Le 08/09/2021 à 07h 34

Je trouve au contraire très bien qu’on fasse du buzz avec ce genre d’histoire, de façon à ce qu’on se rende compte des problèmes engendrés par ce type d’application. Entre objets connectés et ville intelligente, il n’y a pas grande différence, ce sont des objets du quotidien qui communiquent et qui laissent des traces, de plus en plus nombreuses.

Cela illustre aussi le problème de la défense : à la conception d’un système, il faudrait prévoir toutes les attaques possibles et tous les scenarios imaginables pour le défendre correctement. Alors que pour le “méchant”, il suffit d’une erreur ou d’un cas qui n’avait pas été envisagé.

Cela montre aussi que la sécurité arrive trop souvent en dernier. Quand on y pense…

Le 01/09/2021 à 09h 25

Microsoft a réagi très rapidement, c’est une très bonne chose. Malheureusement, dans ce cas, corriger la vulnérabilité ne suffit pas : si une clé d’accès a fuité, elle peut être réutilisée en dehors de Jupyter Notebook. Et souvent avec une durée de validité assez importante.

wiz.io donne également quelques conseils pour mettre en place une rotation des clés (qui permet de réduire le temps où une clé ayant fuité peut être utilisée) ainsi que réduire l’exposition. La mesure la plus urgente reste de changer cette clé (ça fait partie de la communication de Microsoft aux clients).

Le 15/07/2021 à 14h 52

Et pendant ce temps, la Chine interdi(rai)t la vente ou la communication de failles zero day pour les réserver au gouvernement chinois. Heureusement, les failles pourront quand même être communiquées aux éditeurs concernés.

Le 12/07/2021 à 07h 54

Fort heureusement, la grande majorité des entreprises ne fait pas comme eux.

C’est moi ou j’entends les mouches voler ?

Le 08/07/2021 à 13h 43

Intel dit : “RDSEED is intended for seeding a software PRNG of arbitrary width. RDRAND is intended for applications that merely require high-quality random numbers.”

En gros, RDSEED doit être utilisé pour de l’aléa “simple” (ex : dans des jeux), RDRAND doit être utilisé quand on a besoin de nombres aléatoires de haute qualité (genre crypto).

Intel dit ensuite qu’ils se conforment aux standards NIST SP800-90x, mais ce ne sont que des recommandations, donc ça ne veut pas dire grand chose.

Néanmoins, ces recommandations insistent bien sur la source d’entropie (cf. NIST SP800-90B), et là on voit que ça n’est pas simple d’avoir une source fiable… Donc difficile d’évaluer simplement ces fonctions, sauf si un jour elles sont certifiées sur des bases très strictes, genre critères communs.

Le 08/07/2021 à 13h 22

Pas tout à fait, quand même : la faille Debian/openSSL était un peu plus sioux : l’erreur était due à la longueur utilisée pour stocker l’aléa produit par le système, trop petite, et donc qui réduit l’entropie à peau de chagrin. Et franchement ça fait partie des erreurs que l’on peut commettre même en étant un programmeur expérimenté qui connait bien la crypto. Et surtout qu’à tester, c’est pas simple non plus.

Ou alors c’est un sacré gros malin qui est super bon en programmation et en crypto qui a introduit cette fonctionnalité non documentée dans le code…

Le 08/07/2021 à 13h 00

(reply:1885138:33A20158-2813-4F0D-9D4A-FD05E2C42E48)

Chacha évite certaines attaques en effet, améliore l’utilisation de l’entropie disponible, mais n’en créé pas. Néanmoins, si tu n’as pas d’entropie en entrée, tu es mort de toute façon quoi qu’il se passe derrière.

Par ailleurs, je connais des usages pour des ordinateurs connectés à rien mais qui chiffrent des données, par exemple pour faire un stockage sécurisé (coffre-fort de données). On entre une clé de chiffrement d’une façon ou d’une autre, on lit les données sur l’ordi, mais comme il n’est relié à rien, on réalise une protection appelée “air gap”, ce qui signifie justement que le dispositif n’est relié à rien et que toute attaque passe par un contact physique avec la machine (il existe quand même des scenarios d’attaque, mais très difficile à mettre en place en pratique).

