Donc FB voulait déjà sa propre monnaie (Libra). Maintenant ils veulent leur propre justice. Deux domaines normalement “régaliens”. Ca n’est plus la World Company, ce sont les United States of Facebook.
" />
Je me rappelle avoir vu un documentaire super intéressant sur le sujet de la matière de l’univers, et que pour certains chercheurs la seule solution était qu’il existe des tas de galaxies “invisibles”, genre 4 ou 5 fois plus en masse (je crois qu’on parlait de masse) que la matière visible, notamment pour expliquer la formation de l’univers.
Toutefois, dans un esprit d’équité, de tolérance, d’ouverture, d’harmonie, et afin d’éviter un mouvement du type “gilets jaunes dans l’espace” ou tout autre type de contestation, et afin de ne blesser aucune susceptibilité ni aucune croyance, je suggère de soumettre cette découverte au vote des internautes. On nous a déjà caché tellement de trucs que c’est sûrement la CIA qui a planqué cette matière hors de portée de nos petits yeux incrédules. Y a du complot là dessous.
" />
Ben c’est ça la grande question. Vu qu’on peut signer un certificat mille fois, qu’on peut signer mille certificats une fois, mais qu’on peut pas signer mille certificats mille fois. Ah ben si merde.
On se replie sur du MD5 pour signer du code et nos messages ?
" />
Le
02/07/2019 à
13h
52
Je vais essayer de reformuler (pour moi), pour voir si j’ai compris : un gazier s’est amusé à faire du débordement logique sur 2 certificats, profitant du fait que rien n’est jamais effacé dans l’historique des clés PGP (ce qui est en soi un comportement assurant une certaine sécurité : de la traçabilité et de l’intégrité). Donc en rajoutant des données à profusion (des signatures) sur deux certificats majeurs (très utilisés), on arrive à faire planter les outils de vérification.
Ces certificats sont donc devenus empoisonnés au sens où si on les importe, on risque de faire planter son openPGP.
Problème #1 : comme rien ne s’efface en PGP, ces certificats pourris ne seront pas effacés, et la révocation n’empêchera(it) pas le plantage.
Problème #2 : pourrir n’importe quel certificat semble facile. On pourrait, dans le pire des cas, se retrouver avec tous nos certificats PGP inutilisables…
Pour la continuité d’activité, on suggère en général d’avoir un ou plusieurs sites distants de plusieurs dizaines ou centaines de kilomètres, selon le risque qu’on veut couvrir. Dur à réaliser à Paris intra-muros. Donc la résilience sera forcément limitée.
Après, avoir un datacenter green, c’est bien. Avoir des applis qui tiennent la route et qui n’ont pas l’air de venir du web 1.0, c’est mieux. Je suis un utilisateur de Facil Familles, et franchement y a de quoi pleurer, rien qu’en ce qui concerne l’authentification… Je ne parle pas du contenu du site, de mon fils qui est déclaré en double, etc.
" />
Pour recentrer le débat sur le sujet de l’article, quelques commentaires sur un sujet que je connais très bien (pour le boulot) :
Une carte biométrique (sa fabrication, sa gestion) coûte très cher, et la déployer à l’ensemble des assurés sociaux coûterait probablement beaucoup plus cher que la fraude.
" />
ATTENTION : ils n’étaient pas en clair ! Ils étaient non hachés, mais stockés chiffrés. C’est moins pire mais ça reste un gros problème : celui qui a la clé de chiffrement a accès à tous les mots de passe.
" />
Est-ce que cela a un rapport avec la faille SPOILER qui touche tous les CPU Intel Core ?
Oui et non : toutes ces failles sont des “variantes” de Spectre et Meltdown, ou plutôt des failles de la même famille. L’idée de base est de lire ou prédire des données calculées en avance, au niveau du processeur, auxquelles on n’a normalement pas accès (grosso modo).
SPOILER est en réalité une exploitation d’une faille de ce type pour lire des infos en mémoire (RAM).
Le
15/05/2019 à
07h
54
Edrae a écrit :
Quelqu’un saurait m’éclairer sur la façon dont le microcode est mis à jour par les màj de l’OS ?
Ça sous-entend que l’OS peut mettre à jour le firmware du CPU de façon transparente et ça m’étonne (mais j’y connais rien donc bon).
Il me semble qu’avec les BIOS UEFI toussa toussa, le microcode du processeur se charge sous la forme d’un driver, un peu comme une carte graphique. Driver => on peut passer par l’OS.
" />
Je préférerais 20 000 drones équipés de LBD et de tasers
Ou quelques MQ-1 Predator, on doit en trouver d’occaz’ suite à son retrait du service actif à l’USAF…
" />
Le
29/04/2019 à
09h
47
Il y aura aussi la fourniture de 2 millions de casques de protection gratuits ? Un drone, même léger, ça fait mal quand ça tombe sur la tête (même vide).
" />
Le crime suit l’usage : Docker intéresse les développeurs, alors il intéresse les pirates. Or à force de tout faire de la même manière, et de tout mettre au même endroit, on finit par construire un SPOF de sécurité.
