C'est plus équivalent à une paire clé privée/clé publique pour SSH. Ce n'est pas un mot de passe connu de toi et du service (Pre-Shared Key). Dans le cas des passkeys, la clé privée ne sort jamais du gestionnaire de mots de passe ou de la clé de sécurité.
Par contre, et c'est là que ça devient tangent, ça laisse croire qu'il n'y a magiquement plus besoin de s'occuper de ses mots de passe ou de sa sécurité. Hors, si les passkeys (ou des mots de passes classiques) sont stockées dans un téléphone ou un ordi qui ne sont pas sauvegardés (c'est à dire probablement la majorité), en cas de perte de l'appareil, c'est game over. Perso, je n'ai pas de solution à ça :(.
les différents acteurs majeurs de la tech se sont convertis aux passkeys, ces identifiants biométriques remplaçant les traditionnels mots de passe.
[…]
Les passkeys utilisent, quant à eux, l'identification biométrique
C'est formulé très clairement, et c'est totalement faux ! Sur mon PC Linux, j'ai Bitwarden qui stocke des passkeys (par exemple pour Github), et il n'y a aucun capteur biométrique. Sur mon téléphone, je peux déverrouiller Bitwarden avec une empreinte digitale, mais c'est totalement optionnel, je peux aussi le faire avec ma Yubikey ou un TOTP, et accéder à mes passkeys, entre autres identifiants.
Que les GAFAM soient en position dominante et proposent des services captifs c'est chiant, mais pas la peine de mentir ou de dire des semi-vérités.
Oui, c'est pénible d'avoir des pages de superlatifs supralaxatifs sans arriver à saisir ce que ce logiciel qui va changer le monde peut faire vraiment pour toi.
Une variante est quand il y a plusieurs gammes ou plusieurs offres. Elles sont toutes excellentes et parfaites (best in class, best value, state of the art, cutting edge…). Que faut-il choisir, la meilleure ou la encore plus meilleure ?
Souvent, aller voir sur Wikipedia (exemple pour Netlify) permet d'y voir plus clair.
Un super contre-exemple que j'adore, c'est cet extrait du début de la doc de The Bastion :
Wait, what's a bastion exactly? (in 140-ish characters)
A so-called bastion is a machine used as a single entry point by operational teams (such as sysadmins, developers, devops, database admins, etc.) to securely connect to other machines of an infrastructure, usually using ssh.
The bastion provides mechanisms for authentication, authorization, traceability and auditability for the whole infrastructure.
La page de Tracim est plutôt bien faite aussi, on peut faire le tour des fonctions principales et cas d'usage en lisant en diagonale.
C'est un bel infomercial pour la solution de Proton et leurs autres produits. Des gestionnaires de mots de passe comme Bitwarden, KeepassXC et autres concurrents de Proton Pass gèrent les passkeys, ce sur quoi l'article fait gentiment l'impasse1.
Et si on a une clé de sécurité physique comme une Nitrokey, une Titankey ou une Yubikey, ça gère les passkeys et le FIDO2 aussi.
Bref, avec tout le respect que j'ai pour Proton, cet article ne me semble pas totalement honnête, c'est dommage.
mais l'article lié sur Proton Pass parle de Dashlane. ↩
La lecture de ton second paragraphe m'a fait me demander un truc, quand même. Est-ce que tu as des attentes différentes pour les logiciels propriétaires (gratuit ou payant) ? Par exemple, la sensation que tu ne peux pas contacter les devs. Tu trouves ça attendu (voire normal) d'avoir une backdoor dans le logiciel s'il est proprio ?
Pour revenir sur l'article, je crois que le propos est de dire que les faiblesses humaines sont plus faciles à exploiter sur les petits projets libres, pour ces raisons :
en tant qu'humain, on cherche à avoir des interactions. Avoir un camarade qui réfléchit et participe, ça fait du bien ;
les projets libres, surtout les petits, ont un héritage culturel et une gouvernance qui font que c'est plus facile de participer1.
Ces deux traits forment un modèle de menace, j'imagine qu'il vaut mieux en être conscient. Cette menace existe aussi dans les projets proprios, mais la barre est plus haute pour entrer.
