Le 22/03/2019 à 09h 03

On ne dit pas “à date” mais “à ce jour”.

" />

Le 03/01/2019 à 12h 11

fofo9012 a écrit :



Sauf que c’est HS ici, on passe de 3pts à 6pts en cas de cumul. Ce n’est pas une nouvelle infraction, qui n’était pas sanctionner, c’est juste sanctionner plus fort.





Au temps pour moi : il suffira de commettre 2 infractions au lieu de 4 pour perdre son permis. Donc moins de paperasse et gain de productivité. Bien vu.

" />

Le 03/01/2019 à 11h 54

moud le météor a écrit :



C’est vrai que les  348 sénateurs,  577 députés et leurs assistants parlementaire travaillent gratuitement.

 

Et faut compter le temps de création des décrets d’application. Car une loi sans décré ne peux être appliqué.





Je répète : écrire une loi coûte beaucoup moins que de la faire appliquer. Exemple : une loi qui crée une peine de prison va augmenter la population carcérale. Donc il faut des places de prisons, des surveillants, etc. Il faut aussi faire contrôler l’application de la loi (augmentation de la charge de travail des policiers ou des instances de contrôles). Il y aura aussi plus de procès donc plus de juges et surtout plus de personnel administratif (notamment greffiers). Et tout ça de façon récurrente, et non de façon ponctuelle.



Donc oui écrire une loi coûte beaucoup moins cher que de la faire appliquer. Or une loi écrite qui est mal appliquée ne sert à rien, ou pire ça augmente la défiance des citoyens face à la loi parce qu’elle est trop souvent inefficace (faute de moyens pour la faire appliquer).

Le 03/01/2019 à 09h 49

Avant de changer ou de durcir une loi, il faudrait commencer par l’appliquer. Or écrire une loi ne coûte presque rien, et la faire appliquer ça coûte beaucoup plus…

Le 15/10/2018 à 07h 50

Le reportage sur “prédire les crimes” est un peu décevant : des logiciels créent des listes d’individus suspects ou à surveiller, mais outre le travers habituel de ces logiciels (opacité des algorithmes, fiabilité des données) il n’y a aucun recul sur leur utilisation. En gros, on ne sait pas si “çà marche” ou pas, si les personnes ciblées le sont à raison ou pas. Dommage. Par contre on constate que le business de ce genre de logiciel est fleurissant, et en soi c’est inquiétant.

Le 17/08/2018 à 17h 48

Enfin une illustration de pirate informatique sans capuche ! Bel effort !

Le 02/07/2018 à 13h 25

J’ai déjà vu des “valises” permettant de faire ça (voix ou données). Ce type d’attaque et son coût sont peu accessibles aux attaquants isolés, par contre c’est bon marché pour des attaques ciblées et pour des organisations motivées (et pas seulement pour des états, mais aussi pour des entreprises dans des secteurs très concurrentiels à des fins d’intelligence économique).

Le 28/06/2018 à 10h 15

Furanku a écrit :



WordPress est techniquement dépassé.





N’empêche qu’aujourd’hui c’est le CMS le plus utilisé, malgré tout.



Par contre le site de RIPS indique que WordPress devrait réagir rapidement compte-tenu de la sévérité de la faille. En gros un auteur peut effacer du contenu qui n’est pas à lui. Ok. Mais comme 99,9% des sites WordPress sont mono-auteur, cette faille n’impacte que les 0,1% restants. Et il faut également avoir récupéré les identifiants d’au moins un auteur. Le probabilité que cela arrive est donc très faible, et malgré un impact potentiel très élevé, la sévérité finale de cette vulnérabilité me semble donc anecdotique.



" />

Le 21/02/2018 à 15h 58

Ricard a écrit :



J’aurais bien vendu un rein, mais il ne m’en reste plus qu’un… " />





T’es pas obligé de vendre le tien. Des volontaires ?

