Le 21/12/2021 à 18h 24

Je parlais des signalements publics, je n’ai pas (encore) accès aux logs de ta boîte Sérieusement, je n’ai pas (pour l’instant) vu passer de publications signalant des attaques plus tôt, mais on risque de faire encore pas mal de découvertes, la faille a très bien pu être exploitée par des équipes bien renseignées avant même la publication officielle. Et à partir du 9, c’est devenu open bar… Mais félicitations à la fois pour le filtre et pour avoir vu aussi vite des traces d’attaques !

Le 10/12/2021 à 13h 20

C’est vrai… EKS peut aider (à condition que plusieurs fournisseurs offrent ce service, mais c’est le cas pour AWS/GCP/Azure, donc tout va bien). Quant aux pics d’activité, c’est une justification fréquente. C’est souvent une bonne idée, mais pas systématiquement. Il faut bien calculer son coup (coût), car aller dans le cloud peut aussi imposer des mesures de sécurité supplémentaires, surtout depuis le RGPD (ex : hyperviseurs dédiés, qui coûtent un bras). J’ai déjà vu des “business case positifs” s’avérer de moins bonnes affaires que prévu.

Le 10/12/2021 à 10h 22

Sur l’adhérence avec le fournisseur, le problème est épineux. Aller dans un cloud public n’est avantageux que si les applications utilisent “nativement” les services cloud du fournisseur, comme par exemple les services de provisionnement et de déploiement. Or si vous voulez garder la possibilité de déployer de façon indépendante du fournisseur, il faut en général monter une usine à gaz pour déployer vos applis, ce qui fait perdre en agilité et augmente les coûts, ce qui au final diminue fortement l’intérêt d’aller dans le cloud. En résumé : pour se défaire du “lock-in vendor” (adhérence), il faut perdre une partie du bénéfice d’aller dans le cloud et augmenter les coûts alors que la réduction des coûts est souvent vendu (à tort) comme argument de passage au cloud.

Je n’arrête pas de dire chez moi : la clé, c’est l’interopérabilité. Normalement ça fait partie des objectifs de Gaia-X, mais bon…

Le 09/12/2021 à 14h 48

Côté mémoire, je parlais du côté du stockage, pas du calcul (le fichier décompressé étant plus gros que l’original).

Le 09/12/2021 à 14h 33

Donc a priori beaucoup moins de CPU mais un peu plus de mémoire nécessaires ?

Le 06/12/2021 à 16h 31

Citation en informatique : “Un projet qui commence à l’heure finira en retard. Un projet qui commence en retard finira en retard.”

Le 06/12/2021 à 09h 37

Donc le contrôle de VKontakte passe directement du FSB au Kremlin ?

Le 02/12/2021 à 15h 32

Et les ordinateurs quantiques : on a une idée ? Je serai très curieux de savoir combien ça consomme ces machins.

Le 29/11/2021 à 13h 59

L’idée est intéressante, mais en pratique ça va donner n’importe quoi. Par exemple, un nutriscore est basé sur une recette donnée, avec les connaissances qu’on a sur les ingrédients. Cela bouge assez peu en général, et surtout on n’a besoin d’aucun contexte. En cybersécurité, ça bouge tout le temps, et cela dépend énormément du contexte (composants utilisés, architecture, code, etc.), sans compter qu’il est rare de connaître tous les “ingrédients”. Un audit par un prestataire agréé va coûter cher et ne sera valable que pour un périmètre donné, à un moment donné, sachant qu’une modification très mineure peut parfois entraîner une énorme faille de sécurité. On va vite se retrouver avec sites qui vont se faire trouer avec un score A, ce qui va générer une perte rapide de crédibilité pour ce cyberscore. En plus j’imagine très bien Google se faire auditer par Thalès…

Le 29/11/2021 à 09h 09

En attendant il passe allègrement sous la plupart des radars, en raison de la “relative simplicité de sa configuration”. Comment quoi les plaisirs programmes les plus simples sont les meilleurs…

Le 22/11/2021 à 15h 34

On va mettre un beau E à Facebook et assimilés. Très bien. Qui va changer ses habitudes après ça ? Le foie gras a un nutriscore de E, en général, et je continue à en manger parce que j’aime ça même s’il y a plein d’autres aliments avec un score à A. Et pour FB ? Y a-t-il seulement une alternative crédible ? Même avec un score D ?

