aiolos a écrit 1186 commentaires

La solution ayant le vent en poupe en ce moment pour ça est Anubis.

Je ne suis pas sûr, mais pour ce genre de décisions, dans les données qui peuvent intervenir tu as :
- le prix, une carte SD + le connecteur coutent sans doute plus cher qu'une puce eMMC ;
- la vitesse d'accès ;
- la possibilité de faire du DMA (Direct Memory Access) depuis le MCU.

En électronique grand publique, en particulier dans les SoCs, il est très courant que le même circuit soit présent dans tous produits de la même famille, avec des zones différentes activées en fonction de la gamme. Par exemple, des caméras avec les capacités de 4K activées ou non selon le prix final de l’appareil, mais biens présentes sur le circuit vendu.

Ce qui est assez navrant, c'est que la cryptographie civile est une des grandes batailles des années 90 (voir, par exemple, le cas Bernstein vs Unites States par exemple), gagnée aussi sous la pression des industries qui passaient au numérique : la cryptographie civile, c'est le moyen de protéger les transactions banquaires et le secret des affaires. Ce sont des arguments qui devraient parler aux gouvernements actuels s'ils n'étaient pas aussi occuper à draguer l'extrême droite.

Perso, je préfères que mes endpoints WiFi ne fassent pas routeur. Tous mes routeurs wifi, à la maison n'ont qu'un seul port ethernet, et ça se passe bien… En gros, j'ai un routeur filaire qui distribue les pièces de la maison et un routeur WIFi par étage, un d'entre eux fait contrôleur. Si je veux un routeur filaire, je le prends à part ; un petit routeur GB à 4-5 ports ça coute moins d'une vingtaine d'euros…

Oui, OpenWRT c'est quand même très orienté Wireless, historiquement (le W de WRT), même si le système permet d'embarquer pas mal de fonctionnalités réseaux. Je pense qu'il faut plus voir ça comme un endpoint WiFi un peu amélioré que comme un routeur complet.

Edit: j'ajoute que si j'avais fait les spécifications d'un tel matériel, j'aurais sans doute mis un seul port Ethernet (mais avec du PoE) !

Sur la même page https://www.passkeys.com/fr/passkey-cest-quoi que tu cite :

Les passkeys fonctionnent également sur différents appareils ; grâce à des écosystèmes sécurisés, les clés privées sont synchronisées sur tous les appareils, ce qui rend l'authentification transparente sur tous les appareils où un compte cloud, tel qu'iCloud ou Google, est actif.

Passkey, si j'ai bien compris, c'est du webauthn/FIDO2 dans lequel les clefs sont partagées à l'aide du cloud d'un GAFAM (plus toutes les lettres qu'il faudrait ajouter). Donc, oui, c'est basé sur de la crypto assez solide, mais pour le reste…

Par contre, il résiste très mal à la recherche d'une pré-image

La politique de mot de passe qui endigue le problème, ce n'est pas le choix des symboles que tu met dedans mais celle consistant à ne pas réutiliser le même mot de passe pour plusieurs sites.

À noter que l’usage d’un second facteur endigue le problème.

A se demander à quoi sert le mot de passe du coup.

À fournir le premier facteur ;)

Ceci dit, je suis assez d'accord avec toi : pourquoi utiliser un mot de passe + un algo crypto moyen plutôt qu'un bon protocole d'authentification…

Aussi surprenant que celà puisse paraitre, disposer d'algo de hash difficilement parallèlisable et long à faire tourner est un cas d'usage très fréquent!

Certes, mais ce n'est pas parce qu'il existe des cas d'usages où c'est intéressant qu'il n'existe pas de cas d'usage où on souhaite la rapidité… Le hachage est beaucoup utilisé dans les protocoles réseaux pour le contrôle d'intégrité (contre des altérations volontaires ou accidentelles), avec ou sans clef (HMAC notament) ou pour de la signature. Dans ce cas, quand tu es dans les couches basses, la crypto est utilisée de façon transparente pour les couches plus hautes et toute la crypto est un overhead, et donc tu va vouloir le diminuer au maximum.

