Le 11/06/2021 à 21h 51

vivienfr a dit:

Je pense que le gros du trafic est identifié par le SNI qui est en clair dans les connexions HTTPS.

Quand il est absent le certificat doit suffit à trouver de qui il s’agit.

Dans ce cas ils vont être bien embêtés avec l’arrivée de TLS 1.3 et ESNI (qui chiffre le SNI) ainsi que la montée en puissance de DoH (DNS over HTTPS)

Le 10/06/2021 à 11h 28

A ce que je comprends pour que l’attaque soit fonctionnelle il faut que l’attaquant puisse faire du man in the middle ce qui est déjà une barrière très importante. De plus les attaques décrites sont plus des PoC qu’autre chose (et la plupart ne sont fonctionnelles que sur Internet Explorer).

Donc je ne pense pas qu’il y ai lieu de s’inquiéter outre mesure sur ce sujet.

Le 05/03/2021 à 10h 29

Je suis assez sceptique de la démarche de blocage de la CNIL. Une fois les informations disponibles de manière publique le mal est fait et elles seront accessibles à qui voudra bien se donner le mal de les chercher (notamment via les réseaux P2P).

J’y vois plus un geste d’affichage pour montrer qu’on agit rapidement qu’une stratégie efficace pour tenter de prévenir ce genre de problème à l’avenir. Après je peux comprendre que des mesures de fond, qui elles seront probablement plus efficaces, sont peu compatibles avec le temps médiatique.

Le 25/01/2017 à 09h 25

Pour info la mise à jour consiste juste à n’autoriser l’exécution de code arbitraire que depuis des domaines en *.webex.com.

Hors,  certains n’ont pas mis longtemps à trouver des XSS sur des domaines webex.com:
https://twitter.com/mattaustin/status/824034201703878656

Autant dire que la seule conduite possible est la désinstallation pure et simple du plugin en attendant un vrai patch de sécurité.

Le 23/12/2016 à 11h 30

En gros si j’ai bien compris il ont un ou plusieurs serveurs chez un fournisseur comme Google (Google Apps Engine par exemple).

D’après le sitehttps://www.bamsoftware.com/papers/fronting/
 

Each application gets a user-specified subdomain of appspot.com,
for which almost any Google domain can serve as a front,
including google.com, gmail.com, googleapis.com, and many others

Donc j’ai mon serveur en toto.appspot.com mais je peux y accéder via google.com.

Pour cela je fais une requête HTTPS vers google.com avec comme SNI google.com mais dans mes en-têtes HTTP je met comme Host toto.appspot.com. Il semble que dans ce cas Google va nous renvoyer notre requête vers notre serveur toto.appspot.com.

Ce qui est super d’un point de vue contournement de la censure c’est que si un censeur inspecte la requête il verra comme IP de destination google.com et comme destination SNI google.com. Donc impossible de bloquer ces requêtes sans bloquer tout le traffic à destination de google.com

Le 14/12/2016 à 11h 07

@MarcRees

D’après l’article Bruno Leroux aurait fourni  “un déluge de chiffres sur le nombre d’assignations à résidence, d’attentats déjoués, etc”

 Serait-il possible de les mettre au moins en perspective par rapport aux chiffres précédemment connus afin d’avoir une vision plus claire de la pertinence du maintient de l’état d’urgence ?

Le 17/10/2016 à 13h 48

Il est plus que temps que les États légifèrent et mettent en place des règles de sécurité exigibles sur tout objet connecté.

On pourrait penser par exemple:

Interdiction des mots de passe par défaut,
Utilisation de mises à jour signées par le constructeur
Obligation de mise à jour sur les failles de sécurité pendant un temps déterminé

Tant que ça ne sera pas une norme légale on pourra toujours aller se brosser et laissera les serveurs connectés à Internet être victime de groupes utilisant des réseaux de zombies pour réaliser des attaques et des DDOS à volonté.

Le 06/04/2016 à 13h 53

Je dis franchement chapeau à What’sApp pour avoir fait bosser  Moxie Marlinspike sur leur chiffrement. En gros on a une application utilisée par des millions de personnes avec du chiffrement fort et sécurisé (et non un chiffrement maison tout pourri) et activé par défaut. C’est un signal fort envoyé au reste de l’industrie que c’est possible de combiner sécurité et facilité d’utilisation.

C’est un très bon pas vers le chiffrement par défaut de toutes les communications entre utilisateurs qui est le seul moyen de contrebalancer la surveillance de masse mise en place par les puissances étatiques.