Le 16/11/2021 à 10h 33

“En l’état actuel des moyens de communication”

Sans être juriste constitutionnel, il me semble que la Constitution ne devrait pas être “contextuelle”. On ne va pas la changer à chaque “révolution” technologique, la Déclaration des Droits de l’Homme et du Citoyen de 1789 (article 11) devrait suffire. A la rigueur on peut ajouter qqch mais avec une terminologie plus générique.

A côté de cela, la proposition de loi constitutionnelle propose d’autres choses comme le droit de vote aux étrangers pour les élections municipales. Ca va être facile à faire voter, ça… Faut la majorité absolue des 3/5e du Congrès (Assemblée + Sénat). Bon courage.

Le 15/10/2021 à 14h 40

Je pense que le problème est le même quelle que soit l’application sur smartphone, sur PC : comment un utilisateur peut-il estimer la confiance d’une appli ou d’un site web ? Le problème est donc le même avec l’appli Facebook, Waze, ton lecteur de MP3, Twitter, Office, Netflix, Uber, ton appli de running, etc.

Pour ce qui est des applications bancaires, ce sont de très mauvaises candidates pour les trackers car elles ne sont actives que quelques secondes (pour s’authentifier ou valider une opération). Et puis quelle intérêt : savoir quel achat tu es en train de faire ? La banque le sait déjà puisqu’elle traite l’opération de ta carte bleue.

Le 15/10/2021 à 08h 28

(reply:1907747:Tchyo) (reply:1907756:dvr-x)

Le clavier virtuel utilisé par les banques est une contre-mesure visant la principale menace liée au mots de passe : les enregistreurs de frappe clavier (keyloggers, quoi).

Pour le code PIN, il est bien dit dans la note de l’ANSSI, page 18 :

Dans ce cadre opérationnel particulier et pour des besoins de réactivité importants, il peut être justifié de mettre en place une authentification simple (un code PIN), et ce malgré la criticité du service. Dans ces cas particuliers, cet affaiblissement consenti du niveau d’authentification doit être compensé par d’autres mesures de sécurité (par exemple des mesures physiques ou organisationnelles).

On peut accepter une baisse de la complexité à condition qu’il y ait d’autres mesures comme le blocage après un certain nombre de tentatives. Il ne faut pas oublier l’expérience utilisateur : vous imaginez une mamie devant taper une passphrase ou un mot de passe de 20 caractères pour se consulter son compte en ligne ? Pour les banques, il s’agit d’un blocage au bout de 3 ou 5 tentatives, par exemple. Et pour rappel, avec un code PIN, il n’y a pas d’attaque par dictionnaire, on ne peut faire que de la force brute (à partir de l’interface du client). Et enfin, avec la DSP2, l’authentification multifacteur est désormais obligatoire.

Que les claviers virtuels bloquent les gestionnaires de mot de passe est au contraire une bonne mesure de sécurité contre les keyloggers et les malwares capables de rejeu. Sans rentrer dans les détails, cela rend (par exemple) inutile qu’on enregistre vos frappes clavier ou de prendre en vidéo le déplacement de votre souris pour rejouer votre code puisque l’emplacement des chiffres change à chaque fois (ainsi que le nom des zones HTML derrière, etc.).

Donc j’insiste : le clavier virtuel même avec un code PIN est une bonne mesure de sécurité qui augmente la couverture des risques puisqu’elle atténue (sans faire disparaître toutefois) la menace des keyloggers et autres enregistreurs d’interface.

Le 06/10/2021 à 08h 28

Bon, on parle désormais de cloud de confiance parce que le cloud souverain, c’est mort. D’un autre côté, OVH réalise aussi des partenariats avec Google, donc même avec un acteur de ce type on aurait eu du mal. Prenons acte.

