Le 21/01/2021 à 09h 39

Ambiance, ambiance…

Le 14/01/2021 à 09h 40

Il faut toujours être prudent quant à l’attribution d’une attaque. Pour l’instant le mode opératoire TTP (Tactics/Techniques/Procedures) n’a pas déjà été utilisé par un autre groupe connu, même si des éléments sont communs.

Les autorités américaines penchent pour Fancy Bear et Cozy Bear, mais Kaspersky trouve des similitudes avec Kazuar, plutôt utilisé par le groupe Turla qu’on associe au FSB, ce qui expliquerait qu’il n’y a pas de demander de rançon.

Le 12/01/2021 à 10h 05

“Bien qu’il s’agisse d’une entreprise privée pouvant faire appliquer ses propres règles, un débat s’est engagé sur la liberté de la parole dans des plateformes privées si vastes que leur légitimité modératrice est remise en question.”

Tout le monde (ou presque) semble découvrir que Twitter, Facebook ou Google sont des entreprises privées, qu’elles peuvent donc édicter leurs propres règles, tant qu’elles restent légales, et surtout ces entreprises sont considérées comme des services internet (hébergeurs), tout au plus, et en tout cas pas comme des éditeurs responsables du contenu (à vérifier auprès d’un spécialiste).

Le vrai débat n’est donc pas si Twitter a le droit de fermer le compte de Donald T. (c’est le cas aujourd’hui : rien n’empêche Twitter de revoir ses politiques quand elle le souhaite et de les appliquer) mais plutôt celui de la situation de monopole des GAFAM ainsi que de leur responsabilité dans le contenu. Mon opinion (qui n’est donc qu’une opinion que chacun peut discuter) est qu’à partir du moment où des algorithmes spécifiques mettent en valeur les contenus ou redirigent les recherches des utilisateurs, la responsabilité (au sens éditorial du terme) des entreprises est donc effective.

Le 11/01/2021 à 14h 01

Attention : le doc indique environ 100% pour les meilleurs. Et donc pas un vrai 100%.

Exemple : s’il y a 99,9% d’identifications correctes (on peut s’accorder à dire que ça fait presque 100%), cela veut dire qu’il y a 1 identification sur 1000 qui est fausse, donc le système se trompe 1 fois sur 1000.

La biométrie est une mesure dans la plupart des cas, chaque mesure se fait avec une marge d’erreur plus ou moins grande (en générale grande, sauf cas particulier comme l’ADN). Sur une population de 60 millions de personnes, un taux de reconnaissance de 99,9% signifie que 60 000 personnes peuvent correspondre dans le système à un visage dont on cherche l’identité.

Le 11/01/2021 à 13h 41

jokester a dit:

@janiko c’est presque une publicité pour ce type d’équipement : je trouve rassurant qu’un matériel soit audité, décortiqué, craqué. On en comprend mieux les risques, et on adapte ses choix en conséquence selon la criticité de l’application qu’on en a :)

La sécurité (informatique ou pas), c’est exactement çà : connaître pour évaluer et gérer le risque.

Le 11/01/2021 à 09h 57

Evidemment, aucun moyen de sécurité n’est inviolable, cependant il faut remettre ce procédé dans son contexte.

En sécurité informatique, le plus important n’est pas que ça soit techniquement possible, mais que les scénarios d’attaques le soient (ou qu’ils soient vraisemblables). Ici, il faut à la fois voler le mot de passe de l’utilisateur, voler la clé, la cloner avec du matériel coûteux (certes ce dernier peut évoluer dans le temps), rendre la clé sans que la victime ne s’en aperçoive (car sinon il la considérera comme volée et rappelons que la clé doit être ouverte pour cette attaque et elle sera abimée).

Ca fait beaucoup, notamment si on veut réaliser une attaque en masse ! Une telle attaque n’a de sens (à ce jour) que si on vise une personne en particulier (= une clé précise) et rappelons aussi qu’il suffit que l’utilisateur change son mot de passe (servant de premier facteur) pour rendre l’attaque caduque. De plus, d’autres moyens de minimiser les risques existent, sur la génération de la clé (je crois), sur l’usage d’un compteur U2F, etc.

