?

Le 18/02/2022 à 09h 40

WIP = Windows Insider Program …

Le 23/02/2022 à 13h 08

(quote:1932321:Metz Bove)

• du C peut-être interprêté : https://www.drdobbs.com/cpp/ch-a-cc-interpreter-for-script-computing/184402054 => “Ch is a complete C interpreter that supports all language features and standard libraries of the ISO C90 Standard”

Désolé de la disgression, mais ça serait quoi l’use case/avantage d’exécuter du C interprété, et non compilé ?

Le 23/02/2022 à 11h 15

wanou a dit:

S’il n’envoient que les chefs, on ne va pas avancer. Ils vont faire quoi sans leurs équipes ? Un resto entre potes pour goûter les spécialités locales ?

Je plussoie le message de dvr-x

L’important dans les crises de cybersec c’est la capacité à réagir rapidement. Avoir des gens qui s’alignent en amont sur les outils/process/responsabilités c’est la base, si dans le stress on ne veut pas avoir une situation qui s’envenime. La coopération internationale est toujours très compliquée; à ce niveau étatique/militaire, tu n’as pas le droit à l’erreur.

Actuellement, les attaques se propagent par internet, et peu (voir pas) d’environnements déconnecté sont touchés par ce biais. De fait, la force de cyberdéfense peut rester dans sa base, bien au chaud, et ne pas risquer de se prendre un missile sur leur avion, ou d’être en dehors du réseau pendant une attaque.
Il y aura sûrement besoin de faire venir des experts sur site suivant les attaques, à certains endroits, mais quel intérêt pour l’instant de le mettre à risque sur un potentiel terrain de guerre ?

Le 21/02/2022 à 10h 43

tpeg5stan a dit:

Pour préciser : le bannissement a été décidé parce que les personnes se sont concertées dans leur coin pour désorganiser l’encyclopédie à des fins personnelles/politiques.

Est-ce que cette réaction est commune à toutes les tentatives ? Si on prend l’exemple de Schiappa, quelles sanctions ont été prises ?

Le 15/02/2022 à 16h 28

Govrold a dit:

Je ne sais pas s’il existe une alternative. Peut-être que ça se justifie économiquement et fonctionnellement pour l’équipe de campagne des candidats. Peut être que ceux qui ont besoin d’un outil en veulent un clef en main sans vouloir à administrer ou développer un système plus complexe.

Une campagne, c’est intense en terme de temps et d’argent. Quel serait le ROI d’un candidat de dépenser ce dont il manque, argent & temps, pour développer une telle solution ?
Les candidats doivent démontrer qu’ils sont les meilleurs pour gouverner le pays, pas établir une trajectoire IT pour la campagne… Chacun son métier.

Govrold a dit:

Mais dans ce cas, ca peut aussi se justifier avec toute activité économique d’une entreprise. Pourquoi passer par Teams/Zoom plutôt que Jitsi pour des conférences vidéo, pourquoi privilégier Windows à une distribution Linux, pourquoi passer par AWS ou Azure que par un concurent français ?

Je ne suis pas sur de ce que tu essayes de démontrer ici, mais ça va dans mon sens. Si MS/AWS sont leaders sur leurs segments, c’est bien parce qu’ils reprennent l’IT aux entreprises pour les laisser se concentrer sur la création de valeur. Voila pourquoi personne ne parle de Jitsi, Linux …
Pour un concurrent français vs un géant américain, c’est simple : a-t-on un acteur comparable à MS/AWS ? Même OVH n’est pas au niveau; ils poussent que de l’OpenStack avec un investissement minimal. Comment veux-tu convaincre des clients avec ça ?