BLAKE2 a fait parti du peloton de tête pour SHA-3 ; arrivé en phase finale, il a cependant perdu la compétition face à Keccak. C'est le signe d'une bonne qualité, mais pas forcement dans toutes les situations. Lors de la sélection d'un algorithme dans ces compétitions, on va chercher un algo unique qui va offrir le meilleur compromis sur l'ensemble des circonstances (consommation CPU, consommation mémoire, nombre de cycles de l'implémentation software ou surface de l'implémentation matérielle, etc.). Je ne connais pas les détails de la sélection de Keccak par rapport à BLAKE, donc je ne peux pas détailler ici, mais Keccak avait l'avantage et l'inconvénient de reposer sur une toute nouvelle technique, les fonctions éponges, là où la famille BLAKE utilise des primitives de ChaCha20.

Ceci dit, ça n'empêche pas son utilisation dans des contextes moins normé, BLAKE2 reste un très bon algorithme, et BLAKE3 ajoute une grande parallélisation grâce à une structure d'arbre binaire, d'après ce que j'en ai lu. Une ou l'autre des variantes de BLAKE2 est notamment utilisé dans Argon2, Chef, Wireguard, diverses cryptomonaies (Zcash par exemple) et dans le générateur pseudo-aléatoire de Linux.

Mais ce n'est pas à eux de décider.

En fait, que les policiers, voir même l'exécutif demandent plus de pouvoir de surveillance, c'est assez naturel : ça leur simplifie la tâche, ce que tout le monde (ou presque) souhaite pour lui même.

C'est au législateur de fixer les limites de ce pouvoir. C'est à lui de voter les lois permettant un juste équilibre entre les pouvoirs de police et la préservation des libertés du citoyen.

Une alternative peut être les cartons de vin : la taille est suffisamment petite pour limiter le poids une fois remplis de livres, et leur résistance est suffisante pour supporter le poids des livres. J'ai testé, c'était vraiment nickel pour les livres, et le caviste voisin de là où je déménageait m'en avait mis de côté facilement une quantité suffisante…

Si au moins, on obligeait à documenter les protocoles de communications, à mon avis, ce serait déjà un énorme pas en avant.

Désolé

Il semblerait que la commission des lois ait supprimé l’article en question, avec d’autres :

https://www.lemonde.fr/societe/article/2025/03/06/lutte-contre-le-narcotrafic-le-dispositif-d-acces-aux-messageries-chiffrees-des-trafiquants-retoque-en-commission_6576639_3224.html?utm_source=dlvr.it&utm_medium=mastodon

On est quand même loin de la source d'information fiable, plus de l'ordre de la rumeur… Même si ça ne semble pas invraisemblable, on est plus de l'ordre de la crainte / incertitude remontée indirectement.

Ça va même plus loin : la plupart des algorithmes informatiques sont inaccessibles à l'informatique quantique

Note que le circuit dont on parle ici combine un circuit "classique" avec un circuit quantique. Avoir des circuits spécialisés n’empêche pas de les utiliser : la plupart des algorithmes sont inaccessibles à une carte graphique, ça ne les rend pas inutiles pour autant.

Melanchon n’est pas LFI. Et globalement, j’ai quand même plus peur d’Hitler que de Doriot…

Le 14 a quand même produit Orelsan, qu'on ne peut ignorer dans le paysage du rap de ces 10 dernières années…

Avec SystemD je dois répondre mon soft pour qu'il utilise SystemD dans sa pile réseau et tout un tas de trucs…

Je ne comprend vraiment pas ce que tu veux dire. À quel moment ton serveur est dépendant d'une pile réseau de systemd ? Quand je développe un soft réseau, je le fais exactement comme avant, avec une socket. Et quand j'ai fini, écrire l'unit systemd qui la lance au démarrage me prend environ 5 minutes…

Ciblage, pas câblage, désolé.

C’est bien la preuve que tu peux faire du câblage sans espionner les gens : avant on savait faire. Là t’as déjà du contexte : t’es dans une grosse bagnole de beauf façon militaire, tu peux balancer des pubs pour des gros flingues ou des sapins qui sentent bon (ou pas, c’est selon les goûts).

Les faits décrits dans ces histoires sont terrifiants. Et les rétissances de ces plate-formes à réagir sont abjectes.