croux a écrit 143 commentaires

  • [^] # Re: Une forte amende

    Posté par  . En réponse à la dépêche Les membres du collectif Édunathon demandent l’annulation de l’accord entre Microsoft et l’Éducation. Évalué à 1.

    Quand on apprend à conduire, on n'apprend pas un modèle de voiture.

    En fait si, on n'obtient pas le même permis lorsque l'embrayage est automatique (permis BEA).

  • [^] # Re: Reduire la population

    Posté par  . En réponse au sondage Pour le climat je suis prêt(e) à.... Évalué à 2.

    Actuellement on se dirige plutôt vers un avenir à la Idiocracy. :-)

  • # Réaliser plusieurs masters

    Posté par  . En réponse à la dépêche ddrescue, dd_rescue, myrescue : récupérer ses données après un crash disque. Évalué à 4.

    My 2 cents :

    • Toujours avoir un SystemRescueCd avec soi.

    • Réaliser plusieurs images en mettant le disque dans différentes positions (à l'envers, à la verticale, …) ; certains secteurs indiqués comme corrompus peuvent parfois être récupérés ainsi du simple déplacement des poussières.

    • Attention aux tailles de blocs trop grandes avec dd_rescues. J'ai eu un disque qui tombait systématiquement dans le coma arrivé à une certaine "piste" avec une taille de bloc de 16 Ko, alors qu'en 4 Ko il n'y avait aucun problème. C'est probablement du à un problème logiciel interne au disque.

  • [^] # Re: service-public.fr utilise toujours RC4

    Posté par  . En réponse à la dépêche Firefox : version 38. Évalué à 0.

    Chacun sa vision d'un service sans doute.
    Après, il peut rediriger (comment ou contacte le service technique?) et poliment dire (quelques mots en anglais) que ça ne le fait pas.
    Ensuite, même en français, plutôt que dire "je ne comprend pas", ils répondent HS, pas grave?

    Mais qui est ce "ils" ? Pour un peu le service d'assistance est assuré par une entreprise sous-traitante dont la prestation doit être obligatoirement réalisée en français en se restreignant aux seules compétences établies initialement par contrat.

    Ca dépend : il a été payé depuis 2005? On lui a demandé une maintenance de sécu? Personne pour contrôler?

    Les contrats passés avec le prestataire et l'hébergeur doivent prévoir tout cela, il en va du sérieux et du professionnalisme de ces derniers. Quant à savoir s'ils ont été payés depuis 2005, on peut constater qu'ils n'ont pas mis fin au contrat et admettre que l'Etat fini toujours par payer.

    This server is vulnerable to the POODLE attack against TLS servers. Patching required. Grade set to F.
    This server is vulnerable to MITM attacks because it supports insecure renegotiation. Grade set to F.
    en gros, c'est troué.

    POODLE nécessite d'injecter du javascript dans le client au préalable…
    Quant à l'attaque par Renegociation, ce n'est parce que le serveur est affecté que le service web tournant dessus peut être détourné.

    Il y a un risque indéniable, mais sans doute très faible.

  • [^] # Re: service-public.fr utilise toujours RC4

    Posté par  . En réponse à la dépêche Firefox : version 38. Évalué à 2.

    PS : "they have to reply in French, and that they are unable to process foreign language messages" si on averti l'administration française d'un attentat imminent, en anglais, la France dit qu'ils ne feront rien car refusent de lire le message et de communiquer en anglais, non francophone pas bienvenu. Joli… Un jour le France comprendra qu'elle n'est pas/plus le centre du monde, surtout en informatique. Sans doute pour ça qu'ils utilisent encore RC4, ils ne lisent pas les infos sur la sécurité… Ca fait peur.

    Qui a été averti du problème ?
    Si c'est le service d'assistance aux usagers de mon.service-public.fr, je trouve tout à fait normal qu'il ne traite pas ce type de demande et qu'il impose une communication en français.

