Le 28/10/2021 à 14h 46

Les formations labelisées SecNumEdu par l’ANSSI sont un vrai gage de qualité :

https://www.ssi.gouv.fr/particulier/formations/secnumedu/formations-labellisees-secnumedu/

Le 15/10/2021 à 08h 17

C’est effectivement considéré comme un second facteur, puisque le TPM n’est pas (sous réserves) altérable.

Après, certains standards (notamment NIST SP 800-53, exigence IA-2) demandent à ce que les facteurs d’authentification soient découplés physiquement entre eux (via smartcard ou token de sécurité, par exemple). C’est à prendre en compte si vous voulez vous faire auditer et/ou certifier.

Le 03/09/2021 à 17h 13

C’est rigolo que la vidéo Loopsider montre un jogging sur la station d’écoute de Boullay-Les-Troux : le nom de la station a été anonymisé sur OpenStreetMaps il y peu, par un compte à usage unique :

https://www.openstreetmap.org/changeset/107652983

Auparavant, et depuis une paire d’années (8 ans), le site était bien nommé “station d’écoute de la DGSI”. Discrétion, discrétion… :)

Le 18/08/2021 à 08h 34

(reply:1891403:Benoit NI)

Les faisceaux hertziens ont une latence bien moins élevée que la fibre, c’est pour ça qu’ils sont utilisés pour des applications type trading à haute fréquence

Le 03/08/2021 à 12h 40

Il semblerait que ça passe à 5 ans, à partir du Pixel 6.

https://www.xda-developers.com/google-pixel-6-five-years-updates/

Le 07/07/2021 à 17h 17

Ca existe déjà.

Le 02/06/2021 à 09h 58

Exemple de formation que suivent les enquêteurs NTECH : https://www.utt.fr/formations/licence-professionnelle/enqueteur-technologies-numeriques

Le 21/05/2021 à 11h 30

Ou alors ils ont chopé des créneaux à H+24, ce qui est “légal” depuis le mercredi 12.

Le 20/05/2021 à 13h 24

“Impression 3D” c’est le terme marketing, personne dans le milieu de la FA ne l’utilise, un peu comme sécurité informatique et cybersécurité.

Le 06/05/2021 à 08h 00

Je tiens à signaler qu’un vrai “sabre laser” (un rayon à plasma contenu) a déjà été réalisé, récemment, par les gens de chez Hacksmith (donc tout sauf des burnes) :

https://www.youtube.com/watch?v=xC6J4T_hUKg

Ca a été validé par le Guinness des records d’ailleurs :

https://www.youtube.com/watch?v=AymYhmayWz4

Le 22/04/2021 à 12h 48

C’est bête, deux méta analyses publiées mi mars 2021 sur les effets des ondes sub-millimétriques n’ont pas été prises en compte dans le rapport :(

https://trustmyscience.com/meta-analyse-majeure-confirme-absence-risques-5g-sante-humaine/

Pour le coup ça rajoute un peu d’eau au moulin

Le 12/02/2021 à 13h 13

Ce qui est bien, c’est que ce nest pas le rôle du CNNum, les “projets numériques”. Pour rappel :

chargé d’étudier les questions relatives au numérique, en particulier les enjeux et les perspectives de la transition numérique de la société, de l’économie, des organisations, de l’action publique et des territoires.

Le 20/01/2021 à 12h 03

C’est déjà le cas, Google et Microsoft investissent énormément d’argent et de moyens (humains) dans le sécurité de Chrome et Edge. Mais cela dépend fortement de ce qu’on entend par “navigateur sécurisé”.

Le 18/01/2021 à 13h 15

Ai-je dit le contraire ? Je ne pense pas.

Le 15/01/2021 à 20h 24

Rappelons à tout hasard que WhatsApp utilise le protocole de chiffrement de Signal, et que donc le chiffrement de bout en bout de WhatsApp offre le même niveau de sécurité.