" />

Le 20/02/2018 à 16h 47

L’appel à Google Static Maps API n’est peut-être pas obligatoire. Non ? Si ? " />

Le 17/02/2018 à 12h 26

Kazer2.0 a écrit :



Ça fait des années que la plupart des keylogger prennent des photos au cliques





Bien sûr qu’on le sait (depuis des années) mais on surveille aussi. C’est pour ça que je dis que c’est un élément parmi d’autres, et de toute façon plus on complique la tâche des escrocs, mieux c’est. En ce qui concerne le 2FA : c’est aux clients qu’il faut apprendre ce que c’est et comment ça marche, et tu verras que c’est une autre paire de manches.

Par ailleurs au risque de me répéter, il y a d’autres éléments de sécurité notamment pour confirmer l’ajout d’un compte tiers (ce qui est très surveillé), et surtout il y en a beaucoup qui ne se voient pas.

C’est un des nombreux paradoxes de la sécurité : le client (de manière générale, pas seulement dans les banques) veut être en sécurité mais ne veut pas faire d’effort pour cela (à part quelques informaticiens barbus et/ou paranoïaques). Et derrière, c’est nous les informaticiens qui ramons pour tenter de ménager la chèvre et le choux.

Le 16/02/2018 à 22h 26

Stel a écrit :



Alors, la société générale c’est une banque qui vous oblige à changer votre mot de passe chaque année. ( obligatoire, pas moyen d’y échapper )

Et au passage c’est uniquement des chiffres.



Imaginez donc, pour eux, un mot de passe est mieux sécurisé sur un bout de papier parce que les gens l’ont oublié parce qu’il change tout le temps, plutôt que dans sa tête.



Quand on à une telle gestion des mots de passe , digne des années 2000, je n’ai donc absolument aucune confiance dans les capacité de cette banque à fournir un service sécurisé.







Si tu penses que la sécurité d’un site web se limite au mot de passe, alors oui tu es resté dans la sécurité informatique des années 2000.



Changer ce code tous les ans ? Oui c’est con, mais c’est aussi con que de changer de mot de passe tous les 60 jours ou tous les 90 jours.



Plus sérieusement, l’avantage des chiffres, c’est que tu peux mettre un clavier virtuel simple qui permet de limiter les keyloggers. Si on autorisait tous les caractères alphanumériques et spéciaux comme pour un mot de passe classique, on pourrait devrait aussi mettre un clavier virtuel mais le confort d’utilisation serait affreux pour un client “normal” (erreurs de saisie, ergonomie, etc.).



Quant au risque de brute force, je te suggère d’essayer de saisir 3 fois un mauvais code sur le site internet, tu verras le résultat.



Enfin si tu regardais chez les autres banques, quasiment toutes ont un mécanisme similaire avec des chiffres. Derrière, il y a des tonnes de mécanismes qui cherchent à éviter les cyberfraudes, mais je ne peux pas te les dévoiler sans risquer de perdre mon job et de réduire l’efficacité de ses nombreuses mesures, mais le clavier virtuel en est un bon (pas infaillible, mais pas mauvais).



Un dernier mot : on parle ici de la Société Générale pour les particuliers et les entreprises, pas des salles de marché.

Le 14/12/2017 à 09h 38

Bôf, on parlera plus de cette histoire quand le gars sera enterré. Dans 3 jours.



https://freedomhouse.org/article/new-report-freedom-net-2017-manipulating-social…

Le 12/12/2017 à 15h 58

Il y avait déjà des fuites de données il y a 4 ans. Une ou deux lignes de script pour chiffrer à l’arrivée (script fourni contre un timbre poste et une enveloppe) et hop il n’y aurait plus eu de problème. En plus c’est du Drupal, on peut bricoler facilement.



C’est pas la meilleure des solutions mais ça aurait suffi " />

Le 05/12/2017 à 15h 13

99,9% c’est pas de la très haute dispo : 43 minutes de hors service par mois. " />

Le 20/11/2017 à 18h 13

Jeanprofite a écrit :



Je pense que la banque ne désactive pas le «sans contact», elle désactive le paiement de ce «sans contact».

La nuance est que les informations sont lisibles tout de même.



En France, les banques ont réussi à l’imposer en disant que c’était comme ça, «mais ont peut le désactiver».



Monéo a été un échec mais cette fois-ci, ils sont bien partit pour gagner.





