• # Je ne vois pas le rapport...

    Posté par . Évalué à 10. Dernière modification le 07/04/17 à 20:02.

    Le problème de cette porte de garage provient du fait que son ouverture/fermeture est un service et dépend donc du bon vouloir du gestionnaire de ce service. Que le logiciel fournissant le service soit libre ou "privateur" ne change rien au problème (sauf pour les geeks qui savent gérer un serveur).

    Le fait d'accepter de dépendre d'un service externe pour ce genre de choses m'interpelle bien plus que le fait que ce soit un logiciel "privateur" qui s'en charge.

    • [^] # Re: Je ne vois pas le rapport...

      Posté par (page perso) . Évalué à 2. Dernière modification le 07/04/17 à 23:07.

      Le but du logiciel privateur est de garder le contrôle de ce que peut faire l'utilisateur. Si le système de contrôle d'ouverture de la porte était libre, on pourrait installer son propre serveur et ne pas dépendre du fournisseur.

      • [^] # Re: Je ne vois pas le rapport...

        Posté par . Évalué à 4.

        pas forcément tu pourrais être interdit d'utiliser ta propre instance par contrat par exemple

        splash!

        • [^] # Re: Je ne vois pas le rapport...

          Posté par (page perso) . Évalué à 1.

          Non, si le logiciel était libre, personne ne m'interdirait rien, j'installerais le logiciel moi-même ou le ferait installer chez l'hébergeur de mon choix et je serais maître de mon système d'ouverture.

          • [^] # Re: Je ne vois pas le rapport...

            Posté par . Évalué à 4.

            bah tu pourrais très bien au moment où tu achètes la porte avoir une clause du style "l'utilisateur s'engage à ne pas utiliser le mécanisme d'ouverture autrement que via le service proposé" ou une connerie du genre

            splash!

            • [^] # Re: Je ne vois pas le rapport...

              Posté par (page perso) . Évalué à 5.

              Pour le vendeur, ce genre de close est plus facile à « imposer » en pratique avec un logiciel non-libre et obscure si possible avec des DRM au cœur du mécanisme, c'est encore mieux (pour le vendeur/fabricant).

              Donc si le logiciels était libre et l'ensemble “hackable”, il serait plus facile et envisageable de contourner cette close, faisant le deuil de la garantie, etc. Mais le choix est alors possible.

              Il ne faut pas négliger le fait qu'il y a bien là un enjeux pouvoir. Même s'il n'est pas le seul.

      • [^] # Re: Je ne vois pas le rapport...

        Posté par . Évalué à 4.

        J'avais pourtant pris la peine de préciser "sauf pour les geeks qui savent gérer un serveur", soit 0,1% de la population. Bref, je maintiens qu'ici le problème n'est pas le logiciel privateur mais l'externalisation du service. Le problème évoqué dans le journal n'existe pas avec un logiciel tournant sur un boîtier autonome et local, fut-il privateur. Après, je suis bien d'accord, c'est encore mieux si c'est un logiciel libre mais c'est un autre sujet sans rapport avec le journal.

    • [^] # Re: Je ne vois pas le rapport...

      Posté par (page perso) . Évalué à 10.

      Je trouve que c'est incroyable qu'il faille une connexion Internet pour ouvrir la porte de son garage…
      et vu comment la sécurité est prise au sérieux, un jour les serveurs de ce genre de boites seront compromis et imaginer que les portes des garages vont s'ouvrir et se fermer jusqu'à la mort des mécanismes….

      Sérieusement…

      • [^] # Re: Je ne vois pas le rapport...

        Posté par . Évalué à 10.

        Moi j'essaie encore de comprendre l'intérêt d'ouvrir sa porte de garage via un smartphone et un serveur internet distant plutôt qu'avec une bonne vieille télécommande!

        J'ai beau réfléchir, et même en ne supportant pas les porte-clés encombrés, on peut laisser la commande dans la voiture.

        Là si la boîte coule ou rien que si le serveur plante, plus aucune porte ne fonctionnera?!?

        Si un jour ta connexion internet tombe, tu ne peux plus rentrer dans ton garage??

        • [^] # Re: Je ne vois pas le rapport...

          Posté par . Évalué à 3.

          Typiquement, j'ai un portail qui date de quelques années, qui était vendu avec 2 télécommandes qui sont aujourd'hui introuvables (que ce soit dans le commerce, car plus produit, ou en occasion) et comme le nombre de permis et de voitures dans la famille a augmenté, il a fallu trouver une solution !