Rappelons aussi que ce type de clé est bon marché pour permettre sa diffusion massive : il y a donc forcément quelques limitations sur le niveau de sécurité. Une clé FIDO2 n’est pas un mini-HSM (il existe des HSM sous forme de clé USB, mais le prix n’est pas le même, plusieurs centaines d’euros, et dans le cas de HSM, l’ouverture provoque souvent la destruction des clés, qu’il devient impossible de lire via canal auxiliaire).

Je retiens de l’étude une de ses conclusions :

Thus it is still clearly far safer to use your Google Titan Security Key (or other impacted
products) as FIDO U2F two-factor authentication token to sign in to applications like your
Google account rather than not using one.

Donc oui on peut cloner une clé Titan, mais le risque lié à cette attaque est aujourd’hui très faible.

Le 08/01/2021 à 16h 45

refuznik a dit:

Le meilleur fake fut quant même la fameuse puce (grosse cvomme un grain de riz) sur les carte mères construite en Chine et après assemblés dans les usines aux USA.

Tu parles de l’affaire SuperMicro ? Pour info cette info est issue d’une enquête (douteuse) de Bloomberg, qui en a sorti une autre aussi navrante sur une soi-disant backdoor chez Vodafone.

Le 08/01/2021 à 16h 39

La propagande, la désinformation, les tentatives d’influences ne sont pas nouvelles et ne sont pas limitées à la Russie. Néanmoins il faut reconnaître aux russes leur opportunisme pour utiliser ce phénomène qui obtient une persistance accrue grâce aux réseaux sociaux (car rien ne disparaît ou presque sur internet, et tout circule à une vitesse incontrôlable).

Par ailleurs, les russes ont une propension à soutenir leur pays, coûte que coûte, quitte à nier la vérité ou à accepter des choses inacceptables ailleurs. Un jour, j’ai essayé de discuter avec des russes sur les prises d’otages de Beslan et du théatre Nord-Ost, à propos de l’usage disproportionné de la force (pour des occidentaux). Leurs réponses étaient axé sur le fameux “parti pris anti-russe”, sur le mensonge des média occidentaux (alors que les média russes, curieusement, ne mentent jamais), etc. etc. La discussion était juste impossible, tout comme lorsqu’on a affaire à un complotiste qui n’a qu’à nier (ce qui ne demande aucun effort) alors que les autres doivent prouver leurs dire, qui demande une énergie colossale.

Cela induit une méfiance (non fondée) vis-à-vis des habituelles sources d’information. Trump a fait exactement la même chose, c’est le même mécanisme et ce qui est inquiétant, c’est que ça marche et que ça se propage. Qu’avons-nous fait de nos cerveaux ?

Le 07/01/2021 à 08h 01

Je trouve ça particulièrement inquiétant pour tout le monde, pas seulement les Etats-Unis : une communication qui s’est systématiquement limitée à des messages de 160 caractères, durant tout un mandat, n’incite pas à la réflexion ou à la contradiction. Je ne parle même pas de démocratie ou de système politique, ni même des seuls Etats-Unis, mais le débat est essentiel à tous, sachant que le débat ne consiste pas à mettre deux avis opposés ensemble mais à les faire développer et argumenter. Et je redoute (en espérant me truomper) qu’actuellement l’influence négative des réseaux sociaux ne l’emporte sur les aspects positifs…

Le 06/01/2021 à 16h 04

Plus de détails ici. Un des avantages d’utiliser Go est de pouvoir plus facilement écrire des programmes cross-plateforms (Linux, Mac, ARM, etc.).

Le 06/01/2021 à 13h 10

Ce qui prouve qu’on peut faire beaucoup de choses avec le langage Go. Bientôt un virus en Rust ?

Le 05/01/2021 à 18h 04

Tout va finir en chanson : “it’s fun to stay at the YMCIA…”

Le 17/12/2020 à 16h 23

hellmut a dit:

avant compil à priori.

En effet : The digitally signed updates were posted on the SolarWinds website from March to May 2020.

La liste des clients touchés est également impressionnante.

Le 17/12/2020 à 12h 40

Inny a dit:

Security researcher Vinoth Kumar told Reuters that, last year, he alerted the company that anyone could access SolarWinds’ update server by using the password “solarwinds123”.

