Myifee
est avec nous depuis le 6 mai 2015 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
473 commentaires
Antitrust : la Commission scrute les accords de licence du cloud de Microsoft
Le 04/04/2022Le 04/04/2022 à 13h 37
Quand je vois l’appel lancé par OVH, je doute qu’il soit sur la partie O365/Collab.
Que tu n’aimes pas la pub, ça peut se comprendre; par contre, “imposer”, ce n’est pas ça. Les mots ont un sens. Et la définition ne prend pas en compte le critère “y sauvegarder des données dessus”.
ça existe depuis des années, c’est dans les premiers écrans de configuration de Windows après une installation.
Quel problème de concurrence ? La concurrence est étouffée par OneDrive ? Avec Google Drive qui a annoncé 1 milliard d’utilisateurs et DropBox 700 millions ?
MS vend une plateforme, et il est normal qu’elle promeuve ses services, tant que ceux des autres ne sont pas bloqués.
TF1 ne va pas faire de la pub pour M6. Audi ne te dit pas d’aller faire ton entretien chez Porsche. HP vend des cartouches HP, qui ne rentreront pas dans les Canon. J’ai pas souvenir non plus de voir les éditeurs de bouquins faire de la pub pour les collections concurrentes.
Le cloud tombe dans le giron de la redevance copie privée
Le 25/03/2022Le 29/03/2022 à 06h 11
Merci pour l’explication
Le 28/03/2022 à 18h 09
Je m’interroge sur la partie suivante :
Le 28/03/2022 à 16h 13
Vous êtes sur de ce que vous dites sur Gmail ?
Quand je lis la news, il est dit explicitement :
Pour moi Gmail est typiquement dans le cas où cela ne rentre pas en compte (bien que je trouve la phrase un peu bancale)
L’étonnant profil du groupe cybercriminel LAPSUS$
Le 25/03/2022Le 28/03/2022 à 16h 03
https://github.com/jgamblin/Mirai-Source-Code , par exemple
Tu aurais un exemple de boîte qui ne soit pas composé de 100% de geeks et qui tourne à 100% sur du Linux, infra & postes compris ?
Le 28/03/2022 à 14h 30
En plus de l’extraction de données (typiquement ce que recherchent les attaquants, cf la news), des exemples que j’ai pu voir en attaques, tu peux avec une machine compromise (qu’importe l’OS) :
Le 28/03/2022 à 13h 27
Dans ce cas, tu as déjà des outils de management, et le bon déploiement des mises à jour fait parti des indicateurs de conformité.
Je parlais dans le contexte de l’attaque que j’évoquais.
Tu es pour le BYOD mais tu qualifies les outils qui permettent à l’entreprise de se sécuriser d’inutile.
Donc pour toi, pas de problème qu’un collaborateur travaille sur du W7 hors support étendu, déploie des servers sur des vieilleries non supportées (comme du WS2003, ou des redhat EOL) …? Pas de problème que tu puisses rapporter ta machine perso et l’interconnecter à des systèmes critiques alors que tu ne respectes pas les principes de sécurité de base ?
Perso, en tant que CISO/CIO, ça me ferait flipper de savoir que des gens travaillent avec ces principes là dans l’organisation.
Le 28/03/2022 à 11h 32
Scénario très simple vu sur plusieurs attaques. Une infrastructure complètement compromise, avec des accès suspects sur des postes managés ou non.
Je prends ici la solution de MS, Intune/MEM te permet de déployer des composants de sécurité, vérifier les logs, remonter les signaux sur les attaques, renforcer la configuration du poste/bios, prendre des mesures à distance. Pour l’avoir déjà vu, on a pu rendre propre à distance (situation de confinement) des machines compromises sans avoir à les réimager.
Avec Intune, il y a peu de chances que tu perdes ton infrastructure de gestion de poste, alors qu’une solution hebergée sur tes serveurs…
Avec un poste non managé, tu fais ça à la main. Alors oui, on a des entreprises qui se targuent de faire une campagne de patching annuelle pour leur parc, en envoyant des mecs déployer ça à la main via des clés usb, comme si c’était une fierté. Il est impossible de pouvoir justifier de la compromission ou non du device, il est impossible d’y pousser des mises à jour/correctif…
En situation de confinement, sans IT en place, les gens étaient complètement perdus et déconnectés de leur entreprise.
Les menaces évoluent, les outils aussi. Si les offres de solution de cybersécu sont de plus en plus spécialisées, c’est bien justement pour pouvoir s’affronter à armes égales avec les attaquants. Si tu enlèves ce genre de brique fondamentale, tu t’enlèves des capacités de réponse et de remédiation.
