Perso, le gros no-go de ce genre de grille tarifaire, c'est les options relatives au SSO en version premium. C'est tellement mesquin comme façon de faire ; c'est le rendre quasi-inutilisable en entreprise, et limite irresponsable tant ça contribue à de mauvaises pratiques.
Oui, plus que le développement de ce type de fishing, qui effectivement existe déjà, c'est leur mise en uvre qui est coûteuse. Notamment parce que c'est des attaques à faire de façon synchrone…
Il n'a jamais été dit que les deux facteurs ne devaient pas se trouver au même endroit pour l'authentification forte. Uniquement qu'il fallait 2 facteurs parmi les trois suivants :
- ce que sais (code) ;
- ce que je possède (carte/téléphone/etc.) ;
- ce que je suis (biométrie).
Les cartes à puce, par exemple les cartes bancaires, proposent directement deux facteurs sur un seul support : ce que je possède (la carte, via la clef qui y est stockée) et ce que je sais (le code PIN). C'est pourtant considéré comme une solution d'authentification forte.
Dans le cas d'une appli bancaire sur ton téléphone, tu peux avoir deux facteurs : ce que je possède via la clef spécifique à l'instance de l'appli et ce que je suis (via la biométrie du téléphone) ou ce que je connais (via un mot de passe d'appli).
Pour les TOTPs, le but était d'ajouter au mot de passe (ce que je sais), une preuve de possession d'un autre appareil (qui stocke la clef du TOTP), mais depuis le temps, cette idée s'est galvaudée et on lit tout et n'importe quoi. C'est pour ça que FIDO est passé d'un protocole qui permettait et l'authentification et le second facteur à un seul protocole de 2FA, proche de celui proposé pour l'authentification en première instance : la sécurité perçue est plus grande, alors même que la clef FIDO pourrait suffire à elle seule.
Il n'en reste pas moins que les solutions de 2FA sont aujourd'hui la solution la plus simple pour se prémunir du fishing, du moins tant que ce sera plus rentable d'attaquer les gens non équipés que de développer un fishing qui attaque directement le 2FA…
on oublie parfois qu'on est face à un noyau Linux, et qu'en tant que geeks, on a la responsabilité de s'impliquer dans l'évolution de ces appareils.
Excuse moi, mais je pense que j'ai la responsabilité de que dalle dans ce contexte. Avec ce résonnement, j'ai la responsabilité de m'impliquer dans l'évolution de la Freebox, la TiVo et les voitures Tesla ! Au mieux, en tant que sachant, j'en ai la possibilité, mais ce n'est sûrement pas une responsabilité !
Ici, on se focalise souvent sur Android = GAFAM, mais il ne faut pas oublier qu'Android permet de se détacher de cet écosystème grâce aux contributions de la communauté open source.
Je pense qu'ici, on est beaucoup à fonctionner sur des Android dégafamisé. Je pense même qu'on est un certain nombre à avoir travaillé sur du Android, au niveau matériel ou plus haut niveau, avec ou sans lien avec Google.
C’est surtout que depuis 1978, en France, la loi informatique et liberté interdit de réutiliser les identifiants entre services. Ce qui fait qu’on ne peut pas utiliser le numéro INSEE pour les impôts, par exemple.
Merci pour la précision, je n'avais pas vu cet aspect, je voyais ça comme des sondes classiques qui se pincent sur les pattes, j'arrivais pas à piger la révolution…
Je ne suis pas sûr de comprendre ce que c'est… C'est une plaque magnétique et les petits plots pour tenir des PCBs ? Et de probes pour oscillo ? Elles ont un truc de spécial ? A première vue, je ne vois pas la différence avec des probes qu'on achète ailleurs, je loupe un truc ?
NYOB, c’est l’association de Max Schrems, qui a fait invalider le Privacy Shield, qui permettait aux entreprises etatsuniennes de tranferer les donnés des européens aux USA (Arrêt Schrems II). C’est une organisation majeure dans la défense de la vie privée des ces 10 dernières années, imho.
Non, il reste encore pas mal de trucs, en partiulier les notifications Firebase ; sans compter la surcouche constructeur…
Mais ici, BAud ne fait que corriger le fait qu'un copte Google soit obligatoire pour utiliser internet sur un Android, et même pas pour installer des applications.