C’est que ce j’ai lu aussi. L’attaque sophistiquée a démarrée sur une grosse #$*!@& de l’éditeur…

A noter qu’heureusement que FireEye s’est fait pirater, sinon on ne saurait peut-être encore rien de cette affaire…

Le 09/12/2020 à 13h 05

ToMMyBoaY a dit:

Non. Ce qui n’a rien à faire la est le post initial accusant FireEye de négligence caractérisée.

Pour ma part, je n’ai pas accusé FireEye de négligence, je n’en sais rien, j’ai donc dit que soit c’était une négligence, et dans ce cas là c’est dommage, soit (dans le cas où ils appliquent bien des mesures de sécurité interne, ce qui est en effet probable, mais je n’en sais rien non plus) que l’attaque est alors inarrêtable même pour FireEye et là c’est inquiétant.

Le 09/12/2020 à 11h 50

Autre fait : parmi la liste des CVE indiquée par FireEye, il y a la CVE-2016-0167 qui date de 2016 comme sa référence l’indique. C’était une zero day, à l’époque, et elle était déjà exploitée. Donc la publication des outils red team ne changera rien à l’exploitation de cette attaque. Simplement les attaquants savent maintenant comment FireEye la détectait et la corrigeait.

Dernier rappel ; le vrai traitement de cette faille est d’appliquer la mise-à-jour que Microsoft a réalisée… en avril 2016.

Le 09/12/2020 à 11h 42

NON, cette attaque n’implique pas qu’il faut traiter des CVE, les CVE étaient déjà à traiter avant cette attaque ! Ces vulnérabilités existent, indépendamment de l’attaque sur FireEye. Si les outils red teams sont publiés, il sera (il est vrai) alors plus facile pour un attaquant de les exploiter, puisque l’exploitation est déjà écrite ! Mais je ne pense pas que ça soit le but de l’attaquant. L’attaquant a plutôt cherché à savoir comment FireEye détectait les attaques afin de trouver des moyens de les détecter et donc de les éviter.

FireEye se base sur les CVE pour construire des outils d’attaques, comme d’autres éditeurs et comme les attaquants. Il ne s’agit pas de zero-days, à savoir des vulnérabilités sans correctif, mais de failles connues sur lesquelles tout le monde travaille et pour construire une protection. FireEye ne vend pas de zero-day ou d’outils d’attaques, mais utilise les attaques connues ou possibles (via les CVE publiées) pour construire des outils de détection et de réponse.

Exemple : Pour une CVE donnée, ils construisent un outil d’attaque (red team), le jouent sur l’infra du client, et regardent si ça passe ou pas ; si ça passe, alors ils proposent des traitements (mitigations).

Le 09/12/2020 à 09h 48

Pour compléter : FireEye propose des outils de détection d’attaque ; il n’y a pas d’outils offensifs à proprement parler, comme chez NSO par exemple : les outils d’attaques sont documentés, basé sur des attaques connues, et ils sont utilisés pour tester les défenses du client, l’objectif premier étant la défense.

Cela ne veut pas dire que c’est moins intéressant pour les attaquants, dont le but serait plutôt de savoir comment ils risquent d’être détecté afin de contourner la détection et la réponse.

Le 09/12/2020 à 09h 39

Pas de chance, je venais d’avoir une présentation de leurs services la semaine dernière. Alors de deux choses l’une : soit ils sont négligent et n’appliquent pas leurs outils pour eux mêmes, soit on peut craindre que contre des états attaquants, tout le monde se retrouve démuni et qu’un attaquant motivé disposant de moyens conséquents finira toujours pas réussir.

Je me rappelle qu’il y a quelques années, on comptait sur les Etats disposant d’une force d’attaque sur les doigts d’une main. Aujourd’hui, certains analystes considèrent que la majorité des APT sont conduites par des acteurs étatiques ou proches du pouvoir. Pas très rassurant…

Le 08/12/2020 à 11h 50

Moi je recycle.

• La 5G, c’est comme la 6G mais en moins bien


• La 6G, c’est comme la 7G mais en moins bien

Le 20/11/2020 à 09h 02

Le problème ici est le zoombombing : un utilisateur non désiré peut se connecter sans être invité, simplement en connaissant le lien de la conférence. Or jusqu’à présent, l’organisateur ne pouvait pas l’éjecter (si je comprends bien). Donc maintenant ça sera mieux. Mais je pensais qu’on pouvait aussi utiliser une salle d’attente, dans Zoom : l’utilisateur se connecte mais n’a pas accès à la réunion, et l’organisateur ne laisse rentrer que ceux qu’il souhaite. Dans tous les cas c’est de la sécurité, même si on s’appuie sur une fonctionnalité de l’application.