          Le raspberry a trouvé une utilité supplémentaire !

          • [^] # Re: Je ne vois pas le rapport...

            Posté par . Évalué à 6.

            Une télécommande de portail introuvable ? C’est surprenant…

            J’ai dû en racheter une pour la porte de garage commune de mon immeuble (qui date de 2009), j’ai pas cherché longtemps : telecommande-express.com

            Ce n’est évidemment pas le même modèle mais ça fonctionne très bien. Il ne doit pas y avoir 36 standards pour ce genre de télé-pouf…

            • [^] # Re: Je ne vois pas le rapport...

              Posté par . Évalué à 1.

              Et du coup le niveau de sécurité du système est assez limité, non ?

              Ou bien tu fermes avec une clé mécanique la nuit ?

              • [^] # Re: Je ne vois pas le rapport...

                Posté par . Évalué à 4.

                En fait la télécommande possède un truc comme ça :

                interrupteur

                (avec 10 interrupteurs)

                J’ai juste eu à demander au voisin qu’il me montre la sienne pour connaître ce « code ».

                • [^] # Re: Je ne vois pas le rapport...

                  Posté par . Évalué à 6.

                  Ouais du coup c'est bruteforçable en quelques secondes.

                  • [^] # Re: Je ne vois pas le rapport...

                    Posté par . Évalué à 4.

                    Quelques secondes je ne suis pas sûr.

                    Il doit y avoir une période minimale entre deux essais, selon le type de portail, et il y en a 1024 à tester.

                    Je n’ai aucune idée de la longueur de cette période. Pour pouvoir bruteforcer en 60 secondes max il faut que ça fasse environ 60ms…

                    Par contre une chose me paraît probable, c’est que les cartons de télécommandes ne doivent pas sortir de l’usine avec toutes les combinaisons possibles. Il doit y avoir quelques réglages pas défaut distincts et c’est à l’installateur du portail de le changer… mais est-ce fait systématiquement ? Si c’est comme le mot de passe wifi des box internet…

                    Du coup après avoir bruteforcé une dizaine de portails tu as plus que quelques combinaisons à tester pour en ouvrir un autre…

                    Il y a peut-être même quelques combinaisons réservées, auxquelles les portails doivent obéir (en plus du code choisi par son proprio), par exemple pour les secours ou la police…

                    • [^] # Re: Je ne vois pas le rapport...

                      Posté par . Évalué à 5. Dernière modification le 10/04/17 à 09:30.

                      À moins que la porte ait un mécanisme de blocage complet au bout de x tentatives infructueuses, ou un délai qui grandit à chaque tentative 1024 possibilitées reste relativement facile à bruteforcer.

                      Mais bon c'est probablement plus facile de rentrer tout bêtement par la porte quand les habitants sont présents.

                      • [^] # Re: Je ne vois pas le rapport...

                        Posté par . Évalué à 4.

                        Mais bon c'est probablement plus facile de rentrer tout bêtement par la porte quand les habitants sont présents.

                        Sûrement. Mais la plupart des cambriolages ont quand même lieu quand l’habitant est absent…

                        Simplement parce qu’un vol, même aggravé (le vol est aggravé à moins que la porte eût été déjà ouverte…), c’est moins risqué pénalement…

                        Si les habitants sont dans leur logement quand tu viens cambrioler, soit ils se sauvent et vont à coup sûr donner l’alerte, soit ça tourne au minimum en coups et blessures… mais plus souvent en séquestration… et séquestration c’est 20 ans de réclusion criminelle.

                        • [^] # Re: Je ne vois pas le rapport...

                          Posté par (page perso) . Évalué à 4.

                          séquestration c’est 20 ans de réclusion criminelle

                          C'est 5 ans MAXI pour de une séquestration « courte durée ».

                          En réalité les peines sont faibles. Les victimes parlent de peines ridicules. D'une part parce que les faits sont souvent requalifiés (4 viols sur 5 sont requalifiés en agression ou agression sexuelle. Séquestration ? Ah non, c'est juste un vol. Et un grand classique est que la qualification de bande organisée ou d'association de malfaiteurs n'est pas retenue). D'autre part parce que le tribunal ne donne quasi jamais le maxi. Si la peine est inférieure à 12 mois il y a ensuite souvent absence d'exécution de la peine. Et enfin parce que les remises de peines (2 mois chaque 14 juillet, valable même lorsqu'on n'est pas encore en détention) et la conditionnelle (sortie à mi-peine) font qu'une bonne petite agression résulte généralement en… rien.