Néanmoins, pour avoir discuté avec des personnes de Microsoft et d’AWS, et ayant eu des retours d’expérience sur les discussions avec Google, il s’avère que c’est Google qui, en général, est le moins conciliant et pour lequel il est le plus difficile de faire changer la moindre virgule dans un contrat. Il sera donc intéressant d’avoir plus de détails sur les termes de ce contrat, car même un géant comme Thalès pourrait avoir du mal à imposer certaines exigences. Mais peut-être que Google a mis de l’eau dans son vin depuis.

Le 23/09/2021 à 12h 46

Quelques précisions : ce qui est nouveau dans ce type d’arnaque, c’est leur nombre, car en réalité ce type de manipulation existe depuis plusieurs années, et ça marche malheureusement très bien dans des entreprises qui travaillent avec des dizaines de fournisseurs et où les changements de RIB sont des opérations habituelles : vérifier soigneusement chaque changement de RIB demanderait une grosse charge de travail (des entreprises m’ont indiqué en avoir parfois des centaines par mois).

L’hypothèse du salarié indélicat n’est que marginale, car cela limite l’attaque à une seule entreprise, et les fraudeurs (qui sont souvent des équipes spécialisées) préfèrent de loin n’avoir aucune complicité interne, car le ROI est faible (= une seule arnaque possible) et surtout les enquêteurs risqueraient de faire le lien entre le complice et les fraudeurs. Il peut rester l’hypothèse de la vengeance, mais là aussi ça resterait ponctuel.

En réalité les fraudeurs peuvent :

• Intercepter des mails de l’entreprise cible, récupérer des factures réelles, et en renvoyer une version modifiée avec leur RIB ;


• Prendre le contrôle d’un compte mail du fournisseur (et non de la cible finale), et arroser tous les clients de ce fournisseur avec des factures comportant leur RIB ;


• Tout simplement faire un faux, en récupérant sur internet des informations sur la cible pour laquelle il n’est pas toujours difficile de retrouver les fournisseurs. Ils créent ensuite un compte mail factice mais “ressemblant”, et le tour est joué.

Pour ce qui est du dédommagement, la banque ne peut a priori rien faire : la victime a réalisé le virement de son propre chef, voire même en respectant des procédures de sécurité auprès de la banque pour intégrer le nouveau RIB qui a été ajouté de façon tout à fait légale et officielle. Simplement ce n’est pas le bon. La règlementation bancaire est assez complexe sur les virements, et il est moins facile de faire annuler un virement qu’un paiement par carte bleue. Une fois que le virement est parti, il faut appeler toute la chaîne des banques impliquées (il y a souvent plusieurs virements “rebonds”) pour leur demander d’arrêter les virements, en leur signalant la suspicion de fraude, mais plus le temps passe et plus le retour des fonds est hasardeux.

Le 10/09/2021 à 10h 36

Justement ils embauchent un gars pour mettre en ligne leurs communiqués qui ne sont plus à jour.

Le 08/09/2021 à 07h 34

Je trouve au contraire très bien qu’on fasse du buzz avec ce genre d’histoire, de façon à ce qu’on se rende compte des problèmes engendrés par ce type d’application. Entre objets connectés et ville intelligente, il n’y a pas grande différence, ce sont des objets du quotidien qui communiquent et qui laissent des traces, de plus en plus nombreuses.

Cela illustre aussi le problème de la défense : à la conception d’un système, il faudrait prévoir toutes les attaques possibles et tous les scenarios imaginables pour le défendre correctement. Alors que pour le “méchant”, il suffit d’une erreur ou d’un cas qui n’avait pas été envisagé.

Cela montre aussi que la sécurité arrive trop souvent en dernier. Quand on y pense…

Le 01/09/2021 à 09h 25

Microsoft a réagi très rapidement, c’est une très bonne chose. Malheureusement, dans ce cas, corriger la vulnérabilité ne suffit pas : si une clé d’accès a fuité, elle peut être réutilisée en dehors de Jupyter Notebook. Et souvent avec une durée de validité assez importante.

wiz.io donne également quelques conseils pour mettre en place une rotation des clés (qui permet de réduire le temps où une clé ayant fuité peut être utilisée) ainsi que réduire l’exposition. La mesure la plus urgente reste de changer cette clé (ça fait partie de la communication de Microsoft aux clients).

