Le 28/12/2023 à 07h 57

Le modèle de contrôle obligatoire de Windows est Mandatory Integrity Control (MIC) qui est de type Multiple Level of Security (MLS). Il est plutôt robuste malgré certaines limitations intrinsèques à l'usage de niveaux de sécurité. En pratique, il est plus aisé de voler les credentials d'un utilisateur Windows que de s'attaquer frontalement à MIC.

Si le sujet t'intéresses, tu peux commencer par lire cette thèse : https://www.theses.fr/2015ORLE2023

Le 22/12/2023 à 20h 52

Le contrôle d'accès est un concept cyber aussi fondamental que la cryptographie et c'est mon domaine de recherche donc je peux répondre :)

Dans les grandes lignes, Android s'appuyant sur Linux bénéficie donc des modèles de contrôle standard de ce dernier dont SELinux. À ma connaissance et sauf exception, c'est ce dernier qui est utilisé par la plupart des distributions Android.

Il s'agit d'un modèle de type Type Enforcement (TE) utilisé de façon obligatoire (MAC) donc du quasi top en terme de garantie de sécurité. Il souffre néanmoins de trois limitations :
1/ les politiques de contrôle sont fastidieuses et complexes à écrire donc source d'erreurs ;
2/ le contrôle se fait exclusivement sur les accès directs, il est donc possible de contourner SELinux via un flux indirect
3/ SELinux - comme d'autres - est dans l'incapacité absolue de contrôler ce qui se passe à l'intérieur d'une application/processus

Sur ce dernier point, un autre modèle de contrôle d'accès prends le relais : les Capabilities.

Les applications s'exécutent dans une machine virtuelle dont l'hyperviseur se nomme Dalvik. Enfin ... ART sur les versions récentes d'Android mais c'est une autre histoire. Pour faire simple, les spécifications d'Android définissent un ensemble de permission nécessaire pour appeler des APIs précises de la machine virtuelle. Les applications possédant l'une de ces permissions est ainsi en capacité d'appeler les APIs, d'où le nom de ce modèle. Typiquement, c'est ce qu'il se passe lorsqu'une application te demande de pouvoir accéder à tes contacts, passer des appels, etc... Sans rentrer dans les détails mathématiques, c'est du très robuste mais tricky à implémenter correctement. La majorité des vulnérabilités ayant affecté Java, Dalvik, ART, ou encore .Net sont relatives à cette difficulté.

Donc pour résumer : oui c'est contournable mais il faut s'accrocher pour y arriver :)

Le 22/12/2023 à 10h 50

"Autoriser sur la base d'une permission" ne signifie pas "autoriser sur la base d'un usage légitime". Typiquement, tu peux donner la permission à une application d'accéder à tes contacts mais ne sachant pas ce qu'il en fera...

Le 22/12/2023 à 10h 46

Libre, spécifique, éclairé et univoque. Ce dernier critère n'est pas rempli :)

https://www.cnil.fr/fr/les-bases-legales/consentement

Le 14/12/2023 à 19h 32

Je ne vois pas en quoi cela contredis ce que je dis :)

Cela dit, la recherche avance évidemment plus vite lorsqu'elle est financée par des programmes car l'état a abandonné le financement de la recherche scientifique. Et pourtant le législateur a été clair sur ce point :

Article L.952-2 du code de l'éducation

Les enseignants-chercheurs, les enseignants et les chercheurs jouissent d'une pleine indépendance et d'une entière liberté d'expression dans l'exercice de leurs fonctions d'enseignement et de leurs activités de recherche, sous les réserves que leur imposent, conformément aux traditions universitaires et aux dispositions du présent code, les principes de tolérance et d'objectivité.

Les libertés académiques sont le gage de l'excellence de l'enseignement supérieur et de la recherche français. Elles s'exercent conformément au principe à caractère constitutionnel d'indépendance des enseignants-chercheurs.

Article L. 123-9 du code de l'éducation

A l'égard des enseignants-chercheurs, des enseignants et des chercheurs, les universités et les établissements d'enseignement supérieur doivent assurer les moyens d'exercer leur activité d'enseignement et de recherche dans les conditions d'indépendance et de sérénité indispensables à la réflexion et à la création intellectuelle.

