votre avatar

KissFC

est avec nous depuis le 10 janvier 2014 ❤️

196 commentaires

Le 21/01/2017 à 09h 17







Picos a écrit :



D’après l’actu, Qobuz est sur le cloud Amazon







C’est pas un village de campagne Amazon WS. C’est plutôt un circuit de course. Je ne pense pas qu’Amazon soudimmensionne sont interco.



Par contre, le peering est vraiment un problème pour nos FAI français. Les français consomme énormément de contenus stockés aux US. Le peering est clairement pas a notre avantage ou nous ne parvenons pas a faire transité autant de données dans l’autre sens.



Su coup, ca se paye, par les FAI et/ou fournisseur. Et quand personne ne veut payer, c’est les clients qui sont lésés.





Toi, tu sais pas de quoi tu parle. Internet, fonctionne comme un service de livraison postale : c’est celui qui envoie le courrier qui paye.

Libre à la personne qui envoie le courrier de faire payer le client qui la reçoit.

Exemple pour un service de type vendeur en ligne.

Vendeur vend machin a client.

Vendeur paye laposte, UPS, GLS, whatever, et client reçoit sans rien débourser. Mais libre a vendeur de répercuter de n’importe quelle manière que ça soit le prix sur client.



Pour la même analogie. Qobuz est vendeur, client est client. Qobuz héberge chez AWS. AWS paye (et n’a pas de backbone en propre, mais passe par tata, principalement), arrivé en France, deux possibilités : tata jusqu’à l’abonné, ou prise en charge des colis par Orange.


Le 11/01/2017 à 13h 53

Une charte informatique n’est pas suffisante. Où alors faut qu’il y ai de nombreuses précisions contextuelles. Mais également le cadre légal doit être respecté : une charte, règlement intérieur, ou autre, ne peut malheureusement se substituer à la loi, et bien souvent j’ai vu des clauses suffisante pour rendre n’importe quelle charte informatique caduque.



Je pense notamment aux cas de filtrages après examen des contenus : c’est déjà interdit par la loi, le filtrage doit se faire en aveugle. Je pense aussi aux fermetures de ports et filtrages au niveau protocole qui doivent être motivés. En première instance de découverte des problèmes, au pire les personnes risquent une tape sur les doigts et mise en place de règles vues avec le CHSCT, les représentants de branche et/ou conseil juridique et DRI. Tu es donc dans le cadre du “pas de point clair dans la charte” et donc pas de sanction possible.



Ouai, c’est chiant et complexe, mais faire ça bien, c’est un gage de qualité.

Le 10/01/2017 à 17h 03

Pour ce faire, il faut que ça soit faire proprement, sinon l’entreprise n’a pas trop le droit de fouiller dans le privé.

Je suis d’accord sur le fond, mais la forme est encadrée, se qui rend difficile la mise en oeuvre de recherches telles que tu les décris : si la forme est mauvaise, l’entreprise se fait débouter ET ça lui coûte cher.

Le 10/01/2017 à 05h 26

Je me suis payé mon 3Gs, je l’ai encore et je m’en sert tout les jours : je vois pas pourquoi changer, il tient ses 5 jours de charge en utilisation normale, voir ++ (wifi en permanence, m’en sert comme télécommande multifonction).

Hormis la coque plastique arrière qui a cuit, et bonne à changer, un cran dans le verre de l’écran, et éventuellement la batterie a changer pour qu’il tienne sa semaine, j’ai pas grand chose a lui reprocher.

Le 04/01/2017 à 09h 45

C’est ça. 

Mais l’offre n’est pas en adéquation. Les TPE/PME sont cantonnées en périmètres bâtards : il manque des offres de mutualisations pour eux avec des services couillus.











alex.d. a écrit :



T’as pas dû chercher longtemps. 9.60€ TTC le bloc de 8 IP v4 supplémentaires sur l’ADSL OVH, pour rester dans le “grand public”. Disponible aussi chez Nerim, bien entendu. 

Evidemment tu n’as pas ça chez Sosh ou Darty Box, mais de là à dire que “ça n’existe pas”, quand même… 

 





Nerim est une marque blanche de numéricable a destination des pro, je peux t’en citer d’autres. OVH n’est pas disponible partout et niveau GTR/GTI/configuration du bousin, t’es loin de la performance attendue pour de l’entreprise. Tu cite deux exception parmi 4. Free propose un service NS sur 1 ip, les FAI associatifs peuvent proposer de l’IP. Après c’est du carrier/transit qu’il faut taper, et tu l’aura pas à moins de payer très cher en cat’ “pro”.



Bref, toujours pas en adéquation avec la demande. :)


Le 03/01/2017 à 07h 52

Le problème est le manque d’offres en adéquation avec la demande.



Une TPE/PME aura besoin d’un débit important pour ses usages mixtes (connexion d’entreprise utilisée a titre privée) et pas forcément d’un usage en termes de disponibilité.

Mais le principal soucis, c’est que même pour une TPE/PME qui pourrait bénéficier d’un rapatriement des fonctions réseaux en interne (NS/Mail/Site web), il n’y a simplement pas d’offres : aucuns FAI ne propose de bloc IP, ni de gestion des NS, ni même d’avoir un AS virtuel. Du coup, pour du métier et de l’overIP (admettons faire travailler un ERP sur plusieurs sites ?) v’là les limitations.



Mes parents sont chez OBS, avec périmètre d’action “orange pro” via abonnement OBS open : le GTR de 4h, tu t’assois dessus de manière effective. Au mieux on a un GTI de 4h. L’infra n’est pas doublée, et pire encore, ils ne proposent pas de VDSL (alors qu’en abonnement pro/particulier, c’est no problèmes, la boucle locale ayant déjà tournée en 9820). Bon, l’avantage quand même c’est le matos derrière qui est pas trop le même, la VoIP, y compris sur smartphone plus facilement configurable qu’en offre “pro” (asterisk, redirections sur le smartphone, numéros couplés et SDA configurable) et un allègement de la facture finale de quelques 100e d’euros si ils abusent pas quand ils sont à l’étranger.