Le 15/02/2022 à 15h 20

Existe-t-il des solutions alternatives clés en main à NationBuilder en Europe / France ? On remarquera que dans leurs références on a notamment LREM & PS
Pour avoir regardé un peu leur page de compete/vs, c’est essentiellement du bricolage à base de CMS ou des solutions alternatives US

Le 13/02/2022 à 11h 46

luxian a dit:

Ceci dit, ton argument de maintien de multiples environnements parle dans mon sens. Plutôt que de faire une loi hors réalité sur l’obsolescence logicielle, n’eut-il pas été plus logique d’imposer la migration systématique vers la dernière version avec une rétrocompatiblité sur le vieux matériel ? Windows 11 sur les vieux PC, voilà qui lutterait contre l’obsolescence programmée de PC qui sont tout à fait opérationnels pour encore 5 ans !

Mais pourquoi vous voulez à tout prix aller sur W11 ? W10 n’est pas mort, a toujours ses mises à jour, et reste fonctionnel. Surtout quand beaucoup de personnes conseillent de ne pas aller sur W11.
On ne te dit pas que ton PC va à la casse, il faut arrêter d’exagérer. Je ne me souviens pas d’un autre changement technologique de rupture de cette ampleur chez MS; niveau compatibilité historique, je pense qu’ils sont plutôt beau joueur.

luxian a dit:

Tu vas rire, mais je viens tout juste de migrer sur Windows 10 le portable Asus X72JR de mon oncle. Il rame un peu, mais il faut le job. Un Windows 11 pourrait très bien tourner dessus “à l’ancienne”. Je laisse le tonton et la cousine “observer”, et s’il râme de trop, je dégage Ouiouin et j’y met une Ubuntu 22.04. Je peux te garantir que ce PC va tenir jusqu’en 2026 avec ça …

Très bien, où est le problème ?
C’est tout à ton honneur de maintenir un PC qui a plus de 12 ans en état fonctionnel.
Quelle importance pour ces gens d’avoir W10 ou W11 vu qu’ils ne s’en servent pas ?
Quelle est la probabilité qu’un portable d’entrée de gamme continue de fonctionner après 16 ans ? Minime.

luxian a dit:

et vu leur façon d’employer un PC : il sera malware-safe !

Ah.

luxian a dit:

Mon Lenovo P50, il a 4 fois plus de mémoire que le PC pro lambda d’aujourd’hui ! Alors désolé mais ce que je l’avais payé neuf, vu qu’il est plus performant que mon récent PC que vient de me donner mon employeur, et vu qu’il me fait tourner 4 VM Linux en parallèle, lui aussi il va dépasser 2026 ! Son unique évolution sera 2 disques NVMe de 2 To chacun dans 6 mois environ.

Mais ce n’est pas une histoire de kikalaplugrosse… On peut tous aligner des specs de son matos perso ici; c’est pas pour ça que ça donne raison à un camp ou à l’autre. Et ton ordi, encore une fois, ne s’arrête pas de fonctionner demain.
MS n’a jamais dit d’arrêter de vous servir de ce matos ou de le jeter.

luxian a dit:

Pour ce qui est de ta salade composée sécuritaire, ce n’est pas à toi que je rappellerai que le premier anti-malware du monde se trouve entre la chaise et le clavier ! Les solutions logicielles sont utiles en environnement professionnel, mais Mamie Nova s’en fout un peu. Elle oublie les sites de Pr0n, elle ne clique pas sur les injonctions de gendarmeATgmail, elle ne crois pas aux chèques des impôts, elle ne laisses pas ses informations personnelles n’importe où (ce qui est déjà du sport) et déjà là elle peut vivre l’esprit libre.

Oui, mais justement, rajouter des gardes fous pour les gens qui n’y connaissent rien, c’est pas mal. Je ne vois pas en quoi c’est un contre argument à W11. Être appelé au secours parce qu’un ransomware a fait perdre les données des PC (contexte pro ou perso), c’est chiant et si on peut éviter ça, ça arrange tout le monde.

Le 12/02/2022 à 14h 05

luxian a dit:

Ce MBEc est un sorte de pass sanitaire pour PC quoi : on vous l’impose pour votre bien et sans votre avis mais en fin de compte, personne ne sait vraiment en démontrer l’utilité si ce n’est par la répétition d’éléments de langage.

