Ca ne concerne pas que les logiciels libres. Tout logiciel dont les sources sont exposés d’une quelconque façon via Internet (que ce soit un repo GIT privé sur GitHub ou équivalent, ou bien sur site via un VPN) peut être détourné de la même façon.
De là à préconiser de se partager les sources exclusivement sur disquettes est un pas que je ne franchirai pas.
Tu penses que c’est aussi le cas pour les phishings qui essaient juste de piquer ton n° de CB ou un password ?
Autant un écrémage préalable est indispensable pour les attaques de type Nigéria / prisonnière espagnole, qui demandent des contacts face-à-face pour ferrer le gogo (donc une intervention humaine), il me semble qu’il serait plus efficace d’être le plus crédible possible si tu veux simplement siphonner de l’info et disparaître.
Un hyperloop à Abu Dhabi, ça me semble une bonne idée. Quand il n’y aura plus de pétrole, on pourra réutiliser les pipelines pour faire passer des trains.
Perso ça fait bien longtemps que je ne mets plus les sous-titre en français si je me débrouille suffisamment dans la langue originale (le souci demeure dans les films en plusieurs langues, genre “The Team” en français, anglais, néerlandais et danois - le temps que je me rende compte qu’ils parlent dans une langue que je comprends pas, j’ai perdu deux phrases :-) ).
Pour les films US tout-venant, les sous-titres en anglais pour malentendants, ça évite les malentendus. C’est rare qu’il y ait des différences entre ce qui est dit et ce qui est écrit.
Le
20/06/2019 à
12h
15
Faudrait aussi rappeler que “SD” c’est la définition d’un DVD qu’à l’époque tout le monde encensait. Certains défauts sont certes gênants dans les dégradés (*), mais personne ne trouve qu’un DVD est impossible à regarder sereinement de nos jours (ou alors peut-être ceux qui achètent des câbles d’alimentation plaqué or pour un meilleur transport du courant 220 volts… rigolez pas, ça existe probablement)
(*) Et ces défauts n’ont rien à voir avec la définition, ce sont le plus souvent des artefacts de compression.
Sauf que … non … Tu ne peux pas affirmer que “ça ne change rien”. Les ingénieurs d’Intel aussi disaient “ça ne change rien si on exécute cette instruction sans vérifier les protections mémoire puisque le résultat sera annulé plus tard”. Et vlan ! SPECTRE et Meltdown.
C’est typique des gens qui comme toi réfléchissent en terme de fonctionnalité: la fonctionnalité est la même donc les deux implémentations sont équivalentes. Tant qu’on en reste à la partie fonctionnelle, tu as parfaitement raison. En termes de sécurité, il faut réfléchir en termes de surface d’attaque et de scénarios d’attaque, et là tout change.
C’est toute la différence entre montrer qu’une application fait tout ce qu’on lui demande de faire, et démontrer qu’elle ne fait rien de plus que ce qu’on lui demande de faire.
Ici, en utilisant des instructions SSE tu augmentes la surface d’attaque puisque tu es maintenant à la merci d’un leak au niveau des registres SSE alors que l’implémentation de référence ne l’était pas.
Imagine maintenant que le round est décomposé en deux parties distinctes, une sensible à une attaque par timing, et une autre beaucoup plus longue qui ne l’est pas. Imagine ensuite que la variabilité du timing de la partie sensible est complètement noyé dans celui global d’un round et le risque a été classé comme négligeable. Si tu optimises la partie longue, la proportion de temps passée dans la partie sensible sera plus grande, et l’attaque par timing redevient plausible.
Je ne dis pas que tu as forcément introduit ces faiblesses, mais en analyse de risque tu ne peux pas balayer ces objections d’un revers de main, tu dois démontrer que ces risques ont été pris en compte et mitigés de manière appropriée.
Le
19/06/2019 à
14h
21
vampire7 a écrit :
Serpent n’est pas vulnérable à ces attaques (et les optimisations SSE2 n’y changent rien)
Serpent n’est peut-être pas vulnérable à certaines attaques. Affirmer que toutes ses implémentations sont de facto insensibles à toutes les attaques me semble péremptoire. En cherchant, la première chose que j’ai trouvée est une analyse de puissance sur le répartiteur de clés de round dans une smartcard.
Mon contradicteur fait confiance aux sources externes utilisées dans le système discuté ici, moi non.
Heu, non, je ne fais pas confiance aux sources… Où as-tu lu que je faisais confiance aux sources ?
J’ai juste dit que la méthode proposée permet de ne pas avoir besoin de leur faire confiance, puisqu’il faudrait qu’elles se liguent ensemble, toutes, pour que le résultat soit biaisé.
vampire7 a écrit :
la raison étant qu’il n’y a alors plus de garantie que le code fonctionne correctement dans tous les cas, même avec les “vecteurs de test”
La raison est que l’implémentation par défaut a été vraisemblablement auditée pour résister à des attaques “side channel” comme l’analyse du timing de certaines opérations et les patterns d’accès mémoire. Si tu modifies l’implémentation, même en démontrant formellement que les calculs sont identiques, tu cours le risque que ton implémentation soit victime de telles attaques qui permettraient de récupérer la clé.
Le
19/06/2019 à
10h
11
Ce mécanisme n’a pas pour but de générer à la demande un “simple” nombre aléatoire. Tout simplement parce que cela n’a aucun sens. Je vais essayer de t’expliquer pourquoi, sans m’énerver, promis…
Si tu veux un nombre aléatoire, ton système d’exploitation contient déjà une primitive pour ce faire. Elle est “cryptographically secure” et donc tu peux l’utiliser comme clé de chiffrement, tu n’as pas besoin d’une source extérieure.
