Le 21/11/2024 à 17h 44

L'informatique, c'est physique.

Le 19/11/2024 à 17h 46

Pour ceux qui ont des choses à dire pour faire avancer le sujet : gig-art.eu avec un appel à contribution... Conseil : ne pas arriver les mains dans les poches.

Le 19/11/2024 à 10h 52

Je suis tout à faire d'accord : souverain, ça ne veut pas dire grand chose, ou en tout cas c'est beaucoup trop imprécis pour permettre quoi que ce soit. Il faudrait une approche par les risques : de quels risques veut-on se prémunir ? Du risque juridique ? Du risque technique ? Du risque politique ? Du risque militaire ? Et dans chaque famille de risque, il conviendrait de préciser encore de quoi on parle.

Le 19/11/2024 à 15h 30

Les cyberattaques sont désormais « constantes et quasiment continues », comme dit un excelllllllllent expert

Le 18/11/2024 à 10h 08

10 PRINT "GOOD BYE, WORLD :("
20 END

Le 25/10/2024 à 18h 09

Pour ces boîtes, ça n'est pas automatique.

Le 25/10/2024 à 18h 08

Moui, mais comme on parle d'auto-école, il faut passer à la vitesse supérieure.

Sinon on dit aussi : "la question n'est pas de savoir si on va se faire pirater, ni même quand, mais combien de fois".

Le 25/10/2024 à 16h 35

En sécurité informatique, on dit qu'il y a deux types d'entreprises : celles qui se sont faites trouer au moins une fois, et celles qui ne savent pas qu'elles se sont faites trouer au moins une fois.

Le 25/10/2024 à 15h 49

J'allais faire une remarque sur l'armée américaine qui mettait à jour ses systèmes nucléaires (en partie) avec des disquettes 8 pouces, mais Seb m'a emboité le pas. La simplicité est parfois une bonne solution, pour ne pas finir avec un HAL 9000 (ou CARL 500 en français).

Le 08/10/2024 à 11h 00

Bonjour, tu as raison, je vais faire corriger pour que ça soit plus clair (Marc Rees, tu nous manques !). Toutefois l'exemple n'est pas tout à fait adapté : le code source de RHEL est bien "ouvert", et il est gratuit. Donc libre à toi de l'utiliser. Sauf qu'en pratique, on n'utilise pas le code source mais les objets compilés par Red Hat, qui eux sont soumis à modèle commercial payant, non ouvert. D'ailleurs, il existe des distributions dérivées de RHEL, utilisant son code source, comme CentOS Stream, AlmaLinux, ou Rocky Linux. Fedora, elle, est une version "en amont" de RHEL.

Le 07/10/2024 à 13h 46

"S’il faut comme toujours garder une certaine distance avec leurs propos car il y a toujours une composante marketing et avant-vente, les constats de ces sociétés bien établies sont toujours plein d’enseignements."

L'idée ici n'est pas de prendre les chiffres pour argent comptant mais de constater que l'hétérogénéité des composants logiciels est un risque en soi qu'il faut traiter (soit par la gestion des composants et de leur obsolescence, soit avec des outils "périphériques" comme des parefeux applicatifs, etc.), et parfois sous des angles moins évidents (comme les licences).

Le 04/10/2024 à 19h 15

Les images Docker sont utilisées depuis longtemps pour héberger des malwares, souvent des cryptomineurs. Dans le papier, il me semble comprendre que les traces du malware ont été cherchées dans un conteneur (cf. figure 20).

Le 04/10/2024 à 13h 17

aquasec est spécialisée dans la sécurisation du cloud et des conteneurs. Pas très rassurant car on peut imaginer que ce machin se retrouve dans tout un tas d'images Docker, par exemple.

Le 04/10/2024 à 08h 48

A mon avis, s'il collabore avec les services de fraude financière, c'est en tant que suspect. Ca n'est ni le premier mythomane, ni le dernier, mais le traitement de l'information (de ce sujet) est sujet à débat, en effet.

Le 03/10/2024 à 11h 17

Super ton article, Vincent, je me posais justement des questions en ce moment sur NIS2. Mais un truc me frappe : on dirait qu'il y a eu un effet "silo" en DORA et NIS2 (= chacun travaille dans son coin). C'est curieux et inquiétant sachant que l'UE est justement censée éviter ce genre d'écueil...

Le 23/09/2024 à 15h 03

'xcellent

Le 20/09/2024 à 18h 54

Moi je lui ai demandé un rap (dans mon domaine, la SSI).

