Kara(Wo)Man
est avec nous depuis le 3 décembre 2014 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
144 commentaires
Panne et paralysie mondiale : une mise à jour CrowdStrike provoque des bugs en cascade
Le 19/07/2024 à 18h 08
C'est problématique à bien des niveaux (sécurité de l'infra, sécurité des données de l'entreprise, problèmes relatifs à la vie privée des employés...).
Les solutions d'EDR internalisables sont moins courantes (et nécessitent une équipe de supervision connectée de façon permanente, ce que les entreprises ont du mal à assumer).
Le 19/07/2024 à 14h 46
- Un PRA n'est pas un PCA ; dans une telle situation, la reprise d'activité est quasi garantie à moyen terme et "quelques heures/jours" ça peut être un risque accepté par la direction.
- Même un bon PRA/PCA peut ne pas suffire dans une telle situation ; typiquement, si la sauvegarde est gérée par une infra MS (avec Veam ou une autre solution), rétablir les sauvegardes peut s'avérer compliqué si le système est dans une salle distante (voire nécessitant un processus avec des accréditations et des contrôles qui peuvent être contraints eux-mêmes pas la situation).
- Normalement, les clés de déchiffrement des serveurs critiques doivent être dans un coffre fort physique ; en pratique, c'est rarement le cas (ou il peut y avoir des soucis d'accès au coffre, surtout en période estivale ou de mid-year)
- Ici, j'ai envie de dire que le responsable est uniquement CrowdStrike. On peut imputer une partie de la responsabilité à MS pour ne pas avoir de mécanisme d'isolement, mais les solutions d'EDR sont parfois implantées dans le système avec des stratégies similaires à des rootkits, donc on est peut-être dans une situation où l'OS n'est pas en mesure de lever correctement les bonnes barrières (et peut-être que le BSOD/reboot est justement la seule barrière qui reste à l'OS pour se protéger et protéger le système)
Une faille exploitée de Windows « ressuscitait » Internet Explorer
La nuit des morts-vivants
Le 19/07/2024 à 14h 49
Le 19/07/2024 à 14h 49
Le 11/07/2024 à 15h 20
Non seulement IE n'est pas mort, mais c'est toujours le moteur de Outlook (dans une version limitée, cela dit, donc avec possiblement peu de failles de sécurité possibles) qui est utilisé dans Outlook 2016 (et c'est d'ailleurs l'enfer de créer des mails riches compatibles avec ce truc).Thunderbird 128 fait le plein de nouveautés et améliore son interface
Le 17/07/2024 à 11h 08
Pour le coup, c'est vraiment Outlook qui est en retard... le moteur HTML étant un sous-ensemble de Trident, impossible en entreprise de pousser simplement des signatures HTML homogènes Outlook/Thunderbird/clients Web (il faut tout un tas de tweaks spécifiques à Outlook).Le 17/07/2024 à 11h 05
FranceConnect+ intègre France Identité pour simplifier les démarches
Le 12/07/2024 à 11h 03
Les permis "anciens" roses ne seront plus valables après 2033...L’IA générative, une bulle ? Goldman Sachs met les pieds dans le plat
Le 11/07/2024 à 14h 47
Lancement de Galileo : pour l’Europe, SpaceX est-il le nouveau Voldemort ?
Celui dont il ne faut pas prononcer le nom !
Le 30/04/2024 à 14h 55
6 mois, déjà
Petite pause informationnelle en cours d'ascension
Le 30/04/2024 à 10h 54
Quand j'ai appris le changement de propriétaire de Next[INpact], j'ai été assez circonspect. Quand j'ai vu les transformations esthétiques, j'ai été dubitatif. Quand le fil RSS a été cassé et qu'il a fallu en récupérer un nouveau pour paramétrer mon agrégateur, j'ai laisser filer du temps (mais j'ai renouvelé mon abonnement, quand-même).Puis j'ai reparamétré mon agrégateur. Je me suis habitué au design. J'ai été agréablement surpris de la continuité de la qualité rédactionnelle. J'ai quand-même été un peu triste de ne plus lire Marc Rees et son remarquable travail de veille juridique numérique et d'analyse pour les non-juristes.