Il y a aussi le distinguo a faire entre offre “carrier IP” (les offres a plusieurs milliers d’euros) et une offre “full service” : la granularité est juste une jungle sans nom au dessus de la section “pro” dérivée des offres GP. 

FTTO en offre carrier IP/Transit, elle arrivera quoi qu’il arrive même au trou du cul du monde : l’entreprise paye la mise en place, et c’est environs 2 a 3k euros du mettre de fibre déployée (ou de cuivre) et tu paye sur 3 critères : GTI/GTR, débit, trafique (l’internet tel qu’il devrait être en gros), carrément hors de propos pour une TPE/PME. Mais très acceptable pour une top10 avec un pole IT qui sait se qu’il fait.



Bref, beaucoup de choses dites dans les commentaires, mais pas réellement de connaissances de comment ça marche. Pour l’article, c’est “normal” : toute entreprise doit passer par des appels d’offre, sinon au niveau comptabilité, ça passe pas. (abus de bien sociaux si non réponse au mieux disant, du coup, sans analyse, les TPE/PME restent dans la limite de se qui est acceptable).

Le 01/12/2016 à 20h 08

Je vais vous arrêter de suite sur vos délire de fibre.

Oui, a 1Gb/s c’est du 270Tio en 60 heures. Mais le 10Gb/s oubliez pour le grand publique avant … Longtemps. Les cœurs de réseaux montent pas encore assez vite. Les fibres noires (loué, a utilisation non publiques avec des protocoles custom) au mieux on atteins le Tio, avec des agrégations multiples.

Là, on parle quand même en Peta. Soit 1000 fois plus rapide que le tera, soit 1000000 de fois plus rapide que le giga.

Transférer 1 peta, avec une liaison au tera, ça prend déjà du temps. Une fibre payée en point à point au mieux va plafonner au giga, donc pour charger le camion c’est déjà plus rapide, 1000 fois. Et une fois sur la route, le transfert est lui quasiment instantané (comparé au temps qu’il faudrait pour transférer la masse de donnée avec une liaison point a point louée à 1Gbs.)

Le 19/10/2016 à 17h 29

Réparation en temps masqué : tu fait pas qu’une télé mais tu peut réparer a la chaîne. Pendant que tu diagnostic une télé, tu peut réparer une autre/faire autre chose si t’as les outils qui vont bien. Du coup, le temps de réparation réel de la télé est plus proche des 10 minutes que de l’heure.

Le 11/10/2016 à 21h 37

Les pays les plus riches du monde sont situés sur le continent sud américain car ils n’ont plus de dette souveraine. Je parle bien des pays et pas des peuples. Il est donc bel et bien possible de réduire une dette a 0.

Accessoirement, c’est aussi des pays mal notés par la finance car ils la finance ne fait pas de “benef’” sur eux.

C’est aussi des pays où les gens même s’ils vivent sous le seuil de pauvreté ne meurent pas de maladies anciennes.

Ils n’ont pas le confort moderne mais pourtant s’en sortent pas mal. Je pense a l’équateur, le chili ou le pérou. L’économie n’est pas basée sur la vente de services et on est bien dans le contexte social, économique et culturel.&nbsp;<img data-src=" />

Le 19/09/2016 à 10h 50

Ah mais c’est vrai que ton trafique ne passera jamais par un IX : SFINX, Equinix ou France IX pour ne citer qu’eux.



Rêve pas, le prix d’un IX est tellement gros que t’es obligé d’avoir du trafique d’état dessus et donc forcément de la surveillance, même pour un opérateur privé.

Pire encore, l’état Français n’a même pas besoin de s’emmerder avec les lois sur le renseignement en France pour écouter le trafique internet : 80% du trafique passant par le LINX basé a Londre… <img data-src=" />

Le 17/09/2016 à 11h 20

Parce que justement, je comprend moi, que notre réseau cuivre, 2 ans après le rapport, il nous handicap maintenant au niveau de la mise à niveau et des besoins “industriels”.

Et c’est même pas à voir avec les particuliers, mais bien les entreprises.



Pour donner une idée, un petit village entre Lille et Roubaix, SUR la dorsale fibre entre le pôle technologique de Lille et de Roubaix, ils se tapent encore un lien actelis avec un soutien radio pour les transmissions IP, 2x8 SDSL LD agrégés + radio soit 100Mbs pour un village, les débits agrégés tombent en permanence sur le NRA.

Et personne ne prévoit de fibrer ne serait-ce que le NRA … Parce que le cuivre, fonctionne et les débits clients&lt;=&gt;NRA sont bon (synchro au max pour 90% des habitants en ADSL)

Ce n’est pas une exception.



Sans compter que les débits asymétriques, aujourd’hui, “really ?”.

Le 16/09/2016 à 21h 30

Et le PIB Français est de combien supérieur ?

Les “benefs” d’une entreprise comme Orange sont de combien sur le territoire FR ?

Et pour finir, quel est le schéma de déploiement pour la Roumanie ?



Non, le problème est vraiment d’avoir un internet “à la française” ici. Mâtiné d’une course aux profits.

Chiffres en vrac : Roumanie passant en 2011 (déjà dans l’UE) de 0% (dernière place) a 2014 en première place. Même pour une zone “2 fois et demi” moins importante, c’est du foutage de gueule en termes de pénétration pour nous : l’enjeux est bel et bien économique et industriel, mais pas dans le sens que l’état voudrait ici nous faire croire.



@joma74fr

Le graphique provient de la conférence de Varsovie :&nbspnextinpact.com Next INpact

Et ça montre bien qu’en France, on va a l’encontre de se qui est fait et fonctionne ailleurs : les acteurs sont tenus par les burnes dans les pays émergeant est-Européens, il y a guère que par chez nous ou il n’y a aucunes obligations de résultats ni de mise en oeuvre d’une politique territoriale.