                          Je ne connais pas par cœur les données mais ce lien indique qu'au pénal les peines d'incarcération prononcées (on ne compte pas les relaxes, amendes, etc) sont de 7,2 mois. Soit moins de 3 mois de détention effective (le délai avant incarcération est généralement supérieur à un an, donc 2 mois qui sautent lors d'un 14 juillet, puis libération à mi-peine).

                          L'exemple le plus frappant dont j'ai été témoin : une femme tire par la fenêtre au fusil de chasse sur son mari qui conduit un tracteur. Elle passe en grande instance, donc meurtre assassinat requalifié. Le prétexte ? La victime est vivante. Condamnation à 2 ans (au lieu de 10 ans MINIMUM pour tentative d'assassinat ou de meurtre). Ils ne pouvaient pas mettre moins puisqu'elle venait de faire 2 ans de « préventive ».
                          Elle a donc fait 5 fois moins que le minimum prévu par la loi.

                          • [^] # Re: Je ne vois pas le rapport...

                            Posté par (page perso) . Évalué à 3.

                            (4 viols sur 5 sont requalifiés en agression ou agression sexuelle.

                            J'avais lu un article d'une interview d'une juge qui expliquait qu'ils essayait quand c'était possible de requalifier en agression sexuelle pour eviter les asssises car c'est une procedure longue, et les jurés (surtout les femmes) sont parfois tres cléments. Là ou les peines maximales sont moins élévés mais plus systematiques en correctionnel.

                            • [^] # Re: Je ne vois pas le rapport...

                              Posté par (page perso) . Évalué à 4.

                              C'est même pire que ça : par chez moi il n'y a carrément plus de place pour mettre plus d'affaires en assise. Il faudrait agrandir le tribunal et nommer les juges/etc qui vont bien. Il se trouve que ce n'est pas à l'ordre du jour. C'est une situation probablement courante.

                              Après, que ça change quelque chose, c'est une autre histoire (je suis personnellement fortement opposé aux incarcérations, mais les juges n'ont pas d'autres choix qui fonctionnent dans la vraie vie. Les TIG et autres n'ont de bons résultats que sur les personnes qui n'auraient de toutes manières pas récidivées).

                          • [^] # Re: Je ne vois pas le rapport...

                            Posté par (page perso) . Évalué à 7.

                            Elle passe en grande instance, donc meurtre assassinat requalifié. Le prétexte ? La victime est vivante.

                            Je dois avoir loupé un épisode car la victime vivante ça me paraît pas mal comme prétexte pour pas appeler ça un homicide.

                            • [^] # Re: Je ne vois pas le rapport...

                              Posté par (page perso) . Évalué à 2.

                              la victime vivante ça me paraît pas mal comme prétexte pour pas appeler ça un homicide.

                              C'est moi qui ai loupé un épisode.
                              Tentative de meurtre (volonté de tuer + mise en œuvre matérielle) = 5 ans mini, perpétuité maxi (je crois. Alors que meurtre c'est 30 ans maxi, et assassinat c'est perpétuité maxi).
                              Les assassins incompétents ou malchanceux sont théoriquement moins condamnés que ceux qui sont efficaces.

                              Ce n'est pas valable pour un viol : tant qu'il n'y a pas de pénétration (définition du viol), alors ce n'est pas un viol.
                              Et idem pour la majorité des autres crimes et délits. Par exemple la volonté de faire une escroquerie + mise en œuvre n'est pas condamnable tant qu'il n'y a pas de victime… sauf si c'est l'état (ça porte un autre nom qu'escroquerie, je ne sais plus lequel, et les règles sont différentes).

                              • [^] # Re: Je ne vois pas le rapport...

                                Posté par (page perso) . Évalué à 2. Dernière modification le 11/04/17 à 00:22.

                                Tentative de meurtre (volonté de tuer + mise en œuvre matérielle) = 5 ans mini, perpétuité maxi (je crois. Alors que meurtre c'est 30 ans maxi, et assassinat c'est perpétuité maxi).

                                Ca me parait très bizarre que la tentative soit potentiellement plus punie que la réussite (perpétuité maxi contre 30 ans maxi). Tu confonds pas tentative de meurtre et tentative d'assassinat ? (en gros, meutre = pulsionnel, assassinat = prémédité)

                                Les assassins incompétents ou malchanceux sont théoriquement moins condamnés que ceux qui sont efficaces.

