Le 10/02/2023 à 15h 51

Pour ceux que ça intéresse, j’ai fait un petit test sur chatGPT pour bien montrer qu’il ne pense pas et qu’on peut lui faire dire ce qu’on veut. Le danger ne vient pas vraiment de l’outil mais des croyances que tout le monde forge autour de ce type d’outil.

https://www.linkedin.com/posts/jeangebarowski_chatgpt-activity-7029826264899158016-9N4Y?utm_source=share&utm_medium=member_desktop

Le 10/02/2023 à 08h 59

Bonjour à tous,

Je me permets de revenir sur cette “fameuse” phrase au sujet de faire ses propres recherches. Il ne s’agit évidemment pas de dire que faire des recherches par soi-même relève du complotisme. Simplement, dire “faites vos propres recherches” est une affirmation ambiguë : si elle est cohérente avec la politique d’utilisation de chatGPT, elle est aussi une constante des discours complotistes et, comme on navigue en eaux troubles, cela pose forcément question, car on voit bien que l’outil n’a pas de capacité de jugement ou d’appréciation et aussi il est incapable de savoir à qui il est en train de parler d’écrire.

A l’instar des chasseurs, il y a les bons chercheurs et les mauvais chercheurs d’information. Aujourd’hui, il faut faire preuve d’esprit critique lorsque l’on fait une recherche sur internet, car si on cherche quelque chose, on le trouve forcément. Vous ne croyez pas que la Terre est ronde sphérique ? Faites vos propres recherches ! Vous trouverez forcément de quoi alimenter cette théorie. On ne devrait donc pas dire “faites vos propres recherches” mais “faites vos propres recherches éclairées, de façon critique, ou sinon appuyez vous sur des gens compétents ou reconnus dans le domaine” (mais on pourrait débattre des heures sur ce sujet).

La difficulté est de sélectionner l’information pertinente et utile, ce dont sont incapables les moteurs de recherche et la tendance en cours d’intégrer des IA dans ces mêmes moteurs ne laisse rien présager de bon puisqu’on ne fera que faciliter l’utilisation d’un mécanisme non fiable à la base mais avec une apparence plus légitime (celle de l’IA).

Le 30/01/2023 à 19h 58

hellmut a dit:

je viens de vérifier, on a un bouton radio “activer le système de déclencheurs”, qui est activé par défaut. du coup si une v2.54 décoche ce bouton par défaut le problème me semble réglé. c’est pas modifiable dans le config.xml.

J’ai même vu plus fin, juste en dessous : on peut forcer à retaper le mot de passe de la base pour un export (ou une impression). C’est dans Options > Policy. Hélas, par défaut, la case est cochée pour ne rien demander (donc par défaut l’export est invisible), mais surtout ce paramétrage est indépendant du fichier : un utilisateur malveillant peut ouvrir KeePass à vide (= sans saisir de mot de passe maître), mettre les options qui lui conviennent, et refermer sans que l’utilisateur ne voie rien. C’est un chouïa plus compliqué qu’un simple script, mais c’est faisable avec les mêmes droits que pour modifier le fichier de configuration.

Le 30/01/2023 à 13h 02

Bonne question. Je suppose qu’il faut que la base soit ouverte, donc déchiffrée, ça paraît logique, mais aussi que le trigger se déclenche après l’ouverture de la base (par exemple l’attaquant devrait choisir l’événement “Open database file”)

Le 30/01/2023 à 10h 30

(reply:2117416:Xanatos)
Oui, il faut avoir un compte local permettant d’écrire sur le fichier .xml de configuration (d’ailleurs ça rentre en ligne de compte pour le calcul de la gravité CVSS). Ensuite il n’est pas difficile de rajouter ce qu’il faut pour créer un trigger (les paramètres sont assez simples). KeePass n’active aucun trigger par défaut, mais il suffit de pouvoir écrire dans ce fichier pour le faire…