L’investissement ne peut pas venir que de la part de l’état, en revanche, il devrait y avoir une obligation de service rendu au titre de l’égalité de développement au niveau des territoires, et là où ça devient grave, c’est que justement avec les nouveaux découpages régionaux, nos régions sont rentrées en concurrence non plus nationale mais pan-européens sans pour autant avoir les moyens d’investissement requis sur des sujets tels que celui des telco.

Vue la misère que c’est, et l’importance d’avoir des telco performantes pour les implantations industrielles, la France risque de s’appauvrir assez rapidement.

Le 16/09/2016 à 17h 51

Ah ? Si tu le dis.&nbsp;

https://www.degroupnews.com/wp-content/uploads/2015/02/classement-FTTH-monde.jpg

Le % de pénétration fibre en France est juste ridicule : on est donc bien dans internet by “La France”.

Imagine un peu : la Roumanie est au dessus de la France. Alors soit la fibre posée en France coute la peau des couilles et est en diamant avec un blindage (olol) en or massif. Soit les roumains investissent mieux. Tu m’étonne que la France perde des emplois si au niveau industriel justement, les investissements en termes de telco sont aussi mal gérés.



http://www.slate.fr/story/109343/carte-france-probleme-internet

Ce genre de cartes, c’est encore pire, on parle même pas du THD mais juste du HD. Et on veux coller les zones blanches sous MeD radio ? Juste pour accentuer la fracture même pas avec le reste de la France mais carrément avec l’Europe a ce niveau.

Ironiquement, la France a le moins bon taux de pénétration mais le meilleur taux de transformation et d’abonnés : c’est bel et bien que la demande est présente sur TOUT le territoires et que potentiellement sur 50 ans (période d’investissement infra) c’est largement rentable.

Le 16/09/2016 à 12h 38

Et comme ça on limite internet a du minitel sans besoins de temps réel pour une frange de la population. Internet n’est pas qu’une question de débit, comme le montrent les usages “fibre” : le besoin d’upload et de réactivité (ping) devient assez prépondérant. D’ici 2022, vue la vitesse d’évolutions des technologies, le plan sera déjà a l’ouest avant d’être entériné et appliqué là où il devrait être.



On peut même plus dire il y a l’internet et l’internet by “FAIquevousvoulez” mais internet et internet by la France.

Le 14/09/2016 à 23h 40

Je te trouve sévère pour ce coup, l’intox, ça provient pas que de la droito-facho-sphère.

Amha c’plus une question d’extrêmes et c’est clairement dans l’intentionnalité, donc ça peut impliquer tout les bouts de la chaîne. D’ailleurs, je pense qu’on est très loin du mode de pensée en 2 dimensions a présent.

Le 14/09/2016 à 14h 57

Hein ?









jaffalibre a écrit :



Internet c’est juste le nom que l’on désigne a l’interconnexion de plusieurs sous réseaux hein. C’est juste que tout le monde prend comme standard le TCP / IP comme protocole de communication. Hors ce protocole ne permet pas d’assigner de lui même une adresse IP, c’est la raison d’être de l’ICANN. De plus il faut un annuaire pour convertir une adresse en nom commun d’où le DNS. Hors les serveurs DNS sont dans le monde entier (bon oki t’en a la moitié aux US).



Tout ca pour dire, c’est pas ‘internet’ qui limite mais le protocole.





Première phrase &gt; Ok.

2e phrase &gt; aucuns rapport, je peut “NATer” un réseau entier et l’interco avec internet en utilisant des ressources internets sur les IP, sans soucis.

3e phrase &gt; Ben, si. Y compris sur internet. BGP, AS et protocoles de routages, c’pas fait pour les chiens. La raison d’être de l’ICANN c’est justement de permettre un routage de bas niveau et de maintenir le routage au niveau BGP, pas de gérer des adresses IP : c’est le rôle des RIRE. Avec le RIPE, IANA, etc …

4e phrase &gt; L’annuaire il se fait en propagation DNS/AS/BGP. Mais pas sur TCP/IP au niveau d’internet.



Révise tes couches OSI avant de dire des bêtises.


Le 06/09/2016 à 08h 52

A mon avis, Gabe Newell n’est pas innocent dans cette histoire.

Le 22/08/2016 à 20h 27

“Un autre exemple.&nbsp;Jusqu’en 2014,&nbsp;GnuPG, l’outil de référence pour générer et gérer les clés, ne vérifiait généralement pas celles reçues. Une attaque type homme du milieu ou un DNS menteur, pour mener vers un faux serveur avec une clé disposant du même identifiant,&nbsp;pouvait ainsi conduire&nbsp;à télécharger une clé malicieuse en toute discrétion.“Tu récupère bien des clés legit dans ce cas. Il suffit d’une clé forgée par collision “faible” dans la chaîne de confiance et toutes les autres tombent en cascade. Il n’y a pas bruteforce =&gt; tu reforge le certificat racine a la suite. Tu collisione pas toutes les clés, juste une suffit : comme dit au dessus tu reproduis ensuite le certificat racine.

Le 22/08/2016 à 17h 41

Rajoute aussi qu’il y a une volonté de recréer l’emprunte par captation de messages “legit” envoyés aux serveurs : le cassage du certif ne se fait pas par brute force mais par compilation de réponses.

La volonté n’étant pas plus de casser que d’avoir une emprunte valide durable dans le système.



Pour la puissance de calcul, elle est toute relative, ça fait un certain temps que les puces AMD sont devenues très bonnes pour faire ce genre d’opérations sha/ash + guess, restait qu’a monter un POC pour montrer que PGP était faillible de la sorte sur certaines configs.

Se qui m’étonne, c’est le nombre de bits nécessaires relativement faible pour reforger une clé valide, ça veux dire que derrière reforger une empreinte complète devient possible en relativement peu de temps. :/

Le 22/08/2016 à 14h 09

PGP peut forger un certificat qui sert a signer ou a chiffrer.

Edit : double BBqed.

Le 13/08/2016 à 16h 38

L’implémentation est laissée libre aux intégrateurs, OEM et fabricants de CM. Le problème n’est pas Microsoft mais les intégrateurs, OEM et fabricants de CM.



