Le 19/09/2019 à 16h 18

Donc FB voulait déjà sa propre monnaie (Libra). Maintenant ils veulent leur propre justice. Deux domaines normalement “régaliens”. Ca n’est plus la World Company, ce sont les United States of Facebook.
" />

Le 14/08/2019 à 19h 53

Je me rappelle avoir vu un documentaire super intéressant sur le sujet de la matière de l’univers, et que pour certains chercheurs la seule solution était qu’il existe des tas de galaxies “invisibles”, genre 4 ou 5 fois plus en masse (je crois qu’on parlait de masse) que la matière visible, notamment pour expliquer la formation de l’univers.

Toutefois, dans un esprit d’équité, de tolérance, d’ouverture, d’harmonie, et afin d’éviter un mouvement du type “gilets jaunes dans l’espace” ou tout autre type de contestation, et afin de ne blesser aucune susceptibilité ni aucune croyance, je suggère de soumettre cette découverte au vote des internautes. On nous a déjà caché tellement de trucs que c’est sûrement la CIA qui a planqué cette matière hors de portée de nos petits yeux incrédules. Y a du complot là dessous.
" />

Le 04/07/2019 à 14h 39

Le bon côté : grace à cette panne, on a pu voir un peu comment fonctionnait l’intelligence artificielle qui analyse les photos… (cf theVerge).

" />

Le 02/07/2019 à 19h 01

crocodudule a écrit :

Bon du coup, on fait quoi ?



Ben c’est ça la grande question. Vu qu’on peut signer un certificat mille fois, qu’on peut signer mille certificats une fois, mais qu’on peut pas signer mille certificats mille fois. Ah ben si merde.

On se replie sur du MD5 pour signer du code et nos messages ?

" />

Le 02/07/2019 à 13h 52

Je vais essayer de reformuler (pour moi), pour voir si j’ai compris : un gazier s’est amusé à faire du débordement logique sur 2 certificats, profitant du fait que rien n’est jamais effacé dans l’historique des clés PGP (ce qui est en soi un comportement assurant une certaine sécurité : de la traçabilité et de l’intégrité). Donc en rajoutant des données à profusion (des signatures) sur deux certificats majeurs (très utilisés), on arrive à faire planter les outils de vérification.

Ces certificats sont donc devenus empoisonnés au sens où si on les importe, on risque de faire planter son openPGP.

Problème #1 : comme rien ne s’efface en PGP, ces certificats pourris ne seront pas effacés, et la révocation n’empêchera(it) pas le plantage.

Problème #2 : pourrir n’importe quel certificat semble facile. On pourrait, dans le pire des cas, se retrouver avec tous nos certificats PGP inutilisables…

Moi je dis : pas cool.

" />

Le 01/06/2019 à 15h 52

Pour la continuité d’activité, on suggère en général d’avoir un ou plusieurs sites distants de plusieurs dizaines ou centaines de kilomètres, selon le risque qu’on veut couvrir. Dur à réaliser à Paris intra-muros. Donc la résilience sera forcément limitée.
Après, avoir un datacenter green, c’est bien. Avoir des applis qui tiennent la route et qui n’ont pas l’air de venir du web 1.0, c’est mieux. Je suis un utilisateur de Facil Familles, et franchement y a de quoi pleurer, rien qu’en ce qui concerne l’authentification… Je ne parle pas du contenu du site, de mon fils qui est déclaré en double, etc.
" />

Le 28/05/2019 à 09h 01

Pour recentrer le débat sur le sujet de l’article, quelques commentaires sur un sujet que je connais très bien (pour le boulot) :

1. Une carte biométrique (sa fabrication, sa gestion) coûte très cher, et la déployer à l’ensemble des assurés sociaux coûterait probablement beaucoup plus cher que la fraude.
   
   


2. La biométrie ne peut pas être imposée https://www.cnil.fr/fr/biometrie-disposition-de-particuliers-quels-sont-les-prin… sauf cas très particulier.
   
   " />

Le 22/05/2019 à 12h 35

" />
ATTENTION : ils n’étaient pas en clair ! Ils étaient non hachés, mais stockés chiffrés. C’est moins pire mais ça reste un gros problème : celui qui a la clé de chiffrement a accès à tous les mots de passe.
" />

Le 15/05/2019 à 08h 44

Gilbert_Gosseyn a écrit :

Est-ce que cela a un rapport avec la faille SPOILER qui touche tous les CPU Intel Core ?