Ah ouais, voilà le niveau.
Sinon, la solution est simple : la décision de MS est d’améliorer la sécurité de ses produits, et ça passe notamment par réduire les lignes de codes qui les composent. Donc maintenir 2 types d’architectures, pour le materiel compatible et non, c’est juste le meilleur moyen d’avoir le pire des deux mondes : moins de sécurité et plus de bug.

luxian a dit:

Bon, et si courageusement et inconsciemment, j’accepte et assume en toute preuve de bêtise de me faire défoncer mes datas et accessoirement le trou de biiip par un vilain cryptolocker ?

Et par la même, tu induis 2x plus de code, dont du code historique qui ne servira que de moins en moins à terme. Et donc, moins de sécurité pour tous, tout en augmentant les coûts côté MS.

luxian a dit:

Et que je ne vois pas comment un cryptolocker serait assez intelligent pour hacker d’abor W10 (ouW11) puis ensuite une VM, ou taper directement un type de partition dont Windows refuse jusqu’à connaître l’existence depuis des lustres.

Tu sais, des ransomwares qui font des choses qu’on pensait impossible, ça arrive tous les jours. Entre ceux qui désactivent les systèmes de backup, ceux qui sont capables de résister à un formatage ( https://www.kaspersky.com/about/press-releases/2015_equation-group-the-crown-creator-of-cyber-espionage ) …
Vu que l’OS a une base commune entre ses différentes éditions (Famille, Pro, Enterprise), l’idée c’est de sécuriser l’ensemble pour tous les clients, et de rationaliser les efforts.

à la fin 2025, quelle sera la proportion de matériel d’avant 2017 qui fonctionnera correctement ? Vu la stratégie de MS, on peut décemment penser que les projections doivent être très faibles voire peu significatives pour ne pas avoir à générer des coûts/efforts dès maintenant pour un ROI financier/technique inexistant.

Le 11/02/2022 à 18h 04

Nop, mais justement, je pense que c’est l’angle d’attaque d’Orange :
“Beaucoup d’attaques en ce moment Monsieur, les temps sont durs, je vous conseille de souscrire à notre offre pour votre PC, ça coute 10€/m, et si vous êtes attaquez on vous aide en 24x7”

Et vu que ton boulanger n’est pas DSI, bah il va souscrire sans se poser trop de questions, tout comme plein de gens souscrivent à l’assurance casse mobile qui marche jamais quand tu en as besoin

Le 11/02/2022 à 09h 05

(quote:1929510:dvr-x)
Il y a pas mal de boîtes qui le proposent en France sur du SentinelOne ou du Crowdstrike. De l’EDR full cloud qui demande un suivi.

Tout à fait d’accord; je ne connais pas le segment TPE/PME, mais à ma connaissance, ces offres d’EDR sont plutôt sur du segment “grandes entreprises” que “petites organisations”. Pour moi c’est ça qui est intéressant sur le positionnement d’Orange : l’entreprise franco-française qui a pignon sur rue et qui veut aider les petites organisations. Sur le papier ça semble intéressant, mais en lisant le peu de docs qu’on a ça semble trop limité.

(quote:1929510:dvr-x)
Par exemple Crowdstrike, je crois que c’est à partir de 750€/mois qu’il peuvent s’occuper d’analyser pour toi et de gérer complètement les remontées de l’outil sur ton parc. Et cela inclus d’ailleurs une assurance en cas d’attaque non stoppée.

Ouaip, tout à fait d’accord, mais ça c’est clairement overkill pour un patron qui a une 10aine de salarié et qui ne connait pas l’IT; soit la majorité des TPE en France.
Le coût moyen d’un poste de travail en France c’est 250-300€/user/mois (licence, helpdesk, matériel, assurance…). Pour une TPE, je pense que ça doit être au moins 2x moins. 10€/u/m dans ce cas-là ça doit représenter une somme non négligeable (~1,2k/y), alors le positionnement d’un Crowdstrike sur ce segment j’y crois moyen

Le 10/02/2022 à 12h 46

ben5757 a dit:

À mon avis à ce prix là il ne leur donne pas d aide pour réaliser une bonne stratégie de sauvegarde ou un plan de reprise d activité qui tienne la route.