N'ayant jamais trop compris pourquoi il y avait une distinction entre les articles et Le Brief, cette évolution ne me gêne pas (mais je peux comprendre qu'il puisse être intéressant de taguer différemment les articles de fond et les brèves dans le fil RSS, pour savoir si le lien qu'on va suivre va demander un temps de lecture plus ou moins long).
Donc merci pour le boulot, pour le respect dans la continuité, pour la prise de risque, pour la diversité des sujets abordés, pour la pertinence des articles. Surtout, surtout, surtout, ne délaissez pas la veille juridique numérique accessible aux informaticiens non juristes, c'est pour moi une plus-value inestimable de Next sur les autres médias.
(PS : il y a un bug au moins sous Fx 125 desktop dans la zone de rédaction des commentaires, qui devient trop grande quand on écrit plusieurs lignes)
Microsoft ouvre les sources de… MS-DOS 4.0
Le 29/04/2024 à 14h 04
Il semblerait que, au contraire de ce qui a été annoncé, il n'y ait pas le source pour la partie multitâche préemptif ; cet article apporte des éclairages assez intéressants sur tout ça : https://lunduke.locals.com/post/5565411/ms-dos-4-0-source-code-fails-to-compileÉmissions réelles de CO₂ en Europe : le poker-menteur des véhicules hybrides
Le 27/03/2024 à 19h 28
Le 27/03/2024 à 17h 33
Et ça c'est pour de l'hybride rechargeable, donc uniquement pour une partie du problème...Health Data Hub : le Conseil d’État rejette la suspension de la décision de la CNIL
Morsure du fouet
Le 26/03/2024 à 21h 53
C'est logique en référé, surtout qu'il n'y a à ce jour aucune donnée envoyée, donc un rejet sur la caractérisation de l'urgence aurait eu du sens ; là, ce qui est plus problématique, c'est que l'argumentaire est totalement aveugle aux problématiques de fond...Steam revoit son partage familial de fond en comble (et en mieux)
Le 26/03/2024 à 09h 57
Le 22/03/2024 à 10h 55
Est-ce qu'il y aura moyen de transférer définitivement une licence au compte d'un membre du foyer ? Typiquement, quand un enfant grandit, s'émancipe, fonde sa propre famille, peut-on faire glisser vers son nouveau foyer la licence ?50 ans d’histoire de la CNIL : de Safari au bourbier du Health Data Hub
Le 26/03/2024 à 09h 45
C'est une peur qui a progressivement disparu, avec le temps qui passe (ce n'est, d'ailleurs, pas la seule crainte liée à la géopolitique de cette période à s'être effacée).Il ne faut pas oublier que le IIIe Reich avait totalement compris l'importance de l'automatisation des traitements et du rôle des calculateurs et de l'informatique à ce niveau. L'acquisition par l'Allemagne nazie de la machine Hollerith d'IBM et l'utilisation des cartes perforées a servi à industrialiser le traitement des cibles du régime.
Il y a quelques éléments sur le sujet dans l'article WP sur IBM (le bouquin de Black est tristement passionnant) : https://fr.wikipedia.org/wiki/IBM#IBM_et_le_régime_nazi
Else, une application pour aider les familles à gérer le temps d’écran des enfants
Steuplait steuplait steuplait !
Le 29/02/2024 à 13h 27
Le 20/02/2024 à 15h 06
Si ça peut éviter de nécessiter la création d'un compte Google pour les enfants, c'est déjà un pas énorme !En Europe, iOS 17.4 enterre les applications web
C'est la faute du DMA !