                                C'est sûrement une dernière tentative de dissuasion. Si (même plus ou moins inconsciemment) tu détournes le canon au dernier moment tu seras (bien) moins puni.

                          • [^] # Re: Je ne vois pas le rapport...

                            Posté par . Évalué à 3. Dernière modification le 11/04/17 à 15:24.

                            Elle a donc fait 5 fois moins que le minimum prévu par la loi.

                            J'ai du mal à comprendre.
                            Il n'y a pas 50 mille qualifications pour (tentative de) homicide en France :

                            • L'assassinat (= meurtre prémédité), puni par l'article 221-3 du CP entre 0 et perpétuité (plus éventuellement rétention de sûreté) de gniouf. C'est un crime => assises.
                            • Le meurtre (=tuer quelqu'un de manière délibérée, par exemple sous le coup de l'émotion), puni par l'article 221-1 entre 0 et 30 ans de gniouf. C'est un crime => assises. Il y a des circonstances aggravantes -article 221-4- qui te font grimper à perpétuité + rétention de sûreté.
                            • La boulette (=tuer quelqu'un sans intention de le faire) est quant à elle punie au 221-6, entre 0 et 3 ans (5 ans si manquement à une obligation légale ou réglementaire), je ne parle pas des amendes. C'est un délit => correctionnelle. (je passe le truc spécifique sur les violences ayant entraîné la mort, les empoisonnements ou les incitations)

                            Dans les deux premiers cas, les tentatives sont punies des mêmes peines.
                            Dans le cas des délits, (ici cela n'a pas de sens), les tentatives sont punies si elles sont spécifiquement prévues.
                            (article 221-4 du CP)

                            Je ne vois donc pas comment une requalification en "tentative de" a pu changer quoi que ce soit sur la cour compétente ou sur une éventuelle peine mini qui à ma connaissance n'existe pas.

                            • [^] # Re: Je ne vois pas le rapport...

                              Posté par (page perso) . Évalué à 2.

                              Je ne vois donc pas comment une requalification en "tentative de" a pu changer quoi que ce soit

                              Elle est passée en grande instance, donc requalification en coups et blessures ayant entraîné x jours d'ITT.

        • [^] # Re: Je ne vois pas le rapport...

          Posté par . Évalué à 2.

          l'intérêt d'ouvrir sa porte de garage via un smartphone et un serveur internet distant plutôt qu'avec une bonne vieille télécommande!

          Ta bonne vieille télécommande a une portée limitée à quelques dizaines de mètres, dans le meilleur des cas. En utilisant ton smartphone et internet tu peux ouvrir ou fermer ta porte depuis l’autre bout du monde !

          Par exemple, tu es parti en vacances, loin, tu souhaiterais prêter ta tondeuse à un amis mais celui-ci n’a pas les clés de ton garage. Et bien là tu peux lui ouvrir à distance pour qu’il vienne emprunter la tondeuse, puis fermer derrière lui.

          • [^] # Re: Je ne vois pas le rapport...

            Posté par . Évalué à 10.

            Sondage:
            Dans la vraie vie, qui s'est déjà dit
            "Oh zut! Si seulement j'avais pu ouvrir la porte du garage via internet!!"

            On peut imaginer plein de cas qui n'arriveront jamais, même du n'importe quoi avec une princesse qui fuie un psychopathe dans la rue et elle t'appelle au téléphone, et tu la laisses rentrer dans le garage et tu fermes la porte sur le méchant. Elle tombe amoureuse de toi, vous serez heureux et aurez beaucoup d'enfants.

            Mais dans la vraie vie?

            • [^] # Re: Je ne vois pas le rapport...

              Posté par . Évalué à 2. Dernière modification le 08/04/17 à 16:58.

              Au final un smartphone à part faire des scan réseaux, papoter sur les réseaux sociaux et servir de télécommande, ça ne sert pas à grand chose.
              Donc je trouve cette idée au moins aussi logique, voir banale, que de gérer sa musique à distance.
              En plus ça t'évite de devoir polluer pour 50 télécommandes qu'il faut encore ranger, ne pas perdre et changer les piles.

              "ça sert à rien" est une expression que je regrette de lire sur un site technophile. (moi je trouverais trop cool d'avoir ce système à coups de RPI (qui pourraient en même temps servir de serveur web, cluster de base de données ou autre quand ils glandent))

              PS: je parle de système auto hébergé, externaliser le service est une aberration totale à mon goût.

              Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

              • [^] # Re: Je ne vois pas le rapport...

                Posté par . Évalué à 9.