Pour augmenter la sécurité, il faut :

1. Le vouloir (là je ne suis pas dans la tête des dirigeants de Zoom)


2. Ajouter des dispositifs contraignants pour l’utilisateur (en clair : s’inscrire, puis s’authentifier…)

Si Zoom a eu du succès, c’est essentiellement parce que c’était facile de se connecter : le besoin était urgent en période de confinement. Question de choix.

Mais rassurez vous, WebEx est aussi touché, même si c’est un peu plus compliqué : Cisco fixes WebEx bugs allowing ‘ghost’ attackers in meetings.

Le 16/11/2020 à 15h 46

Ok mais c’est quand même vachement plus dur que de trouver celui de @POTUS (Donald Trump).

Le 14/11/2020 à 20h 42

SGX avait été prévu pour pouvoir exécuter des traitements sur des données sensibles de façon sûre, en ne les déchiffrant que dans une enclave matérielle inaccessible. Cela aurait été d’une grande aide dans le cloud (cloud = faire tourner ses programmes avec ses données sur les ordinateurs de quelqu’un d’autre).

Hélas la complexité des architectures actuelles rend la mission quasi-impossible. Spectre et Meltdown ont ouvert le bal, et ça continue. D’après les auteurs, la faille PLATYPUS permettrait d’accéder à la clé de chiffrement d’une enclave SGX en une centaine de minutes…

Le 02/11/2020 à 09h 40

Des russes aussi. J’ai peur que cela soit sans fin. De nos jours, les élections ne sont plus nationales… mais internationales .

Le 20/10/2020 à 09h 41

(quote:1831648:Nox le Tyt)
Ca s’appelle un téléphone portable….

Et bien oui : ça existe déjà. Et Facebook (mon ennemi préféré) fait déjà de la reconnaissance faciale (ça n’est pas le seul), à plus grande échelle, et sans aucun contrôle véritablement efficace. Je ne veux pas dire “carte blanche à la police”, mais tant qu’à faire, je préfère la reconnaissance faciale côté police, avec une régulation et un contrôle, plutôt que côté Facebook. Enfin, je préfèrerai aucune utilisation de masse de la reconnaissance faciale, mais je redoute qu’un retour arrière soit impossible et qu’on passe maintenant dans une course en avant…

Le 19/10/2020 à 10h 15

fred42 a dit:

Il s’agit ici des outils d’espionnage et de surveillance.

C’est bien ce que je dis.

Je suis pour ma part plus inquiet de l’IA et de la biométrie qui sont déjà largement utilisés, alors que l’informatique quantique est encore très loin de casser des briques les chiffrements basés sur la factorisation de nombres premiers.

Le 19/10/2020 à 09h 46

L’UE va enfin s’attaquer à Facebook ?

Hum, sinon y a une petite inversion au 2e § (“reconnaissance faciale les systèmes”)

Le 19/10/2020 à 09h 43

D’un autre côté, je vois pas trop ce qu’on peut faire du code d’un jeu pareil : compiler toi-même le jeu ? Car faire un clone sans que ça se voie, ça va être dur…

Le 07/10/2020 à 08h 18

449 pages ? C’est guère épais Rien que l’executive summary fait dix pages, et sans une image…

Le 06/10/2020 à 07h 51

Bon c’est décidé : j’attends la 6G et le Wifi 8. Je pourrais enfin profiter du DataLake inclus dans mon aspirateur.

Le 23/09/2020 à 08h 54

Le web statique a deux grands avantages pour moi :
1/ C’est super rapide ! Pas de page à générer, pas de SGBD à consulter. Et il suffit d’un petit serveur web de rien du tout et donc aussi du petit matos pas cher et qui consomme pas beaucoup. Donc la consultation d’un tel site est très rapide.
2/ Comme je suis paranoïaque (je travaille dans la sécurité informatique), la “surface d’attaque” est beaucoup plus petite. Autrement dit : il y a beaucoup moins de risques de se faire attaquer un site web statique qu’un CMS.