La source d’aléa est un élément critique dans la conception de systèmes cryptos.

Le seul moyen d’avoir un bon aléa (= un bon générateur de nombre aléatoire) est d’avoir plusieurs sources physiques distinctes. Néanmoins, quand tu décortiques une frappe clavier (ou un déplacement de souris dans certaines conditions), tu peux quand même y trouver beaucoup d’aléas (temps de frappe, touches/texte saisi) si on force l’observation suffisamment longtemps.

Pour le déplacement de souris, PuTTYGen utilise ce mécanisme pour créer de l’aléa “indépendamment” du système informatique sur lequel il tourne.

Le 08/07/2021 à 09h 47

Oui il peut exister des lois contraignantes mais il y a beaucoup plus simple et moins voyant pour avoir une backdoor : le produit Kaspersky Password Manager utilise un fichier stocké en ligne (“dans le cloud”) ! Donc je reste d’avis qu’il s’agit d’un problème interne à Kaspersky.

Chacha est un algorithme de chiffrement, ça n’apporte aucun aléa (heureusement). Pour ce qui est de /udev/random, sa principale source d’entropie provient des pilotes des périphériques. Donc si tu as un Raspberry connecté à un clavier, une souris, un réseau, avec des pilotes de périphériques fortement sollicités, tu auras une source d’aléa. Sinon, tu n’auras pas grand chose : un ordinateur connecté à rien ne produit aucun aléa ! C’est le principe même d’un ordinateur. Pour l’aléa, il te faut impérativement une source externe.

Dans mon boulot, j’ai des collègues qui ont utilisé des Raspberry pour des applications crypto, on a ajouté de l’aléa en demandant aux utilisateurs de taper “n’importe quoi” sur un clavier, car sinon on avait un niveau d’entropie très pauvre.

Le 08/07/2021 à 08h 34

Backdoor : je ne pense pas, c’est trop gros et pas assez discret. Je pense plutôt à un problème d’organisation ou de priorité produit chez Kaspersky.

Côté lampes à lave, oui, ça marche, mais une des bases en crypto est d’avoir des sources variées d’aléas. Plus il y en a, mieux c’est, surtout pour pallier à l’insuffisance d’une des sources, justement.

Le problème du /dev/random est qu’il est insuffisant, notamment sur des petites machines type Raspberry : si tu la laisses tourner sans qu’il y ait de frappes clavier ou d’échanges divers et variés, tu te retrouves avec une entropie très faible (en clair : y a pas grand chose qui se passe sur la machine). Surtout que dans un Raspberry, il n’y a pas de pile pour conserver l’heure, et donc s’il n’est pas connecté au réseau l’horloge fournira encore moins d’entropie puisqu’on repart à zéro à chaque redémarrage…

Le 08/07/2021 à 08h 22

Curieux, car Kaspersky n’est pas une startup novice, ils ont forcément des spécialistes de haut niveau sur le sujet. L’heure peut être un des éléments pour le générateur d’aléas, mais ne peut pas être le seul ! Cette technique suffisait pour faire un jeu pour Commodore 64 ou Vic 20 (je suis de cette génération), mais on ne peut supposer que ce produit a été développé sans le concours de ces spécialistes, et c’est surtout ça qui pose question.

CloudFlare utilise des lampes à lave et d’autres sources multiples et variées pour générer de l’entropie (de l’aléa)… La génération de nombres aléatoires de qualité est un problème primordial en sécurité du SI, c’est inquiétant qu’une société comme Kaspersky ait pu laisser passer cela.

Le 21/06/2021 à 15h 23

Ah, les ravages des fonctionnalités non documentées… Ça ressemble beaucoup à ce qui est arrivé avec Freak…

Le 21/05/2021 à 09h 07

 

Le 21/05/2021 à 09h 02

@David, alors je pourrais faire valider mon compte Twitter maintenant ?