Imagine maintenant que tu n’aies pas confiance en ce générateur aléatoire (et c’est une crainte parfaitement légitime !) que fais-tu ? Eh bien tu demandes à une autre source. Certes, mais comment fais-tu pour te connecter de façon sécurisée à cette autre source ?
Tu me dis “pourquoi ne pas simplement utiliser cUrl ou wGet qui font ça très bien ?”.
Hé bien tout simplement parce que ces outils vont utiliser du SSL/TLS.
Et ce SSL/TLS, pour être sécurisé, il aura besoin de quoi ?
D’un nombre aléatoire…
Et qui va lui fournir ce nombre aléatoire ?
Ben… une fonction random tournant localement, pardi !
Ha oui mais non, tu viens de dire que tu ne fais pas confiance au système local pour la génération de clés cryptographiques !
Tu es dans une impasse : pour recevoir de l’extérieur un nombre aléatoire en lequel tu as confiance, tu dois préalablement générer localement un nombre aléatoire en lequel tu as confiance. Le “simple” SSL/TLS ne suffit pas. Et je ne parle même pas de l’hérésie de transmettre 512 bits sur un canal chiffré par une clé à (au mieux) 256 bits: en pratique tu as transmis 256 bits d’entropie, pas 512…
Bref, si tu veux t’isoler totalement des menaces extérieures, tu est obligé d’utiliser un stack cryptographique dont tu as la maîtrise complète, que tu exécutes sous ton propre contrôle, et qui ne nécessite pas que tu fasses confiance à un acteur en particulier. C’est une telle solution qu’ils proposent, à base de preuves cryptographiques et de chiffrements asymétriques (partiels, ce que je dois moi-même approfondir, parce que je suis un peu largué).
Leur solution garantit entre autres que le nombre qui a été généré ne peut pas avoir été biaisé, du moment que dans les sources il y en ait au moins quelques unes qui ne sont pas corrompues (et sans même qu’il te soit nécessaire de savoir lesquelles sont corrompues et lesquelles sont saines)
Mais encore une fois, si tu n’as pas besoin de telles garanties, et que tu veux une solution simple à utiliser, tu n’as pas besoin d’une source distribuée, continue à utiliser ton générateur local, il est très bien.
Le
19/06/2019 à
06h
11
vampire7 a écrit :
Donc VeraCrypt n’est pas “développée” ? Les algos de chiffrement c’est bien joli, mais ce n’est pas ça qui va s’occuper des accès disques, de l’interface, des méthodes de dissimulation, etc.
Même les codes de référence doivent parfois être lourdement retravaillés. Sans ça, VeraCrypt aurait encore des performances ridicules avec Serpent.
Évidemment qu’il faut “développer” les applications de crypto. Mais pas comme toi en autarcie dans son coin en se croyant plus malin que les autres. Une application de crypto, elle pas plus de temps à étre auditée par un groupe de gens autrement plus calés que nous qu’à être écrite.
Mais je ne suis pas l’auteur de VeraCrypt.
Tu vas rire, je pense que tout le monde avait compris ça en lisant tes interventions…
Justement, pas en cryptographie où la moindre déviation se paie cash. Mais comme dans ce domaine le péquin moyen se croit plus malin que Rivest, Shamir et Adleman réunis, il s’imagine qu’en changeant au hasard un bit dans une sbox il va augmenter la sécurité (puisque - hihihi - l’attaquant n’a aucun moyen de avoir quel bit j’ai changé !!! Je suis un génie !!!)
Mais en l’occurrence, je ne ferai rien du truc proposé par CloudFlare, vu qu’ils ont décidé de réserver ça aux amateurs du langage Go (ce qui au passage ne va pas faciliter les audits…).
Bon, t’aimes pas Go (Google c’est le mal, j’imagine). C’est ton droit, mais de là à imaginer que si toi-même tu ne le pratiques pas, alors aucun cryptographe au monde n’est assez malin que pour le comprendre et auditer le code, ça me semble un peu vaniteux, non ?
Le
18/06/2019 à
18h
28
Oh oui, surtout, arrête d’en parler ça vaudra mieux pour tout le monde. En deux courtes phrases tu viens de démontrer que tu n’as strictement rien compris au problème, alors en plusieurs pages, j’ai peur que tu t’enfonces encore plus.
Déjà toute personne un peu au courant sait qu’on de “développe” pas des applications de cryptographie, on utilise scrupuleusement les technologies déjà analysées par des gens plus compétents que soi. Mais oui, tu l’as dit aussi: surtout ne pas s’intéresser à la théorie, juste au résultat. Le meilleur moyen en cryptographie de faire n’importe quoi.
Et dans le genre n’importe quoi, ne me dis pas que tu es réellement intéressé ici par une source publique d’entropie pour en dériver des clés secrètes ? Vite, donne-moi les références de l’application que tu as écrite, histoire que je m’assure de ne jamais l’utiliser.
Le
18/06/2019 à
15h
46
Woaw l’argument imparable. Scotché je suis, tu as tout compris.
Que tu le comprennes ou non est indifférent. Le système tel qu’il est décrit (et pour s’en convaincre il suffit de lire les documents - ce qui je l’admets requiert un minimum d’ouverture d’esprit) a pour intérêt principal la possibilité pour un auditeur de vérifier que le tirage n’a pas été biaisé par un des participants.
Je ne peux donc que te proposer de lire attentivement l’article de blog et d’essayer de le comprendre. Par exemple en s’attardant sur les mots “unbiasability” et “verifiability” qui sont d’une portée plus importante qu’une remarque sur le mot “retrieve” sur lequel tu sembles faire une fixation.
