cg a écrit 1580 commentaires

  • # Essayer sans driver

    Posté par  . En réponse au message installer un driver pour mon imprimante. Évalué à 2 (+0/-0).

    Bonjour,

    les imprimantes récentes arrivent souvent à fonctionner sans pilote, car elles utilisent un protocole normalisé. Sans doute est-ce le cas pour cette imprimantes. La techno en question s'appelle IPP everywhere et est parfois mentionné sous le nom "Airprint".

  • [^] # Re: 60° et une casquette ?

    Posté par  . En réponse au message Quel filtre de confidentialité acheter ?. Évalué à 2 (+0/-0).

    On rigole, on rigole, mais bon, ça se fait.

    La sécurité, ou plutôt la confidentialité offerte par un filtre est relative, mais peut être suffisante, comme toujours c'est un équilibre. Quand j'envoie des sextos à ma copine, j'apprécie que les voisin·es ne puissent pas lire :p.

  • # Un truc plus gros

    Posté par  . En réponse au message Clé USB pour système persistant . Évalué à 8 (+6/-0).

    À moins d'utiliser un système type "Live" (comme l'excellent Tails ou Ubuntu Live) qui utilise peu le stockage une fois en route, j'éviterai les mini-trucs : ça marche vite 5 minutes, puis ça chauffe et les perfs chutent.

    Un petit SSD ou NVMe en USB-C qui a un peu de surface pour dissiper la chaleur me semble mieux adapté.

    Et bien sûr, avant tout, vérifier avec le service informatique de ton employeur que c'est permis de démarrer sur un autre système que celui fourni, ce qui est loin d'être évident…

  • [^] # Re: Au passage

    Posté par  . En réponse au message Quel filtre de confidentialité acheter ?. Évalué à 2 (+0/-0).

    Oui, c'est un HP l'ordi de mon boulot, mais Dell a aussi des modèles avec filtre intégré semble-t-il.

    Concernant le support en fonction de l'OS, c'est géré au niveau matériel, ça fonctionne partout.

  • # Au passage

    Posté par  . En réponse au message Quel filtre de confidentialité acheter ?. Évalué à 5 (+3/-0).

    Ça ne va pas t'aider, mais j'ai découvert que mon ordi de travail a un filtre de confidentialité intégré à l'écran, qui s'active avec un raccourci clavier. J'étais comme un gamin quand on m'a montré ça ;).

    60° d'angle de vue, si c'est 30° de chaque côté, c'est pas si mal, non ? Sinon j'ai vu 2 technos niveau maintient : celle qui tient sur l'écran par électricité statique, et celle ou il faut mettre des taquets moches sur les bords.

  • [^] # Re: Compromission de l'appli web : un oubli?

    Posté par  . En réponse au lien Forensic analysis of bitwarden self-hosted server. Évalué à 3 (+1/-0).

    Normalement tu décorrèles l'authentification sur le serveur de la passphrase maître des mots de passe

    Mmm. La différence que je vois, c'est qu'en effet, le mot de passe est dérivé et condensé dans tous les sens avant d'être envoyé au serveur. Donc dans le cas du client web chargé depuis un serveur compromis, on peut en effet voler le mot de passe "en clair" côté client, alors que dans le cas du client lourd, il reste sagement sur l'ordi sans possibilité de bricoler le code du client.

    J'ai bien compris cette fois ?

  • [^] # Re: Compromission de l'appli web : un oubli?

    Posté par  . En réponse au lien Forensic analysis of bitwarden self-hosted server. Évalué à 2 (+0/-0).

    L'attaquant qui contrôle le serveur peut modifier le client web et servir un code JS qui, en plus de dériver le mot de passe pour déchiffrer le coffre, pourrait l'envoyer à l'attaquant.

    En effet, ça semble logique. L'attaquant devrait même en profiter pour récupérer les secrets encore chiffrés au passage, car si le compte est protégé par de la double authentification, alors il ne pourra pas les récupérer plus tard via l'API web.

    Ceux qui utilisent uniquement les clients lourds sont à l'abri, tant qu'ils ne téléchargent pas le client depuis le serveur compromis.

    Par contre, je ne comprend pas bien pourquoi cela protège d'utiliser le client lourd : pour récupérer le coffre et pouvoir l'utiliser avec ledit client, il faut s'authentifier, et donc envoyer son mot de passe (et son éventuel OTP) au serveur compromis au moins une première fois, non ?

  • [^] # Re: La sécurité est un échec™

    Posté par  . En réponse au lien Forensic analysis of bitwarden self-hosted server. Évalué à 3 (+1/-0).

