Le 14/04/2020 à 12h 41

Non, elles ne savent pas le garantir autrement que dans leur discours marketing. C’est d’ailleurs pour cela (entre autre) qu’Azure n’est pas certifié SecNumCloud par l’ANSSI.

Le 11/02/2020 à 15h 00

“Vous preniez l’exemple de la voiture, mais pour Microsoft, vous ne pouvez même pas ouvrir le capot. Votre seule possibilité : des sondes sur le tuyau d’échappement…”



Factuellement faux, puisque Microsoft permet l’accès au code source de Windows aux partenaires, notamment étatiques, qui signent des accords de confidentialité avec eux :



Wikipedia Microsoft

MicrosoftCertains NDA et accords permettent même de vérifier que les binaires compilés sont bien issus du code source et compilés avec une chaîne de compilation connue.



L’ANSSI a notamment accès au code source, au moins pour l’audit des composants cryptographiques du système.

Le 21/01/2020 à 16h 54

Il n’y a rien qui laisse à penser dans cette histoire que l’IA ou les algorithmes sont responsables de quoi que ce soit. C’est toi qui mets ça sur le tapis d’on ne sait où, il ne faut pas faire l’étonné quand les gens te font remarquer que tu es HS et que tes commentaires n’ont rien à voir avec la news que tu commentes.

Le 06/12/2019 à 14h 00

Faire sa pub pour un billet écrit sur une plate-forme centralisatrice et fliquante (Medium) au pied d’une actu qui n’a rien à voir (le rapport de l’ENISA parle de la pseudonymisation à destination des acteurs qui se servent de données personnelles, pas aux utilisateurs desdits services), c’est très fort.



Et un coup de correcteur orthographique n’aurait pas été de trop sur le billet…

Le 04/12/2019 à 10h 19

Tu bossais pas chez Schneider ? ;)

Le 02/12/2019 à 13h 21

C’est pourtant bien ce qui est utilisé pour stocker les points d’intérêts d’une empreinte lors de l’enrollment

Le 28/11/2019 à 09h 13

Ca tombe bien, l’ENISA se met en ordre de bataille sur les schémas de certification :https://www.enisa.europa.eu/news/enisa-news/enisa-cybersecurity-certification-pr…

Le 26/11/2019 à 11h 35

Ce qui est nouveau, ce n’est pas le support du second facteur, qui est, comme tu le dis, disponible depuis longtemps. Ce qui est nouveau, c’est le support FIDO2 Webauthn, et surtout le fait que tu n’ai plus besoin d’enregistrer au préalable ton numéro de téléphone et activer le 2FA par SMS pour avoir ensuite accès aux autres second facteurs supportés.



De même, jusqu’à il y a peu, désactiver le second facteur par SMS faisait sauter toute authentification forte, même si un clef de sécurité ou une application tierce était utilisée.

Le 22/11/2019 à 13h 07

Une chose qui n’est pas mentionnée dans l’article, et qui change complètement l’analyse sur le passage suivant :



“La société d’Elon Musk devrait donc continuer à exercer une forte pression sur le marché commercial pour assurer sa croissance, ce qui ne fera pas spécialement les affaires d’Ariane. ”



Dans les années à venir, il est prévu que les revenus issus des activités de lancement de SpaceX deviennent assez marginaux vis à vis de ce qui est projeté pour Starlink, leur réseau de satellites. C’est en tous cas les projections d’un article du Wall Street Journal de 2017 :



https://www.nextbigfuture.com/wp-content/uploads/2019/05/spaceXwsj.jpg

Le 02/10/2019 à 10h 41

Il faut relire et comprendre le cas d’usage de ce type d’outil avant de sortir des âneries pareilles.

Le 02/10/2019 à 10h 37

GHz -> Gbps

Le 20/09/2019 à 08h 27

Oui parce qu’on est clairement dans un contexte de sketch là, c’est tout à fait le lieu approprié et le médium de communication le plus approprié pour faire de l’humour de ce genre.

Le 20/09/2019 à 08h 26

Heu, c’est quoi cette familiarité là ? On a élevé les chèvres ensemble ? " />



Si ta première et seule réaction que t’inspires cette brève, c’est une vanne moisie sur la population de Marseille, faut consulter Wikipédia et aller consulter tout court.

Le 19/09/2019 à 14h 42

Qu’est ce que ce commentaire vient faire ici ?

Le 21/08/2019 à 13h 36

GitHub

Le 21/08/2019 à 13h 28

Toutes les banques n’ont pas fait ce choix crétin. Exemple au Crédit Mutuel, tu as bien un SMS, sauf si tu as l’application sur ton smartphone, dans ce cas c’est une notification à valider, poussée via TLS, donc beaucoup plus robuste qu’un SMS.