Le 20/11/2020 à 22h 56

https://www.nature.com.sci-hub.se/articles/s41586-020-2902-8

The aerosol sources examined here are widespread and can affect
human health in other parts of the world. Further research is required
to address other PM sources such as industrial metal emissions, heavy
fuel oil combustion or coal emissions. The latter is a major PM source
in highly populated urban environments in Asia, where most of the
global PM-induced premature mortality is expected to occur. Our
results show that different sources drive OPv
and PM mass concentrations, suggesting that knowing the sources of PM alone and taking
action to reduce them is not sufficient to reduce the OPv
effectively.
Although some studies have related OPv
to acute health effects such
as acute cardiovascular and respiratory diseases, the main properties of PM that drive its chronic health effects, a leading cause of
premature deaths, are yet to be determined and the role of OPv in
these effects remains undefined. If OP is found to be related to major
health impacts this could imply that controlling its specific sources
might be more effective. The framework developed here can be used
to identify the sources responsible for the chronic health impacts
of PM (for example, using long-term time series of PM components
from different sources).

Le 19/11/2020 à 14h 09

Sci-Hub marche très bien avec le premier papier.

Le 07/07/2020 à 11h 58

Cela fait bien longtemps que Free ne déploie plus en point à point, pour information.

Le 06/07/2020 à 08h 53

C’es évident qu’avec les enjeux que ça a, on va bien tout déballer en place publique. Je sais pas si c’est de naïveté ou de la malveillance là.

Le 06/07/2020 à 08h 50

Le manque de retour d’expérience et d’évaluation des produits dans la durée. Pouvoir évaluer dans le détail un produit de ce type prend énormément de temps, ce qui a déjà été fait pour des produits US (aussi européen, Nokia et Ericsson y ont droit aussi, je précise parce que #RacismeAntiChinois), et ce qui est en cours pour les produits chinois. Enfin bref, tout pour noyer le poisson.

Le 06/07/2020 à 08h 46

Non mais écoute, on va pas débattre 107 ans : il est ici question d’un fournisseur chinois en particulier, certains sur cette brèves veulent porter le débat sur les fournisseurs US pour montrer qu’ils sont meilleurs et plus clairvoyants que les autres, alors que ce n’est ni le sujet, ni un scoop.

Si en plus vous voulez surinterpréter des propos publics donnés par un responsable d’une agence publique sur un sujet ultra-sensible, grand bien vous fasse.

Le 06/07/2020 à 08h 35

Oui donc c’est de la libre interprétation de la part de gens qui ne travaillent pas dans le secteur, et qui veulent se sentir intelligent en créant des interprétations de toutes pièces.

Le 06/07/2020 à 08h 22

Jeanprofite a écrit :

tout en considérant les américains comme européen



Ah ? C’est marqué dans le news ? Je ne pense pas non.

Le 06/07/2020 à 08h 19

Faut arrêter deux secondes, on parle d’un risque connu depuis plus de 30 ans. N’importe quel professionnel de la SSI connaît le sujet et la problématique ça soit pour les chinois ou les américains.

Le 06/07/2020 à 08h 12

Mais qu’est ce qui te dis que ce n’est pas le cas ? Ce n’est pas le sujet de la news, donc comment tu en arrives à cette conclusion ?

Dans les faits, il n’y a pas non plus cinquante fournisseurs capables de fournir du matos pour du coeur de réseau. Le matos US, ça fait plusieurs années qu’il existe des règles SSI spécifiques, notamment organisationnelles, mais aussi techniques, pour gérer ce type de risque. Ce n’est pas parce que ce n’est pas public et répété à l’envie que ça n’existe pas, surtout ans ce milieu là.

Le 06/07/2020 à 08h 03

On peut arrêter avec ce genre de réflexions cyniques sans jugeote à chaque sujet sur Huawei et l’ANSSI ? Vous croyez quoi, que vous êtes le seul à vous rendre compte que Cisco et les autres fournisseurs US posent aussi souci, et que les mecs de l’ANSSI sont des glandus qui font une fixette sur les Chinois et laissent nos gentils alliés américains tranquilles ? Franchement…

Non, la différence c’est que les fournisseurs US, ça fait une paire d’années que c’est bon, c’est connu et acté que oui, ils ont aussi des backdoors intentionnelles ou non-intentionnelles dans leurs produits, on va pas non plus le rappeler à chaque news sur le sujet. Huawei, c’est un acteur relativement “jeune” dans ce domaine, donc on en parle plus régulièrement, pour que ça rentre.

