Le 16/12/2023 à 21h 27

Le 16/12/2023 à 21h 02

Le 15/12/2023 à 15h 18

Le 15/12/2023 à 15h 16

Le 14/12/2023 à 09h 49

Le 14/12/2023 à 09h 37

Le 13/12/2023 à 17h 31

Le 12/12/2023 à 23h 13

Le 01/12/2023 à 11h 22

Le 27/11/2023 à 10h 01

Le 25/11/2023 à 10h 56

Le 24/11/2023 à 22h 37

Le 24/11/2023 à 18h 03

Le 09/10/2023 à 08h 42

La question n’est pas (hélas) de savoir si les lois sont respectées en temps de guerre, on sait qu’elles ne le sont pas toujours et c’est un euphémisme. Toutefois il y a derrière cela des questions fondamentales : quel est le statut d’une personne prenant partie dans un conflit via des attaques informatiques ? Doit-il être reconnu comme un combattant ou pas ?

Quant à la question des “lois”, il ne faut pas oublier qu’elles ont aussi un rôle post conflit, avec la possibilité de juger des “criminels” selon qu’ils aient respecté ou non ces principes. Pour illustrer, on pourrait ainsi se dire : quelqu’un qui a réalisé des cyberattaques contre des hôpitaux pourrait être traduit en justice, mais pas celui qui n’a attaqué que des infrastructures militaires.

Cela peut paraître utopique ou illusoire, mais même en temps de guerre on a le droit (sans jeu de mot) ou le devoir de se poser des questions.

Pour ceux qui veulent aller plus loin, le blog des juristes ayant réfléchi à ces règles est ici : EJIL : Talk!.

Sachez aussi que certains sites de la Croix Rouge (les branches russe et biélorusse) ont été la cible d’attaquants pro-ukrainiens qui estiment que cet organisation devrait plutôt agir sur les exactions russes durant ce conflit.

Le 03/10/2023 à 07h 59

Y aura des goodies genre Vacheron Constantin ou Panerai Luminor, histoire de vérifier la précision suisse de la répartition du temps ?

Le 28/09/2023 à 11h 57

A mon avis, l’analogie ne fonctionne pas ici : l’utilisation normale du marteau est de bricoler, ce qui est légal. L’utilisation normale (et le seul usage) du plugin oblige l’utilisateur a enfreindre les CGU de LinkedIn.

Les commentaires sont là pour ça ! D’ailleurs le jugement semble bien dire que le scraping est légal. Par contre, dans le cas mentionné, si on était en Europe, cela tomberait sous le coup du RGPD : même si le scraping reste légal, la collecte de données sans l’accord de l’utilisateur ne le serait probablement pas.

Le 27/09/2023 à 07h 37

(reply:2155301:fofo9012) Prenons une analogie, avec un monde (purement imaginaire) où la vente d’armes à feu serait autorisée mais leur usage interdit. Quel serait le levier le plus efficace pour être protégé (si on excepte prendre soi-même une arme à feu) : demander à toute la population de respecter la loi qui interdit de s’en servir ? Demander de ne pas en acheter ? Ou agir à la source (sur la vente d’armes ou leur fabrication) ? C’est la question (ouverte) du problème du scraping, heureusement plus énervant que grave !

Le 27/09/2023 à 06h 55

(reply:2155218:Zone démilitarisée) Levons (un peu) l’ambiguïté : je confirme que skrapp.io n’a pas le droit de parcourir les pages LinkedIn pour en tirer de l’information en tant que responsable du traitement. Par exemple il n’a pas le droit de les stocker lui-même pour les proposer ensuite à ses clients, cf. ce que nous a dit la CNIL à ce sujet sur le responsable de traitement. Mais c’est là toute l’astuce, c’est un utilisateur de LinkedIn qui opère et qui est responsable de l’usage du plugin sur LinkedIn et des données.