Et la plupart des banques ont une guerre de retard en matière de pratiques de sécurité, ils ne sont pas exactement à prendre comme exemples d’implémentation des bonnes pratiques.

Le 21/08/2019 à 10h 52

Non pas de complice :

Ars Technica

Le 21/08/2019 à 09h 45

En même temps, le principe d’un second facteur, c’est d’avoir un second facteur…



Actuellement, y’a peu de second facteurs aussi ubiquitaires que les smartphones. C’est triste mais c’est comme ça. On ne peut pas non plus obliger les gens à acheter ou posséder une clef de sécurité, et comme la carte d’identité à puce est repoussée aux calendes grecques, une application OTP reste le moindre mal, même si elle vient avec de grosses contraintes d’utilisabilité.

Le 21/08/2019 à 09h 41

500€ c’est le prix d’un outil pour exploiter SS7, donc ça ne sert pas qu’à ça, il y a bien plus lucratif que les déclarations d’impôt. Comme d’habitude, ça troll et ça fait semblant de pas comprendre :)



Le processus s’automatise très bien, donc non, ça ne s’applique pas à 30 millions de comptes, mais ça passe à l’échelle, comme on a pu le voir avec les attaques SS7 sur les SMS de second facteurs envoyés par les banques pour confirmer des transferts d’argent.



Et pour fred42, le ton condescendant tu peux le garder, merci.

Le 21/08/2019 à 08h 45

Non, ça rajoute de la complexité technique au niveau serveur, et de la complexité procédurale au niveau utilisateur, pour quelque chose de bypassable pour un coût de 500€ sur n’importe quel marché gris/noir, ou avec quelques compétences techniques.



Inutile et procurant un faux sentiment de sécurité -> poubelle.

Le 21/08/2019 à 08h 36

Allez, on répète tous ensemble :



“Le second facteur par SMS n’est pas sécurisé et ne devrait plus être déployé en 2019”.



Les navigateurs modernes supportent Webauthn et FIDO2, en plus de pouvoir proposer du TOTP classique.

Le 21/08/2019 à 08h 32

C’est effectivement une pratique à proscrire. Une bonne parade quand vous êtes obligé de remplir une question secrète est de générer un second mot de passe aléatoire comme réponse (et de stocker ça dans un coffre à mots de passe, ça évite les oublis :)), ce qui met à l’abri d’un social engineering basique.

Le 23/07/2019 à 08h 37

Qu’est ce qui te fait honte dans ce jugement en particulier ?

Le 15/05/2019 à 07h 45

How-To rapide pour l’outil proposé en fin d’article :



Sous Linux, il faut avoir CMake de disponible pour pouvoir construire le binaire. Globalement, ca se fait de la façon suivante :



git clone –recurse-submodules [email protected]:vusec/ridl.git

cd ridl

cmake .

make



Vous devriez avoir un binaire mdstool dans le répertoire courant après ça, qui vous donne la fenêtre présentée en screenshot une fois lancé.

Le 17/04/2019 à 06h 55

Non, c’est bien le rapport annuel 2018 qui a été publié et dont il est question dans l’article.

Le 11/04/2019 à 12h 29

Ah, le pantin du Kremlin a enfin ce qu’il mérite. Parfait.

Le 20/03/2019 à 09h 56

Avec l’arrivée des bateaux autonomes et le besoin de bande passante pour faire de la supervision à distance sur les flottes existantes, oui c’est un réel besoin, au moins au niveau industriel.

Le 30/01/2019 à 15h 08

Je suis pas convaincu qu’une obscure publi dans un journal de seconde zone (impact factor de 7 en 2018, on peut discuter de l’intérêt réel de l’IF, ça reste bas pour le domaine), le tout dans un anglais approximatif comme l’écrivent à merveille les indiens, puisse vraiment poser les bases de ce que sera la future 6G, mais bon…

Le 28/01/2019 à 14h 39

Le terme “anti-Huawei” est un abus de langage je pense, cet amendement n’a pas vocation à n’être utilisé que “contre” les équipementiers chinois. De plus, il est sans doute plus facile de collaborer/exiger les codes sources d’équipementiers européens type Nokia qu’Huawei, et ce malgré leur apparente volonté de coopération (ouverture de centre “de transparence” aux UK, etc)

Le 13/12/2018 à 14h 15

Ariane utilise le framework Hornet (références dans le source de la page principale d’Ariane, framework développé par les services de l’Etat français), qui mets en oeuvre Struts. La coincidence est troublante.. :)



Twitteret plus rigolo : Twitter

Le 13/12/2018 à 13h 57

Le piratage d’Equifax est également dû à Struts, c’est en effet encore extrêmement utilisé en production.

Le 13/12/2018 à 13h 39

;)

Le 13/12/2018 à 13h 34

STRUTS.