Le problème provient sans doute d'autre chose. Le fait que ce message ACPI, qui est surtout un warning, soit le dernier ou vers les derniers, n'indique pas tellement que c'est la cause du problème. Tu peux essayer de démarrer avec un système type System Rescue, voir s'il n'y a pas un problème niveau réseau (peut-être le firmware d'une carte Broadcom qui a été mis à jour ?), faire les diagnostics depuis l'IDRAC…
Est-ce que ça a fonctionné et "ça marche plus", ou ça n'a jamais fonctionné ? Parfois il suffit de sortir et replacer les barrettes de RAM ou les CPUs.
Est-ce que ça démarre en mode "emergency" ?
(Note: Proxmox 8.1 est sorti il y a un certain temps)
Concernant le traceroute qui ne passe pas, c'est parce que c'est de l'UDP sur des ports variables, alors que ping et mtr utilisent de l'ICMP (j'étais pas certain alors j'ai vérifié avec wireshark). Sans doute que tu n'as pas autorisé tous les ports à passer sur le VPN ?
J'ai tendance à utiliser tcptraceroute sur le port 80 ou 443, c'est souvent ouvert. Le défaut c'est qu'il faut avoir les droits root pour l'utiliser.
Si depuis chez ta famille, la route vers le VPN a pour gateway une IP dans 192.168.20.0/24, je ne crois pas que le VPN constitue un saut visible.
Intéressant… Perso je fais une purge automatique des messages SMS et des messageries instantanées quand c'est possible, car je vois peu l'intérêt de conserver l'historique, ça me pollue la tête plus qu'autre chose. De ce point de vue, les tapis roulants genre Slack et Discord me font de la peine.
Je suis curieux, ça arrive de se référer ou de relire des messages genre SMS/IM anciens ?
Pour celles et ceux que ça intéresse mais qui ont du mal à suivre le jargon :
la backdoor permet d'exécuter des commandes à distance sur une machine infectée. Mais ce n'est pas ouvert à tout un chacun : l'accès à ce mécanisme est réservé aux personnes qui ont possession d'un certificat SSH spécifique.
Vivement que les analyses finales soient publiées. Avec un peu de chance, les spécialistes du domaine y verront un certain style d'écriture qui permettra de recouper avec d'autres bouts de code malicieux, et donc de spéculer plus précisément sur la paternité de la chose.
On peut choisir le bénévolat y compris pour des activités à très forte valeur économique : c'est le cas, par exemple, de tous les festivals de grande taille, tels qu'il en fleurit tout l'été
Dans le cas précis de cet exemple, il y a souvent une contrepartie : avoir l'accès gratuit au festival. Pour des petits festivals, ça peut revenir à être payé 50 centimes de l'heure, pour des plus gros ça peut faire une équivalence à du 100€ la journée.
En tout cas la présence des bénévoles permet souvent d'améliorer les conditions d'un événement, c'est super !
Il y a aussi des entreprises qui font des prestations pro-bono pour les petites structures ou des assos qui ne pourraient pas payer la prestation, genre des audits de sécurité.
Oui, certes, l'argent n'est pas forcément au niveau de la structure qui porte le projet. Il n'en reste pas moins que MySQL, Samba ou Wordpress permettent à beaucoup de gens de gagner leur vie.
Automaticc, l'éditeur principal de Wordpress et opérateur de wordpress.com, emploie environ 2000 personnes, et a des milliards de revenus. Autour, il y a des milliers d'autres entreprises (plugins, thème, webagencies) ou hébergeurs (comme OVH) qui proposent du Wordpress bien emballé et peuvent en vivre.
Proxmox GmbH et NextCloud vendent du service (support, maintenance).
Git profite à BigPharma en vendant des aspirines.
Mais oui, je suis d'accord que c'est plutôt rare. Est-ce moins rare avec des licences à là BSD/MIT (TrueNAS, Kafka, PHP) ?
Au doigt mouillé, j'ai le sentiment qu'aujourd'hui les deux modèles dominants, c'est l'open core et la vente de services/formations.
Posté par cg .
En réponse au journal GPL vs MIT, que choisir ?.
Évalué à 2 (+0/-0).
Dernière modification le 29 mars 2024 à 18:28.