Le 23/01/2023 à 08h 01

L’IA nous surpasse dans bien des domaines, mais du côté de l’humour, on/Flock a encore de la marge…
https://www.linkedin.com/feed/update/urn:li:activity:7020659334850215937/

Le 07/01/2023 à 12h 36

(reply:2113544:Fab’z)

Très bonne question mais hélas les chiffres sont rares. Ce qu’il faut retenir, c’est la tendance : payer ne garantit pas la récupération des données. Il y a peu de stats sur ce sujet ; il existe quelques chiffres fournis par d’autres éditeurs : une étude de Telus, société de cybersécurité canadienne, citée ici, une autre de Cybereason citée par SecurityWeeks.

Pour Sophos, comme il est dit dans l’article, il y aura toujours un recul à prendre avec leurs chiffres. Il est peu probable qu’ils soient truqués : ils auront tendance à présenter des chiffres qui iront dans leur sens mais ça ne veut pas dire qu’ils soient faux. Forbes l’utilise également.

Le 16/12/2022 à 13h 30

Le paradoxe de Jevons s’applique hélas à de nombreuses technologies. Le CNRS ne nous dit rien d’autre que ceci : il faut réfléchir à ses usages et penser efficacité et optimisation. Ce que, je crois, personne n’a jamais fait en informatique (en tout cas pas efficacement).

Le 15/12/2022 à 09h 52

(quote:2110429:127.0.0.1)
Le fantôme de Marc Rees a oublié de vous souffler que le règlement s’applique aux états membre qui doivent le mettre en application suivant les modalités propres à chaque état.

Pas tout à fait : un règlement n’a pas besoin d’être transposé dans le droit de chacun des états, à l’inverse d’une directive. Il s’applique dès parution (ou à la date de début d’application fixée par le règlement). Par contre il y a eu un travail d’adaptation et de mise en conformité du droit français, comme l’indique la CNIL, afin que des lois existantes antérieures ne soient pas en contradiction avec le RGPD, par exemple. Par ailleurs, il est aussi écrit dans le RGPD : “Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles” (mais pas pour diminuer le niveau de protection, juste apporter des précisions dans certains cas).

Le 14/12/2022 à 18h 44

SebGF a dit:

Je ne sais pas si la liste avait pour objectif d’être exhaustive, mais l’orientation sexuelle est aussi une information classée comme “devant être autorisé pour des cas spécifiques” listée dans le considérant 71.

Oups, erreur d’édition, effectivement il y a l’orientation et la vie sexuelle dans l’article 9 du RGPD.

Pour le DPO, le titre n’est pas adapté : le DPO a en effet un rôle d’information, de conseil et de contrôle, et doit être indépendant. Ce n’est pas le responsable du traitement des données, c’est un “surveillant général du RGPD” (entre autres) qui peut prendre la forme d’un DPO ou d’un correspondant pour les petites entités.

Le 14/12/2022 à 17h 00

fdorin a dit:

L’article manque cruellement de détails pour les développeurs, cible pourtant annoncé en début d’article. Comment gérer la sécurisation des données ?

Je vais juste repréciser le but de mon petit papier : il est question de préciser quoi faire dans le cadre du RGPD, pour un développement informatique, et pas comment faire, car il faudrait une encyclopédie pour faire le tour du sujet. Après cela, nos lecteurs peuvent partager leurs avis et expériences, les commentaires sont faits pour ça et sont les bienvenus !

Mais peut-on refuser de réaliser un dev si la demande est clairement hors RGPD (collecte de données hors contexte métier) ? Malheureusement nous n’avons de droit de retrait !