JCLB a écrit :
ne pas instancier d’images docker de moins de 3j permet de se prémunir de ce genre de chose, en plus de laisser les autres essuyer les plâtres comme pour n’importe qu’elle MAJ.
Je ne vois pas bien l’intérêt en termes de sécurité… Si jeudi prochain j’utilise une image de plus de 3 jours, je tomberai sur une des images ayant pu être vérolée…
Il faut faire preuve d’intelligence face à la transparence. Je pense (avis personnel, donc discutable) que les contrôles ou les contre-pouvoirs sont plus importants que la transparence en tant que dogme : transparence oui, mais pas dans tous les domaines. Dénoncer des malversations financières : oui. Divulguer une liste d’espions en place dans un autre pays : non.
Le
16/04/2019 à
13h
39
dylem29 a écrit :
Je ne suis pas un expert de cette affaire du tout, je trouve ça désolant d’enfermer une personne 7 ans dans une ambassade pour une affaire qui n’est plus attaquable.
Moi je trouve marrant qu’un type s’enferme lui-même 7 ans dans une ambassade pour échapper à 5 ans de prison (potentiellement). Par ailleurs j’aurai aimé que Assange s’attaque aussi à la Russie ou à la Chine, pas seulement aux états où la liberté d’expression existe déjà (en tout cas où elle est plus développée et un peu mieux protégée).
Oui, les esprits chagrins me diront que cette protection n’est pas parfaite, mais je préfère être en lanceur d’alerte en France qu’en Chine. En Chine ou en Russie, tu n’aurais même pas entendu parler d’Assange.
Et pour terminer, je suis opposé au dogme de la transparence “à tout prix”. Car transparence absolue équivaut à fin de la vie privée : de quel droit oserai-je cacher que j’ai mangé aujourd’hui des bonbons collants qui causent des caries ? Il faut, par souci de transparence, que tout le monde le sache et que le peuple mondial souverain me juge et me punisse pour cela au nom de l’obligation de transparence et de l’hygiène bucco-dentaire.
Sauf que c’est HS ici, on passe de 3pts à 6pts en cas de cumul. Ce n’est pas une nouvelle infraction, qui n’était pas sanctionner, c’est juste sanctionner plus fort.
Au temps pour moi : il suffira de commettre 2 infractions au lieu de 4 pour perdre son permis. Donc moins de paperasse et gain de productivité. Bien vu.
" />
Le
03/01/2019 à
11h
54
moud le météor a écrit :
C’est vrai que les 348 sénateurs, 577 députés et leurs assistants parlementaire travaillent gratuitement.
Et faut compter le temps de création des décrets d’application. Car une loi sans décré ne peux être appliqué.
Je répète : écrire une loi coûte beaucoup moins que de la faire appliquer. Exemple : une loi qui crée une peine de prison va augmenter la population carcérale. Donc il faut des places de prisons, des surveillants, etc. Il faut aussi faire contrôler l’application de la loi (augmentation de la charge de travail des policiers ou des instances de contrôles). Il y aura aussi plus de procès donc plus de juges et surtout plus de personnel administratif (notamment greffiers). Et tout ça de façon récurrente, et non de façon ponctuelle.
Donc oui écrire une loi coûte beaucoup moins cher que de la faire appliquer. Or une loi écrite qui est mal appliquée ne sert à rien, ou pire ça augmente la défiance des citoyens face à la loi parce qu’elle est trop souvent inefficace (faute de moyens pour la faire appliquer).
Le
03/01/2019 à
09h
49
Avant de changer ou de durcir une loi, il faudrait commencer par l’appliquer. Or écrire une loi ne coûte presque rien, et la faire appliquer ça coûte beaucoup plus…
Le reportage sur “prédire les crimes” est un peu décevant : des logiciels créent des listes d’individus suspects ou à surveiller, mais outre le travers habituel de ces logiciels (opacité des algorithmes, fiabilité des données) il n’y a aucun recul sur leur utilisation. En gros, on ne sait pas si “çà marche” ou pas, si les personnes ciblées le sont à raison ou pas. Dommage. Par contre on constate que le business de ce genre de logiciel est fleurissant, et en soi c’est inquiétant.
J’ai déjà vu des “valises” permettant de faire ça (voix ou données). Ce type d’attaque et son coût sont peu accessibles aux attaquants isolés, par contre c’est bon marché pour des attaques ciblées et pour des organisations motivées (et pas seulement pour des états, mais aussi pour des entreprises dans des secteurs très concurrentiels à des fins d’intelligence économique).
N’empêche qu’aujourd’hui c’est le CMS le plus utilisé, malgré tout.
Par contre le site de RIPS indique que WordPress devrait réagir rapidement compte-tenu de la sévérité de la faille. En gros un auteur peut effacer du contenu qui n’est pas à lui. Ok. Mais comme 99,9% des sites WordPress sont mono-auteur, cette faille n’impacte que les 0,1% restants. Et il faut également avoir récupéré les identifiants d’au moins un auteur. Le probabilité que cela arrive est donc très faible, et malgré un impact potentiel très élevé, la sévérité finale de cette vulnérabilité me semble donc anecdotique.
