cg a écrit 1392 commentaires

C'est plus équivalent à une paire clé privée/clé publique pour SSH. Ce n'est pas un mot de passe connu de toi et du service (Pre-Shared Key). Dans le cas des passkeys, la clé privée ne sort jamais du gestionnaire de mots de passe ou de la clé de sécurité.

Par contre, et c'est là que ça devient tangent, ça laisse croire qu'il n'y a magiquement plus besoin de s'occuper de ses mots de passe ou de sa sécurité. Hors, si les passkeys (ou des mots de passes classiques) sont stockées dans un téléphone ou un ordi qui ne sont pas sauvegardés (c'est à dire probablement la majorité), en cas de perte de l'appareil, c'est game over. Perso, je n'ai pas de solution à ça :(.

L'article de Clubic dit :

les différents acteurs majeurs de la tech se sont convertis aux passkeys, ces identifiants biométriques remplaçant les traditionnels mots de passe.
[…]
Les passkeys utilisent, quant à eux, l'identification biométrique

C'est formulé très clairement, et c'est totalement faux ! Sur mon PC Linux, j'ai Bitwarden qui stocke des passkeys (par exemple pour Github), et il n'y a aucun capteur biométrique. Sur mon téléphone, je peux déverrouiller Bitwarden avec une empreinte digitale, mais c'est totalement optionnel, je peux aussi le faire avec ma Yubikey ou un TOTP, et accéder à mes passkeys, entre autres identifiants.

Que les GAFAM soient en position dominante et proposent des services captifs c'est chiant, mais pas la peine de mentir ou de dire des semi-vérités.

Oui, c'est pénible d'avoir des pages de superlatifs supralaxatifs sans arriver à saisir ce que ce logiciel qui va changer le monde peut faire vraiment pour toi.

Une variante est quand il y a plusieurs gammes ou plusieurs offres. Elles sont toutes excellentes et parfaites (best in class, best value, state of the art, cutting edge…). Que faut-il choisir, la meilleure ou la encore plus meilleure ?

Souvent, aller voir sur Wikipedia (exemple pour Netlify) permet d'y voir plus clair.

Un super contre-exemple que j'adore, c'est cet extrait du début de la doc de The Bastion :

Wait, what's a bastion exactly? (in 140-ish characters)

A so-called bastion is a machine used as a single entry point by operational teams (such as sysadmins, developers, devops, database admins, etc.) to securely connect to other machines of an infrastructure, usually using ssh.

The bastion provides mechanisms for authentication, authorization, traceability and auditability for the whole infrastructure.

La page de Tracim est plutôt bien faite aussi, on peut faire le tour des fonctions principales et cas d'usage en lisant en diagonale.

C'est un bel infomercial pour la solution de Proton et leurs autres produits. Des gestionnaires de mots de passe comme Bitwarden, KeepassXC et autres concurrents de Proton Pass gèrent les passkeys, ce sur quoi l'article fait gentiment l'impasse¹.

Et si on a une clé de sécurité physique comme une Nitrokey, une Titankey ou une Yubikey, ça gère les passkeys et le FIDO2 aussi.

Bref, avec tout le respect que j'ai pour Proton, cet article ne me semble pas totalement honnête, c'est dommage.

Mais, mais, ce n'est ni en France ni dans la Communauté Européenne !

Et on dirait que l'offre n'est pas gratuite, mais comprise avec l'achat d'un nom de domaine, donc autour de 5-15€ par an.

Merci pour ce pavé, c'est intéressant !

La lecture de ton second paragraphe m'a fait me demander un truc, quand même. Est-ce que tu as des attentes différentes pour les logiciels propriétaires (gratuit ou payant) ? Par exemple, la sensation que tu ne peux pas contacter les devs. Tu trouves ça attendu (voire normal) d'avoir une backdoor dans le logiciel s'il est proprio ?