La relation avec l’employeur ou le donneur d’ordre est souvent complexe (en clair on redoute toujours le “je me fais virer si je fais pas”). Néanmoins, il y a toujours un responsable (légalement parlant) à un traitement : le dev peut toujours faire subtilement remarquer à celui-ci que s’il ne fait pas ce qu’il faut pour se conformer au RGPD, il est passible d’une amende mais aussi d’une peine d’emprisonnement mais dans ce cas là on passe dans le délictuel (= passage au tribunal correctionnel).

macintosh_plus a dit:

Une IP étant une donnée personnelle, utiliser les CDN pour charger le JS/CSS/Image est-il possible ? Si oui, existe-il des limitations ? Au vu des décisions dans l’Europe, ce n’est pas possible dans que le CDN n’est pas la propriété du propriétaire du site…

Attention : une IP n’est pas nécessairement une donnée personnelle. Et puis ici on peut l’utiliser pour un CDN car c’est un impératif pour la réalisation du contrat (= la délivrance du service de CDN).

Le 10/12/2022 à 13h 12

Aqua a dit:

C’est marrant que l’article ne touche pas une énorme source de “no code” que sont les modèles de simulation ou les outils de spec formelle pour code embarqué (SCADE, Simulink, etc…).

L’idée de l’article était plutôt de voir à quoi correspondait la vague marketing actuelle sur le no-code/low-code, pas de faire un état des lieux exhaustif. Simulink n’est pas vraiment dans cette vague marketing, et n’est pas non plus un outil à destination du plus grand nombre, c’est plutôt ce qu’on appelle un outil de niche, avec des fonctionnalités largement plus développées que ce que l’on trouve dans les outils estampillés “low code” comme PowerApps. Les commentaires sont d’excellents moyens de compléter cet article avec vos connaissances !

Le 30/11/2022 à 13h 40

Hmmmm… L’Etat détient 70% du capital (cf. article 111-67 du code de l’énergie), non ? Donc s’il manque 600 k€ à la fin de l’année, y aura qu’à piocher dans la cagnotte de la CNIL. Je suis p’t’êt’ un peu mauvaise langue…

Le 26/09/2022 à 15h 56

Faut aussi qu’ils attaquent Wikipédia. Je leur transmets le nom de leur rédac’chef.

Le 21/09/2022 à 08h 14

Oups ! Correction sur l’article : ETH et ETH2 sont la même chose, je me suis emmêlé les pinceaux. L’Ether basé sur la preuve de travail (qui va donc continuer à vivre indépendamment) s’appelle officiellement ETHW ( cf. https://ethereumpow.org/).

Le 15/09/2022 à 07h 31

“le gouvernement considère que rien n’interdit le paiement de la rançon” : Drôle d’analyse. De nombreux groupes d’attaquants sont issus de pays étant sous le coup de sanctions (Iran, Corée du Nord…), je ne suis pas du tout certain que le paiement soit juridiquement possible tout le temps. Un avis, Marc ?

Le 07/09/2022 à 17h 39

Qui c’est qui va me faire passer des petites remarques juridiques quand je suis pas assez précis dans mes articles ?

Bonne continuation Marc mais si Flock se barre aussi, je me suicide à l’homéopathie. Sérieusement on est dans une période où bcp de gens bougent, pour NextINpact ça peut être l’occasion de se rapprocher des lecteurs. Que Marc s’en aille, c’est la vie. Que ce soit l’occasion pour la rédaction de prendre des forces (nouvelles).

Le 03/09/2022 à 12h 03

Flock fait poète-poète…

Le 26/08/2022 à 07h 24

Point 1 : un gestionnaire de mot de passe en ligne, c’est une cible de choix pour un méchant pirate.
Point 2 : effectivement LastPass (tout comme DashLane) a eu des soucis assez sérieux avec la qualité de son code, pointée par Tavis Ormandy.
[taquin]
J’espère que les pirates en auront profité pour améliorer le code existant…
[/taquin]

Le 18/08/2022 à 14h 23

Mon petit grain de sel : je m’étonne que David Jao s’étonne. Je ne suis pas un docteur en crypto (j’en connais ), mais dans ce petit monde on s’accorde sur le fait que les premières versions d’algos se font en général plomber au moins une fois au début : c’est l’éternel problème en sécurité informatique où le défenseur n’a pas le droit à la moindre erreur, alors qu’il suffit d’une erreur à l’attaquant.