    Que reproche-t-on ?
    Que le site autorise encore l'utilisation de RC4 (aux usagers ne disposant pas de logiciels récents) ne me semble pas si grave dès lors qu'il autorise aussi l'AES comme c'est le cas. Je ne sais pas quel est le niveau de risque à utiliser RC4 mais il est presque infinitésimal en pratique ; en tous cas bien plus faible que d'avoir un espiongiciel, une faille dans son navigateur personnel ou qu'un faux certificat racine ait été installé dans le navigateur sur son lieu de travail.

    Qui doit-on blâmer ?
    Il me semble que le prestataire de service et l'hébergeur, qui sont ici des entreprises privées, ont peut-être une part de responsabilité…

  • [^] # Re: Décalage

    Posté par  . En réponse à la dépêche MicroAlg: langage et environnements pour l’algorithmique. Évalué à 10. Dernière modification le 25 octobre 2014 à 00:48.

    Sur une feuille de papier, "42" et 42 sont conceptuellement exactement identiques.

    Si cela était vrai alors "00042" serait tout aussi identique à "42", ce qui ne se peut pas. La taille de la chaîne utilisée porte une information qui n'apparaît pas dans le nombre 42. Un digicode sait justement faire la distinction.

  • [^] # Re: et pourquoi pas BlueMind

    Posté par  . En réponse à la dépêche Kolab 3.2 : retour d'expérience sous Debian Wheezy. Évalué à 2.

    Ce n'est pas hors sujet ; au regard de la conclusion de l'article on peut se demander quelles ont été les autres solutions libres testées ou essayées : BlueMind, Zimbra, OBM, eGroupWare, Open-Xchange, … ?

    Après l'essai de nombreuses solutions, il s'agit selon moi de la solution de travail collaboratif libre la plus aboutie du marché.

  • [^] # Re: securité selon microsoft...

    Posté par  . En réponse à la dépêche Ophcrack : le live cd pour récupérer les mots de passe Windows perdus.... Évalué à 6.

    Pour compléter,
    le LM-Hash est accompagné d'un second haché le NT-Hash (un haché md4 du mot de passe encodé en UTF16LE). Ce dernier est un peu plus résistant car il n'y a pas le découpage au 7ème caractère ni de conversion en majuscule.

    Pour palier les faiblesses du LM-Hash on peut le désactiver à l'aide de la clé de registre suivante :

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "NoLMHash"=dword:00000001
    

    ou utiliser un mot de passe de 15 caractères ou plus,

    ou encore intégrer un caractère non pris en charge comme le symbole euro : € (ceci suffit pour empêcher l'enregistrement du haché LM).

    Ceci étant, les Rainbow Tables ne sont pas les seules attaques possibles. Il faut dorénavant prendre en compte la puissance des GPU (combinée aux générateurs à base de chaine de Markov) pour casser du mot de passe…

  • [^] # Re: La question a 1 giga yuan...

    Posté par  . En réponse à la dépêche Sortie du Top 500 de juin 2013. Évalué à 1.

    Et là, tu retrouve un des gros problème […]

    C'est bien parce que la volonté politique n'y est pas et donc que la science ne constitue pas la priorité du HPC tel qu'il est pratiqué par les états.

    Et l'autre problème […] ici quelqu'un expliquait qu'il faisait de la simulation de déclenchement d'avalanche sur ce genre de machine. Ce n'est pas de la science ?

    La recherche scientifique a pour objectif de fournir une explication à un phénômène. Dans le cas de ces simulations d'avalanche (dont je n'ai pas retrouvé le lien) on peut dire que les phénomènes sont connus et intégrés dans la programmation de la simulation. Il n'y a rien de fondamentalement nouveau. Mis à part le résultat de la simulation et l'importance relative à accorder à chaque phénomène pris en compte (qui permettent d'améliorer la modélisation), il n'y a pas de réelle découverte scientifique en vue.

    Les cas où le HPC permet une avancée scientifique majeure (découverte ou mise en évidence d'un phénomène inconnu, explication nouvelle, …) sont plutôt rares.

    PS : je ne parle pas des avancées techniques visées par l'industrie (augmentation des performances, réduction des coûts, …).