Quelques autres en GPL qui sont significatifs :
CEPH (LGPL en vrai)
GlusterFS
Proxmox (AGPL, ça compte ?)
Drupal
MySQL (en double licence, ceci dit)
VLC
Moodle
MediaWiki
Et un petit dernier pour la route : Wordpress, qui d'après certains sondages, représente plus de 40% des sites Internet à lui seul.
Mais oui, en license Apache/BSD/MIT, on en trouve beaucoup plus ! Déjà rien que dans les projets de la fondation Apache, c'est copieux.
Blender est principalement développé par la fondation Blender, qui est à but non lucratif. Mais Blender accepte des contributions de non-membres.
Et le financement est principalement par dons (page 96 du rapport annuel), Peut-être qu'on ne peut pas parler de "rentable", mais plutôt de "finances saines" ?
Il y aussi les projets comme Samba, le noyau Linux, Git, QEMU, qui sont en GPL, et n'ont pas vraiment de business-model. La charge est distribuée sur plein d'entreprises.
On ne pas dire que ces projets n'ont pas d'importance ni ne rapportent d'argent :).
Je suis tombé de ma chaise à cette annonce. L’obsolescence programmée a donc gangrenée le noyau Linux ! Je ne pourrais plus monter ma disquette 3'½ de tomrtbt faite en l'an 2000 ?
Puis, en fait :
The EXT4 driver is able to handle EXT2 file-systems"
je ne pas certain de tout saisir, mais le monsieur Bouchaud semble surtout de se préoccuper de finance, c'est à dire un sous-ensemble très spécifique de l'économie.
Je parlais plutôt de problèmes bassement concrets, comme pourquoi conserver un taux de TVA assez élevé, alors que c'est un impôt qui pèse surtout sur les revenus modestes. Ou encore pourquoi ne pas taxer à 90% les ultra-riches sans que ça change leur quotidien. Des trucs simples de tout les jours, quoi :p.
[^] # Re: Mauvais article
Posté par cg . En réponse au lien Les passkeys, nouvelle arme des Big Tech pour enfermer les internautes dans leurs écosystèmes ?. Évalué à 6 (+4/-0).
C'est plus équivalent à une paire clé privée/clé publique pour SSH. Ce n'est pas un mot de passe connu de toi et du service (Pre-Shared Key). Dans le cas des passkeys, la clé privée ne sort jamais du gestionnaire de mots de passe ou de la clé de sécurité.
Par contre, et c'est là que ça devient tangent, ça laisse croire qu'il n'y a magiquement plus besoin de s'occuper de ses mots de passe ou de sa sécurité. Hors, si les passkeys (ou des mots de passes classiques) sont stockées dans un téléphone ou un ordi qui ne sont pas sauvegardés (c'est à dire probablement la majorité), en cas de perte de l'appareil, c'est game over. Perso, je n'ai pas de solution à ça :(.
[^] # Re: Mauvais article
Posté par cg . En réponse au lien Les passkeys, nouvelle arme des Big Tech pour enfermer les internautes dans leurs écosystèmes ?. Évalué à 10 (+9/-0).
L'article de Clubic dit :
C'est formulé très clairement, et c'est totalement faux ! Sur mon PC Linux, j'ai Bitwarden qui stocke des passkeys (par exemple pour Github), et il n'y a aucun capteur biométrique. Sur mon téléphone, je peux déverrouiller Bitwarden avec une empreinte digitale, mais c'est totalement optionnel, je peux aussi le faire avec ma Yubikey ou un TOTP, et accéder à mes passkeys, entre autres identifiants.
Que les GAFAM soient en position dominante et proposent des services captifs c'est chiant, mais pas la peine de mentir ou de dire des semi-vérités.
# Contre exemple
Posté par cg . En réponse au journal Le marketing des logiciels, épisode 20240410. Évalué à 10 (+18/-0).
Oui, c'est pénible d'avoir des pages de superlatifs supralaxatifs sans arriver à saisir ce que ce logiciel qui va changer le monde peut faire vraiment pour toi.
Une variante est quand il y a plusieurs gammes ou plusieurs offres. Elles sont toutes excellentes et parfaites (best in class, best value, state of the art, cutting edge…). Que faut-il choisir, la meilleure ou la encore plus meilleure ?