Le 26/09/2023 à 15h 18

(reply:2155194:Zone démilitarisée) (reply:2155184:Xanatos)

Le problème (la subtilité) est là : le scraping n’est pas interdit. C’est l’utilisateur du plugin qui est en faute quand il l’utilise (car cela contrevient aux CGU qu’il a acceptées, lui). Or la “victime” ne peut se retourner que contre l’utilisateur du plugin (si l’utilisateur contrevient au GRPD), pas l’éditeur du plugin. Or s’il a du succès, on peut se retrouver avec centaines d’utilisateurs du plugin à contacter, au lieu d’un seul point de contact (l’éditeur). Idem pour LinkedIn qui ne pourra agir que sur les utilisateurs (côté CGU). C’est tout le problème du scraping, et les outils sont nombreux (par ex https://chrome.google.com/webstore/search/scraping?hl=fr&_category=extensions).

Côté skrapp.io : zéro réponse.

Le 17/09/2023 à 16h 27

Attention : à tous ceux qui voient déjà Bambi à la tête de NextInpact, méfiez-vous : il y a un autre personnage sur la photo 14. Hélas , ce personnage est difficile à distinguer, mais il pourrait s’agit de Fleur ou de Panpan. Le mystère reste donc entier.

Le 04/09/2023 à 16h 32

L’idée du test de Türing original était qu’on arrive à ce qu’on ne puisse pas distinguer une machine d’un humain (et à ma connaissance, aucune machine n’a réussi le test, et vu comment il est facile de tromper un chatGPT et autres qui ne se cachent même pas d’être des machines…).

Un CAPTCHA est donc plutôt un test de Türing inversé car on cherche exactement le contraire, à savoir réussir à distinguer la machine de l’humain. Après, je trouve très paradoxal qu’on demande à une machine de deviner s’il y a un humain à l’autre bout… Dans un test de Türing, c’est un humain qui mène le bal.

Le 28/08/2023 à 15h 22

(reply:2149322:FrancoisA) Patrick Drahi ?

Le 22/08/2023 à 11h 32

(reply:2148039aniel K) Y a qu’à demander

Le 22/08/2023 à 09h 11

(reply:2147953:anagrys) Non, tu seras juste rétrogradé au rang d’esclave des machines.

Sinon un rappel : la solution Google reCAPTCHA telle quelle n’est pas conforme au RGPD. En effet, il faudrait en théorie d’abord cliquer sur une case de consentement pour utiliser ce service avant la collecte des données.

Sources : Next INpactet https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/FAQ (§ 16).

Le RGPD permet de se passer du consentement utilisateur uniquement si le service ne sert qu’à la lutte contre la fraude (et donc les bots), ce qui n’est pas le cas avec le reCAPTCHA.

Le 22/08/2023 à 08h 48

Sinon voir aussi YouTube(attention aux trackers Google )

Le 22/08/2023 à 08h 33

Le système de CAPTCHA avec juste une case à cocher est en réalité beaucoup plus complexe : la case à cocher n’est que l’étape ultime d’une analyse des interactions avec l’utilisateur. Le principe est de lancer un JavaScript en début de chargement de page, et ce JavaScript examine les interactions, dialogue avec un serveur de l’éditeur du CAPTCHA, et en déduit un “score” qui indique la probabilité d’avoir un humain à l’autre bout du navigateur. Ensuite, si le score est élevé, on ne demande que de cocher une case ; si le score est trop faible, alors on peut soit refuser, soit proposer un challenge du genre lire un texte, chercher dans des images, etc.

Deux points importants sur le reCAPTCHA de Google : évidemment, comme beaucoup de solutions de ce type, il y a des l’IA pour évaluer “l’humanité” de l’utilisateur. Si cela permet d’entraîner de l’IA côté Google, ça reste sur un périmètre limité.

Par contre, plus important, cela veut dire que Google se sert de tous les utilisateurs du service pour cela. Pire encore : dans les conditions générales de Google, quand vous utilisez le service reCAPTCHA, il faut savoir que ce dernier est géré par la licence globale d’utilisation. Ainsi, les infos possiblement récoltées par le reCAPTCHA peuvent servir à Google pour le ciblage publicitaire. En corollaire, les trackers publicitaires de Google sont si largement utilisés qu’en général, quand un site web appelle le service reCAPTCHA, ce dernier a dispose déjà de tout ce qu’il faut pour savoir si vous êtes un humain ou pas.