SB n’est qu’un élément d’un tout, UEFI a simplifié et formaté les choses : c’est un standard. Avant, c’était bien pire : une table ACPI mal fichu t’empêchait d’installer ta distro sur certains mobales. Comme le dit Linus, le problème n’est pas SB, Linux supporte le x509 (et ce de manière active puisque les devs kernels sont les principaux contributeurs), mais l’implémentation qui n’a pas été standardisée.

Si tu prend tianocore de base, le module secure boot se résume a intégration de certifs x509, une fonction sha256 pour le hash, db et dbx. Microsoft demande une interface compilée avec leurs compilo UEFI maison avec un flag mft sur le module, et que le binaire soit signé via HSM. Y’a pas de standardisation. CoreBoot a techniquement un moteur de gestion de signatures qui permet d’avoir un secureboot fonctionnel mais pas de clés MS intégrées : c’est pas standard encore une fois.

Donc les fabricants de CM/OEM/Intégrateurs font se qui va leurs rapporter des brouzoufs : certif microsoft même si c’est pas standard et basta.



Le soucis, c’est que si les utilisateurs ne poussent pas a demander un standard avec une gestion centralisée documentée, MS se bougera pas et les fabricants de CM non plus, la réponse que les utilisateurs sortent c’est “je désactive SB” ou “je passe en legacy + CSM” (se qui est encore pire). Quant tu vois des systèmes comme GPT + EFS + stack drivers .efi sous utilisés, qu’on conseille d’utiliser grub et de rester en mode legacy pour 99% des tutos, ça fait peur. “c’est compliqué” : Non, c’est carrément plus simple, UEFI détecte lui même les bootloader, et le chainloading n’existe plus. Grub/Elilo/Whatever, ça ne sert plus a rien en réalité : l’amorçage en UEFI n’existe pas. Suffit juste d’un manager (soit intégré a la CM soit custom style refind/BCDmanager de microsoft).

C’est tellement simple que ça permet de faire du stateless dès le PE.



Moralité, c’est pas après microsoft qu’il faut gueulé, mais après asus, gigabyte, whatever, de supporter le soft.

Le 13/08/2016 à 06h 47

Je suis sysadmin. Et je préfère 100 fois plus UEFI que BIOS.

Le 12/08/2016 à 18h 42

Il y a des concepts sympathiques, reste a savoir combien de temps l’utilisateur final d’un produit restera concerné.

Je fait partie des rares fouteurs de merde dans ce genre de consortiums, en revanche, j’exècre le fait de cracher sur la technologie pour des problèmes philosophiques. La technologie est neutre jusqu’à présent, et le soucis : plus les gens cracheront dessus, plus les industriels feront tout pour passer en force avec des éléments techniques où justement, les mecs comme moi n’auront plus leurs mots a dire. Et donc, moins la technologie sera neutre (et génératrice de problèmes d’administration.)



Faut bien comprendre qu’il faut une évolution, le mieux restant de laisser aux gens dont c’est leurs travail, le faire et pas coller des assertions juste par principe : ça ne fait que modifier les opinions mais pas le fondement. Le fond est “honnête”, la résultante l’est moins, et le sera de moins en moins, parce que l’utilisateur final refuse de faire sa part de taff : apprendre a utiliser le système.

Le 12/08/2016 à 15h 20

Techniquement, non, tout device peut être locké par firmware de bout en bout de la chaine : CF l’utilité d’une puce type Nuvoton, IPMI management board et autres concepts de management OOB et BMC. Hormis que les canaux ne sont pas pour le moment signés de manière obligatoire.

Il y a des POC qui circulent sur du trusted computing.



Pour voir des trucs vraiment crasses faut plutôt aller jeter un oeuil direction TCG, TPM et autre&nbsphttp://www.trustedcomputinggroup.org/ ou là, on parle vraiment de cadenasser l’infra et les device.

http://www.iotsworldcongress.com/ge-intel-microsoft-mit-red-hat-schneider-and-th…

Vous comprendrez que SB n’est pas un enjeux prioritaire : ils ont autre chose a se foutre sous la dent (généralisation d’Opal dans les puces Nuvoton, TPM a tout les niveaux)&nbsp;<img data-src=" />

Le 12/08/2016 à 14h 18

Grosso modo, c’est ça. Hormis qu’ils ont bien poussés en tant que contrib a l’adoption de SB pour une raison : securiser des firmware (comprendre firmware dans le sens association matériel + logiciel créés et bloqués par des firmes/industriels). Pour une raison simple : ils sont les premiers pourvoyeurs de solutions sécurisées “open source” pour le gourvernement US. Miscrosoft arrive bien après ceux mentionnés.



Pour les solutions, il y à en réalité 3 :

-Shim, poussé par RedHat et canonical.

-PreLoader signé par MS pour la Linux Foundation.

-Canonical qui fait signer ses kernels en passant par les mêmes certifs que MS auprès de VeriSign/Symantec (ils ont les mêmes signatures hash)



Actuellement, les premiers “promoters” de SB sont même pas les promoters de UEFI mais les fabricants de portables, IoT et autres single board computer : ça leurs permet de contrôler se qui tourne sur leurs machines (chose que microsoft, par design, ne peut pas faire, même si ils aimeraient et à la condition qu’ils le veuillent).

Le 12/08/2016 à 12h 13







Konrad a écrit :



Pour l’UEFI oui, mais pour les clés Secure Boot, non : seuls les OS certifiés par Microsoft peuvent démarrer quand le Secure Boot est activé. Les prix vont de 1500 à 70000 Dollars pour une clé. On comprend pourquoi les autres OS ont tiré la gueule.



Alors certes chacun peut créer sa clé dans son coin comme cela a été mentionné, mais il faut admettre que ce n’est pas à la portée de tout le monde. Ce serait vachement plus simple si les clés étaient gérées par un consortium.





Non :

Microsoft sont les seuls certificateurs car ils sont les seuls a proposer des garanties pour que la certification soit considérée comme fiable par l’industrie.

