Le 19/07/2024 à 18h 08

Le 19/07/2024 à 14h 46

Le 19/07/2024 à 14h 49

Le 19/07/2024 à 14h 49

Le 11/07/2024 à 15h 20

Le 17/07/2024 à 11h 08

Le 17/07/2024 à 11h 05

Le 12/07/2024 à 11h 03

Le 11/07/2024 à 14h 47

Le 30/04/2024 à 14h 55

Le 30/04/2024 à 10h 54

Le 29/04/2024 à 14h 04

Le 27/03/2024 à 19h 28

Le 27/03/2024 à 17h 33

Le 26/03/2024 à 21h 53

Le 26/03/2024 à 09h 57

Le 22/03/2024 à 10h 55

Le 26/03/2024 à 09h 45

Le 29/02/2024 à 13h 27

Le 20/02/2024 à 15h 06

Le 16/02/2024 à 20h 58

Le 08/02/2024 à 13h 41

Le 08/02/2024 à 13h 38

Le 07/02/2024 à 10h 51

Le 02/01/2024 à 14h 22

Le 06/02/2024 à 18h 00

Le 23/12/2023 à 21h 08

Le 21/12/2023 à 15h 11

Le 21/07/2023 à 08h 58

Entre ça et le fait que Mozilla se soit rapproché de K-9 Mail pour préparer un Thunderbird pour Android, ça fait de jolies nouvelles !

Le 17/07/2023 à 10h 51

Pfiou, 24 pages de commentaires, je pense que le mien ne sera pas lu ^^

Contrairement à d’autres personnes, j’aime beaucoup la diversité des sujets, et je trouve qu’avoir des articles sur l’espace n’est pas aberrant quand on parle de nouvelles technologies, ce d’autant que ça n’arrive pas tous les 4 matins.

Globalement, NI correspond à mon besoin en terme de veille techno et numérique, avec sérieux, application et la petite touche d’humour qui fait du bien.

Pendant longtemps, je suis passé à côté du Brief, parce que je ne comprenais pas son mode de fonctionnement (je suis un peu teubé, j’admets ; je pensais qu’il s’agissait d’un digest des actus de la veille et/ou de la journée à venir), et je le regrette beaucoup.

En tout cas, si vous vous lancez dans des podcasts, je suis preneur ; un podcast, ça se “consomme” bien plus facilement qu’une vidéo (footing, transports…). Je suis par exemple un grand adepte du Code a changé de X. de La Porte. Mais ça demande du temps, une équipe pour le montage, de l’infra pour la mise à disposition…

Et des partenariats avec ASI comme déjà faits, ou CanardPC, ou d’autres acteurs qui proposent des sujets connexes avec des expertises complémentaires.

Le 12/07/2023 à 09h 12

OB a dit:

Moi j’avoue que je comprends pas trop toute cette polémique:

Ce que recherchent les DSI quand ils achètent RHEL, c’est justement la ligne budgétaire et le support long terme. Sinon, autant prendre une debian, ou même n’importe quelle distro basé sur RPM… voire même dans les cas extrêmes fabriquer la sienne spécialisé ! Donc les compétiteurs de RHEL c’est bien oracle & Suse.

Non, dans la plupart des cas lorsque les DSI vont vers RHEL ou compatible, c’est pour y déployer un produit qui n’est certifié que sur ces environnements (et pour lequel il est explicitement dit qu’aucune garantie de bon fonctionnement n’est faite avec un autre environnement Linux).
Partout où je suis passé, les serveurs étaient sous Debian, Ubuntu Server (ou, plus rarement openSUSE ; et fut un temps où il y avait du Mandriva Server), sauf pour les quelques produits dont le déploiement sur autre chose que RHEL ou CentOS entraînait une suspension de la maintenance et de l’assistance.

