Le 17/03/2023 à 07h 09

(reply:2124702:Babouche kebab)

Je ne sais pas comment éditer mon commentaire, donc j’en rajoute un…

Pas une source, mais j’ai retrouvé une marque qui se vante de faire ça : Nurasound

Le 17/03/2023 à 07h 01

(reply:2124702:Babouche kebab)

Pas de source, désolé, je parle de mémoire, et ça ne concerne pas qu’apple.
L’idée est d’utiliser les micros intégrés pour enregistrer le son alors qu’il est joué et observer la différence. En gros, l’idée est que son enregistré = son joué + modification apportées.

Le 16/03/2023 à 16h 10

Scan du conduit auditif, ça dépend… Scan audio, ça se fait avec les écouteurs.
Cycle menstruel ? Capteur de température sur la montre ? Et/ou autres capteurs.
La pression artérielle est pas encore approuvée par la FDA mais est prise par leurs montres je crois.
Cycle de sommeil => la montre, et même le tel si on veut moins de détails.

Donc en gros, tout ça faisable sans examen et sans la connaissance/acceptation de l’employé.

Le 16/03/2023 à 15h 44

Oups j’avais manqué la 1ère partie de ton précédent poste

Le 15/03/2023 à 12h 04

Pour être plus clair, ma question porte sur Meta uniquement. Google et MS ont des offres relatives aux mails que je connais… Meta, je ne suis pas au courant qu’ils offrent un service de mail (un truc auquel je peux parler en SMTP).

Le 15/03/2023 à 12h 03

Oui mais… Meta a un rapport avec ça ?

Le 14/03/2023 à 18h 31

Ils ont fait un truc en rapport avec les mails ? (ie… SMTP)

Le 14/03/2023 à 18h 29

Je suis pas spécialiste mais…

Si tu as un business qui fait 1 milliard de bénéfices par an, il est rentable. Pas de croissance, pas de décroissance, il reste rentable (je ne dis pas très rentable, il fait peut-être 1G par an avec 1T de capital, soit 0.1%) .
Même si tu passes à 0.5M de bénéfices, ça reste rentable.

Ensuite il faut voir ce qu’on appelle la croissance. Prenons une société qu’on appellera “U Beurre”. Elle emploie des indépendants pour faire du beurre, elle a 90% du marché français. Elle se sépare de tous ses sous-traitants, les remplace par des robots. En passant, des clients mécontents de ce changement décide de se passer de ses services, elle perd 10% du marché. MAIS le remplacement par des robots permet de diviser les coûts par 2. Résultat, le bénéfice croit, pas les ventes… L’entreprise est plus rentable sans croissance du CA. (Et du coup, ses actionnaires se font plus de beurre )

Le 11/03/2023 à 07h 48

Oui mais c’est pas plus antivol que les tags RFID qu’ils collent DANS les produits (bon à l’intérieur de l’emballage).

Le 09/03/2023 à 17h 58

Je n’ai rien lu sur la sécurité, et je rentre toujours avec mon sac à dos à laptop bien rempli. On ne m’a jamais demandé de l’ouvrir.
Je pense que si je mettais un boîte en métal dedans, avec un article à l’intérieur, y’aurait pas d’alarme.
En plus quand on me demande à voir le contenu de mon sac dans un magasin, j’ouvre un poche, je montre le dessus et ils ne veulent pas en voir plus.

Disclaimer : j’habite un pays où il n’y a pas de vigil, je sais que j’en vois un le soir dans une gallerie commerciale, et il est là pour la gallerie entière, pas juste le supermarché.

Le 09/03/2023 à 17h 54

(reply:2123118:Idiogène)
Pas forcément trop besoin de déduction si le robot scanné un article “natation” dans le rayon chasse ;)

Le 07/03/2023 à 17h 03

Les gens chez Décathlon me disaient récemment que l’inventaire est fait tous les soirs. Un robot qui parcourt les allées avec un lecteur RFID.

Le 09/03/2023 à 18h 14

Mon expérience est ancienne, mais j’ai des numéros dans plusieurs pays européens (DE FR IT UK) avec une adresse en France.
Et beaucoup d’opérateurs qui me proposent des numéros du pays de mon choix.