Pour revenir sur l'article, je crois que le propos est de dire que les faiblesses humaines sont plus faciles à exploiter sur les petits projets libres, pour ces raisons :

• en tant qu'humain, on cherche à avoir des interactions. Avoir un camarade qui réfléchit et participe, ça fait du bien ;
• les projets libres, surtout les petits, ont un héritage culturel et une gouvernance qui font que c'est plus facile de participer¹.

Ces deux traits forment un modèle de menace, j'imagine qu'il vaut mieux en être conscient. Cette menace existe aussi dans les projets proprios, mais la barre est plus haute pour entrer.

Un petit gag en vidéo pour terminer : Linus Torvalds Admits He's Been Asked To Insert Backdoor Into Linux

Si tu pars du principe que l'utilisateur lit et comprend la licence, aussi…

Salut,

Le R720 et Proxmox s'aiment bien.

Le problème provient sans doute d'autre chose. Le fait que ce message ACPI, qui est surtout un warning, soit le dernier ou vers les derniers, n'indique pas tellement que c'est la cause du problème. Tu peux essayer de démarrer avec un système type System Rescue, voir s'il n'y a pas un problème niveau réseau (peut-être le firmware d'une carte Broadcom qui a été mis à jour ?), faire les diagnostics depuis l'IDRAC…

Est-ce que ça a fonctionné et "ça marche plus", ou ça n'a jamais fonctionné ? Parfois il suffit de sortir et replacer les barrettes de RAM ou les CPUs.

Est-ce que ça démarre en mode "emergency" ?

(Note: Proxmox 8.1 est sorti il y a un certain temps)

Concernant le traceroute qui ne passe pas, c'est parce que c'est de l'UDP sur des ports variables, alors que ping et mtr utilisent de l'ICMP (j'étais pas certain alors j'ai vérifié avec wireshark). Sans doute que tu n'as pas autorisé tous les ports à passer sur le VPN ?

J'ai tendance à utiliser tcptraceroute sur le port 80 ou 443, c'est souvent ouvert. Le défaut c'est qu'il faut avoir les droits root pour l'utiliser.

Si depuis chez ta famille, la route vers le VPN a pour gateway une IP dans 192.168.20.0/24, je ne crois pas que le VPN constitue un saut visible.

Ce qui est génial, c'est que sur ton blog, l'article de 2020 mentionne déjà :

 import base64,lzma;exec(lzma.decompress(base64.b85decode("{Wp48S^xk9=GL@E0stWa761SMbT8$j;4$nE7F_@lh

T'es un peu un précurseur non ;) ?

Intéressant… Perso je fais une purge automatique des messages SMS et des messageries instantanées quand c'est possible, car je vois peu l'intérêt de conserver l'historique, ça me pollue la tête plus qu'autre chose. De ce point de vue, les tapis roulants genre Slack et Discord me font de la peine.

Je suis curieux, ça arrive de se référer ou de relire des messages genre SMS/IM anciens ?

Autant que ça pourrait être la France, j'imagine.

Beaucoup de commentaires disent que c'est probablement une agence étatique, mais ça peut très bien être une mafia privée, y'a pas de raison :).

Pour celles et ceux que ça intéresse mais qui ont du mal à suivre le jargon :

la backdoor permet d'exécuter des commandes à distance sur une machine infectée. Mais ce n'est pas ouvert à tout un chacun : l'accès à ce mécanisme est réservé aux personnes qui ont possession d'un certificat SSH spécifique.

Vivement que les analyses finales soient publiées. Avec un peu de chance, les spécialistes du domaine y verront un certain style d'écriture qui permettra de recouper avec d'autres bouts de code malicieux, et donc de spéculer plus précisément sur la paternité de la chose.

Bé non c'était lundi la journée mondiale de la procrastination !

La pile technique du Monde Diplomatique a su rester simple, leur site est rapide. Super !

Ça faisait longtemps que j'y pensais sans le faire, et donc je me suis abonné… À l'édition papier ;).

Oui, tu as tout à fait raison, merci de la précision.