Pour résumer, le président de l'université n'a aucun pouvoir. C'est un administrateur comme un autre :)

Le 13/12/2023 à 17h 21

Certes et contrairement au privé, les chercheurs du public sont libres de leurs sujets et thématiques de recherches. Dans les faits, cela ne devrait pas vraiment révolutionner leur quotidien ...

Le 28/11/2023 à 15h 57

Utilité indéganble et pourtant je reste sceptique sur la capacité de la chose à absorber tant de fausses informations. Si je devais paraphraser un célèbre barbu-moustachu : Un imbécile peut poser à lui seul dix fois plus de questions que dix sages ensemble ne pourraient en résoudre.

Le 14/11/2023 à 12h 34

Déjà pour l’ANSI, ce n’est pas dans leurs attributions.
Ensuite pour la CNIL, ils sont un tantinet trop débordés pour s’auto-saisir sans plainte réelle d’un utilisateur

Le 14/11/2023 à 12h 31

(reply:2165116:John-Ib)

Le client mail d’Opera était exceptionnel. Celui de Vivaldi est prometteur mais pas encore mûr

Le 20/10/2023 à 17h 28

Les basiques du réseau à l’attention de nos représentants démocratiques :
1 - Une adresse identifie toujours une machine, jamais un individu
2 - Internet c’est pas la France, c’est le monde
3 - Les protocoles de la suite Internet sont conçus pour maximiser la résistance aux pannes. Un DNS menteur (par exemple) est une panne

Le 09/10/2023 à 17h 22

eglyn a dit:

Très intéressant, je ne savais pas qu’il y avait eu un protocole NCP ^^

C’est fou comme une invention “anodine” peut modifier toute l’humanité.

Et l’humanité inventa NextInpact 😀

Le 18/09/2023 à 17h 44

À quand nextinpact.fr ?

Le 18/09/2023 à 11h 33

Ce n’est pas comparable ! Sur la dimension de l’effort physique, bien sûr que la machine remplace l’homme et elle DOIT remplacer l’homme. Mais sur la dimension intellectuelle, la machine ne pourra remplacer l’homme que lorsqu’elle sera capable de raisonement et on en est très très loin …

Le 12/09/2023 à 08h 09

… zéro télétravail et salaire de misère.

Le 23/08/2023 à 19h 00

HerrFrance a dit:

Je n’ai ni envie de streamer mes jeux, ni de les louer. Je veux pouvoir les acheter (obtenir une licence d’utilisation) et les installer où je veux, quand je veux et autant de fois que je veux. J’espère qu’on restera nombreux avec ces envies

Et à cela j’ajouterai le retour des boîtes de jeux en carton contenant CD, manuel, et goodies… Mais bon, ce n’est plus vraiment ce que demande l’acheteur moyen d’aujourd’hui qui n’a pas connu cette époque :/

Le 23/08/2023 à 10h 00

C’est donc toi le client de shadow en France ?

Le 25/06/2023 à 06h 27

Certes et le passage à l’échelle que je mentionne n’est pas propre à la taille de l’objet mais plutôt à sa complexité informatique. Ce que je voulais dire c’est que faire une analyse de risques ISO 26262 et ISO 21434 sur un modèle RC est sans commune mesure avec un vrai véhicule. Les implications elles même sont différentes tout autant que les sources de panne et autres événements hasardeux.

Mon propos est que modifier un véhicule quel qu’il soit c’est modifier aussi les hypothèses de ses concepteurs. Aussi le faire sans une connaissance complète de comment il a été conçu est une imprudence. Le problème ici n’est pas que le véhicule ait redémarré tout seul (ça arrive) mais plutôt de savoir pourquoi cela a conduit à blesser trois personnes alors que le véhicule est conçu de sorte que cela n’arrive pas. Il n’y a que 2 réponses possibles: soit les modifications apportées ont désactivé des mesures de sécurité soit elles ont introduit des événements redoutés non-prévus dans l’arbre de défaillance. Dans les deux cas - et c’est l’ingénieur automobile que je suis qui le dis - cela résulte d’un manque de compétences. Je comprends l’intention de ces chercheurs de changer d’échelle dans leurs expérimentations. Mais ce que je ne comprends pas c’est qu’ils aient pu le faire avec autant de légèreté sur la sécurité humaine.

