Tu parles de problèmes de budget, mais tu achètes du matériel hors de prix là où il serait plus efficace d'engager une personne qualifiée pour faire régner l'ordre dans tout ce petit monde. Et oui les SI sont du gruyère, et pas juste la moitié (ceux qu'on teste sont généralement dans la catégories "on a du budget pour un test d'intrusion" et c'est pas joli joli).
Comme dans beaucoup d'autres situations impliquant des situations à faible probabilité, on attend un incident avant de réagir. Ca ne me ferait pas autant peur si la vie de personnes n'était pas mise en danger par cette négligence (voitures connectées, automates industriels, réseaux d’hôpitaux, transports publics, etc.)
Ton conseil de prudence est sage mais pas totalement correct. Là où il serait trompeur de penser que la sécurité (en bits) de Camelia(k1, AES(k2, D)) est de |k1|+|k2| (attaque meet in the middle), il est admis que pour des PRP sécurisés et de nature différentes (donc pas une permutation et son inverse), avec la même clef, la construction est au moins aussi solide que le plus "fort" des algorithmes.
Dans ce cas précis, il n'y a aucun problème à chainer Camelia et AES, il faut juste réaliser que ça n'augmente pas forcément la sécurité en nombre de bits, mais ça peut augmenter la confiance au chiffrement si Camelia ou AES ont une importante faiblesse.
Filiol a de sérieux soucis de crédibilité. Quasiment tous les produits sortis de son lab se sont fait exploser une fois revus par des professionnels, chose assez remarquable vu qu'ils ne font généralement que rajouter deux trois bricoles à des projets existants.
Je recommande vivement de se tenir le plus loin possible de ses produits, histoire de ne pas être touché le jour où ça explose.
En fait le jeu où il faut dessiner en clickant sur les points qui changent de couleur, il sait le faire, il perd juste très vite son intérêt pour le jeu et passe à autre chose :)
J'ai essayé plusieurs fois la version Android avec mon fils de 2 ans. Il n'a pas accroché :( Il s'intéresse plus à l'interface qu'aux jeux. Je réessaierai avec lui un peu plus tard.
Je donne un exemple de bug qui confirme juste mon affirmation "ça augmente la surface d'attaque". Le fait que le bug soit patché n'est pas vraiment pertinent. Bien sûr que ce n'est plus exploitable de cette manière, mais il y a peut-être d'autres bugs, peut-être même plus vicieux. On en sait rien tant que ça n'a pas été audité à fond.
Et c'est pareil pour tout équipement de sécurité qu'on installe: WAF, reverse proxy, IDS, anti-virus, analyseurs de logs, …
C'est pour ça qu'il est important de séparer un réseau en zones de sécurité et les serveurs en machines virtuelles, les machines virtuelles en applications dans leurs containeurs, et les éléments d'une application avec des règles de séparation du type SELinux ou sandboxing. En gros, appliquer le principe de moindre privilège et de la séparation des tâches.
T'as assez bien cerné le personnage. Je n'ai pas vu de fil de discussion où Theo changeait d'avis après un échange constructif d'idées. C'est pas un mauvais ingénieur (loin de là) mais il a toujours le dernier mot, du moins pour OpenBSD (même quand il a tort).
Pourquoi passer son temps à faire de la sécurité, de toutes façons on est tous compromis (à la fois par les chinois, le fbi, la NSA, Daesh et James Bond). Tant qu'on y est autant aller se jeter dans le canal.
En fait clamav, rkhunter & co augmentent très largement la surface d'attaque de la machine, donc faire tourner ce genre d'application (à l'efficacité relativement discutable) doit faire l'objet d'une petite analyse de risque. Petite illustration du risque lié à chkrootkit.
SELinux est une véritable avancée au niveau de la sécurité. Avec de bonnes règles, même obtenir un accès root a un intérêt limité, et il faut trouver un moyen d'escalader vers un shell root moins limité.
L'inconvénient c'est que l'administrateur système "lambda" n'a pas le temps de fabriquer ces règles, donc pour que ce soit efficace il faut que les règles soient packagées en même temps que l'application (avec les éventuelles modifications nécessaires pour s'adapter à un changement de webroot, par exemple).
J'avais eu de très mauvais échos de apparmor il y a quelques années (règles de bases pas assez costaudes et granularité trop grosse) mais ça a peut-être changé depuis.