ça ne veut pas dire que j’ai envie que mon téléphone soit managé par mon entreprise. C’est pour ça que j’ai 2 téléphones, mon perso, qui n’a rien de pro dessus, et mon pro, fourni par l’entreprise et managé par elle, sur lequel il n’y a rien de perso.
Le 26/03/2022 à 09h 52
Aucun problème de sémantique, juste une approche rationnelle.
Même pour les androids & iphone, quand t’as rooté ton tel, tu ne peux te connecter à Intune car tu ne respectes pas les standards de sécurité : https://docs.microsoft.com/en-us/mem/intune/user-help/your-device-is-rooted-and-you-cant-connect-android
Bon, tu pourrais me dire “oui mais Lineage c’est des powers users qui savent ce qu’ils font, donc MS pourrait prendre ça en compte”
Nombre d’Iphones vendus : environ 2 milliards au global (https://en.wikipedia.org/wiki/List_of_best-selling_mobile_phones#Annual_sales_by_manufacturer)
Nombre d’androids vendus : 1 milliard en 2021 (et presque 3 milliards d’actifs - https://www.businessofapps.com/data/android-statistics/)
Nombre de Lineage actifs : 4 millions (https://stats.lineageos.org/)
Lineage n’existe tout simplement pas dans le marché d’un point de vue global, encore moins dans un contexte BYOD dans une entreprise.
Le 25/03/2022 à 16h 56
Intune sert de couche de management du device (conformité, mise à jour, déploiement…). C’est un des outils de base du management du SI. Donc, si, bien sûr qu’il faut le déployer.
Dans la solution de MS, Intune est un des composants de base pour faire du Conditionnal Access basé sur la santé/légitimité du device.
Le support de Linux a été annoncé pour H1 2022 : https://techcommunity.microsoft.com/t5/microsoft-endpoint-manager-blog/microsoft-endpoint-manager-adds-management-and-compliance-checks/ba-p/2902346
En attendant, une VM correctement de Windows correctement enrollée dans Intun et donc managée ou une instance W365 satisferont les critères de sécurité de l’entreprise pour accéder aux ressources protégées.
Une attaque contre les développeurs Microsoft Azure via des paquets npm frelatés
Le 25/03/2022Le 25/03/2022 à 11h 13
Attaque par typosquatting, c’est pas vraiment la bonne catégorie; on est pas sur des utilisateurs lambdas qui se font avoir par une faute d’orthographe/typo en allant un peu vite sur la vérification.
On est plus dans l’attaque par supply chain, à la rigueur.
Par contre, quand on regarde l’exemple dans leur billet de blog, c’est vraiment pas fin comme attaque … Suppression du scope Azure, version totalement wtf, même pas de readme affiché …
NPM a l’air d’avoir agit et supprimé au moins le paquet d’exemple : https://www.npmjs.com/package/core-tracing
Tétraplégique et atteint du syndrome d’enfermement, il communique via des électrodes
Le 23/03/2022Le 23/03/2022 à 13h 41
Tu aurais le lien s’il te plaît ? Je n’en avais jamais entendu parlé
Microsoft confirme avoir été piratée par le groupe Lapsus
Le 23/03/2022Le 23/03/2022 à 13h 37
Le secret du code n’est pas une source de sécurité pour Microsoft, je ne vois pas ce qui permet d’affirmer le contraire ; c’est d’ailleurs pour ça qu’il y a des composants de sécurité matériel (TPM), software (azure key vault par exemple) ou des scanners de code.
Tu peux avoir le code, mais tu n’auras pas les différents “secrets” (clé d’API, certificats…) qui sont décorrélés.
Le 23/03/2022 à 09h 41
Ben voyons.
Diriez-vous cela aussi de l’ANSSI si elle avait été compromise de l’intérieur ? Oh, wait. https://www.zdnet.fr/actualites/la-condamnation-d-un-ancien-auditeur-de-l-anssi-devoile-des-dysfonctionnements-internes-39938905.htm
Les clients attendent ce genre de recommandations, parce que dans n’importe quelle organisation, il est possible de compromettre un individu prêt à monnayer ses accès et son identité.
Lapsus aurait piraté plusieurs comptes de Microsoft, l’entreprise enquête
Le 22/03/2022Le 22/03/2022 à 10h 47
Vu leur campagne de recrutement de Lapsus$ ( https://securityaffairs.co/wordpress/128912/cyber-crime/lapsus-ransomware-is-hiring.html ), je ne pense pas que ce soient les comptes qui aient été compromis, mais plutôt les propriétaires des comptes.