                "ça sert à rien" est une expression que je regrette de lire sur un site technophile.

                "Science sans conscience n’est que ruine de l’âme".

                Autrement dit, c'est pas parce que on est des technophiles qu'on est obligé de tout aimer.

                "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                • [^] # Re: Je ne vois pas le rapport...

                  Posté par (page perso) . Évalué à -5.

                  HS : "je n'aime pas" n'a rien à voir avec "ça sert à rien" (aide: l'un est un avis personnel sans jugement sur les autres qui aiment, l'autre est considérer que ceux pas de son avis sont des idiots).

                  Par contre le sujet est que c'est bien le problème que de mélanger les deux idées.

              • [^] # Re: Je ne vois pas le rapport...

                Posté par . Évalué à 3.

                "ça sert à rien" est une expression que je regrette de lire sur un site technophile.

                C'est quelque-chose qui peut se tenir dans le cadre de la passion ou de l'expérimentation, ou du jeu.

                De là à vouloir faire du commerce de ces jouets qui génèrent imperceptiblement le monde cyber-punk dans lequel on est déjà partiellement, c'est une toute autre chose.

                • [^] # Re: Je ne vois pas le rapport...

                  Posté par . Évalué à -1. Dernière modification le 09/04/17 à 01:44.

                  De là à vouloir faire du commerce de ces jouets qui génèrent imperceptiblement le monde cyber-punk dans lequel on est déjà partiellement, c'est une toute autre chose.

                  En gros là les gens (pour le moment surtout les bourges) utilisent des télécommandes pour ouvrir leur barrières et leurs garages afin de rentrer sans sortir de leur bagnole.
                  Je ne vois pas en quoi c'est un jouet d'intégrer cela dans l'ordinateur de bord/GPS qui intègre de plus en plus une connexion 4G (popularisation du GPS communautaire (exemple waze )). C'est même la suite logique.
                  Envoyer une requête GET avec un mot de passe et quelques commandes cela n'a rien de bien sorcier et pour peu que tu utilises fail2ban et TLS (voir Tor), c'est chiffré et bloque le brute force.

                  Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

            • [^] # Re: Je ne vois pas le rapport...

              Posté par . Évalué à 6.

              Dans la vraie vie, la différence entre une porte de garage fermée à clé (que ce soit avec avec des clés qui percent les poches de nos fringues fabriquées par des enfants du tiers monde ou avec des clés virtuelles détenues par des cyber corp dans le cloud en échange de nos âmes électronique) ou une porte pas fermé c'est quelque minutes de taf en plus pour les cambrioleurs.

              Faut pas gonfler Gérard Lambert quand il répare sa mobylette.

              • [^] # Re: Je ne vois pas le rapport...

                Posté par . Évalué à 2.

                Oui mais là le sujet c’est « clé classique vs. clé "online" » et ce à quoi tu fais allusion ne change absolument dans pour un cas ou dans l’autre.

                Sinon oui, tu as raison, tous ceux qui veulent rentrer vite dans un logement (voleurs, policiers, secours) attaquent directement la porte, pas la serrure.

                • [^] # Re: Je ne vois pas le rapport...

                  Posté par . Évalué à 4. Dernière modification le 08/04/17 à 20:50.

                  tous ceux qui veulent rentrer vite dans un logement (voleurs, policiers, secours) attaquent directement la porte, pas la serrure.

                  J’ajoute quand même qu’avoir la clé (quelque soit sa nature) ça permet de rentrer vite et, souvent, discrètement.

                  Si on doit dérober un objet précis dont on a une petite idée de l’endroit, c’est mieux de le faire discrètement, pour éveiller moins le soupçon. C’est nettement moins courant que le cas du cambrioleur lambda qui vient chercher n’importe quels objets de valeur, on est d’accord, mais ça reste un cas de la « vraie vie » pour certaines personnes. Posage de mouchards, renseignement en général…

                  Le fait que la porte ne porte pas de trace d’effraction empêche un tiers de donner l’alerte. C’est la victime qui se rendra compte du vol en rentrant. Si en plus il n’y a pas de foutoir à l’intérieur elle peut se rendre compte du vol encore bien plus tard. Ça laisse le temps d’agir…

                  Les serrures sont juste là pour éviter que des gens qui n’ont à priori aucune raison de rentrer chez toi puissent le faire. Amis ou famille qui passent à l’improviste quand tu n’es pas là, mec bourré, gamin, vendeurs indiscret, police, etc, etc… .