Dans ma boule de cristal, les historiens établiront le changement d'ère en 2001: l'Ère numérique, mais aussi le début de la surveillance de masse généralisée, l'hyper communication, le web, les réseaux sociaux, l'internet mobile, mais aussi un début de guerres sans fins entre les états-unis et le moyen-orient. La peur du terrorisme généralisée et matérialisée par des lois liberticides bidons, des mesures de sécurité drastiques en réponse à l'hystérie collective colportée par les médias (et enflammée par les réseaux sociaux).
Notre monde a très fort changé ce début de siècle.
Une bonne comparaison c'est une caisse en carton dans un coffre à la banque (solution clef privée) vs caisse en adamantium assemblée avec des morceaux de papier collant et déposée au milieu d'une place de village.
Absolument rien dans ce projet ne me fait confiance. Le problème de la cryptographie, c'est la distribution des clefs et la sécurité des implémentations. Plusieurs personnes ici ont montré que #1 est pas résolu (en fait rendu encore plus difficile) et #2 est totalement discutable (RNG fabriqué par quelqu'un qui ne devrait pas faire de cryptographie avant d'avoir lu deux ou trois livres sur le sujet).
Il faut faire attention de ne pas confondre "confidentialité" et "anonymat".
La confidentialité, c'est être sûr que le message arrive à un destinataire sans être intercepté. L'anonymat c'est s'assurer que personne ne saura qui a envoyé le message.
Tor est un excellent outil pour protéger l'anonymat. Même la NSA disent avoir des difficultés à cerner les utilisateurs de Tor.
Tor est très mauvais pour la confidentialité. Les informations qui passent par Tor doivent forcément sortir non chiffrées par le dernier noeud. Noeuds qui sont en grande partie gérés par des états (ben voyons !). Cela devient acceptable lorsque HTTPS est utilisé de bout en bout.
Je connais plusieurs personnes qui ont installé un noeud de sortie et ont regardé ce qui y passait: "C'est intéressant…"
Donc oui utiliser Tor fait de son usager une cible potentielle, et pire, c'est plus facile à sniffer que l'internet classique. Il est totalement insensé d'utiliser Tor pour transmettre ses données personnelles (au hasard, se connecter sur facebook…)
La cryptographie fonctionne ! Et c'est une des nouvelles importantes de ces révélations. Il existe des tutoriaux partout sur le Net pour se mettre à chiffrer ses communications. Je vous laisse aller voir OTR pour Jabber (messagerie instantanée), SSL/TLS pour à peu près tout (courriel, chat,…), GPG (qui demande un niveau technique un peu supérieur), Tor, et surtout, surtout, je vous invite à venir à des cryptoparty / café vie privée pour apprendre à s'en servir :)
La crypto fonctionne, oui, mais pas lorsque l'on est ciblé par une superpuissance qui possède des 0days en rafale. Elle permet de protéger la vie privée de nos échanges lorsque l'on est pas un cible directe.
La cryptographie fonctionne lorsque les équipements sont de confiance, ce qui n'est plus le cas aujourd'hui. Le matériel et le soft peuvent être facilement backdoorés (ou le sont déjà) ou contiennent des failles exploitables par le clan des triglyphes.
Si vous avez des données ultrasensibles et que vous êtes une cible potentielle:
- Ne le mettez pas sur le cloud !
- Chiffrez d'office
- Ne le mettez pas sur un réseau connecté à internet
- Ne connectez jamais (même pour les mises à jour) ces ordis sur internet
- Détruisez les équipements après usage. Achetez ces équipements en magasin, je les connectez pas au net pour les mises à jour.
- Cela va de soi, utilisez du logiciel libre.
- Ne créez pas les données sensibles si c'est pas nécessaire.
Comme l'a dit @swiftonsecurity "L'Infosec c'est essayer d'éloigner les hackers de vos photos dénudées. L'OPSEC c'est de ne pas les prendre du tout".
Article poubelle : il parle de "clef de chiffrement", ce qui n'a absolument rien à voir avec du certificate pinning (dans ce cas il s'agit d'un certificat). L'article parle peut-être des clefs d'application, mais vu le rapport information/mots de l'article c'est difficile à dire.