Google, qui finalement n'offre qu'un magasin d'applications par défaut
Lequel, comme toutes les gapps, a un accès root à ton téléphone… et impose aux constructeurs, pour l'installer, d'acceuillir aussi toute la suite des applications Google.
Hello, je ne travaille pas sur France identité, mais j'ai quelques pistes à te fournir sur comment ça marche. Bien sûr, ça n'enlève rien à la pertinence de demander l'ouverture du code…
Pour la réalisation pratique, Idakto revendique d'avoir fourni le SDK et le backend : https://www.idakto.com/case-studies/france-identite/ . Ils revendiquent aussi une solution certifiée de niveau de sécurité élevé par l'ANSSI.
Ben, toute la problématique évoquées dans l'interview porte sur des mesures de sécurité visant à protéger la vie privée… Donc dans le compromis, la sécurité, c'est la vie privée.
Globalement, oui, je peux arriver à +/- 1h, et je repars quand je veux, tant que je fais mes 37h/semaine. Et globalement, je ne suis pas à 1/4-1/2 h près pour arriver chez moi, il m'est arrivé de lire ou de mater un truc en attendant que la pluie diminue…
Mais tu viens de me donne rune idée : un clavier en ROT13
Bonne idée !
Pour plus de sécurité, on pourrait y ajouter aussi des rotors mobiles qui tournent à chaque frappe au clavier pour gérer les lettres en sortir. Et on pourrait aller plus loin en proposant de choisir quelques rotors parmis ceux à notre disposition, et même leur ordre, tiens ! Ah, et si on ajoutait quelques substitutions pour compliquer encore les chose ?
Mais, je me demande si ça n'a pas été déjà essayé ;)
Et d'expérience, il pleut bien moins souvent qu'on veuille bien le croire
J'imagine que tu n'habites pas à Brest :-)
Je n'habite pas Brest, mais Rennes, le climat y est un peu plus clément, mais je rejoint Psychofox sur ce point. Finalement, en trois ans de velotaf (longue distance), je n'ai pas eu tant de fois que ça des trajets sous la pluie. Je dirais deux ou trois trajets par an où j'arrive vraiment trempé au boulot ou chez moi (mais là, je m'en fous un peu plus). Après, dans mon cas, ne prend une douche et je me change à l'arrivée quoi qu'il arrive, donc je n'ai sans doute pas le même ressenti sur la pluie légère que d'autres.
L'astuce c'est de jeter un oeuil à "pluie dans l'heure". Souvent les grosses pluies ne durent pas longtemps et sont un peu espacées… En fait, ce qui me fait le plus souvent renoncer, c'est le vent, bien plus que la pluie, et c'est une contrainte qui est quasi-éliminée par un vélo électrique.
Je comprends, c'était surtout pour souligner que le fait d'habiter un peu plus loin d'une métropole n'est pas une règle générale pour l'impératif voiture, et que le temps de transport en voiture est, pour moi, du temps perdu quoi qu'il arrive, ce qui est beaucoup moins vrai pour les mobilités dites douces (40Km de vélo par jour, c'est pas toujours doux, y'a des jours où tu te mange des paquets de flottes et des rafales de vent, surtout quand tu habites la Bretagne—même moins extrême que le Finistère ;) )
En bus + marche : 1h50, et il ne faut pas que je loupe un des bus (j'en ai un à 7h40, le suivant est à 12h15)
C'est vrai que quand on a cherché à acheter avec ma compagne, on a commencé à regarder dans les villages proches de chez nous, mais quand on a constaté que l'offre de transports en commun était bien moins fournie que chez nous (raisonnable en semaine bien que BreizhGo), on a cherché sur place… tout le monde n'a pas ce luxe.
dont plus de 4.5km a faire à pied (et il arrive qu'il pleuve dans le Finistère sud)
Plutôt que de le faire à pieds, pour la même distance, ma compagne a opté pour un vélo pliant (trouvé sur le bon coin pour une centaine d'euros) qu'elle met dans le car…
[^] # Re: Faupensource?
Posté par aiolos . En réponse au lien Découvrez DocuSeal : une solution de signature électronique open source . Évalué à 3 (+1/-0).
Perso, le gros no-go de ce genre de grille tarifaire, c'est les options relatives au SSO en version premium. C'est tellement mesquin comme façon de faire ; c'est le rendre quasi-inutilisable en entreprise, et limite irresponsable tant ça contribue à de mauvaises pratiques.
