Un exemple simple mais pas forcément praticable sont les chaînes de Lamport.
Tu choisis un mot de passe, tu le hash 1000 fois et stoke le résultat sur le service authentification.
Quand tu veux t’authentifier, tu envoies ton mot de passe hashé 999 fois, le service, le hash une fois, si ça correspond à ce qui est stocké c’est la preuve que tu connais le secret et tu est donc authentifier. Le service n’a plus qu’a stocker le nouveau hash. Et aussi de suite à chaque authentification jusqu’à ce que le compte de hash stocké arrive à 2. À ce moment il faut renouveler le mot de passe et refournir son 1000eme hash.
Ce n’est pas plus sécurisé que les autres systèmes, à ceci près que ton mot de pas n’a jamais circuler sur le réseau.
Le
05/01/2022 à
07h
27
Mathisca a dit:
Ici on parle uniquement du mot de passe lors de la création du compte. Il est sans doute généré, envoyé, puis hashé pour être mis en BDD.
Non, ce n’est pas le cas, Free peut te renvoyer ton mon de passe en clair si tu le demandes.
Mais c’est toujours la même rengaine. Avec les peuvent nulles de divulgation de connaissances, le mot de passe ne devrait jamais être transmis aux services d’authentification. Seule la preuve que l’on connait le secret est nécessaire.
Ca ne règle en rien le problème : dès que tu montres ton QR code, tu exposes entièrement ton parcours immunitaire et tu n’as plus aucun contrôle sur ce que deviennent ces informations.
Sachant qu’en plus d’être capté par la caméra du vérificateur dernière laquelle tu ne peux savoir quelle application tourne, il peut être aussi capté par d’autres caméra.
Mais bon je n’ai aucune idée pour faire une vraie sécurisation.
Je n’ai pas vraiment eu de retour positif (mon anglais épouvantable n’aide pas non plus)
Ma conclusion est qu’il n’est pas possible d’empêcher de laisser fuiter des informations car si on peut faire plusieurs test (en changeant les dates par exemple) on pourra déduire de choses.
J’avais espéré que Zk-snarks pourrait résoudre le problème suivant : l’autorité de vaccination/test fourni les données du schéma vaccinale sous une forme cachée (chiffrée ou hashée mais non déchiffrable par le vérificateur). L’autorité de vérification établit un circuit qui valide les données (sans les déchiffrer) et fourni ces circuits aux vérificateurs.
Mais d’après ce que j’ai compris, les systèmes de preuves nulles de divulgation de connaissances ne fonctionne pas comme cela.
Le problème est que la preuve est liée à la fonction de vérification, donc si les conditions de validité du passe changent, il faudrait régénérer tous les passes.
Cela m’amène vers un système de calcul inconscient qui semble impraticable en dehors de moyens de calcul totalement opaque et sécurisé, ce qui n’existe pas.
Après, il est très probablement possible d’obtenir ce résultat de façon astucieuse dans ce cas particulier.
J’ai eu un jeu sur Apple 2 où il fallait guider une sorte de sous-marin en connectant des portes logiques et des bascules a ses détecteurs et ses propulseurs. Je ne sais plus comment s’appelle ce jeu.
Même si tu avais raison et que le problème c’était les parents, c’est quoi ta proposition en dehors de faire des incantations pour qu’il n’y ai plus de mauvais parents ?
Ce que j’ai retenues des grandes phases du passage de l’enfance à l’age adulte c’est que jusqu’à 12 ans c’est l’imitation ensuite c’est la transgression jusqu’à environ 15 ans puis c’est la rébellion.
Tu peux donner toutes les lessons que tu veux, tu ne changera pas la maturation du cerveau humain.
Avant d’en avoir j’avais aussi beaucoup de théorie sur l’éducation des enfants.
Le
18/06/2021 à
08h
31
On peut ergoter pendant des heures des questions d’éducation. On peut rejeter la faute sur les parents, mais ça ne change rien au fait que des mineurs voir de très jeunes mineurs peuvent accéder à des images particulièrement inadapté à leur age.
J’aime bien les donneurs de leçons sur l’éducation. Quand je les entends j’ai l’impression qu’ils m’ont aucune expérience éducative.
Il ne faut pas oublié qu’avec la poperisation de la société la situation des parents n’est pas forcément simple.
Par contre faire la lesson aux autres c’est super facile et sans risque mais ça n’a aussi aucune valeur car n’induit aucun Progrès.
L’éducation ce n’est pas que les parents, c’est la société dans son ensemble.
Cette loi est un cavalier législatif car je ne vois pas la relation entre les violences entre conjoints et l’accès aux sites porno par les mineurs.
Enfin parmi les donneurs de leçons on a un ministre de l’intérieur qui n’est pas vraiment légitime pour cela.
Le
17/06/2021 à
11h
39
DayWalker a dit:
Encore une usine à gaz qui ne servira à rien. Et l’éducation des enfants, c’est pour quand ? Ah mince, ca demande un effort de la part des parents… alors que c’est pourtant LEUR rôle.
Produire une béquille technologique pour combler un problème d’éducation n’est certainement pas une bonne chose.
Ici cependant je ne crois pas que l’éducation rentre en jeu. Nous éduquons les enfants pour qu’ils soient curieux, sauf que dans ce cas la ce n’est pas bien.
C’est l’évolution technologique qui rends ces images disponible, donc c’est plutôt logique que la technologie empêche les plus jeunes d’y être exposé.
Le
17/06/2021 à
11h
24
croustx a dit:
Ça va se finir avec NORDVPN pour les les personnes souhaitant y aller sans contrôle…
J’envisage (mais c’est a vérifier) que peu de mineurs et encore moins de très jeunes mineurs ne possèdent d’abonnement à des VPN. Ce sera donc plus filtrant que juste un bouton “j’ai plus de 18 ans” ce qui est justement le but.
Le
17/06/2021 à
11h
17
J’ai fait une proposition d’ingénieur pour répondre à un problème sans me positionner de côté philosophique.
C’est plutôt une bonne idée de limiter efficacement l’accès à la pornographie. Mais c’est encore mieux si c’est juste et sans dommage collatéral.
De fait, je suis d’accord, il faut que ce soit suffisamment simple pour ne pas être élitiste.
Je suis également d’accord avec le biais soulever au sujet des informations qui seront révélées au tier de confiance. Il saura obligatoirement pourquoi est faite la preuve.