Souvent, aller voir sur Wikipedia (exemple pour Netlify) permet d'y voir plus clair.
Un super contre-exemple que j'adore, c'est cet extrait du début de la doc de The Bastion :
Wait, what's a bastion exactly? (in 140-ish characters)
A so-called bastion is a machine used as a single entry point by operational teams (such as sysadmins, developers, devops, database admins, etc.) to securely connect to other machines of an infrastructure, usually using ssh.
The bastion provides mechanisms for authentication, authorization, traceability and auditability for the whole infrastructure.
La page de Tracim est plutôt bien faite aussi, on peut faire le tour des fonctions principales et cas d'usage en lisant en diagonale.
# infomercial ?
Posté par cg . En réponse au lien Les passkeys, nouvelle arme des Big Tech pour enfermer les internautes dans leurs écosystèmes ?. Évalué à 10 (+14/-1). Dernière modification le 10 avril 2024 à 15:22.
C'est un bel infomercial pour la solution de Proton et leurs autres produits. Des gestionnaires de mots de passe comme Bitwarden, KeepassXC et autres concurrents de Proton Pass gèrent les passkeys, ce sur quoi l'article fait gentiment l'impasse1.
Et si on a une clé de sécurité physique comme une Nitrokey, une Titankey ou une Yubikey, ça gère les passkeys et le FIDO2 aussi.
Bref, avec tout le respect que j'ai pour Proton, cet article ne me semble pas totalement honnête, c'est dommage.
mais l'article lié sur Proton Pass parle de Dashlane. ↩
[^] # Re: Infomaniak
Posté par cg . En réponse au message des pages perso gratuites et fonctionnelles/accessibles?. Évalué à 3 (+1/-0).
Mais, mais, ce n'est ni en France ni dans la Communauté Européenne !
Et on dirait que l'offre n'est pas gratuite, mais comprise avec l'achat d'un nom de domaine, donc autour de 5-15€ par an.
[^] # Re: C'est quand même très provoc
Posté par cg . En réponse au lien Bullying in Open Source Software Is a Massive Security Vulnerability. Évalué à 3 (+1/-0).
Merci pour ce pavé, c'est intéressant !
La lecture de ton second paragraphe m'a fait me demander un truc, quand même. Est-ce que tu as des attentes différentes pour les logiciels propriétaires (gratuit ou payant) ? Par exemple, la sensation que tu ne peux pas contacter les devs. Tu trouves ça attendu (voire normal) d'avoir une backdoor dans le logiciel s'il est proprio ?
Pour revenir sur l'article, je crois que le propos est de dire que les faiblesses humaines sont plus faciles à exploiter sur les petits projets libres, pour ces raisons :
Ces deux traits forment un modèle de menace, j'imagine qu'il vaut mieux en être conscient. Cette menace existe aussi dans les projets proprios, mais la barre est plus haute pour entrer.
Un petit gag en vidéo pour terminer : Linus Torvalds Admits He's Been Asked To Insert Backdoor Into Linux
SQLite étant un très bon contre-exemple ↩
[^] # Re: C'est quand même très provoc
Posté par cg . En réponse au lien Bullying in Open Source Software Is a Massive Security Vulnerability. Évalué à -1 (+1/-4).
Si tu pars du principe que l'utilisateur lit et comprend la licence, aussi…
# Autre chose
Posté par cg . En réponse au message 6.097345j ACPI: SPCR: Unexpected SPCR Access Width.. Évalué à 2 (+0/-0).
Salut,
Le R720 et Proxmox s'aiment bien.
Le problème provient sans doute d'autre chose. Le fait que ce message ACPI, qui est surtout un warning, soit le dernier ou vers les derniers, n'indique pas tellement que c'est la cause du problème. Tu peux essayer de démarrer avec un système type System Rescue, voir s'il n'y a pas un problème niveau réseau (peut-être le firmware d'une carte Broadcom qui a été mis à jour ?), faire les diagnostics depuis l'IDRAC…
Est-ce que ça a fonctionné et "ça marche plus", ou ça n'a jamais fonctionné ? Parfois il suffit de sortir et replacer les barrettes de RAM ou les CPUs.
Est-ce que ça démarre en mode "emergency" ?