Le 19/01/2016 à 17h 36

Je pense que par accès on veut dire la capacité d’exécuter du code arbitraire sur le serveur. Donc une faille web qui pourrait donner accès à un shell en www-data  par exemple pourrait avec cet exploit mener à une compromission totale du serveur. Cette faille est donc loin d’être négligeable.

Le 04/01/2016 à 14h 38

Soltek a écrit :

Perso après avoir lu (en entier) le dossier de Canard PC j’ai activé le Wi-Fi chez moi " />

Merci Soltek je cherchais justement a retrouver ce dossier très instructif de Canard PC Hardware " />. 
 

Le 23/12/2015 à 09h 18

C’est le moment de ressortir les classiques:
 https://www.youtube.com/watch?v=o0Wvn-9BXVc

Ça montre quand même le pouvoir du lobby de la musique et du cinéma US.

Le 21/12/2015 à 09h 17

Ce qui sera difficile à défendre également c’est pourquoi la version du Ruby installée était dans une version connue pour être vulnérable. Pourquoi l’intrusion sur les instances Amazon n’a également pas été détectée ? Comment Wineberg a-t-il pu se connecter sur les serveurs via SSH ?

Bref tout semble indiquer que le niveau de sécurité d’Instagram laisse fortement à désirer. Alors certes il y a un manque d’éthique de la part de Wineberg mais une personne mal intentionnée ne se serait pas donnée la peine de prévenir avant d’entrer.

Le 18/12/2015 à 09h 36

En parlant de LCI et de TF1 je vous invite à écouter ce podcast sur le scandale de la privatisation de TF1:http://www.franceinter.fr/emission-affaires-sensibles-du-mieux-disant-culturel-a…

Le 07/12/2015 à 11h 44

C’est sur que à 8 personnes pour dépouiller 1000 bulletins c’est autrement plus long. En plus j’imagine que plus te le fais plus tu as de chance de faire des erreurs et donc de rallonger la durée du dépouillement. Après il appartient à chaque bureau de vote d’essayer de faire venir des gens pour le dépouillement. C’est sur que faire le dépouillement est assez ingrat mais c’est nécessaire pour le processus démocratique. Après je n’ai voté de dans des grandes villes on il est peut être plus facile d’avoir de gens présents pour dépouiller les bulletins (rien que par ce que le bureau de vote est généralement tout près du domicile).

Le 07/12/2015 à 11h 44

Doublon

Le 07/12/2015 à 11h 16

Nozalys a écrit :

Là aussi, c’est biaisé. 45 minutes c’est cohérent pour une petite commune de 200 habitants. Ya toujours 2 comptages indépendants. Et re-re-recomptage jusqu’à ce qu’il n’y ait plus d’erreur.
Pour une commune de 2000 habitant ça frise plutôt les 3 heures minimum post-scrutin.

Personnellement et pour avoir participé à de nombreux dépouillements ça ne m’as jamais pris plus d’une heure.
Déjà plus la commune est grande plus il doit normalement y avoir de bureaux de votes.

Je n’ai toujours fait qu’un seul comptage des votes. Les enveloppes sont sorties des urnes et mises par tas de 100. Chaque tas est assigné à une table de 4 personnes. La 1ère personne ouvre l’enveloppe et sort le bulletin de vote. Il donne le bulletin à la seconde personne qui lit à haute voix ce qui est marqué sur le bulletin. Les deux autres personnes ont chacun une feuille ou ils inscrivent les votes comptabilisés. Régulièrement on vérifie que les deux feuilles ont bien le même nombre de votes comptabilisés. A la fin du dépouillement des 100 enveloppes les quatre personnes signent les feuilles pour attester  du bon déroulement du dépouillement.
La perte de temps est dans le cas de vote blancs ou nuls car il faut le faire constater par les scrutateurs du bureau de vote.
Il n’y a pas de recomptage car le compte est bon dès la première fois si on suit bien la procédure.

Pour dépouiller 1000 bulletins par exemples il suffit de 20 personnes (5*4 personnes) et que chaque table dépouille 200 bulletins ce qui va prendre grosso modo 1h si tout se passe bien.
 

 

Le 07/12/2015 à 11h 05

Nozalys a écrit :

Ok donc c’est mal ficelé de bout en bout.

Pour être efficace il aurait fallu que :
1/ Il y ait plusieurs isoloirs donc plusieurs machines comme dans n’importe quel autre bureau de poste
2/ L’identification passe aussi par la machine.
3/ L’IHM soit pensée pour les électeurs…

As-tu pris une photo de l’interface ?