Le député Philippe Latombe plaide pour la généralisation du logiciel libre dans les lycées
Le 11/03/2022Le 11/03/2022 à 11h 15
Totalement illusoire.
Le discours “les DSI sont tous des nuls” d’autres personnes est complètement con. Forcément qu’un DSI (vision à haut niveau et sur plusieurs années de comment l’IT répond au business) n’est pas la même qu’un tech (vision très opérationnelle de comment son périmètre répond aux ordres).
N’oubliez pas non plus que les DSI ne sont que rarement des executifs, et que beaucoup reportent au DAF, qui lui, a une mission bien claire : couper dans les coûts non business tous les ans.
On ne peut pas comparer le TCO de deux solutions similaires juste par rapport aux fonctionnalités, il faut prendre en compte la totalité de la chaîne de valeur, incluant les coûts en infrastructure, les coûts & difficultés liés au personnel, et les multiples coûts d’intégration. Le “best of breed”, cela ne fonctionne que sur le papier.
S’il faut comparer le TCO d’une solution Cloud (telle que M365) vs un assemblage de solutions diverses à héberger/administrer soit même, la solution SaaS sera toujours gagnante.
En déclinant votre stratégie, il faudrait que les DSI multiplient les solutions, avec plus ou moins de facilité d’intégration, dans un contexte de difficultés de recrutement, avec plus ou moins de support de l’éditeur, et donc passer toute leur vie en négociations/projets.
Si les logiciels libres ne gagnent pas le marché, c’est bien à cause de ça, pas de la qualité.
Facebook et Instagram vont tolérer les appels à la violence contre la Russie et Poutine
Le 11/03/2022Le 11/03/2022 à 10h 54
C’est ça ton problème. Tu es trop manichéen. On peut ne pas être d’accord avec toi, et ne pas être avec l’autre camp pour autant.
Nouveautés Apple : M1 Ultra, Mac Studio, Studio Display, iPad Air dopé au M1 et iPhone SE 3
Le 09/03/2022Le 09/03/2022 à 10h 17
Merci beaucoup :)
Le 09/03/2022 à 10h 09
Pour l’Iphone SE 3, je suis à la recherche de l’info sur la compatibilité avec la fonction Localisation Precise de l’Apple Tag; j’ai cru comprendre qu’il fallait une puce spéciale qui n’était pas dans le SE 2
Est-ce que cette rev 3 inclus ce composant ?
Windows 11 : mêmes les comptes Pro auront bientôt besoin d’une connexion Internet
Le 18/02/2022Le 24/02/2022 à 11h 05
Je vais reformuler en parlant comme lui :
“Chaque personne à son opinion, sauf [insérer un parti politique] qui a tord”
“Il faut respecter tout le monde, sauf ce mec qui est un con”
C’est clairement les 2 premières lignes de son message en #72.
Maintenant, relis ses messages, et relis les miens. Lui blâme MS (et pour reprendre ses termes, chouine) comme étant la source des problèmes des gens, moi je persiste à dire qu’il y a tout un ensemble de gens, souvent âgés, qui auront toujours du mal avec la technologie.
La recherche a consacré le terme d’illectronisme, et dans la définition, il n’y a pas écrit “c’est la faute à Windows, passez sous Linux”.
Pour la partie mobile, les gens n’achètent pas du Linux, ils ne connaissent pas ce mot-là. Est-ce que la solution d’Apple est meilleure qu’un Android, voir un Windows Phone ? Aucune idée, et je m’en cogne.
Par contre, il y a un point intéressant à noter. Pourquoi Apple a-t-il des stores avec de la formation humaine gratuite pour ses clients ? Tout simplement parce qu’il y a trop de gens qui sont perdus.
Avant de crier sur Windows, il serait bon de comprendre la vie de nos concitoyens; et ce n’est pas en répétant “windaube” tel un mantra que cela améliorera la situation.
En effet, il ne peut y avoir de discussions sérieuses avec les gens qui ne le sont pas. Il ne cherche qu’un exutoire pour tapper gratuitement sur ce qu’il n’aime pas, voir même si j’étais taquin, n’arrive pas à comprendre.
Le 24/02/2022 à 09h 15
Calme toi jean-techos, on a bien compris que tu ne sais pas réagir avec les gens qui ne pensent pas comme toi. On croirait entendre boucherie abolition, vers libriste. C’est d’un pitoyable…
Tu es la raison typique de pourquoi Linux ne passera jamais côté grand public : ce côté moralisateur et élitiste suivant ce qui vous arrange.