                  Si la serrure est en carton (faille logicielle, « piratage », ou dispositif simple et pas cher pour craquer, genre un boîtier à 50 balles qui se vend sur le darkweb) elle ne remplit plus son rôle.

                  Sur le fond je suis complètement d’accord avec maclag, je le contredisais juste pour admirer sa sagacité :)

                  Ça fait peur que des gens en soient arrivés là, à être obnubilés par la technologie, au point de vouloir faire tout et n’importe quoi avec leur smartphone, à vouloir absolument que les « nouvelles » technologies puissent se décliner dans chacune de leur activité… jusqu’à l’ouverture de la porte de leur domicile :/

                  La raison de cet état de fait est simple et tient en trois mots : « société de consommation ».

                  Peut-être est-ce le prix à payer pour qu’un jour lointain l’Homme évolue jusqu’à devenir une sorte d’espèce cybernétique capable d’explorer et de coloniser tout l’univers.

                  • [^] # Re: Je ne vois pas le rapport...

                    Posté par . Évalué à -1. Dernière modification le 08/04/17 à 21:31.

                    Le fait que la porte ne porte pas de trace d’effraction empêche un tiers de donner l’alerte.

                    D'expériences subies: les cambrioleurs n'en ont strictement rien à foutre, et ce même quand ils cherchent quelques choses de précis.

                    PS: ton truc de la boite à 50 balles est quand même vachement plus compliqué et indiscret (contrôle police) pour un cambrioleur qu'un simple pied de biche.

                    Ça fait peur que des gens en soient arrivés là, à être obnubilés par la technologie, au point de vouloir faire tout et n’importe quoi avec leur smartphone

                    Ça te fait peur que les gens veuillent utiliser leur smartphone comme une télécommande?
                    "faire tout et n’importe quoi avec leur smartphone" c'est un peu le principe de l'évolution d'une technologie, de son appropriation par les hackers/makers puis par le reste de la population :)

                    PS: une porte doté d'un processeur te permet plus que juste contrôler par smartphone, un exemple avec des volets

                    Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

                    • [^] # Re: Je ne vois pas le rapport...

                      Posté par . Évalué à 4.

                      ton truc de la boite à 50 balles est quand même vachement plus compliqué et indiscret (contrôle police) pour un cambrioleur qu'un simple pied de biche.

                      Tout dépend du temps nécessaire pour bruteforcer. C’est sûr que s’il te faut deux heures ça va pas le faire on est d’accord…

                      Mais si tu dois juste rester 30 secondes avec un truc de la taille d’un Raspberry Pi devant une porte de garage ça fera moins tricard que si tu sors ton pied-de-biche (ou plutôt ton morceau de barre-à-mine) pour défoncer cette même porte de garage… Ce qui ne marche pas toujours à la première « pesée » et peut prendre aussi quelques secondes, secondes pendant lesquelles tu ne peux pas vraiment faire genre tu laces ton lacet ou toute autre activité normale de ce type…

                      Ça te fait peur que les gens veuillent utiliser leur smartphone comme une télécommande?

                      Pas « peur »… Je m’interroge c’est tout.

                      J’essaie de savoir si c’est une chose bénéfique ou pas pour les gens en général, sur le long terme. Je ne me sens donc pas personnellement concerné. Je pense être tolérant avec les autres, donc ce n’est pas moi qui irait « faire chier » ceux qui veulent ouvrir leur porte de garage avec un smartphone…

                      Si un jour je me retrouve contraint de posséder un smartphone pour ouvrir la porte de garage d’un logement collectif, sans possibilité d’aller vivre ailleurs, c’est sûr que je ferais la gueule. Je ferais un journal qui dénonce grave si cela devait m’arriver !

                      une porte doté d'un processeur te permet plus que juste contrôler par smartphone, un exemple avec des volets

                      Oui. On est de plus en plus assisté par la technologie. C’est bien mon propos.

                      Pouvoir ouvrir sa porte de garage (ou baisser ses stores, ou allumer le chauffage, ou le four, etc…) depuis n’importe quel endroit de la planète relié à Internet (!) c’est utile dans quels cas ? Cette utilité vaut elle les risques encourus ?

                      • [^] # Re: Je ne vois pas le rapport...

                        Posté par . Évalué à 4.