(Note: Proxmox 8.1 est sorti il y a un certain temps)
# Protocoles différents
Posté par cg . En réponse au message [réseaux] vpn intersite, traceroute / mrt incompréhensible.. Évalué à 3 (+1/-0).
Concernant le
traceroute
qui ne passe pas, c'est parce que c'est de l'UDP sur des ports variables, alors queping
etmtr
utilisent de l'ICMP (j'étais pas certain alors j'ai vérifié avecwireshark
). Sans doute que tu n'as pas autorisé tous les ports à passer sur le VPN ?J'ai tendance à utiliser
tcptraceroute
sur le port 80 ou 443, c'est souvent ouvert. Le défaut c'est qu'il faut avoir les droits root pour l'utiliser.Si depuis chez ta famille, la route vers le VPN a pour gateway une IP dans 192.168.20.0/24, je ne crois pas que le VPN constitue un saut visible.
[^] # Re: le détail de l'attaque par Anthony Weems
Posté par cg . En réponse à la dépêche XZ et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois. Évalué à 4 (+2/-0).
Ce qui est génial, c'est que sur ton blog, l'article de 2020 mentionne déjà :
T'es un peu un précurseur non ;) ?
[^] # Re: Restaurer signal
Posté par cg . En réponse au lien Le 31 mars, c'est la journée mondiale de la sauvegarde. Évalué à 2 (+0/-0).
Intéressant… Perso je fais une purge automatique des messages SMS et des messageries instantanées quand c'est possible, car je vois peu l'intérêt de conserver l'historique, ça me pollue la tête plus qu'autre chose. De ce point de vue, les tapis roulants genre Slack et Discord me font de la peine.
Je suis curieux, ça arrive de se référer ou de relire des messages genre SMS/IM anciens ?
[^] # Re: le détail de l'attaque par Anthony Weems
Posté par cg . En réponse à la dépêche XZ et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois. Évalué à 3 (+1/-0).
Autant que ça pourrait être la France, j'imagine.
Beaucoup de commentaires disent que c'est probablement une agence étatique, mais ça peut très bien être une mafia privée, y'a pas de raison :).
[^] # Re: le détail de l'attaque par Anthony Weems
Posté par cg . En réponse à la dépêche XZ et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois. Évalué à 3 (+1/-0).
Pour celles et ceux que ça intéresse mais qui ont du mal à suivre le jargon :
la backdoor permet d'exécuter des commandes à distance sur une machine infectée. Mais ce n'est pas ouvert à tout un chacun : l'accès à ce mécanisme est réservé aux personnes qui ont possession d'un certificat SSH spécifique.
Vivement que les analyses finales soient publiées. Avec un peu de chance, les spécialistes du domaine y verront un certain style d'écriture qui permettra de recouper avec d'autres bouts de code malicieux, et donc de spéculer plus précisément sur la paternité de la chose.
[^] # Re: Bof
Posté par cg . En réponse au lien Le 31 mars, c'est la journée mondiale de la sauvegarde. Évalué à 2 (+0/-0).
Bé non c'était lundi la journée mondiale de la procrastination !
# Simple et efficace
Posté par cg . En réponse au lien Le Monde Diplomatique et les logiciels libres. Évalué à 3 (+1/-0).
La pile technique du Monde Diplomatique a su rester simple, leur site est rapide. Super !
Ça faisait longtemps que j'y pensais sans le faire, et donc je me suis abonné… À l'édition papier ;).
[^] # Re: Le HS de la conclusion
Posté par cg . En réponse au journal Xz (liblzma) compromis. Évalué à 2 (+0/-0).
Oui, tu as tout à fait raison, merci de la précision.
[^] # Re: Le HS de la conclusion
Posté par cg . En réponse au journal Xz (liblzma) compromis. Évalué à 2 (+0/-0).
Dans le cas précis de cet exemple, il y a souvent une contrepartie : avoir l'accès gratuit au festival. Pour des petits festivals, ça peut revenir à être payé 50 centimes de l'heure, pour des plus gros ça peut faire une équivalence à du 100€ la journée.
En tout cas la présence des bénévoles permet souvent d'améliorer les conditions d'un événement, c'est super !
Il y a aussi des entreprises qui font des prestations pro-bono pour les petites structures ou des assos qui ne pourraient pas payer la prestation, genre des audits de sécurité.