Le 16/02/2024 à 20h 58
Je ne comprends pas un truc, en fait... Est-ce le DMA qui interdit à l'utilisateur d'avoir un navigateur avec un moteur de rendu de son choix d'un côté et des applications web limitées au moteur d'Apple ? Sur Android, si je ne m'abuse, c'est ainsi que ça fonctionne : j'ai mon Firefox avec Gecko, mais une application web va utiliser le [moteur de rendu du] navigateur du système.Ça ne me paraît pas délirant comme solution alternative (mais je n'ai pas de connaissance approfondie du DMA, j'admets).
Bon, après, même si c'est une solution possible, elle n'empêcherait pas la mauvaise foi d'Apple...
Prestataires du tiers payant piratés : la moitié des Français concernés, la CNIL ouvre une enquête
Restons calmes
Le 08/02/2024 à 13h 41
Les enfants n'ont un numéro INSEE qui leur est attribué qu'à leur majorité. Avant ça, ils vont être rattachés au numéro INSEE de l'assuré, en tant qu'ayant-droit (le numéro INSEE existe probablement dans les bases de l'INSEE, mais n'est connu de personne tant qu'il n'est pas transmis à l'ayant-droit majeur autonome).Le problème va plutôt toucher les jeunes majeurs qui n'ont pas pris le temps de créer leur compte AMELI, et les personnes âgées qui ne l'ont jamais fait et qui n'ont pas forcément de compte FranceConnect (même si, pour ce dernier point, la généralisation forcée de la gestion des impôts et taxes en ligne va limiter de fait un peu la casse).
Le 08/02/2024 à 13h 38
Oui, ces question avaient déjà été soulevées lors des fuites massives de données liées aux tests Covid (mes données étaient liées aux tests, pas les fuites, heinLe fichier EURODAC va ficher les empreintes faciales et digitales des enfants à partir de 6 ans
Fichés dès le CP
Le 07/02/2024 à 10h 51
(Et même si l'État en question n'a pas de correspondance stricte avec la personne, suivant les données biométriques stockées, il peut retrouver les membres de la famille, avec tout ce que ça implique de pressions possibles)
Le 02/01/2024 à 14h 22
Sauf à ce que l'attribution du marché se soit réalisée de façon douteuse, ça n'est pas trop le périmètre d'Anticor ; plutôt d'associations de défense des mineurs, pour la défense des libertés fondamentales et/ou numériques...Je ne sais pas s'il y a déjà un lien entre le FAED et le TES (et je suis surpris que l'État n'ait pas prévu de lien Eurodac-TES, mais c'est peut-être le cas de façon indirecte), mais à la vitesse à laquelle on va au nom du sécuritarisme, on va au-devant de très graves problèmes le jour où on a un réel état-policier qui met la main sur ces données. Je n'ose imaginer à quoi aurait été réduite la résistance durant la 2GM si la police nationale avait eu un tel niveau d'information tant sur les citoyens que les populations en migration...
« Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft
Trop de nuages dans le cloud
Le 06/02/2024 à 18h 00
C'est très triste à lire, tout ça, mais tellement symptomatique de la situation actuelle...À noter qu'il existe une solution, mais que l'UE n'a jamais fait le choix de l'appliquer : celle d'interdire purement et simplement l'usage de Microsoft pour les données personnelles des administrés (administrations publique, territoriale et de santé), et faire comme ça s'est fait en Chine, où un prestataire exclusif européen, non lié à Microsoft au niveau légal, propose la solution Azure (ce n'est pas une filiale).
Ainsi, Microsoft protège sa technologie, et les administrations ont la possibilité d'utiliser Azure en conformité avec le RGPD.
À noter que ça n'est pas la solution qui a ma faveur (si on peut se défaire de l'écosystème MS pour ce genre de choses, c'est tant mieux), mais qui montre que l'UE n'a jamais fait le choix d'imposer aux entreprises sa propre législation.
