votre avatar Abonné

Jean_G

est avec nous depuis le 2 juin 2010 ❤️

Bio

Ancien lecteur devenu vieux lecteur mais également contributeur occasionnel (journaliste-pigiste) principalement sur des sujets de sécurité informatique.

Site personnel

https://secu.si

389 commentaires

Le 14/05/2025 à 08h 46

Il faut donc générer un nouvel enregistrement avec un nouveau hash. C’est un peu lourd, mais faisable.
Euh tu dis la même chose que moi, relis bien : pour une modification, je ne dis pas qu'il faut modifier le hash existant mais qu'il faut créer un nouvel enregistrement avec le nouveau hash, ce qui n'efface bien sûr pas le hash (et l'enregistrement) précédent. Ainsi on peut modifier, mais hélas pas effacer l'ancien enregistrement. Et tu as raison : si on veut effacer ou modifier un enregistrement de façon "conforme", il faut forker ou sinon une solution est de prendre le contrôle de la chaîne (attaque des 51%, privatisation...).
Ton commentaire est très intéressant car je vois que tes discussions vont dans le même sens, et que le RGPD semble restreindre les cas d'usage intéressants pour les blockchains. Il sera maintenant très intéressant aussi de voir le texte final, pour voir ce qu'il ressort de la consultation !

Le 11/05/2025 à 13h 38

Merci pour ton commentaire ! Tu as parfaitement résumé la situation : ce n’est pas la blockchain en tant que technologie qui est visée, mais certains usages qui impliquent des données personnelles, en particulier sur des chaînes publiques.

Pour répondre à ta première question : non, je n’ai pas gardé trace des messages que j’ai vus passer sur les réseaux, mais ce n’était pas l’objet central de l’article. Ils m’ont simplement servi de déclencheur pour explorer cette actualité importante : la consultation publique lancée par le CEPD. Même sans ces réactions, le sujet mérite qu’on s’y intéresse, car il pose des questions fondamentales sur la compatibilité entre blockchain et droit européen.

Cela dit, certaines réactions tournaient effectivement autour de “l’Europe qui veut tuer l’innovation”, “l’attaque bureaucratique contre la liberté”, ou encore “l’hypocrisie RGPD vs consommation énergétique”... Bref, des réactions typiques dès qu’un cadre juridique vient encadrer une techno considérée comme "disruptive". On retrouve souvent ces critiques du côté des promoteurs commerciaux ou éditoriaux de la blockchain.

Là où, selon moi, le sujet devient vraiment intéressant, c’est sur le plan philosophique : pour qu’une blockchain puisse respecter le RGPD, il faut souvent réintroduire un tiers de confiance, là où ces systèmes ont précisément été conçus pour s’en passer. Il y a donc une forme de contradiction structurelle, ou à tout le moins une tension difficile à résoudre sans renier les principes fondateurs des blockchains publiques.

Le 07/05/2025 à 13h 51

Dans mon prochain article, je placerai sycophante, apodictique, irrémissible, irréfragable et indubitable (ça n'est pas un gros mot).
:fumer:
:humour:

Le 14/05/2025 à 08h 37

Sans être un fervent papiste, je trouve que la formule sur l'IA fait mouche. Avis perso.

Le 07/05/2025 à 10h 10

Ah, ça fait partie des pluriels irréguliers ça, comme "un verre, des haltères" ou "un train, des rails". Bref moi je suis là depuis le 2 juin 2010 à 09h41 et 57 secondes précises ❤️. Jamais été un matinal, moi.

Le 07/05/2025 à 10h 04

Il y a longtemps que les horloges des fours prennent de l'avance parce qu'elles sont synchronisées sur le 50 hz.
ça peut représenter plusieurs minutes si il n'y a pas de microcoupure entre deux changements d'heure.