Parce que tu crois que le mec qui ne sait pas se servir d’un ordi, il y arrivera mieux avec du Linux ? Il faut être complètement à la ramasse et déconnecté du réel pour penser ça.
Dans tous les cas, tu vas devoir gérer leur ordi, comme la télé, comme les téléphones, ou ce genre de choses.
Mais je comprends, il est plus simple de se mettre les doigts dans les oreilles en hurlant “OLOL WiNdAuBe M$$ OlOL BlAsTeR la securitayyyy”
Le 23/02/2022 à 08h 49
Typical jean-techos option linux qui pense que les gens n’ont que ça à foutre de leur vie d’essayer toute la palanquée d’OS qui peut exister pour se former, et qui, en même temps, ne se forme pas et reste sur des poncifs de 20ans.
Le 22/02/2022 à 08h 45
Qu’ils comprennent ou pas, si tu interviens, tu peux AUSSI leur configurer correctement. M’est avis que s’ils ne “veulent plus entendre parler du Cloud” c’est surtout parce que tu ne veux pas en entendre parler. Sinon, tu ne crierais pas à tout va que ODest “malveillant”.
Le 21/02/2022 à 12h 58
C’est un espèce de remake de lutte des classes ? Le gentil opprimé au bas débit vs le méchant privilégié en haut débit ?
ça fait depuis presque 15 ans que j’utilise Onedrive (Skydrive de son petit nom avant), et j’ai longtemps habité la campagne avec un ADSL anémique. Et ni moi, ni les proches chez qui j’ai configuré ça correctement n’ont eu le moindre problème.
Sur OD, tu peux limiter la bande passante à ta guise.
ça me parait bien faible pour qualifier OD de malveillant.
Le 21/02/2022 à 12h 47
Alors là, je suis très curieux de savoir quels problèmes sont créées chez les usagers. S’il y a bien un outil de MS qui fonctionne tout seul, c’est bien OD. Tout se fait en arrière-plan sans interaction utilisateur. Il n’y a aucune différence fonctionnelle pour un utilisateur d’explorer ses dossiers et d’ouvrir ses fichiers avec ou sans OD d’activé.
Je ne comprends toujours pas d’où tu tiens ce positionnement de “malveillant”.
Le 21/02/2022 à 08h 40
François-Billy Martingale, c’est toi ?
Le positionnement est bizarre. ça hurle sur l’intégration native de OD et en même temps ça conchie sur l’user lambda qui de toute façon ne sait rien faire.
Que ça ne plaise pas aux anti-MS, c’est une chose. Que quelqu’un qui ait ses propres outils de backup ne s’en veuille pas s’en servir, ça se comprend. Pour ces personnes, on parle grosso modo d’une GPO à activer.
Mais pour un random user, au final, l’intégration de OD est une très bonne chose, et permet de les sécuriser.
Pour l’utilisateur lambda qui vieillit, le vrai risque c’est pas les datacenters américains, mais le risque de perdre sa clé usb …
Le 20/02/2022 à 18h 46
Résumer OD à “économiser de l’espace”, c’est comme dire qu’un NAS est un disque dur externe. Alors oui, tu peux ne t’en servir que dans cet usage, mais c’est malhonnête intellectuellement de le résumer à ça. J’en veux pour preuve la landing page https://www.microsoft.com/fr-fr/microsoft-365/onedrive/online-cloud-storage , on te parle t’économiser de l’espace à la dernière ligne de la page …
Pour faire le techos pour pas mal de gens autour de moi, OD c’est surtout donner aux gens une capacité à sauvegarder des données & fichiers critiques, et de pouvoir relancer assez facilement leur machine en cas de corruption/ransomware/problème matériel. Jean-lambda ne va pas mettre en place une stratégie de backup 3-2-1 pour ses fichiers perso…
Le 20/02/2022 à 11h 35
En quoi Microsoft spolie les consommateurs ?
Le 18/02/2022 à 09h 40
WIP = Windows Insider Program …
Bethesda abandonne son Launcher au profit de Steam
Le 23/02/2022Le 23/02/2022 à 13h 08
Désolé de la disgression, mais ça serait quoi l’use case/avantage d’exécuter du C interprété, et non compilé ?
Cyberattaques : l’UE enverra une mission d’experts pour aider l’Ukraine
Le 23/02/2022Le 23/02/2022 à 11h 15
Je plussoie le message de dvr-x
L’important dans les crises de cybersec c’est la capacité à réagir rapidement. Avoir des gens qui s’alignent en amont sur les outils/process/responsabilités c’est la base, si dans le stress on ne veut pas avoir une situation qui s’envenime. La coopération internationale est toujours très compliquée; à ce niveau étatique/militaire, tu n’as pas le droit à l’erreur.