Firefox 121 bascule sur Wayland par défaut sous Linux
Le 23/12/2023 à 21h 08
En fait, ce n'est pas tout à fait ça : on ne modifie pas le contenu, mais on annote le PDF. Les annotations sont enregistrées de façon spécifique pour ne pas altérer le document original (et on peut même extraire les annotations pour les avoir dans un fichier séparé).Les annotations peuvent être de plusieurs types (notes, dessins, surimpressions, contenus de formulaires...)
Donc techniquement, ce n'est pas un éditeur ^^
Log4Shell, qui s’en rappelle ?
Le 21/12/2023 à 15h 11
On a patché (comme on a pu) tout un tas d'applications. Pour certaines, on n'a pas pu versions trop vieilles, pas de sources, pas de rétrocompatibilité entre 1.x et 2.x, pas de mises à jour des applicatifs proposées (c'est bien beau d'avoir un patch pour log4j mais faut-il que les vendeurs d'applis proposent des mises à jour compatibles avec lesdits patches).En désespoir de cause, on a placé le restant derrière des reverse-proxies, avec des front sécurisés autant que possible (on a fait de même pour d'autres services applicatifs dont les serveurs d'application à jour n'étaient pas supportés). Quand on ne peut pas corriger la faille, on rajoute juste des champs de mines et du camouflage autour, en espérant que ça passera...
Thunderbird 115 Supernova : une vraie version majeure aux multiples améliorations
Une nouvelle disposition « cachée »
Le 21/07/2023 à 08h 58
Entre ça et le fait que Mozilla se soit rapproché de K-9 Mail pour préparer un Thunderbird pour Android, ça fait de jolies nouvelles !
Quoi de neuf à la rédac #3
Next Next INpact
Le 17/07/2023 à 10h 51
Pfiou, 24 pages de commentaires, je pense que le mien ne sera pas lu ^^
Contrairement à d’autres personnes, j’aime beaucoup la diversité des sujets, et je trouve qu’avoir des articles sur l’espace n’est pas aberrant quand on parle de nouvelles technologies, ce d’autant que ça n’arrive pas tous les 4 matins.
Globalement, NI correspond à mon besoin en terme de veille techno et numérique, avec sérieux, application et la petite touche d’humour qui fait du bien.
Pendant longtemps, je suis passé à côté du Brief, parce que je ne comprenais pas son mode de fonctionnement (je suis un peu teubé, j’admets ; je pensais qu’il s’agissait d’un digest des actus de la veille et/ou de la journée à venir), et je le regrette beaucoup.
En tout cas, si vous vous lancez dans des podcasts, je suis preneur ; un podcast, ça se “consomme” bien plus facilement qu’une vidéo (footing, transports…). Je suis par exemple un grand adepte du Code a changé de X. de La Porte. Mais ça demande du temps, une équipe pour le montage, de l’infra pour la mise à disposition…
Et des partenariats avec ASI comme déjà faits, ou CanardPC, ou d’autres acteurs qui proposent des sujets connexes avec des expertises complémentaires.
Red Hat : bisbilles autour du code source de CentOS Stream, Oracle et SUSE s'en mêlent
Ambiance
Le 12/07/2023 à 09h 12
Non, dans la plupart des cas lorsque les DSI vont vers RHEL ou compatible, c’est pour y déployer un produit qui n’est certifié que sur ces environnements (et pour lequel il est explicitement dit qu’aucune garantie de bon fonctionnement n’est faite avec un autre environnement Linux).
Partout où je suis passé, les serveurs étaient sous Debian, Ubuntu Server (ou, plus rarement openSUSE ; et fut un temps où il y avait du Mandriva Server), sauf pour les quelques produits dont le déploiement sur autre chose que RHEL ou CentOS entraînait une suspension de la maintenance et de l’assistance.
Une figure de la CNIL débauchée par un cabinet californien pour défendre les GAFAM à Bruxelles
Le 13/06/2023 à 09h 45
Euuuuh faut juste lire le début de la brève qui dit “Yann Padova, qui fut secrétaire général de la Commission nationale de l’informatique et des libertés (CNIL) de 2006 à 2012”. Je pense que tout le monde ici est capable de faire 2023-2012=11 ans… Sans compter que ladite brève pointe vers la page LinkedIn de l’impétrant, où tout est indiqué.