Le 13/06/2023 à 09h 45

Euuuuh faut juste lire le début de la brève qui dit “Yann Padova, qui fut secrétaire général de la Commission nationale de l’informatique et des libertés (CNIL) de 2006 à 2012”. Je pense que tout le monde ici est capable de faire 2023-2012=11 ans… Sans compter que ladite brève pointe vers la page LinkedIn de l’impétrant, où tout est indiqué.
Donc c’est faire un faux procès, et c’est quand-même intéressant de voir le parcours de cette personne, ça peut permettre de réfléchir à ce qu’a été la CNIL sur cette période (il me semble d’ailleurs que ça correspond peu ou prou à l’époque où son pouvoir d’action a été réduit).

Bref ça reste une information claire, concise, sourcée, détaillée, qui mérite une brève sans pour autant en faire un article.

Le 12/06/2023 à 09h 44

C’est un projet assez dément, avec des choix technologiques très intéressants (comme la structure des fichiers et la façon de mêler des contenus différents).

Après, il y a d’autres exemples d’OS écrits par une seule personne, je pense à PedroM pour les TI68k, écrit par Patrick Pélissier (et dont l’histoire, si elle n’est pas aussi passionnante que celle de TempleOS, a des aspects intéressants ^^).

Le 22/03/2023 à 15h 43

Le problème d’un hashage sans sel, c’est qu’il est beaucoup moins gourmand en temps de calcul de faire de la recherche brute force sur des données non salées, et que c’est plus fragile pour les attaques arc-en-ciel. Par contre, on peut imaginer qu’il y ait un hashage non salé d’une information partielle ou d’une information résiduelle par rapport au mot de passe en clair (ce qui n’est pas une solution parfaite, mais tout de même plus sûre). Bon, vu le potentiel trollesque de l’article, c’est clair qu’il ne faut pas dire que le mot de passe est partagé par telle ou telle personne, mais qu’un mot de passe similaire a déjà été utilisé
Cela dit, tout ça n’a pas vraiment d’intérêt : en général, les gens ne partagent pas un même mot de passe entre deux comptes, ils s’échangent carrément leurs couples id/pass :3

Le 15/03/2023 à 09h 39

Hm, il est question d’un écart d’1 à 3 dans les estimations, mais en soit ça reste globalement les mêmes ordres de grandeur, donc ça ne me paraît pas vraiment être problématique (on serait dans un écart d’1 à 100, ce serait plus délicat).

Le 08/03/2023 à 17h 23

willy40 a dit:

Même la série des DS9XX est surdimentionnée pour les utilisateurs moyens. La plupart pourraient se contenter d’un DS2XX + et ne verraient pas de différences.

Le principal souci est le niveau de redondance et de résilience du RAID en cas de crash disque(s). Je me limitais aux séries DS2XX jusque là (209j puis 216+II), mais j’envisage sérieusement de passer sur un 5 disques (à la fois pour la redondance et l’optimisation de l’espace utile) au moment du remplacement.

Le 15/12/2022 à 13h 54

Absolument. Cela dit, chez Free tout était en clair, sans que ce soit temporaire, et avec une complexité pourrie ^^

Le 14/12/2022 à 13h 57

L’information en clair ne le reste pas, et si elle est altérée il y en a une trace pour l’utilisateur final (il n’arrive pas à se connecter avec le code temporaire).

Typiquement, un mail dans lequel un mot de passe est en clair (sans obligation de changer ce mot de passe à la connexion suivante) peut n’être jamais changé par l’utilisateur. Si sa boîte est piratée, ce mot de passe peut être utilisé par les pirates tant qu’il n’est pas changé (et l’utilisateur peut ne jamais réaliser qu’il y a exploitation de l’accès à son compte).
Dans le cas d’un code temporaire, si l’utilisateur ne se connecte jamais, le code finira par ne plus être actif (au bous d’un mois, une semaine, un jour…) et s’il se connecte il devra en changer. En cas d’attaque de la boîte mail, le code obtenu par les pirates ne fonctionnera plus même s’il est en clair.
Et si la boîte est piratée avant la première connexion et qu’un pirate utilise le code pour se connecter (et, donc, effectue un changement de mot de passe), l’utilisateur final saura qu’il y a eu une connexion intrusive parce qu’il ne pourra pas se connecter lui-même avec ce code.

