C'est quand même beau que ça soit le médecin qui soit responsable alors qu'il n'a aucune possibilité de gérer la sécurité etc du traitement. Doctolib se cache derrière la même excuse, mais l'asymétrie du système me fait penser qu'il doit y avoir quand même une co reponsabilité.
Signal et Discord peuvent sembler des "petites" applis, mais sont basées sur electron et donc sont globalement des navigateurs Web... pas étonnant que ça rame :)
(quote:1892041:alex.d.) Il n’y a rien de Linux dans WSL : c’est plutôt un portage de l’ecosystème GNU sur le noyau NT, c’est-à-dire que WSL fait tourner sous Windows une distribution Linux entière, à l’exception de son noyau (Linux, justement).
Non, comme précisé plus haut, WSL1 implémentait les appels systèmes Linux sur le noyau Windows. WSL2 est un vrai noyau Linux qui tourne dans une VM Hyper-V: Microsoft
Précision utile: bcrypt n’est plus vraiment recommandé pour stocker les mots de passe. L’idéal est d’utiliser argon2 ou scrypt qui présentent l’avantage de permettre un paramétrage temps/mémoire pour lutter contre le brute-force avec GPU/FPGA/ASIC.
Scénario (très probable), un nouveau voisin vient d’arriver, il ne veut pas payer internet ou le FAI met trop de temps à câbler son logement. Il décide de faire tourner un aircrack-ng (c’est une simple clé USB bootable). Au bout de quelques jours la clé wifi est découverte il peut se connecter sur ton réseau (après avoir éventuellement usurpé une adresse mac).
il faut arrêter un peu le délire. En pratique, avec une passphrase forte (et WPS désactivé), le WPA2-PSK n’est pas cassé.
Dommage que l’article n’ait pas de photo, charger une vidéo Youtube (nulle) pour avoir une idée de la bête, c’est ennuyeux (surtout qd on bloque YT de base :)
À noter que les américains sont bien aux courant des risques d’attaques informatiques, ils ont organisé cette année un CTF de piratage de satellite pendant DEF CON : https://www.hackasat.com/
Mais il faut aussi noter que l’équipe Solar Wine (francophone) a eu le plus de points et que les Polonais ont fini 2ème.
Très bonne idée ce tutorial Rust. En revanche, je conseille fortement à ceux qui veulent s’y mettre de lire le Rust book quand ils se lancent sérieusement, parce que le langage a des concepts (lifetimes, Traits) qui peuvent dérouter et sans explications, c’est ardu :)
Pour avoir regardé bcp de modèles (j’aurais du préciser que je suis l’un des auteurs des slides), je recommande les disques apricorn pour ceux qui veulent un clavier externe. Sinon un volule veracrypt, bitlocker ou luks fait très bien l’affaire si cela correspond à l’usage.
En tout cas le livre blanc est intéressant, c’est la première fois que je vois un fabricant donner des informations relativement précises sur la conception et sur les propriétés de sécurité d’un disque chiffrant (grand public). Apricorn a ses certificats FIPS, mais c’est un eu différent
En effet l’impact est très important mais il ne faut pas oublier que les comités de relecture ne sont pas payés ! Globalement les scientifiques travaillent tous gratuitement pour des éditeurs qui se gavent…
Enfin niveau sécu, il me semble que par le passé ils ont fait des erreurs, et il faut aussi qu’ils patchent les vulns rapidement après leur correction dans chromium pour éviter une fenêtre d’exploitation importante. À vérifier…
> until now to rigorously examine the platform’s privacy and security implications for consumers. “If not > for this crisis,” he said, “I think we would have never thought about this.”
Un point important quand même: Chrome est probablement le navigateur le plus avancé en matière de sécurité. Sa sandbox est à la pointe depuis le début, Firefox est un peu à la traîne, surtout sous Linux… même s’il y a un gros travail en cours.
