aiolos a écrit 302 commentaires

Comme, par exemple, avoir deux certificats différents pour SSL, ou autoriser les accès aux clients authentifiés par des certificats émis par des autorités différentes…

Tout le monde ne suit pas les listes de diffusion pour les problèmes de sécurité.

Et ici, il ne s'agit pas de n'importe quel CVE. Compte tenu de la sévérité de la faille et de l'impact sur l'ensemble des distributions GNU/Linux (le GNU a son importance ici), ce journal ne me semble pas inutile.

Pour Transmission, la configuration est stockée dans .config/transmission/settings.json pour le client desktop et dans /etc/transmission/settings.json pour la version service. /etc/transmission n'a pas l'air d'être utilisé pour le client desktop pour une config globale (je n'ai pas vérifié plus que ça).

Mais considérer que la clef est impossible à extraire me semble plus théorique que pratique.

:-) Effectivement !

Quoi on peut sortir la clé privée de la carte ?

Théoriquement, non. En pratique, ça doit être faisable mais ça requiert un accès physique à la carte, un minimum d'expertise en attaque par canal auxiliaire et du matériel adéquat.

C'est marrant, moi j'aurais formulé exactement dans l'autre sens :

Théoriquement, oui, par des attaques physiques ou par canaux auxiliaires. En pratique, ça requiert un accès physique à la carte, un minimum pas mal d'expertise en attaque par canal auxiliaire et du matériel adéquat.

c'est justement la question : savoir gérer son identité de manière autonome (et ce n'est pas si facile avec l'administration), en tenant compte de la sécurité et des processus à suivre cela se complique encore…

Non, là on parle de la responsabilité régalienne de l'état de gérer l'identité civile. Dans ce contexte, c'est son rôle de certifier ton identité. S'il peut certifier ce qu'il veut, qu'il ait ou non généré ta clef ne change pas grand chose puisqu'il peut faire passer n'importe quelle clef pour légitime.

Avoir une autre identité que tu gère toi même, c'est pas incompatible (sur une autre carte).

Réponse(s) courte(s) :

Il n'existe pas de standard de carte à puce X.509 ?

non, pas à ma connaissance.

comment dire, c'est un peu de la merde, quand même…

oui

Réponse longue:
Comment dire ? Le milieu de la carte à puce est bouré d'implémentations propriétaires, de NDA et autre tracasseries… Ne serait-ce que pour acheter une cartes à quelques exemplaires afin de les évaluer, il faut souvent remplir des tonnes de paperasses…

Ensuite, pour les cartes et la crypto, tu va trouver plusieurs standards, plus ou moins contraignants :
- PKCS #11 pour les API en C d'accès à un tocken crypto
- PKCS #15 pour le système de fichier
- PKCS #1 / RFC 3447 pour les méthodes de chiffrement et signature RSA
- PIV pour les cartes standards des services américains, avec plusieurs versions selon les usages
- etc.
Mais, concernant X.509 par exemple, il n'y a pas (à ma connaissance, si vous connaissez, je suis preneur) de specifications générique pour le stockage des clefs et des chaines de certificats dans PKCS#15/l'applet de crypto. Tu va parfois les trouver dans les specs d'une application et/ou middleware (par exemple, openSC stocke le certificat et la clef aux mêmes "slots" respectivement dans une applet et dans PKCS#15)

Après Clonezilla, je trouve que en Livecd , et vu que je n'aurais pas d'écran sur le pc…..
Si il y a moyen de l'installer sur le pc et de le lancer en Ligne de commande, comme ça je le gère directement.

C'est dans l'autre sens que ça marche : tu démarre le live CD sur le PC à sauvegarder qui va cloner le disque sur ton NAS via un partage samba ou un serveur FTP, par exemple. Comme ton PC/NAS est accédé en tant que serveur, pas besoin d'écran.

Sinon, pour ta question, je ferai comme dit plus haut par totof: un simple dd sur le disque que tu as mis dans ton rack. En bonus, comme c'est de la ligne de commande, tu peux te passer de TeamViewer et tout faire par ssh comme les vrais barbus ;-)

Mais on peut appeler ça aussi une dîme (comme la dîme sur le sel).

Non, la dime, c'est l'impot de l'Eglise, l'impôt sur le sel, c'est la gabelle…

c'est trop génial d'ailleurs la redevance audiovisuelle, tu dois payer sans aucune prestation en retour, juste pour que certains s'amusent à créer des images que tu ne regarde jamais.

N'importe quoi ! Rien ne t'oblige à payer, si tu n'as pas de tuner télé… Si tu payes, c'est que tu veux être prêt à consommer ta prestation, comme tu dis.

Et oui l'exemple de Uber est édifiant, c'est un exemple flagrant de "punir celui qui a eu la bonne idée plutôt que s'adapter".

