Le 22/11/2019 à 13h 07

Une chose qui n’est pas mentionnée dans l’article, et qui change complètement l’analyse sur le passage suivant :

“La société d’Elon Musk devrait donc continuer à exercer une forte pression sur le marché commercial pour assurer sa croissance, ce qui ne fera pas spécialement les affaires d’Ariane. ”

Dans les années à venir, il est prévu que les revenus issus des activités de lancement de SpaceX deviennent assez marginaux vis à vis de ce qui est projeté pour Starlink, leur réseau de satellites. C’est en tous cas les projections d’un article du Wall Street Journal de 2017 :

https://www.nextbigfuture.com/wp-content/uploads/2019/05/spaceXwsj.jpg

Le 02/10/2019 à 10h 41

Il faut relire et comprendre le cas d’usage de ce type d’outil avant de sortir des âneries pareilles.

Le 02/10/2019 à 10h 37

GHz -> Gbps

Le 20/09/2019 à 08h 27

Oui parce qu’on est clairement dans un contexte de sketch là, c’est tout à fait le lieu approprié et le médium de communication le plus approprié pour faire de l’humour de ce genre.

Le 20/09/2019 à 08h 26

Heu, c’est quoi cette familiarité là ? On a élevé les chèvres ensemble ? " />

Si ta première et seule réaction que t’inspires cette brève, c’est une vanne moisie sur la population de Marseille, faut consulter Wikipédia et aller consulter tout court.

Le 19/09/2019 à 14h 42

Qu’est ce que ce commentaire vient faire ici ?

Le 21/08/2019 à 13h 36

https://github.com/yeojz/otplib

Le 21/08/2019 à 13h 28

Toutes les banques n’ont pas fait ce choix crétin. Exemple au Crédit Mutuel, tu as bien un SMS, sauf si tu as l’application sur ton smartphone, dans ce cas c’est une notification à valider, poussée via TLS, donc beaucoup plus robuste qu’un SMS.

Et la plupart des banques ont une guerre de retard en matière de pratiques de sécurité, ils ne sont pas exactement à prendre comme exemples d’implémentation des bonnes pratiques.

Le 21/08/2019 à 10h 52

Non pas de complice :
https://arstechnica.com/information-technology/2017/05/thieves-drain-2fa-protect…

Le 21/08/2019 à 09h 45

En même temps, le principe d’un second facteur, c’est d’avoir un second facteur…

Actuellement, y’a peu de second facteurs aussi ubiquitaires que les smartphones. C’est triste mais c’est comme ça. On ne peut pas non plus obliger les gens à acheter ou posséder une clef de sécurité, et comme la carte d’identité à puce est repoussée aux calendes grecques, une application OTP reste le moindre mal, même si elle vient avec de grosses contraintes d’utilisabilité.

Le 21/08/2019 à 09h 41

500€ c’est le prix d’un outil pour exploiter SS7, donc ça ne sert pas qu’à ça, il y a bien plus lucratif que les déclarations d’impôt. Comme d’habitude, ça troll et ça fait semblant de pas comprendre :)

Le processus s’automatise très bien, donc non, ça ne s’applique pas à 30 millions de comptes, mais ça passe à l’échelle, comme on a pu le voir avec les attaques SS7 sur les SMS de second facteurs envoyés par les banques pour confirmer des transferts d’argent.

Et pour fred42, le ton condescendant tu peux le garder, merci.

Le 21/08/2019 à 08h 45

Non, ça rajoute de la complexité technique au niveau serveur, et de la complexité procédurale au niveau utilisateur, pour quelque chose de bypassable pour un coût de 500€ sur n’importe quel marché gris/noir, ou avec quelques compétences techniques.

Inutile et procurant un faux sentiment de sécurité -> poubelle.

Le 21/08/2019 à 08h 36

Allez, on répète tous ensemble :

“Le second facteur par SMS n’est pas sécurisé et ne devrait plus être déployé en 2019”.

Les navigateurs modernes supportent Webauthn et FIDO2, en plus de pouvoir proposer du TOTP classique.