En ce qui concerne la compétition homme-IA, sachant que les services de CAPTCHA utilisent quasiment tous de l’IA, il est logique qu’on puisse entraîner des IA pour les contrer. Tout comme en sécurité informatique, on utilise de plus en plus d’IA pour contrer les attaques, il faut s’attendre à ce que l’IA soit de plus en plus utilisées par les attaquants pour contourner les défenses en place…

Le 01/08/2023 à 08h 57

(reply:2145410:127.0.0.1) (reply:2145453:Soriatane)

La solution dans le cas que je décris était de simplement décoller la feuille et la recoller non pas derrière sur un mur, mais sur le bureau d’accueil, face aux soignants et non face aux patients. Idéalement, coller sur le bureau, en dessous du rebord où on pose ses papiers en s’adressant à l’accueil, caché de la vue des visiteurs (les bureaux d’accueil sont d’ailleurs très souvent conçus ainsi pour que l’accueillant puisse voir et écrire sur des documents hors de la vue des visiteurs).

Simple, efficace, pas cher et pas technique. Ca coûte pas 2 milliards, ça coûte un bout de scotch.

Je voulais par cet exemple juste souligner la distorsion entre cette mesure si simple à mettre en œuvre (et si efficace) et la difficulté à l’appliquer, probablement pour des raisons justifiables (imaginez si au moment de devoir utiliser ces codes, en période de stress, la personne ne retrouve pas la liste à sa place habituelle).

Le 31/07/2023 à 14h 54

Je me rappelle un passage aux urgences d’un grand hôpital parisien et, malgré une douleur difficilement contenue de doigts écrasés (les miens) par une porte blindée, j’ai tenté de façon constructive de dire à la personne en charge de l’accueil qu’avoir à portée de main (façon de parler) les logins/mot de passe pour les procédures d’urgence comme le plan blanc (= nombreuses victimes simultanées), c’est bien, mais que la feuille soit collée dans son dos visible de toute la salle d’attente relevait peut-être d’un problème de sécurité. La personne en question a poussé un “oh!” de surprise, me remerciant chaleureusement de lui avoir fait part de ce problème. Puis elle m’a assuré qu’elle aller en parler à son chef (ou sa cheffe, je ne sais plus) dès que possible pour remédier à ça.

La feuille doit toujours être à sa place, à mon avis.

Le 31/07/2023 à 15h 04

Oui, mais pas uniquement le RGPD : des lois obligeant à faire part (publiquement ou non) des attaques subies se multiplient, et pas seulement en Europe. Avec parfois des petites variantes : en Chine, Alibaba Cloud, dont les chercheurs avaient découvert la faille log4shell, a eu des problèmes pour avoir divulgué la faille publiquement (= à l’éditeur Apache) au lieu d’en informer au préalable les instances gouvernementales chinoises (cf. ZDNet).

Le 21/06/2023 à 07h 19

Mon petit avis perso : je me demande ce que ça aurait donné si on avait posé la question avec les smartphones au lieu d’internet.

Le 01/03/2023 à 10h 17

Je ne sais pas où en est Dashlane, et je ne répondrai pas sans étudier le sujet, on est sérieux dans cette boutique ! Ca pourrait être d’ailleurs le sujet d’un test détaillé sous forme d’article (note à moi-même)… Néanmoins je pense qu’un coffre fort de mots de passe codes secrets en ligne est une mauvaise idée à cause de la centralisation des infos : un outil de ce type est clairement une cible de choix pour un attaquant, ce qui implique que du côté du fournisseur du logiciel, il faut être irréprochable (on le voit bien avec Lastpass dont le processus de qualité ne semble pas être au niveau). Voir aussi l’article de Vincent.