Ca veut dire que je ne peux plus faire confiance à mon four micro-ondes ? :stress: :stress:

Le 06/05/2025 à 14h 44

D'ailleurs y a pas eu un ajustement récent de la fréquence "européenne" (pour intégrer l'Ukraine, il me semble), et qui fait que toutes les petites horloges (comme celle sur les fours, les micro-ondes, etc.) vont imperceptiblement dériver (et donc ne plus être à l'heure) ? Enfin, ça se joue ç des pouillèmes...

Le 09/04/2025 à 11h 33

Après il y a encore un gros problème sur WhatsApp : meta AI. Censé nous aider à rédiger des messages, il est facile d'y inclure des informations sensibles par mégarde. On a vu avec le "SignalGate" qu'avoir un outil sécurisé ne suffit pas : il faut savoir l'utiliser. Or envoyer un message sensible à n'importe qui fait partie des pratiques à éviter, n'importe qui incluant une AI. Donc ça va devenir touchy d'utiliser tout logiciel utilisant de l'AI, y compris les messageries pourtant techniquement sécurisées.

:fumer:

Le 03/04/2025 à 10h 52

Cela fait un moment que tu n'as pas dû faire de Java. Sans dire que c'est le meilleur des langages, c'est loin d'être le pire. Les dernières versions ont bien amélioré les choses et depuis que l'on peut compiler en natif via GraalVM, les performances ne sont plus un problème. Le problème ici n'est pas tant le langage choisi que la manière complétement abrutie de procéder. Tu pourras prendre tous les langages existants, réécrire 60 millions de lignes de code probablement pas vraiment testé et avec des spécifications lacunaires, le tout en quelques mois, cela sera forcément un désastre.

Beaucoup d'entreprises restent bloquées sur du HotSpot traditionnel pour des raisons de coût, de compatibilité, et surtout parce que les grandes entreprises (hors Tech) sont assez frileuses pour changer qqch qui marche, même si ça n'est pas parfait et, dans le contexte mentionné, il y aura forcément un énorme travail d'optimisation à produire rien que pour ça. Mais on est d'accord que la traduction d'un langage à l'autre sans objectif réel et concret va aboutir sur une boucherie sans nom, indépendamment des questions de performance.

Le 01/04/2025 à 17h 03

Un petit mot sur les perfs du COBOL : Java fait du bytecode tournant sur une JVM qui doit gérer la mémoire (processus long et coûteux en CPU, en général) dans les multiples appels dans les couches qui se superposent comme un mille-feuilles (z'avez déjà vu un dump Java ?). Donc vous multiplies les appels systèmes coûteux en empilant des couches... On ne peut pas attendre des perfs de compétition avec ça. Côté lisibilité, c'est guère mieux, le code étant réparti dans plein de morceaux (certes, on peut aussi écrire comme un cochon en COBOL ou dans n'importe quel langage). Pour moi, Java est très mauvais quel que soit l'usage, on peut faire beaucoup performant, réutilisable et clair avec d'autres langages. Le seul intérêt de Java était son interopérabilité annoncée mais en pratique c'est un désastre (il faut parfois multiplier les versions de JVM sur une même machine pour faire tourner correctement le bousin).

Pour revenir à COBOL, la compilation revient quasiment à traduire le code COBOL en langage machine ; la gestion de la mémoire est décrite de façon déclarative (surtout dans les vieux COBOL et donc dans les vieux programmes qui constituent une partie non négligeable de l'existant). Résultat : un programme bien pensé tourne très vite et sans problème de gestion de mémoire. Donc réécrire du COBOL n'est pas rentable, a priori, surtout qu'effectivement la "logique" (les règles de gestion) risquent de souffrir d'une traduction (automatique ou pas, d'ailleurs) dans un autre langage.