Le 21/08/2019 à 08h 32

C’est effectivement une pratique à proscrire. Une bonne parade quand vous êtes obligé de remplir une question secrète est de générer un second mot de passe aléatoire comme réponse (et de stocker ça dans un coffre à mots de passe, ça évite les oublis :)), ce qui met à l’abri d’un social engineering basique.

Le 23/07/2019 à 08h 37

Qu’est ce qui te fait honte dans ce jugement en particulier ?

Le 15/05/2019 à 07h 45

How-To rapide pour l’outil proposé en fin d’article :

Sous Linux, il faut avoir CMake de disponible pour pouvoir construire le binaire. Globalement, ca se fait de la façon suivante :

git clone –recurse-submodules [email protected]:vusec/ridl.git
cd ridl
cmake .
make

Vous devriez avoir un binaire mdstool dans le répertoire courant après ça, qui vous donne la fenêtre présentée en screenshot une fois lancé.

Le 17/04/2019 à 06h 55

Non, c’est bien le rapport annuel 2018 qui a été publié et dont il est question dans l’article.

Le 11/04/2019 à 12h 29

Ah, le pantin du Kremlin a enfin ce qu’il mérite. Parfait.

Le 20/03/2019 à 09h 56

Avec l’arrivée des bateaux autonomes et le besoin de bande passante pour faire de la supervision à distance sur les flottes existantes, oui c’est un réel besoin, au moins au niveau industriel.

Le 30/01/2019 à 15h 08

Je suis pas convaincu qu’une obscure publi dans un journal de seconde zone (impact factor de 7 en 2018, on peut discuter de l’intérêt réel de l’IF, ça reste bas pour le domaine), le tout dans un anglais approximatif comme l’écrivent à merveille les indiens, puisse vraiment poser les bases de ce que sera la future 6G, mais bon…

Le 28/01/2019 à 14h 39

Le terme “anti-Huawei” est un abus de langage je pense, cet amendement n’a pas vocation à n’être utilisé que “contre” les équipementiers chinois. De plus, il est sans doute plus facile de collaborer/exiger les codes sources d’équipementiers européens type Nokia qu’Huawei, et ce malgré leur apparente volonté de coopération (ouverture de centre “de transparence” aux UK, etc)

Le 13/12/2018 à 14h 15

Ariane utilise le framework Hornet (références dans le source de la page principale d’Ariane, framework développé par les services de l’Etat français), qui mets en oeuvre Struts. La coincidence est troublante.. :)

https://twitter.com/frameworkhornet et plus rigolo :https://twitter.com/FrameworkHornet/status/373094495354507265

Le 13/12/2018 à 13h 57

Le piratage d’Equifax est également dû à Struts, c’est en effet encore extrêmement utilisé en production.

Le 13/12/2018 à 13h 39

;)

Le 13/12/2018 à 13h 34

STRUTS.

Le 12/12/2018 à 15h 30

Google leader en sécurité ? " /> " />

Le 30/08/2018 à 12h 59

Au niveau français, l’agence pour l’innovation de défense sera lancée le 1er septembre (après demain donc), sur un modèle se rapprochant de la division Skunkworks de Lockheed Martin (division des projets avancés) :
http://www.opex360.com/2018/08/29/lagence-linnovation-de-defense-sera-officielle…

Au niveau européen, c’est la JEDI (Joint European Disruptive Initiative), lancée en fin d’année 2017, qui reprend un modèle calqué sur la DARPA. Les premiers financements de projets commenceront également en septembre :
https://www.usinenouvelle.com/editorial/un-jedi-pour-reveiller-l-innovation-euro…

Le 26/07/2018 à 09h 48

Oui enfin dans ce cas précis, c’est bien le mot de passe choisi par l’utilisateur qui lui a été renvoyé, et pas un mot de passe généré au niveau du serveur, si je comprends bien.

Donc le mot de passe se balade bien en clair quelque part côté fournisseur.

