Le 26/03/2015 à 10h 23

John Shaft a écrit :

Clairement. Je me souviens d’une de ces conférences où il expliquait comment configurer différents service (HTTP, mail…) pour qu’ils utilisent TLS. " />


tu parles surement de ceci : http://www.iletaitunefoisinternet.fr/ssltls-benjamin-sonntag/

Le 20/03/2015 à 08h 48

Heu l’aueur du texte Jean-Jacques Urvoas est bien un élu de l’Assemblée Nationale.

Je suis par contre moins optimiste que toi sur les chances d’avoir un débat constructif. Les derniers textes ont bien montré que la majorité PS fait passer ce qu’elle veut et ici une partie de l’opposition (principalement UMP) compte aussi voter le texte. Donc peu d’incertitude je pense sur l’issue des débats et du vote.

carbier a écrit :

Etant donné que notre état est totalitaire, la CNIL ne peut pas être écoutée.

Et même si c’était le cas, il s’agirait juste de poudre aux yeux
envoyée aux citoyens afin de masquer le fait que nous entrons dans une
dictature…



Si tu pouvais aller revoir la définition de “totalitarisme” et de “dictature” s’il te plait au lieu de polluer les commentaires ça serait pas mal pour la suite …

Le 13/03/2015 à 10h 31

  Il y a des nouveautés plutôt intéressantes comme :

• You can customize the security level of SSH connections by selecting which encryption algorithm(s) to use.
  
  Selon le support que j’ai contacté personnellement, ce genre d’option devrait arriver pour le server web aussi dans DSM 6.0 pour le HTTPS.

Le 13/03/2015 à 08h 02

Tweeter est avant tout un outil. Comme tel, il ne peut être réduit à un but en particulier. Chaque personne peut avoir un usage spécifique de ce réseau.

Comme tout réseau social, il est évidemment un outil de communication et donc logique qu’il soit utilisé par les communicants. Son fonctionnement permet néanmoins de ne suivre que ce qui nous intéresse.

Le 10/03/2015 à 14h 21

L’ AES en 512 bits n’existe tout simplement pas. AES ne fournit que du 128, 192 et 256 bits.

  Ici on parlait donc de RSA 512 bits qui lui est vraiment cassé et très faible à l'heure actuelle. Il était recommandé il y a largement plus de 10 ans.         

  Petit tableau comparatif :         

Symmetric     RSA/DSA/DH       ECC     Hash

  80                                1024           160       160        

  112                              2048           224       224         <-- Niveau minimum recommandé actuellement.    

  128                              3072           256       256      <-- Niveau recommandé   

  256                              15360        512       512  

Le 10/03/2015 à 14h 09

déjà on parle de chiffrement " />


Et ensuite il y a deux types de chiffrement à ne pas confondre, sur de l’AES en symétrique on va parler de chiffrement en 128 bits ou 256 bits. Tandis que sur du RSA en asymétrique on est dans du 1024 bits (faible à ne plus utiliser), 2048 bits (recommandé) ou 4096bits.

Ces deux chiffrements diffèrent par leurs algorithmes et ne peuvent être comparé directement sur la longueur des clés de chiffrement.

Le 09/03/2015 à 17h 22

Vu la compression des contenus proposés sur iTunes et via ses partenaires comme maintenant HBO, une mise à jour matérielle n’est vraiment pas nécessaire.

Le 05/03/2015 à 14h 43

Pas foutu d’avoir un certif X.509 valable sur leur site pour passer en HTTPS …
J’en déduis donc que si une chose aussi simple et gratuite (vu qu’ils sont clients de CloudFlare) n’est pas faite, inutile de parler de sécurité et de chiffrement sur leur application mobile …

P.S. : Je connais un autre site d’actu informatique qui est client CloudFlare et qui n’a pas encore demandé à mettre du SSL/TLS (gratuitement) sur l’entièreté de son site … " /> " />

Le 03/03/2015 à 14h 00

Heu à tous ceux qui pensent que les “pirates” comme vous dites ont besoin d’aller dans un videoclub pour avoir accès au DVD/Blu-ray (Full copie) pour en faire un RIP, je tiens à vous signaler que le DVD et Blu-ray sera dispo bien avant sur internet !