C’est d’ailleurs la différence entre un mot de passe pour se connecter (pour “passer” la phase d’authentification) et un code temporaire qui sert à choisir un mot de passe.

Et, bien sûr, le code temporaire (et, a fortiori, les mots de passes une fois changés) doivent être chiffrés du côté du fournisseur de service en cas d’attaque ou de fuite de données (parce que pour le coup ça ne concernerait pas qu’un seul compte, mais potentiellement tous les utilisateurs de ces services).

Le 14/12/2022 à 11h 15

(quote:2109276:127.0.0.1)
et Ils auraient préférés qu’il soit chiffré comment dans le courrier ? Vigenère ? Enigma ?

Transmettre un code temporaire (complexe) qui ne permet que la première connexion et au cours de laquelle on doit choisir un mot de passe fort, par exemple ?

Le 14/12/2022 à 13h 45

Tout à fait d’accord/

Ceux qui pensent que Scratch est du no-code se trompent : on écrit clairement des algos dans un paradigme impératif. C’est juste que l’interface de saisie n’est pas le clavier mais la souris. Mais il faut maîtriser les structures de développement bien au-delà que le simple design d’un diagramme.

De façon générale, même les outils de RAD comme on a pu avoir (de VB6 au Delphi en passant par tous ces outils très à la mode entre la fin des années 90 et le début des années 2000) ne sont que des outils facilitateurs permettant de s’affranchir de tâches pénibles, dans la continuité des éditeurs de ressources qu’on avait dans les suites de développement de Borland dès le début des années 90, mais aussi déjà bien avant avec INTERFACE, l’éditeur de fichiers RSC sur Atari - et on avait l’équivalent sur les autres plateformes). On nous a aussi vendu la même chose côté bases de données (Access est ce qui est le plus connu pour le grand public, mais on a aussi Forms & Reports chez Oracle, etc.).

Enfin, même les outils qui se targuent de permettre de concevoir des applications avec des workflows complexes (comme par exemple ProcessMaker) ou les outils d’ETL comme Talend nécessitent à un moment donné de mettre les mains dans le cambouis en rédigeant des portions de code dès qu’on a besoin de faire du traitement de données un peu spécifique, qu’on doit utiliser une API ou un service distant exotique [et l’exotique est plus commun que le générique]).

Le souci de ces “monstres” est qu’ils finissent par manquer de souplesse et que dès qu’on doit faire face à une situation un peu complexe, il faut soit faire rentrer la réalité dans le cadre contraint par la techno, soit avoir des contorsions de la réalité en-dehors de l’application. À tel point que je connais plus d’une application qui, après avoir cherché pendant des années à entrer (en vain) dans un moule proposé par un environnement (SAP pour ne pas le nommer), ont fini par jeter l’éponge et fait le choix de solutions ad hoc plus adaptées à leurs besoins.

Le 14/12/2022 à 11h 11

Bon ben quand je renouvellerai, je jouerai du curseur pour donner un peu plus par mois :) Parce que vous restez quand-même à mes yeux une des (la ?) meilleures sources d’information au niveau NT, avec un excellent équilibre analyse technique/politique/légale, mais aussi avec une veille scientifique généraliste très appréciable.

Le 07/12/2022 à 15h 50

(reply:2109006:dvr-x)
Plutôt que 99% de l’offre, j’aurais dû parler de 99% des volumes, j’admets.

Quand on travaille dans la recherche, on apprend vite que tout peut être critique en terme de données exploitable. Ce n’est pas la donnée singulière qui importe, c’est la masse de données et ses traitements & recoupements qui vont lui donner de la valeur. Plus il y a de donnée, plus elle va permettre de créer des profils (exploités par les États, les data brokers, les cibleurs, les démarcheurs, etc.). Jusqu’à la fuite et la revente de ces données pour de l’usurpation d’identité, et j’en passe.