Clairement, ces points ne sont pas mentionné ni dans le communiqué de presse ni dans les CGV : https://documentscontractuels.orange.fr/les-offres-orange-pro_cs_4378.pdf

Pour moi, on est essentiellement sur du réactif ici :
“Le Service se compose des éléments suivants : 2.1 une prestation fournie par Orange et/ou son sous-traitant Orange Cyberdefense consistant notamment à procéder à la surveillance de l’état général du Poste de travail, à prévenir les risques de cyber menaces et notifier des évènements malveillants.”
“Par conséquent, le Service ne saurait garantir de trouver, localiser ou découvrir toutes les menaces du système, les vulnérabilités, les maliciels et les logiciels malveillants. “

Toute la partie conseil doit être adressée à part via un partenaire ou directement via OCD je pense

ben5757 a dit:

Or pour une petite entreprise c est plus intéressant que des dashboards.

Oui sur le partie dashboard, mais je pense que le vrai play qu’Orange veut positionner c’est “expert cybersécurité 24x7”, et ça ça aura beaucoup plus de valeur d’un point de vue client que des conseils en stratégie de backup/DRP.

Je me demande si les CCI/CSIRT régionaux de l’ANSSI ne vont pas rediriger les TPE/PME vers ce genre de solutions.

Le 10/02/2022 à 11h 11

(reply:1929248avid-GDE)

La solution que tu évoques comportes aussi de l’expertise humaine associée ?

De ce que je comprends du positionnement d’Orange, leur différenciateur c’est de rapporter OCD dans leurs offres PME. Vu les problèmes des petites organisations pour recruter, et la pénurie de compétences dans le domaine, ça peut faire mouche.
Mais j’ai peur que les gens pensent à une sécurité humaine assurée H24, alors qu’au final, c’est quand même très orienté réactif.

La page produit (avec les termes contractuels) : https://boutiquepro.orange.fr/pro/options-internet/cyber-protection

Le 11/02/2022 à 08h 51

manhack a dit:

autres marqueurs connotés et/ou banalisant l’extrême-droite.

Je ne sais si vous serez un jour convoqué par votre patron (voire par la Justice) pour des propos déplacés et/ou offensants

Quelle honte de lire ça, vraiment. Je déteste commenter ce genre de sujets, mais cette tendance à définir soit même ce qui est illégal, bon et moral me sidère.
Non, internet n’est pas un safe space; non, un patron ne devrait jamais convoquer un salarié pour des faits qui relève de sa vie privé; et toujours non, être d’extrême gauche/centre/droite n’est pas illégal et ne devrait pas être un marqueur de “bon citoyen” ou “hors classe”.

C’est tellement beau comme dissonance : appeler à une humanité entièrement fraternelle parce qu’on est tous égaux et en même temps considérer comme sous-citoyens, voire même ennemis à abattre, une partie non-négligeable des humains qui les entourent.

Le 08/02/2022 à 12h 42

Avoir une alerte et une capacité de alerte/décision quand quelqu’un essaye de se connecter à des services qui peuvent être critiques (données, identité, finance …) est bien plus souple et immédiat qu’un verrouillage. Lequel ne serait d’ailleurs qu’une horreur à gérer pour les personnes pas forcément à l’aise avec l’informatique, et qui ne verraient pas forcément les problèmes de sécurité en découlant.

En choisissant la bonne solution, le comportement est simple à donner à des personnes pas forcément à l’aise avec l’IT : “tu reçois une notification de connexion sur ton tel, est-ce que c’est toi ou ton conjoint qui vient de s’identifier ? Si non, ou si tu sais pas, tu déclines”
C’est le principe du 3DSecure pour les cartes bancaires, et je ne vois pas souvent des gens s’en plaindre.