    C'est plutôt chouette (et normal) de centraliser les identités pour une structure comme une université. Si un jour cette université configure la couche SSO, ce sera d'autant plus simple pour les utilisateurs ! Et ça pourrait permettre une meilleurs acceptation de la double authentification, puisqu'elle ne se ferait qu'une fois pour des dizaines de sites/services.

  • # Et la taille

    Posté par  . En réponse au lien Against /tmp. Évalué à 2 (+1/-1).

    Il me semble bien que souvent, la partition/tmp est plus petite qu'une tique et plus volatile que l'ether1. Des logiciels comme Blender (un merveilleux logiciel de 3D libre ❤️) ou Nuke (un logiciel de compositing propriétaire 🥺) par exemple, s'en servent pour l'enregistrement automatique des scènes ouvertes. Sauf qu'une scène Blender ou Nuke, ça peut être assez volumineux, et donc peut saturer le /tmp rapidement.

    Si on ajoute que la solution vite-faite-mal-faite-mais-efficace à cette saturation qui provoque des problèmes est le reboot de la machine, et bien les fichiers de sauvegardes automatiques sont perdus2.

    Magique non ?


    1. toute ressemblance avec une balade en forêt serait fortuite 

    2. pure fiction 😅 

  • # La sécurité est un échec™

    Posté par  . En réponse au lien Forensic analysis of bitwarden self-hosted server. Évalué à 4 (+2/-0).

    Très chouette article.

    Ce passage m'a fait bizarre :

    imagine that user John Doe, used the password hint “same as Netflix”. […]. During the real investigation, this behavior was noticed in about 30% of all the master password hints, showing that it can totally happen and may not be isolated behavior.

    L'intérêt d'avoir un gestionnaire de mot de passe comme Bitwarden est précisément de pouvoir avoir des mots de passe uniques. On en conclu que environ 30% des personnes ne comprennent pas pourquoi elles utilisent un gestionnaire de mot de passe.

    Si ces personnes sont "obligées" car c'est un outil fourni par l'entreprise, alors l'employeur devrait investir un peu sur la sensibilisation et la formation… À ce niveau c'est du gâchis.

  • [^] # Re: Un bug ?

    Posté par  . En réponse au lien bitwarden - Desktop version 2024.10.0 is no longer free software. Évalué à 3 (+1/-0).

    C'est vrai, Bitwarden a un modèle économique freemium et open core comme GitLab. Le code du serveur est partiellement disponible et partiellement libre en AGPL 3.0, mais ça reste propriétaire pour certains morceaux (licence Bitwarden).

    Par contre, on peut tout à fait héberger le serveur soi-même, même si c'est réputé lourdingue, en particulier pour la partie base de données pour les grosses installations. Il faut avoir une licence pour pouvoir profiter des fonctionnalités payantes.

    Du côté auto hébergement, Vaultwarden est vraiment simple et convient parfaitement pour des petites structures (et peut-être pour des grandes aussi d'ailleurs).

  • # AliceVision / Meshroom

    Posté par  . En réponse au message Création d'images 360°: logiciels, matériel. Évalué à 3 (+1/-0).

    Il y a la boîte à outils AliceVision et le logiciel Meshroom (initialement par le studio Français Mikros Image), qui semblent pouvoir faire le boulot. J'ai surtout vu Meshroom utilisé pour faire de la reconstitution d'objets à partir de photos dans le cadre d'effets spéciaux 3D (VFX), mais il semble qu'on puisse aussi s'en servir pour des environnements.

    Peut-être que du côté d'OpenCV, il y a des choses pour les vues 360 aussi ?

    En terme de caméras 360, j'ai testé rapidement la Insta360 Pro 2 (~5000€), la Ricoh Theta 4 et 5 (environ 400€), et un LIDAR Leica BLK360 (~15000€). Bizarrement, j'ai préféré la caméra Theta pour des trucs simples genre prise de références - ça tient dans la poche et c'est peu contraignant.

    Le LIDAR est lourd en logistique et en volume de données, pour un résultat qui demande des heures de travail de nettoyage. La Insta360 Pro, ça m'a semblé être un gadget à la mode plus qu'un truc utilisable pour faire de la qualité. Pour du live c'est peut-être bien, et pour une visite virtuelle c'est peut-être suffisant.

    Quel que soit l'appareil qui prend les photos, c'est finalement au logiciel de recomposer, donc de ce point de vue, j'aurai tendance à regarder du côté de Meshroom, qui est relativement bien fichu et qui sort une scène 3D (avec une carte NVidia qui gère CUDA on gagne du temps).