Le 25/07/2018 à 09h 56

Et pourtant les TLS Records sont bien assurés en intégrité. C’est d’ailleurs bien clair dans les suites de chiffrement utilisées, via usage d’un HMAC : TLS_RSA_WITH_AES_128_CBC_SHA256

Pour les suites de chiffrement récentes, l’usage d’un mécanise AEAD assure la confidentialité, l’intégrité et l’authenticité : https://en.wikipedia.org/wiki/Authenticated_encryption

Le 10/07/2018 à 11h 09

https://fr.wikipedia.org/wiki/T%C3%A9moins_de_J%C3%A9hovah#Structure_organisationnelle

Le 05/07/2018 à 11h 39

" />" />" />" />" />" />" />" />

Le 20/04/2018 à 07h 47

A tout hasard si quelqu’un en lien avec les projets cités passe ici, est-il prévu de prendre part au standard MLS, qui sera de facto le standard de sécurité de demain sur les messageries “populaires” type WhatsApp ou Facebook Messenger ?

https://datatracker.ietf.org/doc/draft-omara-mls-architecture/?include_text=1

Le 06/02/2018 à 16h 09

Pour ceux que ça intéresse de savoir comment le deep learning est exploité dans les véhicules autonomes, le MIT à un cours de niveau undergraduate (equivalent licence chez nous) sur le sujet, avec des intervenants issus de l’industrie (notamment Tesla et Waymo).

L’un des projets est notamment de paramétrer un réseau de neurones avec un data set issu des Tesla pour contrôler le volant (courbure par rapport à la route, etc) en se basant sur la véritable action du conducteur.

Le lien :https://selfdrivingcars.mit.edu

Le 18/12/2017 à 18h 21

Le NAT n’est absolument pas une mesure de sécurité, attention à ce faux sentiment de sécurité !

Le 18/12/2017 à 16h 41

Unit-Sense est bloqué par la liste Easylist FRA, vous pouvez peut-être faire une demande sur le forum officiel pour vous faire whitelister ? :)

https://forums.lanik.us/viewforum.php?f=91

Le 14/11/2017 à 12h 36

Il est à 804$ sur mobile en cliquant sur le lien, promotion expirée ?

Le 03/10/2017 à 16h 05

Les ingénieurs de ce calibre ont également souvent des clauses de non-concurrence dans leurs contrats. Cela évite justement ce genre d’affaires, ces derniers s’engageant à ne pas travailler sur des sujets connexes pour des concurrents.

Plus d’infos sur le bonhomme et son parcours, c’est assez prenant à lire :https://www.wired.com/story/god-is-a-bot-and-anthony-levandowski-is-his-messenge…

Le 29/09/2017 à 13h 48

On a le retour états-unien depuis un bon bout de temps déjà, c’est une vraie catastrophe :

https://www.schneier.com/cgi-bin/mt/mt-search.cgi?search=voting&__mode=tag&a…

Le 30/08/2017 à 14h 56

Les standards de programmation imposés par les constructeurs à leurs fournisseurs évolueront en conséquence, comme c’est le cas actuellement dans l’aéronautique. Par exemple, on imposera de respecter à la lettre le MISRA-C et MISRA-C++ au lieu de le suggérer.

Alors en effet, ça allongera les cycles de développement, et il faudra sans doute se faire auditer et certifier son logiciel a un moment donné, mais c’est éprouvé partout ailleurs où les bugs/failles ont des conséquences importantes, et ça marche.

Le 08/08/2017 à 11h 58

Les différentes expérimentations qui ont été faites sur le sujet montre plutôt un taux de succès de l’ordre de 50%, et qui décroît fortement lorsque le personnel a été sensibilisé au problème.

Le 12/07/2017 à 19h 32

Pour travailler sur ce sujet précis avec un constructeur français, oui je te confirme bien que ça sera le cas.

Le 10/07/2017 à 12h 36

Il y a déjà l’option de distribution des mises à jour à travers le réseau local qui décharge pas mal la connexion dans ce genre de configuration.