Mais SB a été poussé par les fabricants de smartphone, RedHat, Apple, IBM, pas microsoft.

DEAL

WITH&nbsp;

IT

Au lieu de raconter de la merde.



Une clé KEK chez microsoft c’est 99$ pas 1500 a 70000. Ce prix c’est pour un HSM (Hardware Security Module). Soit un ordinateur certifié qui te permet de booter une infrastructure totalement sécurisée (une sorte de TPM INFRA), c’est généralement utilisé dans des centres de données genre OVH sur leurs infra cloud, du stockage en big data, les OEM genre Lenovo/Asus pour avoir le droit de faire et fournir des golds au publique … Sur des solutions a plusieurs millions de brouzoufs juste pour une baie @42U.



Toi en tant qu’utilisateur final (et encore, microsoft te signera jamais une clé pour tes beaux yeux, il faut être une organisation) :&nbsphttps://blogs.msdn.microsoft.com/windows_hardware_certification/2013/12/03/pre-s… c’est ça qui t’intéresse. Et le dernier état de l’art en matière de secure boot est ici :&nbsphttp://www.uefi.org/sites/default/files/resources/UEFI_Plugfest_2013_-_New_Orlea…



Document qui mentionne au passage l’existence d’une autorité interne de certification reconnue mais non disponible au publique : canonical.

Bon maintenant, si on reprend en détail l’article, ça parle principalement de mode debug sur des devices qui ne sont pas vraiment des windows 10 “mainstream” mais plutôt des machines type portable, windows RT etc …

Et que les failles ont été introduites a la mise à jour pour redstone : c’est pas une backdoor en tant que tel mais une infra de mise à jour détournée de son utilisation et laissée en l’état sur les devices.



Et en passant, il ne faut pas un mais trois (3!!!) reboots pour mettre en place cette infra de manière totalement fonctionnelle avec validations de la part de l’utilisateur final, genre le truc super discret quoi. Et c’est, comme précisé dans l’article, pas comme si tu pouvais pas non plus passer ton device en mode nontrusted de manière hard, et pas comme si tu pouvais pas désactiver secureboot sur les ordinateurs individuels.



Braif … Le FUD prend bien a se que je vois et en plus il est poussé par des personnes qui auraient plutôt tout intérêt a bosser avec MS plutôt que contre.



PS : si vous êtes pas content de la manière dont est implémenté secureboot par votre OEM/Fabricant de matos, libre a vous de vous tourner vers des fabricants “responsables” : gigabyte, CM “anyOS” style QUO computer, installer coreboot, faire vous même vos propres UEFI, hacker votre UEFI via mmtools … Braif, les solutions ne manquent pas.


Le 11/08/2016 à 18h 14

Je te laisse voir les spec d’EFI sur Itanium, d’EFI sur matos Apple. Du blindage demandé par IBM sur leurs serveurs. Et les demandes de RedHat concernant l’UEFI, d’ailleurs, Shim, c’est pas un hasard si ça provient de RedHat (il était dans les cartons depuis un bout de temps, puisqu’ils ont bossés a l’intégration de x509 non seulement dans le kernel linux mais aussi dans l’EFI, c’est AUSSI pour ça que Linus l’a mauvaise concernant le secure boot.)

Le problème n’est encore une fois, pas la technologie en elle même, ni l’organisme certificateur.



Le problème ici, c’est, encore une fois, microsoft qui fait deux bourdes a laisser le mode debug, et une golden key kek dans la nature.



Braif.

Avant de crier au complotisme, faudrait déjà arrêter de regarder les faits de manière biaisées : hormis des suppositions sur se que voudrait microsoft. Le contrat VeriSign se chiffre en millions de dollar/ans pour “valider” une db et des PK. Le gain pour microsoft est quasi nul, la KEK a 99$ c’est vraiment économique, surtout pour RedHat avec son Shim du coup, si vous avez pas encore capté les mécanismes en jeu, même sans parler de la faille, vous avez, grâce a shim, la possibilité de signer vos kernel sans soucis avec un MOK. Mais il a été demandé a microsoft de devenir organisme certificateur, parce que personne n’avait (et n’a encore) l’équipe de dev a coller pour mater les boots process, drivers EFI et autre à valider.



Secure boot obligatoire ? A ma connaissance, il n’y a que les device arm qui IMPOSENT secure boot à l’heure actuelle. Je te laisse regarder se qu’en une bootchain et comment fonctionne un ordinateur a partir du POST jusqu’au log.



UEFI est plus simple a utiliser que BIOS. UEFI est carrément plus portable que BIOS. Et rien qu’un truc que vous avez pas encore compris : avec UEFI, c’est la FIN DES PROBLEMES D’ACPI/APIC et définition hasardeuses de matos dans une table obscure. La sécurité avec secure boot, c’était juste demandé par tout les acteurs un tant soit peu dans le coup. La mise en oeuvre vous plait pas ? Et bien faite en un vous même, proposez, si y’a autant de brouzouf a se faire, vous allez être millionnaires. (un indice : personne veux se mettre sur le créneau parce que c’est un service A PERTE).

Donc comme le BIOS : vous apprenez a utiliser l’UEFI et on en reparle au lieu de critiquer. D’ailleurs, je pense pas que les devs kernel linux soient mécontents d’être passés sur UEFI.

Le 11/08/2016 à 16h 36

Tu saute directement a la case “utiliser KeyTool”.

Le 11/08/2016 à 16h 35

Exigences qui sont : faire partit des promoters. (http://uefi.org/members )

Avoir une procédure de validation visible par tous, disponible pour tous, le financement ne rentrant pas en compte. Que la procédure de validation soit acceptée par tout les promoters.

Que les certificats soient révocables, et de pouvoir répondre à toutes demandes.

D’avoir une procédure d’audit des codes, obligeant à la confidentialité mais qui soit suffisamment performante en termes sécuritaires pour pas valider n’importe quoi.

Que les certificats racines ne soient pas hébergés en interne.

Que les certificats racines et l’organisme de certification soit connu et reconnu de tous.