(Refrain)
Sécurise ton système, mets de l’AI,
Sans ça ton réseau, c’est qu’un gros fail guy,
T’as besoin d’un CISO dans ta digital era,
Parce qu’un hack, ça te débranche direct du WiFi aura.

(Couplet 2)
Zero trust architecture, c’est mon mantra,
Faut mitiger les risques comme un vrai guerrilla,
T’es pas prêt pour l’advanced threat landscape,
Faut upgrader ta stack et ton mindset.

Phishing attack sur ton mailbox flow,
Trop naïf, t’as cliqué, et maintenant c’est chaud,
Mais moi, j’suis comme un hacker white hat,
J’sauve ta boîte, clean les failles dans ton datapath.

(Refrain)
Sécurise ton système, mets de l’AI,
Sans ça ton réseau, c’est qu’un gros fail guy,
T’as besoin d’un CISO dans ta digital era,
Parce qu’un hack, ça te débranche direct du WiFi aura.

(Outro)
Du firewall à l’antivirus next-gen,
On joue pas avec les failles, on les contain,
Dans la cyber game, j’suis l’génie du threat,
Avec moi, tes datas sont toujours asset !

Le 23/09/2024 à 14h 22

Moi je ne crois que ce que dit ChatGPT :

Le comique est un registre littéraire, théâtral, et cinématographique, qui vise à provoquer le rire ou l'amusement chez le public. Il repose sur l'incongruence, la surprise, l'exagération ou le contraste, créant des situations ou des discours qui déstabilisent les attentes habituelles. L'humour, qui fait partie de ce registre, peut également jouer un rôle cathartique, en permettant au spectateur ou au lecteur de prendre du recul par rapport à des situations sociales, politiques, ou personnelles.

Moi je suis plus choqué par le fait qu'on représente les informaticiens comme des barbus : c'est une exagération éhontée. J'en connais 2 dans mon service qui n'ont pas de barbe. Cette dernière phrase est d'ailleurs inspirée par Coluche, qui dans un de ses sketchs faisait dire à un policier :

Moi je vois hein, je suis pas dans un gros commissariat, mais je vois rien qu'au commissariat que j'suis, y en a au moins, que je dise pas de bêtises, y en a au moins quatre qui boivent pas ! Oh bah, c'est comme dans tous les troupeaux hein ! Y a des brebis galeuses !

Je suis choqué par cette stigmatisation des flics qui sont nos amis. Je me rappelle aussi cette blague : un mec passe un entretien d'embauche. Il fait un test psychologique, on lui présente une feuille de papier où est dessiné un triangle. On lui demande : "que voyez-vous ?". Réponse : "un couple en train de baiser". On lui présente une feuille avec un carré avec la même question. "Je vois une partouze". Idem avec un cercle. Réponse : "des sous-vêtements sexy et des sextoys". Le psychologue demande : "vous n'auriez pas un problème avec le sexe ?". Réponse du candidat : "hé ho c'est vous qui me montrez des dessins pornos".

Conclusion : dans toute interaction, chacun amène quelque chose de soi. Il n'y a pas de communication totalement objective. Pour combattre le mal, il n'est pas nécessaire de le voir partout.

Le 17/09/2024 à 19h 40

Désolé, j'avais mal lu ton commentaire. Donc : "Hélas si oui, aujourd'hui nous sommes entourés de batteries dont certaines au Lithium qui gonflent..."

Le 17/09/2024 à 19h 24

Hélas si : certaines batteries (notamment Li-ion) gonflent avant de prendre feu ou d'exploser. Ex : batterie de PC portable, batterie smartphone. Confinées et compressées dans des petits volumes, ça peut faire de gros dégâts (à courte distance).

Le 06/09/2024 à 14h 34

Ça deviendrait presque une rPoutine.

Le 04/09/2024 à 17h 22

Moi qui cherchait justement un moyen de faire un backup de ma clé...

Le 03/09/2024 à 16h 14

Pourquoi le feu .qouv ?

Le 16/08/2024 à 18h 29

Très intéressant (et étoffé) commentaire. Sur le QVS, je n'ai pas creusé car je ne vais pas "faire le produit" pour Qualys, mais c'est aussi un peu normal qu'ils défendent leur score. J'en comprends cependant qu'il s'agit d'un "mix" entre dangerosité (tel qu'on peut le voir dans CVSS) et probabilité d'exploitation (EPSS), et donc forcément c'est meilleur (selon eux). Ce qui est intéressant (plus que leur QVS) est que Qualys reste une société de premier plan en sécurité informatique, et que leurs observations sont toujours utiles. Je crois que tu as fait une remarque sur le titre du §, ça aurait en effet pu être "CVSS vs QVS vs EPSS", mais je voulais surtout insister sur le fait que le CVSS (beaucoup plus connu) manque de la dimension "probabilité" (qu'on retrouve dans QVS et EPSS, mais le matériau de base de l'article était l'étude de Qualys)...