Oui et non : toutes ces failles sont des “variantes” de Spectre et Meltdown, ou plutôt des failles de la même famille. L’idée de base est de lire ou prédire des données calculées en avance, au niveau du processeur, auxquelles on n’a normalement pas accès (grosso modo).

SPOILER est en réalité une exploitation d’une faille de ce type pour lire des infos en mémoire (RAM).

Le 15/05/2019 à 07h 54

Edrae a écrit :

Quelqu’un saurait m’éclairer sur la façon dont le microcode est mis à jour par les màj de l’OS ?
Ça sous-entend que l’OS peut mettre à jour le firmware du CPU de façon transparente et ça m’étonne (mais j’y connais rien donc bon).


Il me semble qu’avec les BIOS UEFI toussa toussa, le microcode du processeur se charge sous la forme d’un driver, un peu comme une carte graphique. Driver => on peut passer par l’OS.
" />

Le 29/04/2019 à 11h 55

FunnyD a écrit :

Je préférerais 20 000 drones équipés de LBD et de tasers


Ou quelques MQ-1 Predator, on doit en trouver d’occaz’ suite à son retrait du service actif à l’USAF…
" />

Le 29/04/2019 à 09h 47

Il y aura aussi la fourniture de 2 millions de casques de protection gratuits ? Un drone, même léger, ça fait mal quand ça tombe sur la tête (même vide).
" />

Le 29/04/2019 à 08h 59

Le crime suit l’usage : Docker intéresse les développeurs, alors il intéresse les pirates. Or à force de tout faire de la même manière, et de tout mettre au même endroit, on finit par construire un SPOF de sécurité.

JCLB a écrit :

ne pas instancier d’images docker de moins de 3j permet de se prémunir de ce genre de chose, en plus de laisser les autres essuyer les plâtres comme pour n’importe qu’elle MAJ.

Je ne vois pas bien l’intérêt en termes de sécurité… Si jeudi prochain j’utilise une image de plus de 3 jours, je tomberai sur une des images ayant pu être vérolée…

" />

Le 16/04/2019 à 13h 51

Il faut faire preuve d’intelligence face à la transparence. Je pense (avis personnel, donc discutable) que les contrôles ou les contre-pouvoirs sont plus importants que la transparence en tant que dogme : transparence oui, mais pas dans tous les domaines. Dénoncer des malversations financières : oui. Divulguer une liste d’espions en place dans un autre pays : non.

Le 16/04/2019 à 13h 39

dylem29 a écrit :

Je ne suis pas un expert de cette affaire du tout, je trouve ça désolant d’enfermer une personne 7 ans dans une ambassade pour une affaire qui n’est plus attaquable.


Moi je trouve marrant qu’un type s’enferme lui-même 7 ans dans une ambassade pour échapper à 5 ans de prison (potentiellement). Par ailleurs j’aurai aimé que Assange s’attaque aussi à la Russie ou à la Chine, pas seulement aux états où la liberté d’expression existe déjà (en tout cas où elle est plus développée et un peu mieux protégée).

Oui, les esprits chagrins me diront que cette protection n’est pas parfaite, mais je préfère être en lanceur d’alerte en France qu’en Chine. En Chine ou en Russie, tu n’aurais même pas entendu parler d’Assange.

Et pour terminer, je suis opposé au dogme de la transparence “à tout prix”. Car transparence absolue équivaut à fin de la vie privée : de quel droit oserai-je cacher que j’ai mangé aujourd’hui des bonbons collants qui causent des caries ? Il faut, par souci de transparence, que tout le monde le sache et que le peuple mondial souverain me juge et me punisse pour cela au nom de l’obligation de transparence et de l’hygiène bucco-dentaire.

Le 22/03/2019 à 14h 48

Ricard a écrit :

Plus quelques centaines à la NSA.



Quelques milliers à la NSA.