Bref … Pas a la portée du premier venu. Et vu le prix que fait raquer VeriSign a Microsoft, 99$ la clé KEK privée pour installer ses propres MOK et avoir son propre Shim, c’est pas cher payé.&nbsp;



Et n’en déplaise à la majorité, ceux qui ont poussés pour l’adoption du secure boot sont Apple, Intel, IBM et RedHat. Pas Microsoft.

Le 11/08/2016 à 14h 51

Y’en avait, ils ont sauté. Je tente l’edit :O



Edit : ça me fait penser qu’il y a des goldens arm dans la nature depuis 2010 qui permettent de booter sur des chip samsung et snapdragon.

Quand c’est pour du jailbreak, on en parle positivement, mais quand c’est sur x86, oulalala.&nbsp;

Le 11/08/2016 à 14h 50

http://www.rodsbooks.com/efi-bootloaders/controlling-sb.html&nbsp;Tout est expliqué, ici.

&nbsp;Tout est expliqué dans l’implémentation de secureboot sur le site d’intel. Tout est expliqué dans le compendium pour l’EDK, et depuis que l’EFI existe sur plateforme itanium, et qu’apple ont commencés a installer les premiers éléments de sécurisation du boot.



&nbsp;Et c’est pas de la crypto mais de l’admin sys.

&nbsp;Et c’est de la très mauvaise fois que de basher microsoft sur ce point : ils sont unique certificateurs par défaut parce que personne d’autre ne veux le faire, les industriels demandant des garanties juste impressionnantes.

&nbsp;De plus, la certification et la révocation, sont sur plateforme microsoft, juste transparente. C’est pas comme si l’OS avait accès a la partie dbx/KEK/KEXt de la nvram stockant les infos UEFI/Boot/BCD.

&nbsp;Et d’ailleurs, de ce point de vue, linux est une faille de sécurité a lui tout seul : lui y accède en dur via le shell.



&nbsp;Et là, entre nous, si tu&nbsp;t’intéresse&nbsp;un minimum au sujet, tu verra que l’utilisateur lambda tel que tu le décris ne pourra être impacté par ce genre de failles : faut un accès physique a la machine. Ca peut permettre de véroler un kiosk sous windows et de le démarrer en mode “admin”, mais dans les faits avant de pouvoir installer un malware qui ira te véroler l’OS, voir un OS vérolé tout court, y’a un gouffre.

&nbsp;Et non, ça ne sera jamais simple, car c’est une fonction qui peut bricker une carte mère. (modifier les db/PK demande d’aller directement éditer les bases dans les oproms contenant l’UEFI, et donc d’écrire en mode réel, et donc … de ne plus être en mesure de booter, du tout.).



&nbsp;Seule exception, les périph ARM qui ont leurs mécanismes par design sur une partoche spécifique du stockage de masse. Seul le POST est réalisé en hard (et intégré au SoC).

Le 11/08/2016 à 14h 35

Bon, je le redis parce que visiblement, y’en a qui sont dur de la feuille : la question des certificats est un faux problème.

Vous pouvez être votre propre autorité de certification. CF le lien posté au dessus. La question de microsoft seul et unique signataire est donc nulle. Qu’ils soient la seule autorité reconnue au niveau industriel est un fait, encore que c’est VeriSign qui signe les certificats pour microsoft. Qu’il ne soit pas possible de signer les certificats autrement est faux.

Si les certificats sont révoqués : pas de soucis, signe tes propres certificats épicétou.



Edit : le problème ici n’est pas que seul microsoft puisse signer, mais que windows laisse une possibilité de booter en mode debug, et que des golden keys sont dans la nature. (édition BCD et certificats propres permettent de virer totalement la faille.)

Le 11/08/2016 à 14h 18

L’option de désactiver le secure boot peut bien ne plus être présente : c’est un faux problème, CF au dessus, tu peut installer tes propres clés.

Le 11/08/2016 à 14h 17

Shim a une clé valide. &nbsp;Tu peut installer une MOK sur Shim. Tu as donc des clés valides.

Pour les tablettes et autres : suffit de passer en mode debug hard (qui lui est obligatoire ne serait-ce que pour initier les puces) qui te permet … De passer outre secure boot et d’installer n’importe quoi dessus.

J’ai une surface pro avec mes propres bd/bdx/PK et KEK, en dual boot linux/windows et j’ai juste aucuns soucis.

Le 11/08/2016 à 13h 53

Il n’y a pas de backdoor dans le secure boot. Le seul backdoor ici c’est : goldenkey dans la nature pour microsoft et ses certifs, et windows qui boot en mode debug. Secureboot n’est pas impacté.

Tu change tes clés, tu force les clés BCD secure et tu efface toute les entrées merdique, tu change les db/dbx et t’es peinard.

Le 11/08/2016 à 13h 40

Hein ?

C’est quoi ce vieux FUD que vous nous faites ?

Non parce que Windows ne demande qu’une chose : que le secure boot soit actif.

Il est parfaitement possible d’installer son propre jeu de clés persos, genre clés privées, publiques et tuti quanti et de faire ses propres certifs sans que windows ne dise rien.

http://www.rodsbooks.com/efi-bootloaders/controlling-sb.html

Cadeau.

Et vous pouvez du coup, dire “merde” a cette faille lolesque : personne n’ira installer d’autres clés que les votre. En revanche, là ou c’est problématique, c’est que cette faille permette de démarrer windows en mode secure, sans l’être. Et ça, c’est pas un problème de secure boot, mais de windows.



Edit : et bien entendu avec vos propres KEK et db/dbx, la goldenkey de microsoft, ben elle existe plus.

Le 09/08/2016 à 12h 10

Raté :

Ce n’est pas parce qu’on a pas encore prouvé l’interaction onde mécanique &lt;=&gt; onde EM, qu’elle n’existe pas : Comme à dit le camarade au dessus, j’ai une chance sur deux d’avoir raison . “<img data-src=" />”

Pour la comprendre celle-ci, faut comprendre le runing gag de la mécanique quantique, et les interactions entropiques : il est possible qu’une vibration (mécanique donc) mette en vibration les atomes et donc leurs fasse générer de l’énergie. Il y aurait donc bien transfert.