Le 02/03/2015 à 14h 32

Au final, même sur NXI, je remarque qu’il est presque déjà trop tard.
Beaucoup trop de gens acceptent les lieux communs poussés par la presse généraliste et par la classe politique comme d’associer Tor avec la vente de drogues ou de choses illicites. Dire que ça existe ne revient certainement pas à dire que c’est la majorité de son utilisation. De toute façon si vous essayez de me répondre avec votre petite expérience sur l’usage général de Tor, vous avez tort ! Des chiffres sur son usage sont, par principe, très compliqués à sortir. Et comme tout outil, il n’a pas à être jugé/interdit simplement parce que certains en font un mauvais usage.

Le 27/02/2015 à 20h 04

varox a écrit :

Il l’est toujours et tu le seras bien assez tôt fais moi confiance, les ayants droits ne vont pas laisser cette proie aussi facilement ;)


Ils risquent d’être très déçu pour le calcul des dommages et intérêts vu le nombre d’utilisateurs qu’il compte et de l’activité …

Le 27/02/2015 à 18h 00

Le tracker GKS n’existe tout simplement plus. Il ne peut donc plus y avoir de contenu partagé techniquement parlant. Les trackers privés ne fonctionnement pas comme un tracker public. Si le site du tracker et le tracker est fermé, le tracker ne peut plus être utilisé pour d’autres échanges.

Concernant le nouveau site, aucune preuve de son existence n’est trouvable et j’attends donc toujours qu’on m’avance autre chose qu’un vulgaire pastebin que j’aurais moi-même pu créer ;)

Le 27/02/2015 à 17h 50

varox a écrit :

De plus il me semble que les staffs du dit tracker continuent leur biz comme si de rien n’était…c’est un peu pousser à bout les ayants droits je pense qu’il y a une limite quand même, il ne faut pas s’étonner de l’acharnement ensuite.

1. Il n’y a jamais eu de business dans ce tracker. Il serait bon de parler de choses que vous connaissez.
   
   


2. De quoi parlez vous en réalité ? Quel business ? Quel projet en cours ?

Le 27/02/2015 à 14h 59

C’est un projet qui a un bel avenir devant lui s’il arrive à fédérer des prestataires de service autour de lui. Si certaines associations du libre ou boites privées pouvaient créer des serivces utilisant Caliopen pouvaient voir le jour, ça pourrait permettre de réellement éduquer les gens à la vie privée de leurs communications numériques.

J’espère réellement que ce projet va aboutir et que beaucoup de français et de nombreux utilisateurs de NXI vont l’utiliser et le promouvoir.

Le 25/02/2015 à 21h 12

Oui toutes les suites ECC ne sont clairement pas encore finalisées mais bon ChaCha20-Ply1305 est déjà intégré dans Chrome depuis un certains temps même si le draft est encore en cours de dev une certaine stabilité dans ces deux primitives est quand même déjà largement éprouvée. " />

Le 25/02/2015 à 18h 08

Oui et comme on est dans une news Mozilla/Firefox, il serait temps que ça sorte les doigts et qu’ils implémentent au moins ChaCha20-Poly1305 histoire de se passer aussi de AES sur certaines plateformes, notamment sur les mobiles (Android) où il existe une version mobile de Firefox.

Il serait bon aussi d’implémenter à terme Curve25519 (Ed25519) mais je ne pense pas qu’il soit encore suffisamment finalisé pour être intégré complétement.

Le 25/02/2015 à 14h 07

Sinon Twitter a déjà implémenté le HTTPS/2 sur ses servers. Mes connexions via FF36 utilisent bien le nouveau protocole.

P.S.: Impossible d’éditer mon commentaire du dessus.