Le 01/03/2023 à 08h 33

Et Tavis Ormandy (de l’équipe Project Zero de Google) pointait la faiblesse de LastPass et Dashlane dès 2016… Les leçons n’ont pas été tirées.

https://www.numerama.com/tech/189111-mots-de-passe-apres-lastpass-la-securite-de-dashlane-mise-a-mal.html

Le 27/02/2023 à 11h 01

wanou a dit:

Je suis le seul à tiquer sur l’image avec un handicapé incapable de se servir correctement de son téléphone et développant un trouble musculosquelettique en prime?

Non, non, la CNIL aussi tique sur ce sujet. Idem pour les empreintes : il y a des adermatoglyphes. Et je parle pas des accidents divers (brûlures, section, etc.)

La biométrie n’est pas un bon moyen d’authentification dans l’absolu, mais cela peut diminuer le risque dans certains cas, cf. notre article. Le gros souci est que ça n’est pas secret et que ça n’est pas modifiable. Ok, quelqu’un qui te cible, pour l’instant c’est rare. Mais une fois les caractéristiques (voix ou empreinte ou forme de l’iris) compromises, c’est-à-dire stockées dans une base de données, tout le monde pourra se la partager (chez les méchants pirates). Et toi tu ne pourras ni changer ta voix… ni la réutiliser puisqu’elle sera compromise !

Quant à l’éternel histoire du code PIN pour les sites bancaires, la plupart de ceux que je connais bloquent (souvent temporairement, genre 1 jour) l’accès après 3 ou 4 tentatives. C’est déjà pas mal, surtout que depuis DSP2, les accès sont normalement renforcés (au moins pour certaines opérations).

Le 10/02/2023 à 15h 51

Pour ceux que ça intéresse, j’ai fait un petit test sur chatGPT pour bien montrer qu’il ne pense pas et qu’on peut lui faire dire ce qu’on veut. Le danger ne vient pas vraiment de l’outil mais des croyances que tout le monde forge autour de ce type d’outil.

LinkedIn

Le 10/02/2023 à 08h 59

Bonjour à tous,

Je me permets de revenir sur cette “fameuse” phrase au sujet de faire ses propres recherches. Il ne s’agit évidemment pas de dire que faire des recherches par soi-même relève du complotisme. Simplement, dire “faites vos propres recherches” est une affirmation ambiguë : si elle est cohérente avec la politique d’utilisation de chatGPT, elle est aussi une constante des discours complotistes et, comme on navigue en eaux troubles, cela pose forcément question, car on voit bien que l’outil n’a pas de capacité de jugement ou d’appréciation et aussi il est incapable de savoir à qui il est en train de parler d’écrire.

A l’instar des chasseurs, il y a les bons chercheurs et les mauvais chercheurs d’information. Aujourd’hui, il faut faire preuve d’esprit critique lorsque l’on fait une recherche sur internet, car si on cherche quelque chose, on le trouve forcément. Vous ne croyez pas que la Terre est ronde sphérique ? Faites vos propres recherches ! Vous trouverez forcément de quoi alimenter cette théorie. On ne devrait donc pas dire “faites vos propres recherches” mais “faites vos propres recherches éclairées, de façon critique, ou sinon appuyez vous sur des gens compétents ou reconnus dans le domaine” (mais on pourrait débattre des heures sur ce sujet).

La difficulté est de sélectionner l’information pertinente et utile, ce dont sont incapables les moteurs de recherche et la tendance en cours d’intégrer des IA dans ces mêmes moteurs ne laisse rien présager de bon puisqu’on ne fera que faciliter l’utilisation d’un mécanisme non fiable à la base mais avec une apparence plus légitime (celle de l’IA).

Le 30/01/2023 à 19h 58

hellmut a dit:

je viens de vérifier, on a un bouton radio “activer le système de déclencheurs”, qui est activé par défaut. du coup si une v2.54 décoche ce bouton par défaut le problème me semble réglé. c’est pas modifiable dans le config.xml.