Ça fait des années que la plupart des keylogger prennent des photos au cliques
Bien sûr qu’on le sait (depuis des années) mais on surveille aussi. C’est pour ça que je dis que c’est un élément parmi d’autres, et de toute façon plus on complique la tâche des escrocs, mieux c’est. En ce qui concerne le 2FA : c’est aux clients qu’il faut apprendre ce que c’est et comment ça marche, et tu verras que c’est une autre paire de manches.
Par ailleurs au risque de me répéter, il y a d’autres éléments de sécurité notamment pour confirmer l’ajout d’un compte tiers (ce qui est très surveillé), et surtout il y en a beaucoup qui ne se voient pas.
C’est un des nombreux paradoxes de la sécurité : le client (de manière générale, pas seulement dans les banques) veut être en sécurité mais ne veut pas faire d’effort pour cela (à part quelques informaticiens barbus et/ou paranoïaques). Et derrière, c’est nous les informaticiens qui ramons pour tenter de ménager la chèvre et le choux.
Le
16/02/2018 à
22h
26
Stel a écrit :
Alors, la société générale c’est une banque qui vous oblige à changer votre mot de passe chaque année. ( obligatoire, pas moyen d’y échapper )
Et au passage c’est uniquement des chiffres.
Imaginez donc, pour eux, un mot de passe est mieux sécurisé sur un bout de papier parce que les gens l’ont oublié parce qu’il change tout le temps, plutôt que dans sa tête.
Quand on à une telle gestion des mots de passe , digne des années 2000, je n’ai donc absolument aucune confiance dans les capacité de cette banque à fournir un service sécurisé.
Si tu penses que la sécurité d’un site web se limite au mot de passe, alors oui tu es resté dans la sécurité informatique des années 2000.
Changer ce code tous les ans ? Oui c’est con, mais c’est aussi con que de changer de mot de passe tous les 60 jours ou tous les 90 jours.
Plus sérieusement, l’avantage des chiffres, c’est que tu peux mettre un clavier virtuel simple qui permet de limiter les keyloggers. Si on autorisait tous les caractères alphanumériques et spéciaux comme pour un mot de passe classique, on pourrait devrait aussi mettre un clavier virtuel mais le confort d’utilisation serait affreux pour un client “normal” (erreurs de saisie, ergonomie, etc.).
Quant au risque de brute force, je te suggère d’essayer de saisir 3 fois un mauvais code sur le site internet, tu verras le résultat.
Enfin si tu regardais chez les autres banques, quasiment toutes ont un mécanisme similaire avec des chiffres. Derrière, il y a des tonnes de mécanismes qui cherchent à éviter les cyberfraudes, mais je ne peux pas te les dévoiler sans risquer de perdre mon job et de réduire l’efficacité de ses nombreuses mesures, mais le clavier virtuel en est un bon (pas infaillible, mais pas mauvais).
Un dernier mot : on parle ici de la Société Générale pour les particuliers et les entreprises, pas des salles de marché.
Il y avait déjà des fuites de données il y a 4 ans. Une ou deux lignes de script pour chiffrer à l’arrivée (script fourni contre un timbre poste et une enveloppe) et hop il n’y aurait plus eu de problème. En plus c’est du Drupal, on peut bricoler facilement.
C’est pas la meilleure des solutions mais ça aurait suffi " />
Je pense que la banque ne désactive pas le «sans contact», elle désactive le paiement de ce «sans contact».
La nuance est que les informations sont lisibles tout de même.
En France, les banques ont réussi à l’imposer en disant que c’était comme ça, «mais ont peut le désactiver».
Monéo a été un échec mais cette fois-ci, ils sont bien partit pour gagner.
Effectivement, seul le paiement est désactivé, la lecture des informations sur la carte est totalement indépendante. Toutefois on a désormais moins d’infos accessibles “en clair” qu’avant où on avait tout ce qu’il faut pour effectuer une opération.
En ce qui concerne la possibilité d’avoir une carte sans NFC, vous pouvez l’exiger à n’importe quelle banque. Faut juste savoir comment, et çà dépend d’une banque à l’autre (et encore, faut que les chargés de gestion sachent comment faire, ce qui est rarement le cas).
Un mobile peut se repérer par rapport à des bornes Wifi en effet, mais de façon très grossière par rapport au GPS (ça doit être du 50 m ou du 100 m).
Oui, en effet, mais là il suffit de pouvoir dire de quel côté du mur est le téléphone. Il suffit de 2 bornes, une de chaque côté : on obtiendra 2 signaux, et le signal le plus fort sera du côté où se trouve l’utilisateur. Pas la peine d’avoir une valeur précise du signal à la nanoseconde ou au micromètre (micron), juste qu’il y ait suffisamment de différence entre les 2 signaux. Et si c’est pas tout à fait probant, on recommence à la prochaine visite.