Le choix des tiers risque d’être crucial.
Le
17/06/2021 à
08h
52
Je relance mon crédo : la preuve nulle de divulgation de connaissances.
Que faut-il démontrer ? que l’utilisateur à plus de 18 ans et rien que cela.
Que faut il éviter ? Que le tier de confiance qui fourni la preuve sache pour qui il le fait. L’idéale serait qu’il le face de façon inconsciente.
Proposition de mécanisme :
l’utilisateur demande un jeton de connexion au service.
L’utilisateur demande au tier de confiance de fournir une preuve qui sera liée au jeton
le tier de confiance publie la preuve dans une chaine de blocks par exemple
Le service scrute la chaîne pour retrouver la preuve liée au jeton
Si la preuve est valide, le service ouvre une session pour l’utilisateur.
Les moyens cryptographiques existent, il faut juste une volontée politiques pour les mettre en œuvre.
J’ai du la présenter avec ma carte Vitale à l’entrée du vaccinodrome. Les agents de sécurité demandaient à ce qu’on prépare la CV, un justificatif d’identité et la preuve qu’on avait un rendez-vous avant de laisser entrer.
Rien ne m’a été demandé pour ma vaccination, j’ai juste rempli le questionnaire. L’existence du RDV n’a même été vérifiée. Dans centre ils vaccinent au moins 50 personnes par heure 6 jours sur 7.
Le
07/06/2021 à
09h
50
Déjà la chaîne de confiance est cassée dès le départ car aucune vérification d’identité n’est faite au moment de la vaccination (en tout les cas pour ma part).
C’est tellement Ridicule de tenter de bloquer la copie en empêchant la capture d’écran que j’ai honte pour ceux qui ont eu cette idée. Ceux qui croient que c’est utile doivent imaginer qu’ils sont dans un monde sans camera.
Ensuite ces applications sont particulièrement bavardes.
Je reprends mon crédo de preuve nulle de divulgation de connaissances,.Il faut juste faire la preuve que la personne est immunisée à une date donnée ou jusqu’à une certaine date. Cela peut être suite à une vaccination ou peut-être déterminer par un test.
Donc le cas d’usage est simple l’organisme (verifieur) qui veut la preuve fourni une date et le quidam (prouveur) qui montre la preuve liée à son identité et la réponse oui par rapport a la date proposée.
Je vois bien un biais sur la date car en faisant plus essaies on pourrait la trouver.
Cela serait il possible sans interaction et donc montrant un papier ? Je paris que oui dans la mesure ou il est démontré que les preuves interactives peuvent être transformées en preuve non interactive.
Pour les organismes qui ont besoins de plus de détails ils n’ont qu’à interroger une basse de données à accès contrôler et journalisé.
Pourtant, c’est encore la meilleure solution. Le papier se perd, se falsifie, peut être erroné, ne permet pas la traçabilité (important quand il s’agit de savoir qui on a croisé), etc …
Aujourd’hui la majorité à un smartphone et au moins une appli bavarde. Donc pourquoi pas celle développée par/pour l’Etat dans un but sanitaire ?
(PS : j’ai pas de smartphone, je compte pas en avoir et je préfère le format papier aussi )
Arcy a dit:
Pourtant, c’est encore la meilleure solution. Le papier se perd,
Oui et un téléphone mobile aussi
se falsifie
On peut faire du HMAC et l’imprimer sous la forme d’un code optique
peut être erroné
Papier ou autre n’a pas d’influence sur la qualité des données entrées
ne permet pas la traçabilité (important quand il s’agit de savoir qui on a croisé), etc …
C’est sans rapport avec l’objectif qui est de prouver l’immunité.
Aujourd’hui la majorité à un smartphone et au moins une appli bavarde. Donc pourquoi pas celle développée par/pour l’Etat dans un but sanitaire ?
C’est toujours la même rengaine : ce n’est pas parce que c’est fait ailleurs que c’est bien de le faire partout. Ensuite une entreprise ne peut pas encore utiliser les informations qu’elle collecte pour déclancher une action judiciaire, pas forcément justifiée (soupçon d’association de malfaiteurs pour avoir recherché par hazard la même chose qu’un bandit),alors qu’un état pourrait te demandé d’expliquer pourquoi tu as passé 30 avec un truant, alors qu’en fait vous étiez juste dans le même métro. Même si ce cas peux sembler légitime la curiosité d’un état peu s’étendre aux activités de journalistes, d’avocats ou de médecins, ou servir de moyen de pression annexe pour d’autres sujets.
Le
20/04/2021 à
08h
47
C’est quand même un gros problème d’avoir dans une une même application, une fonction de traçage des contacts pseudo anonyme et fonction de stockage d’informations nominatives.
Le
20/04/2021 à
08h
40
Soriatane a dit:
Si seulement toutes les applications fournit par l’État, les Régions, les Mairies et autres services public en faisaient autant…
Question naïve : comment pouvons-nous avoir la preuve que l’apk est bien le résultat de la compilation des sources fournis ?
L’opinion personnel que je partage avec moi même, c’est qu’il fallait essayer et les efforts mis en œuvre pour cet essai m’ont semblé proportionnés.
Maintenant nous savons que pour des raisons sociales techniques et biologiques cette application ne peut rendre les services pour laquelle elle a été conçue et il faut maintenant arrêter les frais.
Nos dirigeants sont l’inverse de Midas et transforme tout ce qu’ils touchent en de la merde.
Dans le cas présent en cachant le nombre d’utilisateurs et en communiquant uniquement sur le nombre d’installations ils ont totalement vicier le débat. Ce faisant ils donnent eux même des indices que l’appli a un Impact positif particulièrement négligeables.
Il s’entête et s’imagine que l’application est un enjeu politique alors qu’en fait c’est juste leur entêtement qui est politique.
Maintenant nous allons arriver au scanne des QRcode et probablement des preuves d’immunité. Sans juger l’intérêt de ces 2 sujets, il faut absolument qu’ils larguent le boulet StopTousAntiTeleCovid.
Le
08/04/2021 à
14h
34
C’est la publication de l’INSERM qui propose une équation de la forme f(a) = ka. Mais je trouve aussi que cet argument est faible. C’est le problème du mathématicien qui voit un mouton noir en Irlande. J’envisages très bien que des fonction de modèles physiques ne soient parfaites sur le plan mathématiques.