J’ai même vu plus fin, juste en dessous : on peut forcer à retaper le mot de passe de la base pour un export (ou une impression). C’est dans Options > Policy. Hélas, par défaut, la case est cochée pour ne rien demander (donc par défaut l’export est invisible), mais surtout ce paramétrage est indépendant du fichier : un utilisateur malveillant peut ouvrir KeePass à vide (= sans saisir de mot de passe maître), mettre les options qui lui conviennent, et refermer sans que l’utilisateur ne voie rien. C’est un chouïa plus compliqué qu’un simple script, mais c’est faisable avec les mêmes droits que pour modifier le fichier de configuration.

Le 30/01/2023 à 13h 02

Bonne question. Je suppose qu’il faut que la base soit ouverte, donc déchiffrée, ça paraît logique, mais aussi que le trigger se déclenche après l’ouverture de la base (par exemple l’attaquant devrait choisir l’événement “Open database file”)

Le 30/01/2023 à 10h 30

(reply:2117416:Xanatos)
Oui, il faut avoir un compte local permettant d’écrire sur le fichier .xml de configuration (d’ailleurs ça rentre en ligne de compte pour le calcul de la gravité CVSS). Ensuite il n’est pas difficile de rajouter ce qu’il faut pour créer un trigger (les paramètres sont assez simples). KeePass n’active aucun trigger par défaut, mais il suffit de pouvoir écrire dans ce fichier pour le faire…

Le 23/01/2023 à 08h 01

L’IA nous surpasse dans bien des domaines, mais du côté de l’humour, on/Flock a encore de la marge…
LinkedIn

Le 07/01/2023 à 12h 36

(reply:2113544:Fab’z)

Très bonne question mais hélas les chiffres sont rares. Ce qu’il faut retenir, c’est la tendance : payer ne garantit pas la récupération des données. Il y a peu de stats sur ce sujet ; il existe quelques chiffres fournis par d’autres éditeurs : une étude de Telus, société de cybersécurité canadienne, citée ici, une autre de Cybereason citée par SecurityWeeks.

Pour Sophos, comme il est dit dans l’article, il y aura toujours un recul à prendre avec leurs chiffres. Il est peu probable qu’ils soient truqués : ils auront tendance à présenter des chiffres qui iront dans leur sens mais ça ne veut pas dire qu’ils soient faux. Forbes l’utilise également.

Le 16/12/2022 à 13h 30

Le paradoxe de Jevons s’applique hélas à de nombreuses technologies. Le CNRS ne nous dit rien d’autre que ceci : il faut réfléchir à ses usages et penser efficacité et optimisation. Ce que, je crois, personne n’a jamais fait en informatique (en tout cas pas efficacement).

Le 15/12/2022 à 09h 52

(quote:2110429:127.0.0.1)
Le fantôme de Marc Rees a oublié de vous souffler que le règlement s’applique aux états membre qui doivent le mettre en application suivant les modalités propres à chaque état.

Pas tout à fait : un règlement n’a pas besoin d’être transposé dans le droit de chacun des états, à l’inverse d’une directive. Il s’applique dès parution (ou à la date de début d’application fixée par le règlement). Par contre il y a eu un travail d’adaptation et de mise en conformité du droit français, comme l’indique la CNIL, afin que des lois existantes antérieures ne soient pas en contradiction avec le RGPD, par exemple. Par ailleurs, il est aussi écrit dans le RGPD : “Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles” (mais pas pour diminuer le niveau de protection, juste apporter des précisions dans certains cas).

Le 14/12/2022 à 18h 44

SebGF a dit:

Je ne sais pas si la liste avait pour objectif d’être exhaustive, mais l’orientation sexuelle est aussi une information classée comme “devant être autorisé pour des cas spécifiques” listée dans le considérant 71.

Oups, erreur d’édition, effectivement il y a l’orientation et la vie sexuelle dans l’article 9 du RGPD.

Pour le DPO, le titre n’est pas adapté : le DPO a en effet un rôle d’information, de conseil et de contrôle, et doit être indépendant. Ce n’est pas le responsable du traitement des données, c’est un “surveillant général du RGPD” (entre autres) qui peut prendre la forme d’un DPO ou d’un correspondant pour les petites entités.

Le 14/12/2022 à 17h 00

fdorin a dit:

L’article manque cruellement de détails pour les développeurs, cible pourtant annoncé en début d’article. Comment gérer la sécurisation des données ?