Effectivement, seul le paiement est désactivé, la lecture des informations sur la carte est totalement indépendante. Toutefois on a désormais moins d’infos accessibles “en clair” qu’avant où on avait tout ce qu’il faut pour effectuer une opération.



En ce qui concerne la possibilité d’avoir une carte sans NFC, vous pouvez l’exiger à n’importe quelle banque. Faut juste savoir comment, et çà dépend d’une banque à l’autre (et encore, faut que les chargés de gestion sachent comment faire, ce qui est rarement le cas).

Le 12/10/2017 à 07h 47

On se croirait dansLes Barbouzes…

Le 01/09/2017 à 14h 03

OlivierJ a écrit :



Un mobile peut se repérer par rapport à des bornes Wifi en effet, mais de façon très grossière par rapport au GPS (ça doit être du 50 m ou du 100 m).





Oui, en effet, mais là il suffit de pouvoir dire de quel côté du mur est le téléphone. Il suffit de 2 bornes, une de chaque côté : on obtiendra 2 signaux, et le signal le plus fort sera du côté où se trouve l’utilisateur. Pas la peine d’avoir une valeur précise du signal à la nanoseconde ou au micromètre (micron), juste qu’il y ait suffisamment de différence entre les 2 signaux. Et si c’est pas tout à fait probant, on recommence à la prochaine visite.

" />

Le 01/09/2017 à 13h 44

OlivierJ a écrit :



Je ne pense pas qu’une borne wifi, même avec 2 ou 3 antennes (surtout aussi proches les unes des autres), ait les éléments pour déterminer d’où vient une émission.

Et un micro stéréo donne 2 directions possibles, devant et derrière (en gros comme une intersection de 2 cercles, dans le plan).



Le wifi sert aussi à aider à la localisation lorsque le GPS fonctionne mal (ou en complément de celui-ci). Avec plusieurs antennes, on fait de la triangulation à partir des puissances reçues et on en déduit la position du terminal et donc de l’utilisateur. C’est aussi possible avec le signal radio servant aux appels…

Le 17/08/2017 à 16h 32

fred42 a écrit :



Avec ce nom, ça doit être avec porte dérobée. Un logiciel Gnu, au contraire, tu as les sources, la porte dérobée est plus difficile à cacher.





Ça serait bien. Faut pas s’attendre non plus à un commit by FBI/NSA " />

http://www.cnis-mag.com/quand-le-fbi-fait-dans-l’opensource.html

Next INpact

" />

Le 17/08/2017 à 15h 01

Je me rappelle plus bien de la gestion des versions : GuPG 2.1.23, c’est celle avec ou sans porte dérobée ?

Le 24/07/2017 à 17h 03

Zerodium propose jusqu’à 30 000 $ pour Tor. Donc si je trouve une faille je leur file à eux, pas à Tor. Bon, je relance le tuto de CheatEngine.

" />

Le 06/06/2017 à 13h 42

WereWindle a écrit :



tu pourrais me donner 5 nombres (distincts) entre 1 et 50 et deux entre 1 et 12 (distincts aussi) ?

C’est pour une expérience sociale " />





Mouais, faut les donner en message privé, sinon il faudra diviser les gains par le nombre de lecteurs, et on en trouve partout, n’est-ce pas Guénaël ?

Le 06/06/2017 à 12h 37

Il a rasé la barbe, le Poupard…

Le 30/05/2017 à 11h 29

WereWindle a écrit :



Vous avez également fait des tests avec des voix enregistrées ? (d’ailleurs, est-ce qu’il existe un moyen pour différencier une voix “en live” d’un enregistrement ?)





Oui, il y a des moyens, mais pas infaillibles. Le plus efficace est d’authentifier durant une conversation courante (je crois que c’est le type d’authentification que testera le Crédit du Nord), de faire répéter la phrase ou le mot servant d’authentification (le système peut détecter le rejeu car il y a trop de ressemblances dans les 2 tentatives)… mais un fraudeur trouvera très souvent des contournements.



Pour l’histoire de l’imitateur belge, je n’y crois pas trop : les caractéristiques intrinsèques sont différentes. Même si à l’oreille ça se ressemble, une machine verra beaucoup de différences.