Évidemment que le protocole te permet de retrouver la valeur… personne n’affirme le contraire. Ca servirait à quoi un générateur aléatoire parfait, mais dont on ne pourrait pas retrouver les valeurs ? " />
Le
18/06/2019 à
12h
27
Ah bon ??? C’est marrant, ce n’est pas ce que je lis… Allez, je cite ta citation :
To retrieve and verify the latest random value using the experimental configuration, install Golang v1.11+, set your GOPATH, and execute:
A ton avis, le “and verify” dans le texte, il veut dire quoi ?
Le
18/06/2019 à
11h
40
Non, ils n’auraient pas pu faire plus simple. Le but n’est pas “bêtement” de générer une valeur aléatoire, mais bien de prouver que cette valeur est sans biais. Cette preuve ne peut être fournie qu’en donnant une implémentation du protocole, que tu peux vérifier.
Le
18/06/2019 à
11h
37
Oui.
C’est un UUID v4 ( reconnaissable au 4 dans -4F0D- ) donc contenant 122 bits aléatoires. Pas nécessairement “vraiment” aléatoires, mais qui contiennent quand même pas mal d’entropie… Je ne sais pas exactement combien (il a été généré par la fonction “generate GUID” d’un IDE Delphi 7 tournant sous Windows XP SP 2…) mais je ne me fais pas trop de souci quant à son unicité :-)
Le
18/06/2019 à
09h
13
D’après ce que j’en ai compris, le but ici n’est pas de fournir “simplement” des sources d’entropie supplémentaires (ce n’est, en soi, pas trop compliqué). Le but est de fournir des nombres “prouvablement” aléatoires, c’est-à-dire dérivés de plusieurs sources fiables.
Le protocole est ainsi que N sources réputées fournissent chacune un nombre aléatoire, et que de ces N sources on dérive un unique nombre aléatoire final qui possède deux caractéristiques fondamentales: d’une part il est démontrable que ce résultat final utilise l’entropie combinée des N sources, et d’autre part que même si un nombre restreint de sources se liguent entre elles pour fournir des valeurs biaisées, il leur est statistiquement impossible d’influer sur le résultat final.
Ah si si, certain ! C’était un CDC Cyber 170-750 avec 256K mots de 60 bits (en transistors) et un CDC Cyber 170-720 avec 128 K mots + un Extended Core Storage de 1M mots (toujours de 60 bits) en ferrite… Le 750 avait un sous-sytème (nomme TELEX) de consoles interactives via des lignes RS-232 (je connais encore le détail de la topologie, je vais pas étaler toute ma culture confiture d’un coup, mais oui j’étais devenu très familier avec l’architecture, : fier !!! : ) Les imprimantes et les lecteurs de cartes (en tout cas ceux hors de la salle machine) étaient vus comme un terminal interactif, les cartes faisant input, l’imprimante faisant output.
Vieux je suis, mais c’était quand-même pas la préhistoire, on ne gravait plus les cartes avec des outils en silex depuis quelques années !!!
Le
14/06/2019 à
09h
45
teu-teu a écrit :
Là on commence à voir ceux qui ont grandi dans les années 80-90 ^^.
Attendons encore un peu et on parlera de carte perforée ^^
J’ai connu (un peu) les cartes perforées en 1982 sur mainframe… " />
Et il y avait moyen d’être créatif aussi en faisant l’équivalent d’alors du hammering: tu mettais une carte avec tous les trous perforés dans le deck de ton copain. 9 chances sur 10 qu’elle se pliait dans le lecteur, et il se faisait appeler Arthur par l’opérateur. Ou bien l’équivalent d’un control-C, ce qui arrêtait le job d’impression (un couple lecteur / imprimante était vu par la bestiole comme un terminal interactif) et comme tout ça était partagé, le job d’impression, ça pouvait être à n’importe quel malchanceux au hasard.
Aaaaah c’était le bon temps.
PS. Oui, les tores de ferrite aussi, mais uniquement comme mémoire secondaire, la RAM c’était déjà des transistors.
Aussi, il n’y avait pas de limitation avant (à ce que je sache), et les extensions ne se sentaient pas obligées de prendre toute la RAM pour autant.
<my life> La dernière fois que je me suis demandé pourquoi mon Chrome ramait, Ghostery avait avalé 1.7GiO à lui tout seul. Je pense que si je l’avais laissé faire, il ne se serait pas arrêté en si bon chemin. </my life>
pi-hole est un serveur DNS, ça ne règle en pratique rien du tout sur le long terme. Les publicitaires sont des emmerdeurs mais pas des imbéciles, si tout le monde installe une interception DNS chez lui, les serveurs de publicité vont bien finir par faire la résolution de nom eux-même et leur envoyer l’adresse IP (même si effectivement ça ne marchera pas pour les serveurs mutualisés qui se partagent une même IP)
Sans pour autant justifier quoi que ce soit, le répertoire winsxs est trompeur, il ne contient généralement que des hardlinks vers des fichiers présents ailleurs. Le “problème” est que le shell de Windows ne sait pas ce qu’est un hardlink et rapporte le double de la place réellement occupée par ces fichiers.
Le
05/06/2019 à
12h
08
Gilbert_Gosseyn a écrit :
Pour avoir testé, avec ne serait-ce que 2 GiO, Windows 10 est inutilisable. Au contraire d’une distribution Linux Mint (testé la 19.1 dans ces conditions) qui est parfaitemetn (quoi qu’un peu lentement) utilisable.
Heu… Pour avoir plusieurs machines virtuelles sous Windows 10, je peux affirmer que 1.5GiO lui suffisent largement (peut-être pas pour regarder des vidéos 8K sur Youtube) et les Linux frétillent de joie dans 768MiO… En version 32 bits, évidemment.
