Oui en effet mais recommender une vérification hebdomadaire ou mensuelle des hash sur have i been pwned ou equivalent aurais eter bien (histoire d’éviter mes mots de passe fort deja dans une brèche et remplacer les mots de passe s’il apparaissait dans une brèche (car quelqu’un aurait décidé de ne pas suivre les recommandations et utiliser le meme mots de passé partout)
Ce n’est pas utile si le mot de passe est “salé” sur chaque site : le hash est alors différent, et surtout le mot de passe initial ne peut pas facilement être retrouvé par “rainbow table”.
Ah pas d’obligation d’intégré (pour les site) une vérification périodique des hash sur have i been pwnd ? Dommage, ca aurais été cool.
Une recommandation est un instrument de “droit souple”, qui fixe des règles “minimales” de bonnes pratiques. Par nature, elle ne peut pas être contraignante (donc pas d’“obligation” possible dedans). Les responsables de traitement sont bien évidemment encouragés à “faire mieux” ; ils peuvent éventuellement faire “autrement”, voire (un peu) “moins bien”, si la situation le justifie (lire : s’ils peuvent le justifier auprès des services de la CNIL lors d’un contrôle par ceux-ci ).
Je rajouterai une petite précision avec l’entropie. Il faut se méfier des valeurs parfois calculés. Par exemple un mot de passe du genre P@ssword1234 a certaines une très bonne entropie (selon la définition de la CNIL)
Ben non, justement : “P@ssword” n’est pas une séquence de lettres choisies aléatoirement, ce qui fait que l’entropie est plus faible que le “dénombrement en log_2” que vous évoquez. De même si vous choisissez des chiffres qui correspondent à votre date de naissance (ce qui n’a rien à voir avec la fréquence d’occurrence).
Il est bien marqué dans l’article (et dans la recommandation) que :
Dès lors, lorsque les utilisateurs ont la liberté de choisir des combinaisons qui ne sont pas strictement aléatoires, « il est nécessaire, pour conserver un niveau d’entropie donné, de choisir une politique de mots de passe privilégiant la longueur des mots de passe par rapport à leur complexité »
Il ne faut pas dire “industrie culturelle”, qui est un oxymore. Il s’agit de l’“industrie du divertissement”, qui rançonne les pauvres pour donner en priorité aux artistes les plus aisés.
Prétendre vouloir lutter contre la fraude fiscale tout en conservant les pratiques sulfureuses de territoires comme Andorre et Monaco, c’est de la tartufferie. On demande de surtout bien regarder le doigt, mais pas la lune…
Ce rapport constitue un magnifique concentré de “techno-bullshit” mélangeant tout : la souveraineté sur les infrastructures (certes souhaitable), le recours à l’“intelligence artificielle” (mais pour quoi donc ?) et, donc, l’utilisation de la reco faciale dans l’espace public. L’enthousiasme des “petits jeunes” qui croient avoir tout compris et veulent trouver leur place sur le grand manège du solutionnisme technologique, ce serait presque touchant… Sauf qu’au final il s’agit de la promotion d’une société de la surveillance totale.
Avec les 600 millions du budget de son ministère que M. Blanquer à rendus sans les consommer, on aurait pu en installer, des serveurs, et payer du développement et du matériel. Mais non, y’a pas besoin, circulez, tout va bien. Encore un génie méconnu…
Ben non c’est pas terroriste. C’est de la violence conne et, comme vous le soulevez, potentiellement dangereuse pour des personnes déjà bien exposées, mais c’est pas du terrorisme. Voir la définition rappelée, à bon droit, dans la décision.
Si vous assimilez tout acte violent pour des raisons prétendument politiques à du terrorisme, alors ce que font les casseurs au milieu des Gilets jaunes est du terrorisme, donc tous les Gilets jaunes sont des soutiens au terrorisme, et donc on doit enfermer tous les manifestants en prison car les soutiens au terrorisme sont très sévèrement punis par la loi.
Le droit est (fait pour être) logique. Donc, si vous mélangez les qualifications juridiques sous le coup de l’émotion, vous avez en sortie l’arbitraire le plus total.
Dire que “[l’article L. 122-6-1 du CPI] interdit tout autant la commercialisation d’un logiciel similaire” est inexact. Le terme précis est : “dont l’expression est substantiellement similaire”. On parle ici de forme (copie du code), non de fonctionnalités (les idées sont de libre parcours).
L’exception d’interopérabilité autorise la réutilisation de fragments du code d’un logiciel pour réaliser l’interopérabilité avec un autre logiciel, éventuellement nouveau. Elle permet donc la création et la commercialisation de logiciels offrant les mêmes fonctionnalités, à condition qu’ils n’en soient pas un plagiat, c’est-à-dire que les fragments extraits ne doivent pas représenter une fraction significative, en termes de couverture fonctionnelle, du code du logiciel existant.
Exemple : par l’exception d’interopérabilité, il est possible d’étudier et de reproduire la façon dont Microsoft Word enregistre et lit ses fichiers, pour réaliser l’interopérabilité avec le logiciel LibreOffice Writer. Ces deux logiciels ont des fonctionnalités similaires, mais ne sont pas des copies l’un de l’autre en termes d’expression (c’est-à-dire de code source et/ou objet).
<autopromotion>Pour plus d’informations, voir le magnifique ouvrage “Droit des Logiciels”, pp. 249-270.</autopromotion> ;-)
113 commentaires
Le 23/10/2021 à 08h01
Ce n’est pas utile si le mot de passe est “salé” sur chaque site : le hash est alors différent, et surtout le mot de passe initial ne peut pas facilement être retrouvé par “rainbow table”.