 

Le 25/02/2015 à 13h 58

@konrad @geekounet85 @JohnShaft Il y a bien plus simple que tout ça, s’introduire via une faille dans les servers possedant les cléfs privées et déchiffrer toutes les communications ensuite … " />

Le 25/02/2015 à 12h 17

https://en.wikipedia.org/wiki/Dual_EC_DRBG

La NSA ne t’as pas attendu pour prendre cette voie .. :p

Le 16/02/2015 à 18h 07

Non mais perso ça me manque tellement vu que je suis lutôt fan de regarder par saisons entière que par épisode chaque semaine que je regarde les films dans VLC mais les séries je continue d’utiliser MPlayerX tellement ça peut être saoulant de devoir mettre une playlist avant ou de devoir se relever pour changer l’épisode à chaque fois. :/

Le 16/02/2015 à 17h 54

Si Si mais certains logiciels permettent automatiquement la lecture des fichiers suivants sans devoir créer de playlist. En gros je clic simplement sur mon fichier “Nom.S01E01.mp4” dans l’OS (pas l’interface VLC quoi) et à la fin de la lecture dans VLC il va lire automatique le fichier “Nom.S01E02.mp4” s’il est dans le même dossier. :)

Le 16/02/2015 à 17h 49

J’avoue qu’à une époque j’étais passé sur MPlayerX sur OSX mais je reviens invariablement vers VLC car il reste quand même le logiciel le plus stable et celui qui reste le plus à jour sur l’évolution du monde de l’image et du son. :)

P.S.: il manque par contre la possibilité de lire automatique un fichier à la suite de l’autre avec le “même nommage”, vous avez compris que c’est sympa pour les séries quand on en matte plusieurs d’affilé. ;)

Le 16/02/2015 à 17h 14

La sécurité par l’obscurité n’est qu’une illusion. Elle n’existe tout simplement pas. Que toi tu ne saches pas qu’une faille existe sur un logiciel que tu utilises n’empêche pas cette faille d’être exploitée par des gens malintentionnés. Dévoiler publiquement les failles des softs permettra en revanche une prise de conscience de la part des développeurs/éditeurs pour que la sécurité devienne enfin (!) une priorité dans la conception de logiciels. Ca pourra d’ailleurs permettre de faire le tri entre ceux qui font du marketing et ceux qui agissent dans ce sens. Sans même parler du fait qu’au moins les utilisateurs peuvent être informé et arrêter d’utiliser, ne serait-ce que momentanément, les solutions trouées sans risque de compromettre plus de données personnelles.

La lumière est toujours préférable à l’obscurité en terme de sécurité !

Le 16/02/2015 à 16h 14

Ils rajoutent 14 jours … Ca ne changera rien à la plupart des problèmes rencontrés à cause de la règle des 90 jours … LOL

@thbbth on peut passer la nuit à faire des métaphores débiles, ça n’apportera rien au sujet. La vrai question aurait été de savoir s’il était préférable d’introduire un bug de fonctonnement en comblant la faille de sécu ou de laisser la faille tout simplement. Par contre on a souvent prouvé dans l’Histoire que 9 cerveaux trouvaient plus de solutions qu’un seul en moyenne … Voilà comme ça je continue dans les métaphores idiotes vu que c’est un peu ta tasse de thé on dirait :p

Le 16/02/2015 à 15h 22

Si t’as pas assez de temps pour combler une faille majeure sans mettre le souk dans la merde qui leur sert de code, ils ont qu’à embaucher. Il parait qu’ils ont fait de bons bénéfices dernièrement, ça leur ferait un poste d’investissement …

Le 16/02/2015 à 15h 20

Les gens ici qui critiquent Google et qui ne trouvent pas ça choquant de prendre plus de 3 mois pour combler une faille critique … Je sais pas trop comment vous avez appris à dev mais quand y’a une faille majeur, on arrête de dev qu’on fait et on met toute la team dessus … Sinon vous méritez qu’on publie vos bugs et qu’on vous chie dans la bouche. Je vois pas d’autres alternatives perso …

Le 16/02/2015 à 12h 43

darkbeast a écrit :

Tu parles de cette applis qui fait croire qu’elle efface la photo au bout de 10 secondes et qu’en fait elle reste dans le tel ad-vitam….