Ah ben non, zut, Donald n’a pas eu le budget pour le construire " />
Le
03/06/2019 à
12h
27
elticail a écrit :
ça compte pas à l’arrêt […]
Ah ben si justement, tant que l’avion tombe tout va bien, c’est quand il s’arrête brutalement au moment de toucher le sol que ça devient douloureux !
Le
03/06/2019 à
12h
10
Je suis déjà tombé d’un avion, ça ne fait pas franchement mal…
Le
03/06/2019 à
11h
50
Transistance a écrit :
Parce que la semelle contenue dans un Mac-pas-comme-sur-la-photo provient d’abattoirs US et importé tout spécialement par bateau ?
Tu déconnes j’espère !
Mon poisson vient tout spécialement de Lutèce en char à boeufs ! J’ai le respect du client, moi, môssieur.
Pour ceux qui n’étaient pas encore au courant : Évidemment que je déconne…
Le
03/06/2019 à
09h
21
Mouais. Mais c’est quand-même plus écologique d’aller consommer soi-même les McDo directement aux US plutôt qu’importer les ingrédients séparément !
Le
03/06/2019 à
08h
54
SI tu n’es pas pressé, tu peux faire la traversée en bateau aussi, notamment les porte-containers ont quelques cabines pour des passagers. Les documents de douane ont expressément une case où tu peux mettre le nom du bateau par lequel tu es arrivé.
Le
03/06/2019 à
08h
30
Karl Moonferon a écrit :
Si on critique le pays on peut plus visiter ?
Oh oui le rêve ! Tous ces Français, Hollandais, Allemands, Anglais, etc. qui visitent la Belgique en n’arrêtant pas de rappeler que c’est tellement mieux chez eux.
" />Allez, hop ! Buiten !
Le
03/06/2019 à
08h
26
En tant qu’Européens on a rarement besoin d’un visa pour aller aux US, l’ESTA suffit, et ne semble pas (encore…) touché par la mesure.
Merci de la précision. Je sais que j’avais bidouillé mes quelques XP restants pour leur faire croire qu’ils étaient des versions “embedded” pour lesquelles il y avait un support étendu, mais maintenant j’ai un peu perdu le fil.
" />
Le
15/05/2019 à
14h
39
Si mes souvenirs sont bons, XP avait eu droit à un patch pour Spectre/Meltdown/Whatever. Ou bien je bats la campagne ? En tout cas j’ai vu passer quelque chose à l’époque, mais je vais pas rallumer la machine juste pour aller voir, donc si vous pouviez chercher à ma place…
Il n’y a ici aucun existant à mutualiser… Même si c’est vrai qu’à terme il vaudrait mieux mutualiser, à un moment, il va bien falloir qu’un acteur se décide à lancer la première constellation pour valider le concept, voire plusieurs avec des technologies différentes.
Donc un commentaire qui dit à une palanquée d’ingénieurs qui ont bossé le sujet “mais non ne faites pas ça, moi depuis mon fauteuil j’ai trouvé la solution qu’il vous faut” dans un forum d’informaticiens-certes-avisés-mais-pas-rocket-scientists-pour-autant (attention, je dis pas qu’aucun d’entre vous n’a les qualifications, hein, je parle en général, et je sais qu’il y en a au moins un ici qui ne saurait pas comment mettre un truc en orbite : moi-même ; je ne suis déjà pas sûr de pouvoir allumer un chauffe-eau (*)), heu, ma foi, si, je trouve que c’est en plein dans le mille.
(*) Référence : Gaston Lagaffe…
Le
14/05/2019 à
08h
22
Les téléphones satellite n’ont pas de parabole, donc on peut rêver qu’une “simple” antenne suffise. Quant à sniffer le trafic, ça ne peut pas être différent des comms sans fil existantes…
Le
13/05/2019 à
09h
55
Oui je sais en plus… J’ai tellement l’habitude de les servir à mes collègues américains quand ils viennent avec leurs idées qu’ils croient révolutionnaires…
Les développeurs MS sont clairement les meilleurs !
Sans être nécessairement les meilleurs, ce sont effectivement les mieux placés pour connaître toutes les ficelles d’optimisation du chargement des DLL… Tant qu’ils n’avaient pas d’intérêt direct à faire cette optimisation ils l’ont laissé dormir, mais maintenant que c’est stratégique, ils la passent en force.
Ah ! Merci du rappel, j’avais oublié cet exemple “on peut utiliser l’argent sans les banques”. Tout ce système, à la poubelle ! On ne garde que le principe utile, uniquement : permettre l’échange entre les gens. Tout le fatras capitaliste inventé après pour enrichir les déjà-riches-grâce-à-l’esclavage-et-à-la-colonisation : poubelle.
En pratique il est quasiment impossible de se passer de banques. Sans un tel système financier, l’agriculteur ne pourrait pas acheter d’engrais s’il n’a pas vendu son blé, mais il ne produira pas de blé sans avoir pu acheter de l’engrais (exemple délibérément simpliste…) Le marchand d’engrais peut certes accepter d’être payé plus tard, mais si la récolte est mauvaise il sera lui-même mis en difficulté. C’est un risque important qu’il ne veut pas assumer, à juste titre.
Le système bancaire est le mécanisme qui garantit que le marchant d’engrais sera payé même si l’agriculteur est en difficulté. Pour cela il va assumer lui-même le risque. La mutualisation des risques fera qu’en moyenne ses placements gagnants seront supérieurs aux placements perdants. Lorsque ce mécanisme n’est pas dévoyé, il est parfaitement légitime et très utile.
Bon, d’accord, c’est juste après ça que tout part en sucette.
