Le 24/02/2017 à 14h 58

Comme ils le disent, si pas de téléphone rooté, pas d’extraction possible. Il leur suffit de rajouter un check sur l’état de root du téléphone et d’empêcher l’usage de l’appli dans ce cas.

Le 24/02/2017 à 14h 40

Pour tous les esprits chagrins sur les questions d’extraction de la clé privée et de resignature et compagnie, les réponses du Guardian Project sont ici :https://twitter.com/Harvesterify/status/835108950597070848

Le 24/02/2017 à 10h 05

Rien ne dit que la clé privée est accessible, justement. Le GitHub précise bien : “ProofMode app automatically generates a private/public OpenPGP keypair as a persistent “proof” identity within the app”

Le “within the app” est important je pense, les clés ne semblent pas accessibles.

Le 09/02/2017 à 15h 07

Je ne suis pas sûr que “sic !” soit ici employé comme il faut.

Cette expression désigne une retranscription verbatim d’un texte ou de n’importe quel support, pas cet espèce “d’étranglement” devant la stupidité d’un propos. C’est en général utilisé pour mettre en exergue une faute ou un propos particulier dans la retranscription.

Le 24/01/2017 à 18h 10

Qui parle de dépassé ? Faut arrêter la mauvaise foi et l’exagération constante un peu…

Le 11/01/2017 à 13h 13

Non je parle bien des deux, la plupart de la presse US, mais aussi Challenges chez nous, précise bien qu’elle n’aura probablement pas de poste chez Verizon…

Le 10/01/2017 à 20h 30

Vous êtes les seuls à mentionner que Marissa Mayer garde son poste, toute la presse US et française annonce qu’elle a été virée… " />" />

https://www.google.fr/#tbm=nws&q=marissa+mayer

Le 06/01/2017 à 17h 45

Sinon on peut aussi lire la news et se rendre compte qu’ils ne comptent pas, au contraire, pousser leur OS sur les véhicules :-)

Le 02/01/2017 à 11h 45

Au Luxembourg, c’est différent, les voitures haut de gamme sont souvent les voitures de fonction. N’importe quel bon développeur qui rentre dans une ESN luxembourgeoise correcte peut rouler en BMW ou Audi (et pas la version de base) en leasing :)

Le 02/01/2017 à 11h 42

Pour travailler avec un constructeur français sur la qualité logiciel (surtout sur la partie sécurité), aucune. Ils suivent la norme ISO26262, mais il n’y a pas de norme dédiée à la qualité logiciel (ça ne veut pas dire qu’ils n’en font pas, attention).

C’est cependant en cours de travail et standardisation, comme les différentes autorités régulatrices vont forcément le demander réglementairement (comme ça se fait dans l’aero avec la DO178) pour les véhicules autonomes.

Le 28/12/2016 à 16h 10

Pour ceux qui réinstallent from scratch, un guide utile :https://decentsecurity.com/enterprise/#/windows-7-fast-update/

Ne pas oublier d’installer la roll-up update aussi, ça corrige un paquet de soucis de qualité :https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574

Le 28/11/2016 à 13h 03

Over-The-Air. Désigne le mécanisme de mise à jour à distance.

Le 23/11/2016 à 10h 01

Je pose ça là, pour rester dans le thème :http://nymag.com/daily/intelligencer/2016/11/activists-urge-hillary-clinton-to-c…

Le 22/11/2016 à 16h 51

Au lieu de partir sur un truc formellement vérifié comme CertikOS… Là y’a pas de formel, donc inviolable/unhackable/whatever, c’est fortement improbable, surtout avec du C++.

Le 15/11/2016 à 09h 50

Cette politique ne concerne que les failles trouvées dans le cadre du Project Zero chez Google. Ce ne me semble pas choquant qu’en dehors de ce projet, cette politique ne s’applique pas. L’équipe de Zero gère ses deadlines et sa politique comme elle l’entend.

Le 07/10/2016 à 07h 18

Un début de réponse ici :http://caramba.inria.fr/hsnfs1024.html

“Pour parvenir à ce résultat, nous avons triché. Délibérément. Nous avons choisi le nombre premier qui définit le problème spécialement de sorte à ce que le calcul soit facile. Mais la trappe que l’on a ainsi fabriquée est subtile, et non détectable.

Malheureusement, pour la plupart de nombres premiers aujourd’hui utilisés en cryptographie, aucune garantie n’est fournie qui permette d’exclure qu’ils aient été truqués de la sorte, avec une trappe. En l’absence de trappe, les casser serait 16 millions de fois plus dur que ce que nous avons entrepris.”