Cependant c’est quand une tromperie de dire d’une part que le nombre de contacts est de 8 et présenter un modèle pour 10 à 50 contacts.
Le
08/04/2021 à
12h
33
Je vois qu’on a affaire au troll de service que entame son discours par une attaque ad hominem injustifiée car je pense qu’un maître de conférences est bien un scientifiques. Qui continue pour une interprétation fausse d’un calcul qui n’est pas le resultat d’une règle de trois mais le résultat par la valorisation de la variable aux limite. Mais en fait c’est aussi une fonction linéaire.
Le
08/04/2021 à
10h
09
Je pensais que Nextinpact allait arrêter de nous reservir cet article rédactionnel tout moisi commandé par le gouvernementi, qui ne démontre qu’une tautologie : si ça marche ça marche.
Le Québec est-il donc toujours une dépendance française ?
Peut-être ce sont-ils juste dit qu’une bonne pratique venue des cousins valait la peine d’être reprise.
Le
08/04/2021 à
09h
35
Pareil pour la mutuelle du boulot, et non seulement le mot de passe était envoyé en clair, mais en plus, toutes les lettres minuscules ont été transformées en majuscule. (Finalement, il s’avère que le champ à la connexion est insensible à la casse)
D’ailleurs : “le mot de passe doit être composé uniquement de lettres non accentuées et de chiffres, en majuscule ou en minuscule et sa longeur doit être comprise entre 5 et 8 caractères”
Quelque temps après le site ne renvoyait plus le mot de passe en clair.
Le
08/04/2021 à
09h
22
Je suis dedans, mais je me souviens pas d’avoir jamais donné mon numéro à FB. Pour mon nom/prénom date de naissance pareil, ils ont recoupé avec d’autres sources, très probablement Google.
Le
07/04/2021 à
08h
19
Quand je vois que Free enregistre en clair ou au moins de façon déchiffrable les mots de passe de ses clients (il m’ont renvoyé le mien dans un email), je me dis qu’on est vraiment au tout début de ces violations de données.
On nous a bien vanté l’importance des premiers de cordée, mais je les trouve bien inactifs pour remonter la cordée maintenant qu’ils ont atteint le sommet.
La descente pourait être douloureuse au moment où ils vont croiser les autres membres de l’équipe.
Non c’est différent. La démonstration de l’INSERM n’est pas correct donc elle ne prouve pas ce qu’elle prétend prouver ni le contraire.
Pour le “faussement”, cela reste une question de croyance. Chacun prends les signes qui l’intéressent pour appuyer sa croyance et à la fin personne ne convaint personne.
En tant que non croyant, je vois beaucoup d’obstacles pour que ce type d’application soit utile pour lutter contre la pandémie et j’ai bien peu d’indice que je me trompe.
En plus une population qui sera disciplinée (par choix ou par la force) à utiliser une telle application le sera aussi pour respecter les gestes barrières, donc on ne pourra rien en déduire.
Ce qui me chagrine c’est la charge politique qui est mise dans l’application en France, en nous cachant le nombre de vrais utilisateurs.
Le
13/01/2021 à
10h
59
C’est un peu dommage que Next fasse un article boîte à lettre sans valeur ajoutée.
Déjà l’étude de l’INSERM est largement critiquée car elle utilise des chiffres en entrée des ses calculs qui sont en dehors des hypothèses qu’elle propose. https://flesueur.medium.com/analyse-de-létude-de-l-inserm-sur-tousanticovid-f44670e706e5 Cette étude est une tautologie, car en prenant l’hypothèse qu’elle fonctionne elle conclut qu’elle fonctionne.
Ensuite la reprise des informations sur le nombre d’activation pour prouver que l’application est utilisée pour sa fonction de contact tracking est largement trompeuse. Que le gouvernement s’entête à cacher les vrais chiffres significatifs est une décision politique puante. Que les média comme Nextinpact les reprennent sans discernement m’interroge.
Tu viens de décrire le protocole oauth c’est ce qui si se passe quand tu cliques sur les boutons me connecter avec mon compte Facebook (Microsoft…) sur un site quelconque :)
on pourrait imaginer franceconnect serve de confiance par ex, il faudrait ajouter une surcouche d’autorisation comme sur un téléphone auquel on pourrait ajouter un laïus pédagogique par ex :
le site “xxx” souhaite savoir si vous êtes majeur, => xxx n’a aucune connaissance d’autre info, france connect n’a aucune connaissance du site ou d’un identifiant de session sur ce site
le site “y” souhaite accéder à votre date de naissance => “Comprendre ce qu’est une donnée personnelle” / “refuser” / “accepter”
le site “shop” souhaite accéder à votre identité & coordonnées postales => meilleur maitrise des données personnelles, on pourrait imaginer avoir une déclaration / contrôle à la CNIL pour vérifier si le site respecte la loi
le site “réseau social” souhaite générer un identifiant anonyme unique associé à votre identité => réseau social et france-connect partage un identifiant secret. Chaque site connait le lien avec l’id Facebook, l’id réelle. En cas de pb avec la loi un juge peut réclamer aux 2 parties de divulguer ce secret et l’anonymat est levé. En temps normal aucun des deux sites n’a connaissance de l’identité sur l’autre site la seule info est l’existence d’uin compte sans en connaitre l’id.
C’est théoriquement parfait, en pratique les paranos de services vont crier au scandale dès qu’un truc est géré par l’état. Cf stopcovid, où une partie des médias à crier directement (crie toujours) au scandale sans même comprendre le fonctionnement totalement anonyme de l’outil.
Dans mon idée ce n’est surtout pas un système d’authentification. J’imagine que tout le monde comprend que c’est orienté vers l’autorisation à accéder à un site pour adulte. Ce pourrait aussi servir pour prouver que quelqu’un a un minimum de fond sur son compte.
Ensuite la preuve n’est pas en elle-même signifiante pour quiconque n’aurait pas la clé.
Le
03/12/2020 à
13h
30
Se serait bien d’avoir adossé a ce service un service de preuve nulle de divulgation de connaissance.
Le besoin le plus évident est de montrer qu’une personne est majeur sans révéler son age.