Il faut savoir que le certificate pinning est une bonne pratique, elle réduit considérablement la surface d'attaque des applis vis à vis des attaques contre les CA. Et les clefs d'applications, c'est malheureusement une pratique commune pour protéger les apps contre la création d'applis compatibles (il faut la clef d'application pour pouvoir accéder à certaines parties de l'appli). Dans ces cas le certificate pinning permet de protéger (pendant 10 minutes si on s'y prend mal :p) la clef d'application.
Le résultat c'est que ces applications cesseront de fonctionner avec un proxy SSL. Est-ce une bonne chose ou une mauvaise, je n'ai pas d'avis tranché.
L'usage ici est d'utiliser la dénomination dans la langue d'origine à cause des malentendus possibles (Luik/Liège,Mons/Bergen,Leuven/Louvain (et Louvain-la-neuve), Tournais/Doornik, Antwerpen/Anvers (que l'on doit prononcer Anverse) et à coté de chez moi Edingen/Enghien,Silly/Opzullik).
Gand étant une ville flamande, on écrit Gent ou Ghent. Les deux sont acceptés, je ne sais pas très bien quelle est la différence.
D'ailleurs le chemin depuis Paris c'est via Doornik :)
Les "watt musicaux" sont une invention commerciale, ça n'a absolument aucun fondement scientifique, électronique ou musical. Les puissances sont toujours indiquées en RMS sur le matos sérieux, la puissance max étant indiquée "peak".
Je plussoie d'autres lecteurs dans le sens où CACert a un vrai problème d'utilisabilité. Je ne me vois pas installer un root CA (= possibilité de faire du Mitm sur tous les sites que je visite) uniquement pour aller sur linuxfr. Ce root CA n'a aucun avantage par rapport à la concurrence (ah ouais c'est libre mais ça marche pas). Utiliser CACert ne diminue pas de manière magique la liste des CA autorisés dans mon browser et donc n'augmente pas la sécurité de ma communication (ni celle du site) mais au contraire la diminue.
Pour quelle raison ? Parce que la totalité des autres CA de mon browser ont suivi une procédure pour pouvoir être inclus dans cette fameuse liste, et CACert ne répond pas aux critères demandés.
On va alors me répondre "Mais t'as vu tous les scandales avec les CA ? Diginotar, Comodo etc. ?". Je réponds que si même eux, qui suivaient des procédures et répondaient à des critères de sécurité assez stricts ont été compromis, je ne vois pas la moindre raison pour que CACert soit plus sécurisé. La difficulté d'utilisation en plus.
Il faut de temps en temps arrêter avec le librisme acharné quand on se rend compte que ça ne marche pas.
"Répondre à un gazouillis" ce n'est pourtant pas vendredi ! En tous cas ça m'a fait sourire, les français sont très forts pour inventer des mots incompréhensibles pour traduire des termes que tout le monde comprend.
[^] # Re: security forever
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Root-me: Rémunération des challenges de hacking et naissance de Root-me.pro. Évalué à 5.
Tu parles de problèmes de budget, mais tu achètes du matériel hors de prix là où il serait plus efficace d'engager une personne qualifiée pour faire régner l'ordre dans tout ce petit monde. Et oui les SI sont du gruyère, et pas juste la moitié (ceux qu'on teste sont généralement dans la catégories "on a du budget pour un test d'intrusion" et c'est pas joli joli).
Comme dans beaucoup d'autres situations impliquant des situations à faible probabilité, on attend un incident avant de réagir. Ca ne me ferait pas autant peur si la vie de personnes n'était pas mise en danger par cette négligence (voitures connectées, automates industriels, réseaux d’hôpitaux, transports publics, etc.)
[^] # Re: De l'origine du nom
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Podcast No Limit Secu : épisode sur GostCrypt. Évalué à 3.
Ton conseil de prudence est sage mais pas totalement correct. Là où il serait trompeur de penser que la sécurité (en bits) de Camelia(k1, AES(k2, D)) est de |k1|+|k2| (attaque meet in the middle), il est admis que pour des PRP sécurisés et de nature différentes (donc pas une permutation et son inverse), avec la même clef, la construction est au moins aussi solide que le plus "fort" des algorithmes.
Dans ce cas précis, il n'y a aucun problème à chainer Camelia et AES, il faut juste réaliser que ça n'augmente pas forcément la sécurité en nombre de bits, mais ça peut augmenter la confiance au chiffrement si Camelia ou AES ont une importante faiblesse.
