Le 12/07/2023 à 09h 12

OB a dit:

Moi j’avoue que je comprends pas trop toute cette polémique:

Ce que recherchent les DSI quand ils achètent RHEL, c’est justement la ligne budgétaire et le support long terme. Sinon, autant prendre une debian, ou même n’importe quelle distro basé sur RPM… voire même dans les cas extrêmes fabriquer la sienne spécialisé ! Donc les compétiteurs de RHEL c’est bien oracle & Suse.

Non, dans la plupart des cas lorsque les DSI vont vers RHEL ou compatible, c’est pour y déployer un produit qui n’est certifié que sur ces environnements (et pour lequel il est explicitement dit qu’aucune garantie de bon fonctionnement n’est faite avec un autre environnement Linux).
Partout où je suis passé, les serveurs étaient sous Debian, Ubuntu Server (ou, plus rarement openSUSE ; et fut un temps où il y avait du Mandriva Server), sauf pour les quelques produits dont le déploiement sur autre chose que RHEL ou CentOS entraînait une suspension de la maintenance et de l’assistance.

Le 13/06/2023 à 09h 45

Euuuuh faut juste lire le début de la brève qui dit “Yann Padova, qui fut secrétaire général de la Commission nationale de l’informatique et des libertés (CNIL) de 2006 à 2012”. Je pense que tout le monde ici est capable de faire 2023-2012=11 ans… Sans compter que ladite brève pointe vers la page LinkedIn de l’impétrant, où tout est indiqué.
Donc c’est faire un faux procès, et c’est quand-même intéressant de voir le parcours de cette personne, ça peut permettre de réfléchir à ce qu’a été la CNIL sur cette période (il me semble d’ailleurs que ça correspond peu ou prou à l’époque où son pouvoir d’action a été réduit).

Bref ça reste une information claire, concise, sourcée, détaillée, qui mérite une brève sans pour autant en faire un article.

Le 12/06/2023 à 09h 44

C’est un projet assez dément, avec des choix technologiques très intéressants (comme la structure des fichiers et la façon de mêler des contenus différents).

Après, il y a d’autres exemples d’OS écrits par une seule personne, je pense à PedroM pour les TI68k, écrit par Patrick Pélissier (et dont l’histoire, si elle n’est pas aussi passionnante que celle de TempleOS, a des aspects intéressants ^^).

Le 22/03/2023 à 15h 43

Le problème d’un hashage sans sel, c’est qu’il est beaucoup moins gourmand en temps de calcul de faire de la recherche brute force sur des données non salées, et que c’est plus fragile pour les attaques arc-en-ciel. Par contre, on peut imaginer qu’il y ait un hashage non salé d’une information partielle ou d’une information résiduelle par rapport au mot de passe en clair (ce qui n’est pas une solution parfaite, mais tout de même plus sûre). Bon, vu le potentiel trollesque de l’article, c’est clair qu’il ne faut pas dire que le mot de passe est partagé par telle ou telle personne, mais qu’un mot de passe similaire a déjà été utilisé
Cela dit, tout ça n’a pas vraiment d’intérêt : en général, les gens ne partagent pas un même mot de passe entre deux comptes, ils s’échangent carrément leurs couples id/pass :3

Le 15/03/2023 à 09h 39

Hm, il est question d’un écart d’1 à 3 dans les estimations, mais en soit ça reste globalement les mêmes ordres de grandeur, donc ça ne me paraît pas vraiment être problématique (on serait dans un écart d’1 à 100, ce serait plus délicat).

Le 08/03/2023 à 17h 23

willy40 a dit:

Même la série des DS9XX est surdimentionnée pour les utilisateurs moyens. La plupart pourraient se contenter d’un DS2XX + et ne verraient pas de différences.

Le principal souci est le niveau de redondance et de résilience du RAID en cas de crash disque(s). Je me limitais aux séries DS2XX jusque là (209j puis 216+II), mais j’envisage sérieusement de passer sur un 5 disques (à la fois pour la redondance et l’optimisation de l’espace utile) au moment du remplacement.

Le 15/12/2022 à 13h 54

Absolument. Cela dit, chez Free tout était en clair, sans que ce soit temporaire, et avec une complexité pourrie ^^

Le 14/12/2022 à 13h 57

L’information en clair ne le reste pas, et si elle est altérée il y en a une trace pour l’utilisateur final (il n’arrive pas à se connecter avec le code temporaire).

Typiquement, un mail dans lequel un mot de passe est en clair (sans obligation de changer ce mot de passe à la connexion suivante) peut n’être jamais changé par l’utilisateur. Si sa boîte est piratée, ce mot de passe peut être utilisé par les pirates tant qu’il n’est pas changé (et l’utilisateur peut ne jamais réaliser qu’il y a exploitation de l’accès à son compte).
Dans le cas d’un code temporaire, si l’utilisateur ne se connecte jamais, le code finira par ne plus être actif (au bous d’un mois, une semaine, un jour…) et s’il se connecte il devra en changer. En cas d’attaque de la boîte mail, le code obtenu par les pirates ne fonctionnera plus même s’il est en clair.
Et si la boîte est piratée avant la première connexion et qu’un pirate utilise le code pour se connecter (et, donc, effectue un changement de mot de passe), l’utilisateur final saura qu’il y a eu une connexion intrusive parce qu’il ne pourra pas se connecter lui-même avec ce code.

C’est d’ailleurs la différence entre un mot de passe pour se connecter (pour “passer” la phase d’authentification) et un code temporaire qui sert à choisir un mot de passe.

Et, bien sûr, le code temporaire (et, a fortiori, les mots de passes une fois changés) doivent être chiffrés du côté du fournisseur de service en cas d’attaque ou de fuite de données (parce que pour le coup ça ne concernerait pas qu’un seul compte, mais potentiellement tous les utilisateurs de ces services).

Le 14/12/2022 à 11h 15

(quote:2109276:127.0.0.1)
et Ils auraient préférés qu’il soit chiffré comment dans le courrier ? Vigenère ? Enigma ?