Exemple un site a besoin de savoir si une personne est majeur, il fournit une clé. L’utilisateur fait vérifier son identité auprès du service, communique la clé et ce qu’il veut prouver. Le service renvoie une preuve non interactive nulle de divulgation de connaissance combinée avec la clé. L’utilisateur transmet la preuve au site qui vérifie la preuve et statue.
De cette façon le service ne sait pas pourquoi la preuve est demandé et le site ne sait rien d’autre que la majorité de l’utilisateur à qui il a fourni la clé.
Les gens qui citent Orwell en se croyant intelligent, mon Dieu… “Le grand mensonge” nia nia nia Ça me fatigue ce genre de commentaire.
L’état cache les chiffres d’usage réel, il ment et impose des mesures et des restrictions de liberté qu’il ne veut pas justifier. Il n’agit pas loyalement.
Le chiffre de 493 000 a été obtenu par le journaliste, en quoi est-il faux ? Quelle est ta source ?
Ma source c’est la même que la tienne, le journaliste dit 493, et tu multiplies par 1 000. Selon toi près d’un téléchargement sur 4 qui aurait reçu une alerte ça n’était pas possible alors j’ai écouté.
C’est bien tu vas aller expliquer ça à toutes les équipes qui ont réfléchi à la question.
Quand un outil de test est en dessous d’un seuil du fiabilité suffisant, l’outil ne sert à rien et fait perdre du temps à tout le monde.
Sinon, pas de problème indique moi l’équipe qui a fait la justification du besoin et les documents qu’elle a produit. Et je te montrerai que soit le besoin n’est pas justifié, soit il n’est pas couvert (je ne parle pas du besoin politique).
La CNIL attend toujours l’analyse d’efficacité.
Et n’oublie pas de prévenir SpaceX à propos des rayons cosmiques. Je ne vois pas le rapport, mais t’inquiète, dans l’industrie aérospatiale, ils sont familiers de ce genre de vérification.
Le
16/10/2020 à
14h
01
Jetto a dit:
Je découvre que l’application finlandaise qui a été adopté par 40% de la population utilise un protocole qui ressemble à ROBERT.
N’importe quoi, il ne faut pas croire le site du gouvernement finlandais sur le sujet. C’est l’Exposure Notifications API qui est utilisée.
Le
16/10/2020 à
13h
34
Je découvre que l’application finlandaise qui a été adopté par 40% de la population utilise un protocole qui ressemble à ROBERT.
Le
16/10/2020 à
13h
05
OlivierJ a dit:
Il y a d’autres pays dont les habitants ont bien plus adopté ce genre d’application, de mémoire l’Allemagne et certains pays asiatiques (du côté de Singapour).
Non c’est resté très très loin d’une utilisation massive. Comme je vois les choses ce serait au moins 50% des téléphones compatibles.
Le
16/10/2020 à
12h
51
Jetto a dit:
Alerter presque 500 000 personnes, ce serait aussi une erreur, c’est presque 25% du nombre de téléchargement.
Mais non c’est 493 personnes, il aurait même du dire 493 alertes car plusieurs alertes peuvent toucher la même personne (doublon de téléphone).
Mais c’est la conséquence de l’échec sociologique ce qui couvre les défauts technologiques.
Le
16/10/2020 à
12h
24
Alerter presque 500 000 personnes, ce serait aussi une erreur, c’est presque 25% du nombre de téléchargement.
Le grand mensonge, c’est que le nombre d’applications actives est parfaitement connu car chaque appli doit régulièrement réclamer ses identifiants temporaire au serveur.
L’IGNORANCE C’EST LA FORCE (Ministère de la Vérité), voila le jeu du gouvernement.
Sur le plan technique, la détection des contacts par BT est bien trop aléatoires pour qu’on puisse s’y fier. Enfin les contraintes de respect de la vie privée font qu’aucune donnée utile n’est produites, juste les heures des contacts.
Donc ce genre d’application est 100% inutile pour contrer la propagation du virus.
Le
15/10/2020 à
14h
13
Imaginons que l’application soit par miracle massivement utilisée; un truc de dingue qu’aucun pays n’a réussi.
Que se passerait-il compte tenu de l’incapacité de l’appli à discriminer les cas contacts pertinents ?
Franchement, je n’arrive pas envisager de scénarios qui améliorerait le traitement de la pandémie.
Déjà je me demande combien de personnes sont prêtes à s’isoler après une alerte donnée par une l’application?
Dans certains hôpitaux des personnes doivent continuer à travailler en étant positives, j’imagine ce que ce serait pour de simple cas contacts déclarés par application dans les autres secteurs d’activités.
Le
15/10/2020 à
10h
56
Le déni d’échec est le premier pas vers l’échec suivant. Si on laisse de côté le fait que le contact tracking par Bluetouth est terriblement imprécis, il y a 2 sujets essentiels à traiter :
à quoi sert cette application? La question est loin d’être vite répondu.
que faut-il pour une adoption volontaire et durable de masse ?
Je comprends pas comment la solution Allemande peut donner le nombre de notifications vu que c’est côté client que sont déterminés les contactes à risque.
Le
09/10/2020 à
10h
51
Sur le nombre d’utilisateurs des applications de traçage, on nous enfume en nous parlant seulement des installations/desinstallations.
Pour stopcovid, c’est facile car chaque applications doit réclamer périodiquement ses identifiants temporaires au serveur.
Pour les pseudo décentralisées, c’est plus compliqué, mais elles aussi doivent contacter le serveur pour avoir la liste des identifiants positifs. Donc même si c’est moins précis on devrait pouvoir déduire du nombre de consultation, le nombre consultants uniques..
Le
09/10/2020 à
10h
27
C’est amusant, au Quebec, ils viennent aussi de lancer une application de traçage.
Les anglais ont rusé en ajoutant un service d’enregistrement dans les bars. Ça fait un mixte bizarre entre du pseudo anonyme et du déclaratif, mais ça semble marcher.
Sur les forums techno on ne voit pas forcément les choses comme la majorité des gens, donc nos arguments ne sont pas forcément les meilleurs pour expliquer la non adoption.
J’ai de sérieux doutes quand à la capacité d’une mesure Bluetouth à identifié des cas contacts pertinents. En plus j’imagine que lorsque l’on a une alerte, il faut se mettre en quarantaine et attendre 7 jours pour faire un test.
Le coup d’une fausse alerte n’est pas négligeable. Avec le port du masque, la pertinence des alertes diminue.