Le 13/08/2024 à 14h 42

C'est quand même étrange, ces lettres que laisse le tueur. O, D, I et maintenant L. ODIL qu'est-ce que ça peut bien vouloir dire ? Lido ? Ça serait une danseuse ?"

Le 13/08/2024 à 10h 47

Coquille : c'est bien du SHA256. Bon après si je donnais le nom non haché, c'est moi qui me ferait hacher menu-menu. Je ne serais plus qu'un f56dbc5b3bcdce3c9daaa8674812dec0c88d13743986929b57369de9427b8a1c.

Le 13/08/2024 à 10h 26

Moi je sais qui c'est, je vais vous le dire : c'est d5b4bd362d608f35696e01e8809d917e159cd3b61923a15a1c260e3460498068. Enfin, c'est le hash 256 de son nom (sous la forme Prénom + espace + Nom de famille, avec une majuscule à chaque fois).

Et je confirme que Seb a besoin de temps pour les pigistes...

Le 26/06/2024 à 10h 55

Mes chers amis, restons nuancés. Patch peut très bien avoir un avis contraire à refuznik sans qu'il ne soit à la solde des américains. Je félicite Seb (Seb : c'est bien !) pour la neutralité de son article. On peut être pour Assange, on peut être contre, mais la diversité d'opinion (ou l'opposition) peut être plein de nuances.

Le 17/06/2024 à 10h 36

Exact : en réalité la stat est qu'un entrepôt brûle tout les 20 ans (si, si), donc il faut "provisionner" le risque à raison de 1/20 par année... Pour les immeubles d'habitation, le risque est beaucoup plus faible !

Le 08/06/2024 à 13h 07

Je répète : ça n'est qu'une mesure parmi d'autres, et aujourd'hui c'est rare qu'un attaquant épluche les réseaux sociaux juste pour ton compte bancaire. Le menace vient plutôt des keyloggers/troyens, du phishing, etc.

Le 08/06/2024 à 13h 00

Tu as raison, ça n'évite pas mais ça diminue le risque. Et encore une fois ça n'est qu'une mesure parmi de nombreuses autres.

Le 07/06/2024 à 19h 32

Exactement : ça évite les keyloggers, mais pas le phishing. La meilleure arme contre le phishing est le second facteur.

Le 07/06/2024 à 19h 25

En général, les banques interdisent les combinaisons "simples" comme la date de naissance de l'utilisateur. Pour les autres dates, tout dépend de combien tu as d'enfants, combien de fois tu t'es marié, etc. Donc laquelle le pirate doit-il prendre ?

Trêve de plaisanterie, la sécurité dans les banques ne repose pas que sur un code à 6 chiffres, et en général 3 ou 4 tentatives infructueuses bloquent l'accès au compte toute une journée. Ca réduit pas mal le risque de brute force et le risque d'être "deviné". On peut aussi regarder les heures habituelles de connexion, la localisation (probable) avec l'adresse IP, le comportement sur l'interface et plein d'autres mesures pour évaluer le risque...

Car je le répèterai longtemps : dire qu'un système est sécurisé n'a pas de sens, en général. En réalité, on gère un risque (ou des risques). D'ailleurs, si Seb me lit, j'ai fait un petit article sur ce sujet. Ainsi, pour la consultation des comptes, on tolère un code "simple" mais pour des opérations sensibles, on impose un second facteur (SMS, application mobile "scellée" au smartphone, passkey...).

Pour revenir sur l'histoire du code à 6 chiffres, le risque le plus important pour une banque est généralement le phishing. Or dans une telle attaque, l'utilisateur donne tous ses identifiants, qu'ils soient courts ou long. Que le mot de passe soit simple ou complexe ne change rien au problème. C'est d'ailleurs un des grands intérêts des passkeys : donner la possibilité de réaliser "facilement" une authentification à deux facteurs, où la connaissance du code ne suffit pas à la connexion.

Petite histoire du mot de passe

Le 26/04/2024 à 10h 24

En effet, on se demande... Et je vais leur demander !

Le 22/04/2024 à 13h 15

Après l'attaque du Slip, on se fait trouer le pot.