Le 23/06/2023 à 20h 06

Le passage à l’échelle. Une voiture est constituée de 100 à 150 calculateurs communément appelés (ECU) qui sont interconnectés par 1 ou plusieurs réseaux. En termes de complexité informatique, on est au même ordre que le SI d’une PME. Bien sûr, la dimension automobile fait que l’on doit systématiquement penser à ce qui peut arriver à l’usager, histoire de ne pas le blesser ou le tuer. C’est un aspect que ces chercheurs ont visiblement oublié

Le 01/06/2023 à 10h 00

Désolé mais la taille du Byte n’est pas défini alors que l’octet fera systématiquement 8 bits (par définition).

Le 11/05/2023 à 08h 24

C’est une question de moyens pour controler l’application effective de la loi.

De façon générale, si l’état a les moyens de contrôler, l’amende est faible (il finance ses institutions de contrôle sur la masse des infractions constatées). Dans le cas opposé, il prévoie de fortes amendes dans l’espoir de décourager et ilf ait un exemple ou deux au passage (GDPR, UN ECE R155, etc…)

Le 28/04/2023 à 11h 58

Voilà un retour d’XP fort intéréssant

Le 28/04/2023 à 11h 56

Le 27/04/2023 à 16h 53

Shelly Cloud… Obligation de créer un compte… géo-localisation obligatoire… quand je lis ça je me dis toujours “chic un gadget connecté mais connecté à quoi ?”

Une alternative est elle possible ? Ma vie privée et moi sommes devenus très intimes dernièrement. Et surtout je ne me sens pas à l’aise en dépensant autant d’argent pour être pieds et poings liés avec un éditeur de solution cloud qui ne précise pas la durée de vie/support de sa solution.

Le 24/04/2023 à 08h 48

Quelle amateurisme/langue de bois ! Le cadre réglementaire existe déjà et il se nomme “Arrangement de Wassenaar” … Libre à Israél d’y adhérer pour vendre leurs solutions de surveillance numérique aux pays adhérents.

Le 01/03/2023 à 12h 59

Un troisème avantage de l’iSIM : Elle rend les attaques physique bien plus compliquées.

Le 17/01/2023 à 07h 06

Et sinon, un Windows immergé dans la protection de la vie privée ? Non ? Personne ?

Le 04/01/2023 à 20h 38

Si j’avais des millions à dépenser, je prendrai un abonnement à NextInpact et donnerai le reste à la rédaction :)

Le 15/11/2022 à 13h 09

Tout ça pour ça ? Merci Salto ! Les anciens de Play Media doivent bien se marrer

https://www.nextinpact.com/article/43409/liquidation-judiciaire-pour-play-media-editeur-playtv

Le 31/10/2022 à 15h 12

Je suis chercheur en cybersécurité, ou plutôt … j’étais. J’ai abandonné ce métier lorsque j’ai compris que la recherche scientifique s’est totalement fourvoyée avec la financiarisation de sa production :
1/ on doit céder nos droits d’auteurs sur chaque papier publié aux profits des sociétés d’éditeurs (e.g. IEEE, ACM, …) alors même que cette recherche est bien souvent financée par de l’argent publique (en France en tout cas)
2/ il faut payer pour accéder aux publications alors même que la connaissance est un bien commun qui est gratuit par nature
3/ le processus de publication ressemble plus à un concours de beauté qu’à une “relecture par les pairs”. Vous n’imaginez pas le nombre de fois où mes articles ont été relus par des personnes qui ne sont pas du domaine et réciproquement !
4/ ou encore cette blague que sont les H-Index et dérivés qui favorisent la quantité de papiers publiés en dépit de leur qualité
5/ sans oublier le système de brevets qui est juste totalement en panne
6/ et bien sûr la captation des crédit de recherche par des organismes privés ET publiques juste parce qu’ils ont des “amis” ou un “nom” alors qu’en pratique ils sont tout juste compétent (Bah oui, quand on passe sa vie à courir après le pognon, on ne fait pas de recherche et on devient rapidement incompétent)

Bref, je pourrais continuer comme ça pendant des heures et ça n’aurait pas beaucoup d’intérêt … En somme, il suffit aujourd’hui de savoir comment fonctionne la recherche scientifique pour en exploiter toutes ses failles et devenir “un brillant chercheur”. Le système est tellement facile à corrompre que le problème de fond ce n’est même pas le plagiat :/

Désolé, je démarre assez facilement sur ce genre de sujet

Le 23/08/2022 à 08h 27

“reconnaître les « bonnes » informations et à discriminer les « mauvaises », de sorte d’éviter les « faux positifs » et « faux négatifs »”

Du coup cela ne reconnaît aucun faux et tout est vrai…

Le 28/07/2022 à 19h 38

MaamuT a dit:

52 balais et j’utilise FireFox, ais-je raté ma vie ?

oui, tu pourrais troquer tes balais pour un aspirateur. Sinon pour Firefox je sais pas. (ok, je –> []).