[^] # Re: il est donc temps
Posté par aiolos . En réponse au lien Chrome prévient qu'uBlock Origin et d’autres extensions ne seront bientôt plus compatibles. Évalué à 2 (+0/-0).
Oui, d'autant plus qu'ils développeraient un plugin pour Firefox (en Rust) : https://linuxfr.org/users/antistress/liens/google-pourrait-developper-un-decodeur-jpeg-xl-en-rust-pour-firefox-phoronix
[^] # Re: TOTP
Posté par aiolos . En réponse au journal ultimatum de github pour passer au 2FA. Évalué à 2 (+0/-0).
Oui, plus que le développement de ce type de fishing, qui effectivement existe déjà, c'est leur mise en uvre qui est coûteuse. Notamment parce que c'est des attaques à faire de façon synchrone…
[^] # Re: TOTP
Posté par aiolos . En réponse au journal ultimatum de github pour passer au 2FA. Évalué à 7 (+5/-0).
Il n'a jamais été dit que les deux facteurs ne devaient pas se trouver au même endroit pour l'authentification forte. Uniquement qu'il fallait 2 facteurs parmi les trois suivants :
- ce que sais (code) ;
- ce que je possède (carte/téléphone/etc.) ;
- ce que je suis (biométrie).
Les cartes à puce, par exemple les cartes bancaires, proposent directement deux facteurs sur un seul support : ce que je possède (la carte, via la clef qui y est stockée) et ce que je sais (le code PIN). C'est pourtant considéré comme une solution d'authentification forte.
Dans le cas d'une appli bancaire sur ton téléphone, tu peux avoir deux facteurs : ce que je possède via la clef spécifique à l'instance de l'appli et ce que je suis (via la biométrie du téléphone) ou ce que je connais (via un mot de passe d'appli).
Pour les TOTPs, le but était d'ajouter au mot de passe (ce que je sais), une preuve de possession d'un autre appareil (qui stocke la clef du TOTP), mais depuis le temps, cette idée s'est galvaudée et on lit tout et n'importe quoi. C'est pour ça que FIDO est passé d'un protocole qui permettait et l'authentification et le second facteur à un seul protocole de 2FA, proche de celui proposé pour l'authentification en première instance : la sécurité perçue est plus grande, alors même que la clef FIDO pourrait suffire à elle seule.
Il n'en reste pas moins que les solutions de 2FA sont aujourd'hui la solution la plus simple pour se prémunir du fishing, du moins tant que ce sera plus rentable d'attaquer les gens non équipés que de développer un fishing qui attaque directement le 2FA…
[^] # Re: Modèle de menace ?
Posté par aiolos . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 5 (+3/-0).
En matière de sécurité, ça reste à prouver, imho…
[^] # Re: Tu ne serais pas un eco-térrosite en herbe, des fois ?
Posté par aiolos . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 4 (+2/-0).
Excuse moi, mais je pense que j'ai la responsabilité de que dalle dans ce contexte. Avec ce résonnement, j'ai la responsabilité de m'impliquer dans l'évolution de la Freebox, la TiVo et les voitures Tesla ! Au mieux, en tant que sachant, j'en ai la possibilité, mais ce n'est sûrement pas une responsabilité !
Je pense qu'ici, on est beaucoup à fonctionner sur des Android dégafamisé. Je pense même qu'on est un certain nombre à avoir travaillé sur du Android, au niveau matériel ou plus haut niveau, avec ou sans lien avec Google.
[^] # Re: pourquoi la ram uniquement?
Posté par aiolos . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 7 (+5/-0).
Mais pourquoi donc ?
[^] # Re: risque lié à la fuite de données en particulier du SSN
Posté par aiolos . En réponse au lien US : des numéros de sécurité sociale (SSN) sont partis dans la nature. Évalué à 4 (+2/-0). Dernière modification le 13 octobre 2024 à 20:09.
C’est surtout que depuis 1978, en France, la loi informatique et liberté interdit de réutiliser les identifiants entre services. Ce qui fait qu’on ne peut pas utiliser le numéro INSEE pour les impôts, par exemple.
[^] # Re: C'est très simple
Posté par aiolos . En réponse au journal Danew DBook 110 : l'ordinateur des nouilles. Évalué à 2 (+0/-0).