Transmettre un code temporaire (complexe) qui ne permet que la première connexion et au cours de laquelle on doit choisir un mot de passe fort, par exemple ?

Le 14/12/2022 à 13h 45

Tout à fait d’accord/

Ceux qui pensent que Scratch est du no-code se trompent : on écrit clairement des algos dans un paradigme impératif. C’est juste que l’interface de saisie n’est pas le clavier mais la souris. Mais il faut maîtriser les structures de développement bien au-delà que le simple design d’un diagramme.

De façon générale, même les outils de RAD comme on a pu avoir (de VB6 au Delphi en passant par tous ces outils très à la mode entre la fin des années 90 et le début des années 2000) ne sont que des outils facilitateurs permettant de s’affranchir de tâches pénibles, dans la continuité des éditeurs de ressources qu’on avait dans les suites de développement de Borland dès le début des années 90, mais aussi déjà bien avant avec INTERFACE, l’éditeur de fichiers RSC sur Atari - et on avait l’équivalent sur les autres plateformes). On nous a aussi vendu la même chose côté bases de données (Access est ce qui est le plus connu pour le grand public, mais on a aussi Forms & Reports chez Oracle, etc.).

Enfin, même les outils qui se targuent de permettre de concevoir des applications avec des workflows complexes (comme par exemple ProcessMaker) ou les outils d’ETL comme Talend nécessitent à un moment donné de mettre les mains dans le cambouis en rédigeant des portions de code dès qu’on a besoin de faire du traitement de données un peu spécifique, qu’on doit utiliser une API ou un service distant exotique [et l’exotique est plus commun que le générique]).

Le souci de ces “monstres” est qu’ils finissent par manquer de souplesse et que dès qu’on doit faire face à une situation un peu complexe, il faut soit faire rentrer la réalité dans le cadre contraint par la techno, soit avoir des contorsions de la réalité en-dehors de l’application. À tel point que je connais plus d’une application qui, après avoir cherché pendant des années à entrer (en vain) dans un moule proposé par un environnement (SAP pour ne pas le nommer), ont fini par jeter l’éponge et fait le choix de solutions ad hoc plus adaptées à leurs besoins.

Le 14/12/2022 à 11h 11

Bon ben quand je renouvellerai, je jouerai du curseur pour donner un peu plus par mois :) Parce que vous restez quand-même à mes yeux une des (la ?) meilleures sources d’information au niveau NT, avec un excellent équilibre analyse technique/politique/légale, mais aussi avec une veille scientifique généraliste très appréciable.

Le 07/12/2022 à 15h 50

(reply:2109006:dvr-x)
Plutôt que 99% de l’offre, j’aurais dû parler de 99% des volumes, j’admets.

Quand on travaille dans la recherche, on apprend vite que tout peut être critique en terme de données exploitable. Ce n’est pas la donnée singulière qui importe, c’est la masse de données et ses traitements & recoupements qui vont lui donner de la valeur. Plus il y a de donnée, plus elle va permettre de créer des profils (exploités par les États, les data brokers, les cibleurs, les démarcheurs, etc.). Jusqu’à la fuite et la revente de ces données pour de l’usurpation d’identité, et j’en passe.

Le 07/12/2022 à 10h 39

(quote:2108846:dvr-x)

Le CLOUD Act touche tous les clouds dont la société-mère est aux USA, même si les serveurs sont en France. Autant dire que vu l’état du “cloud souverain” à l’heure actuelle, nous sommes toustes concerné⋅e⋅s par le CLOUD Act vu que 99% des services proposés le sont par des entreprises US (Amazon, Microsoft, Apple…).

Et c’est bien pour ça que je parle de “demain” : on n’est jamais à l’abri de découvrir du jour au lendemain une faiblesse dans un algo de chiffrement qui mette à mal toute la chaîne de sécurité. Et ce qui est vrai aujourd’hui n’est pas garanti demain. On sait par exemple depuis les affaires sorties sur la NSA que les services de renseignement moissonnent des données chiffrées en très grande quantité pour pouvoir les déchiffrer “un jour” (d’ailleurs, les ordinateurs quantiques sont aussi regardés de très près par les services de renseignement pour leur capacité théorique à remettre à plat tous les mécanismes de chiffrement).

Et retirer les données n’est pas une solution : une fois qu’on a confié nos données à un tiers, rien ne garantit qu’elles ne soient pas stockées (chez ce tiers ou chez un service de renseignement habilité à aller farfouiller chez ce tiers).

Le 06/12/2022 à 13h 56

(quote:2108703:dvr-x)
J’ai du mal à voir le réel intérêt vis à vis d’un cloud FR chiffré qui n’a pas plus accès à tes données, si ce n’est le prix, et ca reste à voir pour le coup.

S’il n’y a pas la même sécurité quant à la disponibilité des données, une telle solution a un réel intérêt quant à la confidentialité de celles-ci quand on la compare à un cloud chiffré.

En effet, la sécurité d’une donnée chiffrée n’est pas garantie dans le temps : mécanisme de chiffrement qui peut être cassé à un instant t+1, puissance de calcul des ordinateurs qui réduit le temps de calcul pour déchiffrer en brute force ou assimilé… une donnée chiffrée aujourd’hui doit être à considérer comme non chiffrée lorsqu’analysée dans une poignée d’années. Or, dans le cas d’un cloud, une entreprise donnée (et, donc, avec le CLOUD Act, les services de renseignement US) ont accès à toutes les données de façon complète, avec l’opportunité de casser le chiffrement à moyen ou long terme.
Dans le cas d’un stockage distribué, personne (sauf le propriétaire desdites données qui peut les récupérer localement) n’a accès en un instant donné à l’intégralité des données. Donc même s’il devient possible de déchiffrer des paquets, ça risque d’être insuffisant pour faire de l’analyse/exploitation de données.