Le 31/03/2022 à 10h 38

J’habite une commune de Paris-Saclay. La fibre est sous mon trottoir depuis 2017. Toute ma rue est raccordable, sauf moi car ils n’ont tiré qu’un lien fibre pour tout l’immeuble (!). Un ami qui habite à 500m n’est pas raccordable non-plus car seuls les numéros pairs ont été fibré (!). Nos plaintes arrivent par tombereaux sur le bureau du SIPERREC, de l’opérateur et de la communauté de commune et rien ne se passe … Je vous jure, c’est un sketch ce truc.

Le 23/11/2021 à 18h 57

C’est fait et c’est fraaaaançais môsieur ! Bon en vrai, Valeo a fait une video mais je n’ai pas réussi à remettre la main dessus …

https://www.solutions-magazine.com/valeo-teste-range-rover-etoile-paris/

Le 16/09/2021 à 06h 51

Commentaire…

Le 13/09/2021 à 06h 26

Tout ça pour avoir une news qui explose le high-score du nombre de commentaires

Le 02/08/2021 à 10h 34

Sûrement parce que cette bande de fréquence n’est pas libre en Europe/France ;)

Le 13/07/2021 à 11h 16

Faut pas exagérer non plus, ces différences ne sont pas si grosses. Les flux financiers restent captés par les sociétés de perception des droits d’auteurs et voisins qui les redistribuent ; et les catalogues des acteurs s’étoffent de plus en plus limitant l’intérêt de payer plusieurs abonnements.

Le 13/07/2021 à 11h 08

Je suis entièrement d’accord avec ta conclusion. Je préciserais juste qu’elle n’a pas de raison d’être à nôtre époque. C’est certes un relicat du passé mais qui avait tout son sens lorsque l’on enregistrait les musiques/chansons qui passaient à la radio sur k7 audio ; similairement avec l’usage du magnétoscope et les programmes TV. Ce qui se rapprocherait le plus de cette origine serait le dump de videos YouTube

Le 13/07/2021 à 09h 07

J’ai pris Netflix en exemple comme j’aurais pu citer OCS, ADN, etc. Le business model de ces entreprises correspond pile poil au modèle décrit par la licence globale à deux détails près : la licence est circonscrite à un catalogue au lieu d’être effectivement globale, les droits sont perçus par une entreprise privée faisant de l’optivasion plutôt que par un impôt moins rentable. Mais l’idée est exactement la même.

Le 12/07/2021 à 12h 10

Ça me rappelle surtout les débats à l’époque de la licence globale. Les majors s’y étaient violemment opposés arguant que payer un prix forfaitaire pour accéder à la culture ne permettait pas de rémunérer leurs artistes. Aujourd’hui la licence globale se nomme Netflix, Spotify et Copie privée…

Le 01/06/2021 à 15h 32

Oui, la monnaie

Le 26/05/2021 à 13h 45

C’est parce qu’on vous mal expliqué à quoi ces niveaux d’autonomie correspondent. En réalité ils représentent la capacité du véhicule à gérer des situations d’erreurs. Plus il sait en gérer, plus le niveau est élevé. Mais en pratique l’humain doit pouvoir garder le contrôle du véhicule et cela pour deux raisons:
1/ d’abord parce le véhicule n’est pas à l’abris d’une défaillance système totale ;
2/ de nouvelles situations d’erreurs peuvent apparaitre après la conception du véhicule, situations que le véhicule ne connait donc pas et ne sait donc y réagir correctement. Par exemple, si on décide de remplacer tous les ronds point par des schplountz et bien la bagnole ne saura pas prendre correctement un schplountz et là il faut de l’intelligence humaine …

Le 17/05/2021 à 16h 07

Alors attention, le verbe “réguler” que j’ai employé n’est pas synonyme de “censurer” ni même “contrôler”. Imposer un unique mode de pensé est la stratégie des lâches, celle de la facilité, celle des dictatures. Ce serait totalement insupportable, je suis bien d’accord ;)