Par contre on n’a pas testé de voix de synthèse, mais apparemment ça commence à être de qualité suffisante pour tromper les systèmes vocaux, cf https://www.uab.edu/news/innovation/item/6532-uab-research-finds-automated-voice-imitation-can-fool-humans-and-machines.







jackjack2 a écrit :



Entreprises privées veulent faire du biométrique : accord de la CNIL obligatoire

Gouvernement veut faire du biométrique : lol balec yolo





Oui, la loi est ainsi faite, et heureusement que l’Etat peut avoir plus de pouvoir qu’une entreprise (ou plutôt qu’une entreprise ait moins de pouvoir que l’Etat), surtout dans ses prérogatives régaliennes. On peut déplorer que pour l’Etat français la CNIL ne puisse que donner un avis que le gouvernement n’est pas obligé de suivre, maisc’est le cas pour d’autres commissions ou organismes (comme le Comité consultatif national d’éthique, le CNNun, le Conseil d’Etat dans certains cas, etc).

Le 30/05/2017 à 07h 53

J’ai fait aussi une expérimentation dans ma boîte, sur 500 utilisateurs internes (avec déclaration CNIL aussi). Grosso modo la précision est d’environ 1 pour 100, selon les réglages. Ca peut aussi être 1 pour 1000 mais dans ce cas il y a beaucoup plus de rejets à tort (“faux négatifs”, c’àd des personnes légitimes qui n’arrivent pas à s’authentifier).



Après faut voir ce qu’on veut : empêcher les fraudeurs à tout prix au risque de pénaliser les utilisateurs légitimes, ou faciliter l’expérience utilisateur au risque de laisser passer de temps en temps un fraudeur (“faux positifs”, si je ne me trompe pas dans le sens des “faux”).

jackjack2 a écrit :



Donc c’est trop compliqué de demander aux crétins du gouvernement d’appliquer les garde-fous qu’ils imposent aux banques?



Ca ne veut rien dire ta phrase. Le garde fou c’est la CNIL, banque ou pas, gouvernement ou pas.







bilbonsacquet a écrit :



Faut pas être enrhubé ou avoir une extinction de voix " />



On a regardé aussi ce cas de figure, être enrhumé ne change quasiment rien à l’authentification, qui se base sur plusieurs caractéristiques de la voix.







Z-os a écrit :



Ah, j’ai retrouvé où je l’avais entendu : un exemple de ce que l’on peut faire en synthèse vocale actuellement



Oui effectivement il y a beaucoup de progrès de ce côté là, tout comme dans la photographie (empreinte digitales, iris). Enregistrer une voix est très facile.



Le principal problème de la biométrie est qu’en cas de compromission (vol ou reproduction), vous ne pouvez pas changer d’empreinte ou de voix. Donc votre caractéristique est compromise à vie et sur tous les systèmes l’utilisant.



Donc la biométrie a de l’intérêt mais sûrement pas pour de l’authentification dans les systèmes informatiques (ou marginalement et en complément d’autres systèmes d’authentification). Avis personnel sans aucun lien avec la position de mon employeur.



Note : le bilan de l’expérimentation est exigé systématiquement par la CNIL.

Le 20/05/2017 à 17h 01

ErGo_404 a écrit :



…la cybersécurité reste de la sécurité et l’état est là pour protéger la sécurité de ses citoyens.





Jusqu’à présent tous les Etats utilisent des armes offensives pour assurer leur sécurité. C’est donc pareil en cybersécurité. Quelqu’un a déjà essayé d’interdire les armes dans le monde ? Bon courage. Ca serait bien, c’est sûr, mais je suis pas sûr qu’on y arrive rapidement.





essa a écrit :



…Il est je trouve irresponsable de continuer à utiliser des logiciels et du matériel qui peut être dévoyé…



Ca ne veut rien dire : TOUT matériel peut être “dévoyé”. Il n’y a que moi pour ne pas être étonné que les espions espionnent ? Du temps des machines à écrire, on cherchait à faire des photos des documents écrits, à récupérer le ruban pour “rejouer” ce qui avait été tapé…

Les techniques changent, mais même sans l’introduction volontaire de portes dérobées, il y a de facto des tonnes de vulnérabilités involontaires qui existent partout. Les espions et les criminels ont encore de beaux jours devant eux via les systèmes informatiques.