Le souci est qu’on a un risque d’accès aux données en cas d’indisponibilité d’une partie critique non accessible (clients distribués non joignables car éteints, interruption au niveau d’un backbone…), donc ça reste à mes yeux une solution à n’envisager que pour de la sauvegarde distribuée supplémentaire (par exemple : j’ai des données locales, une sauvegarde sur mon NAS, et je me permets du coup une réplication sur Hive en supplément).

Le 22/11/2022 à 16h 18

J’avais fait partie d’un groupe de travail autour de fédérations d’identité (et donc entre autre de France Connect) où un des membres de leur équipe était venu nous le présenter (quelques mois avant sa première ouverture au public) et avait lui-même évoqué ce point.

J’ai trouvé peu de références à cette information sur la toile, hors ça : https://publimath.univ-irem.fr/glossaire/NU010.htm
(sachant que la problématique des 100 ans n’est probablement que marginale dans les doublons vu que, normalement, c’est pris en compte dans la délivrance du NIR).

Le 22/11/2022 à 13h 43

Ça apporte un moyen de plus de s’identifier, par exemple pour les personnes qui n’ont pas encore de compte aux impôts ou à Ameli (en particulier tous les étudiants encore couverts par la sécu de leurs parents), puisque ce sont les deux plus gros fournisseurs d’identité pour France Connect.

(Sachant en outre que France Connect a un problème inhérent à sa conception : il n’est pas possible de l’utiliser pour les quelques 400 personnes en France qui ont un numéro INSEE (numéro de Sécu) ayant un doublon… c’est un vrai problème à l’heure où de plus en plus de services ne sont accessibles que via des plateformes numériques)

Le 22/11/2022 à 08h 05

Ca apporte un moyen supplémentaire de s’identifier via France Connect. France Connect n’est qu’en mécanisme de fédération d’identité, qui va utiliser d’autres services (celui les impôts, celui de la Poste…) pour confirmer l’identité d’une personne dans sa connexion à des services tiers (gouvernementaux ou pas).
À savoir qu’à une époque (je ne sais pas où ça en est dans les tuyaux), il était prévu d’élargir les fournisseurs d’identités à d’autres structures (comme les universités), avec différents niveaux de confirmation d’identité, permettant de se connecter à des services nécessitant un degré de fiabilité plus ou moins important.
Par exemple :

• besoin d’être certain que la personne est la personne : utilisation obligatoire du service d’identification des Impôts (ou d’un service équivalent)


• besoin moins critique : possibilité d’utiliser un service tel qu’un IdP d’une université ou de la fédération Enseignement Supérieur/Recherche

Ça avait pas mal inquiété les universités, à l’époque, parce que ce n’est pas du tout la même chose de prendre la responsabilité d’une usurpation d’identité pour des ressources propres, et de prendre la même responsabilité pour des ressources bien plus critiques. Mais ça semble ne pas avoir abouti (pour l’instant en tout cas).

Le 24/05/2022 à 09h 40

SomeDudeOnTheInternet a dit:

“que ce genre de contenu répréhensible n’intéresse pas” c’est très vite dit. Pas mal d’artistes Rule34 font des ‘oeuvres’ graphiquement explicites sur des personnages qui sont mineurs. Ce qui est de la pédopornographie selon la loi.

Après, c’est bien sûr très différent d’une vidéo filmée, mais légalement ça reste interdit.

C’est plus complexe que ça, en fait. Il s’agit d’une évolution dans la jurisprudence française quant au terme “représentation” utilisé dans la loi (Article 227-23 du code pénal). Pendant des années, le mot “représentation” n’a été utilisé que pour désigner la représentation d’un enfant réel ; autour de 2010, une interprétation plus large a été choisie dans les jugements prononcés, où il n’y avait pas besoin que les enfants soient fictionnels ou réels pour qu’il y ait un blocage ou une condamnation (les premiers à en avoir fait les frais sont les imageboards d’anime/hentai).
Tant que la loi ne sera pas réécrite pour être clarifiée à ce niveau, il restera un flou sur le sujet. Par exemple, les expositions de l’artiste Stu Mead sont autorisées, alors que les mangas japonais ne le sont pas. Autre problème soulevé par cette situation : va-t-on avoir un décalage plus large qui englobera les textes fictionnels, dans la mesure où on peut aussi estimer qu’il s’agit d’une “représentation” ? (auquel cas il faudra interdire Sade, Robbe-Grillet, Pierre Louÿs et bien d’autres)

Le 27/04/2022 à 13h 25

Entre les applications préinstallées et les “suggestions” qui apparaissent dans le menu démarrer, c’est très pénible.
Et même ShutUp10, qui est très efficace, ne résiste pas aux mises à jour Windows qui remettent certains paramètres par défaut…

Le 26/03/2022 à 11h 24

En théorie, oui, en pratique c’est compliqué surtout avec le concept d’« établissement-composante » arrivé avec les Grands Établissements (où il y a mutualisation de moyens, mais autonomie administrative, politique et financière).
D’autant plus quand ça se passe dans un concept de confinement où tout doit être basculé du jour au lendemain, il ne faut pas oublier que les décrets d’application arrivaient sans préparation, toujours différents…

Le 23/03/2022 à 16h 24

deathscythe0666 a dit:

Le problème du chevauchement des cours, c’est un problème d’organisation, ça se résout aussi.
Étant donné que les composantes ou établissements-composantes sont autonomes dans leur organisation, pour le coup pas vraiment quand il y en a quasi 20…

Le 23/03/2022 à 09h 01

Non, depuis la version du CLOUD Act visée par Trump, même si les serveurs sont situés en UE, ça ne garantit rien.
La seule solution alternative, c’est qu’une entreprise de l’UE mette en place la solution logicielle et matérielle de l’entreprise US, sous couvert d’un contrat commercial d’exclusivité. C’est comme ça que Microsoft a fait en Chine pour ses solutions Azure, par exemple.