Certes les algos sont créés avec l’idée qu’ils vont être attaqués (hélas on vit dans un monde plein de méchants), mais il est impossible de faire le tour des attaques imaginables “en chambre”. La publication fait office de top départ pour toutes les équipes s’intéressant à la crypto pour tenter de casser le nouveau venu. Cela permet d’évaluer la robustesse du nouvel algo, de corriger les faiblesses, ou d’abandonner si le défaut est trop critique.

En résumé : ça n’était pas souhaité, mais prévisible !

Le 04/07/2022 à 14h 19

Après faut pas oublier la future Grande Guerre de 2077…

Le 23/06/2022 à 12h 21

(reply:2078717:xouboudou) C’est prévu dès que je sors la tête de l’eau

Le 20/06/2022 à 10h 24

(reply:2077863:gathor) Presque…

Le 20/06/2022 à 08h 08

Très bonne semaine Flock, c’est un sans-faute ! Et t’inquiète pas pour les sous, il reste les arnaques sur les crypto-actifs (ou les escroqueries amoureuses).

Le 17/06/2022 à 06h 50

Magie de la mécanique quantique : à chaque fois que tu “lis” l’état d’une particule, tu le modifies. Donc un contrôle d’intégrité montrera le problème à l’arrivée. Mais bon c’est dit de façon très simplifiée…

Le 16/06/2022 à 15h 49

Oui, contrairement aux ordinateurs quantiques qui ne sont pas encore au point (d’un point de vue industriel), on sait déjà transmettre (sur qqs centaines de km) une clé secrète par un mécanisme quantique. Et en effet quand on essaye de lire le signal, on le modifie, ce qui se voit avec un “simple” contrôle d’intégrité.

Le 04/06/2022 à 16h 10

Flock nous montre son vrai visage…

Le 04/05/2022 à 08h 54

Encore un coup de David L…

Le 05/04/2022 à 12h 45

Les apéros en visio, c’est quand même moins marrant. Mais bienvenue Ilda !

Et sinon il aura un petit nom marrant, le TADPF (Trans-Atlantic Data Privacy Framework), genre Safe Harbor/Privacy Shield : Data Shell ? Sinking Armor ? On lance un concours ?

Le 02/04/2022 à 17h 23

En effet. Quand il s’agit de gérer la sécurité de l’OS, les constructeurs considèrent que le code PIN reste supérieur à la biométrie. De là à dire qu’ils n’ont pas confiance…

Pour les combinaisons, un code PIN sur 4 c’est 10 000 possibilités, alors que le touchID donne 1 erreur sur 50 000 (c’est à peu près pareil sur Android). Mais le code PIN, on peut le révoquer et le changer en cas de problème. Et surtout 5x plus de combinaisons, en sécurité informatique, c’est légèrement mieux et non beaucoup mieux (ça dépend des scenarios d’attaques et de plein d’autres choses, mais on raisonne surtout en pallier de x10). Et avec un code PIN sur 6 on dépasse le faceID.

A titre de comparaison, un mot de passe de 8 caractères composé uniquement de lettres (maj/min) et de chiffres donne 218 340 105 584 896 combinaisons.

Le 31/03/2022 à 16h 48

De plus, en cas de compromission, il est en général impossible de changer la source d’authentification (l’empreinte, la voix, la forme de la main…). En conséquence :

• Une fois compromise, une source d’authentification biométrique l’est pour toujours (elle est >permanente !)


• La compromission permettra l’authentification sur le système d’origine (de la compromission), >mais aussi sur tous les systèmes utilisant la même biométrie (elle est unique !)