Plus il y aura de code source à traduire, plus la traduction risquera d'être truffée d'erreurs. Or ce qu'oublient nos amis du DOGE (et d'autres...) c'est que la qualité du code produit est liée à la qualité du résultat et des tests ! Je pense aussi, pour comparer, aux programmes de calculs scientifiques qui mettent disons 1 heure à tout calculer mais qui prennent des jours ou des mois à vérifier. Partant du principe qu'une IA fera forcément des erreurs mais sans qu'on sache où, le résultat risque d'être d'une précision... comment dire... trumpienne.

next.ink Next

Le 01/04/2025 à 10h 57

Grillé, maintenant j'ai ton nom :windu: et mon nom est pas compliqué, j'ai juste eu moins de chance que ma femme (vu que son prenom est IA). Note : j'ai aussi eu une étudiante qui s'appelait Petya.

Le 01/04/2025 à 10h 49

Moi je dis : 0C7. A l'époque, ça se debuggait à la mimine, le COBOL. Sinon, pour aujourd'hui, on peut aussi tenter un site web responsive design en FORTRAN, un article de presse sans IA, etc. :-D

Le 01/04/2025 à 17h 05

Une précision du résultat digne des plus grands LLM !

Le 20/03/2025 à 11h 01

Je sais que de temps en temps je poste une réponse aux messages de type FB, en disant justement "rendez-vous sur Facebook" ou qqch du genre. J'ai un ancien collègue encore plus virulent qui demande : "alors, ça va le petit caca du matin ? Et la température, toujours 37° ?" Mais oui il y a une facebookisation de LinkedIn, et c'est bien dommage, c'est le seul réseau (a)social que je cultive un peu pour son orientation "activité professionnelle".

Le 20/03/2025 à 10h 52

Ben oui mais non, c'est pas une histoire de raccourci, moi j'ai déjà paumé des saisies en me gourant de commandes, donc je fais des :w à tout va, et en faisant :wq je me "prouve" que je sors mais en ayant sauvegardé. Ca me rassure. Chacun son vécu.

Le 19/03/2025 à 16h 05

moi je fais :wq et :q!, chacun son style :phibee:

Le 19/03/2025 à 16h 03

Aaaah, Turbo Pascal ... que de souvenirs de prépa ...

Vous avez 2h pour écrire un programme qui affiche la courbe de pH d'une réaction chimique en Turbo Pascal... :kimouss:

Le 17/03/2025 à 09h 16

Une excellente série de Flock entièrement bruitée à la bouche.

Le 07/03/2025 à 08h 42

John Spartan, vous avez une amende d'un crédit pour infraction au code de moralité du langage. :fumer:

Le 06/03/2025 à 10h 25

Le dessin de Flock pourrait devenir un étendard...

Le 04/03/2025 à 16h 38

J'espère qu'ils ont amélioré la sécurité depuis que je m'étais intéressé au sujet, en 2019 :
* RCS : le remplaçant du SMS est criblé de failles de sécurité
* New Android Text messaging service is vulnerable to hackers – Cybersecurity Insiders
* Mal implémenté chez les opérateurs, le RCS peut exposer les données des utilisateurs – Next
* SMS Replacement is Exposing Users to Text, Call Interception Thanks to Sloppy Telecos

Le 04/03/2025 à 15h 55

J'ai une idée : demander aux nouveaux esclaves qui catégorisent les informations de pédaler en même temps sur des vélos reliés à une dynamo. Brillant, non ?

next.ink Next

Le 19/02/2025 à 10h 11

On peut aussi compléter avec le mot de passe qui, à peine créé dans les années 60, a aussitôt été piraté (pour des questions de besoin de ressources, très coûteuses à l'époque).
next.ink Next

Le 17/02/2025 à 14h 47

Vaut-il mieux Dick et Marto ou Doc et Flick ?

Le 13/02/2025 à 11h 53

Correction : English Channel ;)

C'est encore pire que ce dont je me souvenais, donc :fumer: Merci pour la précision

Le 12/02/2025 à 16h 38

Trump relance la guerre du golf. Du Golfe. Bref. Pour rappel, la Manche s'appelle le British Channel chez la perfide Albion.