Le 18/04/2024 à 14h 22

Une question qui se pose souvent dans le milieu professionnel : est-ce que l'open source est sûr ? Souvent les avis sont tranchés (oui catégorique ou non définitif), alors que la vraie réponse est qu'avec l'open source, il faut gérer des risques différemment. Les développeurs sont souvent bénévoles, sauf pour quelques gros projets, la réactivité n'est pas la même, et rien que la licence d'utilisation peut réserver des surprises.

Et pour illustrer le dessin de xkcd, le projet openSSL (qui a eu une influence déterminante sur le développement d'internet en permettant des communications sécurisées) n'était maintenu que par un seul développeur à plein temps au moment de l'apparition de la vulnérabilité HeartBleed.

Le 02/04/2024 à 18h 57

Sur WSL, on est passé sur... 5.6.1 ! Mais pas de panique, il s'agit d'une version spéciale. En réalité, il s'agit de la version 5.4.5-1. Ouf...

2024-04-01 12:22:29 status installed xz-utils:amd64 5.6.1+really5.4.5-1

Le 20/03/2024 à 17h 00

C'était bien le sens de ma remarque...

Le 20/03/2024 à 12h 34

Ca fera combien de FPS avec Fortnite ?

Le 08/03/2024 à 10h 05

C'est d'ailleurs depuis longtemps son argument principal : la sécurité (et pas du tout que ça oblige tout le monde à leur verser des royalties et autres frais, non, non).

Le 08/03/2024 à 09h 55

Alors déjà ça n'est pas (que) moi qui dit que la biométrie n'est pas un bon moyen d'authentification, c'est l'ANSSI (cf. doc sur l'authentification forte). Pour ma part, j'ai également fait une étude de 6 mois sur le sujet (pour mon autre boulot, en dehors de Next), et je suis d'accord avec eux. L'avantage principal de la biométrie est le confort d'utilisation, pas son niveau de sécurité. Après, ça répond à certains usages, pas à d'autres. L'ANSSI ne recommande son utilisation qu'en complément d'un autre facteur suffisamment fort.

Point important : les banques n'utilisent pas une reconnaissance faciale pourrie ou pas, elles utilisent en général le dispositif installé sur le smartphone. Quelqu'un de minutieux ira interroger le terminal pour adapter sa sécurité en fonction du niveau de qualité connu de la biométrie, mais on approche de la science-fiction (il faudrait une évaluation indépendante de tous les dispositifs, mais à ma connaissance ça n'existe que pour les dispositifs FIDO).

Un mythe qu'il faut également briser : qu'une appli ou un OS n'ait pas accès aux gabarits biométriques, c'est la moindre des choses mais les attaques ne passent jamais par là. Attaquer une enclavé sécurisée est trop compliqué et, à l'inverse de ce que dit un confrère, il n'y a rien de rassurant à savoir que les attaquants n'ont utilisé aucune vulnérabilité de l'OS ni récupéré d'information dans l'enclave sécurisée : le point faible n'est pas là ! Il est dans le fait qu'on trouve des éléments biométriques n'importe où (la CNIL considère d'ailleurs maintenant que tous les types de biométrie peuvent laisser des traces dans leur environnement, et donc peuvent être interceptées). On peut même retrouver l'empreinte digitale dans les selfies de personnes faisant le signe "V"... Ici, dans le cas de figure de l'article, l'attaque consistait à récupérer une vidéo à rejouer ou une image à enrichir avec de l'IA pour déjouer l'authentification d'applications bancaires.

Du point de vue de la résistance aux attaques (c'est ça, la vraie "entropie" qu'il faut évaluer), Apple est meilleur qu'Android sur la reconnaissance faciale car il peut imposer sur ses terminaux plusieurs capteurs de type différents qui permettent de fiabiliser la reconnaissance faciale. Néanmoins, Apple annonce aujourd'hui un taux d'erreur de 1 sur 1 000 000 (en jouant probablement un peu sur les paramètres mais c'est un détail), ce qui correspond à un code PIN sur 6 caractères à peu près (sachant qu'un code PIN peut être changé, pas un visage...). Pour l'empreinte digitale, iOS annonce un taux d'erreur de 1 sur 50 000, Android c'est souvent le même ordre de grandeur (ça dépend des fabricants), donc ça n'est pas meilleur, c'est pire (sur les smartphones).

De plus, autant dans Android que dans iOS, le code PIN prime lorsqu'il s'agit d'opérations sensibles (c'est dans tous les docs d'utilisation). En clair : on a plus confiance dans un code PIN que dans la biométrie, fut-elle faciale...