Le 12/05/2021 à 08h 13

Des pirates éthiques, chouette : j’ai tout pété mais j’ai pas fait exprès. Ça leur fait de belles jambes, chez Colonial. Le seul avantage c’est que l’attribution de l’attaque n’est pas difficile, pour une fois

Le 08/05/2021 à 13h 19

La réponse est oui et non. L’article est déjà long, il n’est pas facile de traiter toutes les particularités, et Microsoft adore nous embrouiller. Le fonctionnement n’est pas le même entre Windows Hello et Windows Hello for Business.

Pour simplifier, Windows Hello (normal) traite le code PIN quasiment comme un mot de passe, et il est stocké localement, en effet. Pour Business, on génère une bi-clé cryptographique : le code PIN n’est pas stocké et sert à déverrouiller la clé crypto privée stockée localement (dans le TPM), la clé publique pouvant être utilisée pour l’authentification via un challenge (elle peut par exemple être stockée dans l’Active Directory sur le compte de l’utilisateur). Avec un mot de passe classique, c’est le hash qui est stocké sur l’AD.

Ainsi, si un attaquant accède à l’AD, il peut récupérer le hash dans le cas d’un mot de passe, mais avec un code PIN il ne peut récupérer que la clé publique qui est… publique ! Il devra alors aussi récupérer la clé privée enfouie dans le TPM ainsi que le code PIN qui n’est stocké nulle part.

En gros c’est un abus de langage côté Windows qui appelle « code PIN » quelque chose qui ressemble à un code PIN mais qui ne fonctionne pas comme un code PIN. Cela peut toutefois se comprendre, car cela simplifie l’expérience utilisateur, mais hélas ajoute à la confusion sur la terminologie.

Pour ce qui est du mot de passe AD qu’on peut saisir en local, il existe un cache dans Windows, dont le rôle est en effet de pouvoir ouvrir une session avec le dernier mot de passe connu. C’est très pratique pour l’utilisateur, et royal pour un pirate Ce mécanisme peut être désactivé.

• Windows Hello for Business Overview (Windows 10) - Microsoft 365 Security | Microsoft Docs


• Cached and Stored Credentials Technical Overview | Microsoft Docs

Le 07/05/2021 à 11h 49

Petit souci de bouclage, je vais engueuler en parler au chef.

Le 07/05/2021 à 09h 43

Dans le même genre “on me surveille” : Twitter

Le 06/05/2021 à 15h 01

On en parlera dans la 2e partie de l’article normalement !

Le 28/04/2021 à 10h 19

emmettbrown a dit:

Conclusion, les gens devraient plus se plaindre que radio France Culture échauffe leurs tissus que la 5G en 3.5 Ghz. Ceci dit ça réchauffe en hiver.

C’est exactement cela. Trêve de plaisanterie, je pense qu’on peut parfaitement s’inquiéter de l’effet des ondes sur les organismes, mais j’ai comme l’impression que le pire est déjà derrière nous. J’ai peur que les ondes GSM soient bien pires en termes sanitaires que la 5G. Et qu’inversement c’est au niveau de la sécurité logique/informatique que la 5G soit bien plus nuisible que le GSM. En termes imagés, les vieilles ondes nous détruisent le cerveau (physiquement) et les nouvelles nous le ramollissent en nous transformant en smobies.

aussi.

Le 21/04/2021 à 13h 06

fred42 a dit:

J’allais te demander ce que tu faisais dans ta banque pour ne pas connaître ce concept, mais j’ai la réponse plus bas.

Ben oui, je suis ingénieur informaticien….

Note que je caricature : je connais le concept mais ça s’arrête là, et ça reste quelque chose de peu accessible au commun des mortels, c’était le sens premier de ma remarque, faut pas tout prendre au 1er degré.

Il y a deux choses qui me gênent en réalité : d’une part que ces produits “s’éloignent” de toute réalité économique, tout comme le trading haute fréquence par exemple. D’autre part que la complexité que cela induit n’est pas d’une utilité que je qualifierai de transcendante, ce qui est un avis personnel. En gros je bosse dans une banque mais je déteste la banque d’investissements.