Donc c’est faire un faux procès, et c’est quand-même intéressant de voir le parcours de cette personne, ça peut permettre de réfléchir à ce qu’a été la CNIL sur cette période (il me semble d’ailleurs que ça correspond peu ou prou à l’époque où son pouvoir d’action a été réduit).
Bref ça reste une information claire, concise, sourcée, détaillée, qui mérite une brève sans pour autant en faire un article.
L’étrange histoire de TempleOS et de son concepteur
Le 12/06/2023 à 09h 44
C’est un projet assez dément, avec des choix technologiques très intéressants (comme la structure des fichiers et la façon de mêler des contenus différents).
Après, il y a d’autres exemples d’OS écrits par une seule personne, je pense à PedroM pour les TI68k, écrit par Patrick Pélissier (et dont l’histoire, si elle n’est pas aussi passionnante que celle de TempleOS, a des aspects intéressants ^^).
Au CERN, une surprenante réflexion sur les mots de passe, avec des actions radicales
À ce rythme autant supprimer les chercheurs…
Le 22/03/2023 à 15h 43
Le problème d’un hashage sans sel, c’est qu’il est beaucoup moins gourmand en temps de calcul de faire de la recherche brute force sur des données non salées, et que c’est plus fragile pour les attaques arc-en-ciel. Par contre, on peut imaginer qu’il y ait un hashage non salé d’une information partielle ou d’une information résiduelle par rapport au mot de passe en clair (ce qui n’est pas une solution parfaite, mais tout de même plus sûre). Bon, vu le potentiel trollesque de l’article, c’est clair qu’il ne faut pas dire que le mot de passe est partagé par telle ou telle personne, mais qu’un mot de passe similaire a déjà été utilisé![:D](https://cdn2.nextinpact.com/smileys/icon_mrgreen.gif)
Cela dit, tout ça n’a pas vraiment d’intérêt : en général, les gens ne partagent pas un même mot de passe entre deux comptes, ils s’échangent carrément leurs couples id/pass :3
Mesurer l'empreinte environnementale du numérique, un vrai casse-tête
Alors, les mails, on suppr ou pas ?
Le 15/03/2023 à 09h 39
Hm, il est question d’un écart d’1 à 3 dans les estimations, mais en soit ça reste globalement les mêmes ordres de grandeur, donc ça ne me paraît pas vraiment être problématique (on serait dans un écart d’1 à 100, ce serait plus délicat).
Synology DS1823xs+ : 8 emplacements, Ryzen V1780B et 10 GbE
Le 08/03/2023 à 17h 23
Le principal souci est le niveau de redondance et de résilience du RAID en cas de crash disque(s). Je me limitais aux séries DS2XX jusque là (209j puis 216+II), mais j’envisage sérieusement de passer sur un 5 disques (à la fois pour la redondance et l’optimisation de l’espace utile) au moment du remplacement.
La CNIL sanctionne Free : mots de passe trop faibles, transmis et stockés en clair, violations de données…
Le 15/12/2022 à 13h 54
Absolument. Cela dit, chez Free tout était en clair, sans que ce soit temporaire, et avec une complexité pourrie ^^
Le 14/12/2022 à 13h 57
L’information en clair ne le reste pas, et si elle est altérée il y en a une trace pour l’utilisateur final (il n’arrive pas à se connecter avec le code temporaire).
Typiquement, un mail dans lequel un mot de passe est en clair (sans obligation de changer ce mot de passe à la connexion suivante) peut n’être jamais changé par l’utilisateur. Si sa boîte est piratée, ce mot de passe peut être utilisé par les pirates tant qu’il n’est pas changé (et l’utilisateur peut ne jamais réaliser qu’il y a exploitation de l’accès à son compte).