  • # Code source

    Posté par  . En réponse au journal Le retour des Apple IIe.. Évalué à 8 (+6/-0). Dernière modification le 21 octobre 2024 à 08:03.

    à partir du GitHub de Laboratory for Science and Global Security, on trouve le code source des programmes qui tournent sur l'Apple II, mais aussi les schémas électroniques, qui montrent que la carte d'acquisition ne fait appel à de vénérables buffers, convertisseurs analogiques et AOP.

    À ce niveau de parano^Hprudence, je me demande quand même pourquoi le labo ne développent pas une puce exprès pour l'usage ;).

  • # Qu'est-ce ?

    Posté par  . En réponse au lien Utiq : vos données privées nous intéressent ; votre choix vous appartient pleinement. Évalué à 4 (+2/-0).

    En allant sur "Qu'est ce que Utiq?" je tombe sur une vidéo qui contient des textes en français, avec une bande son en anglais sous-titrée en français. Et la vidéo n'explique pas ce que c'est, mais comment ça fonctionne. Dans la FAQ, il n'est pas non plus décrit ce que c'est que ce service.

    C'est très étrange, non, de ne pas être capable de mettre deux phrases qui expliquent quel est le service rendu et pourquoi c'est utile ?

  • [^] # Re: TOTP

    Posté par  . En réponse au journal Bitwarden Authenticator, une application mobile libre pour vos TOTP. Évalué à 2 (+0/-0).

    Ça dépend, pour l'instant celle de Bitwarden semble identique à celle FreeOTP.

    Certaines applis savent faire des notifications push (Okta, Microsoft, Google), certaines supportent des protocoles spécifiques (Fortinet, Microsoft…), et aussi comme dit plus bas, celle de Yubikey sait aller chercher les jetons dans une Yubikey, ce qui semble assez original.

    Ce qui m'a accroché, finalement, dans la version de Bitwarden, c'est que j'ai pu avoir la réponse à toutes mes questions dans la section FAQ de la page web, là où pour d'autres applis il faut aller se perdre dans des issues GitHub ou d'obscurs fils Reddit. Ça m'a fait gagner beaucoup de temps, et moins j'interagis avec mon téléphone, plus je suis content :).

    Bonus, avoir un nom/logo similaires pour le coffre-fort et les TOTP me permettra peut-être de convaincre l'amour de ma vie de s'y mettre.

    Bref, ici c'est pas tellement la technique qui a primé, mais l'emballage1.


    1. note pour Devnewton: je parle de l'appli Bitwarden ;) 

  • # La recherche dans l'AppStore

    Posté par  . En réponse au journal Bitwarden Authenticator, une application mobile libre pour vos TOTP. Évalué à 3 (+1/-0).

    J'ai écrit ce journal, car j'avais l'impression qu'une appli TOTP bien fichue et libre sur iOS, c'était rare. Donc suite aux différents commentaires à ce journal qui me prouvent que pas tant que ça, j'ai fait un test de recherche dans l'AppStore, avec "TOTP".

    Et en effet, en 9ème position, je trouve 2FAS, et en 15ème FreeOTP. Cool !

    Si je recherche directement "FreeOTP" ou "2FAS", ils sont en deuxième dans la liste :-/. Obtenir la première place semble demander d'avoir des moyens conséquents…

  • [^] # Re: J'utilise une Yubikey

    Posté par  . En réponse au journal Bitwarden Authenticator, une application mobile libre pour vos TOTP. Évalué à 4 (+2/-0).

    Je pourrais faire un petit journal là-dessus, car j'ai deux méthodes (une FIDO et une challenge), mais ça fait longtemps que je l'ai mis en place et j'ai pris aucune notes, faut que je révise d'abord :) !

    En attendant, avec la méthode FIDO, je vois ça dans cryptsetup :

    0: systemd-fido2           <-- donc ça utilise un truc dans systemd
      fido2-credential: xxx
      fido2-salt: xxx
    
      fido2-rp:   io.systemd.cryptsetup
      fido2-clientPin-required: false
      fido2-up-required: true  <-- user presence = appuyer sur la clé
      fido2-uv-required: false
      Keyslot: 3
    

    J'utilise systemd-boot comme bootloader, je ne sais pas si c'est important.

  • [^] # Re: J'utilise une Yubikey

    Posté par  . En réponse au journal Bitwarden Authenticator, une application mobile libre pour vos TOTP. Évalué à 2 (+1/-1).

    Intéressant, je n'avais pas vu cette fonctionnalité.