Le 20/04/2021 à 12h 41

Un produit structuré est produit complexe et difficile d’accès, pour parler en termes bancaires et financiers. Côté performance, je cite Capital.fr :

La performance financière des produits structurés dépend de la formule de calcul appliquée à l’évolution du sous-jacent durant la période de placement. La qualité de l’émetteur, la fenêtre de souscription (risque de marché), l’échéance, la nature du sous-jacent, et le risque de perte en capital sont les principaux facteurs à examiner avant de souscrire.

Tout le monde a compris ? Je ne pense pas (en tout cas pas moi, pourtant je travaille dans une banque). Donc seuls quelques initiés comprennent.

Sur le Security Token, sans polémiquer sur l’anglicisme, est un concept plus simple puisque c’est l’équivalent d’un actif numérique, mais qui s’appuie par contre sur des mécanismes complexes tels que blockchains et dérivés, dont on voit hélas que la plupart de ceux qui l’utilisent ne comprennent ni ce que c’est, ni comment ça marche, cf. Blockchain, the amazing solution for almost nothing.

Je sais que je suis un vieux con informaticien, mais a-t-on vraiment besoin d’une telle complexité ?

Le 06/04/2021 à 12h 48

[troll]

Facebook : des informations personnelles de 533 millions de comptes en libre circulation.

Euh, oui, oui, c’est bien ça la définition de Facebook. mais elle est un peu ancienne vu qu’il y a presque 3 milliards de comptes désormais.
[/troll]

Le 01/04/2021 à 08h 28

‘taing j’ai mis 30 secondes à comprendre la news. Je dois être fatigué. Mais bon deux euros par mois c’est pas cher. Hein ?

Le 25/03/2021 à 09h 41

Sans commenter la façon de faire, l’idée est intéressante car ça responsabiliserait un peu les GAFAM et consors. Par contre l’image d’illustration exagère un peu la complexité des algos, qui doivent ressembler plutôt à :

si (le_gugusse.aime("complot")) alors présenter_vidéos(recherche("complot"))

Je ne vise personne.

Le 22/03/2021 à 14h 10

Mon VPS sur SBG3 a redémarré le ²¹⁄₀₃ à 00h25. Il avait été arrêté le jour de l’incendie à 3h00 du mat’, soit au moment de la coupure d’électricité demandée par les pompiers (il me semble).

Le 21/03/2021 à 16h 22

Non il y aura une sécurité avec un “liveness” detection : on va te demander de la remuer à droite, à gauche, en haut, en bas, dans un ordre précis pour vérifier que ce n’est pas une vidéo enregistrée.

Le 11/03/2021 à 13h 48

(reply:1859980:Patch) Plus un test PCR récent.

Le 11/03/2021 à 09h 01

Donner une copie de ma pièce d’identité à Facebook ou Twitter ? Hmmm… Comment dire. Ils ont déjà tellement d’infos sur nous, faut leur en donner encore plus ? Et comment ils vont vérifier que cela correspond bien à l’utilisateur ? C’est possible mais ça va compliquer un chouia la connexion…

Le 11/03/2021 à 11h 44

La sécurité absolue, en informatique comme ailleurs, n’existe pas. Ce qu’il faut, sans baisser les bras, c’est diminuer le risque jusqu’à un niveau acceptable. Sinon je vais devoir pointer au chômage.

Le 10/03/2021 à 11h 41

Données détruites = Respect du RGPD. Il n’y a plus de données personnelles, il n’y a plus de données du tout !

Le 10/03/2021 à 10h 08

Vue des bâtiments, mais ça c’était avant le drame…

Lien https://www.google.com/maps/place/Altimat+OVH/@48.5854816,7.798022,5a,41.7y,90t/data=!3m8!1e2!3m6!1sAF1QipPqNGpeMmyBeypXOMrp4Pfz6G0NyM-GOzBHU9dB!2e10!3e12!6shttps://lh5.googleusercontent.com/p/AF1QipPqNGpeMmyBeypXOMrp4Pfz6G0NyM-GOzBHU9dB=w152-h86-k-no!7i2688!8i1520!4m13!1m7!3m6!1s0x4796c8daab82f9af:0x538b85a8eb23fadb!2s9+Rue+du+Bassin+de+l’Industrie,+67000+Strasbourg!3b1!8m2!3d48.5858131!4d7.7973832!3m4!1s0x4796c8daa8337c07:0xfe79d40ff098f0c2!8m2!3d48.5854816!4d7.7974169">Google.