Le 17/09/2020 à 16h 37

N’est pas AWS/Google/Azure qui veut…

Scaleway fait de gros efforts sur les services proposés, alors qu’ils avaient démarré sur des VM uniquement. Malheureusement, le coût des petites VM a beaucoup augmenté : je m’en servais pour des petits tests perso, là j’ai laissé tomber à cause de çà (la plus petite VM est passée de 2,99 à 4,99 pour une config plus petite).

Le 17/09/2020 à 16h 28

(reply:1824907:dvr-x)
Non, un mot de passe n’est pas tronqué quand il est haché, mais la fonction de hachage a une longueur fixe, donc forcément ça limite les possibilités en sortie (pas en entrée). Cependant, avec les algos actuels (genre SHA-256), on a de la marge pour les attaques par force brute, surtout qu’il y a des astuces pour compliquer la tâche des attaquants (ajout d’un sel, par exemple).

Mais un bon mot de passe, c’est un mot de passe… difficile à deviner pour un attaquant. Ca varie donc car les pirates s’adaptent. L’avantage du mot de passe “fort” (long et complexe), c’est qu’il sera forcément difficile pour un attaquant (pour de la force brute, encore une fois) : l’entrée a suffisamment d’entropie (= d’imprévisibilité) pour être inaccessible à la force brute.

Note : 72 octets = 8*72 bits d’entropie = 2^576 possibilités.

Le 15/09/2020 à 11h 23

Leum a dit:

Les innovations sont nécessaires pour résoudre des problèmes […] Il ne faut juste pas se tromper de cible par technophobie.

Le mariage, c’est résoudre à deux des problèmes qu’on aurait pas tout seul. L’innovation actuelle, c’est pareil : on résout avec elle des problèmes qu’on avait pas avant.

Oui, il y a de l’innovation utile, mais je suis très inquiet face au manque total de réflexion et de recul face à l’innovation actuelle, mais de façon générale (pas que la 5G). Même le designer de l’iPhone, Tony Fadell, se fait engueuler par sa femme…

Le 15/09/2020 à 09h 11

L’innovation est-elle quelque chose d’indispensable ? Dans un monde en croissance infinie, on pourrait dire oui, mais aujourd’hui, on s’est pris un virus dans les dents et on se rend compte qu’il faut peut-être revenir à l’essentiel. Allez vers un concept (la 5G) parce que les autres y vont, ou plutôt parce que les autres vont y aller est une stratégie panurgienne qui dans beaucoup de domaines n’est pas très responsable. Mais bon ce que j’en dis… Dans les nouvelles technos, c’est la seule stratégie qui soit appliquée : suivre, suivre, suivre.

Le 17/07/2020 à 14h 35

Je m’aperçois que le débat anonyme/pseudo est technique et, finalement, inutile ici (bien que très important dans d’autres domaines). Ce qui compte est de savoir s’il est possible, dans un délai raisonnable, d’identifier la source des propos incriminés. Si je me fais insulter et menacer par toto23, comment puis-je remonter (moi ou la justice) jusqu’à l’auteur des faits ? Peu importe que l’anonymat soit absolu ou pas sur les réseaux sociaux : l’identification de l’auteur est-elle compatible aujourd’hui avec la chronologie de la justice ?



Comme souvent, il s’agit plus d’une question de choix (en plus d’une question de moyens, bien sûr) : veut-on privilégier la liberté d’expression (auquel cas il faut protéger l’anonymat) ou le droit des personnes à obtenir réparation d’un préjudice ou faire cesser une attaque (auquel cas il faut au contraire réduire l’anonymat) ? La réponse n’est pas simple du tout…



Par ailleurs je reste persuadé que, de fait, on puisse aujourd’hui rester suffisamment anonyme sur les réseaux sociaux. La LCEN est une loi française, non extra-territoriale, qui ne peut hélas pas résoudre tous les cas possibles.

Le 17/07/2020 à 12h 38

trash54 a écrit :



va expliquer à certains la différence entre anonymat et pseudonymat ben bon courage ….







Facile.



Anonyme : impossible de retrouver l’identité initiale. Pseudonyme : on donne une identité factice.