[^] # Re: De l'origine du nom
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Podcast No Limit Secu : épisode sur GostCrypt. Évalué à 4.
Filiol a de sérieux soucis de crédibilité. Quasiment tous les produits sortis de son lab se sont fait exploser une fois revus par des professionnels, chose assez remarquable vu qu'ils ne font généralement que rajouter deux trois bricoles à des projets existants.
Je recommande vivement de se tenir le plus loin possible de ses produits, histoire de ne pas être touché le jour où ça explose.
[^] # Re: Android
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche GCompris Qt sort en version 0.41 avec ses nouveaux graphismes. Évalué à 1.
En fait le jeu où il faut dessiner en clickant sur les points qui changent de couleur, il sait le faire, il perd juste très vite son intérêt pour le jeu et passe à autre chose :)
# Android
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche GCompris Qt sort en version 0.41 avec ses nouveaux graphismes. Évalué à 2.
J'ai essayé plusieurs fois la version Android avec mon fils de 2 ans. Il n'a pas accroché :( Il s'intéresse plus à l'interface qu'aux jeux. Je réessaierai avec lui un peu plus tard.
# SNI
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche OpenBSD 5.7 « Blues Brothers ». Évalué à 4.
Ca me fait sourire :) (pour pas dire LOL).
[^] # Re: SELinux & autres LSM ?
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Un peu plus de sécurité sous Linux. Évalué à 3.
Je donne un exemple de bug qui confirme juste mon affirmation "ça augmente la surface d'attaque". Le fait que le bug soit patché n'est pas vraiment pertinent. Bien sûr que ce n'est plus exploitable de cette manière, mais il y a peut-être d'autres bugs, peut-être même plus vicieux. On en sait rien tant que ça n'a pas été audité à fond.
Et c'est pareil pour tout équipement de sécurité qu'on installe: WAF, reverse proxy, IDS, anti-virus, analyseurs de logs, …
C'est pour ça qu'il est important de séparer un réseau en zones de sécurité et les serveurs en machines virtuelles, les machines virtuelles en applications dans leurs containeurs, et les éléments d'une application avec des règles de séparation du type SELinux ou sandboxing. En gros, appliquer le principe de moindre privilège et de la séparation des tâches.
[^] # Re: Cette polémique n'est pas toute jeune...
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Bitrig, un récent fork d'OpenBSD. Évalué à 3.
T'as assez bien cerné le personnage. Je n'ai pas vu de fil de discussion où Theo changeait d'avis après un échange constructif d'idées. C'est pas un mauvais ingénieur (loin de là) mais il a toujours le dernier mot, du moins pour OpenBSD (même quand il a tort).
[^] # Re: Sécurisé un poste ?
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Un peu plus de sécurité sous Linux. Évalué à -2.
Je vois pas trop comment voter autrement que "inutile" sur ce commentaire…
[^] # Re: Sécurisé un poste ?
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Un peu plus de sécurité sous Linux. Évalué à 2.
Pourquoi passer son temps à faire de la sécurité, de toutes façons on est tous compromis (à la fois par les chinois, le fbi, la NSA, Daesh et James Bond). Tant qu'on y est autant aller se jeter dans le canal.
[^] # Re: wget && ./pwnme
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Un peu plus de sécurité sous Linux. Évalué à 10.
Les vrais hackers font du curl http://xxxxxx | sudo sh sans discuter, sinon c'est pas drole.
[^] # Re: SELinux & autres LSM ?
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Un peu plus de sécurité sous Linux. Évalué à 10.
En fait clamav, rkhunter & co augmentent très largement la surface d'attaque de la machine, donc faire tourner ce genre d'application (à l'efficacité relativement discutable) doit faire l'objet d'une petite analyse de risque. Petite illustration du risque lié à chkrootkit.
SELinux est une véritable avancée au niveau de la sécurité. Avec de bonnes règles, même obtenir un accès root a un intérêt limité, et il faut trouver un moyen d'escalader vers un shell root moins limité.
L'inconvénient c'est que l'administrateur système "lambda" n'a pas le temps de fabriquer ces règles, donc pour que ce soit efficace il faut que les règles soient packagées en même temps que l'application (avec les éventuelles modifications nécessaires pour s'adapter à un changement de webroot, par exemple).