Si ce n’était que dans le téléphone ça irait encore …

Le 10/02/2015 à 16h 05

Qruby a écrit :

Un web optimisé pour les services Google. Bizarrement personne ne parle de neutralité ici.


Ou alors tu n’as pas du tout compris le sujet et ton comm pue le gros troll … " />

Le 03/02/2015 à 17h 55

Xanatos a écrit :

Avoir le choix de radier définitivement des tiers foireux, c’est ça que je demande en fin de compte.


Heu perso je peux le faire dans mon FF dans les Preferences > Advances > Certificates > Authorities > delete

Après je ne sais pas si ça remet le parametre à 0 à chaque MAJ ou si ça les garde.

Le 03/02/2015 à 16h 47

Déjà comme ça que les crypto-nerds ne vérifient pas très souvent les signatures de clés de leur correpsondants sur GPG, toi tu veux carrément laisser tomber les autorités et demander à tout le monde de vérifier des empreintes de clé pour TLS … 

en gros tu voudrais qu’il n’y ait que des certifs auto-signés partout. Même si je suis loin de penser du bien de certains CA, ce système à évidemment ses gros défauts, je ne pense pas du tout qu’on ait à y gagner à passer à ton syst§me à toi qui deviendrait tellement invivable au quotidien qu’il reviendrait pour 95% des utilisateurs à accepter n’importe quel certificat en fin de compte. Donc autant garder une étape de contrôle intermédiaire, même si elle n’est pas parfaite.

Le 03/02/2015 à 14h 12

Heu il n’y a que Google qui l’intègre par défaut dans le navigateur Chrome. Les autres navigateurs demandent une installation manuelle de Flash Player pour servir comme plugin.

Le 02/02/2015 à 16h 38

Même s’il a tort sur le côté “historique” de la chose, il n’en reste pas moins que même si DSM est proprio et fermé, la manque de communication RAPIDE de Synology sur la question ne me semble pas non plus très judicieuse sur des sujets de sécurité.

Le 30/01/2015 à 08h 51

marrant tous ces gens qui ont des problèmes avec Yosemite, perso je l’ai depuis la ßeta et jamais eu aucun problème. Je me demande quel config et installation vous devez avoir en soft pour que ça déconne à ce point là.
Je ne nie pas qu’il y ait des problèmes hein, juste je n’ai ai eu aucun moi et mon ordi fait un peu office de “server” (en réalité c’est plutôt que j’utilise des services distribués donc qu’il fonctionne h24) donc une utilisation intensive. Je dois avoir de la chance … 

Le 29/01/2015 à 10h 34

Relis tous mes commentaires et tu verras qu’il y a bien plus de nuances et de détails que ce que toi tu en as compris. Notamment sur le “incassable” …

Mais t’inquietes je vais aller prendre des cours de crypto chez toi, comme ça à la fin je pourrai dire que la crypto c’est de la merde parce que la NSA peut TOUT casser … :p

Le 29/01/2015 à 10h 24

Nikodym a écrit :

Tu devrais suivre un cours de sécurité informatique plutôt que de faire des réflexions pour le moins naïves, sinon idiotes…
Quand on sait qu’il existes des organisation qui disposent de quasi tous les moyens possibles… " />


" /> Made my day

Le 29/01/2015 à 00h 21

C’est bien sympathique à toi de rappeler la théorie mais pas mal de recherches récentes ont quand même montré que ce genre de prises de contrôle est quasiment impossible dans la réalité, même pour une agence aussi efficace et budgétairement pourvue que la NSA.