Je ne comprends pas la réponse à mon message qui n’était pas à propos de BBB mais du service https://webinaire.numerique.gouv.fr/home (bien que basé sur BBB), puisqu’on parlait de mutualisation des efforts.

Et “Ça s’installe en local, ça s’intègre à Moodle, ça marche comme il faut dans un navigateur, c’est pas la m… sous linux, bref, c’est largement plus intéressant que Teams et consorts.” oui, mais pour une université de 50000 étudiants, il faut l’infrastructure pour quasi autant de connexions simultanées, puisque c’est ce qui a été vécu lors des confinements (même si tous les étudiants n’ont pas cours en même temps, en pratique avec le jeu des chevauchements inter-cours, on arrive même à plus d’une connexion par étudiant).
Ça ne pose pas de souci hors période de pandémie, mais le souci est là : les confinements ont poussé les universités (et le CNRS) à faire des choix dans l’urgence qui sont devenus pérennes. Et je suis le premier à le regretter, hein, je ne fais que constater.

Le 22/03/2022 à 15h 57

Gobelune a dit:

Quel est l’intérêt par rapport à https://webinaire.numerique.gouv.fr/home qui repose sur BigBlueButton ?

J’ai l’impression que, comme d’habitude, chacun essaye de réinventer la roue, en gâchant quelques millions au passage, pour un résultat décevant.

Ben disons qu’une capacité max de 30000 participants, c’est très bien pour des réunions entre administratifs, mais ça ne répond clairement pas aux besoins liés à la pédagogie et à l’enseignement à distance.

Sinon, je ne suis pas vraiment d’accord en ce que la multiplicité des solutions “gâche” quoi que ce soit, en tout cas dans l’écosystème actuel. Je trouve plutôt sain qu’il y ait des solutions différentes et complémentaires (qui permettent une forme de résilience si une des infrastructures est off), avec des technologies sous-jacentes différentes aussi (ce qui évite les problèmes s’il faut faire tomber un service en urgence suite à la découverte d’une faille de sécurité sur une techno).

Oui, Renater a monté les capacités de Rendez-vous, mais pour la partie recherche/administratifs uniquement. Leur communication a été très claire : ni Rendez-vous ni Renavisio ne devaient être utilisés pour l’enseignement à distance, mais uniquement pour les téléréunions (Rendez-vous était à l’époque conseillé pour des réunions avec “au maximum 4 à 5 personnes” puis c’est passé à 30 quelques l’été 2020 ; Renavisio nécessite le client Scopia totalement foutraque, qui n’a que peu de résilience aux perturbations, et qui n’est pas non plus adapté à un cadre de téléenseignement).

Un des principaux soucis, c’est que les universités ont toutes pris en urgence des abonnements avec des prestataires tiers, dont la maison-mère est aux USA (Cisco, Zoom [qui se traîne en plus son affaire de lien douteux avec la Chine], Microsoft, Avaya/Scopia…), donc soumise au CLOUDAct et son incompatibilité au RGPD. StarLeaf s’en sort parce qu’au Royaume Uni.
Si certaines de ces compagnies proposent des appliances qui peuvent servir de hub pour des visios, la plupart des universités ont fait le choix, pour la partie téléenseignement, de passer par les infrastructures de ces entreprises.

Il y a bien d’autres solutions qui ont été mises en place, mais plus pour de la mise à disposition de cours filmés ou pour du streaming (sans interactions), comme Esup-Pod (qui permet de faire du RTSP).

Le 21/03/2022 à 17h 06

Renater propose déjà deux outils, basés sur une solutions commerciales (Scopia pour RenaVisio) ou libres (Jitsi pour Rendez-Vous).
L’inconvénient, c’est que les infrastructures derrière ne sont pas prévues pour des connexions en masse. Au début du premier confinement, les établissements de l’ESR ont commencé à les utiliser de façon intense et il leur a été rappelé que ces outils étaient avant tout pour organiser des visios pour l’administration ou la recherche mais pas l’enseignement.
En plus, Jitsi “out-of-the-box” n’est pas idéal pour les connexions en masse (on peut se retrouver avec des participants qui reçoivent les paquets avec plusieurs dizaines de minutes sur les autres… Pour du broadcasting, ça n’est pas grave, mais pour un cours qui nécessite des échanges, c’est pour le moins délicat… donc qu’il y ait des développements complémentaires, ça semble pertinent.

Du coup, ça ne paraît pas aberrant de s’appuyer sur FUN qui a l’habitude des infrastructures dimensionnées pour l’enseignement.

Le 10/03/2022 à 15h 41

C’est “amusant” ce maillage en Allemagne… est-il vraiment pertinent, vu le peu (trois) de centrales nucléaires outre-Rhin ? Si un nuage arrive par une frontière extérieure, pas besoin d’une telle densité pour l’évaluer : la progression peut être mesurée avec moins de capteurs, et les mesures sanitaires seront de toutes façons prises avec une granularité plus importante que celle du maillage… D’autant que même qu’à l’époque où il y avait beaucoup de réacteurs (avant 2011) ceux-ci étaient essentiellement situés sir le territoire correspondant à l’ex-Allemagne de l’Ouest, certainement pas sur tout le territoire.

À moins qu’il n’y ait derrière ça un travail de recherche et de statistique plus large, destiné à faire de l’analyse sur la radioactivité naturelle et sur les flux de radioactivité en cas d’incident (mais on est au-delà du simple exercice de surveillance).

Enfin, voilà, je trouve ça juste “amusant” ^^

Le 17/02/2022 à 10h 18

C’est un serpent de mer qui est apparu avec la LCEN, puis qui a perduré au travers de la LOPSI et de la LOPPSI et qui pose d’un côté un problème sociétal et, d’un autre, un problème légal aux entreprises et tiers tenus de conserver les données en question (concrètement, aujourd’hui, il peut leur être reproché soit de ne pas respecter le droit français, soit de ne pas respecter les décisions de la CJUE, mais ils ne peuvent pas être gagnants - même s’il vaut mieux qu’ils respectent la loi française pour pouvoir ensuite se réfugier derrière la bonne foi).
On est quand-même un des états occidentaux les moins libertaires à ce niveau (et encore, maintenant c’est un an ; il a été question à plusieurs reprises que ce soit prolongé jusqu’à trois ans).