J'avais eu de très mauvais échos de apparmor il y a quelques années (règles de bases pas assez costaudes et granularité trop grosse) mais ça a peut-être changé depuis.
[^] # Re: TED-ification
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche 31c3 : le Chaos Communication Congress de retour avec « A New Dawn ». Évalué à 1.
Dans ma boule de cristal, les historiens établiront le changement d'ère en 2001: l'Ère numérique, mais aussi le début de la surveillance de masse généralisée, l'hyper communication, le web, les réseaux sociaux, l'internet mobile, mais aussi un début de guerres sans fins entre les états-unis et le moyen-orient. La peur du terrorisme généralisée et matérialisée par des lois liberticides bidons, des mesures de sécurité drastiques en réponse à l'hystérie collective colportée par les médias (et enflammée par les réseaux sociaux).
Notre monde a très fort changé ce début de siècle.
[^] # Re: Le TRNG, moi aussi les bras m'en tombent
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Jericho Chat - Chiffrement incassable utilisant les masques jetables. Évalué à 2.
On pourrait commencer à discuter si ROT13 était un standard publié par le NIST et suffisant pour obtenir une certification FIPS.
[^] # Re: Pas convaincu
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Jericho Chat - Chiffrement incassable utilisant les masques jetables. Évalué à 3.
Une bonne comparaison c'est une caisse en carton dans un coffre à la banque (solution clef privée) vs caisse en adamantium assemblée avec des morceaux de papier collant et déposée au milieu d'une place de village.
Absolument rien dans ce projet ne me fait confiance. Le problème de la cryptographie, c'est la distribution des clefs et la sécurité des implémentations. Plusieurs personnes ici ont montré que #1 est pas résolu (en fait rendu encore plus difficile) et #2 est totalement discutable (RNG fabriqué par quelqu'un qui ne devrait pas faire de cryptographie avant d'avoir lu deux ou trois livres sur le sujet).
[^] # Re: La crypto
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche NSA - temps de faire le (premier) point. Évalué à 10. Dernière modification le 03 août 2014 à 19:44.
Il faut faire attention de ne pas confondre "confidentialité" et "anonymat".
La confidentialité, c'est être sûr que le message arrive à un destinataire sans être intercepté. L'anonymat c'est s'assurer que personne ne saura qui a envoyé le message.
Tor est un excellent outil pour protéger l'anonymat. Même la NSA disent avoir des difficultés à cerner les utilisateurs de Tor.
Tor est très mauvais pour la confidentialité. Les informations qui passent par Tor doivent forcément sortir non chiffrées par le dernier noeud. Noeuds qui sont en grande partie gérés par des états (ben voyons !). Cela devient acceptable lorsque HTTPS est utilisé de bout en bout.
Je connais plusieurs personnes qui ont installé un noeud de sortie et ont regardé ce qui y passait: "C'est intéressant…"
Donc oui utiliser Tor fait de son usager une cible potentielle, et pire, c'est plus facile à sniffer que l'internet classique. Il est totalement insensé d'utiliser Tor pour transmettre ses données personnelles (au hasard, se connecter sur facebook…)
# La crypto
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche NSA - temps de faire le (premier) point. Évalué à 10.
La crypto fonctionne, oui, mais pas lorsque l'on est ciblé par une superpuissance qui possède des 0days en rafale. Elle permet de protéger la vie privée de nos échanges lorsque l'on est pas un cible directe.
La cryptographie fonctionne lorsque les équipements sont de confiance, ce qui n'est plus le cas aujourd'hui. Le matériel et le soft peuvent être facilement backdoorés (ou le sont déjà) ou contiennent des failles exploitables par le clan des triglyphes.
Si vous avez des données ultrasensibles et que vous êtes une cible potentielle:
- Ne le mettez pas sur le cloud !
- Chiffrez d'office
- Ne le mettez pas sur un réseau connecté à internet
- Ne connectez jamais (même pour les mises à jour) ces ordis sur internet
- Détruisez les équipements après usage. Achetez ces équipements en magasin, je les connectez pas au net pour les mises à jour.
- Cela va de soi, utilisez du logiciel libre.
- Ne créez pas les données sensibles si c'est pas nécessaire.
Comme l'a dit @swiftonsecurity "L'Infosec c'est essayer d'éloigner les hackers de vos photos dénudées. L'OPSEC c'est de ne pas les prendre du tout".