[^] # Re: Mes 2 cts
Posté par cg . En réponse au message Conseil pour carte graphique. Évalué à 2 (+0/-0).
Par contre du DisplayPort qui sait se convertir en DVI à la volée, c'est assez courant.
[^] # Re: L'avocat du diable? Parlons business plan.
Posté par cg . En réponse au journal GPL vs MIT, que choisir ?. Évalué à 4 (+2/-0).
Oui, certes, l'argent n'est pas forcément au niveau de la structure qui porte le projet. Il n'en reste pas moins que MySQL, Samba ou Wordpress permettent à beaucoup de gens de gagner leur vie.
Mais oui, je suis d'accord que c'est plutôt rare. Est-ce moins rare avec des licences à là BSD/MIT (TrueNAS, Kafka, PHP) ?
Au doigt mouillé, j'ai le sentiment qu'aujourd'hui les deux modèles dominants, c'est l'open core et la vente de services/formations.
[^] # Re: L'avocat du diable? Parlons business plan.
Posté par cg . En réponse au journal GPL vs MIT, que choisir ?. Évalué à 2 (+0/-0). Dernière modification le 29 mars 2024 à 18:28.
Quelques autres en GPL qui sont significatifs :
CEPH (LGPL en vrai)
GlusterFS
Proxmox (AGPL, ça compte ?)
Drupal
MySQL (en double licence, ceci dit)
VLC
Moodle
MediaWiki
Et un petit dernier pour la route : Wordpress, qui d'après certains sondages, représente plus de 40% des sites Internet à lui seul.
Mais oui, en license Apache/BSD/MIT, on en trouve beaucoup plus ! Déjà rien que dans les projets de la fondation Apache, c'est copieux.
[^] # Re: L'avocat du diable? Parlons business plan.
Posté par cg . En réponse au journal GPL vs MIT, que choisir ?. Évalué à 3 (+1/-0).
Bonne question.
Blender est principalement développé par la fondation Blender, qui est à but non lucratif. Mais Blender accepte des contributions de non-membres.
Et le financement est principalement par dons (page 96 du rapport annuel), Peut-être qu'on ne peut pas parler de "rentable", mais plutôt de "finances saines" ?
[^] # Re: L'avocat du diable? Parlons business plan.
Posté par cg . En réponse au journal GPL vs MIT, que choisir ?. Évalué à 3 (+1/-0).
Il y aussi les projets comme Samba, le noyau Linux, Git, QEMU, qui sont en GPL, et n'ont pas vraiment de business-model. La charge est distribuée sur plein d'entreprises.
On ne pas dire que ces projets n'ont pas d'importance ni ne rapportent d'argent :).
[^] # Re: Rétrocompatibilité
Posté par cg . En réponse au lien Linux 6.9 déprécie EXT2. Évalué à 2 (+0/-0).
Sur Hack A Day il y a quelques projets qui font ça, mécaniquement ou par caméra. Il y a même une perforatrice.
# Rétrocompatibilité
Posté par cg . En réponse au lien Linux 6.9 déprécie EXT2. Évalué à 10 (+12/-0).
Je suis tombé de ma chaise à cette annonce. L’obsolescence programmée a donc gangrenée le noyau Linux ! Je ne pourrais plus monter ma disquette 3'½ de tomrtbt faite en l'an 2000 ?
Puis, en fait :
Bon, je vais prendre mes pilules ;).
[^] # Re: De considérer les politiciens comme ignorants
Posté par cg . En réponse au lien [HS] « Tout sur l’économie, ou presque : Pour comprendre vraiment ce qui cloche dans le système ». Évalué à 6 (+4/-0).
Hello,
je ne pas certain de tout saisir, mais le monsieur Bouchaud semble surtout de se préoccuper de finance, c'est à dire un sous-ensemble très spécifique de l'économie.
Je parlais plutôt de problèmes bassement concrets, comme pourquoi conserver un taux de TVA assez élevé, alors que c'est un impôt qui pèse surtout sur les revenus modestes. Ou encore pourquoi ne pas taxer à 90% les ultra-riches sans que ça change leur quotidien. Des trucs simples de tout les jours, quoi :p.