Il y a une machine par bureau de vote.
Comme tu n’as que une urne par bureau de vote.  La machine n’est qu’une urne électronique, ni plus, ni moins.
Avant de t’autoriser à voter on vérifie ton identité sur le registre. Si ton identité est vérifiée, la machine de vote est activée pour te laisser voter. La machine est présente dans un isoloir. Tu t’y rends, tu rentre ton choix de vote en sélectionnant une touche, tu valides.  La machine émet un son pour confirmer que le vote a bien eu lieu. Tu sors de l’isoloir et tu signe le registre.

1. Donc de part le design même du système il ne peut pas avoir plusieurs machines comme il ne peut pas y avoir plusieurs urnes utilisées en parallèle dans un même bureau de vote.
   
   


2. La machine doit pas vérifier ton identité car elle “connaît” ton vote donc ça serait une très mauvaise idée.
   
   


3. L’IHM n’est pas si mauvaise si on sait lire et qu’on sait appuyer sur un bouton on s’en sort.

Le 04/12/2015 à 09h 32

Je ne vois aucun avantage qui rendrait utile les machines à voter. Selon moi.

Avantage:

• Le dépouillement est rapide
  
  Inconvénients:
  


•  Utilisation plus longue que pour un vote papier
  


• Le coût
  


• Absence de transparence (comparé à une urne physique)
  


• Impossibilité de recompter les bulletins en cas de contestation
  
  En plus ce n’est même pas écologique, car les bureaux de vote avec des machines à voter ont également des urnes et des bulletins présents en cas de problème avec les dites machines.
  
  Bref aucun avantage sinon gagner 45 minutes à la fin du scrutin et que des inconvénients de l’autre côté.

Le 06/11/2015 à 09h 01

David_L a écrit :

Non, nous avons appliqué la TVA à 2,1% à partir du moment où la loi a été votée et où nous avons été reconnus comme service de presse en ligne par la CPPAP. Financièrement, prendre le risque d’une telle procédure était impensable à notre niveau " />


Ok merci, votre prudence s’est finalement montré un choix judicieux

Le 06/11/2015 à 08h 58

Les aides de l’État je verrai plutôt ça comme les aides à la presse qui permettent de récupérer des fonds publics.
Je pense qu’une communication officielle sur le sujet serait de toute façon bienvenue ne serait-ce que pour rassurer la communauté NXI.

Le 06/11/2015 à 08h 48

Bravo à toute l’équipe de NXI qui a su innover pour rester attractive et proposer du vrai contenu journalistique et non des simples reprises de fil AFP.

Sinon petite question MarcRees, David_L est-ce que risquez d’avoir le même soucis que Médiapart concernant la TVA ou vous avez pris des précautions de votre côté ?

Merci

Le 13/08/2015 à 16h 23

Il semble que le procureur de Paris oublie qu’en France le fait ne de refuser de donner ses clés / mot de passe de déchiffrement dans le cadre d’une enquête judiciaire est passible de prison.
 
Article 434-15-2 du code pénal:
 

Est puni de trois ans d’emprisonnement et de 45 000 euros d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende.

 Même si on ne peut accéder au contenu on peut déjà envoyer quelqu’un en prison. 

Plus généralement, si la seule preuve dans une enquête est un appareil chiffré c’est très mince et on peut toujours tenter d’arrêter la personne en flagrant délit une fois que celle-ci à tapé son code de déchiffrement ou tenter d’intercepter celui-ci.
 
La généralisation du chiffrement va juste empêcher les services de renseignement de faire de la surveillance de masse facilement et c’est surtout ça le fond du problème pour ces gens là.

Le 16/10/2013 à 09h 06

Je ne sais pas si quelqu’un a déjà posté ce lien mais Canard PC Hardware avait fait en 2012 une enquête très intéressante sur la nocivité des ondes.

http://www.canardpc.com/pdf/CPCHW13.pdf (c’est à la page 69 du PDF)

Le 06/10/2012 à 07h 31

Cette attaque DDOS aurait permis à au moins un pirate d’accéder au serveur du ministère et ainsi d’obtenir divers identifiants, permettant notamment d’entrer dans l’intranet du ministère.


Je doute fortement qu’une attaque DDOS (déni de service distribué) permette de s’introduire sur un serveur. Au plus ça peut tellement pourrir les logs que tu peux espérer te fondre dans la masse.


un fichier contenant près de 1500 courriels et mots de passe de fonctionnaires aurait été dérobé


Si un tel fichier existe c’est assez honteux " />