Le 04/10/2016 à 19h 41

Hé oui, on appelle ça la vérification formelle :)

Le 19/08/2016 à 13h 37

Oh ils ont juste embauché tous les spécialistes de la Carnegie Mellon en automatique et en intelligence artificielle pour bosser dans leur labo ATC, une paille…

https://www.fastcompany.com/3046902/fast-feed/carnegie-mellon-in-a-crisis-after-…

Le 19/08/2016 à 13h 35

Ce n’est pas aussi simple que cela malheureusement :https://tech.slashdot.org/story/16/07/30/0140251/uber-doesnt-decrease-drunk-driv…

Le 26/07/2016 à 15h 22

C’est d’un ridicule ces hashtags partout bon sang…

Le 14/07/2016 à 19h 49

Vache, sacré bestiau…

Le 28/06/2016 à 15h 41

Tu peux aussi lire ce que dis la loi Badinter sur la responsabilité des conducteurs vis-à-vis des piétons. C’est de la simple logique qu’en cas d’accident entre deux tonnes de métal et un être biologique d’environs 75 kilos, la faut incombe toujours au propriétaire du véhicule (dans 99% des cas).

Le 06/06/2016 à 11h 53

Taziden aussi ne semble pas avoir été conquis par le personnage :https://twitter.com/taziden/status/739565129285664768

Le 12/05/2016 à 20h 38

On peut utiliser toutes les pirouettes sémantiques qu’on souhaite, ça n’en reste pas moins intellectuellement faux. Si chiffrer et déchiffrer supposent une connaissance de la clé utilisée pour chiffrer quelque chose, décrypter implique une non-connaissance de cette clé. A partir de là, comment justifie-t-on crypter ? Comment rend tu quelque chose “cryptique”, comme tu dis, sans connaître la clé ?

Et c’est intéressant que tu parles de l’implicite en informatique, parce que ce qui est aussi implicite, c’est d’admettre qu’il y a usage d’une clé quand on parle de cryptographie. Donc crypter est un non-sens intellectuel.

Le 11/05/2016 à 11h 26

Chiffrement*

Le 10/05/2016 à 13h 10

Parce que c’est pas possible de faire du QoS en IPv6 ? Première nouvelle…

(Hint :http://www.netdummy.net/qos.html)

Le 22/04/2016 à 17h 02

On dit région Grand Est, depuis peu :-)

Le 14/04/2016 à 16h 49

Il y a bien une atténuation dans la fibre, elle est même théoriquement supérieure à celle d’un câble coaxial… :)

Le 12/04/2016 à 17h 06

Aeris est notoirement extrémiste dans ses positions et ses recommandations en ce qui concerne le chiffrement TLS. Croiser les résultats, c’est mieux :

https://www.ssllabs.com/ssltest/analyze.html?d=wordpress.com&s=192.0.78.17

Le 30/03/2016 à 16h 58

T’arrêtes jamais de la ramener pour rien dire toi ? " />

Le 30/03/2016 à 13h 57

“Une fois l’ensemble des photos mises en ligne, Google Photos suggère automatiquement la création d’un album lié à l’événement en question, avec un classement par lieu visité.”

C’est déjà le cas depuis plus d’un an chez moi… Il m’a toujours synchronisé les photos, et proposé des “histoires” et des albums automatiquement… " />" />

Le 29/03/2016 à 09h 08

Une simple vérification du timing suffirait à contrecarrer ce genre de dispositif, même si les distances sont assez courtes, ce genre de hack rajoute une latence mesurable et détectable :)

Le 09/03/2016 à 12h 42

C’est curieux que personne ici ne parle du cours de Yann LeCun au Collège de France, qui a pourtant été largement médiatisé lors de la conférence d’ouverture il y a quelques semaines, et qui est le père de l’apprentissage profond par convolution.

AlphaGo n’utilise pas exclusivement cette technique, mais le cour est intéressant car il est donné par une pointure mondiale sur le sujet, et parce que ça permet de bien situer ce qu’il est aujourd’hui capable d’attendre de la part de ces techniques. La labellisation automatique à la fin de la conférence d’ouverture est assez bluffante par sa précision (le tout en temps réel s’il vous plaît).


C’est dispo ici :http://www.college-de-france.fr/site/yann-lecun/course-2015-2016.htm

Le 23/02/2016 à 10h 46

Pour l’avoir fait, je t’assure que tu peux :)

Si certains veulent s’en convaincre, un peu de lecture :

http://www.autosec.org/publications.html

Le 22/02/2016 à 13h 39

Gros +1.