Le 10/03/2021 à 08h 48

Quelqu’un a une info sur les degâts ? Je veux dire : j’ai lu qqpart que c’est un entrepôt de stockage qui aurait brûlé et donc que seuls quelques serveurs risquaient d’être perdus. Par contre si le bâtiment le plus touché était un datacenter, ça va être plus compliqué.

PI la console d’admin rame à mort, mauvais point pour la continuité de service, surtout pour les clients qui ne sont pas touchés.

Et au risque de me répéter, ça a dû commencer avant 0h42 (message OVH) car mon VPS ne répondait déjà plus à 0h27.

EDIT : On peut effectivement voir sur la console la localisation du VPS. Pour moi c’est SBG3.

Le 10/03/2021 à 08h 33

(reply:1859378:Mr.S) Probablement via la console d’admin. Mais elle rame en ce moment, tout le monde doit se connecter dessus.

Et surtout tous les serveurs sur le site SBG sont HS puisque le courant est coupé sur tout le site à la demande des pompiers, et il ne sera remis qu’avec leur autorisation en principe (ou celle du fournisseur d’électricité).

Le 10/03/2021 à 07h 48

(reply:1859360:mrPouet) Si tu as un serveur dédié, c’est à toi de prendre les mesures de sauvegardes… J’ai un VPS là bas, la dernière sauvegarde que j’ai faite date du 9 mars à 00h27. Il y aurait du y en avoir une ce matin à 00h27, elle n’est pas passée…

Le 04/03/2021 à 14h 54

La formule magique 4 est également fausse.

J’arrive pas à mettre du LaTeX ici, mais ça donnerait :

F(n+m+1)= F(m+1)F(n+1)+F(m) F(n) et non pas F(n+m+2)= F(m+1)F(n+1)+F(m) F(n)

Donc ça fait deux erreurs.

Le 03/03/2021 à 09h 34

Et dire que c’est une des néobanques (souvent présentée comme) les plus sûres… Après plusieurs années de fonctionnement, toujours aucun espoir de rentabilité au point que même Orange jette l’éponge. Imaginez les autres…

Le 02/03/2021 à 13h 26

Pour info :

En 2019, des chercheurs ont montré qu’un ordinateur quantique pourrait casser un code RSA de 2048 bits en l’espace de huit heures… à condition d’avoir 20 millions de qubits physiques.

– https://www.01net.com/actualites/l-informatique-quantique-des-promesses-incroyables-mais-difficiles-a-tenir-2035451.html

Le 02/03/2021 à 12h 15

En SSI, on a coutume de dire : “il y a deux catégories d’entreprises : celles qui ont été hackées au moins une fois, et celles qui ne savent pas qu’elles ont été hackées au moins une fois”.

Cependant, bien que pessimiste de nature, je reste réservé sur certaines de ces technos.

Côté quantique, il faut un nombre conséquent de qubits pour cracker une clé asymétrique (les clés symétriques n’étant pas sensibles à ce type d’attaque). Or la décohérence quantique force à multiplier les qubits “correctifs” pour avoir des qubits “utiles”, ce qui fait qu’on est en ce moment face à un mur qu’on arrive à contourner mais pas à franchir. Il faudrait maintenant non pas des progrès mais une découverte pour que l’informatique quantique puisse servir à (ou plutôt contre) la factorisation d’entiers, à la base du chiffrement asymétrique. Et a priori une découverte au moins équivalente à ce qu’a pu être le transistor miniaturisé, sauf que pour le transistor on reste dans un monde électrique, maîtrisable, alors que pour le quantique on entre dans le monde des particules beaucoup moins dociles que prévues, cf la déconvenue de Microsoft à ce sujet.