Tiens, surpris par le nombre de publis, je cherche sur le site de Linagora, je trouve ça : liste des publis
J’en prends une au hasard: “Parallelism and conflicting changes in Git version control systems. In Proceedings of the Fifteenth International Workshop on Collaborative Editing Systems, Portland, Oregon, United States. 2017.“Voici le PDF:https://hal.inria.fr/hal-01588482/file/iwces15_Parallelism-and-conflicting-chang… deux auteur.e.s sont du LORIA, je ne vois aucune mention de Linagora ni de OpenPaas. Étrange, non ?
Le projet s’appuie sur beaucoup de logiciels open source développés publiquement. Les portions de code spécifiques au projet CLIP OS sont mises à disposition en open source (principalement sous licence LGPL 2.1+).c’est à dire, en libre.
Je vais me faire l’avocat du diable, mais au delà de subventions clairement “limites”, il faut semblerait que la grande majorité sert effectivement à subventionner des festivals ou artistes qui dans certains cas n’auraient probablement pas pu avoir lieu ou créer.
Dommage que l’article ne fasse pas une petite analyse de ces aspects positifs.
quitte à pinailler encore plus, autant utiliser argon2 ou scrypt, qui sont des fonctions de hachage modernes, conçues explicitement pour le stockage de mots de passe et qui permettent de se protéger contre les attaques par GPU, mais qui sont un peu plus dures à mettre en oeuvre.
Et pendant ce temps Firefox est le seul browser a ne pas être sandboxé … et qui cherche à ressembler de plus en plus à Chrome. Au final, autant utiliser chromium !
Certes Dual_EC est très probablement backdooré par la NSA, mais le code dans juniper n’est très certainement pas développé par la NSA… C’est quand même extrêmement tiré par les cheveux !
“””
D’autre part, un changement dans le code en 2008 a modifié le nonce cryptographique (nombre
utilisé pour signer un ensemble de données), passant sa taille de 20 à
32 octets or, d’après les chercheurs, le caractère prévisible des
résultats donnés par Dual_EC se reflète bien plus dans une taille plus
importante
“””
Cette phrase est extrêmement mal formulée. Le principal changement est que 32 octets fuitent publiquement (dans le nonce IKE en effet), ce qui rend (pour la personne qui a les clés de la backdoor) possible la récupération de l’état du RNG et donc celle de la clé de chiffrement.
44 commentaires
Le 17/11/2025 à 17h40
Le 17/11/2025 à 17h21
Le 17/12/2024 à 17h05
Le 25/10/2024 à 19h47
Le 09/02/2023 à 07h20
Article intéressant mais le ton sarcastique du début semble plus adapté à un blog personnel qu’à un article de journalisme de nextinpact.
Le 09/01/2023 à 07h47
Traduction “intéressante” de /repository/ par référentiel au lieu de “dépôt”.
Le 06/02/2022 à 12h54
Rappelons quand même que les relectures pour publication dans les revues à comité sont faites gratuitement par les pairs !
Le 13/01/2022 à 14h40
Truc intéressant à savoir avec les forfaits Sosh “série limitée”: ils n’incluent pas la data en Suisse (au moins), contrairement aux forfaits normaux
Le 15/09/2021 à 14h42
Roulette, 2ème !
Le 06/09/2021 à 13h09
Hop :) Bonne idée !
Le 25/08/2021 à 13h04
Non, comme précisé plus haut, WSL1 implémentait les appels systèmes Linux sur le noyau Windows. WSL2 est un vrai noyau Linux qui tourne dans une VM Hyper-V:
Microsoft
Le 26/02/2021 à 18h24
Précision utile: bcrypt n’est plus vraiment recommandé pour stocker les mots de passe. L’idéal est d’utiliser argon2 ou scrypt qui présentent l’avantage de permettre un paramétrage temps/mémoire pour lutter contre le brute-force avec GPU/FPGA/ASIC.
Le 18/02/2021 à 19h01
Perso, j’aime bien picocom pour parler aux ports série. Minicom c’est un peu overkill :)
Le 28/01/2021 à 08h28
il faut arrêter un peu le délire. En pratique, avec une passphrase forte (et WPS désactivé), le WPA2-PSK n’est pas cassé.
Le 27/01/2021 à 16h49
Une idée de la consommation de la prise elle-même ?