Dans le cas d’un code temporaire, si l’utilisateur ne se connecte jamais, le code finira par ne plus être actif (au bous d’un mois, une semaine, un jour…) et s’il se connecte il devra en changer. En cas d’attaque de la boîte mail, le code obtenu par les pirates ne fonctionnera plus même s’il est en clair.
Et si la boîte est piratée avant la première connexion et qu’un pirate utilise le code pour se connecter (et, donc, effectue un changement de mot de passe), l’utilisateur final saura qu’il y a eu une connexion intrusive parce qu’il ne pourra pas se connecter lui-même avec ce code.
C’est d’ailleurs la différence entre un mot de passe pour se connecter (pour “passer” la phase d’authentification) et un code temporaire qui sert à choisir un mot de passe.
Et, bien sûr, le code temporaire (et, a fortiori, les mots de passes une fois changés) doivent être chiffrés du côté du fournisseur de service en cas d’attaque ou de fuite de données (parce que pour le coup ça ne concernerait pas qu’un seul compte, mais potentiellement tous les utilisateurs de ces services).
Le 14/12/2022 à 11h 15
Transmettre un code temporaire (complexe) qui ne permet que la première connexion et au cours de laquelle on doit choisir un mot de passe fort, par exemple ?
No code : qu’est-ce ?
No nuts, no glory, no future
Le 14/12/2022 à 13h 45
Tout à fait d’accord/
Ceux qui pensent que Scratch est du no-code se trompent : on écrit clairement des algos dans un paradigme impératif. C’est juste que l’interface de saisie n’est pas le clavier mais la souris. Mais il faut maîtriser les structures de développement bien au-delà que le simple design d’un diagramme.
De façon générale, même les outils de RAD comme on a pu avoir (de VB6 au Delphi en passant par tous ces outils très à la mode entre la fin des années 90 et le début des années 2000) ne sont que des outils facilitateurs permettant de s’affranchir de tâches pénibles, dans la continuité des éditeurs de ressources qu’on avait dans les suites de développement de Borland dès le début des années 90, mais aussi déjà bien avant avec INTERFACE, l’éditeur de fichiers RSC sur Atari - et on avait l’équivalent sur les autres plateformes). On nous a aussi vendu la même chose côté bases de données (Access est ce qui est le plus connu pour le grand public, mais on a aussi Forms & Reports chez Oracle, etc.).
Enfin, même les outils qui se targuent de permettre de concevoir des applications avec des workflows complexes (comme par exemple ProcessMaker) ou les outils d’ETL comme Talend nécessitent à un moment donné de mettre les mains dans le cambouis en rédigeant des portions de code dès qu’on a besoin de faire du traitement de données un peu spécifique, qu’on doit utiliser une API ou un service distant exotique [et l’exotique est plus commun que le générique]).
Le souci de ces “monstres” est qu’ils finissent par manquer de souplesse et que dès qu’on doit faire face à une situation un peu complexe, il faut soit faire rentrer la réalité dans le cadre contraint par la techno, soit avoir des contorsions de la réalité en-dehors de l’application. À tel point que je connais plus d’une application qui, après avoir cherché pendant des années à entrer (en vain) dans un moule proposé par un environnement (SAP pour ne pas le nommer), ont fini par jeter l’éponge et fait le choix de solutions ad hoc plus adaptées à leurs besoins.
Les tarifs des abonnements premium évoluent tout comme Next INpact
Un magazine Next INpact offert pour un abo 1 ou 2 ans
Le 14/12/2022 à 11h 11
Bon ben quand je renouvellerai, je jouerai du curseur pour donner un peu plus par mois :) Parce que vous restez quand-même à mes yeux une des (la ?) meilleures sources d’information au niveau NT, avec un excellent équilibre analyse technique/politique/légale, mais aussi avec une veille scientifique généraliste très appréciable.