Côté chiffrement homomorphe, les avancées sont très lentes là aussi, et les annonces se multiplient sans qu’en pratique on n’atteigne la possibilité d’un algorithme utilisable en pratique. On attend depuis longtemps que ça progresse (ça serait l’idéal pour aller dans le cloud), mais les déceptions s’accumulent…

Ca ressemble aussi aux mécanismes formels, qui va de déceptions en déceptions, d’autant que la complexité des systèmes actuels rend d’autant plus difficile leur démonstration…

Donc tout en restant méfiant, il faut aussi remettre les choses à leur place : en entreprise, la menace provient le plus souvent d’un simple e-mail, et non de techniques expérimentales. Mais je ne suis pas devin, et l’avenir sera toujours plein de surprises…

Le 02/03/2021 à 10h 21

(reply:1857308:Jurassi) C’est là que je me suis rendu compte que j’étais un mauvais photographe

Pour en revenir à Google, drôle de stratégie :

• Le stockage des photos devient payant alors qu’il était gratuit pendant très longtemps, avec cet étrange argument de la qualité ;


• Un youtube qui regorge désormais de publicités en plein milieu des vidéos elles-mêmes, alors qu’auparavant on ne les voyait que de temps en temps entre les vidéos ; j’ai même eu le cas où une chanson était coupée en plein milieu, l’algorithme de découpage n’ayant pas compris qu’il y avait une pause durant le morceau…


• Un scandaleux Youtube Music remplaçant obligatoire de Google Play Music gratuit ; or Google Play Music fonctionnait bien, y compris sur Android Auto, alors que Youtube Music ne sait plus lire les morceaux stockés localement et ne fonctionne correctement (= fonctionnalités équivalentes à Play Music) qu’avec un abonnement payant et une connexion internet !! Les évaluations à une seule étoile fleurissent depuis cette nouvelle version complètement inaboutie.

Je ne suis pas un lapin de 3 jours, je sais que Google est une société commerciale qui doit faire de profits. Mais ils sont en train de faire monter la colère chez les utilisateurs. J’aimerai que ça soit un effet du RGPD, et que Google ait du mal à monétiser les données qu’il collectait gratuitement, mais je ne suis même pas sûr que ça soit le cas.

Le 25/02/2021 à 13h 47

Toi aussi tu as lu l’évangile selon Bobby ? T’es un vieux de la vieille…

Le 25/02/2021 à 08h 52

Influenceur, influenceuse : nom Mot inexistant du Larousse, synonyme de grande gueule. Autres synonymes : agent publicitaire, internaute à la solde de grands groupes commerciaux, simplet ayant un avis sur tout.

Le 24/02/2021 à 16h 08

Ma petite remarque en passant : open source signifie que tout le monde peut contribuer au code. Dans “tout le monde”, il y a “tout le monde”. Je suis un attaquant, je m’intéresserais aux compilateurs, aux outils de chiffrements ou de compression (GPG, librairies SSL, zip divers et variés), et je ne parle pas des OS comme Linux. La traçabilité est une piste, l’audit en est une autre, mais qui en pratique vérifie ça ? Comme il est dit dans l’article, c’est extrêmement rare. TrueCrypt avait l’objet d’un audit avant d’être curieusement abandonné. GPG est réputé sûr mais j’ai entendu dire qu’en regardant certains versions, on aurait des surprises…

Le 19/02/2021 à 08h 52

Désolé, je ne suis toujours pas convaincu, ni sur le consentement ni sur le recours ni sur l’auto-censure (qui existe de fait sur les réseaux sociaux et qui est en train de tuer tout débat démocratique). Et je pense qu’il faut différencier le côté théorique (“je peux me passer de Google”) et pratique (car en pratique ça demande beaucoup d’efforts que peu de gens sont prêts à faire, ce qui constitue de fait une contrainte). Mais ça sera trop à développer en commentaire… Ce que je voulais surtout dire c’est que la demande est légitime mais que ça n’est qu’une partie (hélas) du problème. Que cela ne t’empêche pas de signer la pétition, également soutenue par la quadrature du net.