" />
Le
01/09/2017 à
13h
44
OlivierJ a écrit :
Je ne pense pas qu’une borne wifi, même avec 2 ou 3 antennes (surtout aussi proches les unes des autres), ait les éléments pour déterminer d’où vient une émission.
Et un micro stéréo donne 2 directions possibles, devant et derrière (en gros comme une intersection de 2 cercles, dans le plan).
Le wifi sert aussi à aider à la localisation lorsque le GPS fonctionne mal (ou en complément de celui-ci). Avec plusieurs antennes, on fait de la triangulation à partir des puissances reçues et on en déduit la position du terminal et donc de l’utilisateur. C’est aussi possible avec le signal radio servant aux appels…
Vous avez également fait des tests avec des voix enregistrées ? (d’ailleurs, est-ce qu’il existe un moyen pour différencier une voix “en live” d’un enregistrement ?)
Oui, il y a des moyens, mais pas infaillibles. Le plus efficace est d’authentifier durant une conversation courante (je crois que c’est le type d’authentification que testera le Crédit du Nord), de faire répéter la phrase ou le mot servant d’authentification (le système peut détecter le rejeu car il y a trop de ressemblances dans les 2 tentatives)… mais un fraudeur trouvera très souvent des contournements.
Pour l’histoire de l’imitateur belge, je n’y crois pas trop : les caractéristiques intrinsèques sont différentes. Même si à l’oreille ça se ressemble, une machine verra beaucoup de différences.
Entreprises privées veulent faire du biométrique : accord de la CNIL obligatoire
Gouvernement veut faire du biométrique : lol balec yolo
Oui, la loi est ainsi faite, et heureusement que l’Etat peut avoir plus de pouvoir qu’une entreprise (ou plutôt qu’une entreprise ait moins de pouvoir que l’Etat), surtout dans ses prérogatives régaliennes. On peut déplorer que pour l’Etat français la CNIL ne puisse que donner un avis que le gouvernement n’est pas obligé de suivre, maisc’est le cas pour d’autres commissions ou organismes (comme le Comité consultatif national d’éthique, le CNNun, le Conseil d’Etat dans certains cas, etc).
Le
30/05/2017 à
07h
53
J’ai fait aussi une expérimentation dans ma boîte, sur 500 utilisateurs internes (avec déclaration CNIL aussi). Grosso modo la précision est d’environ 1 pour 100, selon les réglages. Ca peut aussi être 1 pour 1000 mais dans ce cas il y a beaucoup plus de rejets à tort (“faux négatifs”, c’àd des personnes légitimes qui n’arrivent pas à s’authentifier).
Après faut voir ce qu’on veut : empêcher les fraudeurs à tout prix au risque de pénaliser les utilisateurs légitimes, ou faciliter l’expérience utilisateur au risque de laisser passer de temps en temps un fraudeur (“faux positifs”, si je ne me trompe pas dans le sens des “faux”).
jackjack2 a écrit :
Donc c’est trop compliqué de demander aux crétins du gouvernement d’appliquer les garde-fous qu’ils imposent aux banques?
Ca ne veut rien dire ta phrase. Le garde fou c’est la CNIL, banque ou pas, gouvernement ou pas.
bilbonsacquet a écrit :
Faut pas être enrhubé ou avoir une extinction de voix " />
On a regardé aussi ce cas de figure, être enrhumé ne change quasiment rien à l’authentification, qui se base sur plusieurs caractéristiques de la voix.
Z-os a écrit :
Ah, j’ai retrouvé où je l’avais entendu : un exemple de ce que l’on peut faire en synthèse vocale actuellement
Oui effectivement il y a beaucoup de progrès de ce côté là, tout comme dans la photographie (empreinte digitales, iris). Enregistrer une voix est très facile.
Le principal problème de la biométrie est qu’en cas de compromission (vol ou reproduction), vous ne pouvez pas changer d’empreinte ou de voix. Donc votre caractéristique est compromise à vie et sur tous les systèmes l’utilisant.
Donc la biométrie a de l’intérêt mais sûrement pas pour de l’authentification dans les systèmes informatiques (ou marginalement et en complément d’autres systèmes d’authentification). Avis personnel sans aucun lien avec la position de mon employeur.
Note : le bilan de l’expérimentation est exigé systématiquement par la CNIL.
…la cybersécurité reste de la sécurité et l’état est là pour protéger la sécurité de ses citoyens.
Jusqu’à présent tous les Etats utilisent des armes offensives pour assurer leur sécurité. C’est donc pareil en cybersécurité. Quelqu’un a déjà essayé d’interdire les armes dans le monde ? Bon courage. Ca serait bien, c’est sûr, mais je suis pas sûr qu’on y arrive rapidement.
essa a écrit :
…Il est je trouve irresponsable de continuer à utiliser des logiciels et du matériel qui peut être dévoyé…
Ca ne veut rien dire : TOUT matériel peut être “dévoyé”. Il n’y a que moi pour ne pas être étonné que les espions espionnent ? Du temps des machines à écrire, on cherchait à faire des photos des documents écrits, à récupérer le ruban pour “rejouer” ce qui avait été tapé…
Les techniques changent, mais même sans l’introduction volontaire de portes dérobées, il y a de facto des tonnes de vulnérabilités involontaires qui existent partout. Les espions et les criminels ont encore de beaux jours devant eux via les systèmes informatiques.