                        Mais si tu dois juste rester 30 secondes avec un truc de la taille d’un Raspberry Pi devant une porte de garage ça fera moins tricard que si tu sors ton pied-de-biche (ou plutôt ton morceau de barre-à-mine) pour défoncer cette même porte de garage…

                        Si tu exploites des 0 days ou des mots de passes par défaut why not, mais du brute force à coups de Raspberry Pi je penses que tu peux oublier ^ ^ (surtout sur batterie)

                        Pouvoir ouvrir sa porte de garage (ou baisser ses stores, ou allumer le chauffage, ou le four, etc…) depuis n’importe quel endroit de la planète relié à Internet (!) c’est utile dans quels cas ?

                        Il y a plein de bonnes ou mauvaises raisons, à chacun de juger.

                        Cette utilité vaut elle les risques encourus ?

                        Si les gens laissent le mot de passe par défaut, qu'ils assument. Si non en toute logique on verrouille via mot de passe, fail2ban, avec éventuellement filtrage IP et accès uniquement via Tunnel SSH ou Tor Hidden Service.
                        Le problème des professionnels qui font du grand publique c'est qu'ils "doivent" vendre des trucs à des gens qui ne veulent pas lire le manuel d'instruction et qu'ils ne savent pas non plus si tu passes par un serveur maître ou non (comme s.a.r.a.h que j'ai linké plus haut).

                        On est de plus en plus assisté par la technologie. C’est bien mon propos.

                        Bah c'est le but.
                        Plus personne n'utilise de foreuse manuelle, parce qu'il faut avouer que c'est bien pratique que la machine face le boulot.

                        PS: la serrure mécanique, c'est déjà de la technologie. La technologie ne se limite pas à l’électronique.

                        Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

                        • [^] # Re: Je ne vois pas le rapport...

                          Posté par . Évalué à 5.

                          Plus personne n'utilise de foreuse manuelle, parce qu'il faut avouer que c'est bien pratique que la machine face le boulot.

                          C'est un produit génial ! Wireless ! Batteryfree ! Faut juste refaire le design et changer le nom : iGnole et ça va marcher du tonnerre !

                          Blague à part, c'est très pratique une chignole, quand on doit percer un bout de tôle pas trop épais ou une planche en bois pas trop dur, de la brique ou autre, dans un endroit ou il n'y pas de courant et que, bien sur, on n'a pas penser à recharger la perceuse sans fil une heure avant.

                          Faut pas gonfler Gérard Lambert quand il répare sa mobylette.

                        • [^] # Re: Je ne vois pas le rapport...

                          Posté par (page perso) . Évalué à 8.

                          Si tu exploites des 0 days ou des mots de passes par défaut why not, mais du brute force à coups de Raspberry Pi je penses que tu peux oublier ^ ^ (surtout sur batterie)

                          Ta phrase n'a aucun sens.

                          Du brute force de bcrypt avec un rPi et une batterie de 3310 ouais en effet on va laisser tomber.
                          Du brute force de signal tout pourri du genre des portails de garage dont Marotte parle plus haut avec ses 10 jumpers à configurer, donc de l'ordre de 1000 codes pin à envoyer en infrarouge, 2 piles 9V doivent suffire à cambrioler tout un quartier.

                          • [^] # Re: Je ne vois pas le rapport...

                            Posté par . Évalué à 1.

                            C'est se que je sous entends, une technologie domotique basé sur du web, correctement paramétrée, est bien plus solide que des systèmes basés sur l'émission d'un signal qu'il suffit d'imiter :)

                            J'insiste sur le correctement paramétré (il n'est pas rare de voir des mots de passes par défaut voir pas de mot de passe tout court, pour le plus grand plaisir de shodan).

                            Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

            • [^] # Re: Je ne vois pas le rapport...

              Posté par . Évalué à 4.

              Si tu perds une télécommande classique il faut que tu en retrouves une autre pour pouvoir rentrer chez toi. Si tu perds ton smartphone tu peux en emprunter un pour te dépanner.

              Autre avantage. Si tu veux faire un « double » c’est très facile, tu as juste à donner un code d’accès à la personne, qui pourra utiliser son propre smartphone. Avec une télécommande classique, ou une clé, il faut un duplicata physique.

              • [^] # Re: Je ne vois pas le rapport...

                Posté par . Évalué à 3. Dernière modification le 08/04/17 à 18:20.

                On peut même aller plus loin: tu peux remplacer le smartphone par une puce RFID, un tatouage QRCode, clapé dans tes mains, scan de l'iris, un hakka, reception d'un code via wifi (pratique pour véhicule autonome) => l'imagination est la seule limite.

                Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

            • [^] # Re: Je ne vois pas le rapport...