En même temps, sans juger de la pertinence ou non de la situation, on (le législateur, élu par nous) avait estimé qu'il était utile de réguler un secteur. Lorsqu'un nouvel acteur arrive en refusant de se plier à la régulation et trouve le moyen de détourner la loi, il ne me semble pas abérrant de mettre à jour la loi. Et je comprends aussi, que ceux qui respectent la règle en payant très chère un droit d'exercer râle quand ils se font piquer le marché par un acteur qui ne se plie pas à la règle.

Après, on peut discuter de l'opportunité de la régulation, mais pour moi, il s'agit d'un débat différent

Le dernier Asus que j'ai acheté, il fallait tout de même le renvoyer chez eux et attendre au minimum 15j… ça a peut-être changé, mais moi je trouve ça un poil abusif pour une modification Soft.

Oui, mais Play est nécessaire pour le push Messenging version Google, qui est lui-même utilisé par TextSecure (cf http://support.whispersystems.org/customer/portal/articles/1476204-why-do-i-need-google-play-installed-to-use-textsecure-on-android- ) …

C'est de la merde, c'est infernal à installer, c'est pété de bugs, c'est ultra basique surtout comparé à la quantité d'huile de coude qu'on dépense, etc etc.

Ben c'est plus que mal parti, à mon avis …

C'est là que je réalise que je commence à prendre de l'age : je me souviens d'une époque où Linux c'était "de la merde, c'[etait] infernal à installer, c'[etait] pété de bugs, c'[etait] ultra basique surtout comparé à la quantité d'huile de coude qu'on dépense, etc etc."

Enfin, je dis ça, je dis rien…

citez-moi exactement le passage qui appuie votre argumentation (hint pour les autres : j’ai lu et il n’existe pas :)

Si, si, il existe :

Arrêtons nous sur la réhabilitation. C’est une merveilleuse idée, celle que tout homme peut se racheter, même un homme politique, et que le crime ne vous frappe pas de la marque de Caïn : si vous vous comportez bien pendant un laps de temps (ce qui s’entend comme ne pas être à nouveau condamné pour un crime ou un délit), variable selon la gravité des faits, vous serez considéré comme un honnête homme, n’ayant jamais été condamné. […] La réhabilitation efface, non la peine, comme la grâce, mais la condamnation, comme l’amnistie, et lève toutes les incapacités et interdictions accompagnant la peine […]

Puis, citant l’article 133-11 du Code pénal qui s'appliquait aussi à la réhabilitation :

Il est interdit à toute personne qui, dans l’exercice de ses fonctions, a connaissance de condamnations pénales, de sanctions disciplinaires ou professionnelles ou d’interdictions, déchéances et incapacités effacées par l’amnistie, d’en rappeler l’existence sous quelque forme que ce soit ou d’en laisser subsister la mention dans un document quelconque.

Par contre, il est dit que ce même article est rendu caduc par une modification de la loi sur la réhabilitation :

Cependant, la doctrine estime que cet article est devenu caduc depuis la loi du 5 mars 2007, le maintien de la mention au bulletin n°1 étant incompatible avec l’interdiction de la mentionner, d’autant qu’elle peut servir de premier terme à la récidive.

D'autant plus, que X. Niel ne semble par remplir les conditions pour la réhabilitation :

La réhabilitation de plein droit (articles 133-12 et s. du Code pénal) a lieu après un délai variable en fonction de la peine prononcée, qui court à compter du jour de l’exécution de la peine OU de sa prescription.
Si c’est une peine d’amende : délai de 3 ans.
Si c’est une peine de prison n’excédant pas un an : délai de 5 ans.
Si c’est une peine n’excédant pas dix ans, ou plusieurs n’excédant pas 5 ans cumulé : délai de 10 ans à compter de la dernière peine.

Or, X. Niel a été condamné en 2006 à une peine de surcis, qui a donc été considérée comme exécutée au bout du délais de 5 ans soit en 2011. Il a effectué moins d'un an de prison, il sera donc réhabilité au bout de 5 ans, soit en 2016…

Zenitram raconte que des conneries, comme d’hab’ ).

Donc, non, pas que, mais juste un peu. Et l'idée est tout de même là qu'il existe un délais au bout duquel on est censé être pardonné aux yeux de la société. Personnellement, je regrette l'annulation de l’article 133-11 du Code pénal concernant la réhabilitation…

Sans rentrer dans le débat, en lisant ceci je suis juste choqué :

[…] il est des choses qui sont intrinsèquement bien ou mal. Par exemple, dans une cour d'école, taper sur un camarade plus petit pour lui prendre son goûter, ou simplement pour s'amuser, c'est mal.

Et si il ne fait « que » reprendre ce qu'on lui a volé le jour précédent ? Genre, « il m'a pris mon goûter hier sans demander, donc je prends le sien aujourd'hui »

En quoi le fait qu'un enfant reprenne par la force ce qui lui a été pris par la force rend les choses moins mal ? La loi du Talion ? Ça fait un moment qu'on est revenu dessus (chez nous). Si tout le monde résonne comme ça (et ça arrive souvent), on n'a pas fini de se foutre sur la gueule ! Justifier le recours à la violence par la vengeance et présenter ça comme quelque chose de bon, c'est une opînion que j'ai toujours combattue, surtout lorsque je travaillais auprès d'enfants.