Le
19/05/2017 à
20h
55
ErGo_404 a écrit :
C’est fréquent des maj qui font foirer tout le parc ou vos applis ?
Sur un serveur ou sur des postes avec des outils particuliers je peux comprendre, mais d’une manière générale n’y a-t-il pas une grande majorité de postes qui utilisent juste office et qui peuvent accepter les mises à jour les yeux fermés ?
Quand on a 150000 postes à gérer, il y a toujours des surprises. La gestion des patchs est une des activités les plus difficile de l’IT dès qu’on dépasse 5 machines dans un parc : connaître son parc, son état, ses dépendances est extrêmement difficile, et tu ne peux pas imaginer le nombre de postes “standards” qu’une mise à jour “standard” a fait planter.
ErGo_404 a écrit :
Ah parce qu’il y a un débat sur le fait que c’est de la merde de stocker des failles ? Tout le monde n’est pas d’accord ? " />
Bien sûr qu’il y a débat : prefères-tu que ça soit une organisation d’état ou une mafia qui stocke des failles ? Autant tu peux espérer interdire une organisation d’état de stocker des failles, autant interdire à des cybercriminels de le faire est totalement illusoire. Par ailleurs, comment lutter contre des failles sans les connaître ? Bref il faut plutôt penser à apprendre à vivre avec… hélas.
Ce qui est étonnant, c’est que certains croient encore à des subterfuges aussi grossiers pour faire croire que c’est des russes. S’en est peut-être mais c’est peut-être des somaliens ou des Mexicains…
Note : ce n’est pas le niveau d’anglais affiché dans les posts des Shadow Brokers qui incitent les personnes s’intéressant au sujet de soupçonner les russes (ou d’autres). Faut être sérieux mais c’est trop long (et trop de texte à taper pour être sérieux).
Et je rappelle le principe ici : les articles sont censés être sérieux, les commentaires farfelus. Je dis bien : en principe " />
Le
17/05/2017 à
08h
31
Je paierai pas deux balles pour de l’anglais à trois balles. Sérieux, ils peuvent pas prendre des cours d’anglais, les Shadow Brokers ? J’ai beau être nul en anglais, ça écorche la rétine de lire leur bidule.
Ce qui m’étonne, c’est qu’il y a quand même des russes qui parlent bien anglais ; étonnant qu’ils n’en aient pas trouvé au moins un pour écrire leur communiqué. Ou alors le gars est tout seul. Ou il est pas russe. Allez savoir.
Pour un projet franco-français, Roberto a un très joli accent italien ;) J’ai eu la chance de l’écouter à une conférence, il est très convaincant. Et il faut savoir que le “code” importe autant que les données : à quoi bon stocker des images jpeg si on n’a pas le code pour l’afficher ? Vous direz qu’il suffit d’avoir les spécifications de jpeg, ce qui est vrai ; mais dans ce cas les normes ou spécifications peuvent être compris comme du code de niveau supérieur, lequel intéresse aussi nos amis de Software Heritage…
SHA256 avait pour cahier des charges d’optimiser les calculs, et se révèle en pratique équivalent (en charge de calcul) que SHA1.
Le problème de quitter SHA1 est plus complexe, notamment à cause des autorités de certification au-dessus qui ne savent pas faire, ou qui demandent à être changées (ou ajoutées). Pas simple dans un contexte professionnel.
Après, il n’est pas interdit d’utiliser SHA1 : dans certains cas il est largement suffisant. Il faut toujours évaluer le risque résiduel, en sécurité informatique…
" /> mmmmm KeePass 2.1 est certifié (par l’Anssi), y a des clés certifiées FIPS. Mais qui certifie le plugin ?
Autre point négatif : en cas de perte ou destruction, il ne reste que le recovery mode, qui demande la clé secrète. A stocker donc qqpart et c’est là que les ennuis vont commencer : ou ? comment ? avec quel outil ? 7-zip (je suppose avec qqch du genre AES) demandera un mot de passe…
Autant la solution Yubikey peut s’avérer pratique pour alléger un peu le mot de passe maître, autant cela rajoute du secret à stocker qqpart ailleurs. Je me demande si un bon mot de passe bien costaud mais qui n’est que dans ma tête n’est pas finalement la solution la plus simple…
326 commentaires
Facebook : le « conseil de surveillance » arrive, il rendra des décisions « contraignantes »
Le 19/09/2019Le 19/09/2019 à 16h 18
Donc FB voulait déjà sa propre monnaie (Libra). Maintenant ils veulent leur propre justice. Deux domaines normalement “régaliens”. Ca n’est plus la World Company, ce sont les United States of Facebook.