Merci pour la précision, je n'avais pas vu cet aspect, je voyais ça comme des sondes classiques qui se pincent sur les pattes, j'arrivais pas à piger la révolution…
[^] # Re: C'est très simple
Posté par aiolos . En réponse au journal Danew DBook 110 : l'ordinateur des nouilles. Évalué à 2 (+0/-0). Dernière modification le 11 octobre 2024 à 13:54.
Je ne suis pas sûr de comprendre ce que c'est… C'est une plaque magnétique et les petits plots pour tenir des PCBs ? Et de probes pour oscillo ? Elles ont un truc de spécial ? A première vue, je ne vois pas la différence avec des probes qu'on achète ailleurs, je loupe un truc ?
[^] # Re: Signature
Posté par aiolos . En réponse au journal Programme qui se vérifie lui-même pour voir s'il a été modifié. Évalué à 3 (+1/-0).
En java, il est de bon ton qu'un provider de sécurité (ou JCE = Java Cryptography Extension) soit signé, et son intégrité vérifiée au chargement. C'est documenté ici : https://docs.oracle.com/javase/1.5.0/docs/guide/security/jce/HowToImplAJCEProvider.html#MutualAuth
[^] # Re: Noyb
Posté par aiolos . En réponse au lien L'ONG européenne Noyb porte plainte contre Mozilla au sujet de PPA. Évalué à 8 (+6/-0).
NYOB, c’est l’association de Max Schrems, qui a fait invalider le Privacy Shield, qui permettait aux entreprises etatsuniennes de tranferer les donnés des européens aux USA (Arrêt Schrems II). C’est une organisation majeure dans la défense de la vie privée des ces 10 dernières années, imho.
[^] # Re: compte ?
Posté par aiolos . En réponse au message Google pire que Microsoft ?. Évalué à 2 (+0/-0).
Non, il reste encore pas mal de trucs, en partiulier les notifications Firebase ; sans compter la surcouche constructeur…
Mais ici, BAud ne fait que corriger le fait qu'un copte Google soit obligatoire pour utiliser internet sur un Android, et même pas pour installer des applications.
[^] # Re: compte ?
Posté par aiolos . En réponse au message Google pire que Microsoft ?. Évalué à 5 (+3/-0).
Lequel, comme toutes les gapps, a un accès root à ton téléphone… et impose aux constructeurs, pour l'installer, d'acceuillir aussi toute la suite des applications Google.
[^] # Re: Je les enlève systématiquement
Posté par aiolos . En réponse au journal Les caractères accentués dans les logiciels d'ENT. Évalué à 2 (+0/-0).
On félicitera le postier ou la postière qui a décodé l'adresse pour livrer le colis !
# Quelques éléments
Posté par aiolos . En réponse au lien [Mon blog] Lettre au ministère de l'intérieur, sur l'accès au code source de France Identité. Évalué à 6 (+4/-0).
Hello, je ne travaille pas sur France identité, mais j'ai quelques pistes à te fournir sur comment ça marche. Bien sûr, ça n'enlève rien à la pertinence de demander l'ouverture du code…
De ce que j'en ai vu, l'appli France Identité semble reposer sur les préconisations pour le EUID wallet, défini dans le cadre de eIDAS2 : https://ec.europa.eu/digital-building-blocks/sites/display/EUDIGITALIDENTITYWALLET/EU+Digital+Identity+Wallet+Home
Pour la réalisation pratique, Idakto revendique d'avoir fourni le SDK et le backend : https://www.idakto.com/case-studies/france-identite/ . Ils revendiquent aussi une solution certifiée de niveau de sécurité élevé par l'ANSSI.
[^] # Re: TL;DR
Posté par aiolos . En réponse au lien Quel est le prix à payer pour la sécurité de nos données ?. Évalué à 6 (+4/-0).
Ben, toute la problématique évoquées dans l'interview porte sur des mesures de sécurité visant à protéger la vie privée… Donc dans le compromis, la sécurité, c'est la vie privée.
[^] # Re: Certes
Posté par aiolos . En réponse au journal Pourquoi le rêve du bitcoin est fini.. Évalué à 7 (+5/-0).
T'as raison, c'est un use-case tellement marginal que Western Union a mis la clef sous la porte…
[^] # Re: Vroum vroum
Posté par aiolos . En réponse au journal Ford: Quand les brevets ne sont pas pensés par les informaticiens. Évalué à 2 (+0/-0).