Actuellement, les attaques se propagent par internet, et peu (voir pas) d’environnements déconnecté sont touchés par ce biais. De fait, la force de cyberdéfense peut rester dans sa base, bien au chaud, et ne pas risquer de se prendre un missile sur leur avion, ou d’être en dehors du réseau pendant une attaque.
Il y aura sûrement besoin de faire venir des experts sur site suivant les attaques, à certains endroits, mais quel intérêt pour l’instant de le mettre à risque sur un potentiel terrain de guerre ?
Wikipedia bannit sept de ses utilisateurs accusés d’avoir « zemmourisé » l’encyclopédie
Le 21/02/2022Le 21/02/2022 à 10h 43
Est-ce que cette réaction est commune à toutes les tentatives ? Si on prend l’exemple de Schiappa, quelles sanctions ont été prises ?
Un numérique très souverain dans le programme d’Éric Zemmour
Le 15/02/2022Le 15/02/2022 à 16h 28
Une campagne, c’est intense en terme de temps et d’argent. Quel serait le ROI d’un candidat de dépenser ce dont il manque, argent & temps, pour développer une telle solution ?
Les candidats doivent démontrer qu’ils sont les meilleurs pour gouverner le pays, pas établir une trajectoire IT pour la campagne… Chacun son métier.
Je ne suis pas sur de ce que tu essayes de démontrer ici, mais ça va dans mon sens. Si MS/AWS sont leaders sur leurs segments, c’est bien parce qu’ils reprennent l’IT aux entreprises pour les laisser se concentrer sur la création de valeur. Voila pourquoi personne ne parle de Jitsi, Linux …
Pour un concurrent français vs un géant américain, c’est simple : a-t-on un acteur comparable à MS/AWS ? Même OVH n’est pas au niveau; ils poussent que de l’OpenStack avec un investissement minimal. Comment veux-tu convaincre des clients avec ça ?
Le 15/02/2022 à 15h 20
Existe-t-il des solutions alternatives clés en main à NationBuilder en Europe / France ? On remarquera que dans leurs références on a notamment LREM & PS
Pour avoir regardé un peu leur page de compete/vs, c’est essentiellement du bricolage à base de CMS ou des solutions alternatives US
(MàJ) Microsoft a corrigé le problème des widgets trop gourmands sur Windows 11
Le 11/02/2022Le 13/02/2022 à 11h 46
Mais pourquoi vous voulez à tout prix aller sur W11 ? W10 n’est pas mort, a toujours ses mises à jour, et reste fonctionnel. Surtout quand beaucoup de personnes conseillent de ne pas aller sur W11.
On ne te dit pas que ton PC va à la casse, il faut arrêter d’exagérer. Je ne me souviens pas d’un autre changement technologique de rupture de cette ampleur chez MS; niveau compatibilité historique, je pense qu’ils sont plutôt beau joueur.
Très bien, où est le problème ?
C’est tout à ton honneur de maintenir un PC qui a plus de 12 ans en état fonctionnel.
Quelle importance pour ces gens d’avoir W10 ou W11 vu qu’ils ne s’en servent pas ?
Quelle est la probabilité qu’un portable d’entrée de gamme continue de fonctionner après 16 ans ? Minime.
Ah.
Mais ce n’est pas une histoire de kikalaplugrosse… On peut tous aligner des specs de son matos perso ici; c’est pas pour ça que ça donne raison à un camp ou à l’autre. Et ton ordi, encore une fois, ne s’arrête pas de fonctionner demain.
MS n’a jamais dit d’arrêter de vous servir de ce matos ou de le jeter.
Oui, mais justement, rajouter des gardes fous pour les gens qui n’y connaissent rien, c’est pas mal. Je ne vois pas en quoi c’est un contre argument à W11. Être appelé au secours parce qu’un ransomware a fait perdre les données des PC (contexte pro ou perso), c’est chiant et si on peut éviter ça, ça arrange tout le monde.
Le 12/02/2022 à 14h 05
Ah ouais, voilà le niveau.
Sinon, la solution est simple : la décision de MS est d’améliorer la sécurité de ses produits, et ça passe notamment par réduire les lignes de codes qui les composent. Donc maintenir 2 types d’architectures, pour le materiel compatible et non, c’est juste le meilleur moyen d’avoir le pire des deux mondes : moins de sécurité et plus de bug.