Le 12/12/2018 à 15h 30

Google leader en sécurité ? " /> " />

Le 30/08/2018 à 12h 59

Au niveau français, l’agence pour l’innovation de défense sera lancée le 1er septembre (après demain donc), sur un modèle se rapprochant de la division Skunkworks de Lockheed Martin (division des projets avancés) :

http://www.opex360.com/2018/08/29/lagence-linnovation-de-defense-sera-officielle…



Au niveau européen, c’est la JEDI (Joint European Disruptive Initiative), lancée en fin d’année 2017, qui reprend un modèle calqué sur la DARPA. Les premiers financements de projets commenceront également en septembre :

https://www.usinenouvelle.com/editorial/un-jedi-pour-reveiller-l-innovation-euro…

Le 26/07/2018 à 09h 48

Oui enfin dans ce cas précis, c’est bien le mot de passe choisi par l’utilisateur qui lui a été renvoyé, et pas un mot de passe généré au niveau du serveur, si je comprends bien.



Donc le mot de passe se balade bien en clair quelque part côté fournisseur.

Le 25/07/2018 à 09h 56

Et pourtant les TLS Records sont bien assurés en intégrité. C’est d’ailleurs bien clair dans les suites de chiffrement utilisées, via usage d’un HMAC : TLS_RSA_WITH_AES_128_CBC_SHA256



Pour les suites de chiffrement récentes, l’usage d’un mécanise AEAD assure la confidentialité, l’intégrité et l’authenticité : Wikipedia

Le 10/07/2018 à 11h 09

Wikipedia

Le 05/07/2018 à 11h 39

" />" />" />" />" />" />" />" />

Le 20/04/2018 à 07h 47

A tout hasard si quelqu’un en lien avec les projets cités passe ici, est-il prévu de prendre part au standard MLS, qui sera de facto le standard de sécurité de demain sur les messageries “populaires” type WhatsApp ou Facebook Messenger ?



https://datatracker.ietf.org/doc/draft-omara-mls-architecture/?include_text=1

Le 06/02/2018 à 16h 09

Pour ceux que ça intéresse de savoir comment le deep learning est exploité dans les véhicules autonomes, le MIT à un cours de niveau undergraduate (equivalent licence chez nous) sur le sujet, avec des intervenants issus de l’industrie (notamment Tesla et Waymo).



L’un des projets est notamment de paramétrer un réseau de neurones avec un data set issu des Tesla pour contrôler le volant (courbure par rapport à la route, etc) en se basant sur la véritable action du conducteur.



Le lien :https://selfdrivingcars.mit.edu

Le 18/12/2017 à 18h 21

Le NAT n’est absolument pas une mesure de sécurité, attention à ce faux sentiment de sécurité !

Le 18/12/2017 à 16h 41

Unit-Sense est bloqué par la liste Easylist FRA, vous pouvez peut-être faire une demande sur le forum officiel pour vous faire whitelister ? :)



https://forums.lanik.us/viewforum.php?f=91

Le 14/11/2017 à 12h 36

Il est à 804$ sur mobile en cliquant sur le lien, promotion expirée ?

Le 03/10/2017 à 16h 05

Les ingénieurs de ce calibre ont également souvent des clauses de non-concurrence dans leurs contrats. Cela évite justement ce genre d’affaires, ces derniers s’engageant à ne pas travailler sur des sujets connexes pour des concurrents.



Plus d’infos sur le bonhomme et son parcours, c’est assez prenant à lire :https://www.wired.com/story/god-is-a-bot-and-anthony-levandowski-is-his-messenge…

Le 29/09/2017 à 13h 48

On a le retour états-unien depuis un bon bout de temps déjà, c’est une vraie catastrophe :



https://www.schneier.com/cgi-bin/mt/mt-search.cgi?search=voting&__mode=tag&a…

Le 30/08/2017 à 14h 56

Les standards de programmation imposés par les constructeurs à leurs fournisseurs évolueront en conséquence, comme c’est le cas actuellement dans l’aéronautique. Par exemple, on imposera de respecter à la lettre le MISRA-C et MISRA-C++ au lieu de le suggérer.



Alors en effet, ça allongera les cycles de développement, et il faudra sans doute se faire auditer et certifier son logiciel a un moment donné, mais c’est éprouvé partout ailleurs où les bugs/failles ont des conséquences importantes, et ça marche.

Le 08/08/2017 à 11h 58

Les différentes expérimentations qui ont été faites sur le sujet montre plutôt un taux de succès de l’ordre de 50%, et qui décroît fortement lorsque le personnel a été sensibilisé au problème.

Le 12/07/2017 à 19h 32

Pour travailler sur ce sujet précis avec un constructeur français, oui je te confirme bien que ça sera le cas.

Le 10/07/2017 à 12h 36

Il y a déjà l’option de distribution des mises à jour à travers le réseau local qui décharge pas mal la connexion dans ce genre de configuration.