Bon oui, pas très souvent, mais si, si, ils ont osé…
Le
18/04/2019 à
06h
34
reboot redémarrage, une suite, spin-off série dérivée, un préquel antépisode" />
Le
17/04/2019 à
07h
07
(pour embrayer sur l’explication de Ler Van Keeg)
“Star” dans ce contexte est un nom collectif qui représente plusieurs étoiles. Il en va de même dans le “Star Spangled Banner”, un drapeau américain, qui a plusieurs étoiles. Plus prosaïquement, on peut aussi le traduire par l’adjectif “stellaire”
Dans le genre des traductions allakon, il y a aussi des versions (québécoises je crois) ou le héros principal s’appelle Luc Courtleciel…
Star Trek (littéralement “randonnée stellaire”) est un exemple des deux, d’une part Star comme collectif et d’autre part les premières diffusions en français (en tout cas à la Ertébé, télévision belge, le mercredi après midi juste avant Feu Vert dans les années soixante-di septante) avaient un titre traduit, sais plus exactement quoi, du genre “Le chemin des étoiles” ou un truc comme ça. En tout cas c’était différent de “La patrouille du cosmos” des Québecois.
Pas confondre avec “La piste aux étoiles” qui présentait des numéros de cirque.
Quand on renvoie vers Ouiquipédia, il faudrait d’abord lire l’article qu’on référence… Si de fait “politically correct” était en usage aux Tazunis durant le 19e siècle, il l’était dans des textes légaux, ce n’était pas dans son sens actuel qui dénote un excès de galipettes sémantiques.
Par ailleurs, personne ne reproche à Youtube de mettre des références vers des encyclopédies. On se contente de faire remarquer que c’est du pur pipeau marketing. Il fallait faire quelque chose, alors on a fait quelque chose.
1718 commentaires
Le compte GitHub de Canonical piraté, pas de danger pour Ubuntu
08/07/2019
Le 09/07/2019 à 06h 19
Ca ne concerne pas que les logiciels libres. Tout logiciel dont les sources sont exposés d’une quelconque façon via Internet (que ce soit un repo GIT privé sur GitHub ou équivalent, ou bien sur site via un VPN) peut être détourné de la même façon.
De là à préconiser de se partager les sources exclusivement sur disquettes est un pas que je ne franchirai pas.
Debian 10 disponible : Linux 4.19, Secure Boot, AppArmor et Wayland par défaut
08/07/2019
Le 08/07/2019 à 14h 42
Orange veut sensibiliser sur le phishing avec une fausse publicité « 6G ilimité pendant 100 ans »
03/07/2019
Le 03/07/2019 à 13h 51
Tu penses que c’est aussi le cas pour les phishings qui essaient juste de piquer ton n° de CB ou un password ?
Autant un écrémage préalable est indispensable pour les attaques de type Nigéria / prisonnière espagnole, qui demandent des contacts face-à-face pour ferrer le gogo (donc une intervention humaine), il me semble qu’il serait plus efficace d’être le plus crédible possible si tu veux simplement siphonner de l’info et disparaître.
Hyperloop TT prévoit des essais à grande vitesse avec des passagers en 2020
27/06/2019
Le 27/06/2019 à 09h 35
Un hyperloop à Abu Dhabi, ça me semble une bonne idée. Quand il n’y aura plus de pétrole, on pourra réutiliser les pipelines pour faire passer des trains.
Le Windows Terminal disponible en préversion dans le Store de Windows 10
24/06/2019
Le 24/06/2019 à 15h 23
Changer l’image de fond et la transparence, à part rendre le texte illisible, je ne vois pas trop ce que ça peut avoir comme intérêt…
Netflix augmente ses prix en France : jusqu’à 2 euros de plus par mois
20/06/2019
Le 21/06/2019 à 06h 52
Perso ça fait bien longtemps que je ne mets plus les sous-titre en français si je me débrouille suffisamment dans la langue originale (le souci demeure dans les films en plusieurs langues, genre “The Team” en français, anglais, néerlandais et danois - le temps que je me rende compte qu’ils parlent dans une langue que je comprends pas, j’ai perdu deux phrases :-) ).
Pour les films US tout-venant, les sous-titres en anglais pour malentendants, ça évite les malentendus. C’est rare qu’il y ait des différences entre ce qui est dit et ce qui est écrit.
Le 20/06/2019 à 12h 15
Faudrait aussi rappeler que “SD” c’est la définition d’un DVD qu’à l’époque tout le monde encensait. Certains défauts sont certes gênants dans les dégradés (*), mais personne ne trouve qu’un DVD est impossible à regarder sereinement de nos jours (ou alors peut-être ceux qui achètent des câbles d’alimentation plaqué or pour un meilleur transport du courant 220 volts… rigolez pas, ça existe probablement)
(*) Et ces défauts n’ont rien à voir avec la définition, ce sont le plus souvent des artefacts de compression.
CloudFlare présente la League of Entropy, pour obtenir des nombres aléatoires
18/06/2019
Le 20/06/2019 à 07h 30
Sauf que … non … Tu ne peux pas affirmer que “ça ne change rien”. Les ingénieurs d’Intel aussi disaient “ça ne change rien si on exécute cette instruction sans vérifier les protections mémoire puisque le résultat sera annulé plus tard”. Et vlan ! SPECTRE et Meltdown.
C’est typique des gens qui comme toi réfléchissent en terme de fonctionnalité: la fonctionnalité est la même donc les deux implémentations sont équivalentes. Tant qu’on en reste à la partie fonctionnelle, tu as parfaitement raison. En termes de sécurité, il faut réfléchir en termes de surface d’attaque et de scénarios d’attaque, et là tout change.