Le 04/03/2023 à 17h 46

Y’a derrière le problème de prouver qu’on savait qu’il y avait contrefaçon. Si Netflix garde un film alors que plus le droit contractuel de le diffuser, et que je le regarde, j’espère ne pas me faire poursuivre.

Le 03/03/2023 à 18h 52

Autre question. J’ai entendu que certains services de générateur (vidéo, image, je ne sais pas) sont payant pour usage commercial.
Partant de cette hypothèse, si je m’en sers pour créer quelque chose à usage non commercial, tout va bien. Si ensuite quelqu’un copie cette création, il se passe quoi ? La personne a juste copié quelque chose qui semble relever du domaine public…

Le 03/03/2023 à 18h 43

Bon ben ça tombe bien. On me disait y’a quelques jours que les éditeurs étaient submergés par des manuscrits générés par ChatGPT et je répondais que j’attendais la plainte pour non respect de la propriété intellectuelle, et que la cour réponde “désolé ce n’est pas une œuvre de l’esprit”. On est pas loin, et aux US.

Après y’a ceux qui sont co-auteurs avec ChatGPT. Ce qui fait que ça devrait tomber sous le régime de “l’œuvre collective”. Si quelqu’un a un avis argumenté sur comment ça pourrait tourner, je suis preneur.

Le 23/02/2023 à 16h 32

“le droit de chacun à « ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (…) l’affectant de manière significative ».”

Donc à partir du moment où un humain participe à la décision (“j’aime pas sa tête”, “j’ai tiré à pile ou face en affectant un poids de 0.01”) c’est pas exclusivement automatisé donc c’est bon ?

Le 17/02/2023 à 18h 02

Le dernier windows dont la recherche fonctionnait correctement chez moi était windows 2000.
Depuis souvent c’est plus facile de trouver un fichier dans la console.

Sinon en gratuit il y a UltraSearch. Il parcours la MFT des partitions NTFS (je ne sais pas s’il supporte d’autres FS) et permet ensuite de trouver tout à peu près instantanément (sans chercher le contenu)

Le 07/02/2023 à 22h 39

Je refais un peu la même réponse, “pourquoi pas” mais donc ici pas de question statistique. Parce que j’aurais tendance à dire que statistiquement quand une population (masculine en l’occurrence) a seulement 2 options car la 3ème lui est fermée du fait de ses résultats, on devrait justement la retrouver sous-représentée (absente dans mon exagération) dans cette option.

Le 07/02/2023 à 22h 34

OK alors ça je peux tout à fait entendre… Mais du coup la raison du choix n’est pas “une simple question de statistiques”.

Le 07/02/2023 à 16h 51

Et après avoir remonté les commentaires, trouvé et lu vite fait l’article, je lis que les filles en 2nd réussissent mieux (que les garçons je suppose) et que ça leur offre plus de choix et qu’il est donc normal qu’elles choisissent moins les filières d’élites. J’en déduis que quand on réussit moins bien on s’oriente vers les trucs les plus durs… Mmm ?

Le 07/02/2023 à 16h 46

Rien lu à part ton commentaire et l’article NXI.
Je ne réagis que sur ce que tu as cité.

Si je comprends bien les filles réussissent mieux en seconde.
Si je généraliseon époque, les meilleurs allaient en filière S. Les autres ES ou L (oui je suis vieux, enfin j’ai eu mon BAC y’a plus de 20 ans).

Donc à mon époque si tu réussissais mieux, tu avais plus de chance de finir en scientifique.
Peut-être les choses ont-elles changé, peut-être que si j’avais lu toute l’étude j’aurais trouvé des informations en plus.

Le 03/02/2023 à 16h 13

Ça n’est pas du deepfake utilisé pour générer un article. Mais si le sujet t’intéresse tu peux jeter un œil à SciGen, pour le plus ancien cas de générateur d’article que je connaisse. Et je crois qu’il y a eu des cas avec GPT3 plus récemment.

Le 01/02/2023 à 16h 05

Pas de capuchon USB pour moi mais un embout pour câble magnétique (qui ne fait que de l’USB 2). Du coup le port USB est bouché en permanence et je n’y branche jamais rien, sauf si l’embout magnétique vient à mourir.