Si pour relâcher de l’énergie, il faille un changement au niveau de la matière, la réciproque doit être possible : c’est un des buts de la mécanique quantique. Les mécaniques n’étant pas encore unifiées, on ne peut ni prouver que la réciproque existe, ou qu’elle n’existe pas. J’ai donc bel et bien une chance sur deux de me tromper. Nonobstant le caractère quantique de l’assertion =&gt; C’est un double runing gag. “<img data-src=" />”



C’est malhonnête. Et J’assume ma blague moisie à demi troll et totalement fumeuse.&nbsp;

Le 08/08/2016 à 19h 29

Depuis quand une conversion d’énergie est malhonnête, sachant que la conversion sera faite de manière “naturelle”, sans qu’on ai notre mot a dire.

Ce n’est pas parce qu’une onde est mécanique qu’elle n’a pas de répercussion EM et inversement. Y’a pas de mur qui empêche de dire “halte, toi tu sera pas convertit”.

Alors certes, énergétiquement, les rapports ne sont pas les mêmes, encore que, quand tu attaque les “plasmas” soit différentes formes …



Mais oui, si tu veux, c’est du niveau de la malhonnêteté. Mais c’est tout aussi malhonnête de dire “Non.” là, comme ça.&nbsp;



Edit : encore plus malhonnête serait de dire qu’en mécanique quantique, une onde EM a des caractéristique d’onde mécanique.&nbsp;<img data-src=" />

Le 08/08/2016 à 13h 43

Et les interactions élémentaires, c’est pour les chiens ?

A se que je sache on parle bien d’électromagnétisme qui fait partie des 4 forces fondamentales. Si tu veux réinventer la physique, libre à toi, tu tiens de quoi avoir le prix nobel de physique si ça tiens la route.

Le 08/08/2016 à 10h 25

Vous vous rendez compte que cette loi est totalement absurde ?

Sans blague, en physique, TOUT peut être défini avec une onde E.M., de la couleur jusqu’au rayonnement solaire. Même une onde sonore est considérée comme un rayonnement E.M.

Et vue les niveaux sortis, autant dire que rien que l’exposition aux UV est déjà interdite. Approcher ses burnes d’un moteur thermique en fonctionnement est interdit aussi.&nbsp;<img data-src=" />

Le 06/08/2016 à 21h 50

Il manque un gros coté barré qu’on aurait attendu d’un suicide squad, j’ai l’impression d’avoir vu des méchants passés deux fois comme un sachet de thé dans une tasse et ça rend … Fade.



Et vue le côté touffu, le film aurait mérité 2 parties : une partie d’intro et une partie “suicide squad”.

Là, je dois dire que j’ai du puiser dans mes connaissances de l’univers DC “2.0” pour comprendre (parce que oui, les univers DC et Marvel en sont a leurs 2.0 depuis le reboot des environs de 20042005), n’ayant pas vu les séries spinoff.

On se retrouve dans un univers post flashpoint et des personnages post flashpoint de 2012, mais avec manque de punch “gentillet” -ala marvel- alors que DC depuis son reboot est clairement plus dark et barré que ça.

Manquerait plus qu’ils nous fasse hellblazer au pays des licornes dans la foulée&nbsp;&nbsp;

Le 20/07/2016 à 00h 52

Tu peux émuler avec de l’arm pour pas trop cher sans que ça soit forcément dégueulasse. Mais ça passe forcément par oublier la série des Pi et aller voir ailleurs.

En format “compact” j’ai une borne qui tourne sur un odroid C2 avec un écran 43 19” LCD, mon rêve ça serait soit un makvision M29 soit un WG &nbsp;D9200 mais ça coûte un bras. Où bien autre rêve : le nec multi sync P212. Ben c’est tout a fait acceptable. (je parle de l’émul de la C2). Le surplus de puissance comparé a un Pi3 rend la machine beaucoup plus apte. Et un shader soft15khz rend l’émulation “pitch perfect” presque triviale.



L’intérêt d’une boite comme la nintendo classic mini, c’est vraiment d’être plug’n play. Parce que c’est pas très cher et que ça reste pour entretenir le retro gaming. C’est certain que si tu cherche réellement le pitch perfect tu va investir plus et partir sur d’autres solutions, pas au même prix, ni aussi simple a mettre en oeuvre.

Le 14/07/2016 à 20h 17

Je tiens a corriger quelque chose :&nbsp;

Ce n’est pas des sauvegardes qui sont le besoin, mais un plan de sauvegarde.



Parce que sauver des fichiers cryptés, “yanakisoncapable”.

Le plan de sauvegarde se doit pour l’utilisateur dont l’informatique n’est pas le métier d’être transparent, pragmatique et réaliste.

Le PRA est également important (dans certaines activités les assurances exigent maintenant un PRA après sinistre.)

N’oubliez pas que les cryptolockers sont capable de crawler une infra pour aller crypter les NAS et lecteurs réseaux vue que c’est principalement là que se trouvent les données les plus sensibles. Donc ce n’est pas au client d’avoir accès au système de sauvegarde, mais le système de sauvegarde qui doit avoir accès aux clients (infrastructure “idéale”) :

L’assertion qu’un système de sauvegarde n’ai pas accès au net est donc valable et les dif/rsync/whatever synchro doivent être lancés sur le système de sauvegarde et pas l’inverse (on ne peut pas compter sur l’ICC pour le faire, c’est un mal nécessaire).

Le client, ne doit pas avoir le droit d’effectuer des tâches administratives, en principe le réseau doit être scindé et sa granularité suffisante : la section “métier” ne devrait pas avoir a gérer l’administration du système ou y avoir accès, tout comme l’administration système ne devrait pas pouvoir toucher aux données “métier” de manière directe. Les outils existent et sont de plus en plus simple a mettre en oeuvre.



&nbsp;Ceci dit, allez faire comprendre a l’ICC d’un poste informatique lambda qu’il n’a pas a avoir l’accès en écriture a un système de stockage quelconque autre que local est une gageure.