Oui cette tarte a la crème centralisé/décentralisé est vraiment lourde.
J’aimerais que ceux qui parlent de ce sujet essayent au moins de lire les protocoles.
Et la surprise, ils découvriraient que les systèmes décentralisé centralisent les identifiants que les positifs ont broadcasté durant la période où ils étaient contagieux, pour que les autres puissent savoir s’ils été en contact avec un cas contagieux.
Bref il n’est pas possible de faire un système de traçage décentralisé, ont peut juste soit centraliser les cas contacts soit centraliser les cas positifs.
98 commentaires
La CNIL impose une sanction de 300 000 euros à l’encontre de Free Mobile
04/01/2022
Le 05/01/2022 à 07h 46
Un exemple simple mais pas forcément praticable sont les chaînes de Lamport.
Tu choisis un mot de passe, tu le hash 1000 fois et stoke le résultat sur le service authentification.
Quand tu veux t’authentifier, tu envoies ton mot de passe hashé 999 fois, le service, le hash une fois, si ça correspond à ce qui est stocké c’est la preuve que tu connais le secret et tu est donc authentifier. Le service n’a plus qu’a stocker le nouveau hash. Et aussi de suite à chaque authentification jusqu’à ce que le compte de hash stocké arrive à 2. À ce moment il faut renouveler le mot de passe et refournir son 1000eme hash.
Ce n’est pas plus sécurisé que les autres systèmes, à ceci près que ton mot de pas n’a jamais circuler sur le réseau.
Le 05/01/2022 à 07h 27
Non, ce n’est pas le cas, Free peut te renvoyer ton mon de passe en clair si tu le demandes.
Mais c’est toujours la même rengaine. Avec les peuvent nulles de divulgation de connaissances, le mot de passe ne devrait jamais être transmis aux services d’authentification. Seule la preuve que l’on connait le secret est nécessaire.
Un chercheur israélien craque 70 % des 5 000 réseaux Wi-Fi qu’il avait sniffés
29/10/2021
Le 29/10/2021 à 09h 29
Il me semblait que les mots de passe wifi étaient indifférent de la casse.
Le passe sanitaire de Jean Castex diffusé en ligne
20/09/2021
Le 22/09/2021 à 09h 33
Ca ne règle en rien le problème : dès que tu montres ton QR code, tu exposes entièrement ton parcours immunitaire et tu n’as plus aucun contrôle sur ce que deviennent ces informations.
Sachant qu’en plus d’être capté par la caméra du vérificateur dernière laquelle tu ne peux savoir quelle application tourne, il peut être aussi capté par d’autres caméra.
Mais bon je n’ai aucune idée pour faire une vraie sécurisation.
Le 21/09/2021 à 09h 46
En tant que naïf j’ai tenté de lancer la discussion plusieurs fois sur reddit : how to validate secured statement on hidden values
Je n’ai pas vraiment eu de retour positif (mon anglais épouvantable n’aide pas non plus)
Ma conclusion est qu’il n’est pas possible d’empêcher de laisser fuiter des informations car si on peut faire plusieurs test (en changeant les dates par exemple) on pourra déduire de choses.
J’avais espéré que Zk-snarks pourrait résoudre le problème suivant : l’autorité de vaccination/test fourni les données du schéma vaccinale sous une forme cachée (chiffrée ou hashée mais non déchiffrable par le vérificateur).
L’autorité de vérification établit un circuit qui valide les données (sans les déchiffrer) et fourni ces circuits aux vérificateurs.
Mais d’après ce que j’ai compris, les systèmes de preuves nulles de divulgation de connaissances ne fonctionne pas comme cela.
Le problème est que la preuve est liée à la fonction de vérification, donc si les conditions de validité du passe changent, il faudrait régénérer tous les passes.
Cela m’amène vers un système de calcul inconscient qui semble impraticable en dehors de moyens de calcul totalement opaque et sécurisé, ce qui n’existe pas.
Après, il est très probablement possible d’obtenir ce résultat de façon astucieuse dans ce cas particulier.
Le 21/09/2021 à 09h 25
.
Et si on apprenait les portes logiques dès le plus jeune âge ?
08/09/2021
Le 09/09/2021 à 09h 22
Presque c’est Robot Odyssey.
Le 08/09/2021 à 10h 45
J’ai eu un jeu sur Apple 2 où il fallait guider une sorte de sous-marin en connectant des portes logiques et des bascules a ses détecteurs et ses propulseurs. Je ne sais plus comment s’appelle ce jeu.
La CNIL examine le projet de décret relatif au blocage des sites pornos accessibles aux mineurs
17/06/2021
Le 18/06/2021 à 13h 20
Même si tu avais raison et que le problème c’était les parents, c’est quoi ta proposition en dehors de faire des incantations pour qu’il n’y ai plus de mauvais parents ?
Ce que j’ai retenues des grandes phases du passage de l’enfance à l’age adulte c’est que jusqu’à 12 ans c’est l’imitation ensuite c’est la transgression jusqu’à environ 15 ans puis c’est la rébellion.
Tu peux donner toutes les lessons que tu veux, tu ne changera pas la maturation du cerveau humain.
Avant d’en avoir j’avais aussi beaucoup de théorie sur l’éducation des enfants.
Le 18/06/2021 à 08h 31
On peut ergoter pendant des heures des questions d’éducation. On peut rejeter la faute sur les parents, mais ça ne change rien au fait que des mineurs voir de très jeunes mineurs peuvent accéder à des images particulièrement inadapté à leur age.
J’aime bien les donneurs de leçons sur l’éducation. Quand je les entends j’ai l’impression qu’ils m’ont aucune expérience éducative.
Il ne faut pas oublié qu’avec la poperisation de la société la situation des parents n’est pas forcément simple.
Par contre faire la lesson aux autres c’est super facile et sans risque mais ça n’a aussi aucune valeur car n’induit aucun Progrès.
L’éducation ce n’est pas que les parents, c’est la société dans son ensemble.
Cette loi est un cavalier législatif car je ne vois pas la relation entre les violences entre conjoints et l’accès aux sites porno par les mineurs.
Enfin parmi les donneurs de leçons on a un ministre de l’intérieur qui n’est pas vraiment légitime pour cela.
Le 17/06/2021 à 11h 39
Produire une béquille technologique pour combler un problème d’éducation n’est certainement pas une bonne chose.