Concrètement “Réguler” signifie ici d’être en mesure d’identifier et sanctionner les personnes - physiques, morales ou étatiques - qui agressent les individus, manipulent les opinions dans leur propre intérêt au détriment de celui du collectif ou encore diffusent de l’information en violation avec les valeurs de nos nations. On ne peut laisser ces acteurs user de la liberté d’expression qui leur est offerte sans qu’il y ait de sanctions en cas d’abus. Le devoir premier de l’état est de protéger la nation et ses citoyens contre toute forme d’agression qu’elle soit intérieure, extérieure, militaire, économique, idéologique ou… numérique.

Néanmoins vous soulevez un point intéressant : Cette régulation est aujourd’hui assurée par les réseaux sociaux eux-mêmes. C’est à dire des acteurs privés, non-choisi démocratiquement qui - par définition - agissent dans leur propre intérêt et non celui de la nation. En quoi cette situation est-elle meilleure ou pire que le même service réalisée par un état ? D’autant que la seule arme que les Facebook et consort ont dans leur arsenal est la censure justement. Pour exemple, je mentionnerais l’affaire de “l’origine du monde” de courbet qui illustre parfaitement ce que ces derniers nous autorisent à dire … ou pas ;)

Très honnêtement ? Je n’ai pas la solution et je doute que celle-ci soit trouvable dans l’état actuel des choses. Donc, laissons les faire avancer le débat en proposant des choses mais restons vigilants à la garantie de nos droits fondamentaux.

Le 17/05/2021 à 05h 21

Je trouve que le procès fait à Maurice est un peu sévère. Les réseaux sociaux sont des espaces d’expressions démocratique et il ne faut absolument pas les museler bien entendu. Mais force est de constater que certains utilisateurs n’apportent rien au débat démocratique voir même ont un discours totalement destructif (e.g. complotistes, extrémistes, anti-vacs, propagandistes, harceleurs…). Or face à l’inaction de ces réseaux sociaux à réguler de façon adaptée la libre expression de leurs usagers, l’Etat doit intervenir. C’est son rôle !

Malheureusement pour ce dernier, Internet étant totalement décentralisé, toute initiative politique/législative qui aurait pour ambition de réguler les contenus est systématiquement vouée à l’échec. Plus encore lorsque cette initiative impose une solution technique de façons coercitive. Ces ONGs critiquent la proposition de Maurice mais sont elles aussi bien en peine de trouver une solution au problème de fond :/

Le 16/10/2020 à 19h 04

Dans ma boutique, Zoom a été bannie à vie. Dommage qu’ils ne se réveillent que maintenant.

Le 14/04/2020 à 06h 11

Je serais curieux de connaitre l’algorithme de fingerprinting utilisé. Clairement celui-ci n’est pas exempt de collisions

Le 12/03/2020 à 07h 50

Et une bouse protocolaire de plus à ajouter au tableau de chasse de ceux qui ne savent pas penser autrement qu’au travers de HTTP -.-

Le 23/09/2019 à 06h 19

alex.d. a écrit :

Tout le monde sait que les barbus, les vrais, sont déjà sous NetBSD.


OpenBSD (serveurs) et FreeBSD (Desktop), s’il te plait :)

Le 10/12/2017 à 09h 06

Charly32 a écrit :

Mais du coup le fonctionnement diffère du système existant, car ça veut dire que l’eSIM est reprogrammable (pour pouvoir changer d’abonnement).




TiTan91 a écrit :

Oui mais actuellement une SIM est physiquement liée à un opérateur
Sur un pc avec eSim intégrée comment tu te connecte au réseau de ton opérateur ?



Ce que vous dites est tout à fait juste. En pratique, L’eSIM est programmée par le vendeur/fondeur pour un opérateur en particulier, disons AT&T. Lorsque l’utilisateur souscrit un forfait ailleurs que chez AT&T, Son opérateur “loue” l’eSIM de son concurrent. C’est un business model similaire à celui des MVNO.

Le 07/12/2017 à 13h 32

Une eSIM est une SIM directement intégrée dans le silicium d’un composants soudée à la machine. Cela ne change pas grand chose à l’usage, c’est juste que l’intégration est meilleure