Le 27/06/2016 à 17h 25

Après le tour de France en vélo, le tour de France en solex ? Ca mettrait tout le monde d’accord. :O

Le 27/06/2016 à 07h 54

Si tu y vois de l’incohérence, c’est que tu fais un biais d’interprétation : il n’y a rien a interpréter, je suis factuel. Il n’y a donc aucunes pensées a me prêter, outre l’exposition que je fait.



Et pour le coup de la recherche, t’en fait pas, justement c’est le fait de prouver une hypothèse qui fait que tu va effectuer des recherches, pas le fait de rester coincé sur le fait que l’hypothèse est réelle. L’eau “mouille” &nbsp;? J’en suis pas certain. Le feu”brûle” ? pas certain non plus.

Mais tant que ça reste des hypothèses, je les déclare en tant que tel, c’est ça le problème soulevé par d’autres dans ton discours : tu es certain que ton hypothèse est juste.

Le 27/06/2016 à 06h 58

Non, il n’y a pas de rapport de cause a effet.

Tout les conflits ont une part ethnique. Qu’ils fassent 1 victime ou quelques millions, un conflit reste un conflit.

C’est en réponse a ton hypothèse que l’UE a empêchée les conflits. Les deux sont des hypothèses, plus tu persistera a ne pas le comprendre, plus les gens te le diront, jusqu’au point godwin.

Que ça te dérange, ou t’emmerde, ça reste la même chose : tu ne peu prouver que sans l’UE, il y aurait eu plus de guerres en Europe. Des guerres, il y en a eu dans la zone géographique “Europe” mais pas dans l’UE. Mais dire que l’UE est a l’origine d’un dégonflement de conflits éventuels, est une erreur basique de discours et de causalité.



Tout ceci pour dire : quand bien même tu amènerai des arguments, ils ne resteraient que des arguments et basés sur des notions et casualités empiriques. Pour te donner un autre exemple, e=mc² n’est pas prouvé comme universel, c’est un cas particulier mécanique générale ne s’appliquant pas a l’infiniment petit (mécanique quantique). C’est faire la différence entre une théorie (même forte, elle reste une théorie) et une démonstration irréfutable.&nbsp;



Je pense que tout le monde a compris ta théorie et que même ceux qui te répliquent qu’il n’y a pas de causalité, la comprennent, mais ça ne reste qu’une théorie (et qui restera improuvable, a moins de pouvoir remonter dans le temps et d’étudier la totalité des possibilités, point par point et de faire un arbre évolutif complet, quand bien même tu arriverais a simuler des réactions de politiques des années 1970, là encore tu n’aurai qu’un aperçu : c’est en l’état, improuvable comme théorie, tout comme son opposée, qu’il y aurait eu moins de conflits sans l’UE, ou toute autre possibilité).

Le 27/06/2016 à 03h 52

Je précise une chose : je fait volontairement mon troll quand je parle de conflit en Europe&nbsp;pas en CEE ni en UE. Car l’Europe, jusqu’à preuve du contraire, est une région géographique, et pas un assemblage politique ou économique de pays. Ma réponse est donc valide de ce point de vue : il y a eu des guerres en Europe après la fin de la guerre mondiale (conflit arménien, etc …)

Le 25/06/2016 à 19h 25

Hein ?

Non, mais on te le redit : l’absence ne signifie pas que la présence en est un effet. Le rapport de causalité entre Union Européenne et absence de guerre n’existe pas. Tu ne peu le prouver, tout comme on ne peu prouver que sans UE il y aurait eu des guerres. Se sont deux affirmations totalement autonome : L’UE existe depuis la fin de la seconde guerre mondiale (ou presque). Il n’y a pas de guerre en Europe depuis 70 ans (ce qui est faux, de mémoire, les Balkans sont en Europe, tout comme la Pologne et la Roumanie)

Et le monsieur te dis que c’est comme les religions, a juste titre : en réalité, on ne peut pas prouver qu’une entité omnisciente, omnipotente et omniprésente existe, ou pas.



Ca serait comme dire que la recette du coca cola n’a pas été divulguée parce qu’il y a l’Europe.

Le 12/05/2016 à 19h 38

1 : Vue de l’esprit, la contrainte tu tube par rapport au train sera de l’ordre de la force d’accélération. Soit a cause d’un virage, soit a cause de la gravité. Mais pas a cause de sa vitesse relative dans le tube : vide d’air.

2 : yep, mais le train sera en sustentation, et dans un vide d’air. pas posé dans les rails sur le tube.

3 : Bof, la pression dans le train sera égale a la pression a l’air libre, mais pas dans le tube, moins de contraintes d’usure sur le tube qui sont dues a des frottements.

4 : pas plus contraignante que quand un TGV roule sur une partie non adaptée, a prendre en compte que le train sera très certainement bi-mode : tube et hors tube, mais beaucoup de trolls l’oublient.

5 : du feu … dans un vide d’air … mais ouai, bien-sur, vue la vitesse du bousin, dans un vide d’air, je doute que l’option “feu” soit envisageable, au pire, un trou dans la coque du train a cause d’un feu dans le train ? Pas de soucis, le vide l’éteindra, tu colmate, tu regonfle vite fait avant que les passagers crachent leurs poumons.

Le 12/05/2016 à 09h 25

Vous pourriez s’il vous plait oublier un peu les contraintes physiques ?

Non parce que, justement ces contraintes sont résolues par le fait d’un vide partiel d’air dans la zone de transit de la machine : les contraintes de frottement faut les oublier en vide d’air partiel.

Tout comme les contraintes de dégradations : j’imagine mal un type rentrer dans le tube pour aller faire un graffiti, le type serait au sol a cracher ses poumons après 3 mètres dans le tunnel.

Les contraintes de propagation d’onde sont une vue de l’esprit : pas d’air, pas d’onde possible. Ne reste alors plus que les problèmes d’ordre gravitationnels d’accélération/décélération rapport a la terre.