Le 30/06/2020 à 10h 02

Sauf qu’on arrête jamais de réacteur…

Dans les faits, le ramp-up en cas de demande est plutôt de l’ordre de la demie-heure, et pas de plusieurs jours comme vous l’énoncez.

Le 30/06/2020 à 10h 00

Dans les fats le pilotage est plutôt proche de la demie-heure que l’heure.

Le 18/06/2020 à 11h 33

Ca tombe bien, le CEA est déjà un acteur majeur des domaines cités, notamment à travers le CEA-List et le CEA-Leti… " />

Le 02/06/2020 à 14h 25

Encore faut il que la latence soit un critère primordial au fonctionnement du bouzin, ce qui est loin d’être clair.

Le 02/06/2020 à 12h 48

Paul Muad’Dib a écrit :

Est-ce qu’il existe le même genre de référentiel pourJava et .Net ?




darkweizer a écrit :

Je me permets de vous notifiez car @Paul Muad’Dib vous a posez une question et votre réponse (notamment pour Java) m’interresse énormément :).



Hello,

Il existe un équivalent pour Java, publiée par le CERT-CC, donc pas directement par l’ANSSI (à ma connaissance ils ne travaillent que sur le guide C et Rust actuellement, en plus d’un guide Ocaml publié dans le cadre du projet LaFoSec)

Le guide Java est disponible ici :
https://wiki.sei.cmu.edu/confluence/display/java/SEI+CERT+Oracle+Coding+Standard…

Le CERT-CC maintient également un guide C et C++ (dont le guide ANSSI est inspiré, et pour lequel vous pouvez retrouver une correspondance des règles quand celles-ci existent dans les deux guides).

Pour .NET, Microsoft maintient quelques bonnes pratiques ici :
https://docs.microsoft.com/en-us/dotnet/standard/security/secure-coding-guidelin…

Mais c’est plus light que le guide ANSSI ou CERT-CC, malheureusement…

Le 01/06/2020 à 09h 11

Très gros travail réalisé par le Laboratoire Sécurité du Logiciel de la sous-direction Expertise " />

Comme il est fait mention de Rust, il est à noter qu’un guide similaire est en cours de rédaction pour ce langage (par le même labo), de manière collaborative et ouverte, sur le GitHub de l’Agence :https://github.com/ANSSI-FR/rust-guide

Le 27/05/2020 à 08h 48

Le rapport ?

Le 30/04/2020 à 10h 42

Il n’est pas ici question d’une application, mais d’une API disponible pour les développeurs, leur permettant de développer une application, c’est un peu différent.

En outre, cette API sera disponible uniquement aux développeurs d’équipes gouvernementales partenaires du projet.

Le 27/04/2020 à 12h 07

Ces entreprises n’ont aucun intérêt économique à collaborer au delà de ce que leur impose leur législation locale, bien au contraire. L’illustration parfaite, c’est le déroulé des événements entre Apple et le FBI dans le cadre de la tuerie de San Bernardino.

Ces sociétés sont tellement désireuses de travailler avec la NSA que, quand les détail du programme MUSCULAR sont sortis, elles ont drastiquement augmenté le niveau de sécurité de leur réseau interne :https://arstechnica.com/information-technology/2013/11/googlers-say-f-you-to-nsa…

Ça c’est la réalité, pas du FUD.

Le 27/04/2020 à 11h 20

Le Patriot Act n’est pas spécifique à la NSA.

Je maintiens ce que j’ai dit précédemment, il n’y a pas de collaboration active avec la NSA. PRISM ne remet pas en cause cette affirmation.