Le 15/01/2025 à 10h 44

Sur le sujet global de la modération, j'ai vu un excellent article de la Fondation Descartes. J'aime bien le principe du pollueur-payeur appliqué aux grands acteurs de la tech... dont s'affranchit désormais notre ami Mark Z.

Le 17/12/2024 à 18h 09

En général il vaut mieux se porter partie civile pour cela (il me semble) pour espérer des dédommagements. Ca permet surtout de se faire connaître et de donner des détails sur le préjudice subi. Je pense que de très nombreuses personnes n'ont pas fait la démarche s'ils ont pu résilier sans perdre trop d'argent. Ca ne veut pas dire qu'il n'y a que 317 victimes, mais que seules 317 ont amené au tribunal des éléments pour avoir une réparation.

Le 03/12/2024 à 14h 48

Mes chers amis*, je pense qu'en réalité c'est une mauvaise excuse pour une bonne occasion. Je m'explique : je ne suis vraiment pas sûr qu'on voie un jour un ordi quantique qui nous casse notre bon vieux RSA. En réalité, cette histoire ne fait que nous montrer qu'on met un peu tous nos œufs dans le même panier et qu'on se fie trop aux algos basés sur la factorisation d'entiers de grande taille. Or nous sommes déjà à la merci d'une avancée mathématique ou technologique (quelle qu'elle soit, quantique ou pas, ça peut aussi être mathématique ou algorithmique) qui du jour au lendemain rende obsolète cette protection.

Donc peu importe que ça soit à cause du quantique ou d'autre chose, il faut diversifier ses modes de protection. Donc je dirai oui aux algos mixtes (hybrides, composés, etc.) mais le buzz quantique est un prétexte qui fait peur à tort pour régler un problème réel.


* Bien que je n'ai plus d'amis, car je travaille dans la sécurité informatique

Le 27/11/2024 à 17h 23

Comme je disais dans mon autre message, sur VSCode le clear démarrait bien un nouveau contexte. Ou alors ça a changé depuis.

Après, l'article ne donne pas les conditions du test.

Utilisation de Visual Code et Codespace.

Le clear démarre bien une nouvelle conversation, mais j'ai remarqué à plusieurs reprises que cela n'effaçait pas tout : Copilot reprenait parfois (rarement, soyons honnête) des consignes issues de prompts précédents qu'il a fallu que j'annule par prompt. Cette notion de contexte est très complexe à gérer ; c'est déjà difficile pour un humain, alors pour une IA... Le contexte est crucial et pourtant il est difficile à établir et à maintenir.

C'est probablement le talon (ou un des talons) d'Achille de ces systèmes, car pour être efficace il ne faut pas aller trop en profondeur, alors qu'on aimerait au contraire que ces systèmes aient suffisamment de repères pour nous être vraiment utiles.

Le 21/11/2024 à 17h 44

L'informatique, c'est physique.

Le 19/11/2024 à 17h 46

Pour ceux qui ont des choses à dire pour faire avancer le sujet : gig-art.eu avec un appel à contribution... Conseil : ne pas arriver les mains dans les poches.
:fumer:

Le 19/11/2024 à 10h 52

Je suis tout à faire d'accord : souverain, ça ne veut pas dire grand chose, ou en tout cas c'est beaucoup trop imprécis pour permettre quoi que ce soit. Il faudrait une approche par les risques : de quels risques veut-on se prémunir ? Du risque juridique ? Du risque technique ? Du risque politique ? Du risque militaire ? Et dans chaque famille de risque, il conviendrait de préciser encore de quoi on parle.

Le 19/11/2024 à 15h 30

Les cyberattaques sont désormais « constantes et quasiment continues », comme dit un excelllllllllent expert :bisous:

Le 18/11/2024 à 10h 08

10 PRINT "GOOD BYE, WORLD :("
20 END

Le 25/10/2024 à 18h 09

Pour ces boîtes, ça n'est pas automatique.

:fumer:

Le 25/10/2024 à 18h 08

Je connaissais la variante suivante : il existe 2 types d'entreprises, celles qui ont été piratées, et celles qui vont être piratées.