Le 01/02/2023 à 15h 50

Je suis moi-même d’accord avec vous et utilisateur de eCB. Pour autant que je sache c’est (était ?) assez difficile à obtenir, moi-même quand j’ai changé de banque y’a 16 ans ils n’avaient aucune idée de ce que c’était.

Depuis quelques années c’est devenu gratuit. J’ai aussi de nouvelles options genre eCB pour abonnement.
Je faisais partie des gens qui préfèraient payer (6 € / an) plutôt que d’avoir des ennuis, mais l’année dernière j’ai eu une fraude sur une autre carte, une très peu ou pas du tout utilisée en ligne, a priori ils ont juste utilisé un générateur de numéro et j’avais le numéro gagnant… Pas de soucis avec la banque si ce n’est que le remboursement a dû prendre pas loin de 2 mois.

Le 01/02/2023 à 02h 58

Je vois ça comme de la vente forcée.

En ce qui me concerne, ça fait un mois pendant lequel madame regarde amazone prime video au lieu de Netflix.

Mais je suis sûr que ça leur permet de gagner des abonnements, sinon pourquoi s’embêter à faire de tels changements ?

Le 31/01/2023 à 15h 38

C’est une question d’affichage, de taille, de présentation… Ma dernière commande je me suis abonné prime, j’ai réalisé 1s trop tard que le bouton pour pas s’abonner [et quand même avoir la livraison gratuite] c’était le tout petit truc en dessous du truc énorme genre “continuer avec la livraison gratuite”.

Le 31/01/2023 à 15h 34

On a pas la même vision. Pour moi le mauvais compte à rebours c’est celui qui se “remet à zéro” quand tu recharges la page. “Vite achète il ne te reste que 15 minutes… Non mais dépêche parce que la il ne te reste plus que 15 minutes !”

Le 31/01/2023 à 09h 04

Tout à fait d’accord, je suis content de l’avoir même si je n’ai jamais eu de ransomware (et pas de virus/attaque détectée en plus de 15 ans, les antivirus se contente juste de virer MES programmes à cause de leur heuristiques).

Après ce qui m’embête c’est :

• Moins de 10 minutes de réflexion pour imaginer comme t contourner.


• 1h pour l’implémentation (ça inclus la création d’un truc qui chiffre les fichiers en masse pour que l’anti-ransomware le détecte, puis l’ajout de la méthode pour passer inaperçu, avec arrêt à l’étape ¹⁄₃ de ce que j’avais imaginé puisque succès)


• J’ai contacté l’éditeur, aucune réponse. Bien sûr il ne s’agit pas d’une vulnérabilité.

Le 31/01/2023 à 08h 58

Pas sûr de comprendre. Format binaire vs XML, ça change juste la difficulté de compréhension. Quant à ce que le fichier ne puisse être modifié que depuis l’exe ou l’application, je ne vois pas trop comment tu fais pour ça. Windows n’a pas de telle fonction de sécurité, en tout cas sur les applis Win32. Tout est basé sur l’utilisateur.

Le 30/01/2023 à 23h 03

Pour Chrome je vais m’avancer à dire (de par le look que j’ai vu) qu’il utilise une API Windows pour vérifier le mot de passe.

Par ailleurs il a accès aux mot de passe “sans mot de passe”, c’est à dire qu’il ne vous permettra pas de voir le mot de passe, mais il l’enverra à un site Web.

Donc pareil que pour le secure desktop, sûr à 99% que ça se contourne facilement. Bien sûr ça implique de cibler Chrome (encore que, même pas forcément vraiment). De même qu’ici ça implique de cibler KeePass.

Dans la même veine, 1h de boulot m’a suffit pour pondre un soft qui arrive à chiffrer mes fichiers en tâche de fond, au nez et à la barbe de la fonction “anti ransomware” d’un célèbre logiciel de backup.
J’avais prévu plusieurs étapes, mais il n’a pas résisté à la 1ère. Ceci dit il semble résister aux ransomwares, qui n’ont de toute évidence pas été prévu pour l’éviter.

Le 30/01/2023 à 22h 11

Et c’est modifiable où ? De toute évidence modifiable par l’utilisateur…

Le 30/01/2023 à 22h 07

“security by obscurity is no security” et keepass est open source.