    J'ai une Yubikey bleue depuis un bon bout de temps, qui ne fait que FIDO/WebAuthn (la pas chère à 25 balles).

    Quand j'ai eu mon smartphone, j'ai découvert qu'il avait un composant NFC dedans. J'ai donc acheté une Yubikey 5 pour pouvoir l'utiliser avec et déverrouiller - entre autres - Bitwarden en NFC. Et là, grosse déception : sur le modèle que j'ai (un SE de première génération), le NFC n'est utilisable que par l'appli de paiement Apple. Du coup j'ai mis ma YK5 un peu de côté pour l'instant, mais je suis sûr qu'entre les certifs GPG, clés SSH, challenges pour LUKS et les TOTP, elle est promise à un bel avenir (et que j'ai pas intérêt à la perdre :D) !

  • [^] # Re: 2FAS

    Posté par  . En réponse au journal Bitwarden Authenticator, une application mobile libre pour vos TOTP. Évalué à 2 (+0/-0).

    Ça a l'air super chouette aussi, merci ! Pour utiliser l'extension de navigateur pour la synchro, il faut se monter un service quelque part ?

  • [^] # Re: Mauvaise idée ?

    Posté par  . En réponse au journal #define CHAR_BIT 8. Évalué à 2 (+0/-0).

    Je me demande quel tête ou quelle taille peut bien avoir un octet (enfin un char, vous comprenez quoi :D) sur un ordinateur quantique.

  • [^] # Re: Euh...

    Posté par  . En réponse au journal RGPD et véhicules. Évalué à 2 (+0/-0).

    Salut,

    alors, je ne comprend pas ce passage, qui semble contredire le texte de la CNIL :

    par contre, il ne pourra rien pour toi pour une boîte non européenne hors de l'union européenne, même si tu es résident d'un pays de l'UE

    Si je reformule le texte de la CNIL pour enlever les "si", j'obtiens :

    le RGPD s’applique à toute organisation quel que soit son pays d’implantation, qui traite des données personnelles et dont l'activité cible directement des résidents européens

    Je suis confus, y'a un truc qui doit m'échapper concernant l'aspect territorial ?

  • [^] # Re: Euh...

    Posté par  . En réponse au journal RGPD et véhicules. Évalué à 2 (+0/-0).

    Oui j'ai écrit une connerie ! Mais toi aussi :). Le RGPD n'est pas purement territorial. Il s'applique à toutes les entreprises du monde qui ciblent le marché européen.

    Extrait de ce bref résumé de la CNIL :

    Qui est concerné par le RGPD ?

    Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.

    En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

    • qu'elle est établie sur le territoire de l’Union européenne,
    • ou que son activité cible directement des résidents européens.

    Merci à flagos pour la correction !

  • [^] # Re: boite vocale

    Posté par  . En réponse au journal Présomption d'usurpation de numéro téléphone pour du démarchage. Évalué à 7 (+5/-0).

    Amusant, ce mécanisme existe dans Postfix et s'appelle le greylisting.

  • [^] # Re: Réflexion sur l'utilisation d'anciens kernels pour la sécurité

    Posté par  . En réponse au message [Résolu] Acronis incompatible avec le noyau 6.8 sous Ubuntu 24.04 : comment résoudre ce problème ?. Évalué à 5 (+3/-0).

    Il faut garder en tête que le noyau 5.10 est une version LTS, et reçoit des mises à jour de sécurité pour encore quelques années.

  • [^] # Re: -

    Posté par  . En réponse au lien Switching customers from Linux to BSD because boring is good. Évalué à 2 (+0/-0).

    Me semble aussi que plusieurs éditeurs d'effets spéciaux avaient leurs serveurs sur freebsd

    En effet, avec FreeNAS et TrueNAS, principalement, ceci pour profiter facilement de la souplesse de ZFS, avec un rapport prix/performance raisonnable.

    Mais comme une partie de la gamme TrueNAS passe sur une base Debian, on peut parier sur un abandon progressif de FreeBSD à moyen terme - pas parce que FreeBSD est moins bien que Debian, mais pour consolider la gamme.

    Il y a aussi pas mal de firewalls Netgate pfSense, donc avec FreeBSD sous le capot dans les studios de VFX et d'animation. C'est pas cher et ça fait les services de base (filtrage, passerelle VPN) sans broncher. Là où je bossais dans les effets spéciaux, un moment il y avait un firewall sous OpenBSD géré à la main, qui a été remplacé par un Fortigate propriétaire quand il a fallu avoir plus de 10 règles.