Et par la même, tu induis 2x plus de code, dont du code historique qui ne servira que de moins en moins à terme. Et donc, moins de sécurité pour tous, tout en augmentant les coûts côté MS.
Tu sais, des ransomwares qui font des choses qu’on pensait impossible, ça arrive tous les jours. Entre ceux qui désactivent les systèmes de backup, ceux qui sont capables de résister à un formatage ( https://www.kaspersky.com/about/press-releases/2015_equation-group-the-crown-creator-of-cyber-espionage ) …
Vu que l’OS a une base commune entre ses différentes éditions (Famille, Pro, Enterprise), l’idée c’est de sécuriser l’ensemble pour tous les clients, et de rationaliser les efforts.
à la fin 2025, quelle sera la proportion de matériel d’avant 2017 qui fonctionnera correctement ? Vu la stratégie de MS, on peut décemment penser que les projections doivent être très faibles voire peu significatives pour ne pas avoir à générer des coûts/efforts dès maintenant pour un ROI financier/technique inexistant.
Orange Cyberdefense lance sa « Cyber protection » pour les TPE et PME
Le 10/02/2022Le 11/02/2022 à 18h 04
Nop, mais justement, je pense que c’est l’angle d’attaque d’Orange :
“Beaucoup d’attaques en ce moment Monsieur, les temps sont durs, je vous conseille de souscrire à notre offre pour votre PC, ça coute 10€/m, et si vous êtes attaquez on vous aide en 24x7”
Et vu que ton boulanger n’est pas DSI, bah il va souscrire sans se poser trop de questions, tout comme plein de gens souscrivent à l’assurance casse mobile qui marche jamais quand tu en as besoin
Le 11/02/2022 à 09h 05
Tout à fait d’accord; je ne connais pas le segment TPE/PME, mais à ma connaissance, ces offres d’EDR sont plutôt sur du segment “grandes entreprises” que “petites organisations”. Pour moi c’est ça qui est intéressant sur le positionnement d’Orange : l’entreprise franco-française qui a pignon sur rue et qui veut aider les petites organisations. Sur le papier ça semble intéressant, mais en lisant le peu de docs qu’on a ça semble trop limité.
Ouaip, tout à fait d’accord, mais ça c’est clairement overkill pour un patron qui a une 10aine de salarié et qui ne connait pas l’IT; soit la majorité des TPE en France.
Le coût moyen d’un poste de travail en France c’est 250-300€/user/mois (licence, helpdesk, matériel, assurance…). Pour une TPE, je pense que ça doit être au moins 2x moins. 10€/u/m dans ce cas-là ça doit représenter une somme non négligeable (~1,2k/y), alors le positionnement d’un Crowdstrike sur ce segment j’y crois moyen
Le 10/02/2022 à 12h 46
Clairement, ces points ne sont pas mentionné ni dans le communiqué de presse ni dans les CGV : https://documentscontractuels.orange.fr/les-offres-orange-pro_cs_4378.pdf
Pour moi, on est essentiellement sur du réactif ici :
“Le Service se compose des éléments suivants : 2.1 une prestation fournie par Orange et/ou son sous-traitant Orange Cyberdefense consistant notamment à procéder à la surveillance de l’état général du Poste de travail, à prévenir les risques de cyber menaces et notifier des évènements malveillants.”
“Par conséquent, le Service ne saurait garantir de trouver, localiser ou découvrir toutes les menaces du système, les vulnérabilités, les maliciels et les logiciels malveillants. “
Toute la partie conseil doit être adressée à part via un partenaire ou directement via OCD je pense
Oui sur le partie dashboard, mais je pense que le vrai play qu’Orange veut positionner c’est “expert cybersécurité 24x7”, et ça ça aura beaucoup plus de valeur d’un point de vue client que des conseils en stratégie de backup/DRP.
Je me demande si les CCI/CSIRT régionaux de l’ANSSI ne vont pas rediriger les TPE/PME vers ce genre de solutions.
Le 10/02/2022 à 11h 11
La solution que tu évoques comportes aussi de l’expertise humaine associée ?
De ce que je comprends du positionnement d’Orange, leur différenciateur c’est de rapporter OCD dans leurs offres PME. Vu les problèmes des petites organisations pour recruter, et la pénurie de compétences dans le domaine, ça peut faire mouche.
Mais j’ai peur que les gens pensent à une sécurité humaine assurée H24, alors qu’au final, c’est quand même très orienté réactif.