Le 29/06/2017 à 08h 25

Pour ceux qui sont encore sous Windows 7 et qui seraient tentés par un test, l’ANSSI a publié il y a déjà un certain temps un guide explicatif sur les différentes options, leurs apports, et comment mettre ça en place au niveau d’une entreprise. Très instructif :

http://www.ssi.gouv.fr/entreprise/guide/deploiement-et-configuration-centralises…

Le 27/06/2017 à 12h 28

Pourquoi est ce que c’est forcément “sale” qu’une entreprise pousse ses propres produits via ses propres services ? Chacun est maître en sa demeure, que je sache…

Le 19/06/2017 à 11h 12

C’est normal que le nombre dans les cases en bleu (Total) ne correspond pas du tout à la somme des différents supports ? Je rate quelque chose ?

Le 16/06/2017 à 10h 55

La plupart des logiciels (IHM notamment) et des drivers pour communiquer avec les automates ne sont pas portés sur d’autres plate-formes, ceci explique cela.

Après, des postes Windows ne présentent pas forcément plus de risques si ils sont bien managés (au niveau des mises à jour, par exemple), que la GPO en place est bien pensée, et qu’on met en place les contre-mesures adéquates au niveau réseau (filtrage de la télémétrie, interdiction de la navigation web sur les postes sensibles, etc).

Microsoft a considérablement investi dans la sécurité et implémente (dans Windows 10 tout du moins) un nombre assez important de contre-mesures dans le noyau que le noyau Linux ne possède pas (le projet KSPP est censé répondre à ce besoin, sauf qu’à part copier/coller le code Grsec, ben…). Exemple, la plupart des DLL sensibles et des modules du noyau Windows sont compilés avec l’ASLR, le CFG (Control Flow Guard), ça n’a plus rien à voir avec le noyau NT d’XP. Edge bénéficie d’ailleurs de ces mêmes protection, et est revenu en un temps record au niveau de Chrome à ce sujet (reste Firefox qui se traîne, mais ça devrait évoluer plus vite maintenant qu’ils découpent mieux leurs processus avec Electrolysis)

Le 16/06/2017 à 09h 30

Et il a totalement raison.

Dans le cas qui nous intéresse, pour les systèmes industriels, les architectures sécurisées et les normes en vigueur dans le domaine (IEC 62443) imposent des réseaux séparés protégés en coupure par un firewall, une définition de zones ayant des niveaux de sécurité différent, des contrôle de flux entre ces zones, ce genre de joyeusetés.

Comme d’habitude dans les commentaires NXi, il y a toujours des gens qui ont des solutions magiques à des problèmes complexes.

Je penserais à dire aux gens de la sécurité industrielle de Schneider qu’un VLAN c’est bien suffisant, qu’il y a pas besoin de ségmenter les réseaux.

Des architectures pas trop crades pour l’ICs, ça ressemble à ça :https://ics-cert.us-cert.gov/Secure-Architecture-Design

Cisco et Rockwell utilisent plutôt ce genre de trucs :http://www.industrial-ip.org/~/media/WLANArchitecture.ashx

Bref.

Le 21/03/2017 à 20h 16

J’ai trouvé ça terriblement nul personnellement. Au début de la saison on se dit “mouais pourquoi pas”, et en fait ça va de mal en pis. Les combats sont un peu nuls (Colleen Wing remonte un peu le niveau), mais toute la partie “je reviens dans l’entreprise qui porte mon nom”, c’est un copié/collé du premier Batman de Nolan, en moins bien.

J’avais déjà été déçu par Luke Cage, après un Daredevil que j’avais trouvé super (sauf la seconde partie de la saison deux) et un Jessica Jones plus que correct (les deux acteurs principaux portent la série aussi).

J’espère qu’ils vont muscler leur jeu pour Defenders, parce que là…

Le 16/03/2017 à 14h 33

Ca tombe bien, la Model 3 est à 35 000$ et attaque ce marché ;)

Le 08/03/2017 à 14h 36

Rien ne passe sur ton ordi par défaut (mode client), seulement si tu paramètres le logiciel en mode relais ou point de sortie.