Le 15/07/2021 à 14h 52

Et pendant ce temps, la Chine interdi(rai)t la vente ou la communication de failles zero day pour les réserver au gouvernement chinois. Heureusement, les failles pourront quand même être communiquées aux éditeurs concernés.

Le 12/07/2021 à 07h 54

Fort heureusement, la grande majorité des entreprises ne fait pas comme eux.

C’est moi ou j’entends les mouches voler ?

Le 08/07/2021 à 13h 43

Intel dit : “RDSEED is intended for seeding a software PRNG of arbitrary width. RDRAND is intended for applications that merely require high-quality random numbers.”

En gros, RDSEED doit être utilisé pour de l’aléa “simple” (ex : dans des jeux), RDRAND doit être utilisé quand on a besoin de nombres aléatoires de haute qualité (genre crypto).

Intel dit ensuite qu’ils se conforment aux standards NIST SP800-90x, mais ce ne sont que des recommandations, donc ça ne veut pas dire grand chose.

Néanmoins, ces recommandations insistent bien sur la source d’entropie (cf. NIST SP800-90B), et là on voit que ça n’est pas simple d’avoir une source fiable… Donc difficile d’évaluer simplement ces fonctions, sauf si un jour elles sont certifiées sur des bases très strictes, genre critères communs.

Le 08/07/2021 à 13h 22

Pas tout à fait, quand même : la faille Debian/openSSL était un peu plus sioux : l’erreur était due à la longueur utilisée pour stocker l’aléa produit par le système, trop petite, et donc qui réduit l’entropie à peau de chagrin. Et franchement ça fait partie des erreurs que l’on peut commettre même en étant un programmeur expérimenté qui connait bien la crypto. Et surtout qu’à tester, c’est pas simple non plus.

Ou alors c’est un sacré gros malin qui est super bon en programmation et en crypto qui a introduit cette fonctionnalité non documentée dans le code…

Le 08/07/2021 à 13h 00

(reply:1885138:33A20158-2813-4F0D-9D4A-FD05E2C42E48)

Chacha évite certaines attaques en effet, améliore l’utilisation de l’entropie disponible, mais n’en créé pas. Néanmoins, si tu n’as pas d’entropie en entrée, tu es mort de toute façon quoi qu’il se passe derrière.

Par ailleurs, je connais des usages pour des ordinateurs connectés à rien mais qui chiffrent des données, par exemple pour faire un stockage sécurisé (coffre-fort de données). On entre une clé de chiffrement d’une façon ou d’une autre, on lit les données sur l’ordi, mais comme il n’est relié à rien, on réalise une protection appelée “air gap”, ce qui signifie justement que le dispositif n’est relié à rien et que toute attaque passe par un contact physique avec la machine (il existe quand même des scenarios d’attaque, mais très difficile à mettre en place en pratique).

La source d’aléa est un élément critique dans la conception de systèmes cryptos.

Le seul moyen d’avoir un bon aléa (= un bon générateur de nombre aléatoire) est d’avoir plusieurs sources physiques distinctes. Néanmoins, quand tu décortiques une frappe clavier (ou un déplacement de souris dans certaines conditions), tu peux quand même y trouver beaucoup d’aléas (temps de frappe, touches/texte saisi) si on force l’observation suffisamment longtemps.

Pour le déplacement de souris, PuTTYGen utilise ce mécanisme pour créer de l’aléa “indépendamment” du système informatique sur lequel il tourne.

Le 08/07/2021 à 09h 47

Oui il peut exister des lois contraignantes mais il y a beaucoup plus simple et moins voyant pour avoir une backdoor : le produit Kaspersky Password Manager utilise un fichier stocké en ligne (“dans le cloud”) ! Donc je reste d’avis qu’il s’agit d’un problème interne à Kaspersky.

Chacha est un algorithme de chiffrement, ça n’apporte aucun aléa (heureusement). Pour ce qui est de /udev/random, sa principale source d’entropie provient des pilotes des périphériques. Donc si tu as un Raspberry connecté à un clavier, une souris, un réseau, avec des pilotes de périphériques fortement sollicités, tu auras une source d’aléa. Sinon, tu n’auras pas grand chose : un ordinateur connecté à rien ne produit aucun aléa ! C’est le principe même d’un ordinateur. Pour l’aléa, il te faut impérativement une source externe.