Le 11/02/2022 à 08h 03

SuperMot a dit:

Pas vraiment, Pluto une perte de revenue, car ils risquent de ne plus pouvoir exploité tes infos pour faire de la pub ciblée.

Le plus simple ça serait de créer un “google” européen qui ne communique pas avec l’extérieur, mais qui marche tout pareil.

En gros dans le genre de ce que fait MS avec Azure en chine (21Vianet)… ça créerait plein d’emploi en Europe (si c’est rentable)

Ce serait nécessaire, mais non suffisant. En fait, si Google (et toute entreprise US, ou ayant sa maison-mère aux USA) se conforme à la loi US et au CLOUD Act, ils ne peuvent être conforme au RGPD, c’est juste impossible de fait. Même si les données sont stockées en UE. Même si les serveurs appartiennent à un tiers, si c’est Microsoft qui opère, dessus, ça ne change rien.
(Après, il faudrait voir exactement quel est le montagne technique pour MS/21Vianet ; si Microsoft ne possède rien et que 21Vianet a acheté les solutions Azure pour les déployer sur ses serveurs, alors ce serait faisable, mais dans une telle situation ce n’est plus du cloud Microsoft mais du cloud 21Vianet sur techno MS, ce qui est quand-même radicalement différent sur le plan économique pour eux).

Le droit US a cette spécificité qu’il se permet une dimension extraterritoriale (c’était le cas pour la question des impôts, c’est devenu le cas pour le terrorisme et le financement - même supposé - de celui-ci, c’est le cas pour le numérique depuis le CLOUD Act).
Quand on voit ce que ça a impliqué dans le cas de la “lutte contre le terrorisme”, on voit bien tout ça n’est en réalité qu’une façon d’avoir la mainmise sur l’industrie et l’économie à un niveau mondial.
Factuellement, on ne devrait utiliser aucun service US pour des traitements (au sens le plus large de l’acception “traitement) mettant en œuvre des données personnelles (au sens le plus large de “donnée personnelle”).

Le 12/01/2022 à 13h 28

Surtout, comment ils font pour être en règle avec le RGPD en utilisant des services Google pour le stockage des données vu qu’à l’heure actuelle il n’y a toujours pas d’accords possibles depuis la révision du CLOUD Act ?
La Norvège n’est pas dans l’UE, mais vu qu’ils ont des hôtels dans toute la Scandinavie, ça me paraît être légalement délicat.

Le 10/12/2021 à 09h 41

Sylan a dit:

A partir du moment où on parle de mineurs, tu ne peux pas dire “de leur plein gré” comme si c’était des adultes.

Mais, d’un autre côté, on a tellement abîmé l’ordonnance de 45 au fil des législatures et des présidences qu’on estime qu’un mineur est responsable pénalement de plus en plus tôt, avec des peines de détention (en EPM, ou en quartiers mineurs dans des établissements pénitentiaires classiques) dès 13 ans.

Il y a donc une forme d’aberration dans un sens ou dans l’autre (soit ils sont responsables et la société doit l’accepter et l’assumer - et les adolescents doivent en être conscients), soit ils ne le sont pas et, à ce moment là ils doivent systématiquement être écartés des circuits pénaux et correctionnels (et ne devraient pas avoir de casier judiciaire avant leur majorité).

Les deux solutions sont possibles, et sont des choix de société fondamentalement différents (mais, au moins, cohérents). À l’heure actuelle, cet entre deux n’a pas vraiment de sens (ah, si, il est le symptôme de lois électoralistes et d’une propension à l’incarcération comme “solution”).

Le 05/11/2021 à 11h 10

(quote:1911539:Trit’)
Les applications doivent être signées pour confirmer leur authenticité et prouver qu’elles ne sont pas vérolées. Bon, ça vaut ce que ça vaut (comme le HTTPS ne garantit pas en soi que le site est bien celui qu’on désire), mais c’est déjà mieux que rien.

Bof, personnellement, je ne trouve pas qu’il s’agisse d’une raison suffisante. Ça peut se justifier lorsque l’application est à distance et, donc, qu’il faut vérifier à la connexion que celle-ci soit la bonne, mais là l’application est hébergée localement. S’il y a besoin d’un certificat, c’est à l’installation ou à la mise à jour, afin d’accorder sa légitimité au fournisseur de celle-ci, mais pas à l’utilisation.
Et si l’argument est “oui mais il ne faudrait pas que l’application ait été modifiée depuis son installation”, il y a bien d’autres mécanismes (contrôle en temps réel de la modification des applications, vérification régulière d’une somme de contrôle, etc.).

Là, ça laisse entendre qu’on va vers un écosystème de moins en moins adapté à des fonctionnements hors-ligne, et de plus-en plus liés à des infrastructures dont la durée de vie est limitée. Outre les problèmes au quotidien, ça pose bien évidemment la question de la capacité à l’avenir à avoir des témoignages numériques utilisables.

Le 02/11/2021 à 16h 42

Merci pour l’article, bien pratique ; après, c’est dommage (mais en même temps, ça déborde un peu du sujet, et ça devient très vite très technique) de ne pas avoir des pistes pour aborder ce qui est (à mon avis) le plus intéressant et critique : le démarrage de ressources au login en passant les informations d’authentification via PAM. Il y a moyen de faire des choses très puissantes par ce biais (une authentification automatique à un VPN d’entreprise si l’adresse IP ne correspond pas à une adresse interne de la boîte, en faisant passer le mot de passe de session au script de connexion VPN, par exemple, ce qui permet ensuite de monter automagiquement des volumes partagés via le VPN et une authentification Samba ou Kerberos - toujours via PAM).