Le 07/12/2022 à 10h 39

(quote:2108846:dvr-x)

Le CLOUD Act touche tous les clouds dont la société-mère est aux USA, même si les serveurs sont en France. Autant dire que vu l’état du “cloud souverain” à l’heure actuelle, nous sommes toustes concerné⋅e⋅s par le CLOUD Act vu que 99% des services proposés le sont par des entreprises US (Amazon, Microsoft, Apple…).

Et c’est bien pour ça que je parle de “demain” : on n’est jamais à l’abri de découvrir du jour au lendemain une faiblesse dans un algo de chiffrement qui mette à mal toute la chaîne de sécurité. Et ce qui est vrai aujourd’hui n’est pas garanti demain. On sait par exemple depuis les affaires sorties sur la NSA que les services de renseignement moissonnent des données chiffrées en très grande quantité pour pouvoir les déchiffrer “un jour” (d’ailleurs, les ordinateurs quantiques sont aussi regardés de très près par les services de renseignement pour leur capacité théorique à remettre à plat tous les mécanismes de chiffrement).

Et retirer les données n’est pas une solution : une fois qu’on a confié nos données à un tiers, rien ne garantit qu’elles ne soient pas stockées (chez ce tiers ou chez un service de renseignement habilité à aller farfouiller chez ce tiers).

Le 06/12/2022 à 13h 56

(quote:2108703:dvr-x)
J’ai du mal à voir le réel intérêt vis à vis d’un cloud FR chiffré qui n’a pas plus accès à tes données, si ce n’est le prix, et ca reste à voir pour le coup.

S’il n’y a pas la même sécurité quant à la disponibilité des données, une telle solution a un réel intérêt quant à la confidentialité de celles-ci quand on la compare à un cloud chiffré.

En effet, la sécurité d’une donnée chiffrée n’est pas garantie dans le temps : mécanisme de chiffrement qui peut être cassé à un instant t+1, puissance de calcul des ordinateurs qui réduit le temps de calcul pour déchiffrer en brute force ou assimilé… une donnée chiffrée aujourd’hui doit être à considérer comme non chiffrée lorsqu’analysée dans une poignée d’années. Or, dans le cas d’un cloud, une entreprise donnée (et, donc, avec le CLOUD Act, les services de renseignement US) ont accès à toutes les données de façon complète, avec l’opportunité de casser le chiffrement à moyen ou long terme.
Dans le cas d’un stockage distribué, personne (sauf le propriétaire desdites données qui peut les récupérer localement) n’a accès en un instant donné à l’intégralité des données. Donc même s’il devient possible de déchiffrer des paquets, ça risque d’être insuffisant pour faire de l’analyse/exploitation de données.

Le souci est qu’on a un risque d’accès aux données en cas d’indisponibilité d’une partie critique non accessible (clients distribués non joignables car éteints, interruption au niveau d’un backbone…), donc ça reste à mes yeux une solution à n’envisager que pour de la sauvegarde distribuée supplémentaire (par exemple : j’ai des données locales, une sauvegarde sur mon NAS, et je me permets du coup une réplication sur Hive en supplément).

Le 22/11/2022 à 16h 18

J’avais fait partie d’un groupe de travail autour de fédérations d’identité (et donc entre autre de France Connect) où un des membres de leur équipe était venu nous le présenter (quelques mois avant sa première ouverture au public) et avait lui-même évoqué ce point.

J’ai trouvé peu de références à cette information sur la toile, hors ça : https://publimath.univ-irem.fr/glossaire/NU010.htm
(sachant que la problématique des 100 ans n’est probablement que marginale dans les doublons vu que, normalement, c’est pris en compte dans la délivrance du NIR).

Le 22/11/2022 à 13h 43

Ça apporte un moyen de plus de s’identifier, par exemple pour les personnes qui n’ont pas encore de compte aux impôts ou à Ameli (en particulier tous les étudiants encore couverts par la sécu de leurs parents), puisque ce sont les deux plus gros fournisseurs d’identité pour France Connect.