Dans mon boulot, j’ai des collègues qui ont utilisé des Raspberry pour des applications crypto, on a ajouté de l’aléa en demandant aux utilisateurs de taper “n’importe quoi” sur un clavier, car sinon on avait un niveau d’entropie très pauvre.

Le 08/07/2021 à 08h 34

Backdoor : je ne pense pas, c’est trop gros et pas assez discret. Je pense plutôt à un problème d’organisation ou de priorité produit chez Kaspersky.

Côté lampes à lave, oui, ça marche, mais une des bases en crypto est d’avoir des sources variées d’aléas. Plus il y en a, mieux c’est, surtout pour pallier à l’insuffisance d’une des sources, justement.

Le problème du /dev/random est qu’il est insuffisant, notamment sur des petites machines type Raspberry : si tu la laisses tourner sans qu’il y ait de frappes clavier ou d’échanges divers et variés, tu te retrouves avec une entropie très faible (en clair : y a pas grand chose qui se passe sur la machine). Surtout que dans un Raspberry, il n’y a pas de pile pour conserver l’heure, et donc s’il n’est pas connecté au réseau l’horloge fournira encore moins d’entropie puisqu’on repart à zéro à chaque redémarrage…

Le 08/07/2021 à 08h 22

Curieux, car Kaspersky n’est pas une startup novice, ils ont forcément des spécialistes de haut niveau sur le sujet. L’heure peut être un des éléments pour le générateur d’aléas, mais ne peut pas être le seul ! Cette technique suffisait pour faire un jeu pour Commodore 64 ou Vic 20 (je suis de cette génération), mais on ne peut supposer que ce produit a été développé sans le concours de ces spécialistes, et c’est surtout ça qui pose question.

CloudFlare utilise des lampes à lave et d’autres sources multiples et variées pour générer de l’entropie (de l’aléa)… La génération de nombres aléatoires de qualité est un problème primordial en sécurité du SI, c’est inquiétant qu’une société comme Kaspersky ait pu laisser passer cela.

Le 21/06/2021 à 15h 23

Ah, les ravages des fonctionnalités non documentées… Ça ressemble beaucoup à ce qui est arrivé avec Freak…

Le 21/05/2021 à 09h 07

 

Le 21/05/2021 à 09h 02

@David, alors je pourrais faire valider mon compte Twitter maintenant ?

Le 12/05/2021 à 08h 13

Des pirates éthiques, chouette : j’ai tout pété mais j’ai pas fait exprès. Ça leur fait de belles jambes, chez Colonial. Le seul avantage c’est que l’attribution de l’attaque n’est pas difficile, pour une fois

Le 08/05/2021 à 13h 19

La réponse est oui et non. L’article est déjà long, il n’est pas facile de traiter toutes les particularités, et Microsoft adore nous embrouiller. Le fonctionnement n’est pas le même entre Windows Hello et Windows Hello for Business.

Pour simplifier, Windows Hello (normal) traite le code PIN quasiment comme un mot de passe, et il est stocké localement, en effet. Pour Business, on génère une bi-clé cryptographique : le code PIN n’est pas stocké et sert à déverrouiller la clé crypto privée stockée localement (dans le TPM), la clé publique pouvant être utilisée pour l’authentification via un challenge (elle peut par exemple être stockée dans l’Active Directory sur le compte de l’utilisateur). Avec un mot de passe classique, c’est le hash qui est stocké sur l’AD.

Ainsi, si un attaquant accède à l’AD, il peut récupérer le hash dans le cas d’un mot de passe, mais avec un code PIN il ne peut récupérer que la clé publique qui est… publique ! Il devra alors aussi récupérer la clé privée enfouie dans le TPM ainsi que le code PIN qui n’est stocké nulle part.