Bref, je fais mon gnan gnan, mais je mets ce tuto en favoris :3

Le 12/10/2021 à 20h 23

OB a dit:

C’est un choix éducatif que j’entends, mais que je n’appliquerais jamais chez moi. Pas question que mes enfants aient, vis à vis de moi, un ressenti panoptique avec le sentiment flou que “papa peu regarder tout ce que je fais à tout moment”. Je ne l’aurais pas supporté, alors je ne l’imposerais pas à autrui, fut-il mes enfants. Je préfère encore avoir à gérer l’aftermath d’une découverte impromptue et malaisante, qu’ils finirons de toute façon par faire un jour.

C’est loin d’être la solution que je préfère, mais c’est une solution que j’estime raisonnable vu leur âge (10 et 12). La situation évoluera progressivement avec le temps et leur maturité face aux dangers d’Internet. Cela dit, le deal a été très clair dès le début pour le grand (le second n’a pas encore d’ordinateur pour lui, il utilise donc celui qui est dans le séjour) : il pouvait avoir un ordinateur dans sa chambre (ce qui est devenu nécessaire avec les cours en visio d’un côté et la sur utilisation des ENT par les enseignants), à cette condition. Et vu qu’il y a déjà eu une affaire (assez grave) de cyberhacèlement dans sa classe l’an dernier, il a admis que c’était peut-être plus raisonnable pour l’instant. Je pense changer de façon de faire d’ici un ou deux ans, en fonction de la confiance qui se sera établie, avec un accès teamviewer où il doit accepter ma demande pour que je me connecte, par exemple.

Cette solution semble pratique, mais à qui fais tu confiance pour les listes ?

OpenDNS dans un cas, Google pour l’autre. Par mon métier, je sais qu’il est impossible de mettre à jour soi-même les listes, et que les listes collaboratives proposées par Toulouse 1 que j’ai longtemps utilisées dans le cadre pro (https://dsi.ut-capitole.fr/blacklists/) ne sont pas suffisamment exhaustives du tout (en quelques essais, j’avais trouvé un site porno gonzo depuis une recherche Google qui n’était pas présent dans la liste afférente). C’est aussi parce qu’avoir un Squid/squidguard est moins pratique à gérer que juste un changement de DNS (pour la solution OpenDNS ; pour la solution Android, c’est de toutes façons beaucoup plus limité). Mettre en place un proxy local implique d’avoir un goulot d’étranglement dans son réseau, de risquer de passer à travers (même avec un proxy transparent), etc. Ça permet par contre, si on prend le temps de faire les choses vraiment proprement, d’associer les autorisations du proxy avec le compte Windows (par exemple via NTLM, Kerberos ou une authentification SMB) donc de ne pas avoir une machine bloquée sur un profil enfant quelle que soit la session ouverte.
Mais, très sincèrement, quand je rentre du boulot j’ai pas envie de faire des heures sup pour ça, et il n’empêche que ça n’est pas une solution valable pour monsieur et madame Toulemonde :/

Le 12/10/2021 à 14h 59

carbier a dit:

Facilement contournable tu dis ? Quid de la connexion directe en 4G et/ou du partage de connexion 4G ?

C’est un réel souci, mais qui vient avec des solutions assez efficaces (mais qui ne sont pas exemptes de problèmes, d’un autre genre.
L’utilisation de Google Family Link ou de son équivalent chez Apple permet un filtrage plutôt efficace. Le problème c’est que c’est Google/Apple, et qu’aucune autre solution n’est totalement efficace sans rooter le téléphone (typiquement, utiliser OpenDSN Family Shield n’est pas possible directement, alors qu’il s’agit probablement de la solution la plus simple, rapide, et sans lien avec les GAFAM).

Personnellement, j’ai fait ce choix pour mon jeune ado et mon préado (Family Link sur le smartphone, OpenDSN Family Shield sur les ordinateurs). Ce qui n’empêche pas, en plus, un contrôle supplémentaire (ils savent qu’il y a un teamviewer sur leurs terminaux et que je peux m’y connecter une demie-seconde pour m’assurer qu’il n’y a pas d’excès. Ça va aussi avec une sensibilisation aux risques d’Internet, au fait qu’il vaut mieux nous parler dès qu’ils rencontrent un truc problématique, qu’on n’ouvre pas n’importe quel lien, etc.

Le 07/10/2021 à 17h 19

Krystanos a dit:

Je suis d’accord avec tout ce que tu as dit, mais non, on ne peut pas voler une main, ou un œil. Ça c’est dans les films

Le plus important étant : on ne peut pas changer son empreinte biométrique. Alors que son mot de passe, si. Même volé, tu peux empêcher un accès si tu le change à temps.

Le fait de voler un œil ou une main est (heureusement) très rare mais c’est un risque qui est pris en compte très sérieusement au moment du choix de la sécurisation d’un accès (par exemple, cet exemple est plutôt connu : https://www.lecho.be/newsletters/algemeen-2/pas-de-scanner-d-empreintes-digitales-par-peur-d-amputation/3363271.html ). Après, les technologies évoluent et rendent ce risque limité (au lieu de l’empreinte palmaire, on prend l’empreinte veineuse, par exemple).
Cela dit, recopier une empreinte digitale n’est pas l’apanage des films, et il n’en faut pas beaucoup : https://www.lemondeinformatique.fr/actualites/lire-un-hacker-parvient-a-reproduire-des-empreintes-digitales-a-partir-de-photos-59753.html ; c’est d’ailleurs un des arguments d’AVG qui recommande de ne pas utiliser ce biais pour verrouiller son téléphone ( https://www.avg.com/fr/signal/3-reasons-to-never-use-fingerprint-locks ).