" />
Les questions soulevées par la découverte de 39 galaxies invisibles
Le 14/08/2019Le 14/08/2019 à 19h 53
Je me rappelle avoir vu un documentaire super intéressant sur le sujet de la matière de l’univers, et que pour certains chercheurs la seule solution était qu’il existe des tas de galaxies “invisibles”, genre 4 ou 5 fois plus en masse (je crois qu’on parlait de masse) que la matière visible, notamment pour expliquer la formation de l’univers.
Toutefois, dans un esprit d’équité, de tolérance, d’ouverture, d’harmonie, et afin d’éviter un mouvement du type “gilets jaunes dans l’espace” ou tout autre type de contestation, et afin de ne blesser aucune susceptibilité ni aucune croyance, je suggère de soumettre cette découverte au vote des internautes. On nous a déjà caché tellement de trucs que c’est sûrement la CIA qui a planqué cette matière hors de portée de nos petits yeux incrédules. Y a du complot là dessous.
" />
Hier, une panne de plusieurs heures a touché Facebook, WhatsApp et Instagram
Le 04/07/2019Le 04/07/2019 à 14h 39
Le bon côté : grace à cette panne, on a pu voir un peu comment fonctionnait l’intelligence artificielle qui analyse les photos… (cf theVerge).
" />
OpenPGP : des certificats « empoisonnés » se propagent et bloquent des installations
Le 02/07/2019Le 02/07/2019 à 19h 01
Le 02/07/2019 à 13h 52
Je vais essayer de reformuler (pour moi), pour voir si j’ai compris : un gazier s’est amusé à faire du débordement logique sur 2 certificats, profitant du fait que rien n’est jamais effacé dans l’historique des clés PGP (ce qui est en soi un comportement assurant une certaine sécurité : de la traçabilité et de l’intégrité). Donc en rajoutant des données à profusion (des signatures) sur deux certificats majeurs (très utilisés), on arrive à faire planter les outils de vérification.
Ces certificats sont donc devenus empoisonnés au sens où si on les importe, on risque de faire planter son openPGP.
Problème #1 : comme rien ne s’efface en PGP, ces certificats pourris ne seront pas effacés, et la révocation n’empêchera(it) pas le plantage.
Problème #2 : pourrir n’importe quel certificat semble facile. On pourrait, dans le pire des cas, se retrouver avec tous nos certificats PGP inutilisables…
Moi je dis : pas cool.
" />
La ville de Paris dispose de son propre datacenter (dans le 18e)
Le 31/05/2019Le 01/06/2019 à 15h 52
Pour la continuité d’activité, on suggère en général d’avoir un ou plusieurs sites distants de plusieurs dizaines ou centaines de kilomètres, selon le risque qu’on veut couvrir. Dur à réaliser à Paris intra-muros. Donc la résilience sera forcément limitée.
Après, avoir un datacenter green, c’est bien. Avoir des applis qui tiennent la route et qui n’ont pas l’air de venir du web 1.0, c’est mieux. Je suis un utilisateur de Facil Familles, et franchement y a de quoi pleurer, rien qu’en ce qui concerne l’authentification… Je ne parle pas du contenu du site, de mon fils qui est déclaré en double, etc.
" />
Des sénateurs LR veulent une carte Vitale biométrique
Le 27/05/2019Le 28/05/2019 à 09h 01
Pour recentrer le débat sur le sujet de l’article, quelques commentaires sur un sujet que je connais très bien (pour le boulot) :
" />
Pendant 14 ans, Google a stocké en clair des mots de passe de comptes G Suite
Le 22/05/2019Le 22/05/2019 à 12h 35
" />
ATTENTION : ils n’étaient pas en clair ! Ils étaient non hachés, mais stockés chiffrés. C’est moins pire mais ça reste un gros problème : celui qui a la clé de chiffrement a accès à tous les mots de passe.
" />
MDS : encore une importante faille dans les processeurs Intel, les premiers correctifs sont là
Le 15/05/2019Le 15/05/2019 à 08h 44
Le 15/05/2019 à 07h 54
Mounir Mahjoubi veut déployer 240 drones de protection et 20 000 boutons bleus d’urgence dans Paris
Le 29/04/2019Le 29/04/2019 à 11h 55
Le 29/04/2019 à 09h 47
Il y aura aussi la fourniture de 2 millions de casques de protection gratuits ? Un drone, même léger, ça fait mal quand ça tombe sur la tête (même vide).
" />
Docker Hub piraté : des « données sensibles » de 190 000 comptes ont été exposées
Le 29/04/2019Le 29/04/2019 à 08h 59
Le crime suit l’usage : Docker intéresse les développeurs, alors il intéresse les pirates. Or à force de tout faire de la même manière, et de tout mettre au même endroit, on finit par construire un SPOF de sécurité.