Le 22/10/2021 à 19h43
Une recommandation est un instrument de “droit souple”, qui fixe des règles “minimales” de bonnes pratiques. Par nature, elle ne peut pas être contraignante (donc pas d’“obligation” possible dedans). Les responsables de traitement sont bien évidemment encouragés à “faire mieux” ; ils peuvent éventuellement faire “autrement”, voire (un peu) “moins bien”, si la situation le justifie (lire : s’ils peuvent le justifier auprès des services de la CNIL lors d’un contrôle par ceux-ci
).
Le 22/10/2021 à 19h36
Ben non, justement : “P@ssword” n’est pas une séquence de lettres choisies aléatoirement, ce qui fait que l’entropie est plus faible que le “dénombrement en log_2” que vous évoquez. De même si vous choisissez des chiffres qui correspondent à votre date de naissance (ce qui n’a rien à voir avec la fréquence d’occurrence).
Il est bien marqué dans l’article (et dans la recommandation) que :
Dès lors, lorsque les utilisateurs ont la liberté de choisir des combinaisons qui ne sont pas strictement aléatoires, « il est nécessaire, pour conserver un niveau d’entropie donné, de choisir une politique de mots de passe privilégiant la longueur des mots de passe par rapport à leur complexité »
Le 18/10/2021 à 08h19
Il ne faut pas dire “industrie culturelle”, qui est un oxymore.
Il s’agit de l’“industrie du divertissement”, qui rançonne les pauvres pour donner en priorité aux artistes les plus aisés.
Le 11/10/2021 à 05h15
Prétendre vouloir lutter contre la fraude fiscale tout en conservant les pratiques sulfureuses de territoires comme Andorre et Monaco, c’est de la tartufferie.
On demande de surtout bien regarder le doigt, mais pas la lune…
Le 13/07/2021 à 07h00
Ce rapport constitue un magnifique concentré de “techno-bullshit” mélangeant tout : la souveraineté sur les infrastructures (certes souhaitable), le recours à l’“intelligence artificielle” (mais pour quoi donc ?) et, donc, l’utilisation de la reco faciale dans l’espace public.
L’enthousiasme des “petits jeunes” qui croient avoir tout compris et veulent trouver leur place sur le grand manège du solutionnisme technologique, ce serait presque touchant… Sauf qu’au final il s’agit de la promotion d’une société de la surveillance totale.
Le 10/05/2021 à 15h56
On ne dit pas “cryptage” mais “chiffrement”.
À copier 100 fois, sans Ctrl-C + Ctrl+V, et à envoyer à l’ANSSI !
Le 18/04/2021 à 07h14
Hey Flock,
Ne faudrait-il pas un t à la fin de “dit” ? 😉
Bravo, en tout cas ! Madoff et Coinbase, c’est parfaitement bien vu !
Le 07/04/2021 à 16h00
Avec les 600 millions du budget de son ministère que M. Blanquer à rendus sans les consommer, on aurait pu en installer, des serveurs, et payer du développement et du matériel. Mais non, y’a pas besoin, circulez, tout va bien. Encore un génie méconnu…
Le 18/07/2019 à 18h17
https://www.cnil.fr/fr/plaintes
Le 04/02/2019 à 21h33
Ben non c’est pas terroriste. C’est de la violence conne et, comme vous le soulevez, potentiellement dangereuse pour des personnes déjà bien exposées, mais c’est pas du terrorisme. Voir la définition rappelée, à bon droit, dans la décision.
Si vous assimilez tout acte violent pour des raisons prétendument politiques à du terrorisme, alors ce que font les casseurs au milieu des Gilets jaunes est du terrorisme, donc tous les Gilets jaunes sont des soutiens au terrorisme, et donc on doit enfermer tous les manifestants en prison car les soutiens au terrorisme sont très sévèrement punis par la loi.
Le droit est (fait pour être) logique. Donc, si vous mélangez les qualifications juridiques sous le coup de l’émotion, vous avez en sortie l’arbitraire le plus total.
CQFD
Le 15/06/2018 à 22h29
@Gnppn : c’est “ontologie”, pas “anthologie”. :-)
Projet remarquable, en tout état de cause.
Le 07/04/2015 à 10h07
Juste un point de droit, qui me semble important.
Dire que “[l’article L. 122-6-1 du CPI] interdit tout autant la commercialisation d’un logiciel similaire” est inexact. Le terme précis est : “dont l’expression est substantiellement similaire”. On parle ici de forme (copie du code), non de fonctionnalités (les idées sont de libre parcours).
L’exception d’interopérabilité autorise la réutilisation de fragments du code d’un logiciel pour réaliser l’interopérabilité avec un autre logiciel, éventuellement nouveau. Elle permet donc la création et la commercialisation de logiciels offrant les mêmes fonctionnalités, à condition qu’ils n’en soient pas un plagiat, c’est-à-dire que les fragments extraits ne doivent pas représenter une fraction significative, en termes de couverture fonctionnelle, du code du logiciel existant.
Exemple : par l’exception d’interopérabilité, il est possible d’étudier et de reproduire la façon dont Microsoft Word enregistre et lit ses fichiers, pour réaliser l’interopérabilité avec le logiciel LibreOffice Writer. Ces deux logiciels ont des fonctionnalités similaires, mais ne sont pas des copies l’un de l’autre en termes d’expression (c’est-à-dire de code source et/ou objet).
<autopromotion>Pour plus d’informations, voir le magnifique ouvrage “Droit des Logiciels”, pp. 249-270.</autopromotion> ;-)