En gros c’est un abus de langage côté Windows qui appelle « code PIN » quelque chose qui ressemble à un code PIN mais qui ne fonctionne pas comme un code PIN. Cela peut toutefois se comprendre, car cela simplifie l’expérience utilisateur, mais hélas ajoute à la confusion sur la terminologie.

Pour ce qui est du mot de passe AD qu’on peut saisir en local, il existe un cache dans Windows, dont le rôle est en effet de pouvoir ouvrir une session avec le dernier mot de passe connu. C’est très pratique pour l’utilisateur, et royal pour un pirate Ce mécanisme peut être désactivé.

• Windows Hello for Business Overview (Windows 10) - Microsoft 365 Security | Microsoft Docs


• Cached and Stored Credentials Technical Overview | Microsoft Docs

Le 07/05/2021 à 11h 49

Petit souci de bouclage, je vais engueuler en parler au chef.

Le 07/05/2021 à 09h 43

Dans le même genre “on me surveille” : https://twitter.com/bortzmeyer/status/1390247325566742532

Le 06/05/2021 à 15h 01

On en parlera dans la 2e partie de l’article normalement !

Le 28/04/2021 à 10h 19

emmettbrown a dit:

Conclusion, les gens devraient plus se plaindre que radio France Culture échauffe leurs tissus que la 5G en 3.5 Ghz. Ceci dit ça réchauffe en hiver.

C’est exactement cela. Trêve de plaisanterie, je pense qu’on peut parfaitement s’inquiéter de l’effet des ondes sur les organismes, mais j’ai comme l’impression que le pire est déjà derrière nous. J’ai peur que les ondes GSM soient bien pires en termes sanitaires que la 5G. Et qu’inversement c’est au niveau de la sécurité logique/informatique que la 5G soit bien plus nuisible que le GSM. En termes imagés, les vieilles ondes nous détruisent le cerveau (physiquement) et les nouvelles nous le ramollissent en nous transformant en smobies.

aussi.

Le 21/04/2021 à 13h 06

fred42 a dit:

J’allais te demander ce que tu faisais dans ta banque pour ne pas connaître ce concept, mais j’ai la réponse plus bas.

Ben oui, je suis ingénieur informaticien….

Note que je caricature : je connais le concept mais ça s’arrête là, et ça reste quelque chose de peu accessible au commun des mortels, c’était le sens premier de ma remarque, faut pas tout prendre au 1er degré.

Il y a deux choses qui me gênent en réalité : d’une part que ces produits “s’éloignent” de toute réalité économique, tout comme le trading haute fréquence par exemple. D’autre part que la complexité que cela induit n’est pas d’une utilité que je qualifierai de transcendante, ce qui est un avis personnel. En gros je bosse dans une banque mais je déteste la banque d’investissements.

Le 20/04/2021 à 12h 41

Un produit structuré est produit complexe et difficile d’accès, pour parler en termes bancaires et financiers. Côté performance, je cite Capital.fr :

La performance financière des produits structurés dépend de la formule de calcul appliquée à l’évolution du sous-jacent durant la période de placement. La qualité de l’émetteur, la fenêtre de souscription (risque de marché), l’échéance, la nature du sous-jacent, et le risque de perte en capital sont les principaux facteurs à examiner avant de souscrire.

Tout le monde a compris ? Je ne pense pas (en tout cas pas moi, pourtant je travaille dans une banque). Donc seuls quelques initiés comprennent.

Sur le Security Token, sans polémiquer sur l’anglicisme, est un concept plus simple puisque c’est l’équivalent d’un actif numérique, mais qui s’appuie par contre sur des mécanismes complexes tels que blockchains et dérivés, dont on voit hélas que la plupart de ceux qui l’utilisent ne comprennent ni ce que c’est, ni comment ça marche, cf. Blockchain, the amazing solution for almost nothing.

Je sais que je suis un vieux con informaticien, mais a-t-on vraiment besoin d’une telle complexité ?

Le 06/04/2021 à 12h 48

[troll]

Facebook : des informations personnelles de 533 millions de comptes en libre circulation.

Euh, oui, oui, c’est bien ça la définition de Facebook. mais elle est un peu ancienne vu qu’il y a presque 3 milliards de comptes désormais.
[/troll]

Le 01/04/2021 à 08h 28

‘taing j’ai mis 30 secondes à comprendre la news. Je dois être fatigué. Mais bon deux euros par mois c’est pas cher. Hein ?