Le 27/04/2020 à 10h 50

Les révélations de Snowden n’ont jamais montré de collaboration active avec la NSA de la part des grandes entreprises du numérique, merci de stopper le FUD.

Le 23/04/2020 à 12h 51

Stop le FUD, sérieusement…

Le 22/04/2020 à 10h 00

Ce n’est pas un hack, c’est un simple Zoom Bombing parce que la réunion était publique. C’est triste mais la prochaine fois, faudra mettre un mot de passe.

Le 21/04/2020 à 12h 30

Oui, ce sont deux projets séparés. Si tu veux aider concernant le Covid-19 sur BOINC, il faut rejoindre le projet Rosetta@Home.

Le 21/04/2020 à 07h 51

Une belle palanquée de trolls, de FUD et de débiles dans ces commentaires, dites donc…

Le 17/04/2020 à 13h 50

Un “informaticien” qui subit encore des écrans bleus sous Windows 10 ? Faut le vouloir quand même…

Le 14/04/2020 à 12h 41

Non, elles ne savent pas le garantir autrement que dans leur discours marketing. C’est d’ailleurs pour cela (entre autre) qu’Azure n’est pas certifié SecNumCloud par l’ANSSI.

Le 11/02/2020 à 15h 00

“Vous preniez l’exemple de la voiture, mais pour Microsoft, vous ne pouvez même pas ouvrir le capot. Votre seule possibilité : des sondes sur le tuyau d’échappement…”

Factuellement faux, puisque Microsoft permet l’accès au code source de Windows aux partenaires, notamment étatiques, qui signent des accords de confidentialité avec eux :

https://en.wikipedia.org/wiki/Shared_Source_Initiative
https://www.microsoft.com/en-us/sharedsource/enterprise-source-licensing-program…
https://www.microsoft.com/en-us/sharedsource/oem-source-licensing-program.aspx

Certains NDA et accords permettent même de vérifier que les binaires compilés sont bien issus du code source et compilés avec une chaîne de compilation connue.

L’ANSSI a notamment accès au code source, au moins pour l’audit des composants cryptographiques du système.

Le 21/01/2020 à 16h 54

Il n’y a rien qui laisse à penser dans cette histoire que l’IA ou les algorithmes sont responsables de quoi que ce soit. C’est toi qui mets ça sur le tapis d’on ne sait où, il ne faut pas faire l’étonné quand les gens te font remarquer que tu es HS et que tes commentaires n’ont rien à voir avec la news que tu commentes.

Le 06/12/2019 à 14h 00

Faire sa pub pour un billet écrit sur une plate-forme centralisatrice et fliquante (Medium) au pied d’une actu qui n’a rien à voir (le rapport de l’ENISA parle de la pseudonymisation à destination des acteurs qui se servent de données personnelles, pas aux utilisateurs desdits services), c’est très fort.

Et un coup de correcteur orthographique n’aurait pas été de trop sur le billet…

Le 04/12/2019 à 10h 19

Tu bossais pas chez Schneider ? ;)

Le 02/12/2019 à 13h 21

C’est pourtant bien ce qui est utilisé pour stocker les points d’intérêts d’une empreinte lors de l’enrollment

Le 28/11/2019 à 09h 13

Ca tombe bien, l’ENISA se met en ordre de bataille sur les schémas de certification :https://www.enisa.europa.eu/news/enisa-news/enisa-cybersecurity-certification-pr…

Le 26/11/2019 à 11h 35

Ce qui est nouveau, ce n’est pas le support du second facteur, qui est, comme tu le dis, disponible depuis longtemps. Ce qui est nouveau, c’est le support FIDO2 Webauthn, et surtout le fait que tu n’ai plus besoin d’enregistrer au préalable ton numéro de téléphone et activer le 2FA par SMS pour avoir ensuite accès aux autres second facteurs supportés.

De même, jusqu’à il y a peu, désactiver le second facteur par SMS faisait sauter toute authentification forte, même si un clef de sécurité ou une application tierce était utilisée.