  • [^] # Re: La question a 1 giga yuan...

    Posté par  . En réponse à la dépêche Sortie du Top 500 de juin 2013. Évalué à 0.

    Le LHC, c'est un investissement pour longtemps, un supercalculateur, ça a une durée de vie de quelques années

    Puisque la recherche scientifique demande du temps, la justification du HPC "pour la science" n'en est que plus hypocrite. D'autant plus qu'avec une volonté politique volontariste, il serait possible de créer un centre mondial pérenne de HPC à but scientifique (basé sur un financement et un renouvellement régulier du matériel).

  • [^] # Re: La question a 1 giga yuan...

    Posté par  . En réponse à la dépêche Sortie du Top 500 de juin 2013. Évalué à 3.

    Parce que d'habitude, c'est le cas pour la recherche scientifique ?

    On parle ici de machines coûteuses à construire et exploiter (plusieurs millions d'euros), pour lesquelles la collaboration internationale trouverait tout son intérêt (comme pour les projets : génome, ITER, LHC, …) si le but était bien scientifique.

    On voit qu'en réalité il y a surtout une volonté des états à conserver la main (par le financement exclusif) afin de protéger des intérêts économiques "locaux". Les enjeux économiques constituent la priorité.

  • [^] # Re: La question a 1 giga yuan...

    Posté par  . En réponse à la dépêche Sortie du Top 500 de juin 2013. Évalué à 2.

    C'est pas le prestige d'avoir la plus grosse machine, c'est le prestige de faire la prochaine grosse avancée en science.

    Les machines du Top500 (celles destinées au HPC qui font du PFlops) ont deux utilités bien distinctes qu'il ne faut pas confondre : la science et la technologie.

    Du côté technologique, la puissance de ces outils de calcul permet des gains de temps (très utiles pour l'industrie) et de précision (à plus long terme pour la prévision météorologique par exemple). Ces outils trouvent leur légitimité par le fait que le temps c'est de l'argent.

    Du côté scientifique on nous rebat régulièrement les oreilles avec toujours les mêmes sujets restreints : climatologie, géophysique, neurosciences, … De plus les domaines d'application des machines les plus puissantes sont très limités : soit des machines moins performantes (de l'ordre du TFlops) ont déjà permis d'obtenir des résultats, soit la puissance nécessaire reste trop faible (il faudrait des machines de l'ordre de l'HFlops). Bref c'est d'un intérêt limité. Au passage, si la recherche scientifique était l'objectif réellement visé, on serait en droit d'attendre que le financement de ces outils de calcul haute performance soit assuré par une collaboration mondiale et non pas nationales (France, USA, Chine, Japon) ou communautaire (Europe).

    Au final, j'y vois surtout un intérêt pour l'industrie. D'une part ça permet à des grands groupes informatiques de développer, tester et vendre leur matériels. Et à d'autres de tirer profits (exploitation à desseins commerciaux), de ces outils sous-exploités scientifiquement et souvent financés par de l'argent public. L'intérêt du HPC me semble indéniablement et quasi exclusivement économique ; la science n'étant qu'un argument de vente.

  • [^] # Re: HAHA

    Posté par  . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 2.

    Donc des choses illégales, mais surtout vaguement détestables.

    Un informaticien qui divulgue de telles découvertes longtemps après, ne tombe pas nécessairement dans l'illégalité. Son travail peut servir à des activités parfaitement licites. Par exemple dans le cadre des tests d'intrusion, pratiqués par certaines sociétés spécialisées en sécurité informatique, la possession possession d'un tel "outil" peut devenir un avantage commercial.

    Le fait qu'il ait publié son exploit m'incite à penser qu'il est surtout en quête de reconnaissance plus qu'autre chose.

  • [^] # Re: HAHA

    Posté par  . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 3.

    Passer root sur ta machine à toi n'est pas illégal à ma connaissance, où sort moi le texte.