Les analyses montrent que le choix de la route et des noeuds qui n’est pas réellement libre mais plutôt sensé se faire”aléatoirement” assure quand même un résultat suffisant qui exclut dans l’immense majorité des cas de se retrouver sur un circuit contrôlé entièrement pas un acteur. J ne dis pas que le modèle de menance est impossible mais il est extrêmement compliqué à reproduire. Et encore on ne rentre pas dans le détails d’autres cgiffrements qui pourraient intervenir tels que de TLS ou du chiffrement de bout en bout sur les données, ou encore des hidden-services …

Le choix des 3 rebonds n’a d’ailleurs pas été choisi au hasard mais repose sur un modèle précis correspondant à un taux statistique acceptable de mitigation de ce genre de risque.

Et si tu remontes sur mes comms précédents tu verras que je dis bien que le chiffrement est potentiellement decryptable, ici je parlais d’incassable au sens immédiat du terme.

Le 28/01/2015 à 22h 16

Tu devrais plutôt lire les commentaires précédents plutôt que de faire des réflexions pour le moins simplistes …

Le 28/01/2015 à 19h 52

voir mon commentaire plus haut. La situation géographique des servers ne changent strictement rien au contenu des données, elles sont inaccessibles, on peut dire incassables. Le système Tor est conçu comme ça. Le seul problème serait si les USA veulent faire fermer les servers s’ils passent une loi spécifique (ce qui semble tout de même peu probable) mais au niveau du respect de la vie privée, pas de problème.

Le 28/01/2015 à 19h 33

pamputt a écrit :

Ils peuvent toujours faire ça mais ça ne leur servira à rien (sauf s’ils ont un accès physique aux serveurs). Sinon tout le traffic est chiffré est Mozilla ne sait pas qui se connecte au réseau Tor, ni pour voir quoi.


Même en ayant l’accès physique aux servers, ils seraient dans l’incapacité de déchiffrer les paquets. Les relais (non-exits) ne font que faire passer les paquets en enlevant simplement une couche de chiffrement, ils sont incapables d’enlever la couche suivante. Au mieux, ils peuvent copier toutes les données pour déchiffrer un jour en cas de failles dans le chifferment ou quand les capacités de décryptage auront augmenter. (S’il n’y a pas de PFS je ne suis plus sur). Mais ça la NSA sait déjà fait sans avoir accès à l’infra de toute façon … " />

Le 27/01/2015 à 14h 04

Vekin a écrit :

Même les brouillons sont précieusement gardés ! C’est con, mais je n’y avais jamais songé.

Du coup si tu commences ton mail par une connerie mettant en scène des terroristes et je ne sais pas quoi, puis tu te ravises, t'es fiché !

Message informatif pour TOUS : à peu près tous les sites où l’on envoie des messages comme les fournisseurs d’email ou les réseaux sociaux utilisent cettte “fonctionnalité” actuellement.

Commencer un message dans votre navigateur, même après quelques lettres ou mots, des données sont automatiquement envoyées aux servers et stockées. ( valable sur Facebook, même un message non-envoyé, effacé est présent dans vos données chez eux.)

Solution, écrire vos messages dans des logiciels autre que votre navigateur comme un logiciel de prise de notes ou de rédaction. (Pour OSX oublier tous les logiciels développés par Apple, encore plus si vous utilisez iCloud … )

Le 22/01/2015 à 13h 21

  Çaressemble étrangement à un problème PEBCAK tout ça … " />

Le 22/01/2015 à 09h 30

Heu OTR c’est pour du chat texte donc ils utilisent quoi pour le chiffrement video et voix ? C’est même pas dit, il est pas open source ? C’te blague ….

Le 21/01/2015 à 14h 03

Le problème de l’utilisation du chiffrement symétrique c’est qu’il n’y a qu’une seule clé de chiffrement et que dans le cas de Mega, elle est aussi stockée sur les servers de Mega … ce qui n’est vraiment pas une bonne solution selon moi. (même si elle est chiffrée via le mot de passe pour être stockée) Donc même si, en effet, il y a au moins du chiffrement, il n’est pas très à jour en tout cas. Même si mieux que pas du tout, je préfère ne pas faire confiance à cet acteur personnellement.