C’est toute la différence entre montrer qu’une application fait tout ce qu’on lui demande de faire, et démontrer qu’elle ne fait rien de plus que ce qu’on lui demande de faire.
Ici, en utilisant des instructions SSE tu augmentes la surface d’attaque puisque tu es maintenant à la merci d’un leak au niveau des registres SSE alors que l’implémentation de référence ne l’était pas.
Imagine maintenant que le round est décomposé en deux parties distinctes, une sensible à une attaque par timing, et une autre beaucoup plus longue qui ne l’est pas. Imagine ensuite que la variabilité du timing de la partie sensible est complètement noyé dans celui global d’un round et le risque a été classé comme négligeable. Si tu optimises la partie longue, la proportion de temps passée dans la partie sensible sera plus grande, et l’attaque par timing redevient plausible.
Je ne dis pas que tu as forcément introduit ces faiblesses, mais en analyse de risque tu ne peux pas balayer ces objections d’un revers de main, tu dois démontrer que ces risques ont été pris en compte et mitigés de manière appropriée.
Le 19/06/2019 à 14h 21
Le 19/06/2019 à 12h 03
Le 19/06/2019 à 10h 11
Ce mécanisme n’a pas pour but de générer à la demande un “simple” nombre aléatoire. Tout simplement parce que cela n’a aucun sens. Je vais essayer de t’expliquer pourquoi, sans m’énerver, promis…
Si tu veux un nombre aléatoire, ton système d’exploitation contient déjà une primitive pour ce faire. Elle est “cryptographically secure” et donc tu peux l’utiliser comme clé de chiffrement, tu n’as pas besoin d’une source extérieure.
Imagine maintenant que tu n’aies pas confiance en ce générateur aléatoire (et c’est une crainte parfaitement légitime !) que fais-tu ? Eh bien tu demandes à une autre source. Certes, mais comment fais-tu pour te connecter de façon sécurisée à cette autre source ?
Tu me dis “pourquoi ne pas simplement utiliser cUrl ou wGet qui font ça très bien ?”.
Hé bien tout simplement parce que ces outils vont utiliser du SSL/TLS.
Et ce SSL/TLS, pour être sécurisé, il aura besoin de quoi ?
D’un nombre aléatoire…
Et qui va lui fournir ce nombre aléatoire ?
Ben… une fonction random tournant localement, pardi !
Ha oui mais non, tu viens de dire que tu ne fais pas confiance au système local pour la génération de clés cryptographiques !
Tu es dans une impasse : pour recevoir de l’extérieur un nombre aléatoire en lequel tu as confiance, tu dois préalablement générer localement un nombre aléatoire en lequel tu as confiance. Le “simple” SSL/TLS ne suffit pas. Et je ne parle même pas de l’hérésie de transmettre 512 bits sur un canal chiffré par une clé à (au mieux) 256 bits: en pratique tu as transmis 256 bits d’entropie, pas 512…
Bref, si tu veux t’isoler totalement des menaces extérieures, tu est obligé d’utiliser un stack cryptographique dont tu as la maîtrise complète, que tu exécutes sous ton propre contrôle, et qui ne nécessite pas que tu fasses confiance à un acteur en particulier. C’est une telle solution qu’ils proposent, à base de preuves cryptographiques et de chiffrements asymétriques (partiels, ce que je dois moi-même approfondir, parce que je suis un peu largué).
Leur solution garantit entre autres que le nombre qui a été généré ne peut pas avoir été biaisé, du moment que dans les sources il y en ait au moins quelques unes qui ne sont pas corrompues (et sans même qu’il te soit nécessaire de savoir lesquelles sont corrompues et lesquelles sont saines)
Mais encore une fois, si tu n’as pas besoin de telles garanties, et que tu veux une solution simple à utiliser, tu n’as pas besoin d’une source distribuée, continue à utiliser ton générateur local, il est très bien.
Le 19/06/2019 à 06h 11
Le 18/06/2019 à 18h 28
Oh oui, surtout, arrête d’en parler ça vaudra mieux pour tout le monde. En deux courtes phrases tu viens de démontrer que tu n’as strictement rien compris au problème, alors en plusieurs pages, j’ai peur que tu t’enfonces encore plus.
Déjà toute personne un peu au courant sait qu’on de “développe” pas des applications de cryptographie, on utilise scrupuleusement les technologies déjà analysées par des gens plus compétents que soi. Mais oui, tu l’as dit aussi: surtout ne pas s’intéresser à la théorie, juste au résultat. Le meilleur moyen en cryptographie de faire n’importe quoi.
Et dans le genre n’importe quoi, ne me dis pas que tu es réellement intéressé ici par une source publique d’entropie pour en dériver des clés secrètes ? Vite, donne-moi les références de l’application que tu as écrite, histoire que je m’assure de ne jamais l’utiliser.
Le 18/06/2019 à 15h 46
Woaw l’argument imparable. Scotché je suis, tu as tout compris.
" />
Que tu le comprennes ou non est indifférent. Le système tel qu’il est décrit (et pour s’en convaincre il suffit de lire les documents - ce qui je l’admets requiert un minimum d’ouverture d’esprit) a pour intérêt principal la possibilité pour un auditeur de vérifier que le tirage n’a pas été biaisé par un des participants.
Je ne peux donc que te proposer de lire attentivement l’article de blog et d’essayer de le comprendre. Par exemple en s’attardant sur les mots “unbiasability” et “verifiability” qui sont d’une portée plus importante qu’une remarque sur le mot “retrieve” sur lequel tu sembles faire une fixation.