Exemple 1 : un chanteur de variété prend souvent un pseudonyme.



Exemple 2 : la blockchain du bitcoin est pseudonyme, et non anonyme. Chaque portefeuille correspond grosso modo à un pseudonyme attaché à un utilisateur (en général), dont on peut tracer toutes les actions. Si on veut convertir des BTC en cash, il faut passer par une plateforme d’échange qui est aujourd’hui tenue de vérifier l’identité de chaque client.



La grosse différence est qu’un pseudonyme est en général réversible et ne garantit donc absolument pas l’anonymat.

Le 17/07/2020 à 12h 09

David_L a écrit :



C’est parce que tu confonds l’anonymat et le pseudonymat



Non, non, je sais très bien ce que c’est (cf. ici), mais il suffit d’une adresse mail pour s’inscrire sur Twitter, il me semble. Bien que l’anonymat stricto sensu soit très difficile à atteindre, il suffit d’une compte mail bidon accédé depuis un VPN et on complique suffisamment la tâche pour un internaute moyen, voire pour la justice (laquelle serait bien heureuse de pouvoir identifier un criminel d’après ses Tweets). Et moi aussi (dans mon boulot).

" />

Le 17/07/2020 à 11h 46

Fustigeant un anonymat sur les réseaux sociaux (qui n’existe pas, pour rappel)

Je ne suis pas sûr de comprendre : quelqu’un pour m’expliquer ? Ca ne me paraît pourtant pas bien difficile de rester anonyme sur les réseaux @sociaux…

Le 19/06/2020 à 09h 40

joma74fr a écrit :



Pour ma part, je peux citer La Banque Postale. Ca sert à temporiser et à vérifier dans l’éventualité d’un piratage/phishing.





D’un point de vue sécurité, c’est une très bonne chose…

Le 18/06/2020 à 15h 20

Cumbalero a écrit :



3/ un exemple parmi tant d’autres pour te contredire







Désolé, un obscur message de 2009 qui parle d’opérations sur compte-titres ne renseigne en rien sur les dates de valeurs d’un compte courant en 2020 (en plus, en 2009, Bourso n’était pas dans le groupe Société Générale, cf wikipedia).



Par ailleurs il n’existe pas de “GIE”, Bourso n’est même pas sur le même réseau informatique que le reste, ça fait au moins 10 ans qu’ils sont chez NTT, ils viennent même de renouveler leur partenariat. Enfin, si tu avais vraiment bossé pour ce groupe ou même dans n’importe quelle grande banque, tu saurais que les applications sont TRES loin d’être unifiées, notamment en raison des fusions ou des rachats.







Cumbalero a écrit :



Ah.

Eh ben on voudrait savoir laquelle vu le niveau des bêtises proférées.





Désolé, c’est moi qui ne te recruterait certainement pas au vu de ta méconnaissance du sujet, des méthodes des attaquants et des moyens de s’en prémunir. Le clavier virtuel n’est pas LA solution, il a des défauts, mais il complique la tâche des attaquants. Pour la temporisation des IBAN, chez moi c’est instantané, je peux faire un virement dans la foulée (je l’ai fait il y a quelques jours). Tu es sûr de parler d’une banque française ?

Le 18/06/2020 à 07h 54

Ok, je comprends. Sur le token MFA, ça devrait arriver sur plusieurs banques avec la directive DSP2 (bien que cette directive soit une grosse #\(^ selon moi). Quant au changement de mot de passe à intervalle régulier, c'est aussi une #\\)^ sans nom que même l’auteur de cette recommandation (du NIST) regrette.



Pour ce qui est du gestionnaire de mot de passe, je suis circonspect : mettre un mot de passe super balèze, c’est bien, mais les troyens bancaires s’en fichent pas mal, ils l’interceptent très bien. Le problème est de sécuriser la saisie du mot de passe afin qu’il ne soit pas intercepté sur le poste du client (c’est le rôle du clavier virtuel, pénible mais utile).



Pour les achats CB, il y a deux volets : la banque ne peut les comptabiliser que quand le commerçant envoie les opérations ! Il y a d’ailleurs toujours la date de l’opération dans le libellé carte bleue (en général la date où on a fait la transaction), mais rien n’empêche le commerçant de transmettre les opérations plusieurs jours plus tard. C’est vrai pour toutes les banques : elles dépendent de la rapidité du commerçant.