[^] # Re: Interception ssl
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche gateGhost: Traque-moi si tu peux. Évalué à 3.
Article poubelle : il parle de "clef de chiffrement", ce qui n'a absolument rien à voir avec du certificate pinning (dans ce cas il s'agit d'un certificat). L'article parle peut-être des clefs d'application, mais vu le rapport information/mots de l'article c'est difficile à dire.
Il faut savoir que le certificate pinning est une bonne pratique, elle réduit considérablement la surface d'attaque des applis vis à vis des attaques contre les CA. Et les clefs d'applications, c'est malheureusement une pratique commune pour protéger les apps contre la création d'applis compatibles (il faut la clef d'application pour pouvoir accéder à certaines parties de l'appli). Dans ces cas le certificate pinning permet de protéger (pendant 10 minutes si on s'y prend mal :p) la clef d'application.
Le résultat c'est que ces applications cesseront de fonctionner avec un proxy SSL. Est-ce une bonne chose ou une mauvaise, je n'ai pas d'avis tranché.
[^] # Re: quand y en a plus, y en a encore
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche 1er week-end de février, en Belgique, au FOSDEM. Évalué à 0.
L'usage ici est d'utiliser la dénomination dans la langue d'origine à cause des malentendus possibles (Luik/Liège,Mons/Bergen,Leuven/Louvain (et Louvain-la-neuve), Tournais/Doornik, Antwerpen/Anvers (que l'on doit prononcer Anverse) et à coté de chez moi Edingen/Enghien,Silly/Opzullik).
[^] # Re: quand y en a plus, y en a encore
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche 1er week-end de février, en Belgique, au FOSDEM. Évalué à 2.
Je me rattrape, Ghent est l'orthographe anglaise de Gent. Bizarre bizarre…
[^] # Re: quand y en a plus, y en a encore
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche 1er week-end de février, en Belgique, au FOSDEM. Évalué à 0.
Gand étant une ville flamande, on écrit Gent ou Ghent. Les deux sont acceptés, je ne sais pas très bien quelle est la différence.
D'ailleurs le chemin depuis Paris c'est via Doornik :)
[^] # Re: Électronique
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche NwAvGuy O2 : l’amplificateur casque sous licence Creative Common. Évalué à 4.
Les "watt musicaux" sont une invention commerciale, ça n'a absolument aucun fondement scientifique, électronique ou musical. Les puissances sont toujours indiquées en RMS sur le matos sérieux, la puissance max étant indiquée "peak".
[^] # Re: HTTPS
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013). Évalué à 4.
Je plussoie d'autres lecteurs dans le sens où CACert a un vrai problème d'utilisabilité. Je ne me vois pas installer un root CA (= possibilité de faire du Mitm sur tous les sites que je visite) uniquement pour aller sur linuxfr. Ce root CA n'a aucun avantage par rapport à la concurrence (ah ouais c'est libre mais ça marche pas). Utiliser CACert ne diminue pas de manière magique la liste des CA autorisés dans mon browser et donc n'augmente pas la sécurité de ma communication (ni celle du site) mais au contraire la diminue.
Pour quelle raison ? Parce que la totalité des autres CA de mon browser ont suivi une procédure pour pouvoir être inclus dans cette fameuse liste, et CACert ne répond pas aux critères demandés.
On va alors me répondre "Mais t'as vu tous les scandales avec les CA ? Diginotar, Comodo etc. ?". Je réponds que si même eux, qui suivaient des procédures et répondaient à des critères de sécurité assez stricts ont été compromis, je ne vois pas la moindre raison pour que CACert soit plus sécurisé. La difficulté d'utilisation en plus.
Il faut de temps en temps arrêter avec le librisme acharné quand on se rend compte que ça ne marche pas.
# "Répondre à un gazouillis"
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Thunderbird 24. Évalué à 2.
"Répondre à un gazouillis" ce n'est pourtant pas vendredi ! En tous cas ça m'a fait sourire, les français sont très forts pour inventer des mots incompréhensibles pour traduire des termes que tout le monde comprend.
# IPv6
Posté par Aris Adamantiadis (site web personnel) . En réponse à la dépêche Blagues d'informaticiens. Évalué à 5.
Je connais une blague sur IPv6 mais je pense que personne ne peut la comprendre