• La seule parade consisterait en une détection du vivant mais c’est une tâche très complexe, >hors de portée d’un capteur qui ne mesure qu’une seule caractéristique (ou deux).


• Pour achever le tout, la biométrie n’est pas révocable : je ne peux pas changer mes caractéristiques.

Le 01/04/2022 à 12h 06

Et moi pour réduire le stockage, je supprimerai toutes les voyelles dans mes articles.

J cmmnc mntnnt.

Le 11/03/2022 à 09h 15

Celui qui détermine (= choisit) les contenus mis à la disposition du public sur un service qu’il a créé, c’est un éditeur, non ? Pas un simple hébergeur…

Le 07/03/2022 à 10h 13

Exactement. Vois avec Flock pour les modalités.

Le 03/03/2022 à 22h 25

“Sur le plan de l’arnaque, les coups les plus tordus ne sont rien, vous entendez, rien à côté de la peinture abstraite” dit Tonton à Alphonse, dans le film “la Métamorphose des Cloportes”. Aujourd’hui on pourrait dire : “Sur le plan de l’arnaque, la peinture abstraite n’est rien, vous entendez, rien à côté des NFT.”

Les œuvres numériques sont un cas d’usage parmi d’autres en effet, mais cet exemple a l’avantage d’être assez parlant et de bien montrer la faiblesse actuelle des NFT, à savoir le difficile lien entre la partie technologique et la partie juridique : on aurait exactement les mêmes problèmes avec l’authentification d’un diplôme, le suivi logistique, la vente de tickets ou autre, les NFT actuels n’apportant aucune avancée sur le cadre juridique.

En ce qui concerne le Web 3.0, il n’existe pas vraiment de définition aujourd’hui mais ce concept est souvent vendu avec l’idée de décentralisation, les NFT étant censés y aider. Or, au vu des mécanismes décrits dans l’article, on voit que seule une toute petite partie est véritablement “décentralisée”, et que les tiers de confiance (les “notaires”) qu’on est censé éliminer sont remplacés par des acteurs privés qui de facto sont les seuls dépositaires des actifs.

Le 06/03/2022 à 13h 44

La consécration : Flock qui illustre une de mes actus. J’écrase une larme.

Le 09/02/2022 à 14h 01

C’est une très bonne chose que le Cigref et l’ANSSI s’intéressent au sujet. Sur le concept de Zero Trust, c’est une idée apatride et surtout un mode d’architecture de sécurité qui n’est pas lié à des outils, on peut donc penser que les réflexions issues des discussions avec des entreprises anglo-saxonnes restent globalement pertinentes.

Mais cela reste un objectif difficile à atteindre car la tentation sera souvent de remplacer les sécurités existantes par les nouvelles, issues de cette architecture, avant que ces nouvelles protections ne soient suffisamment déployées et éprouvées. Exemple : on enlève les firewall périmétriques parce qu’on fait du Zero Trust. Selon moi, le Zero Trust devrait compléter les architectures existantes, devenues insuffisantes face à la professionnalisation des attaquants et la sophistication des attaques.

Un mot sur la biométrie : les puces de sécurité sont efficaces, mais la biométrie c’est plus du confort que de la sécurité

Le 01/02/2022 à 14h 33

Pas possible : je viens encore de recevoir un mail qui me dit qu’il faut investir dans Libra. C’est une fake news.

Le 28/01/2022 à 16h 08

(reply:1927104:eglyn) Ici non le système n’a que l’apparence d’un vrai site, pas comme dans d’autres systèmes utilisant les pyramides de Ponzi, par exemple. Le but du premier virement réel est de mettre en confiance l’utilisateur.

(reply:1927102:darkweizer) Zut je me rappelle plus mais c’était un message normal (genre est-ce que je peux changer de 2FA) pour voir s’ils poussaient le bouchon jusqu’à répondre, mais sans éveiller l’attention si jamais c’était vraiment lu.