Ici cependant je ne crois pas que l’éducation rentre en jeu. Nous éduquons les enfants pour qu’ils soient curieux, sauf que dans ce cas la ce n’est pas bien.
C’est l’évolution technologique qui rends ces images disponible, donc c’est plutôt logique que la technologie empêche les plus jeunes d’y être exposé.
Le 17/06/2021 à 11h 24
J’envisage (mais c’est a vérifier) que peu de mineurs et encore moins de très jeunes mineurs ne possèdent d’abonnement à des VPN. Ce sera donc plus filtrant que juste un bouton “j’ai plus de 18 ans” ce qui est justement le but.
Le 17/06/2021 à 11h 17
J’ai fait une proposition d’ingénieur pour répondre à un problème sans me positionner de côté philosophique.
C’est plutôt une bonne idée de limiter efficacement l’accès à la pornographie. Mais c’est encore mieux si c’est juste et sans dommage collatéral.
De fait, je suis d’accord, il faut que ce soit suffisamment simple pour ne pas être élitiste.
Je suis également d’accord avec le biais soulever au sujet des informations qui seront révélées au tier de confiance. Il saura obligatoirement pourquoi est faite la preuve.
Le choix des tiers risque d’être crucial.
Le 17/06/2021 à 08h 52
Je relance mon crédo : la preuve nulle de divulgation de connaissances.
Que faut-il démontrer ? que l’utilisateur à plus de 18 ans et rien que cela.
Que faut il éviter ? Que le tier de confiance qui fourni la preuve sache pour qui il le fait. L’idéale serait qu’il le face de façon inconsciente.
Proposition de mécanisme :
Les moyens cryptographiques existent, il faut juste une volontée politiques pour les mettre en œuvre.
Pass sanitaire : la poudre aux yeux du pseudonymat, des données médicales en clair
07/06/2021
Le 07/06/2021 à 13h 04
Rien ne m’a été demandé pour ma vaccination, j’ai juste rempli le questionnaire. L’existence du RDV n’a même été vérifiée. Dans centre ils vaccinent au moins 50 personnes par heure 6 jours sur 7.
Le 07/06/2021 à 09h 50
Déjà la chaîne de confiance est cassée dès le départ car aucune vérification d’identité n’est faite au moment de la vaccination (en tout les cas pour ma part).
C’est tellement Ridicule de tenter de bloquer la copie en empêchant la capture d’écran que j’ai honte pour ceux qui ont eu cette idée. Ceux qui croient que c’est utile doivent imaginer qu’ils sont dans un monde sans camera.
Ensuite ces applications sont particulièrement bavardes.
Je reprends mon crédo de preuve nulle de divulgation de connaissances,.Il faut juste faire la preuve que la personne est immunisée à une date donnée ou jusqu’à une certaine date. Cela peut être suite à une vaccination ou peut-être déterminer par un test.
Donc le cas d’usage est simple l’organisme (verifieur) qui veut la preuve fourni une date et le quidam (prouveur) qui montre la preuve liée à son identité et la réponse oui par rapport a la date proposée.
Je vois bien un biais sur la date car en faisant plus essaies on pourrait la trouver.
Cela serait il possible sans interaction et donc montrant un papier ? Je paris que oui dans la mesure ou il est démontré que les preuves interactives peuvent être transformées en preuve non interactive.
Pour les organismes qui ont besoins de plus de détails ils n’ont qu’à interroger une basse de données à accès contrôler et journalisé.
TousAntiCovid intègre un Carnet de tests, les vaccinations dès le 29 avril
20/04/2021
Le 20/04/2021 à 09h 17
Oui et un téléphone mobile aussi
On peut faire du HMAC et l’imprimer sous la forme d’un code optique
Papier ou autre n’a pas d’influence sur la qualité des données entrées
C’est sans rapport avec l’objectif qui est de prouver l’immunité.
C’est toujours la même rengaine : ce n’est pas parce que c’est fait ailleurs que c’est bien de le faire partout. Ensuite une entreprise ne peut pas encore utiliser les informations qu’elle collecte pour déclancher une action judiciaire, pas forcément justifiée (soupçon d’association de malfaiteurs pour avoir recherché par hazard la même chose qu’un bandit),alors qu’un état pourrait te demandé d’expliquer pourquoi tu as passé 30 avec un truant, alors qu’en fait vous étiez juste dans le même métro. Même si ce cas peux sembler légitime la curiosité d’un état peu s’étendre aux activités de journalistes, d’avocats ou de médecins, ou servir de moyen de pression annexe pour d’autres sujets.
Le 20/04/2021 à 08h 47
C’est quand même un gros problème d’avoir dans une une même application, une fonction de traçage des contacts pseudo anonyme et fonction de stockage d’informations nominatives.
Le 20/04/2021 à 08h 40
Question naïve : comment pouvons-nous avoir la preuve que l’apk est bien le résultat de la compilation des sources fournis ?
TousAntiCovid : 4,8 millions d’euros de dépenses de comm’
08/04/2021
Le 09/04/2021 à 09h 37
L’opinion personnel que je partage avec moi même, c’est qu’il fallait essayer et les efforts mis en œuvre pour cet essai m’ont semblé proportionnés.
Maintenant nous savons que pour des raisons sociales techniques et biologiques cette application ne peut rendre les services pour laquelle elle a été conçue et il faut maintenant arrêter les frais.
Nos dirigeants sont l’inverse de Midas et transforme tout ce qu’ils touchent en de la merde.
Dans le cas présent en cachant le nombre d’utilisateurs et en communiquant uniquement sur le nombre d’installations ils ont totalement vicier le débat. Ce faisant ils donnent eux même des indices que l’appli a un Impact positif particulièrement négligeables.
Il s’entête et s’imagine que l’application est un enjeu politique alors qu’en fait c’est juste leur entêtement qui est politique.
Maintenant nous allons arriver au scanne des QRcode et probablement des preuves d’immunité. Sans juger l’intérêt de ces 2 sujets, il faut absolument qu’ils larguent le boulet StopTousAntiTeleCovid.
Le 08/04/2021 à 14h 34
C’est la publication de l’INSERM qui propose une équation de la forme f(a) = ka. Mais je trouve aussi que cet argument est faible. C’est le problème du mathématicien qui voit un mouton noir en Irlande. J’envisages très bien que des fonction de modèles physiques ne soient parfaites sur le plan mathématiques.