Je travaille là-dessus en ce moment, et cette nouvelle est complètement folle, quand je vois avec quelle facilité on arrive à contrôler la voiture à partir du bus CAN. Avant, il fallait à minima passer par un autre système pour accéder aux ECUs intéressant, maintenant on rajoute directement un point d’accès connecté dessus…

Sécurisé avec Knox, ça fait bien rire…

Le 12/02/2016 à 13h 27

Pensez à tester votre nouvelle conf’ une fois déployée :)

https://tools.keycdn.com/http2-test

Le 12/02/2016 à 11h 04

Et si tu es sous Debian stable, ça ne suffira pas à activer l’ALPN, il faut recompiler le binaire en utilisant la dernière version d’OpenSSL (ou autre fork). Ce n’est pas la mort, mais ce n’est clairement pas pratique pour qui veux gérer ses mises à jour via le gestionnaire de paquets.

NginX fournit cependant des dépôts Debian, RHEL et Suse :
http://nginx.org/en/linux_packages.html#mainline

Ça te permet d’avoir une version à jour :)

Le 08/02/2016 à 16h 10

C’est intéressant de voir Google choisir ce type de solution technique, là où Skype était P2P à ses débuts et est passé à un modèle client-serveur suite au rachat de Microsoft :)

Le 04/01/2016 à 15h 08

Non, ça n’ouvrirait la porte à rien du tout, la démarche scientifique ne fonctionne pas comme ça. Tu ne peux pas conclure d’une exposition aïgue positive qu’il y aurait un effet chronique à trouver.

Et ce ne serait un pavé dans la mare de rien du tout, ce ne serait pas surprenant non plus qu’à force d’augmenter la puissance appliquée pour les tests, on finisse bien par trouver quelque chose, mais c’est encore un autre biais…

Le 30/12/2015 à 11h 58

Chouette, on va pouvoir disséminer plein de malwares avec les ports USB intégrés, et sans doute faire plein de choses intéressantes avec le Wi-Fi en local sur ces bornes… :)

(Et puis les voisins directs auront une connexion gratos, not bad !)

Le 03/12/2015 à 09h 48

Pour suivre de près tout les travaux sur le sujet en ce moment, c’est vraiment une thèse excellente et qui a la grand mérite de clarifier beaucoup de concepts sur les botnets.

On a énormément de chance de voir une telle ressource publiée en français ! :)

Le 21/10/2015 à 15h 44

Curieuse image d’illustration, en anglais le terme safety ne désigne pas la sécurité au sens ou on l’entend, et encore moins la sécurité informatique… :)

Le 13/10/2015 à 10h 43

Des articles pour les “geeks”… Des gadgets, des T-shirts, des figurines… Si c’est ça être geek de nos jours…

Le 17/09/2015 à 21h 54

Pourquoi ? 
 
Cela a un coût en terme de perfs (négligeables sur un Xeon, on est d’accord, mais quand bien même), et les données situées à l’extérieur du /home ne sont pas forcément intéressantes, qui plus est sur un NAS. 

Le 28/05/2015 à 07h 16

Encore une issue du marketing et du management, et pas de la technique… :-

Le 01/08/2014 à 07h 27

Offre déjà rejetée, allez " />

http://www.phonearena.com/news/Deutsche-Telekom-rejects-15-billion-offer-from-Il…

Le 10/12/2013 à 13h 29

J’ai du mal à comprendre comment un proxy espion sur https, peut aider à contrer des attaques informatiques qui proviennent de l’extérieur.


C’est pas le but, le but c’est de voir ce qui se fait en interne, pas de protéger ce qui vient de l’extérieur.

Entre autre, vérifier les fichiers qui transitent pour éviter les fuites (un employé du Trésor qui met un truc sur Google Drive, moyen.)

Le 10/12/2013 à 13h 26

Il y a plus de détails sur le bulletin de sécurité de Microsoft:http://technet.microsoft.com/en-us/security/advisory/2916652

Notamment la liste des domaines signés (Google, Youtube, Android et Urchin).

Le 10/12/2013 à 11h 21

BenjaminSonntag a écrit :

l’ANSSI sait pertinemment d’où sort l’info de google :http://blog.cryptographyengineering.com/2013/01/ubiquitous-surveillance-works-le… (en anglais) c’est certaines versions de Chrome qui fayotent (valablement) à Google en cas de certificat signé par la mauvaise autorité, on appelle cela du “certificate pinning”



Sauf qu’ils ne sont pas sensés utiliser Chrome, donc oui Chrome dispose de ce mécanisme, mais il semblerait que ce ne soit pas par là que ce soi arrivé chez Google.

Le 10/12/2013 à 11h 19

Cette langue de bois…


Comment Google a-t-il détecté cette manipulation ?

Objectivement, on ne s’est pas concentré sur cela.


Et la marmotte… " />