Le 30/01/2023 à 22h 02

Je n’ai jamais tenté mais je suis 99% sûr qu’il est assez facile de contourner le “secure mode” (c’est comme ça qu’ils l’appellent ?).
Son problème étant qu’il repose sur le même système qu’UAC utilise depuis Vista, et winlogon sûrement depuis nt 3.5 (et certainement depuis 2000, j’ai écrit des programmes qui l’utilisaient sous cet OS).
La différence avec UAC et Winlogon ? Eux ne s’exécutent pas avec les droits utilisateurs.

Ceci dit, pour ma part, je l’active. Je regrette que d’autres programmes (genre le client RDP, explorer pour les accès réseaux, ou puisque quelqu’un le mentionnait, la demande mot de passe de session dans Chrome, même si pour autant que je sache elle n’émane pas de Chrome) demandent la saisie de mot de passe compte utilisateur sur le “desktop” principal.

Le 28/01/2023 à 08h 47

Il y a eu une décision, de mémoire d’une instance européenne, comme quoi les CGU de Youtube ne sont pas applicables si tu n’as pas de compte, car elles ne t’ont pas été correctement présentées. En gros, il faudrait une jolie page d’accueil avec les CGU. Ce qui fait que, déjà ta copie était légale car il s’git de copie privée, mais en plus les CGU ne te sont pas opposable [sous réserve que tu ne les aies pas validées].

Le 27/01/2023 à 14h 38

Je tique encore sur un truc… Ok, on utilise le device-tree… Mais il reste un truc (firmware) qui va aller chercher l’OS, le charger en mémoire et lancer son exécution. Où que l’OS se trouve, sans signature, ça ramène au même soucis que le virus de secteur boot non ? (Après, plus compliqué de taper sur l’OS, pas comme dans les années 90, mais je ne vois pas trop la différence avec UEFI par exemple)

Sinon, il faut soit que ce qui démarre la machine charge tout le code nécessaire, soit que ça fournisse un service pour aller lire des données depuis un périphérique de stockage, soit que le système de stockage se conforme à une interface prédéfinie que le bout de code chargé au démarrage sait utiliser. Ce que tu décris est-il dans un de ces 3 cas, ou ai-je manqué une alternative ?

(Quant aux enclaves, c’est encore un autre débat, c’est très bien les enclaves sécurité, à part qu’on y voit rien, jusqu’à ce que leur sécurité saute, mais même un truc qui n’a pas trop vocation à être une enclave, genre SMM, c’est trèèèsss bien quand y’a un bug, mais en général, ça craint)

Ma principale expérience hors x86, c’est les Pi, qui sont bootés par un bout de firmware opaque qui réside dans le GPU. Je ne connais pas particulièrement les détails, mais ça ne me semble pas idéal non plus ceci dit.

Le 26/01/2023 à 13h 28

Peux-tu m’expliquer un peu plus ce que font les autres qui ne s’appuient pas sur un “runtime service” (couche d’abstraction quelconque) ? Je vois 2 solutions : uniquement utiliser des standards (ce qui est acceptable, même si ça limite), ou pire, ne supporter qu’un tout petit échantillon de matériel.
Aurais-tu des exemples concrets ? Avoir les outils pour signer les binaires ne me semble pas un problème, l’idée étant qu’il faut avoir la clé.
Après avoir fait ma review de secure boot + tpm + fde, j’ai trouvé :

• Des failles physiques (wiretap typiquement sur une dTPM)


• Le fait que bien sûr si tu as les clés tu peux signer tout ce que tu veux.


• Le fait que les mises à jour posent problème sous Linux avec LUKS (la clé LUKS plus déscellée après MAJ)


• Côté Windows, pas sûr de comment la mise à jour se passe. Pour l’instant je suppose que les registres sont sauvés quelque part au boot pour permettre de calculer une nouvelle valeur après avoir mis à jour des parties de la chaîne de boot, et avant de redémarrer le système. A moins qu’ils ne changent la protection de la clé BitLocker avant la mise à jour.

Par ailleurs, adméttons que Windows n’utilise plus de service BIOS/UEFI, et on vire secure boot. Vu qu’à un moment il faut bien charger le code de Windows, à moins que ce code ne soit signé (ce qui revient un peu à réintroduire secure boot), en quoi serait-on plus protégé d’un “virus boot” ?