Moui, mais comme on parle d'auto-école, il faut passer à la vitesse supérieure.

Sinon on dit aussi : "la question n'est pas de savoir si on va se faire pirater, ni même quand, mais combien de fois".

Le 25/10/2024 à 16h 35

En sécurité informatique, on dit qu'il y a deux types d'entreprises : celles qui se sont faites trouer au moins une fois, et celles qui ne savent pas qu'elles se sont faites trouer au moins une fois.

Le 25/10/2024 à 15h 49

J'allais faire une remarque sur l'armée américaine qui mettait à jour ses systèmes nucléaires (en partie) avec des disquettes 8 pouces, mais Seb m'a emboité le pas. La simplicité est parfois une bonne solution, pour ne pas finir avec un HAL 9000 (ou CARL 500 en français).

Le 08/10/2024 à 11h 00

Bonjour, tu as raison, je vais faire corriger pour que ça soit plus clair (Marc Rees, tu nous manques !). Toutefois l'exemple n'est pas tout à fait adapté : le code source de RHEL est bien "ouvert", et il est gratuit. Donc libre à toi de l'utiliser. Sauf qu'en pratique, on n'utilise pas le code source mais les objets compilés par Red Hat, qui eux sont soumis à modèle commercial payant, non ouvert. D'ailleurs, il existe des distributions dérivées de RHEL, utilisant son code source, comme CentOS Stream, AlmaLinux, ou Rocky Linux. Fedora, elle, est une version "en amont" de RHEL.

Le 07/10/2024 à 13h 46

"S’il faut comme toujours garder une certaine distance avec leurs propos car il y a toujours une composante marketing et avant-vente, les constats de ces sociétés bien établies sont toujours plein d’enseignements."
L'idée ici n'est pas de prendre les chiffres pour argent comptant mais de constater que l'hétérogénéité des composants logiciels est un risque en soi qu'il faut traiter (soit par la gestion des composants et de leur obsolescence, soit avec des outils "périphériques" comme des parefeux applicatifs, etc.), et parfois sous des angles moins évidents (comme les licences).

Le 04/10/2024 à 19h 15

Ca parait peu probable, il faut poser la question au responsable de l'intégration dans une image docker. Par ailleurs quand même ce serait le cas, c'est la sécurité de l'OS qui fera barrière pour l'escalation de privilège (mais pas pour la conso CPU ce qui est moins grave).

Les images Docker sont utilisées depuis longtemps pour héberger des malwares, souvent des cryptomineurs. Dans le papier, il me semble comprendre que les traces du malware ont été cherchées dans un conteneur (cf. figure 20).

Le 04/10/2024 à 13h 17

aquasec est spécialisée dans la sécurisation du cloud et des conteneurs. Pas très rassurant car on peut imaginer que ce machin se retrouve dans tout un tas d'images Docker, par exemple.

Le 04/10/2024 à 08h 48

A mon avis, s'il collabore avec les services de fraude financière, c'est en tant que suspect. Ca n'est ni le premier mythomane, ni le dernier, mais le traitement de l'information (de ce sujet) est sujet à débat, en effet.

Le 03/10/2024 à 11h 17

Super ton article, Vincent, je me posais justement des questions en ce moment sur NIS2. Mais un truc me frappe : on dirait qu'il y a eu un effet "silo" en DORA et NIS2 (= chacun travaille dans son coin). C'est curieux et inquiétant sachant que l'UE est justement censée éviter ce genre d'écueil...

Le 23/09/2024 à 15h 03

Coucou, je me suis amusé vite fait à le mettre en son via suno.com :)
=> https://suno.com/song/5bf9aa96-f76c-41c1-bf9b-038c2a35d0c7

'xcellent

Le 20/09/2024 à 18h 54

Moi je lui ai demandé un rap (dans mon domaine, la SSI).