(Bon, après, j’ai l’impression qu’on est d’accord sur le constat, je voulais juste clarifier les points :) )

Le 07/10/2021 à 17h 11

SIaelrod a dit:

Relis ma réponse plus haut deja repondu a ca
Oui mais je ne suis pas vraiment d’accord avec cette réponse… Effectivement, l’empreinte n’est pas la clé, mais ça ne change rien : si l’empreinte n’est pas révocable et qu’elle permet d’accéder à la clé qui, elle, est révocable, alors c’est comme si la clé était irrévocable.
C’est exactement comme mettre une clé dans un coffre dont le code ne peut jamais être changé. Même si on change la serrure et la clé, une fois qu’on connaît le code du coffre, c’est fini. Comme on dit, la sécurité d’une chaîne de sécurité est égale à celle de l’élément de plus faible de celle-ci.

Le 06/10/2021 à 12h 41

SIaelrod a dit:

Pas vraiment car le password less de microsoft utilise les fonctionnalité biométrique du smartphone (et ubikey a annoncé ces prochaines clef avec un capteur biométrique, on rendre de nouveau dans les clous : ce que l’on connais (l’email pour se connecté), ce que l’ont possède (le smartphone ou la clef), ce que l’ont est (emprunte, detection faciale).
Je suis toujours très gêné par ces réductions (dont je comprends la logique, mais pas les limites) :

• Ce que l’on connaît n’est pas secret (rien n’est moins secret qu’un e-mail), donc ça n’a pas lieu d’être


• Ce que l’on possède peut être volé plus facilement qu’un mot de passe et on peut mettre du temps à s’en rendre compte (même si, pour le coup, ça dépend des situations : si le mot de passe est volé suite à une attaque d’un pirate, on n’en a pas connaissance ; alors que si c’est volé par coercition, on sait quand ça été volé)


• Ce que l’on est, c’est ce qui me pose le plus souci, au final. La biométrie est, pour moi, la pire des façons de contrôler un accès, pour deux raisons. La première, c’est qu’une fois que l’information a pu être dupliquée (fausses empreinte digitales, tromperie du matériel au niveau de la détection…), on ne peut pas changer ce que l’on est. La seconde, c’est qu’un mot de passe, pour le récupérer, il faut soit le voler, soit forcer l’utilisateur à le donner : dans les deux éventualités, il n’y a pas d’agression physique (ou alors c’est l’utilisateur qui décide à quel moment il craque). Pour une identification biométrique, en particulier pour un accès très sensible, pour récupérer le mode d’accès, la solution la plus facile pour le pirate, c’est l’altération physique (couper une main, récupérer un œil…). Or personne ne veut ça.

Ce sont des paramètres à prendre en compte impérativement quand on met en place une solution d’authentification. Le plus simple est de réduire “ce que l’on est” à l’identifiant (c’est faible, c’est sûr, mais moins risqué pour l’individu, et ça peut être modifié le cas échéant), ce que l’on sait à un mot de passe, ce que l’ont a à un outil d’OTP. L’avantage de ce système est qu’on peut l’adapter à tout mécanisme déjà existant de user/pass, avec un pass qui est l’agrégation du mot de passe fixe + de l’information de l’OTP.

Le 04/10/2021 à 00h 55

marba a dit:

wat

Oui, Ubuntu était initialement basé sur Debian, et fonctionnait avec les dépôts Debian unstable (et, donc, des .deb avec apt).
Debian a perdu des parts de marché non seulement sur le desktop (où il n’a jamais été bon, sauf pour les linuxiens premiers) mais aussi sur le serveur où Ubuntu Server s’est beaucoup développé.

Le 29/09/2021 à 07h 25

Ah ben quand je devrai changer de mini-PC, il ne faudra pas que j’oublie qu’ils existent !

Le 22/09/2021 à 07h 08

fredbezies a dit:

Hyper-légère ? Nous n’avons pas la même définition de la légereté alors. Les gros points faibles d’Antergos ?
Après vérification, j’ai confondu avec Archbang, toutes mes confuses ! (Antergos étant sous Gnome par défaut, jamais je ne me serais amusé à installer un tel truc aussi lourd… Archbang c’est sous Openbox, parfait pour une petite configuration - mais un peu pénible à configurer pour son usage au début).

Le 21/09/2021 à 14h 25

(Bon, vu l’état de support de Wayland par XFCE, je ne vais pas y passer encore tout de suite…)

Le 21/09/2021 à 14h 11

J’ai essayé Wayland (il y a quelques années, j’admets). Virtualbox n’arrivait pas à gérer l’affichage des VM lancées depuis Wayland de façon correcte, je suis revenu en arrière (et il y a[vait ?] aussi beaucoup de problèmes pour l’utilisation de Wayland dans les VM elles-mêmes).
J’ai conscience que ça a forcément dû évoluer (j’espère !), et qu’il va falloir que je fasse la transition…

Le 21/09/2021 à 13h 25

(quote:1901137:Trit’)
Ils en ont refait un, cette année. Mais il est TRÈS améliorable…
Ah, bon à savoir, merci !

(quote:1901137:Trit’)
Pas vraiment, si je me rappelle bien d’elle et son gestionnaire de connexion LightDM basé sur WebKit et non GTK, qui était au contraire bien lourdingue… Confondrais-tu avec Anarchy ?
Je n’utilise pas de gestionnaire de connexion, je me connecte toujours en mode console puis je lance x manuellement (à cause de problèmes récurrents sur ma première Arch ; j’avais alors une carte graphique Nvidia, et ça pouvait être l’enfer d’une mise à jour à l’autre, avec la nécessité de passer tantôt aux pilotes libres, tantôt aux pilotes officiels). Du coup j’étais probablement passé à côté de ce problème ^^

Le 21/09/2021 à 13h 15

Antergos c’était vraiment chouette comme distrib basée sur Arch et hyper légère…

Le 21/09/2021 à 13h 04

Je suis d’accord sur le principe, mais il y a quand-même des choses assez pénibles à faire et qui nécessitent d’avoir un ordinateur à côté de l’ordinateur qu’on installe, justement pour lire le Wiki (en allant à la pêche sur la version francophone, la version anglophone, ou parfois même sur les bugtrackers correspondants à certains paquets [coucou networkmanager-vpnc complètement pété]) .
Si j’installais des Arch tous les jours, je n’aurais pas ce souci, j’en conviens. Mais, comme indiqué, j’en installe un tous les 10 ans (preuve de la robustesse du truc, quand-même). On peut m’objecter que passer plusieurs jours tous les 10 ans pour avoir une configuration vraiment conforme à ce qu’on attend, c’est gérable, mais mon employeur n’est pas d’accord ^^