(Sachant en outre que France Connect a un problème inhérent à sa conception : il n’est pas possible de l’utiliser pour les quelques 400 personnes en France qui ont un numéro INSEE (numéro de Sécu) ayant un doublon… c’est un vrai problème à l’heure où de plus en plus de services ne sont accessibles que via des plateformes numériques)

Le 22/11/2022 à 08h 05

Ca apporte un moyen supplémentaire de s’identifier via France Connect. France Connect n’est qu’en mécanisme de fédération d’identité, qui va utiliser d’autres services (celui les impôts, celui de la Poste…) pour confirmer l’identité d’une personne dans sa connexion à des services tiers (gouvernementaux ou pas).
À savoir qu’à une époque (je ne sais pas où ça en est dans les tuyaux), il était prévu d’élargir les fournisseurs d’identités à d’autres structures (comme les universités), avec différents niveaux de confirmation d’identité, permettant de se connecter à des services nécessitant un degré de fiabilité plus ou moins important.
Par exemple :

• besoin d’être certain que la personne est la personne : utilisation obligatoire du service d’identification des Impôts (ou d’un service équivalent)


• besoin moins critique : possibilité d’utiliser un service tel qu’un IdP d’une université ou de la fédération Enseignement Supérieur/Recherche

Ça avait pas mal inquiété les universités, à l’époque, parce que ce n’est pas du tout la même chose de prendre la responsabilité d’une usurpation d’identité pour des ressources propres, et de prendre la même responsabilité pour des ressources bien plus critiques. Mais ça semble ne pas avoir abouti (pour l’instant en tout cas).

Le 24/05/2022 à 09h 40

SomeDudeOnTheInternet a dit:

“que ce genre de contenu répréhensible n’intéresse pas” c’est très vite dit. Pas mal d’artistes Rule34 font des ‘oeuvres’ graphiquement explicites sur des personnages qui sont mineurs. Ce qui est de la pédopornographie selon la loi.

Après, c’est bien sûr très différent d’une vidéo filmée, mais légalement ça reste interdit.

C’est plus complexe que ça, en fait. Il s’agit d’une évolution dans la jurisprudence française quant au terme “représentation” utilisé dans la loi (Article 227-23 du code pénal). Pendant des années, le mot “représentation” n’a été utilisé que pour désigner la représentation d’un enfant réel ; autour de 2010, une interprétation plus large a été choisie dans les jugements prononcés, où il n’y avait pas besoin que les enfants soient fictionnels ou réels pour qu’il y ait un blocage ou une condamnation (les premiers à en avoir fait les frais sont les imageboards d’anime/hentai).
Tant que la loi ne sera pas réécrite pour être clarifiée à ce niveau, il restera un flou sur le sujet. Par exemple, les expositions de l’artiste Stu Mead sont autorisées, alors que les mangas japonais ne le sont pas. Autre problème soulevé par cette situation : va-t-on avoir un décalage plus large qui englobera les textes fictionnels, dans la mesure où on peut aussi estimer qu’il s’agit d’une “représentation” ? (auquel cas il faudra interdire Sade, Robbe-Grillet, Pierre Louÿs et bien d’autres)

Le 27/04/2022 à 13h 25

Entre les applications préinstallées et les “suggestions” qui apparaissent dans le menu démarrer, c’est très pénible.
Et même ShutUp10, qui est très efficace, ne résiste pas aux mises à jour Windows qui remettent certains paramètres par défaut…

Le 26/03/2022 à 11h 24

En théorie, oui, en pratique c’est compliqué surtout avec le concept d’« établissement-composante » arrivé avec les Grands Établissements (où il y a mutualisation de moyens, mais autonomie administrative, politique et financière).
D’autant plus quand ça se passe dans un concept de confinement où tout doit être basculé du jour au lendemain, il ne faut pas oublier que les décrets d’application arrivaient sans préparation, toujours différents…