Je vais juste repréciser le but de mon petit papier : il est question de préciser quoi faire dans le cadre du RGPD, pour un développement informatique, et pas comment faire, car il faudrait une encyclopédie pour faire le tour du sujet. Après cela, nos lecteurs peuvent partager leurs avis et expériences, les commentaires sont faits pour ça et sont les bienvenus !

Mais peut-on refuser de réaliser un dev si la demande est clairement hors RGPD (collecte de données hors contexte métier) ? Malheureusement nous n’avons de droit de retrait !

La relation avec l’employeur ou le donneur d’ordre est souvent complexe (en clair on redoute toujours le “je me fais virer si je fais pas”). Néanmoins, il y a toujours un responsable (légalement parlant) à un traitement : le dev peut toujours faire subtilement remarquer à celui-ci que s’il ne fait pas ce qu’il faut pour se conformer au RGPD, il est passible d’une amende mais aussi d’une peine d’emprisonnement mais dans ce cas là on passe dans le délictuel (= passage au tribunal correctionnel).

macintosh_plus a dit:

Une IP étant une donnée personnelle, utiliser les CDN pour charger le JS/CSS/Image est-il possible ? Si oui, existe-il des limitations ? Au vu des décisions dans l’Europe, ce n’est pas possible dans que le CDN n’est pas la propriété du propriétaire du site…

Attention : une IP n’est pas nécessairement une donnée personnelle. Et puis ici on peut l’utiliser pour un CDN car c’est un impératif pour la réalisation du contrat (= la délivrance du service de CDN).

Le 10/12/2022 à 13h 12

Aqua a dit:

C’est marrant que l’article ne touche pas une énorme source de “no code” que sont les modèles de simulation ou les outils de spec formelle pour code embarqué (SCADE, Simulink, etc…).

L’idée de l’article était plutôt de voir à quoi correspondait la vague marketing actuelle sur le no-code/low-code, pas de faire un état des lieux exhaustif. Simulink n’est pas vraiment dans cette vague marketing, et n’est pas non plus un outil à destination du plus grand nombre, c’est plutôt ce qu’on appelle un outil de niche, avec des fonctionnalités largement plus développées que ce que l’on trouve dans les outils estampillés “low code” comme PowerApps. Les commentaires sont d’excellents moyens de compléter cet article avec vos connaissances !

Le 30/11/2022 à 13h 40

Hmmmm… L’Etat détient 70% du capital (cf. article 111-67 du code de l’énergie), non ? Donc s’il manque 600 k€ à la fin de l’année, y aura qu’à piocher dans la cagnotte de la CNIL. Je suis p’t’êt’ un peu mauvaise langue…

Le 26/09/2022 à 15h 56

Faut aussi qu’ils attaquent Wikipédia. Je leur transmets le nom de leur rédac’chef.

Le 21/09/2022 à 08h 14

Oups ! Correction sur l’article : ETH et ETH2 sont la même chose, je me suis emmêlé les pinceaux. L’Ether basé sur la preuve de travail (qui va donc continuer à vivre indépendamment) s’appelle officiellement ETHW ( cf. https://ethereumpow.org/).

Le 15/09/2022 à 07h 31

“le gouvernement considère que rien n’interdit le paiement de la rançon” : Drôle d’analyse. De nombreux groupes d’attaquants sont issus de pays étant sous le coup de sanctions (Iran, Corée du Nord…), je ne suis pas du tout certain que le paiement soit juridiquement possible tout le temps. Un avis, Marc ?

Le 07/09/2022 à 17h 39

Qui c’est qui va me faire passer des petites remarques juridiques quand je suis pas assez précis dans mes articles ?

Bonne continuation Marc mais si Flock se barre aussi, je me suicide à l’homéopathie. Sérieusement on est dans une période où bcp de gens bougent, pour NextINpact ça peut être l’occasion de se rapprocher des lecteurs. Que Marc s’en aille, c’est la vie. Que ce soit l’occasion pour la rédaction de prendre des forces (nouvelles).