" />

Le 22/03/2019 à 09h 08

Ca veut dire que personne chez Facebook ne regarde les logs depuis 2012 ?
" />

Le 22/03/2019 à 09h 03

On ne dit pas “à date” mais “à ce jour”.
" />

Le 03/01/2019 à 12h 11

fofo9012 a écrit :

Sauf que c’est HS ici, on passe de 3pts à 6pts en cas de cumul. Ce n’est pas une nouvelle infraction, qui n’était pas sanctionner, c’est juste sanctionner plus fort.


Au temps pour moi : il suffira de commettre 2 infractions au lieu de 4 pour perdre son permis. Donc moins de paperasse et gain de productivité. Bien vu.
" />

Le 03/01/2019 à 11h 54

moud le météor a écrit :

C’est vrai que les  348 sénateurs,  577 députés et leurs assistants parlementaire travaillent gratuitement.
 
Et faut compter le temps de création des décrets d’application. Car une loi sans décré ne peux être appliqué.


Je répète : écrire une loi coûte beaucoup moins que de la faire appliquer. Exemple : une loi qui crée une peine de prison va augmenter la population carcérale. Donc il faut des places de prisons, des surveillants, etc. Il faut aussi faire contrôler l’application de la loi (augmentation de la charge de travail des policiers ou des instances de contrôles). Il y aura aussi plus de procès donc plus de juges et surtout plus de personnel administratif (notamment greffiers). Et tout ça de façon récurrente, et non de façon ponctuelle.

Donc oui écrire une loi coûte beaucoup moins cher que de la faire appliquer. Or une loi écrite qui est mal appliquée ne sert à rien, ou pire ça augmente la défiance des citoyens face à la loi parce qu’elle est trop souvent inefficace (faute de moyens pour la faire appliquer).

Le 03/01/2019 à 09h 49

Avant de changer ou de durcir une loi, il faudrait commencer par l’appliquer. Or écrire une loi ne coûte presque rien, et la faire appliquer ça coûte beaucoup plus…

Le 15/10/2018 à 07h 50

Le reportage sur “prédire les crimes” est un peu décevant : des logiciels créent des listes d’individus suspects ou à surveiller, mais outre le travers habituel de ces logiciels (opacité des algorithmes, fiabilité des données) il n’y a aucun recul sur leur utilisation. En gros, on ne sait pas si “çà marche” ou pas, si les personnes ciblées le sont à raison ou pas. Dommage. Par contre on constate que le business de ce genre de logiciel est fleurissant, et en soi c’est inquiétant.

Le 17/08/2018 à 17h 48

Enfin une illustration de pirate informatique sans capuche ! Bel effort !

Le 02/07/2018 à 13h 25

J’ai déjà vu des “valises” permettant de faire ça (voix ou données). Ce type d’attaque et son coût sont peu accessibles aux attaquants isolés, par contre c’est bon marché pour des attaques ciblées et pour des organisations motivées (et pas seulement pour des états, mais aussi pour des entreprises dans des secteurs très concurrentiels à des fins d’intelligence économique).

Le 28/06/2018 à 10h 15

Furanku a écrit :

WordPress est techniquement dépassé.


N’empêche qu’aujourd’hui c’est le CMS le plus utilisé, malgré tout.

Par contre le site de RIPS indique que WordPress devrait réagir rapidement compte-tenu de la sévérité de la faille. En gros un auteur peut effacer du contenu qui n’est pas à lui. Ok. Mais comme 99,9% des sites WordPress sont mono-auteur, cette faille n’impacte que les 0,1% restants. Et il faut également avoir récupéré les identifiants d’au moins un auteur. Le probabilité que cela arrive est donc très faible, et malgré un impact potentiel très élevé, la sévérité finale de cette vulnérabilité me semble donc anecdotique.

" />

Le 21/02/2018 à 15h 58

Ricard a écrit :

J’aurais bien vendu un rein, mais il ne m’en reste plus qu’un… " />


T’es pas obligé de vendre le tien. Des volontaires ?
" />

Le 20/02/2018 à 16h 47

L’appel à Google Static Maps API n’est peut-être pas obligatoire. Non ? Si ? " />

Le 17/02/2018 à 12h 26

Kazer2.0 a écrit :