Le 26/01/2023 à 11h 42

Mmm OK c’est juste qu’en lisant ton commentaire on dirait que tu parles de quelque chose d’actualité. Oui, Ms-Dos et tous les windows non NT souffraient de ce problème. En même temps, ils n’avaient pas non plus la moindre sécurité. Dans les temps où j’ai pu écrire des choses offensives (jamais utilisées sans consentement des propriétaires de machines où ils ont été déployés, à savoir les machines d’amis me disant “attends tu vas voir j’ai un super programme (insérer antivirus, firewall, hips) qui va intercepter ton logiciel !”) je m’étais même amusé à avoir un programme “rundll32.com”. Méthode classique sous MS-DOS et mon programme se faisait exécuter au démarrage par un programme windows qui appelait “rundll32” sans préciser “.exe”.

Avant windows NT, la mémoire physique était accessible de tous. Aucune protection. J’en passe et des meilleures, bref, ça n’a jamais été protégé.

Avec secure boot par contre je ne suis pas au courant d’une façon triviale de récupérer les mots de passe.

Le 26/01/2023 à 11h 12

Oui oui, int 13 = hdd… 21 pour ms dos, 33 la souris… 1 ou 0 pour rtc je ne sais plus.
Sauf que une fois windows chargé, il n’y a plus d’usage de ces interruptions (toutes les interruptions “software”).
Je parle là de la branche NT, la branche 95 98 ME c’est autre chose. Je ne comprendd pas trop par exemple comment en installant un virus dans le secteur boot (sachant qu’à l’époque où c’était la mode il y avait des hooks dans le BIOS pour empêcher l’écriture du secteur 0) tu arrives à récupérer les frappes clavier destinées à winlogon venant en plus d’un clavier USB.

Je ne dis pas qu’avoir un virus dans le secteur boot ne permet pas ça, juste que c’est un poil compliqué (ie sous NT tu ne vas pas récupérer les frappes clavier juste en hookany l’interruption clavier du BIOS)

Pour ce qui est de la TPM, es-tu sûr de comprendre comment secureboot fonctionne ? Je ne suis pas du tout sûr que le binaire se fasse envoyer à la tpm, mais plutôt une empreinte… Faudrait que je relise mais ma dernière investigation en détail des TPM ne m’a pas fait penser qu’on envoyait tout. Tu “mets à jour” un registre et si tu arrives à la bonne valeur alors certains éléments sont descelés.

Le 25/01/2023 à 14h 20

Je ne comprends pas tout ce que tu dis. Je suppose que tu parles du I²C pour souligner le fait que matériellement c’est faillible ? (Ce qui laisse en suspend la question fTPM, je suppose que la réponse dépend des implémentation, mais certainement plus compliqué de mettre un place un wiretap)

Que veux-tu dire avec les virus de boot et interruptions ? L’UEFI/BIOS fournissent une couche d’abstraction qui permet par exemple de charger un driver pour une carte RAID spéciale. Comment faire autrement, à part, plus d’abstraction, un (ou quelques) standard que tout le monde suit au niveau matériel ? Ou alors tu prêches le support d’un matériel limité ? (Exemple : juste tel contrôleur) ?

Le 25/01/2023 à 13h 59

Je ne suis pas spécialiste… couple moteur en Nm ? RPM ?
Ce que je veux dire ici c’est que le mixeur 1000W (achète mon mixeur il “fait” 1000W !) est potentiellement moins efficace que le 800W.

Le 24/01/2023 à 09h 19

Pour les powerbanks, donner la capacité de la batterie, pourquoi pas… Il manquerait surtout l’efficacité du circuit de conversion qui passe en 5V ou plus maintenant avec Power Delivery.

Et pour Philips (ou pour les “blenders” super top 800W, 1000W…), disons qu’ils sont mignons, ils indiquent la puissance utilisée. Manque une grosse info : leur efficacité (y’a longtemps UFC Que Choisir avait un joli article, d’ailleurs ils montraient que Dyson ne mentait pas, leur aspirateurs ne perdaient pas en puissance d’aspiration… bon après, petit détail, ils avaient la puissance d’aspiration d’un concurrent en fin de vie…)

Le 21/01/2023 à 16h 22

Appli de 2015 je crois. Le mot de passe est vérifié côté client en javascript. Et au moins une des fonctions a un bug dans la vérification qui fait que taper sur echap annule la vérification js.
Sinon la demande de mot de passe se fait par une fonction js (je sais plus laquelle, un truc du genre de “alert” , peut-être “input”), donc quand l’utilisateur tape le mot de passe il est visible à l’écran.
Il s’agit du mot de passe admin (pas de login).
Outre le fait que ce truc doit être déployé à 3 endroits avec 3 proprios/admin et 30 utilisateurs max.