Évidemment que le protocole te permet de retrouver la valeur… personne n’affirme le contraire. Ca servirait à quoi un générateur aléatoire parfait, mais dont on ne pourrait pas retrouver les valeurs ?
Le 18/06/2019 à 12h 27
Ah bon ??? C’est marrant, ce n’est pas ce que je lis… Allez, je cite ta citation :
To retrieve and verify the latest random value using the experimental configuration, install Golang v1.11+, set your GOPATH, and execute:
A ton avis, le “and verify” dans le texte, il veut dire quoi ?
Le 18/06/2019 à 11h 40
Non, ils n’auraient pas pu faire plus simple. Le but n’est pas “bêtement” de générer une valeur aléatoire, mais bien de prouver que cette valeur est sans biais. Cette preuve ne peut être fournie qu’en donnant une implémentation du protocole, que tu peux vérifier.
Le 18/06/2019 à 11h 37
Oui.
C’est un UUID v4 ( reconnaissable au 4 dans -4F0D- ) donc contenant 122 bits aléatoires. Pas nécessairement “vraiment” aléatoires, mais qui contiennent quand même pas mal d’entropie… Je ne sais pas exactement combien (il a été généré par la fonction “generate GUID” d’un IDE Delphi 7 tournant sous Windows XP SP 2…) mais je ne me fais pas trop de souci quant à son unicité :-)
Le 18/06/2019 à 09h 13
D’après ce que j’en ai compris, le but ici n’est pas de fournir “simplement” des sources d’entropie supplémentaires (ce n’est, en soi, pas trop compliqué). Le but est de fournir des nombres “prouvablement” aléatoires, c’est-à-dire dérivés de plusieurs sources fiables.
Le protocole est ainsi que N sources réputées fournissent chacune un nombre aléatoire, et que de ces N sources on dérive un unique nombre aléatoire final qui possède deux caractéristiques fondamentales: d’une part il est démontrable que ce résultat final utilise l’entropie combinée des N sources, et d’autre part que même si un nombre restreint de sources se liguent entre elles pour fournir des valeurs biaisées, il leur est statistiquement impossible d’influer sur le résultat final.
Faille RAMBleed : récupérer des données en mémoire grâce au martèlement
13/06/2019
Le 14/06/2019 à 10h 46
Ah si si, certain ! C’était un CDC Cyber 170-750 avec 256K mots de 60 bits (en transistors) et un CDC Cyber 170-720 avec 128 K mots + un Extended Core Storage de 1M mots (toujours de 60 bits) en ferrite… Le 750 avait un sous-sytème (nomme TELEX) de consoles interactives via des lignes RS-232 (je connais encore le détail de la topologie, je vais pas étaler toute ma culture confiture d’un coup, mais oui j’étais devenu très familier avec l’architecture, : fier !!! : ) Les imprimantes et les lecteurs de cartes (en tout cas ceux hors de la salle machine) étaient vus comme un terminal interactif, les cartes faisant input, l’imprimante faisant output.
Vieux je suis, mais c’était quand-même pas la préhistoire, on ne gravait plus les cartes avec des outils en silex depuis quelques années !!!
Le 14/06/2019 à 09h 45
Manifeste v3 et bloqueurs de publicité dans Chromium : 150 000 règles pour Declarative Net Request
13/06/2019
Le 13/06/2019 à 12h 19
Le 13/06/2019 à 09h 46
macOS Catalina abandonne Bash pour Zsh, des soucis suspectés de licence
06/06/2019
Le 07/06/2019 à 10h 21
En 93 j’avais tenté d’installer une Yggdrasil…
Imprimante Postscript … tout est dit … faut être motivé
Le 07/06/2019 à 08h 22
Dinosaures … qui pouvaient imprimer. En ‘93, pour imprimer sous Linux autre chose que des textes ASCII, il fallait être motivé…
Windows 10 1903 n’exige 32 Go de stockage que pour les machines neuves
05/06/2019
Le 05/06/2019 à 14h 03
Sans pour autant justifier quoi que ce soit, le répertoire winsxs est trompeur, il ne contient généralement que des hardlinks vers des fichiers présents ailleurs. Le “problème” est que le shell de Windows ne sait pas ce qu’est un hardlink et rapporte le double de la place réellement occupée par ces fichiers.
Le 05/06/2019 à 12h 08
Vos identités sur les réseaux sociaux exigées pour un visa vers les États-Unis
03/06/2019
Le 03/06/2019 à 14h 13
Tu as oublié l’escalade d’un mur.
" />
Ah ben non, zut, Donald n’a pas eu le budget pour le construire
Le 03/06/2019 à 12h 27
Le 03/06/2019 à 12h 10
Je suis déjà tombé d’un avion, ça ne fait pas franchement mal…
Le 03/06/2019 à 11h 50
Le 03/06/2019 à 09h 21
Mouais. Mais c’est quand-même plus écologique d’aller consommer soi-même les McDo directement aux US plutôt qu’importer les ingrédients séparément !
Le 03/06/2019 à 08h 54
SI tu n’es pas pressé, tu peux faire la traversée en bateau aussi, notamment les porte-containers ont quelques cabines pour des passagers. Les documents de douane ont expressément une case où tu peux mettre le nom du bateau par lequel tu es arrivé.
Le 03/06/2019 à 08h 30
Le 03/06/2019 à 08h 26
En tant qu’Européens on a rarement besoin d’un visa pour aller aux US, l’ESTA suffit, et ne semble pas (encore…) touché par la mesure.
Starlink : SpaceX réussit le lancement de 60 satellites et récupère son premier étage pour la 3e fois
24/05/2019
Le 26/05/2019 à 13h 44
Samsung apporterait deux changements pour résoudre les problèmes de son Galaxy Fold
17/05/2019
Le 17/05/2019 à 10h 15
>> Des poussières pouvaient venir grimper la mécanique
" />
Ça existe, des poussières avec un diplôme d’alpiniste ?