Ça fait des années que la plupart des keylogger prennent des photos au cliques


Bien sûr qu’on le sait (depuis des années) mais on surveille aussi. C’est pour ça que je dis que c’est un élément parmi d’autres, et de toute façon plus on complique la tâche des escrocs, mieux c’est. En ce qui concerne le 2FA : c’est aux clients qu’il faut apprendre ce que c’est et comment ça marche, et tu verras que c’est une autre paire de manches.
Par ailleurs au risque de me répéter, il y a d’autres éléments de sécurité notamment pour confirmer l’ajout d’un compte tiers (ce qui est très surveillé), et surtout il y en a beaucoup qui ne se voient pas.
C’est un des nombreux paradoxes de la sécurité : le client (de manière générale, pas seulement dans les banques) veut être en sécurité mais ne veut pas faire d’effort pour cela (à part quelques informaticiens barbus et/ou paranoïaques). Et derrière, c’est nous les informaticiens qui ramons pour tenter de ménager la chèvre et le choux.

Le 16/02/2018 à 22h 26

Stel a écrit :

Alors, la société générale c’est une banque qui vous oblige à changer votre mot de passe chaque année. ( obligatoire, pas moyen d’y échapper )
Et au passage c’est uniquement des chiffres.

Imaginez donc, pour eux, un mot de passe est mieux sécurisé sur un bout de papier parce que les gens l’ont oublié parce qu’il change tout le temps, plutôt que dans sa tête.

Quand on à une telle gestion des mots de passe , digne des années 2000, je n’ai donc absolument aucune confiance dans les capacité de cette banque à fournir un service sécurisé.



Si tu penses que la sécurité d’un site web se limite au mot de passe, alors oui tu es resté dans la sécurité informatique des années 2000.

Changer ce code tous les ans ? Oui c’est con, mais c’est aussi con que de changer de mot de passe tous les 60 jours ou tous les 90 jours.

Plus sérieusement, l’avantage des chiffres, c’est que tu peux mettre un clavier virtuel simple qui permet de limiter les keyloggers. Si on autorisait tous les caractères alphanumériques et spéciaux comme pour un mot de passe classique, on pourrait devrait aussi mettre un clavier virtuel mais le confort d’utilisation serait affreux pour un client “normal” (erreurs de saisie, ergonomie, etc.).

Quant au risque de brute force, je te suggère d’essayer de saisir 3 fois un mauvais code sur le site internet, tu verras le résultat.

Enfin si tu regardais chez les autres banques, quasiment toutes ont un mécanisme similaire avec des chiffres. Derrière, il y a des tonnes de mécanismes qui cherchent à éviter les cyberfraudes, mais je ne peux pas te les dévoiler sans risquer de perdre mon job et de réduire l’efficacité de ses nombreuses mesures, mais le clavier virtuel en est un bon (pas infaillible, mais pas mauvais).

Un dernier mot : on parle ici de la Société Générale pour les particuliers et les entreprises, pas des salles de marché.

Le 14/12/2017 à 09h 38

Bôf, on parlera plus de cette histoire quand le gars sera enterré. Dans 3 jours.

https://freedomhouse.org/article/new-report-freedom-net-2017-manipulating-social…

Le 12/12/2017 à 15h 58

Il y avait déjà des fuites de données il y a 4 ans. Une ou deux lignes de script pour chiffrer à l’arrivée (script fourni contre un timbre poste et une enveloppe) et hop il n’y aurait plus eu de problème. En plus c’est du Drupal, on peut bricoler facilement.

C’est pas la meilleure des solutions mais ça aurait suffi " />

Le 05/12/2017 à 15h 13

99,9% c’est pas de la très haute dispo : 43 minutes de hors service par mois. " />

Le 20/11/2017 à 18h 13

Jeanprofite a écrit :

Je pense que la banque ne désactive pas le «sans contact», elle désactive le paiement de ce «sans contact».
La nuance est que les informations sont lisibles tout de même.

En France, les banques ont réussi à l’imposer en disant que c’était comme ça, «mais ont peut le désactiver».

Monéo a été un échec mais cette fois-ci, ils sont bien partit pour gagner.


Effectivement, seul le paiement est désactivé, la lecture des informations sur la carte est totalement indépendante. Toutefois on a désormais moins d’infos accessibles “en clair” qu’avant où on avait tout ce qu’il faut pour effectuer une opération.