(reply:1927100:alex.d.) C’est une question d’éthique. Bien que ça ne soit pas compliqué, je préfère ne pas diffuser largement le procédé, car CloudFlare permet entre autres de cacher les adresses IP réelles des sites. Ainsi, un pirate peu qualifié qui chercherait à faire un DDoS sur un site web (légitime) utilisant CloudFlare sera arrêté par CloudFlare. Mais s’il dispose de l’adresse réelle, il pourra taper directement. Autant éviter, même si ça n’arrêtera pas quelqu’un ayant quelques connaissances en la matière.

Le 28/01/2022 à 14h 52

Tu ne peux pas : c’est leur fameux mécanisme SaveProTM….

Le 27/01/2022 à 12h 52

Ils vont retirer les coins arrondis des fenêtres et remettre un design avec des fenêtres rectangulaires comme avant ? J’ai installé Win 11 sur mon PC portable mais quand j’avais vu l’apparence du truc, j’ai fait un retour arrière sur Win 10 tellement c’était moche et surtout incohérent. Et on ne peut même pas choisir ça dans un réglage d’apparence. Dommage, il y avait des fonctionnalités qui m’intéressaient.

Le 20/01/2022 à 16h 37

Je rempile Je parlerai de la crise de la cinquantaine, môa.

Le 14/01/2022 à 10h 39

Précisons : un algorithme n’est pas forcément du machine learning (ou de l’IA), loin de là. Par contre du machine learning, c’est toujours de l’algorithme. Pour paraphraser deathscythe0666, il serait beaucoup plus juste d’utiliser le terme “algorithme” pour du ML/IA que les termes ML/IA pour ce qui n’est qu’un algorithme tout ce qu’il y a de plus classique. Or effectivement ça n’est pas vendeur, donc on colle aujourd’hui l’étiquette ML/IA à n’importe quel algorithme, même simplissime, du moment qu’il brasse un grand nombre de données. Sauf que souvent ces données sont elles aussi simples, très structurées, et donc très loin de ce que l’on imagine être de l’intelligence artificielle.

Pour illustrer, quand on va allait dans les salons professionnels, il était devenu inconcevable de ne pas avoir l’un de ces mots (intelligence artificielle ou machine learning) sur son stand, ses plaquettes et ses slogans. Et dès que vous alliez discuter avec les représentants sur le stand, en leur demandant le fonctionnement de leur truc, on s’apercevait qu’il s’agissait la plupart du temps de fonctions basiques relevant d’algos traditionnels.

D’un point de vue personnel, je vois aussi mis en valeur des réussites de programmes de ML/IA. Mais quand on creuse, s’il est indiscutable que ces programmes donnent des résultats corrects, on se rend compte qu’on aurait obtenu les mêmes résultats de façon plus simple et plus efficaces avec des algos traditionnels mais avec un peu de réflexion et de conception au préalable.

J’ai peur qu’on ne s’en remette à des programmes d’IA le plus souvent par effet de mode et par paresse, en laissant le système “deviner” ce qu’on souhaiterait, avec souvent un résultat correct au prix d’un gaspillage formidable de ressources (CPU/RAM/disque/électricité) avec le risque supplémentaire de biais parfois très difficiles à rattraper. S’il est vrai qu’en théorie on peut corriger un algo qui déraille ou qui reproduit les biais humains, je suis pessimiste sur le fait que cela soit si simple que cela.

Le 11/01/2022 à 10h 43

oui, ATOS est une ESN, tu as raison, mais je n’ai pas dit “entreprise du secteur industriel” et on peut lire sur larousse.fr :

industrie nom féminin (latin industria, activité)
…

1. Toute activité économique assimilable à l’industrie : L’industrie du spectacle, des loisirs.


2. Activité organisée de manière précise et sur une grande échelle (souvent péjoratif) : L’industrie du crime.
   …

Avec 105 000 employés on peut se permettre ce genre ce licence…

Le 11/01/2022 à 09h 49

Bon c’est moi qui la fait : “Atos dévisse, hélas, c’est là qu’est l’os”.