Par ailleurs, il ne faut pas confondre les capteurs de haut niveau (type Thalès, avec une surface de captation de plusieurs cm²) avec un capteur de smartphone dont la résolution est souvent de l'ordre de 64 pixels sur 64. Sachant que pour interpréter une image d'empreinte digitale, il faut interpréter des motifs (spirales, boucles, arches...), le système doit faire ça sur une image de 64x64 pixels !

Pour ce qui est des systèmes qui demandent de tourner la tête, de sourire, et tout ça, c'est justement ça que cette attaque permet de bypasser : les attaquants fabriquent un filtre (genre Insta ou TikTok) et se le mettent sur leur visage et c'est ça qu'ils présentent au système d'authentification. Ce dernier voit donc qqch qui ressemble au bon utilisateur, et qui bouge selon les ordres...

Tu parles également de l'utilisateur qui mettrait "aaaaaaa..." dans son mot de passe : oui, on ne remet pas en cause les mots de passe longs. La "faille" vient du manque d'entropie en entrée, ce qui peut être vérifié pour un mot de passe (tu as sûrement souvent vu un thermomètre indiquant si le mot de passe que tu es en train de créer est suffisamment sécurisé ou pas). Le problème de la biométrie est que tu ne peux pas demander à un utilisateur de modifier son doigt ou son visage pour être sécurisé. Et, heureusement, un visage est souvent homogène, parfois harmonieux : il est par exemple rare de changer de coloration de peau 20 fois sur un cm². L'entropie biométrique (pour le visage) est largement affaiblie par le fait que nos visages ne sont pas fait d'aléas extraordinairement nombreux.

Et heureusement, car on aura du mal à se reconnaître, et je terminerai là dessus : la biométrie aura toujours une marge d'erreur, car c'est une mesure (donc intrinsèquement avec une marge d'erreur, qui dépend de la qualité des capteurs et du mode de calcul de ressemblance) et surtout il faut qu'il y ait une marge d'erreur car nous sommes vivants et donc nous changeons. Aujourd'hui, on pense que la biométrie faciale a une marge de progression, mais à vouloir être trop précis on finira par ne plus reconnaître l'utilisateur légitime (car la moindre différence entraînera le rejet, donc interdiction de vieillir, de se couper les cheveux, de se raser ou de se laisser pousser la barbe, d'avoir de la couperose, de laisser pousser les cartilages comme le nez ou les oreilles, etc.).

Le 04/03/2024 à 15h 54

Ca fait longtemps que je ne fais plus de COBOL, il autorise désormais aussi les pointeurs hélas, mais en tout cas les attaques seront différentes et probablement moins efficaces (dans le cadre de la gestion de mémoire) mais surtout en raison de l'OS sous-jacent (z/OS) qui ne fonctionne pas comme Windows ou Linux.

Mais bon, écrire un driver d'imprimante Windows en COBOL, faut aimer le sport.

Le 04/03/2024 à 09h 39

Y aussi le COBOL. C'est quasiment de l'assembleur, cela dit.

Le 04/03/2024 à 09h 38

Dans le document de la Maison Blanche, Rust est le seul exemple cité. LMI indique bien que Rust est cité, et que c'est un autre document de la NSA qui évoquer les autres langages (Swift, C#, etc.).

Le 04/03/2024 à 09h 24

Tout à fait d'accord pour l'empilement des couches. Depuis 30 ans que je fais de l'informatique, je n'ai quasiment jamais entendu quelqu'un parler d'optimisation...

Pour ce qui est de Rust, le langage est effectivement memory safe sauf que... pour une raison qui m'échappe, il est prévu des opérations unsafe telles que déréférencer un pointeur.

Le 04/03/2024 à 08h 53

[troll]Biden décide de s'occuper des problèmes de mémoire. Il était temps.[/troll]

Le 27/02/2024 à 11h 30

Flock a déclaré forfait. Bisous Flock !

Le 23/02/2024 à 09h 02

On comprend mieux Next

Le 16/01/2024 à 11h 10

Pour ma part, je parlerais de classement automatisé de motifs complexes. J'ai vu ça dans un bouquin. Et après, je serai assez d'accord avec S. Hawking, mais ça n'est l'IA qui va tuer l'être humain, c'est l'être humain qui va donner les clés de la boutique aux machines, par bêtise. Voilà pour la petite note optimiste de la matinée !

Le 16/12/2023 à 22h 46

Je m'incline !