ça permet à l’utilisateur de rester actif pour sa protection, et de ne pas juste rester passif en attendant que les problèmes arrivent; et c’est une bonne chose pour que les populations montent progressivement en compétences et limitent par la même les impacts des attaques.

Le 08/02/2022 à 11h 07

Horrigan a dit:

Et alors ?

ils veulent imposer la double authentification pour récupérer encore plus d’info ?

Le jour ou je verrais qu’un mot de passe unique et fort est un point faible, je serais partisant de la double authentification, d’ici la, c’est juste un moyen d’obliger les gens à donner leur numéro de téléphone sous couvert d’augmenter la sécurité alors que concentrer tout sur un smartphone est pire que d’avoir un gestionnaire de mot de passe sur un PC fixe.

Beaucoup d’assertions, peu de tangible.
Le contexte de la publication est Enterprise, mais cela peut s’appliquer aussi à la vie quotidienne privée.

Toute la littérature sur le sujet démontre en effet que l’authentification simple est critique, tu as deux études dans le brief qui le démontrent. Si tu as l’occasion d’échanger avec des SOC/CERT, tu comprendras combien le MFA est ultra important pour combattre le phishing, le password spray, les annuaires dispo sur le “dark net” pour quelques centaines de $ …
Si l’identité est le fer de lance de la stratégie en sécurité de beaucoup d’entreprises et de fournisseurs de solutions, c’est pas pour rien.

En contexte pro, tu as un tel pro (ou un token physique associé). Quel problème que MS récupère le numéro de téléphone ?
En contexte perso, généralement le téléphone est donné à la création du compte pour pouvoir reset le mot de passe; tu peux donner un faux, mais tu peux aussi ne pas arriver à prouver au support que tu es le possesseur légitime et donc perdre ton compte.

“Concentrer la sécurité sur un téléphone est pire que d’avoir un gestionnaire de mot de passe sur un PC fixe.”
Après, si tu compares une solution de MFA à un password manager, c’est que tu ne comprends pas les concepts.
Le fait d’utiliser un composant tierce permet justement de découpler la sécurité en répartissant les risques, tu ne concentres rien.
Rien ne t’empêche d’utiliser un mot de passe fort, et d’y ajouter une validation humaine à chaque fois. En quoi c’est moins sécurisé ?

J’ai le MFA de systématiquement activé sur tous les services que je peux, et maintenant la question du mot de passe est accessoire. Et je n’ai plus les problèmes de sécurité sur Steam/FB/Blizzard que j’ai pu rencontré avant.

Le 04/02/2022 à 14h 41

Je ne sais pas si on ne peut pas lire de CD, j’ai pas de lecteur sur mes PC W11, mais je n’ai pas vu d’endroit où c’était mentionné.

Si c’est le cas, ça ne me choquerait pas. C’est toujours du code inutile pour la plupart* maintenant, à maintenir, à assesser régulièrement, qui s’interface avec du bas niveau et qui donc peut donner des effets de bords avec un fort impact (surtout sur un aspect sécurité).

Si vous avez besoin de cette fonctionnalité, remontez vos feedbacks comme mentionné dans l’article; c’est le seul moyen de faire remonter l’info aux équipes produit.

• Je ne connais plus beaucoup de gammes de PC qui ont un lecteur de CD intégrés : Portable, All-in-one, NUC … Même les tours dans le commerce commencent à ne plus en avoir.

Le 02/02/2022 à 10h 37

Drepanocytose a dit:

Il y aura bien un moment où il va falloir les démanteler, ces hyperstructures.

Pourquoi ?

Le 28/01/2022 à 14h 56

(quote:1927042:dvr-x)
Je me suis dit la même chose, je ne vois pas ou cela ajoute de l’humain.

Surtout si le seul truc c’est de collaborateur à distance, il y a des salles de téléprésence très réalistes de nos jours, avec plein de caméras, micros, écrans.

Parce que tout le monde à ça chez lui, bien entendu. Surtout dans un 20m² en location.