En ce qui concerne la possibilité d’avoir une carte sans NFC, vous pouvez l’exiger à n’importe quelle banque. Faut juste savoir comment, et çà dépend d’une banque à l’autre (et encore, faut que les chargés de gestion sachent comment faire, ce qui est rarement le cas).

Le 12/10/2017 à 07h 47

On se croirait dansLes Barbouzes…

Le 01/09/2017 à 14h 03

OlivierJ a écrit :

Un mobile peut se repérer par rapport à des bornes Wifi en effet, mais de façon très grossière par rapport au GPS (ça doit être du 50 m ou du 100 m).


Oui, en effet, mais là il suffit de pouvoir dire de quel côté du mur est le téléphone. Il suffit de 2 bornes, une de chaque côté : on obtiendra 2 signaux, et le signal le plus fort sera du côté où se trouve l’utilisateur. Pas la peine d’avoir une valeur précise du signal à la nanoseconde ou au micromètre (micron), juste qu’il y ait suffisamment de différence entre les 2 signaux. Et si c’est pas tout à fait probant, on recommence à la prochaine visite.
" />

Le 01/09/2017 à 13h 44

OlivierJ a écrit :

Je ne pense pas qu’une borne wifi, même avec 2 ou 3 antennes (surtout aussi proches les unes des autres), ait les éléments pour déterminer d’où vient une émission.
Et un micro stéréo donne 2 directions possibles, devant et derrière (en gros comme une intersection de 2 cercles, dans le plan).

Le wifi sert aussi à aider à la localisation lorsque le GPS fonctionne mal (ou en complément de celui-ci). Avec plusieurs antennes, on fait de la triangulation à partir des puissances reçues et on en déduit la position du terminal et donc de l’utilisateur. C’est aussi possible avec le signal radio servant aux appels…

Le 17/08/2017 à 16h 32

fred42 a écrit :

Avec ce nom, ça doit être avec porte dérobée. Un logiciel Gnu, au contraire, tu as les sources, la porte dérobée est plus difficile à cacher.


Ça serait bien. Faut pas s’attendre non plus à un commit by FBI/NSA " />
http://www.cnis-mag.com/quand-le-fbi-fait-dans-l%E2%80%99opensource.html
https://www.nextinpact.com/archive/60876-openbsd-backdoors-fbi-gregory-perry-theo-de-raadt.htm
" />

Le 17/08/2017 à 15h 01

Je me rappelle plus bien de la gestion des versions : GuPG 2.1.23, c’est celle avec ou sans porte dérobée ?

Le 24/07/2017 à 17h 03

Zerodium propose jusqu’à 30 000 $ pour Tor. Donc si je trouve une faille je leur file à eux, pas à Tor. Bon, je relance le tuto de CheatEngine.
" />

Le 06/06/2017 à 13h 42

WereWindle a écrit :

tu pourrais me donner 5 nombres (distincts) entre 1 et 50 et deux entre 1 et 12 (distincts aussi) ?
C’est pour une expérience sociale " />


Mouais, faut les donner en message privé, sinon il faudra diviser les gains par le nombre de lecteurs, et on en trouve partout, n’est-ce pas Guénaël ?

Le 06/06/2017 à 12h 37

Il a rasé la barbe, le Poupard…

Le 30/05/2017 à 11h 29

WereWindle a écrit :

Vous avez également fait des tests avec des voix enregistrées ? (d’ailleurs, est-ce qu’il existe un moyen pour différencier une voix “en live” d’un enregistrement ?)


Oui, il y a des moyens, mais pas infaillibles. Le plus efficace est d’authentifier durant une conversation courante (je crois que c’est le type d’authentification que testera le Crédit du Nord), de faire répéter la phrase ou le mot servant d’authentification (le système peut détecter le rejeu car il y a trop de ressemblances dans les 2 tentatives)… mais un fraudeur trouvera très souvent des contournements.

Pour l’histoire de l’imitateur belge, je n’y crois pas trop : les caractéristiques intrinsèques sont différentes. Même si à l’oreille ça se ressemble, une machine verra beaucoup de différences.