Le 19/05/2017 à 20h 55

ErGo_404 a écrit :



C’est fréquent des maj qui font foirer tout le parc ou vos applis ?

Sur un serveur ou sur des postes avec des outils particuliers je peux comprendre, mais d’une manière générale n’y a-t-il pas une grande majorité de postes qui utilisent juste office et qui peuvent accepter les mises à jour les yeux fermés ?





Quand on a 150000 postes à gérer, il y a toujours des surprises. La gestion des patchs est une des activités les plus difficile de l’IT dès qu’on dépasse 5 machines dans un parc : connaître son parc, son état, ses dépendances est extrêmement difficile, et tu ne peux pas imaginer le nombre de postes “standards” qu’une mise à jour “standard” a fait planter.





ErGo_404 a écrit :



Ah parce qu’il y a un débat sur le fait que c’est de la merde de stocker des failles ? Tout le monde n’est pas d’accord ? " />



Bien sûr qu’il y a débat : prefères-tu que ça soit une organisation d’état ou une mafia qui stocke des failles ? Autant tu peux espérer interdire une organisation d’état de stocker des failles, autant interdire à des cybercriminels de le faire est totalement illusoire. Par ailleurs, comment lutter contre des failles sans les connaître ? Bref il faut plutôt penser à apprendre à vivre avec… hélas.

Le 17/05/2017 à 09h 49

Ricard a écrit :



Ce qui est étonnant, c’est que certains croient encore à des subterfuges aussi grossiers pour faire croire que c’est des russes. S’en est peut-être mais c’est peut-être des somaliens ou des Mexicains…







Note : ce n’est pas le niveau d’anglais affiché dans les posts des Shadow Brokers qui incitent les personnes s’intéressant au sujet de soupçonner les russes (ou d’autres). Faut être sérieux mais c’est trop long (et trop de texte à taper pour être sérieux).



Et je rappelle le principe ici : les articles sont censés être sérieux, les commentaires farfelus. Je dis bien : en principe " />

Le 17/05/2017 à 08h 31

Je paierai pas deux balles pour de l’anglais à trois balles. Sérieux, ils peuvent pas prendre des cours d’anglais, les Shadow Brokers ? J’ai beau être nul en anglais, ça écorche la rétine de lire leur bidule.



Ce qui m’étonne, c’est qu’il y a quand même des russes qui parlent bien anglais ; étonnant qu’ils n’en aient pas trouvé au moins un pour écrire leur communiqué. Ou alors le gars est tout seul. Ou il est pas russe. Allez savoir.

Le 07/04/2017 à 18h 01

Pour un projet franco-français, Roberto a un très joli accent italien ;) J’ai eu la chance de l’écouter à une conférence, il est très convaincant. Et il faut savoir que le “code” importe autant que les données : à quoi bon stocker des images jpeg si on n’a pas le code pour l’afficher ? Vous direz qu’il suffit d’avoir les spécifications de jpeg, ce qui est vrai ; mais dans ce cas les normes ou spécifications peuvent être compris comme du code de niveau supérieur, lequel intéresse aussi nos amis de Software Heritage…

Le 27/02/2017 à 10h 50

SHA256 avait pour cahier des charges d’optimiser les calculs, et se révèle en pratique équivalent (en charge de calcul) que SHA1.



Le problème de quitter SHA1 est plus complexe, notamment à cause des autorités de certification au-dessus qui ne savent pas faire, ou qui demandent à être changées (ou ajoutées). Pas simple dans un contexte professionnel.



Après, il n’est pas interdit d’utiliser SHA1 : dans certains cas il est largement suffisant. Il faut toujours évaluer le risque résiduel, en sécurité informatique…

Le 15/02/2017 à 13h 42

" /> mmmmm KeePass 2.1 est certifié (par l’Anssi), y a des clés certifiées FIPS. Mais qui certifie le plugin ?