Le 27/11/2020 à 08h42
Dommage que l’article n’ait pas de photo, charger une vidéo Youtube (nulle) pour avoir une idée de la bête, c’est ennuyeux (surtout qd on bloque YT de base :)
Le 14/10/2020 à 20h36
À noter que les américains sont bien aux courant des risques d’attaques informatiques, ils ont organisé cette année un CTF de piratage de satellite pendant DEF CON : https://www.hackasat.com/
Mais il faut aussi noter que l’équipe Solar Wine (francophone) a eu le plus de points et que les Polonais ont fini 2ème.
Le 12/10/2020 à 08h24
Rust a un mode nostd, avec la bibliothèque “core” uniquement, qui n’utilise pas d’allocation dynamique et qui peut tourner sur des micro-contrôleurs.
Le 12/10/2020 à 07h54
Très bonne idée ce tutorial Rust. En revanche, je conseille fortement à ceux qui veulent s’y mettre de lire le Rust book quand ils se lancent sérieusement, parce que le langage a des concepts (lifetimes, Traits) qui peuvent dérouter et sans explications, c’est ardu :)
Le 05/09/2020 à 08h37
Pour avoir regardé bcp de modèles (j’aurais du préciser que je suis l’un des auteurs des slides), je recommande les disques apricorn pour ceux qui veulent un clavier externe. Sinon un volule veracrypt, bitlocker ou luks fait très bien l’affaire si cela correspond à l’usage.
Le 04/09/2020 à 14h57
En tout cas le livre blanc est intéressant, c’est la première fois que je vois un fabricant donner des informations relativement précises sur la conception et sur les propriétés de sécurité d’un disque chiffrant (grand public). Apricorn a ses certificats FIPS, mais c’est un eu différent
Le 04/09/2020 à 14h47
Le iodd2541 est vulnérable (source : https://syscall.eu/pdf/SSTIC2015-Slides-hardware_re_for_software_reversers-czarny_rigo.pdf ) je ne sais pas pour le western digital, mais je ne confierais pas de données sensibles au iodd ;) ni à aucun disque chiffré non certifié d’ailleurs.
Le 04/07/2020 à 15h19
En effet l’impact est très important mais il ne faut pas oublier que les comités de relecture ne sont pas payés ! Globalement les scientifiques travaillent tous gratuitement pour des éditeurs qui se gavent…
Le 08/06/2020 à 16h34
Enfin niveau sécu, il me semble que par le passé ils ont fait des erreurs, et il faut aussi qu’ils patchent les vulns rapidement après leur correction dans chromium pour éviter une fenêtre d’exploitation importante. À vérifier…
Le 14/04/2020 à 10h18
Enfin, dans l’interview au NYT, le CEO a dit :
> Mr. Yuan said Zoom never felt the need
> until now to rigorously examine the platform’s privacy and security implications for consumers. “If not > for this crisis,” he said, “I think we would have never thought about this.”
C’est incroyable !
Le 14/01/2020 à 15h47
Un point important quand même: Chrome est probablement le navigateur le plus avancé en matière de sécurité. Sa sandbox est à la pointe depuis le début, Firefox est un peu à la traîne, surtout sous Linux… même s’il y a un gros travail en cours.
Le 10/01/2020 à 16h10
ah oui, intéressant :) Le lien est très ténu quand même.
Le 10/01/2020 à 15h19
D’ailleurs ça serait marrant @manhack de voir si y’en a une seule qui a été faite par linagora.
Le 10/01/2020 à 15h14
Tiens, surpris par le nombre de publis, je cherche sur le site de Linagora, je trouve ça : liste des publis
J’en prends une au hasard: “Parallelism and conflicting changes in Git version control systems. In Proceedings of the Fifteenth International Workshop on Collaborative Editing Systems, Portland, Oregon, United States. 2017.“Voici le PDF:https://hal.inria.fr/hal-01588482/file/iwces15_Parallelism-and-conflicting-chang… deux auteur.e.s sont du LORIA, je ne vois aucune mention de Linagora ni de OpenPaas. Étrange, non ?