Hive : analyse d’un « Drive » P2P chiffré de bout en bout, développé en partenariat avec Inria
Attention, arrêtes tranchantes
Le 07/12/2022 à 15h 50
Quand on travaille dans la recherche, on apprend vite que tout peut être critique en terme de données exploitable. Ce n’est pas la donnée singulière qui importe, c’est la masse de données et ses traitements & recoupements qui vont lui donner de la valeur. Plus il y a de donnée, plus elle va permettre de créer des profils (exploités par les États, les data brokers, les cibleurs, les démarcheurs, etc.). Jusqu’à la fuite et la revente de ces données pour de l’usurpation d’identité, et j’en passe.
Le 07/12/2022 à 10h 39
Le CLOUD Act touche tous les clouds dont la société-mère est aux USA, même si les serveurs sont en France. Autant dire que vu l’état du “cloud souverain” à l’heure actuelle, nous sommes toustes concerné⋅e⋅s par le CLOUD Act vu que 99% des services proposés le sont par des entreprises US (Amazon, Microsoft, Apple…).
Et c’est bien pour ça que je parle de “demain” : on n’est jamais à l’abri de découvrir du jour au lendemain une faiblesse dans un algo de chiffrement qui mette à mal toute la chaîne de sécurité. Et ce qui est vrai aujourd’hui n’est pas garanti demain. On sait par exemple depuis les affaires sorties sur la NSA que les services de renseignement moissonnent des données chiffrées en très grande quantité pour pouvoir les déchiffrer “un jour” (d’ailleurs, les ordinateurs quantiques sont aussi regardés de très près par les services de renseignement pour leur capacité théorique à remettre à plat tous les mécanismes de chiffrement).
Et retirer les données n’est pas une solution : une fois qu’on a confié nos données à un tiers, rien ne garantit qu’elles ne soient pas stockées (chez ce tiers ou chez un service de renseignement habilité à aller farfouiller chez ce tiers).
Le 06/12/2022 à 13h 56
S’il n’y a pas la même sécurité quant à la disponibilité des données, une telle solution a un réel intérêt quant à la confidentialité de celles-ci quand on la compare à un cloud chiffré.
En effet, la sécurité d’une donnée chiffrée n’est pas garantie dans le temps : mécanisme de chiffrement qui peut être cassé à un instant t+1, puissance de calcul des ordinateurs qui réduit le temps de calcul pour déchiffrer en brute force ou assimilé… une donnée chiffrée aujourd’hui doit être à considérer comme non chiffrée lorsqu’analysée dans une poignée d’années. Or, dans le cas d’un cloud, une entreprise donnée (et, donc, avec le CLOUD Act, les services de renseignement US) ont accès à toutes les données de façon complète, avec l’opportunité de casser le chiffrement à moyen ou long terme.
Dans le cas d’un stockage distribué, personne (sauf le propriétaire desdites données qui peut les récupérer localement) n’a accès en un instant donné à l’intégralité des données. Donc même s’il devient possible de déchiffrer des paquets, ça risque d’être insuffisant pour faire de l’analyse/exploitation de données.
Le souci est qu’on a un risque d’accès aux données en cas d’indisponibilité d’une partie critique non accessible (clients distribués non joignables car éteints, interruption au niveau d’un backbone…), donc ça reste à mes yeux une solution à n’envisager que pour de la sauvegarde distribuée supplémentaire (par exemple : j’ai des données locales, une sauvegarde sur mon NAS, et je me permets du coup une réplication sur Hive en supplément).
France Identité est désormais fournisseur d’identité pour FranceConnect
Le 22/11/2022 à 16h 18
J’avais fait partie d’un groupe de travail autour de fédérations d’identité (et donc entre autre de France Connect) où un des membres de leur équipe était venu nous le présenter (quelques mois avant sa première ouverture au public) et avait lui-même évoqué ce point.
J’ai trouvé peu de références à cette information sur la toile, hors ça : https://publimath.univ-irem.fr/glossaire/NU010.htm
(sachant que la problématique des 100 ans n’est probablement que marginale dans les doublons vu que, normalement, c’est pris en compte dans la délivrance du NIR).