Par contre on n’a pas testé de voix de synthèse, mais apparemment ça commence à être de qualité suffisante pour tromper les systèmes vocaux, cf https://www.uab.edu/news/innovation/item/6532-uab-research-finds-automated-voice-imitation-can-fool-humans-and-machines.



jackjack2 a écrit :

Entreprises privées veulent faire du biométrique : accord de la CNIL obligatoire
Gouvernement veut faire du biométrique : lol balec yolo


Oui, la loi est ainsi faite, et heureusement que l’Etat peut avoir plus de pouvoir qu’une entreprise (ou plutôt qu’une entreprise ait moins de pouvoir que l’Etat), surtout dans ses prérogatives régaliennes. On peut déplorer que pour l’Etat français la CNIL ne puisse que donner un avis que le gouvernement n’est pas obligé de suivre, maisc’est le cas pour d’autres commissions ou organismes (comme le Comité consultatif national d’éthique, le CNNun, le Conseil d’Etat dans certains cas, etc).

Le 30/05/2017 à 07h 53

J’ai fait aussi une expérimentation dans ma boîte, sur 500 utilisateurs internes (avec déclaration CNIL aussi). Grosso modo la précision est d’environ 1 pour 100, selon les réglages. Ca peut aussi être 1 pour 1000 mais dans ce cas il y a beaucoup plus de rejets à tort (“faux négatifs”, c’àd des personnes légitimes qui n’arrivent pas à s’authentifier).

Après faut voir ce qu’on veut : empêcher les fraudeurs à tout prix au risque de pénaliser les utilisateurs légitimes, ou faciliter l’expérience utilisateur au risque de laisser passer de temps en temps un fraudeur (“faux positifs”, si je ne me trompe pas dans le sens des “faux”).

jackjack2 a écrit :

Donc c’est trop compliqué de demander aux crétins du gouvernement d’appliquer les garde-fous qu’ils imposent aux banques?

Ca ne veut rien dire ta phrase. Le garde fou c’est la CNIL, banque ou pas, gouvernement ou pas.



bilbonsacquet a écrit :

Faut pas être enrhubé ou avoir une extinction de voix " />

On a regardé aussi ce cas de figure, être enrhumé ne change quasiment rien à l’authentification, qui se base sur plusieurs caractéristiques de la voix.



Z-os a écrit :

Ah, j’ai retrouvé où je l’avais entendu : un exemple de ce que l’on peut faire en synthèse vocale actuellement

Oui effectivement il y a beaucoup de progrès de ce côté là, tout comme dans la photographie (empreinte digitales, iris). Enregistrer une voix est très facile.

Le principal problème de la biométrie est qu’en cas de compromission (vol ou reproduction), vous ne pouvez pas changer d’empreinte ou de voix. Donc votre caractéristique est compromise à vie et sur tous les systèmes l’utilisant.

Donc la biométrie a de l’intérêt mais sûrement pas pour de l’authentification dans les systèmes informatiques (ou marginalement et en complément d’autres systèmes d’authentification). Avis personnel sans aucun lien avec la position de mon employeur.

Note : le bilan de l’expérimentation est exigé systématiquement par la CNIL.

Le 20/05/2017 à 17h 01

ErGo_404 a écrit :

…la cybersécurité reste de la sécurité et l’état est là pour protéger la sécurité de ses citoyens.


Jusqu’à présent tous les Etats utilisent des armes offensives pour assurer leur sécurité. C’est donc pareil en cybersécurité. Quelqu’un a déjà essayé d’interdire les armes dans le monde ? Bon courage. Ca serait bien, c’est sûr, mais je suis pas sûr qu’on y arrive rapidement.


essa a écrit :

…Il est je trouve irresponsable de continuer à utiliser des logiciels et du matériel qui peut être dévoyé…

Ca ne veut rien dire : TOUT matériel peut être “dévoyé”. Il n’y a que moi pour ne pas être étonné que les espions espionnent ? Du temps des machines à écrire, on cherchait à faire des photos des documents écrits, à récupérer le ruban pour “rejouer” ce qui avait été tapé…
Les techniques changent, mais même sans l’introduction volontaire de portes dérobées, il y a de facto des tonnes de vulnérabilités involontaires qui existent partout. Les espions et les criminels ont encore de beaux jours devant eux via les systèmes informatiques.

Le 19/05/2017 à 20h 55

ErGo_404 a écrit :

C’est fréquent des maj qui font foirer tout le parc ou vos applis ?
Sur un serveur ou sur des postes avec des outils particuliers je peux comprendre, mais d’une manière générale n’y a-t-il pas une grande majorité de postes qui utilisent juste office et qui peuvent accepter les mises à jour les yeux fermés ?