              Posté par . Évalué à 10.

              Mais dans la vraie vie?

              Dans la vraie vie, un cambrioleur pourra envoyer des bitcoins à un hacker à l'autre bout du monde pour qu'il ouvre ta porte.

              Sérieusement, le problème n'est pas tant d'ouvrir la porte avec son smartphone, c'est plutôt que la commande dépende d'un serveur externe sur lequel tu n'as aucun contrôle, et potentiellement piratable de n'importe où. Si le smartphone envoyait simplement la commande à un boitier situé dans le garage via le wifi local, ça serait déjà plus raisonnable. Enfin, en le disant vite, car malgré tout :
              - il faut pas que tu aies une de ces box qui stoppe le wifi quand tu n'as plus de connexion Internet ;
              - tu tombes plus facilement en rade de batterie sur ton smartphone que sur ta télécommande « à l'ancienne » (tu peux néanmoins avoir un chargeur dans ta voiture) ;
              - la probabilité d'une panne reste plus grande.

              À la rigueur, si c'est bien fait, ça peut être plus sécurisé qu'une bête télécommande classique. En pratique, j'ai l'impression qu'on voit plutôt l'inverse avec les gadgets IoT.

      • [^] # Re: Je ne vois pas le rapport...

        Posté par . Évalué à 2.

        Moi ce qui me fait peur c'est qu'il suffit apparemment de deviner un id de porte pour récupérer les informations personnelles de l'utilisateur ou ouvrir sa porte.

  • # Bad buzz

    Posté par . Évalué à 10.

    Notons que l'histoire est rapidement devenue virale, les appels au boycott de la boîte sur Twitter, puis les articles de presses se sont multipliés … et le patron a fait marche arrière :

    «We would like to apologize to both the individual user and our broad user base for the manner in which this incident was handled.»

    Mais le mal est fait :

    Imgur

  • # bannir les objets connectés (pour le moment ?)

    Posté par (page perso) . Évalué à 3.

    Je réagis globalement aux différents commentaires sur la télécommande de garage et autres objets connectés.

    Il y a quand même de grosses différences entre une simple télécommande ou clé, et une télécommande "connectée" (sous forme d'appli pour smartphone la plupart du temps).

    Le problème du machin connecté est qu'il nécessite un serveur (le boitier de réception qui pilote la porte de garage par exemple). Donc il y a une porte d'entrée sur votre réseau local plus ou moins protégée, à partir d'internet. Et donc la forte probabilité qu'il puisse être compromis. Forte, parce qu'aujourd'hui, on sait bien que la plupart des bidules connectés ne sont pas assez sécurisés, Il suffit de lire le compte twitter @internetofshit pour se rendre compte le nombre d'objets connectés dangereux qui nous sont vendu.

    Le souci n'est pas tant que l'on puisse compromettre l'appareil en question pour le piloter frauduleusement (ouvrir la porte de garage pour pénétrer chez vous par exemple), mais aussi et plutôt s'en servir comme point d'accès à plein d'autres usages :

    • installation d'un malware pour faire des attaques DDOS ou autres actions illégales depuis chez vous (ce qui peut engager votre responsabilité)
    • accéder à vos autres objets connectés pour les compromettre également, ce qui peut être d'autant plus facile si il ne sont pas protégé, en particulier ceux qui ne sont pas accessibles depuis l'extérieur en théorie.
    • vous espionner (pour vous cambrioler plus facilement par exemple, coucou les caméras connectées pas protégées)
    • voler vos données sur votre NAS que vous pensiez bien au chaud en sécurité derrière votre box internet (sympa les scan des documents administratifs qui peuvent aider à faire de l'usurpation d'identité)
    • installer un joli ransomware sur votre NAS, votre téléviseur connecté, votre frigo connecté etc…

    Bref, j'en passe et des meilleurs. En fonction des capacités des objets connectés de votre maison, on peut faire beaucoup de chose à partir d'une simple faille dans l'un d'eux, et cela peut nuire aussi bien à vous, qu'à d'autres personnes.

    Et le fait que ces appareils tournent ou pas avec des logiciels libres : aucun soft n'est exempt de failles de sécurité. Et même si un soft libre est utilisé, et qu'il est maintenu, encore faut-il pouvoir mettre à jour les objets connectés. Ce qui n'est malheureusement pas toujours le cas. (Rien que les objets connectés les plus répandu peut-être parmi le grand public, à savoir les smartphones, n'ont pas ou plus de mise à jour à partir d'un certain moment)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.