Autre point négatif : en cas de perte ou destruction, il ne reste que le recovery mode, qui demande la clé secrète. A stocker donc qqpart et c’est là que les ennuis vont commencer : ou ? comment ? avec quel outil ? 7-zip (je suppose avec qqch du genre AES) demandera un mot de passe…



Autant la solution Yubikey peut s’avérer pratique pour alléger un peu le mot de passe maître, autant cela rajoute du secret à stocker qqpart ailleurs. Je me demande si un bon mot de passe bien costaud mais qui n’est que dans ma tête n’est pas finalement la solution la plus simple…

Le 27/01/2017 à 09h 39

Texas Ranger a écrit :



t’inquiète ils vont revendre tes habitude de consommation.

1. Les banques ne le font pas sans ton accord (j’en sais qqch, je travaille à la sécurité info d’une banque). De plus ça ne change rien d’une carte classique : la banque a déjà toutes tes habitudes de conso (mais ne les revends pas). 2) Pour info, comme indiqué, le montant max est bien 300 EUR pour la carte SG.
   

Le 29/12/2016 à 09h 52

Antwan a écrit :



N26, Monzo, etc. ont justement tout à prouver et sont basées sur des archi modernes, ça craint certainement moins que certaines banques utilisant des serveurs qui font tourner du Cobol depuis 30 ans.





Le Cobol, ça tourne pas sur des serveurs mais sur du mainframe, et depuis plus de 40 ans. Et c’est plus dur à pirater vu que plus personne connaît comment ça marche.



Et désolé, côté banque la sécurité n’est pas laissée “à leur discrétion”. Y a 3 tonnes de règlements et de lois à respecter.



Ce qui est intéressant, c’est que les règles des “fintechs” sont différentes, mais il y a quand même une base. Les affaires N26 et Morning montrent que la qualité ça se paye, notamment en expérience.

Le 05/12/2016 à 16h 14

boogieplayer a écrit :



C’est une administration entreprise qui applique bêtement des principes est tenue d’appliquer les lois qui sont parfois idiotes et inadaptées. A ne pas étudier cas par as on se retrouve avec des tpe/pme qui meurent parce qu’un banque leur coupe les vivres.



Oui je suis d’accord et c’est un gros problème. Autrefois c’est le banquier qui décidait (et là tu pouvais dire que c’est un con parce qu’il pouvait décider), maintenant ce sont les lois/règlements.

Le 05/12/2016 à 16h 01

boogieplayer a écrit :



Comme d’hab, les banques ne comprennent rien et ne veulent pas comprendre. Y’a un mec qui rale, on coupe. Point.



" />

Pfff… En gros la banque a toujours tort :

• Si elle s’en va, c’est qu’elle comprend rien ;
  


• Si elle reste, c’est qu’elle s’en fout de la loi et qu’elle ne cherche qu’à engranger du pognon.
  
  
  
  
  

Le 28/11/2016 à 14h 59

Snark a écrit :



Avoir des sites comme ça à 50k, c’est courant dans le web.





Oui, et même beaucoup plus. C’est plutôt raisonnable, donc.

Le 28/11/2016 à 14h 56

Relisez bien avant bricoler vos Rasp ou bidouiller vos réglages : cet outil ne concerne que le marché PRO.



Après ça n’enlève rien avec vrais problèmes liés à la télémétrie de Windows, toutes versions.

Le 11/01/2016 à 14h 24

Moi je dis : ça sent le gaz.

Le 05/01/2016 à 16h 15

jayr0m a écrit :



Question : Ça attaque aussi les disques réseaux montés sur le système ?

Autant mon système… bof mais tous mes documents sur le NAS… :5





Celui-là, de rancodjscnsggiciel (dur à écrire), je ne sais pas, mais certains chiffrent tous les lecteurs connectés. Y compris les NAS, les serveurs réseaux, etc.

Le 04/01/2016 à 09h 23

Poil a écrit :



Encore une base mongodb ouverte au monde entier ? XD





Yep : databreaches.net

Le 16/12/2015 à 10h 27

seb2411 a écrit :



C’est pas simplement la config par defaut sous MongoDB ? Je me suis amuse un peu avec recement avec Docker et par defaut il n’y avait pas de mot de passe. Je sais pas si c’est une config particuliere de l’image mongo sous Docker ou le comportement par defaut ?