L’Équateur accuse Assange d’avoir fait de l’ambassade un centre d’espionnage
Le 16/04/2019Le 16/04/2019 à 13h 51
Il faut faire preuve d’intelligence face à la transparence. Je pense (avis personnel, donc discutable) que les contrôles ou les contre-pouvoirs sont plus importants que la transparence en tant que dogme : transparence oui, mais pas dans tous les domaines. Dénoncer des malversations financières : oui. Divulguer une liste d’espions en place dans un autre pays : non.
Le 16/04/2019 à 13h 39
Facebook a stocké en clair des mots de passe de « centaines de millions d’utilisateurs »
Le 22/03/2019Le 22/03/2019 à 14h 48
Le 22/03/2019 à 09h 08
Ca veut dire que personne chez Facebook ne regarde les logs depuis 2012 ?
" />
ITS-G5, C-V2X : l’Arcep dresse l’état des lieux du casse-tête de la voiture connectée
Le 20/03/2019Le 22/03/2019 à 09h 03
On ne dit pas “à date” mais “à ce jour”.
" />
Le gouvernement veut muscler l’arsenal législatif contre le téléphone au volant
Le 03/01/2019Le 03/01/2019 à 12h 11
Le 03/01/2019 à 11h 54
Le 03/01/2019 à 09h 49
Avant de changer ou de durcir une loi, il faudrait commencer par l’appliquer. Or écrire une loi ne coûte presque rien, et la faire appliquer ça coûte beaucoup plus…
#Replay : comparateurs de prix, intelligence artificielle et contrôle du temps
Le 12/10/2018Le 15/10/2018 à 07h 50
Le reportage sur “prédire les crimes” est un peu décevant : des logiciels créent des listes d’individus suspects ou à surveiller, mais outre le travers habituel de ces logiciels (opacité des algorithmes, fiabilité des données) il n’y a aucun recul sur leur utilisation. En gros, on ne sait pas si “çà marche” ou pas, si les personnes ciblées le sont à raison ou pas. Dommage. Par contre on constate que le business de ce genre de logiciel est fleurissant, et en soi c’est inquiétant.
Les principales annonces de la Black Hat USA et de la DEF CON 2018
Le 17/08/2018Le 17/08/2018 à 17h 48
Enfin une illustration de pirate informatique sans capuche ! Bel effort !
aLTEr : de nouvelles failles sur la 4G peuvent rediriger un utilisateur vers un site malveillant
Le 02/07/2018Le 02/07/2018 à 13h 25
J’ai déjà vu des “valises” permettant de faire ça (voix ou données). Ce type d’attaque et son coût sont peu accessibles aux attaquants isolés, par contre c’est bon marché pour des attaques ciblées et pour des organisations motivées (et pas seulement pour des états, mais aussi pour des entreprises dans des secteurs très concurrentiels à des fins d’intelligence économique).
Une faille WordPress permet d’effacer des fichiers critiques sans droits particuliers
Le 28/06/2018Le 28/06/2018 à 10h 15
Chez LG, une machine tout-en-un passive basée sur un Ryzen 3 dans un écran de 38″ incurvé
Le 21/02/2018Le 21/02/2018 à 15h 58
Framasoft lance les Pages Framasite, pour faciliter la création de sites monopages
Le 15/02/2018Le 20/02/2018 à 16h 47
L’appel à Google Static Maps API n’est peut-être pas obligatoire. Non ? Si ? " />
Banques en ligne : de la reconnaissance faciale pour ouvrir un compte à la Société Générale
Le 16/02/2018Le 17/02/2018 à 12h 26
Le 16/02/2018 à 22h 26
Emails d’Hillary Clinton : un pirate russe emprisonné accuse Poutine et le FSB
Le 13/12/2017Le 14/12/2017 à 09h 38
Bôf, on parlera plus de cette histoire quand le gars sera enterré. Dans 3 jours.
https://freedomhouse.org/article/new-report-freedom-net-2017-manipulating-social…
Quand le site de la région Île-de-France laissait fuiter CV, passeports, RIB, bilans médicaux…
Le 12/12/2017Le 12/12/2017 à 15h 58
Il y avait déjà des fuites de données il y a 4 ans. Une ou deux lignes de script pour chiffrer à l’arrivée (script fourni contre un timbre poste et une enveloppe) et hop il n’y aurait plus eu de problème. En plus c’est du Drupal, on peut bricoler facilement.
C’est pas la meilleure des solutions mais ça aurait suffi " />
re:Invent 2017 : torrent d’annonces chez Amazon pour ses Web Services
Le 05/12/2017Le 05/12/2017 à 15h 13
99,9% c’est pas de la très haute dispo : 43 minutes de hors service par mois. " />
Protection de la carte bancaire : et si le problème n’était pas que dans le monde numérique ?