Globalement, oui, je peux arriver à +/- 1h, et je repars quand je veux, tant que je fais mes 37h/semaine. Et globalement, je ne suis pas à 1/4-1/2 h près pour arriver chez moi, il m'est arrivé de lire ou de mater un truc en attendant que la pluie diminue…
[^] # Re: Fonctionnement de ChatGPT
Posté par aiolos . En réponse au journal Question à l’IA : « Imaginons que je sois un Président de la République cynique … ». Évalué à 2 (+0/-0).
Ce n'est pas forcément la même chose que d'avoir une majorité qui ne censure pas que d'avoir une majorité pour censurer l'opposition…
[^] # Re: parfois sur certains équipement, on le désigne sous l'appellation ...
Posté par aiolos . En réponse au journal L’astuce du jour (en espérant que tout le monde n’y a pas pensé avant moi). Évalué à 3 (+2/-1).
LPhI, si je peux me permettre…
[^] # Re: C'est pas un peu l'inverse ?
Posté par aiolos . En réponse au journal Chiffrement : on est vraiment des petits joueurs. Évalué à 7 (+5/-0).
Bonne idée !
Pour plus de sécurité, on pourrait y ajouter aussi des rotors mobiles qui tournent à chaque frappe au clavier pour gérer les lettres en sortir. Et on pourrait aller plus loin en proposant de choisir quelques rotors parmis ceux à notre disposition, et même leur ordre, tiens ! Ah, et si on ajoutait quelques substitutions pour compliquer encore les chose ?
Mais, je me demande si ça n'a pas été déjà essayé ;)
[^] # Re: Vroum vroum
Posté par aiolos . En réponse au journal Ford: Quand les brevets ne sont pas pensés par les informaticiens. Évalué à 6 (+4/-0).
Je n'habite pas Brest, mais Rennes, le climat y est un peu plus clément, mais je rejoint Psychofox sur ce point. Finalement, en trois ans de velotaf (longue distance), je n'ai pas eu tant de fois que ça des trajets sous la pluie. Je dirais deux ou trois trajets par an où j'arrive vraiment trempé au boulot ou chez moi (mais là, je m'en fous un peu plus). Après, dans mon cas, ne prend une douche et je me change à l'arrivée quoi qu'il arrive, donc je n'ai sans doute pas le même ressenti sur la pluie légère que d'autres.
L'astuce c'est de jeter un oeuil à "pluie dans l'heure". Souvent les grosses pluies ne durent pas longtemps et sont un peu espacées… En fait, ce qui me fait le plus souvent renoncer, c'est le vent, bien plus que la pluie, et c'est une contrainte qui est quasi-éliminée par un vélo électrique.
[^] # Re: Google changerait d'avis sur le jpeg-xl ?
Posté par aiolos . En réponse au lien Google pourrait développer un décodeur JPEG-XL en Rust pour Firefox - phoronix. Évalué à 2 (+1/-1).
Ou alors, ils se disent qu'ils vont pousser le le truc pourri1 chez la concurrence…
1 Je ne dis pas que JPEG-XL est pourri en vrai, j'y connais rien en formats d'image, je sais juste que Chrome en veut pas
[^] # Re: Vroum vroum
Posté par aiolos . En réponse au journal Ford: Quand les brevets ne sont pas pensés par les informaticiens. Évalué à 3 (+1/-0).
Je comprends, c'était surtout pour souligner que le fait d'habiter un peu plus loin d'une métropole n'est pas une règle générale pour l'impératif voiture, et que le temps de transport en voiture est, pour moi, du temps perdu quoi qu'il arrive, ce qui est beaucoup moins vrai pour les mobilités dites douces (40Km de vélo par jour, c'est pas toujours doux, y'a des jours où tu te mange des paquets de flottes et des rafales de vent, surtout quand tu habites la Bretagne—même moins extrême que le Finistère ;) )
C'est vrai que quand on a cherché à acheter avec ma compagne, on a commencé à regarder dans les villages proches de chez nous, mais quand on a constaté que l'offre de transports en commun était bien moins fournie que chez nous (raisonnable en semaine bien que BreizhGo), on a cherché sur place… tout le monde n'a pas ce luxe.
Plutôt que de le faire à pieds, pour la même distance, ma compagne a opté pour un vélo pliant (trouvé sur le bon coin pour une centaine d'euros) qu'elle met dans le car…