On peut choisir le bénévolat y compris pour des activités à très forte valeur économique : c'est le cas, par exemple, de tous les festivals de grande taille, tels qu'il en fleurit tout l'été

Dans le cas précis de cet exemple, il y a souvent une contrepartie : avoir l'accès gratuit au festival. Pour des petits festivals, ça peut revenir à être payé 50 centimes de l'heure, pour des plus gros ça peut faire une équivalence à du 100€ la journée.

En tout cas la présence des bénévoles permet souvent d'améliorer les conditions d'un événement, c'est super !

Il y a aussi des entreprises qui font des prestations pro-bono pour les petites structures ou des assos qui ne pourraient pas payer la prestation, genre des audits de sécurité.

Mais trouver du DVI risque d'être impossible. Encore moins du VGA.

Par contre du DisplayPort qui sait se convertir en DVI à la volée, c'est assez courant.

Oui, certes, l'argent n'est pas forcément au niveau de la structure qui porte le projet. Il n'en reste pas moins que MySQL, Samba ou Wordpress permettent à beaucoup de gens de gagner leur vie.

• Automaticc, l'éditeur principal de Wordpress et opérateur de wordpress.com, emploie environ 2000 personnes, et a des milliards de revenus. Autour, il y a des milliers d'autres entreprises (plugins, thème, webagencies) ou hébergeurs (comme OVH) qui proposent du Wordpress bien emballé et peuvent en vivre.
• Proxmox GmbH et NextCloud vendent du service (support, maintenance).
• Git profite à BigPharma en vendant des aspirines.

Mais oui, je suis d'accord que c'est plutôt rare. Est-ce moins rare avec des licences à là BSD/MIT (TrueNAS, Kafka, PHP) ?

Au doigt mouillé, j'ai le sentiment qu'aujourd'hui les deux modèles dominants, c'est l'open core et la vente de services/formations.

Quelques autres en GPL qui sont significatifs :

CEPH (LGPL en vrai)
GlusterFS
Proxmox (AGPL, ça compte ?)
Drupal
MySQL (en double licence, ceci dit)
VLC
Moodle
MediaWiki
Et un petit dernier pour la route : Wordpress, qui d'après certains sondages, représente plus de 40% des sites Internet à lui seul.

Mais oui, en license Apache/BSD/MIT, on en trouve beaucoup plus ! Déjà rien que dans les projets de la fondation Apache, c'est copieux.

Bonne question.

Blender est principalement développé par la fondation Blender, qui est à but non lucratif. Mais Blender accepte des contributions de non-membres.

Et le financement est principalement par dons (page 96 du rapport annuel), Peut-être qu'on ne peut pas parler de "rentable", mais plutôt de "finances saines" ?

Il y aussi les projets comme Samba, le noyau Linux, Git, QEMU, qui sont en GPL, et n'ont pas vraiment de business-model. La charge est distribuée sur plein d'entreprises.

On ne pas dire que ces projets n'ont pas d'importance ni ne rapportent d'argent :).

Sur Hack A Day il y a quelques projets qui font ça, mécaniquement ou par caméra. Il y a même une perforatrice.

Je suis tombé de ma chaise à cette annonce. L’obsolescence programmée a donc gangrenée le noyau Linux ! Je ne pourrais plus monter ma disquette 3'½ de tomrtbt faite en l'an 2000 ?

Puis, en fait :

The EXT4 driver is able to handle EXT2 file-systems"

Bon, je vais prendre mes pilules ;).

Hello,

je ne pas certain de tout saisir, mais le monsieur Bouchaud semble surtout de se préoccuper de finance, c'est à dire un sous-ensemble très spécifique de l'économie.

Je parlais plutôt de problèmes bassement concrets, comme pourquoi conserver un taux de TVA assez élevé, alors que c'est un impôt qui pèse surtout sur les revenus modestes. Ou encore pourquoi ne pas taxer à 90% les ultra-riches sans que ça change leur quotidien. Des trucs simples de tout les jours, quoi :p.