Cependant c’est quand une tromperie de dire d’une part que le nombre de contacts est de 8 et présenter un modèle pour 10 à 50 contacts.
Le 08/04/2021 à 12h 33
Je vois qu’on a affaire au troll de service que entame son discours par une attaque ad hominem injustifiée car je pense qu’un maître de conférences est bien un scientifiques. Qui continue pour une interprétation fausse d’un calcul qui n’est pas le resultat d’une règle de trois mais le résultat par la valorisation de la variable aux limite. Mais en fait c’est aussi une fonction linéaire.
Le 08/04/2021 à 10h 09
Je pensais que Nextinpact allait arrêter de nous reservir cet article rédactionnel tout moisi commandé par le gouvernementi, qui ne démontre qu’une tautologie : si ça marche ça marche.
Analyse de l’étude de l’INSERM sur TousAntiCovid https://flesueur.medium.com/analyse-de-létude-de-l-inserm-sur-tousanticovid-f44670e706e5
Les numéros de téléphone Facebook sont désormais consultables dans Have I Been Pwned
07/04/2021
Le 08/04/2021 à 10h 13
Peut-être ce sont-ils juste dit qu’une bonne pratique venue des cousins valait la peine d’être reprise.
Le 08/04/2021 à 09h 35
Un site gouvernemental Québécois faisait pareil (renvoie du mot de passe en clair). Je les ai informé qu’en France la CNIL préconisait de prendre des précautions avec les mots de passes https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
Quelque temps après le site ne renvoyait plus le mot de passe en clair.
Le 08/04/2021 à 09h 22
Je suis dedans, mais je me souviens pas d’avoir jamais donné mon numéro à FB. Pour mon nom/prénom date de naissance pareil, ils ont recoupé avec d’autres sources, très probablement Google.
Le 07/04/2021 à 08h 19
Quand je vois que Free enregistre en clair ou au moins de façon déchiffrable les mots de passe de ses clients (il m’ont renvoyé le mien dans un email), je me dis qu’on est vraiment au tout début de ces violations de données.
La France Insoumise veut taxer « les profiteurs de crise »
07/04/2021
Le 07/04/2021 à 09h 15
On nous a bien vanté l’importance des premiers de cordée, mais je les trouve bien inactifs pour remonter la cordée maintenant qu’ils ont atteint le sommet.
La descente pourait être douloureuse au moment où ils vont croiser les autres membres de l’équipe.
OBS désormais officiellement compatible avec Wayland, la nouvelle version en approche
01/04/2021
Le 01/04/2021 à 09h 34
J’aurais aussi aimé qu’il corrigent enfin le bug qui empêche de capturer une fenêtre quand les drivers amdgpu-pro sont utilisés.
Cryptomonnaies : Boursorama permet d’agréger vos comptes Coinbase, Binance et Kraken
01/04/2021
Le 01/04/2021 à 09h 23
J’aurais voulu empiler des Tezos mais les complications pour choisir et ouvrir un compte m’ont figées.
Il faut vraiment que je creuse la question.
Free met à jour le Player de la Freebox Delta
27/01/2021
Le 27/01/2021 à 10h 58
Super, mais j’attends toujours de recevoir la mienne en migration de V5 depuis depuis début août.
Si tu restes chez Free, t’as rien compris.
TousAntiCovid : entre 80 et 120 000 euros chaque mois, pour un total de 30 000 alertes
13/01/2021
Le 13/01/2021 à 16h 10
Non c’est différent. La démonstration de l’INSERM n’est pas correct donc elle ne prouve pas ce qu’elle prétend prouver ni le contraire.
Pour le “faussement”, cela reste une question de croyance. Chacun prends les signes qui l’intéressent pour appuyer sa croyance et à la fin personne ne convaint personne.
En tant que non croyant, je vois beaucoup d’obstacles pour que ce type d’application soit utile pour lutter contre la pandémie et j’ai bien peu d’indice que je me trompe.
En plus une population qui sera disciplinée (par choix ou par la force) à utiliser une telle application le sera aussi pour respecter les gestes barrières, donc on ne pourra rien en déduire.
Ce qui me chagrine c’est la charge politique qui est mise dans l’application en France, en nous cachant le nombre de vrais utilisateurs.
Le 13/01/2021 à 10h 59
C’est un peu dommage que Next fasse un article boîte à lettre sans valeur ajoutée.
Déjà l’étude de l’INSERM est largement critiquée car elle utilise des chiffres en entrée des ses calculs qui sont en dehors des hypothèses qu’elle propose. https://flesueur.medium.com/analyse-de-létude-de-l-inserm-sur-tousanticovid-f44670e706e5
Cette étude est une tautologie, car en prenant l’hypothèse qu’elle fonctionne elle conclut qu’elle fonctionne.
Ensuite la reprise des informations sur le nombre d’activation pour prouver que l’application est utilisée pour sa fonction de contact tracking est largement trompeuse. Que le gouvernement s’entête à cacher les vrais chiffres significatifs est une décision politique puante. Que les média comme Nextinpact les reprennent sans discernement m’interroge.
Vérification d’identité en ligne : l’ANSSI partage le brouillon de son référentiel, Beauvau ses exigences
03/12/2020
Le 04/12/2020 à 09h 48
Dans mon idée ce n’est surtout pas un système d’authentification. J’imagine que tout le monde comprend que c’est orienté vers l’autorisation à accéder à un site pour adulte. Ce pourrait aussi servir pour prouver que quelqu’un a un minimum de fond sur son compte.
Ensuite la preuve n’est pas en elle-même signifiante pour quiconque n’aurait pas la clé.
Le 03/12/2020 à 13h 30
Se serait bien d’avoir adossé a ce service un service de preuve nulle de divulgation de connaissance.
Le besoin le plus évident est de montrer qu’une personne est majeur sans révéler son age.
Exemple un site a besoin de savoir si une personne est majeur, il fournit une clé. L’utilisateur fait vérifier son identité auprès du service, communique la clé et ce qu’il veut prouver. Le service renvoie une preuve non interactive nulle de divulgation de connaissance combinée avec la clé. L’utilisateur transmet la preuve au site qui vérifie la preuve et statue.
De cette façon le service ne sait pas pourquoi la preuve est demandé et le site ne sait rien d’autre que la majorité de l’utilisateur à qui il a fourni la clé.