Oh bien sûr qui dit vérification en js côté client dit mot de passe visible en clair dans les sources de la page. Heureusement y’a un commentaire qui dit que c’est pas très sécurisé, parce qu’on peut choper le mot de passe, mais qui ne parle pas du fait que echap suffit à contourner.

Mais ça ne permet pas d’accéder à des données personnelles. Les données personnelles sont en accès libre. Et aller sur la liste des clients envoie TOUS les clients d’un coup (ce qui fait que le truc est très lent maintenant qu’il y a beaucoup de clients), en clair (pas de SSL/TLS).

Est-ce que j’ai battu shadowfox ?

Le 20/01/2023 à 18h 00

Amateurtip : tu colles un prétendu captcha qui ne peut être résolu qu’une fois le formulaire rempli, et si tu as besoin de plus de temps, tu dis que la réponse n’est pas bonne, faut recommencer

Le 13/01/2023 à 14h 54

Pour tous ces exemples, ils ont potentiellement “bien réfléchi”. Par contre ils ont surestimé leurs chances de gagner je pense.

Le 13/01/2023 à 14h 10

Suis curieux pour le matériel non supporté. Tu parles de quoi ? Sauf erreur de ma part, le modèle de driver n’a pas évolué (probablement pas depuis Vista, à part les pilotes graphiques je crois), et il me semble avoir installé du matériel avec des pilotes “Windows 7” sur Windows 10.

Le 12/01/2023 à 17h 58

Message d’un non linuxien (enfin… quelqu’un dont l’OS principal n’est pas Linux pour le moment).

KODI tourne très bien sur Linux. Je ne connais pas tes besoins précis mais par exemple ça tourne impec sur un Pi, j’ai même acheté la licence du décodeur MPEG2 à un moment.
En particulier je trouvais les 5W de consommation (hors conso du périphérique de stockage) intéressant. Et 5W ce n’est pas pour un Pi 4.

Le 13/01/2023 à 07h 19

Ah oui… Un peu plus de 1000 kWh d’économies par an (ce qui à mon échelle rentabilise le changement en 6 ans… enfin au prix de l’électricité en 2021-2022), et comme j’ai l’une des électricité les plus propres du monde (hum) ça fait plus de 500 kgCO2eq en moins par an… (J’ai été un peu choqué par ton 2.2kg, j’ai trouvé une autre source qui donne à peu près 2x plus, ce qui reste pas loin de 10x mieux, vive le nucléaire)

Et j’ai dû me planter dans les dates, ça doit faire 5 ans que j’ai remplacé.

Bon faut aussi ajouter qu’un écran avait le rétro-éclairage un peu mort (fallait 15 minutes avant de voir quelque chose) et un autre avait ses boutons (capacitifs) qui répondaient quand ça leur plaisait. Et passage de 1680x1050 à 1920x1080 et plus gros ce qui est un plus avec l’âge.

Le 13/01/2023 à 03h 12

J’ai remplacé en 2019 mon core i7 de 2012 par… La puce la plus puissante de chez AMD.
Résultat (y’a tout le temps un watt-mètre) ? 33-50% de baisse de consommation.

Sinon j’ai remplacé 3 écrans TN (~2005) et 3 IPS (~2008) en 22” par 6 IPS 27” (~2017). Consommation divisée par 6.

Après je ne peux pas dire (pas les infos) si cette baisse compense un peu le coût de production.

Pour les écrans (et en fait le PC sûrement aussi) on peut ajouter qu’il chauffe moins, donc moins besoin de refroidir l’été, plus besoin de chauffer l’hiver (mais bon, je chauffe 6 jours dans l’année).

Le 12/01/2023 à 18h 17

Faudra que je leur suggère de changer, après tout à une époque il fallait changer régulièrement de mot de passe !