Le 18/02/2021 à 15h 15

C’est plus ou moins un troll. Je ne parle pas spécialement de Facebook mais c’est plutôt que je m’interroge sur le fait que tout le monde bondit sur sa chaise quand on parle de surveillance étatique (l’enjeu étant légitime puisqu’il faut trouver la limite pour rester dans un état de droit) alors que des sociétés privées disposent d’une somme de données infiniment supérieures à ce que possèdent les états, désormais .

L’argument du consentement est, selon moi, insuffisant car le rapport de force n’est pas le même : il est aujourd’hui plus facile d’attaquer juridiquement un état que Facebook (ou similaire). De plus, de facto, le consentement avec les GAFAM (pour parler d’eux) est noyé dans leur monopole. En gros, soit tu acceptes leurs conditions, soit tu n’utilises pas le service. Le consentement est donc illusoire ou en tout cas il n’a pas la même signification que quand tu as le choix entre plusieurs fournisseurs.

Par ailleurs, la pétition rappelle que l’utilisation des données biométriques doit répondre à un objectif légitime. Or une enquête judiciaire est un motif légitime, et la biométrie est utilisée par la police et la justice depuis longtemps, bien avant l’avènement de l’informatique grand public. Peut-on parler d’objectif légitime quand, même avec le consentement d’un utilisateur, des données biométriques ou comportementales sont utilisées pour un ciblage publicitaire ultra-précis ?

Donc la biométrie utilisée dans un cadre contrôlé (législatif) pour des objectifs légitimes et offrant la possibilité de recours judiciaires est-elle plus dangereuse que lorsqu’elle est utilisée, même avec l’accord des utilisateurs, par des sociétés privées sur lesquelles on n’a quasiment aucun contrôle et qui peuvent quasiment prédire à quel moment tu vas aller aux toilettes ?

Je ne prétends pas qu’il faut accepter la biométrie de masse, je dis juste que si on cherche à préserver sa vie privée il faut viser un peu plus large.

Le 18/02/2021 à 09h 52

On veut interdire Facebook ?

Le 19/02/2021 à 08h 42

Evidemment ça peut être plus compliqué, et j’oublie parfois qu’on a changé d’administration aux USA. Jusqu’à il n’y a pas longtemps, c’était toujours la faute des Chinois, et jamais des Russes. Néanmoins, je pense que les USA (ou d’autres) ne manqueraient pas de signaler une opération chinoise de grande envergure, mais je peux me tromper.

Pour ma part, je pense que Bloomberg fait plutôt la chasse au scoop et n’a pas la rigueur d’un NextINpact …

Le 18/02/2021 à 14h 12

Sans oublier la marmotte qui emballe le chocolat.

Le 18/02/2021 à 11h 58

Il existe des micropuces aux capacités incroyables, on le sait depuis les révélations de Snowden.

Néanmoins je vois mal autant d’acteurs américains et chinois cacher la vérité : si ce sont les américains qui espionnent, les chinois le diraient et si les chinoins espionnaient, les américains le diraient. Donc si les deux camps sont d’accord, il y a de quoi douter.

Bloomberg semble vouloir avoir “son” scandale, mais ça n’est pas la seule fois où ça fait pschit.

Le 28/01/2021 à 10h 22

Travailler plus pour gagner moins. Une startup est en général un entreprise monoproduit sans aucun modèle commercial viable (et donc sans revenu).

…la présentation à outrance du moindre outil de calcul comme un outil d’intelligence artificielle nous détourne de ce que nous pouvons accomplir, tout comme une décennie passée à vanter les mérites des startups nous a détournés de l’objectif de créer des entreprises capables de survivre.

Luis Perez Breva, MIT

Le 28/01/2021 à 10h 08

Le FIC est (trop) devenu un salon de vente, hélas, alors que les premières éditions étaient plus tournées vers “l’état de l’art”, en abordant plus directement les sujets. C’est bien dommage. Reste à savoir quel seront les buzz words de cette année : lors de la dernière édition 2020, vous étiez has been si vous n’aviez pas Intelligence Artificielle sur votre stand. Alors que le slogan était pourtant “Replacer l’humain au cœur de la cybersécurité”…