Le 04/03/2019 à 15h13
Un lien vers la source ?
Le 28/12/2018 à 22h51
Non ici c’est super chiant, faut répondre à 1000 trucs et filer son identité, etc.
Le 27/12/2018 à 15h34
Quelqu’un sait-il comment signaler simplement de tels problèmes à la CNIL ?
Le 12/12/2018 à 13h01
Je confirme, je suis en fibre, sans utiliser de box, l’upload est passé à 400Mbit/s. \o/
Le 21/09/2018 à 06h28
Avant de râler, c’est bien de se renseigner:
Le projet s’appuie sur beaucoup de logiciels open source développés publiquement. Les portions de code spécifiques au projet CLIP OS sont mises à disposition en open source (principalement sous licence LGPL 2.1+).c’est à dire, en libre.
Le 31/08/2018 à 11h39
Je vais me faire l’avocat du diable, mais au delà de subventions clairement “limites”, il faut semblerait que la grande majorité sert effectivement à subventionner des festivals ou artistes qui dans certains cas n’auraient probablement pas pu avoir lieu ou créer.
Dommage que l’article ne fasse pas une petite analyse de ces aspects positifs.
Le 19/04/2018 à 21h11
quitte à pinailler encore plus, autant utiliser argon2 ou scrypt, qui sont des fonctions de hachage modernes, conçues explicitement pour le stockage de mots de passe et qui permettent de se protéger contre les attaques par GPU, mais qui sont un peu plus dures à mettre en oeuvre.
Le 02/11/2017 à 12h18
Avez vous prévu une analyse de l’application ? Notamment si elle fonctionne bien… et sa sécurité / respect de la vie privée ?
Le 01/09/2016 à 20h50
Petite précision, keepass 2 est l’un des seuls gestionnaires de mdp certifiés :
Twitter vient d’en péter quelques uns…
 http://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portab…
Évitez tout gestionnaire qui n’a pas été audité avec un résultat public, Tavis Ormandy
Le 19/02/2016 à 12h05
J’en profite pour rappeler que Keepass 2 est certifié CSPN par l’ANSSI :
République Française
Un gage de confiance, car la crypto c’est compliqué et il est facile de faire des erreurs fatales.
Le 12/02/2016 à 16h29
Et pendant ce temps Firefox est le seul browser a ne pas être sandboxé … et qui cherche à ressembler de plus en plus à Chrome. Au final, autant utiliser chromium !
Le 12/01/2016 à 10h15
Titre putassier … et totalement faux !
Certes Dual_EC est très probablement backdooré par la NSA, mais le code dans juniper n’est très certainement pas développé par la NSA… C’est quand même extrêmement tiré par les cheveux !
“””
D’autre part, un changement dans le code en 2008 a modifié le nonce cryptographique (nombre
utilisé pour signer un ensemble de données), passant sa taille de 20 à
32 octets or, d’après les chercheurs, le caractère prévisible des
résultats donnés par Dual_EC se reflète bien plus dans une taille plus
importante
“””
Cette phrase est extrêmement mal formulée. Le principal changement est que 32 octets fuitent publiquement (dans le nonce IKE en effet), ce qui rend (pour la personne qui a les clés de la backdoor) possible la récupération de l’état du RNG et donc celle de la clé de chiffrement.
Le 07/01/2016 à 17h24
“Blablabla MS c’est mentent pour faire passer les gens à 10”
Sauf que … c’est vrai !
Windows 8, puis 8.1 et évidemment 10 on intégré énormément d’évolution de sécurité !
- cfg integrity
- limitation de win32k.sys pour les applis qui le souhaitent
- parser de police en userland
- améliorations de l’ASLR (précisé dans l’article)
- lsass en protected process
- et bien d’autres …
Dommage de la part de NextInpact qui généralement fait plus d’analyse avant de reprendre des news.
Le 02/04/2015 à 15h29
http://www.lafabriquedelaloi.fr/
À regarder aussi… le processus parlementaire modélisé.
Le 30/03/2015 à 09h20
Elle l’est déjà :
République Française