Le 22/11/2022 à 13h 43
Ça apporte un moyen de plus de s’identifier, par exemple pour les personnes qui n’ont pas encore de compte aux impôts ou à Ameli (en particulier tous les étudiants encore couverts par la sécu de leurs parents), puisque ce sont les deux plus gros fournisseurs d’identité pour France Connect.
(Sachant en outre que France Connect a un problème inhérent à sa conception : il n’est pas possible de l’utiliser pour les quelques 400 personnes en France qui ont un numéro INSEE (numéro de Sécu) ayant un doublon… c’est un vrai problème à l’heure où de plus en plus de services ne sont accessibles que via des plateformes numériques)
Le 22/11/2022 à 08h 05
Ca apporte un moyen supplémentaire de s’identifier via France Connect. France Connect n’est qu’en mécanisme de fédération d’identité, qui va utiliser d’autres services (celui les impôts, celui de la Poste…) pour confirmer l’identité d’une personne dans sa connexion à des services tiers (gouvernementaux ou pas).
À savoir qu’à une époque (je ne sais pas où ça en est dans les tuyaux), il était prévu d’élargir les fournisseurs d’identités à d’autres structures (comme les universités), avec différents niveaux de confirmation d’identité, permettant de se connecter à des services nécessitant un degré de fiabilité plus ou moins important.
Par exemple :
Ça avait pas mal inquiété les universités, à l’époque, parce que ce n’est pas du tout la même chose de prendre la responsabilité d’une usurpation d’identité pour des ressources propres, et de prendre la même responsabilité pour des ressources bien plus critiques. Mais ça semble ne pas avoir abouti (pour l’instant en tout cas).
Une explosion de demandes de retrait de contenus exploitant sexuellement des enfants
Le 24/05/2022 à 09h 40
C’est plus complexe que ça, en fait. Il s’agit d’une évolution dans la jurisprudence française quant au terme “représentation” utilisé dans la loi (Article 227-23 du code pénal). Pendant des années, le mot “représentation” n’a été utilisé que pour désigner la représentation d’un enfant réel ; autour de 2010, une interprétation plus large a été choisie dans les jugements prononcés, où il n’y avait pas besoin que les enfants soient fictionnels ou réels pour qu’il y ait un blocage ou une condamnation (les premiers à en avoir fait les frais sont les imageboards d’anime/hentai).
Tant que la loi ne sera pas réécrite pour être clarifiée à ce niveau, il restera un flou sur le sujet. Par exemple, les expositions de l’artiste Stu Mead sont autorisées, alors que les mangas japonais ne le sont pas. Autre problème soulevé par cette situation : va-t-on avoir un décalage plus large qui englobera les textes fictionnels, dans la mesure où on peut aussi estimer qu’il s’agit d’une “représentation” ? (auquel cas il faudra interdire Sade, Robbe-Grillet, Pierre Louÿs et bien d’autres)
Windows 11 : comment faire le ménage dans les applications préinstallées
C'est le printemps !
Le 27/04/2022 à 13h 25
Entre les applications préinstallées et les “suggestions” qui apparaissent dans le menu démarrer, c’est très pénible.
Et même ShutUp10, qui est très efficace, ne résiste pas aux mises à jour Windows qui remettent certains paramètres par défaut…
FUN : 4,2 millions d’euros pour un « Zoom » de l’enseignement supérieur français
Marsha l'ombre sur Zoom
Le 26/03/2022 à 11h 24
En théorie, oui, en pratique c’est compliqué surtout avec le concept d’« établissement-composante » arrivé avec les Grands Établissements (où il y a mutualisation de moyens, mais autonomie administrative, politique et financière).
D’autant plus quand ça se passe dans un concept de confinement où tout doit être basculé du jour au lendemain, il ne faut pas oublier que les décrets d’application arrivaient sans préparation, toujours différents…