Bon, je réponds que sur les points que je connais, pour les autres : " />

Le 17/06/2020 à 21h 00

bilbonsacquet a écrit :



Ça serait déjà bien qu’ils permettent l’utilisation des coffres forts de mots de passe, plutôt que leur système de pseudo clavier tout pourri avec un mot de passe au final super faible… (idem pour Boursorama du même groupe).





Je travaille pour la sécurité informatique d’une banque, et si tu crois que la sécurité de ton compte repose uniquement sur un code PIN ou un mot de passe, tu es bien ignorant de comment ça se passe dans le vrai monde. Quand à la biométrie sur les smartphones, ça relève du gadget, et j’en parle là aussi en connaissance de cause : il vaut mieux un code PIN sur 4 caractères !







Cumbalero a écrit :



Boursorama faisant partie du groupe SG, il utilise les outils et infras de la SG. Ça veut dire des dates de valeur délirantes qui ajoutées à une actualisation du solde par batch nocturne rendent impossible de connaître la réalité de tes avoirs.





Quelles sont tes sources ? Je sais que je n’arriverai pas à te faire changer d’avis, mais sache que Boursorama n’utilise pas les mêmes outils ni même la même infra que la banque Société Générale. Donc rien à voir. Quant au hoax sur la date de valeur, idem : quelles sont tes sources ? Je suis client et il n’y a pas de dates de valeur (en tout cas pour les particuliers, pour les pros, je ne sais pas).

Le 16/06/2020 à 14h 36

Ok, mais les micros-canons audio existent depuis longtemps. Par ailleurs, si je veux espionner quelqu’un, je lui offre un Google Home et hop! l’affaire est dans le sac. C’est vachement plus simple.

" />

Le 26/05/2020 à 07h 48

50000 sessions pour apprendre ? Vous montrez le jeu à un enfant pendant 2 minutes et il a tout compris. Les machines sont plus efficaces que nous pour les tâches répétitives, mais côté intelligence, on est très très très très très loin du compte. Pour moi le danger est là : attribuer de l’intelligence au machine alors qu’elles n’en ont pas.

Le 18/05/2020 à 12h 13

Je me suis remis un peu au COBOL. C’est vrai que c’était verbeux, ce truc. Rien que pour faire un Hello World, je vous raconte pas.

" />

Après, j’ai jamais bien compris l’intérêt d’un langage objet, car l’héritage d’interface suffit largement à faire le bonheur d’un développeur moyen. Et Rust le permet, donc moi ça me suffit.

Le 14/05/2020 à 16h 38

[caustique]

Ahhhh, un cloud souverain… Ne mettons pas la barre trop haut : juste avec des composants européens : des puces, des routeurs, un système d’exploitation, tout ça made in Europe ! Quelle bonne idée !

[/caustique]

" />

Le 23/04/2020 à 16h 21

Une visio ?

" />

Le 20/04/2020 à 09h 36

Qu’Amazon soit forcé de prendre soin de ses salariés, très bien. Par contre je suis dubitatif sur la notion de produit de première nécessité. Un ordinateur ou un smartphone peuvent être des produits de première nécessité en cette période de confinement. Bref, comme souvent, des réponses simples ou simplistes à des problèmes compliqués. J’espère juste que la Poste ou les autres transporteurs sont soumis aux mêmes restrictions pour protéger leur salariés.

Le 20/04/2020 à 09h 23

fred42 a écrit :



Toi, tu es du genre : je n’ai rien à cacher !





Mon commentaire était ironique, bien sûr. Je veux dire que ça ne sert à rien de jouer les vierges effarouchées sur cette application particulière car tout l’écosystème des smartphones est axé sur la captation de données ou sur une logique de monétarisation des usages. Des applications sont pires que d’autres, mais grosso modo :

• Soit l’application est payante, et c’est une “pompe à fric”
  


• Soit l’application est gratuite, et alors elle balance de la pub ou revend des données d’usage
  
  
  
  Et pour répondre juste à fred42, non je n’ai rien à cacher, mais je le cache quand même autant que je peux. Mais je redoute que la vie privée ne soit un concept en voie d’extinction…
  
  " />