(Refrain)
Sécurise ton système, mets de l’AI,
Sans ça ton réseau, c’est qu’un gros fail guy,
T’as besoin d’un CISO dans ta digital era,
Parce qu’un hack, ça te débranche direct du WiFi aura.

(Couplet 2)
Zero trust architecture, c’est mon mantra,
Faut mitiger les risques comme un vrai guerrilla,
T’es pas prêt pour l’advanced threat landscape,
Faut upgrader ta stack et ton mindset.

Phishing attack sur ton mailbox flow,
Trop naïf, t’as cliqué, et maintenant c’est chaud,
Mais moi, j’suis comme un hacker white hat,
J’sauve ta boîte, clean les failles dans ton datapath.

(Refrain)
Sécurise ton système, mets de l’AI,
Sans ça ton réseau, c’est qu’un gros fail guy,
T’as besoin d’un CISO dans ta digital era,
Parce qu’un hack, ça te débranche direct du WiFi aura.

(Outro)
Du firewall à l’antivirus next-gen,
On joue pas avec les failles, on les contain,
Dans la cyber game, j’suis l’génie du threat,
Avec moi, tes datas sont toujours asset !

Le 23/09/2024 à 14h 22

Moi je ne crois que ce que dit ChatGPT :
Le comique est un registre littéraire, théâtral, et cinématographique, qui vise à provoquer le rire ou l'amusement chez le public. Il repose sur l'incongruence, la surprise, l'exagération ou le contraste, créant des situations ou des discours qui déstabilisent les attentes habituelles. L'humour, qui fait partie de ce registre, peut également jouer un rôle cathartique, en permettant au spectateur ou au lecteur de prendre du recul par rapport à des situations sociales, politiques, ou personnelles.
Moi je suis plus choqué par le fait qu'on représente les informaticiens comme des barbus : c'est une exagération éhontée. J'en connais 2 dans mon service qui n'ont pas de barbe. Cette dernière phrase est d'ailleurs inspirée par Coluche, qui dans un de ses sketchs faisait dire à un policier :
Moi je vois hein, je suis pas dans un gros commissariat, mais je vois rien qu'au commissariat que j'suis, y en a au moins, que je dise pas de bêtises, y en a au moins quatre qui boivent pas ! Oh bah, c'est comme dans tous les troupeaux hein ! Y a des brebis galeuses !
Je suis choqué par cette stigmatisation des flics qui sont nos amis. Je me rappelle aussi cette blague : un mec passe un entretien d'embauche. Il fait un test psychologique, on lui présente une feuille de papier où est dessiné un triangle. On lui demande : "que voyez-vous ?". Réponse : "un couple en train de baiser". On lui présente une feuille avec un carré avec la même question. "Je vois une partouze". Idem avec un cercle. Réponse : "des sous-vêtements sexy et des sextoys". Le psychologue demande : "vous n'auriez pas un problème avec le sexe ?". Réponse du candidat : "hé ho c'est vous qui me montrez des dessins pornos".

Conclusion : dans toute interaction, chacun amène quelque chose de soi. Il n'y a pas de communication totalement objective. Pour combattre le mal, il n'est pas nécessaire de le voir partout.

Le 17/09/2024 à 19h 40

Je parlais d'explosion possible ou pas sur des batteries Ni-Cd & NiMH, pas sur des Li-ion... mais comme tu écris "notamment" cela sous-entend que d'autres types de batterie peuvent potentiellement exploser que les Li-ion, lesquels par exemple?
.

Désolé, j'avais mal lu ton commentaire. Donc : "Hélas si oui, aujourd'hui nous sommes entourés de batteries dont certaines au Lithium qui gonflent..."

Le 17/09/2024 à 19h 24

Hélas si : certaines batteries (notamment Li-ion) gonflent avant de prendre feu ou d'exploser. Ex : batterie de PC portable, batterie smartphone. Confinées et compressées dans des petits volumes, ça peut faire de gros dégâts (à courte distance).
1 2 7 8