Quand on a 150000 postes à gérer, il y a toujours des surprises. La gestion des patchs est une des activités les plus difficile de l’IT dès qu’on dépasse 5 machines dans un parc : connaître son parc, son état, ses dépendances est extrêmement difficile, et tu ne peux pas imaginer le nombre de postes “standards” qu’une mise à jour “standard” a fait planter.


ErGo_404 a écrit :

Ah parce qu’il y a un débat sur le fait que c’est de la merde de stocker des failles ? Tout le monde n’est pas d’accord ? " />

Bien sûr qu’il y a débat : prefères-tu que ça soit une organisation d’état ou une mafia qui stocke des failles ? Autant tu peux espérer interdire une organisation d’état de stocker des failles, autant interdire à des cybercriminels de le faire est totalement illusoire. Par ailleurs, comment lutter contre des failles sans les connaître ? Bref il faut plutôt penser à apprendre à vivre avec… hélas.

Le 17/05/2017 à 09h 49

Ricard a écrit :

Ce qui est étonnant, c’est que certains croient encore à des subterfuges aussi grossiers pour faire croire que c’est des russes. S’en est peut-être mais c’est peut-être des somaliens ou des Mexicains…



Note : ce n’est pas le niveau d’anglais affiché dans les posts des Shadow Brokers qui incitent les personnes s’intéressant au sujet de soupçonner les russes (ou d’autres). Faut être sérieux mais c’est trop long (et trop de texte à taper pour être sérieux).

Et je rappelle le principe ici : les articles sont censés être sérieux, les commentaires farfelus. Je dis bien : en principe " />

Le 17/05/2017 à 08h 31

Je paierai pas deux balles pour de l’anglais à trois balles. Sérieux, ils peuvent pas prendre des cours d’anglais, les Shadow Brokers ? J’ai beau être nul en anglais, ça écorche la rétine de lire leur bidule.

Ce qui m’étonne, c’est qu’il y a quand même des russes qui parlent bien anglais ; étonnant qu’ils n’en aient pas trouvé au moins un pour écrire leur communiqué. Ou alors le gars est tout seul. Ou il est pas russe. Allez savoir.

Le 07/04/2017 à 18h 01

Pour un projet franco-français, Roberto a un très joli accent italien ;) J’ai eu la chance de l’écouter à une conférence, il est très convaincant. Et il faut savoir que le “code” importe autant que les données : à quoi bon stocker des images jpeg si on n’a pas le code pour l’afficher ? Vous direz qu’il suffit d’avoir les spécifications de jpeg, ce qui est vrai ; mais dans ce cas les normes ou spécifications peuvent être compris comme du code de niveau supérieur, lequel intéresse aussi nos amis de Software Heritage…

Le 27/02/2017 à 10h 50

SHA256 avait pour cahier des charges d’optimiser les calculs, et se révèle en pratique équivalent (en charge de calcul) que SHA1.

Le problème de quitter SHA1 est plus complexe, notamment à cause des autorités de certification au-dessus qui ne savent pas faire, ou qui demandent à être changées (ou ajoutées). Pas simple dans un contexte professionnel.

Après, il n’est pas interdit d’utiliser SHA1 : dans certains cas il est largement suffisant. Il faut toujours évaluer le risque résiduel, en sécurité informatique…

Le 15/02/2017 à 13h 42

" /> mmmmm KeePass 2.1 est certifié (par l’Anssi), y a des clés certifiées FIPS. Mais qui certifie le plugin ?

Autre point négatif : en cas de perte ou destruction, il ne reste que le recovery mode, qui demande la clé secrète. A stocker donc qqpart et c’est là que les ennuis vont commencer : ou ? comment ? avec quel outil ? 7-zip (je suppose avec qqch du genre AES) demandera un mot de passe…

Autant la solution Yubikey peut s’avérer pratique pour alléger un peu le mot de passe maître, autant cela rajoute du secret à stocker qqpart ailleurs. Je me demande si un bon mot de passe bien costaud mais qui n’est que dans ma tête n’est pas finalement la solution la plus simple…