Le 25/03/2021 à 09h 41

Sans commenter la façon de faire, l’idée est intéressante car ça responsabiliserait un peu les GAFAM et consors. Par contre l’image d’illustration exagère un peu la complexité des algos, qui doivent ressembler plutôt à :

si (le_gugusse.aime("complot")) alors présenter_vidéos(recherche("complot"))

Je ne vise personne.

Le 22/03/2021 à 14h 10

Mon VPS sur SBG3 a redémarré le ²¹⁄₀₃ à 00h25. Il avait été arrêté le jour de l’incendie à 3h00 du mat’, soit au moment de la coupure d’électricité demandée par les pompiers (il me semble).

Le 21/03/2021 à 16h 22

Non il y aura une sécurité avec un “liveness” detection : on va te demander de la remuer à droite, à gauche, en haut, en bas, dans un ordre précis pour vérifier que ce n’est pas une vidéo enregistrée.

Le 11/03/2021 à 13h 48

(reply:1859980:Patch) Plus un test PCR récent.

Le 11/03/2021 à 09h 01

Donner une copie de ma pièce d’identité à Facebook ou Twitter ? Hmmm… Comment dire. Ils ont déjà tellement d’infos sur nous, faut leur en donner encore plus ? Et comment ils vont vérifier que cela correspond bien à l’utilisateur ? C’est possible mais ça va compliquer un chouia la connexion…

Le 11/03/2021 à 11h 44

La sécurité absolue, en informatique comme ailleurs, n’existe pas. Ce qu’il faut, sans baisser les bras, c’est diminuer le risque jusqu’à un niveau acceptable. Sinon je vais devoir pointer au chômage.

Le 10/03/2021 à 11h 41

Données détruites = Respect du RGPD. Il n’y a plus de données personnelles, il n’y a plus de données du tout !

Le 10/03/2021 à 10h 08

Vue des bâtiments, mais ça c’était avant le drame…

Lien https://www.google.com/maps/place/Altimat+OVH/@48.5854816,7.798022,5a,41.7y,90t/data=!3m8!1e2!3m6!1sAF1QipPqNGpeMmyBeypXOMrp4Pfz6G0NyM-GOzBHU9dB!2e10!3e12!6shttps:%2F%2Flh5.googleusercontent.com%2Fp%2FAF1QipPqNGpeMmyBeypXOMrp4Pfz6G0NyM-GOzBHU9dB%3Dw152-h86-k-no!7i2688!8i1520!4m13!1m7!3m6!1s0x4796c8daab82f9af:0x538b85a8eb23fadb!2s9+Rue+du+Bassin+de+l’Industrie,+67000+Strasbourg!3b1!8m2!3d48.5858131!4d7.7973832!3m4!1s0x4796c8daa8337c07:0xfe79d40ff098f0c2!8m2!3d48.5854816!4d7.7974169">Google.

Le 10/03/2021 à 08h 48

Quelqu’un a une info sur les degâts ? Je veux dire : j’ai lu qqpart que c’est un entrepôt de stockage qui aurait brûlé et donc que seuls quelques serveurs risquaient d’être perdus. Par contre si le bâtiment le plus touché était un datacenter, ça va être plus compliqué.

PI la console d’admin rame à mort, mauvais point pour la continuité de service, surtout pour les clients qui ne sont pas touchés.

Et au risque de me répéter, ça a dû commencer avant 0h42 (message OVH) car mon VPS ne répondait déjà plus à 0h27.

EDIT : On peut effectivement voir sur la console la localisation du VPS. Pour moi c’est SBG3.

Le 10/03/2021 à 08h 33

(reply:1859378:Mr.S) Probablement via la console d’admin. Mais elle rame en ce moment, tout le monde doit se connecter dessus.

Et surtout tous les serveurs sur le site SBG sont HS puisque le courant est coupé sur tout le site à la demande des pompiers, et il ne sera remis qu’avec leur autorisation en principe (ou celle du fournisseur d’électricité).