L’application TousAntiCovid est disponible
23/10/2020
Le 23/10/2020 à 11h 41
Peut-être, mais je pense que personne ne pourras enregistrer un test positif en France, donc tu ne serra jamais notifié.
StopCovid sera remplacé par Tous anti-Covid le 22 octobre
15/10/2020
Le 19/10/2020 à 09h 41
Aucun rapport avec le sujet mais il y aurait une autre version :
https://www.liberation.fr/checknews/2020/10/18/samuel-paty-etait-il-sur-le-point-d-etre-sanctionne-par-la-rectrice-de-l-academie-de-versailles_1802754
Le 17/10/2020 à 12h 34
L’état cache les chiffres d’usage réel, il ment et impose des mesures et des restrictions de liberté qu’il ne veut pas justifier. Il n’agit pas loyalement.
Quand un outil de test est en dessous d’un seuil du fiabilité suffisant, l’outil ne sert à rien et fait perdre du temps à tout le monde.
Sinon, pas de problème indique moi l’équipe qui a fait la justification du besoin et les documents qu’elle a produit. Et je te montrerai que soit le besoin n’est pas justifié, soit il n’est pas couvert (je ne parle pas du besoin politique).
La CNIL attend toujours l’analyse d’efficacité.
Le 16/10/2020 à 14h 01
N’importe quoi, il ne faut pas croire le site du gouvernement finlandais sur le sujet. C’est l’Exposure Notifications API qui est utilisée.
Le 16/10/2020 à 13h 34
Je découvre que l’application finlandaise qui a été adopté par 40% de la population utilise un protocole qui ressemble à ROBERT.
Le 16/10/2020 à 13h 05
Non c’est resté très très loin d’une utilisation massive. Comme je vois les choses ce serait au moins 50% des téléphones compatibles.
Le 16/10/2020 à 12h 51
Mais non c’est 493 personnes, il aurait même du dire 493 alertes car plusieurs alertes peuvent toucher la même personne (doublon de téléphone).
Mais c’est la conséquence de l’échec sociologique ce qui couvre les défauts technologiques.
Le 16/10/2020 à 12h 24
Alerter presque 500 000 personnes, ce serait aussi une erreur, c’est presque 25% du nombre de téléchargement.
Le grand mensonge, c’est que le nombre d’applications actives est parfaitement connu car chaque appli doit régulièrement réclamer ses identifiants temporaire au serveur.
L’IGNORANCE C’EST LA FORCE (Ministère de la Vérité), voila le jeu du gouvernement.
Sur le plan technique, la détection des contacts par BT est bien trop aléatoires pour qu’on puisse s’y fier. Enfin les contraintes de respect de la vie privée font qu’aucune donnée utile n’est produites, juste les heures des contacts.
Donc ce genre d’application est 100% inutile pour contrer la propagation du virus.
Le 15/10/2020 à 14h 13
Imaginons que l’application soit par miracle massivement utilisée; un truc de dingue qu’aucun pays n’a réussi.
Que se passerait-il compte tenu de l’incapacité de l’appli à discriminer les cas contacts pertinents ?
Franchement, je n’arrive pas envisager de scénarios qui améliorerait le traitement de la pandémie.
Déjà je me demande combien de personnes sont prêtes à s’isoler après une alerte donnée par une l’application?
Dans certains hôpitaux des personnes doivent continuer à travailler en étant positives, j’imagine ce que ce serait pour de simple cas contacts déclarés par application dans les autres secteurs d’activités.
Le 15/10/2020 à 10h 56
Le déni d’échec est le premier pas vers l’échec suivant.
Si on laisse de côté le fait que le contact tracking par Bluetouth est terriblement imprécis, il y a 2 sujets essentiels à traiter :
StopCovid, un échec ? Non, « pas un succès », estime Olivier Véran
09/10/2020
Le 09/10/2020 à 13h 49
Je comprends pas comment la solution Allemande peut donner le nombre de notifications vu que c’est côté client que sont déterminés les contactes à risque.
Le 09/10/2020 à 10h 51
Sur le nombre d’utilisateurs des applications de traçage, on nous enfume en nous parlant seulement des installations/desinstallations.
Pour stopcovid, c’est facile car chaque applications doit réclamer périodiquement ses identifiants temporaires au serveur.
Pour les pseudo décentralisées, c’est plus compliqué, mais elles aussi doivent contacter le serveur pour avoir la liste des identifiants positifs. Donc même si c’est moins précis on devrait pouvoir déduire du nombre de consultation, le nombre consultants uniques..
Le 09/10/2020 à 10h 27
C’est amusant, au Quebec, ils viennent aussi de lancer une application de traçage.
Les anglais ont rusé en ajoutant un service d’enregistrement dans les bars. Ça fait un mixte bizarre entre du pseudo anonyme et du déclaratif, mais ça semble marcher.
Sur les forums techno on ne voit pas forcément les choses comme la majorité des gens, donc nos arguments ne sont pas forcément les meilleurs pour expliquer la non adoption.
J’ai de sérieux doutes quand à la capacité d’une mesure Bluetouth à identifié des cas contacts pertinents. En plus j’imagine que lorsque l’on a une alerte, il faut se mettre en quarantaine et attendre 7 jours pour faire un test.
Le coup d’une fausse alerte n’est pas négligeable. Avec le port du masque, la pertinence des alertes diminue.
Free met à jour ses boîtiers Server
08/09/2020
Le 08/09/2020 à 10h 42
C’est génial mais la mienne elle arrive quand. En commande de renouvellement d’une V5 depuis le 10 août et pas de nouvelle depuis.
Cedric O et Stop Covid : « on aurait dû être plus pédagogue »
07/09/2020
Le 07/09/2020 à 17h 30
Oui cette tarte a la crème centralisé/décentralisé est vraiment lourde.
J’aimerais que ceux qui parlent de ce sujet essayent au moins de lire les protocoles.
Et la surprise, ils découvriraient que les systèmes décentralisé centralisent les identifiants que les positifs ont broadcasté durant la période où ils étaient contagieux, pour que les autres puissent savoir s’ils été en contact avec un cas contagieux.
Bref il n’est pas possible de faire un système de traçage décentralisé, ont peut juste soit centraliser les cas contacts soit centraliser les cas positifs.