Le 21/01/2015 à 12h 47

la création de paires de clés par dérivation de phrases de passe est notamment utilisée par le logiciel miniLock et ce mécanisme a aussi été repris dans la logiciel peerio qui est récemment sorti :https://github.com/kaepora/miniLock#2-key-derivation
 

Concernant les solutions de Dotcom, aucunes n’incluent de chiffrement de bout en bout, en gros il n’y a que le chiffrement de la communication qui repose sur du TLS qui est parfois mal implémenté ou mal utilisé si des gens sont sur de vieux clients. Rien n’est chiffré sur les severs de la société ce qui n’est pas suffisant en 2015. Le chiffrement de bout en bout devient une solution inévitable.

Le 21/01/2015 à 12h 31

taralafifi a écrit :

Snowen est complètement dépassé aujourd’hui. Les données en sa possession ont plus de 2 ans. Une éternité dans le monde de l’informatique. Tout a changé depuis. Ses infos sont obsolètes.


Je pense que c’est la meilleure blague de la journée ! " />

 

Le 21/01/2015 à 11h 03

Je parlais de ton argument juridique sur l’intentionnalité. Qui est aussi con adapté au verbal ou pas d’ailleurs ! ;)

 @athlon64 Je suis également contre la prison pour tout ce qui est délit de parole mais je reste convaincu qu’il faut au minimum punir ce genre de prise de paroles publiques par des peines pécuniaires légères. Ce sont des incitations à la haine, et plus on les laisse s’exprimer, plus elles permettent aux gens de se sentir désinhibés et de passer à l’acte.

Le 21/01/2015 à 10h 33

En gros tu ne reconnais pas du tout le principe des délits homophobes, racistes ou xénophobes ?

eliumnick a écrit :

Et c’est justement une conséquence de la liberté d’expression bridée.
On est obligé de se poser la question des intentions de l’auteur.


Ton argument est extrêmement faible que ce soit philosophiquement et même juridiquement.
A ce compte là on supprime aussi les délits d’homicide du droit français parce qu’on doit aussi déterminer s’il y a intention ou pas … Désolé mais c’est vraiment n’importe quoi !

Le 21/01/2015 à 10h 27

C’est quand même de la mauvaise foi de croire qu’il et impossible de juger des commentaires homophobes, racistes ou xénophobes sans pouvoir écarter l’humour ou le cynisme. Qu’il puisse y avoir des gens qui trollent sur ces sujets c’est un fait. Mais avoir peur de ne pas pouvoir écarter l’humour pour défendre une liberté d’expression totale c’est malhonnête intellectuellement.
Le fil des tweets de certains sont assez clair et les comportements ou associations d’idées IRL d’autres sont aussi assez explicites.

Le 21/01/2015 à 09h 20

Il existe déjà DE TRES NOMBREUSES lois contre toutes sortes d’extremismes. La France a même une des réglementations les plus dures en la matière en Europe et dans le monde !
Ce qui est ridicule c’est de voir ces autorités passer dans tous les médias pour appeler à de nouvelles lois alors que la plupart existantes ne sont pas forcément utilisées ou mises en application.

Je ne parlerai même pas des clowns appelant à un Patriot Act et ne comprenant même pas ce que ce la signifie … toute analogie avec certains membres de l’UMP serait bien entendu fortuite.

Le 21/01/2015 à 07h 31

Je suis totalement pour ce genre de poursuites judiciaires contre les auteurs de ce genre de messages sur le net et les réseaux sociaux en particulier.
Je suis, par contre, contre la suppression automatique par Twitter, ou les autres sociétés gérant les réseaux sociaux, des messages ne respectant pas la loi de certains pays. La seule voie juste et démocratique est de passer par la justice, même si le traitement peut être long.