Le 20/11/2017Le 20/11/2017 à 18h 13
Via Kaspersky, des agents israéliens auraient espionné des Russes espionnant les États-Unis
Le 11/10/2017Le 12/10/2017 à 07h 47
On se croirait dansLes Barbouzes…
Suivi des clients dans les magasins, la question du Wi-Fi n’est pas la seule à se poser
Le 01/09/2017Le 01/09/2017 à 14h 03
Le 01/09/2017 à 13h 44
GnuPG 2.2 est disponible : des changements majeurs, notamment pour la distribution des clés
Le 29/08/2017Le 17/08/2017 à 16h 32
Le 17/08/2017 à 15h 01
Je me rappelle plus bien de la gestion des versions : GuPG 2.1.23, c’est celle avec ou sans porte dérobée ?
Tor : jusqu’à 4 000 dollars de récompense pour les failles de sécurité
Le 24/07/2017Le 24/07/2017 à 17h 03
Zerodium propose jusqu’à 30 000 $ pour Tor. Donc si je trouve une faille je leur file à eux, pas à Tor. Bon, je relance le tuto de CheatEngine.
" />
Sécurité : l’ANSSI en faveur de l’auto-certification des objets connectés
Le 06/06/2017Le 06/06/2017 à 13h 42
Le 06/06/2017 à 12h 37
Il a rasé la barbe, le Poupard…
Devant la CNIL, le Crédit du Nord et la BPCE font le pari de la reconnaissance vocale
Le 29/05/2017Le 30/05/2017 à 11h 29
Le 30/05/2017 à 07h 53
J’ai fait aussi une expérimentation dans ma boîte, sur 500 utilisateurs internes (avec déclaration CNIL aussi). Grosso modo la précision est d’environ 1 pour 100, selon les réglages. Ca peut aussi être 1 pour 1000 mais dans ce cas il y a beaucoup plus de rejets à tort (“faux négatifs”, c’àd des personnes légitimes qui n’arrivent pas à s’authentifier).
Après faut voir ce qu’on veut : empêcher les fraudeurs à tout prix au risque de pénaliser les utilisateurs légitimes, ou faciliter l’expérience utilisateur au risque de laisser passer de temps en temps un fraudeur (“faux positifs”, si je ne me trompe pas dans le sens des “faux”).
WannaCrypt relance le débat sur les dangers des failles stockées par les États
Le 19/05/2017Le 20/05/2017 à 17h 01
Le 19/05/2017 à 20h 55
Shadow Brokers : un abonnement mensuel pour recevoir des archives de failles
Le 17/05/2017Le 17/05/2017 à 09h 49
Le 17/05/2017 à 08h 31
Je paierai pas deux balles pour de l’anglais à trois balles. Sérieux, ils peuvent pas prendre des cours d’anglais, les Shadow Brokers ? J’ai beau être nul en anglais, ça écorche la rétine de lire leur bidule.
Ce qui m’étonne, c’est qu’il y a quand même des russes qui parlent bien anglais ; étonnant qu’ils n’en aient pas trouvé au moins un pour écrire leur communiqué. Ou alors le gars est tout seul. Ou il est pas russe. Allez savoir.
Software Heritage nous détaille la convention entre Inria et l’UNESCO, une étape importante
Le 07/04/2017Le 07/04/2017 à 18h 01
Pour un projet franco-français, Roberto a un très joli accent italien ;) J’ai eu la chance de l’écouter à une conférence, il est très convaincant. Et il faut savoir que le “code” importe autant que les données : à quoi bon stocker des images jpeg si on n’a pas le code pour l’afficher ? Vous direz qu’il suffit d’avoir les spécifications de jpeg, ce qui est vrai ; mais dans ce cas les normes ou spécifications peuvent être compris comme du code de niveau supérieur, lequel intéresse aussi nos amis de Software Heritage…
SHA-1 : des chercheurs prouvent l’exploitation des collisions dans une attaque
Le 27/02/2017Le 27/02/2017 à 10h 50
SHA256 avait pour cahier des charges d’optimiser les calculs, et se révèle en pratique équivalent (en charge de calcul) que SHA1.
Le problème de quitter SHA1 est plus complexe, notamment à cause des autorités de certification au-dessus qui ne savent pas faire, ou qui demandent à être changées (ou ajoutées). Pas simple dans un contexte professionnel.
Après, il n’est pas interdit d’utiliser SHA1 : dans certains cas il est largement suffisant. Il faut toujours évaluer le risque résiduel, en sécurité informatique…
KeePass : comment protéger l’accès avec une Yubikey et le plugin KeeChallenge
Le 15/02/2017Le 15/02/2017 à 13h 42
" /> mmmmm KeePass 2.1 est certifié (par l’Anssi), y a des clés certifiées FIPS. Mais qui certifie le plugin ?
Autre point négatif : en cas de perte ou destruction, il ne reste que le recovery mode, qui demande la clé secrète. A stocker donc qqpart et c’est là que les ennuis vont commencer : ou ? comment ? avec quel outil ? 7-zip (je suppose avec qqch du genre AES) demandera un mot de passe…
Autant la solution Yubikey peut s’avérer pratique pour alléger un peu le mot de passe maître, autant cela rajoute du secret à stocker qqpart ailleurs. Je me demande si un bon mot de passe bien costaud mais qui n’est que dans ma tête n’est pas finalement la solution la plus simple…