Ceci dit, je ne dis pas que c'est une conception universelle (la preuve !).

Les cartes à puce ne produisent pas de nombres vraiment aléatoires : pour faire du "vrai" aléa, il faut une source physique que n'ont pas les cartes (et encore, les sources physiques sont filtrées).

L'avantage d'une carte pour ce genre de chose, c'est que c'est le cœur de métier des fondeurs que d'implémenter de la crypto efficace, qu'ils ont des processeurs disposant des instructions qui vont bien. Tu as donc des chances d'avoir une implémentation efficace et fiable (la plupart des cartes sur le marché sont auditées).

En revanche, je reconnais que j'aimerais avoir une grosse icône dans mon navigateur qui me rappelle que le certificat est auto-signé, et je regrette que la case "se souvenir du certificat pour les prochaines sessions" soit cochée par défaut.

Autant, je suis d'accord sur la seconde partie de la phrase (sur le rappel dans le navigateur), autant je ne suis pas d'accord sur la seconde partie ("se souvenir…"). En effet, se souvenir d'un certificat pour un site donné permet d'être averti en cas de changement du certificat, ce qui peut-être un signe de Man-In-The-Middle… Par contre, on peut sans doute améliorer les messages affichés dans ce cas précis.

Ensuite, j'imagine bien comment mettre mes données chez Orange, Bull et Thales va me protéger d'un État un peu indiscret …

Ce n'est pas ce qu'on leur demande : on leur demande d'être sous la loi française, car le droit français, je posssède un pouvoir dessus à travers mon droit de vote…
Le droit américain, je n'ai aucun pouvoir ou droit dessus, et il est prévu dans leur loi qu'il doivent ouvir leur données à leur état.

Il paraitrait même qu'il y a des gens qui achètent la Zoé de Renault…
http://www.numerama.com/magazine/27529-des-drm-intrusifs-dans-la-voiture-electrique-renault-zoe.html

Pour info, mes sites sur le serveur ne sont pas configurés avec des VirtualHost. Faut-il le faire ? D'ailleurs, c'est quoi >l'avantage des VirtualHost ?

Déjà dans ton cas, tu aurais eu appli1.apps.mondomaine.tld et appli2.apps.mondomaine.tld, avec des eregistrements DNS qui pointent vers la même machine… Dans ta migration, tu aurais eu uniquement à modifier les DNS un à un pour progressivement basculer les différentes applications vers la nouvelle machine.

Je ne connais pas l'organisation administrative des pays-bas, mais il aurait sans doute été possible de ne pas faire verser de l'argent aux particuliers, mais mettre en place une amende administrative… C'est moins visible directement par le particulier, mais en obligeant la transparence sur ce point, ça peut être résolu. En revanche, ça évite que les citoyens abusent du système, comme ce qu'il se passe maintenant.

Dernier point, il faut arrêter le mythe Apple, il suffit de l'utiliser professionnellement durant quelques mois pour s'apercevoir que la poudre aux yeux s'envole vite (performance catastrophique, intégration Java risible (MAJ d'OS obligatoire pour passer à Java 7), consommation mémoire excessive .. …

Sans oublier les noms de dossier qui sont traduits dans l'interface mais pas dans la console (ex: Téléchargement vs. Download), qui n'est pas sans rappeler le reproche :

On peut aussi noter la logique des dossiers qui ont un nom différents de leurs chemin “Mes Documents” s’appelle “Documents” sous 7 mais est affiché sous le nom “Mes Documents” .

Donne exemple de débat et opinion interdit s'il te plait…

Le débat sur la légalisatio du cannabis, par exemple puisque la loi interdit « toute présentation sous un jour favorable » des substances stupéfiantes. (articles 222-34 à 222-39 du code pénal)

En fait, la faille se situe autant côté baseband que côté OS : le soft en charge du dialogue avec le baseband implémente un jeu de commandes permettant au baseband d'accéder au système de fichier de l'OS. C'est ce point précis qui a été découvert par le projet Replicant.

À mon avis, le reste est spéculation/déduction :
- si ces commandes sont implémentées, c'est qu'elles sont utilisées par le baseband ;
- on peut penser que ces commandes sont initiées par un contrôle à distance ;
- il est peut-être possible d'injecter du soft permettant d'accéder au matériel par un autre biais.

De plus, on a découvert les commandes d'accès au système de fichier, rien ne prouve qu'il n'y a pas ailleurs des commandes d'accès à d'autres éléments matériels.

Même les téléphones basiques ont des baseband propriétaires ! Pour s'en convaincre, il suffit de regarder les caractéristiques des téléphones supportés par le projet OsmocomBB, à commencer par le Motorolla C123 utilisé par K. Nohl pour ses hacks sur A5/1.

Edit: Erf, déjà dit !