    Je sors cette phrase de son contexte car on ne passe pas root sur une machine mais sur un système d'exploitation. Être propriétaire de la machine ne signifie pas avoir les droits sur le ou les systèmes d'exploitations qu'elle fait tourner ; les hébergeurs en savent quelque chose… Il y a bien un risque légal d'intrusion.

    My 2 cents.

  • [^] # Responsabilité

    Posté par  . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 2.

    On parle de responsabilité.

    Si on accorde une responsabilité à celui qui cherche des failles et qui en trouve, ne faut-il pas en accorder autant à ceux qui développent en reléguant la sécurité au second plan ?

    On sait que Linus ne fait pas de distinction entre les bugs (puisqu'un bug qui n'est pas identifié comme étant de sécurité peut s'avérer en être un). Partant de là, ceux qui choisissent d'utiliser linux n'acceptent-ils pas tacitement la situation actuelle du noyau en matière de sécurité ? Quel est le niveau de responsabilité de ces utilisateurs ?

  • [^] # Re: Respect du standard

    Posté par  . En réponse à la dépêche Libre choix du lecteur PDF. Évalué à 3.

    Le jeu de police de caractères Liberation est justement fait pour se substituer à l'identique aux polices Microsoft.

    À la rigueur pour Times et Helvetica (même si des différences sont visibles pour la lettre C par exemple)

    Il reste cependant le cas de la police Courier, mais surtout ça ne résout pas le problème de la police Symbol qui demeure la plus problématique de toutes.

  • # Signature numérique

    Posté par  . En réponse à la dépêche Libre choix du lecteur PDF. Évalué à 5.

    Existe-t-il un lecteur PDF libre prenant en charge la vérification des signatures numériques ?

  • [^] # Re: Respect du standard

    Posté par  . En réponse à la dépêche Libre choix du lecteur PDF. Évalué à 5.

    Donc a priori conforme au standard.

    Le standard autorise l'utilisation de polices non intégrées au fichier PDF (Times, Helvetica, Courier, Symbol et Zapf Dingbats). Or quand ces polices ne sont pas disponibles sur le système d'exploitation elles doivent être substituées par d'autres polices approchantes lors de l'affichage. C'est ce qui génère des différences voire des erreurs.

  • [^] # Re: Utilité ?

    Posté par  . En réponse à la dépêche Le Top 500 de novembre 2012. Évalué à 3.

    Un exemple de succès est une modélisation fine de la turbulence qui devrait permettre à terme d'économiser 2% de carburant sur les avions et les bateaux.

    Les turbulences générées par la surface des avions ont été étudiées il y a quelques années déjà. Depuis les constructeurs se sont tournés vers des solutions biomimétiques basées sur la peau du requin qui comporte des rainures. Des résultats significatifs ont ainsi été obtenus, même si cela a fait apparaître d'autres difficultés telle que la durabilité face aux intempéries et à l'usure.

    On peut dès lors se demander si ces 2 % sont atteignables (et 2 % par rapport à ce qui se fait déjà ou bien par rapport à une surface "lisse" ?), s'ils sont persistants dans le temps (usure, entretien régulier indispensable) et s'ils ne seront pas réduits par les procédés technologiques utilisés (l'application d'un film sur toute la surface de l'avion, crée un poids supplémentaire qui augmente la consommation globale de l'avion).

    Au delà de ces questions, même si 2 % c'est toujours bon à prendre, ça parait finalement peu. Qui plus est, cela laisse à penser qu'on s'est beaucoup rapproché de la réponse optimale et que peu de progrès peuvent encore être espérés sur ce point, malgré toute la puissance de calcul dont on pourrait disposer.

  • [^] # Re: Utilité ?

    Posté par  . En réponse à la dépêche Le Top 500 de novembre 2012. Évalué à 1.

    Un industriel qui a besoin d'un teraflop/s 10 semaines par an, aucune utilité d'avoir chez lui un calculateur.

    Au contraire, vu que les dernières cartes graphiques professionnelles de quelques centaines d'euros atteignent déjà le teraflops (en double précision), il parait plus intéressant pour un tel industriel d'avoir son propre calculateur.

    ou météofrance chez nous

    Pourrais-tu nous dire si Météo France se sert de machines du top500 pour établir ses prévisions météo (je ne parle pas de climatologie ou de recherche de pointe) ou si au contraire elle exploite des systèmes moins puissants.