Environ ¹⁄₃ des images Docker comportent au moins une faille critique. Faire une image Docker c’est simple, faire une image sûre en est une autre.



Par ailleurs, quand j’ai commencé l’article, je me suis dit : tiens, encore une erreur de config mongoDB. Bingo ! En gros (si je me rappelle bien), la config par défaut permet l’accès à la base depuis tout internet, avec un mot de passe par défaut.



Donc :

• L’erreur de config mongoDB est sûrement la base de ça (elle a peut-être été reprise dans une image Docker, pourquoi pas)
  


• Ca montre le niveau de cette société qui vend de la sécurité sans en avoir un échantillon sur elle
  
  
  
  
  
  Bonne journée à tous " />

Le 14/08/2015 à 07h 28

Juste pour info : j’avais regardé ça il y a quelques mois pour le boulot. C’est pas plutôt PayPal qui était moteur/initiateur ?



J’avais noté : Cette alliance a créée durant l’été 2012 par PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon, and Agnitio, mais sous l’impulsion directe de PayPal et de Validity Sensors.

Le 20/05/2015 à 14h 37

Glyphe a écrit :



des boites qui ont des millions de clients sur le net on en compte 1000 dans le monde entier à tout casser, et je doute que les seniors chargés de la sécu informatique postent des comms sur NXi … " />



Donc non, mon commentaire ne se destinait pas aux sys admins de Amazon, Paypal, Google, Apple, etc … " />





T’en as au moins un… " />

 

 Et puis c’est juste pour mettre en perspective : les GAFA et autres grosses boîtes vont quand même avoir pas mal de boulot avec ces failles à répétition, surtout quand on ne peut pas utiliser la solution “idéale”.

Le 20/05/2015 à 14h 18

Courbes elliptiques : façon ANSSI ou façon NSA ?



Et c’est facile de dire qu’il n’y a qu’à passer aux navigateurs modernes et récents ; quand tu as des millions de clients, tu es prêt à accepter que 20 ou 30 % de tes clients ne puissent plus accéder à tes services ?

Le 31/03/2015 à 07h 55

Ca n’est pas la girouette qui change : c’est le sens du vent.

Le 20/03/2015 à 15h 50

—    Y a des pirates en Chine ?

—    Oui : y a des internautes qui vont sur des sites non censurés ! Pirates !



  

Le 20/03/2015 à 11h 18

nekogami a écrit :



Ceux qui disent c’est la faute de Microsoft, vous pariez combien qu’avec une adresse [email protected] ou autre équivalent avec une légère différence, ça serait passé ?





Je ne parie pas : je sais (j’ai même testé). Avec une légère différence dans l’adresse mail, ça ne passe pas. Ca n’est pas parce que Comodo a pu faire des erreurs dans le passé que c’est le cas ici. Comodo n’a fait que respecter son contrat. 



D’autres éditeurs proposent également des systèmes équivalents de vérification pour des certificats “bas de gamme”.



Pour être précis, la vérification ne se base pas sur une RFC, mais sur des adresses mails “standard” proposées par cette RFC. C’est assez grave de la part de Microsoft de laisser des adresses ce genre d’adresse accessible par n’importe qui : ça ne pose pas de problème que pour l’obtention d’un certificat ! Imaginez que l’internaute finlandais ait demandé [email protected] : il aurait reçu une grande partie des mails concernant les problèmes (notamment de sécurité) sur le nom de domaine (et le site web associé, s’il y en a un), car c’est justement une adresse habituelle pour contacter le service en charge de ce type de problème !

Le 20/03/2015 à 08h 24

GentooUser a écrit :



Exact, c’est entièrement la faute de Microsoft ! Ces adresses font parties de la gestion technique d’un domaine et ne doivent pas être attribuées  (RFC2142)



J’ai jamais été choqué qu’on me proposes hostmaster pour la validation d’un certificat ou un transfert d’un nom de domaine.





Tout à fait d’accord. L’erreur ne vient pas de Comodo mais de Microsoft. De plus, le niveau de vérification dépend aussi du type de certificat, le type DV (domain validation, le moins cher) n’est vérifié qu’avec une adresse mail.