La page produit (avec les termes contractuels) : https://boutiquepro.orange.fr/pro/options-internet/cyber-protection
La cyberattaque des serveurs de la Croix Rouge serait de nature « étatique »
Le 09/02/2022Le 11/02/2022 à 08h 51
Quelle honte de lire ça, vraiment. Je déteste commenter ce genre de sujets, mais cette tendance à définir soit même ce qui est illégal, bon et moral me sidère.
Non, internet n’est pas un safe space; non, un patron ne devrait jamais convoquer un salarié pour des faits qui relève de sa vie privé; et toujours non, être d’extrême gauche/centre/droite n’est pas illégal et ne devrait pas être un marqueur de “bon citoyen” ou “hors classe”.
C’est tellement beau comme dissonance : appeler à une humanité entièrement fraternelle parce qu’on est tous égaux et en même temps considérer comme sous-citoyens, voire même ennemis à abattre, une partie non-négligeable des humains qui les entourent.
Azure Active Directory : 78 % des organisations n’utilisent pas l’authentification multifacteur
Le 08/02/2022Le 08/02/2022 à 12h 42
Avoir une alerte et une capacité de alerte/décision quand quelqu’un essaye de se connecter à des services qui peuvent être critiques (données, identité, finance …) est bien plus souple et immédiat qu’un verrouillage. Lequel ne serait d’ailleurs qu’une horreur à gérer pour les personnes pas forcément à l’aise avec l’informatique, et qui ne verraient pas forcément les problèmes de sécurité en découlant.
En choisissant la bonne solution, le comportement est simple à donner à des personnes pas forcément à l’aise avec l’IT : “tu reçois une notification de connexion sur ton tel, est-ce que c’est toi ou ton conjoint qui vient de s’identifier ? Si non, ou si tu sais pas, tu déclines”
C’est le principe du 3DSecure pour les cartes bancaires, et je ne vois pas souvent des gens s’en plaindre.
ça permet à l’utilisateur de rester actif pour sa protection, et de ne pas juste rester passif en attendant que les problèmes arrivent; et c’est une bonne chose pour que les populations montent progressivement en compétences et limitent par la même les impacts des attaques.
Le 08/02/2022 à 11h 07
Beaucoup d’assertions, peu de tangible.
Le contexte de la publication est Enterprise, mais cela peut s’appliquer aussi à la vie quotidienne privée.
Toute la littérature sur le sujet démontre en effet que l’authentification simple est critique, tu as deux études dans le brief qui le démontrent. Si tu as l’occasion d’échanger avec des SOC/CERT, tu comprendras combien le MFA est ultra important pour combattre le phishing, le password spray, les annuaires dispo sur le “dark net” pour quelques centaines de $ …
Si l’identité est le fer de lance de la stratégie en sécurité de beaucoup d’entreprises et de fournisseurs de solutions, c’est pas pour rien.
En contexte pro, tu as un tel pro (ou un token physique associé). Quel problème que MS récupère le numéro de téléphone ?
En contexte perso, généralement le téléphone est donné à la création du compte pour pouvoir reset le mot de passe; tu peux donner un faux, mais tu peux aussi ne pas arriver à prouver au support que tu es le possesseur légitime et donc perdre ton compte.
“Concentrer la sécurité sur un téléphone est pire que d’avoir un gestionnaire de mot de passe sur un PC fixe.”
Après, si tu compares une solution de MFA à un password manager, c’est que tu ne comprends pas les concepts.
Le fait d’utiliser un composant tierce permet justement de découpler la sécurité en répartissant les risques, tu ne concentres rien.
Rien ne t’empêche d’utiliser un mot de passe fort, et d’y ajouter une validation humaine à chaque fois. En quoi c’est moins sécurisé ?
J’ai le MFA de systématiquement activé sur tous les services que je peux, et maintenant la question du mot de passe est accessoire. Et je n’ai plus les problèmes de sécurité sur Steam/FB/Blizzard que j’ai pu rencontré avant.
Windows 11 : le nouveau Lecteur multimédia disponible dans le canal Beta
Le 04/02/2022Le 04/02/2022 à 14h 41
Je ne sais pas si on ne peut pas lire de CD, j’ai pas de lecteur sur mes PC W11, mais je n’ai pas vu d’endroit où c’était mentionné.
Si c’est le cas, ça ne me choquerait pas. C’est toujours du code inutile pour la plupart* maintenant, à maintenir, à assesser régulièrement, qui s’interface avec du bas niveau et qui donc peut donner des effets de bords avec un fort impact (surtout sur un aspect sécurité).