  • [^] # Re: Utilité ?

    Posté par  . En réponse à la dépêche Le Top 500 de novembre 2012. Évalué à 1.

    Ce n'est pas parce qu'on pouvait faire avant sans que ça n'aide pas à améliorer les choses.

    C'est vrai, mais dans quelle mesure cela peut-il améliorer les choses ?

    Il y a quelques années Météo France est passée de la prévision à 5 jours à la prévision à 7 jours. Pourquoi n'avoir pas poursuivi avec la prévision à 9 jours ? S'agit-il d'une limitation volontaire (absence d'intérêt commercial pour de telles prévisions) ou involontaires (limitation du modèle, capacité de calcul insuffisante et coût prohibitif, ou conséquence de la théorie du chaos) ?

  • [^] # Re: Utilité ?

    Posté par  . En réponse à la dépêche Le Top 500 de novembre 2012. Évalué à 1.

    Oui, je suis tout à fait d'accord.

    Cependant cela amène la question suivante : puisque la simulation numérique est devenue indispensable dans les conception industrielle, est-il pertinent de chercher à exploiter de tels monstres de calculs d'une part, et ne vaut-il pas mieux disposer de sa propre unité de calcul plutôt que de devoir s'en remettre à une entité extérieure (avec des délais et des coûts qui peuvent s'avérer problématiques dans le cadre d'un projet industriel) ?

  • [^] # Re: Utilité ?

    Posté par  . En réponse à la dépêche Le Top 500 de novembre 2012. Évalué à 1.

    Oui, mais d'un autre côté, pour bénéficier d'une fenêtre de calcul (se voir octroyer une date et une durée pour pouvoir faire faire les calculs sur ces machines), il faut peut-être attendre quelques semaines (en mettant de côté le financement, la rédaction d'un dossier, le passage devant une commission, la paperasse administrative, …).

  • [^] # Re: Utilité ?

    Posté par  . En réponse à la dépêche Le Top 500 de novembre 2012. Évalué à 3.

    Ma question ne portait pas sur l'utilité de la simulation numérique, que je ne remets pas en cause, mais de celle de développer des machines aussi puissantes.

    • Météo France fait-elle ses prévisions météo en se servant de systèmes du top500 ou au contraire de systèmes moins puissants mais plus adaptés à ses besoins (en utilisant ses propres techniciens et ingénieurs, et sans avoir à partager du temps de calcul avec d'autres entités extérieures) ?

    • La conception de bâtiments parasismiques ou celle de voitures plus sûres n'ont pas attendu que l'on ait construit des machines "pétaflopiques".

    Il me semble en fait que beaucoup de ces domaines de conception peuvent être couverts par des machines du niveau téraflopique (une capacité de calcul en double précision atteinte par les dernières générations de carte graphiques professionnelles). Et qu'au final, en dehors de quelques secteurs de pointe (crypto/nucléaire/climato), les machines du niveau du top500 relèvent davantage de l'expérimentation et de la recherche/développement des technologies informatiques.

  • # Utilité ?

    Posté par  . En réponse à la dépêche Le Top 500 de novembre 2012. Évalué à 1.

    Je ne nie pas l'utilité des systèmes moins puissants pour la recherche ou la conception industrielle, mais je me pose des questions quant à l'intérêt de la course au Top500. J'ai le sentiment que celle-ci s'apparente à une vitrine pour institutions, pays ou grosses entreprises.

    Parce qu'en dehors de la recherche sur les armes nucléaires, la cryptographie et la climatologie, dont on entend parler si souvent, quel peut être l'intérêt d'une telle débauche de puissance de calcul ? D'ailleurs, quelles ont été les avancées scientifiques concrètes réalisées par de telles machines par le passé ?

    Enfin voilà, si quelqu'un pouvait m'éclairer sur le sujet. Merci.