Néanmoins c’est toujours assez curieux de voir qu’une entreprise industrielle qui a des difficultés chute en bourse alors que des startups et autres licornes qui n’ont aucune modèle économique et parfois aucun revenu sont valorisées à des sommets. Il y a un paradoxe : on dit que pour les startup c’est le “coût de démarrage” et qu’elles seront profitables dans le futur, ce qui est purement hypothétique (et souvent infondé) alors que des sociétés ayant une activité établie est sanctionnée immédiatement, quelles que soient les perspectives futures.

Le 10/01/2022 à 09h 45

Un tantinet cynique, le Flock. Bonne année bon courage à tous pour 2022 !

Le 04/01/2022 à 09h 28

Effectivement, l’extension de l’usage du multifacteur va générer l’extension de méthodes de contournement par les fraudeurs. J’ai parcouru (en diagonale) le document original, mais il me paraît un peu insuffisant, au sens où il manque certaines précisions ou certaines conditions.

Tout d’abord les MITM ne sont pas les seules formes d’attaques contre les 2FA : des malwares comme TinyNuke utilisent depuis longtemps (hélas) du MITB (Man In the Browser), c’est-à-dire que le “proxy” est localement installé sur le poste de la victime. Mais c’est un détail. Plus important : le papier n’indique pas clairement les vrais enjeux ni les moyens de sécurité impliqués. En effet, je crois comprendre que, du côté des MFA, sont visés les facteurs d’authentification où l’utilisateur doit saisir un code de vérification (SMS, Google Authenticator, etc.). Ces moyens sont en effet sensibles à ces attaques, mais pas d’autres dispositifs comme FIDO où même un attaquant en position intermédiaire ne peut rien faire dans le cas d’une authentification (ça n’est pas la même chose dans le cas de la validation d’une transaction, par exemple, mais c’est assez long à expliquer).

Donc les facteurs visés et attaquables sont ceux où l’utilisateur doit saisir un code de confirmation sur le même canal et non sur un canal distinct (ce qui est plus sûr, bien que plus complexe à mettre en œuvre).

Sinon, le second levier est le vol du cookie. Et là, quelle que soit la méthode d’authentification, même la plus parfaite, celui qui détient le cookie (d’authentification) détient le pouvoir. Donc une attaque MITM qui peut voler le cookie peut donc attaquer quasiment n’importe quel système d’authentification, mais le problème réel ne sera pas forcément dans l’authentification elle-même mais dans cette gestion du cookie qui est le point le plus critique. Et là, ce n’est plus le 2FA qui est en cause, mais le cookie.

Le 25/12/2021 à 12h 45

Ca monte, ça monte…

Le 21/12/2021 à 22h 23

Une librairie est bien une bibliothèque, et les logs sont des journaux.

voui, voui, à une différence près : log est le terme anglais correct, alors que librairie est un anglicisme, d’usage incorrect. Soit on dit library, soit on dit bibliothèque. Je ne suis pas opposé à l’anglais, je suis opposé aux anglicismes. Nuance.

Moi aussi !!

Le 21/12/2021 à 19h 55

(reply:1919139:Sheepux)
J’ai aussi regardé sur mon petit serveur perso et effectivement il y a des traces à partir du 10. Je ne m’inquiétais pas plus que cela car tout est en PHP (comme chez Facebook, qui est une des rares grandes sociétés qui semble ne pas être touchée). Après, mettons-nous à la place d’un attaquant (mafia, état) qui aurait connaissance de la faille avant la divulgation : je n’aurai pas arrosé tout partout pour attaquer avec celle-ci, car elle ne serait pas restée secrète très longtemps. Donc il est possible que des attaques aient eu lieu avant le 9, mais beaucoup plus discrètement. On en apprendra peut-être plus dans quelques temps.