Si vous avez besoin de cette fonctionnalité, remontez vos feedbacks comme mentionné dans l’article; c’est le seul moyen de faire remonter l’info aux équipes produit.
Le chiffre d’affaires d’Alphabet (Google) dépasse les 250 milliards de dollars
Le 02/02/2022Le 02/02/2022 à 10h 37
Pourquoi ?
Métavers : « Évolution incontournable… ou simple effet de mode ? »
Le 28/01/2022Le 28/01/2022 à 14h 56
Parce que tout le monde à ça chez lui, bien entendu. Surtout dans un 20m² en location.
C’est dommage d’avoir gardé une phrase de ce que j’ai dis, ça dénature grandement le sens de mon propos.
Mon point c’est de pouvoir donner plus de choix aux utilisateurs pour collaborer à distance; et oui, dans un contexte où tu es complètement en télétravail, avoir des façons différentes d’échanger avec les gens, ça me semble être une bonne idée. Un brainstorming ou un scrum meeting journaliers ne demandent pas le même formalisme qu’un entretien formel RH, ou qu’une communication interne à l’entreprise.
Vu l’enchainement de call visio dans la journée, j’apprécierai en effet de pouvoir retrouver mes collègues sur un formalisme plus léger.
On développe ce genre d’hygiène pour la posture d’assise (bureau assis/debout, ballon, tapis spécifique…); pourquoi ça ne pourrait pas être la même chose sur le principal outil de travail de beaucoup de personne ?
Si je pousse votre raisonnement, vu que la télémédecine de demain se repose pour beaucoup sur ce genre de concepts, c’est aussi inutile ? Pouvoir permettre à un chirurgien d’opérer via HoloLens (pour ne pas le citer) aux 4 coins du monde, ça se remplace via une salle de réunion ?
Si on voulait être un peu taquin, on a ici un bon exemple de la légendaire résistance au changement des techs : les vrais usages ne sont pas encore là, mais au moins on est sur que ça sert à rien :]
Le 28/01/2022 à 10h 35
Dans un contexte pro, l’approche (pas de Meta, mais d’un autre Big Tech) est pas mal : donner la possibilité aux gens de collaborer à distance selon plusieurs media (textuel; micro + webcam; salle de réunion; headset VR industriel)
J’ai vu pas mal d’use case clients se servir de ce genre de combinaisons, soit pour essayer de remettre un peu plus d’humanité dans les échanges à distance en cas de télétravail, soit pour permettre à un expert d’arriver rapidement en escalade sur un problème qui vient des opérationnels terrains
Maintenant, je trouve l’approche de Meta un peu clair; il faudrait attendre les premières innovations de rupture côté grand public pour pouvoir juger du vrai potentiel. Pour l’instant, je pense que le manque d’engouement que l’on peut percevoir vient surtout qu’on transpose plus ou moins bancalement des usages, et que personne n’accroche à une sorte d’hybride pas très convaincant.
Windows 11 : mise à jour majeure prévue en février
Le 27/01/2022Le 27/01/2022 à 11h 17
Bah c’est Frandroid, faut pas trop leur en demander… Ils ont quand même eu le bon ton de mettre du conditionnel sur une évocation de rumeur, histoire qu’on ne puisse pas le leur reprocher.
La source de leur article : https://blogs.windows.com/windowsexperience/2022/01/26/a-new-era-of-the-pc/
Panos a dit que le programme de migration allait entrer en phase finale, ni plus, ni moins. Le billet n’est pas suffisamment précis ici pour comprendre ce que cela signifie.
Par contre, ça fait des années que MS ne fait plus payer les upgrades de version, et vu la stratégie de l’entreprise, je ne vois pas pourquoi ils changeraient ça du jour au lendemain.
Éric Zemmour assigné pour contrefaçon au droit d’auteur, l’épine du droit européen
Le 27/01/2022Le 27/01/2022 à 10h 38
Pour lui, il fait un usage permis dans les limites de la loi.
Pour les ayant-droits, ce n’est pas le cas.
Qu’est-ce qui te permet de dire qui a raison ? Ah oui, “ça sent les années 30”.
L’article de NXI lié dans la brève explique bien le problème; il n’y a pas de réponse actuellement, c’est à la justice de trancher ce principe de proportionnalité, et de créer le cas échéant la jurisprudence en découlant.
Cette manie de juger avant que l’ordre judiciaire n’ai pu le faire…
Google lance le domaine .day
Le 27/01/2022Le 27/01/2022 à 10h 10
En effet, le mec qui a réservé zero.day a du lâcher hier 10k€ + 1k€/an