En l’occurrence, lorsque je parlais d’utiliser EndeavourOS pour aller plus vite, c’est quand je dois déployer rapidement une VM pour tester un truc ou l’autre. Actuellement, j’utilise Manjaro, mais c’est largement trop lourd pour mes usages dans ces cas…

Et je suis à la fois d’accord et pas d’accord sur le fait que Manjaro/EndeavourOS sont différents d’Arch au niveau philosophie. Effectivement, ça peut l’être si on considère que côté “fait main” vs “tout automatisé”, mais si on considère le côté rolling release, c’est la même philosophie (et, sincèrement, je ne comprends pas qu’on puisse vivre sous Linux hors rolling releases… c’est tellement plus agréable !).
Dernier petit point : il y a 10-11 ans, lorsque j’ai installé mon premier Arch, il y avait un installeur (en ligne de commande) pour automatiser tout un tas de petites choses. Cet installeur n’est plus maintenu ; mais ça veut dire que même Arch proposait un truc pour faciliter des tâches automatisables.

Le 20/09/2021 à 15h 31

Ah, je note, si ça reste basé sur les repos de base d’Arch, ça peut être sympa (le démarrage d’Arch de zéro est un peu pénible ; heureusement qu’en mode rolling release on n’a pas à le faire souvent : mon install précédente a duré la vie de l’ordinateur, soit presque 10 ans).

Le 11/08/2021 à 14h 45

Microsoft a été obligé à une époque, à proposer différents navigateurs au moment de l’installation de Windows. Il me semble que la situation est bien pire aujourd’hui sur Android qu’elle l’était alors pour Microsoft, en terme d’abus de position dominante ; je ne comprends pas que les mêmes causes n’entraînent pas les mêmes conséquences.

Le problème de la visibilité et de la promotion de Fx, présent dans de nombreux commentaires, est réel et va avec le fait que Google dispose, de son côté, d’une visibilité et d’une promotion constante. Je doute (malheureusement) que la fondation Mozilla ait les moyens (et la volonté) de se lancer dans un marketing de masse pour toucher les utilisateurs potentiels. C’est triste parce que sans cette nécessaire promotion, le navigateur ne va rester que l’apanage de quelques techniciens (dont je fais partie).

Ce qui est malheureux, c’est que Fx est un excellent navigateur, quel que soit l’environnement dans lequel on est. Je l’ai dans mon environnement Windows, sous Linux, sous Android… et chaque fois que je dois utiliser Chrome ou Chromium pour une raison ou pour une autre (en général pour vérifier le bon fonctionnement d’un développement web), c’est un enfer pour moi (et je trouve aussi triste que Fx s’engage dans sur les pas de l’ergonomie de Chrome :/).

Le 25/07/2021 à 15h 16

Perso, j’ai Arch sur mon poste de travail parce que je voulais un environnement le plus personnalisé possible, mais dès que je dois monter un environnement rapidement (pour recycler un vieil ordi portable ou pour faire une VM “poubelle”), j’opte pour Manjaro. Simple, efficace… un peu de retard au niveau de la livraison des paquets par rapport à Arch, mais ça suffit largement.
Par contre, je trouve pénible le mode de fonctionnement pour les mises à jour du noyau. Sous Arch, l’utilisation d’un méta-paquet permet la mise à jour automatiquement avec pacman, alors qu’avec Manjaro ça n’est pas le cas.

Le 21/07/2021 à 10h 19

Après, tant que les grands fabricants de NAS (comme Synology) ne s’y mettront pas, l’intérêt au niveau domestique va rester relativement faible (les plus gros transferts, dans mon cas, sont entre mes machines et mon NAS pour les synchronisations de fichiers).
La plupart du temps, le goulot d’étranglement est la Box pour aller sur Internet (je ne connais plus grand monde qui fasse de LAN parties, la plupart des parties en réseaux se font via le net), ou le Wifi pour les personnes qui préfèrent la flexibilité du sans fil…

Le 27/05/2021 à 14h 49

Ayant un DS210j, qui est devenu la sauvegarde déportée d’un DS216+, je ne peux que confirmer ce que dit l’article : les mises à jour sont beaucoup moins fréquentes. Mais le système est aussi beaucoup plus stable, et faire évoluer tout l’écosystème doit être compliqué…
Alors que l’informatique est mon domaine d’activité professionnelle, j’apprécie énormément le fait d’avoir un système relativement homogène et facile à mettre en place en milieu domestique. Il faut bien admettre que c’est sacrément bien pensé, même s’il pourrait y avoir une meilleure cohésion entre la suite bureautique intégrée et FileStation, par exemple (et même si j’ai arrêté d’utiliser le client de synchronisation de Synology entre le NAS et les postes de travail, qui n’était pas assez fiable ; à la place j’utilise simplement FreeFileSync).

Mais ce qui est certain, c’est qu’autant le DS210j a vite montré ses limites en terme de performances, autant même plusieurs années après, le DS216+ suffit largement à mes besoins (j’ai simplement changé les disques pour passer à 2x8To et m’éviter un crash disque à cause de l’âge)…

Le 01/04/2021 à 08h 30

Les miens ont très vite compris qu’il y avait possibilité de supprimer des éléments de l’historique (c’est même le plus jeune qui l’a découvert, il n’avait que 8 ans >.<). J’ai envisagé la solution de paramétrer un proxy, mais flemme (puis après, c’est l’escalade).
Après, ça ne règle toujours pas la question de l’arrivée un jour d’un smartphone et de la complexité à avoir un contrôle suffisant dessus…