Le Patch Tuesday de Microsoft est là… avec un correctif pour Windows XP
15/05/2019
Le 16/05/2019 à 06h 39
Et Apocalypse 25
" />
Merci de la précision. Je sais que j’avais bidouillé mes quelques XP restants pour leur faire croire qu’ils étaient des versions “embedded” pour lesquelles il y avait un support étendu, mais maintenant j’ai un peu perdu le fil.
Le 15/05/2019 à 14h 39
Si mes souvenirs sont bons, XP avait eu droit à un patch pour Spectre/Meltdown/Whatever. Ou bien je bats la campagne ? En tout cas j’ai vu passer quelque chose à l’époque, mais je vais pas rallumer la machine juste pour aller voir, donc si vous pouviez chercher à ma place…
Elon Musk obtient la médaille Stephen Hawking
14/05/2019
Le 15/05/2019 à 07h 12
Il a l’air radieux sur la photo…
Ok, je sors —> []
StarLink : lancement prévu cette semaine de 60 satellites dans une fusée Falcon 9
13/05/2019
Le 14/05/2019 à 08h 44
Il n’y a ici aucun existant à mutualiser… Même si c’est vrai qu’à terme il vaudrait mieux mutualiser, à un moment, il va bien falloir qu’un acteur se décide à lancer la première constellation pour valider le concept, voire plusieurs avec des technologies différentes.
Donc un commentaire qui dit à une palanquée d’ingénieurs qui ont bossé le sujet “mais non ne faites pas ça, moi depuis mon fauteuil j’ai trouvé la solution qu’il vous faut” dans un forum d’informaticiens-certes-avisés-mais-pas-rocket-scientists-pour-autant (attention, je dis pas qu’aucun d’entre vous n’a les qualifications, hein, je parle en général, et je sais qu’il y en a au moins un ici qui ne saurait pas comment mettre un truc en orbite : moi-même ; je ne suis déjà pas sûr de pouvoir allumer un chauffe-eau (*)), heu, ma foi, si, je trouve que c’est en plein dans le mille.
(*) Référence : Gaston Lagaffe…
Le 14/05/2019 à 08h 22
Les téléphones satellite n’ont pas de parabole, donc on peut rêver qu’une “simple” antenne suffise. Quant à sniffer le trafic, ça ne peut pas être différent des comms sans fil existantes…
Le 13/05/2019 à 09h 55
Oui je sais en plus… J’ai tellement l’habitude de les servir à mes collègues américains quand ils viennent avec leurs idées qu’ils croient révolutionnaires…
Sorry. Heuuu désolé.
Le 13/05/2019 à 09h 16
Et a-t-il pensé aux rayons cosmiques ?
http://www.commitstrip.com/en/2016/06/02/thank-god-for-commenters/
Microsoft améliore les performances de Chromium
13/05/2019
Le 14/05/2019 à 08h 11
Mounir Mahjoubi veut déployer 240 drones de protection et 20 000 boutons bleus d’urgence dans Paris
29/04/2019
Le 01/05/2019 à 13h 54
Le 29/04/2019 à 12h 23
Hmmm ou alors la technologie nano 2.0 :
YouTube
Bandes-annonces : After, Just a Gigolo, Star Wars : L’Ascension de Skywalker, Playmobil, etc.
16/04/2019
Le 19/04/2019 à 13h 16
Et pourtant, si …
" />
http://cinema.jeuxactu.com/news-cinema-star-wars-quand-chewbacca-s-appelait-chiktaba-et-han-solo-yan-28943.htm
Bon oui, pas très souvent, mais si, si, ils ont osé…
Le 18/04/2019 à 06h 34
reboot redémarrage, une suite, spin-off série dérivée, un préquel antépisode
" />
Le 17/04/2019 à 07h 07
(pour embrayer sur l’explication de Ler Van Keeg)
“Star” dans ce contexte est un nom collectif qui représente plusieurs étoiles. Il en va de même dans le “Star Spangled Banner”, un drapeau américain, qui a plusieurs étoiles. Plus prosaïquement, on peut aussi le traduire par l’adjectif “stellaire”
Dans le genre des traductions allakon, il y a aussi des versions (québécoises je crois) ou le héros principal s’appelle Luc Courtleciel…
Star Trek (littéralement “randonnée stellaire”) est un exemple des deux, d’une part Star comme collectif et d’autre part les premières diffusions en français (en tout cas à la Ertébé, télévision belge, le mercredi après midi juste avant Feu Vert dans les années soixante-di septante) avaient un titre traduit, sais plus exactement quoi, du genre “Le chemin des étoiles” ou un truc comme ça. En tout cas c’était différent de “La patrouille du cosmos” des Québecois.
Pas confondre avec “La piste aux étoiles” qui présentait des numéros de cirque.
Dans sa lutte contre la désinformation, YouTube a mélangé incendie de Notre-Dame et 11 septembre
16/04/2019
Le 17/04/2019 à 07h 59
Chouette, on est déjà vendredi :-)
Quand on renvoie vers Ouiquipédia, il faudrait d’abord lire l’article qu’on référence… Si de fait “politically correct” était en usage aux Tazunis durant le 19e siècle, il l’était dans des textes légaux, ce n’était pas dans son sens actuel qui dénote un excès de galipettes sémantiques.
Par ailleurs, personne ne reproche à Youtube de mettre des références vers des encyclopédies. On se contente de faire remarquer que c’est du pur pipeau marketing. Il fallait faire quelque chose, alors on a fait quelque chose.