C’est dommage d’avoir gardé une phrase de ce que j’ai dis, ça dénature grandement le sens de mon propos.

Mon point c’est de pouvoir donner plus de choix aux utilisateurs pour collaborer à distance; et oui, dans un contexte où tu es complètement en télétravail, avoir des façons différentes d’échanger avec les gens, ça me semble être une bonne idée. Un brainstorming ou un scrum meeting journaliers ne demandent pas le même formalisme qu’un entretien formel RH, ou qu’une communication interne à l’entreprise.
Vu l’enchainement de call visio dans la journée, j’apprécierai en effet de pouvoir retrouver mes collègues sur un formalisme plus léger.
On développe ce genre d’hygiène pour la posture d’assise (bureau assis/debout, ballon, tapis spécifique…); pourquoi ça ne pourrait pas être la même chose sur le principal outil de travail de beaucoup de personne ?

Si je pousse votre raisonnement, vu que la télémédecine de demain se repose pour beaucoup sur ce genre de concepts, c’est aussi inutile ? Pouvoir permettre à un chirurgien d’opérer via HoloLens (pour ne pas le citer) aux 4 coins du monde, ça se remplace via une salle de réunion ?

Si on voulait être un peu taquin, on a ici un bon exemple de la légendaire résistance au changement des techs : les vrais usages ne sont pas encore là, mais au moins on est sur que ça sert à rien :]

Le 28/01/2022 à 10h 35

Dans un contexte pro, l’approche (pas de Meta, mais d’un autre Big Tech) est pas mal : donner la possibilité aux gens de collaborer à distance selon plusieurs media (textuel; micro + webcam; salle de réunion; headset VR industriel)

J’ai vu pas mal d’use case clients se servir de ce genre de combinaisons, soit pour essayer de remettre un peu plus d’humanité dans les échanges à distance en cas de télétravail, soit pour permettre à un expert d’arriver rapidement en escalade sur un problème qui vient des opérationnels terrains

Maintenant, je trouve l’approche de Meta un peu clair; il faudrait attendre les premières innovations de rupture côté grand public pour pouvoir juger du vrai potentiel. Pour l’instant, je pense que le manque d’engouement que l’on peut percevoir vient surtout qu’on transpose plus ou moins bancalement des usages, et que personne n’accroche à une sorte d’hybride pas très convaincant.

Le 27/01/2022 à 11h 17

(reply:1926696:mouton_enragé)

Bah c’est Frandroid, faut pas trop leur en demander… Ils ont quand même eu le bon ton de mettre du conditionnel sur une évocation de rumeur, histoire qu’on ne puisse pas le leur reprocher.

La source de leur article : https://blogs.windows.com/windowsexperience/2022/01/26/a-new-era-of-the-pc/

Panos a dit que le programme de migration allait entrer en phase finale, ni plus, ni moins. Le billet n’est pas suffisamment précis ici pour comprendre ce que cela signifie.

Par contre, ça fait des années que MS ne fait plus payer les upgrades de version, et vu la stratégie de l’entreprise, je ne vois pas pourquoi ils changeraient ça du jour au lendemain.

Le 27/01/2022 à 10h 38

marba a dit:

C’est pas comme si il avait pas les moyens de se mettre en conformité et de sortir une vidéo respectant le droit d’auteur…

Pour lui, il fait un usage permis dans les limites de la loi.
Pour les ayant-droits, ce n’est pas le cas.

Qu’est-ce qui te permet de dire qui a raison ? Ah oui, “ça sent les années 30”.

L’article de NXI lié dans la brève explique bien le problème; il n’y a pas de réponse actuellement, c’est à la justice de trancher ce principe de proportionnalité, et de créer le cas échéant la jurisprudence en découlant.

Cette manie de juger avant que l’ordre judiciaire n’ai pu le faire…

Le 27/01/2022 à 10h 10

En effet, le mec qui a réservé zero.day a du lâcher hier 10k€ + 1k€/an