À mon avis c'est faux. Un chercheur est pas essence un vulgarisateur de son domaine. Par définition, il est le plus avancé dans son domaine précis. Et une partie de son travail consiste à expliquer ce qu'il sait à des gens qui ne savent pas, que ce soit par des articles, des conférences, etc. Sans oublier que la grande majorité des chercheurs sont également des enseignants.
Il existe une norme open source de carte à puce USB
Une norme de carte à puce USB, ou de lecteur plutôt, c'est CCID. Mais ça concerne les drivers sur PC. À ma connaissance, il n'y a rien pour accéder à un lecteur de carte/SE interne depuis un navigateur ; il y a eu des tentatives (j'ai en mémoire une tentative de portage de OpenMobileAPI par le W3C), mais ça n'a jamais pris… Et je le regrette fortement.
La solution la plus commune, c'est par le biais de Java (qui est plutôt bien foutu pour ce qui est des cartes à puces — il faut dire que beaucoup sont programmées dans ce langage), soit comme une applet (berk), soit de plus en plus par un serveur local (moi j'utilise du websocket, et on peu utiliser un autre langage, moi je le fais en Go), éventuellement embarqué dans un projet Electron.
Je ne connais pas grand chose en extensions web, je ne sais pas si on pourrait faire la même chose pour faire une extension web (et lancer automatiquement le "serveur" local).
je rappelle que la carte d'identité n'est pas obligatoire en France
Oui, mais pour autant, tu dois être en mesure de justifier ton identité (loi de 1993 si je me souviens bien)… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).
Après, tu es effectivement libre de n'avoir aucun papier d'identité (le témoignage peut faire office de justificatif), mais tu t'expose à attendre au commissariat que les flics puissent vérifier ton identité… bref, c'est galère. On peut faire pareil avec le numérique : c'est facile avec les supports qui vont bien, c'est galère autrement.
je rappelle que la carte d'identité n'est pas obligatoire en France
Oui, mais pour autant, tu dois être en mesure de justifier ton identité… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).
Tu as besoin de révoquer ces certificats et ça ne monte pas en charge. À chaque fois que tu veut valider un certificat, il faut aller vérifier les liste de révocations (CRL). Plus tu allonge la durée de validité plus tu allonge la taille de la CRL.
Tu ne peux virer les certificats expirés des CRL uniquement pour les clefs qui ne servent qu'en "live", comme les certificats des sites web. Pour des certificats de clefs qui peuvent avoir du sens longtemps après expiration (ancien messages chiffrés, signature), tu as potentiellement besoin de connaître l'état de révocation du certificat longtemps après son expiration. Dans ce cas, des certificats à durée de vie courte amplifie le problème.
En fait, c'est une histoire de compromis : tu fais des choix plus ou moins risqués qui donne des résultats plus ou moins pratiques… tout comme la carte d'identité : les garder valables 10 ans (voir plus en UE)a des inconvénients (les gens changent en 10 ans, plus de risque de fraude, etc), mais ça évite de faire les démarches tous les quatre matins.
Cbhe ceépvfre ha crh : vy f'ntvg qh pnenpgèer nagvfynfu dhv fvtavsvr dhr yn yvtar fhvinagr snvg ra snvg cnegvr qr yn zêzr yvtar. Çn crezrg qr pbhcre yrf yvtarf à 80 pnenpgèer cbhe yn yrpgher uhznvar, znvf cnf cbhe yr pbzcvyb.
Pour le coup, les pays scandinaves ne sont pas forcement à prendre en exemple non plus : comme tu le décris bien, chez eux, ce sont les banquiers qui se sont saisis de la problématique de l'identité régalienne. Et ils ont très bien réussi, ils sont aujourd'hui presque indispensables.
Le raisonnement est simple : tout le monde doit avoir un compte en banque, et puisque les régulations les obliges à faire de grosses vérifications de l'identité de leurs clients, et qu'ensuite ils ont tous les outils pour faire de l'authentification à distance (notamment les cartes de paiement), pourquoi ne pas s'en servir. Le raisonnement tient dans les deux sens : de la part du banquier qui se rend indispensable ; de la part de l'état qui veut être efficace avant tout, et ne pas se lancer dans un bourbier logiciel.
Mais quand ce sont des boites privées qui se mettent à fournir les services d'identités à la place de l'état, j'ai mon alarme Cyberpunk qui se met en route, j'y peu rien, ça me fait flipper :/
L'Estonie, il y a quelques années, s'est emparé du problème de l'identité régalienne dans le monde numérique : ils ont mis en place une carte d'identité basée sur carte à puce. Elle permet d'authentifier ses échanges avec l'administration notamment : https://e-estonia.com/solutions/e-identity/id-card/ . Je ne comprend pas qu'on ne fasse pas pareil chez nous, sur des cartes d'identités qui sont de toute façon munies d'une puce…
La solution, si je ne me trompe pas, est une PKI classique, basée sur des certificats x509. Dans le cadre d'une identité garantie par l'état, ça me semble une plutôt bonne solution. Libre à toi d'authentifier les utilisateurs à l'aide de sa clef certifiée par l'état et ensuite de lui émettre une nouvelle identité numérique, basée sur OpenPGP.
Je ne vois pas bien l'interrêt de donner à cette identité une durée de vie trop courte, sinon ajouter un protocole et ses possible faiblesse pour le renouvellement (ou encombrer les préfectures, mairies, etc.). Surtout si on vise à faire de la signature : ma signature d'achat de maison, j'aime autant qu'on puisse la vérifier longtemps après que ma clef ait expirée, il faudra donc garder toutes les clefs émises, au moins jusqu'à ma succession.
Au démarrage la clé était suffisamment proche pour être détectée par la voiture donc elle a bien voulu démarrer, mais une fois à destination, voiture brickée.
J'avais regardé ce genre de blagues quand j'avais eu la mienne. Normalement, les assurances imposes que le mécanisme fonctionne uniquement quand la clef est à moins de 1,5m de la voiture (de mémoire), dans une zone située en face de la portière, ce qui devrait limiter le risque (en plus, dès qu'elle ne détecte plus la clef, elle bippe de façon vite insuportable !).
Je ne sais pas comment ils font (c'est hyper dur de localiser correctement un dispositif radio1 ), mais il fauts reconnaître que les tests que j'avais fait étaient plutôt concluants : ma voiture respectait ces prescriptions. En fait, il faut plutôt être juste en face d'une des trois portes qui permettent d'ouvrir : ça ne marche pas quand on est devant la porte arrière et qu'on se penche pour déverouiller :/
1: Tellement que ça fait plusieurs de nombreuses années que je bosse dans l'embarqué sans fil (Zigbee, NFC, BLE, etc.) destiné à la sécurité, et que s'en est devenu une arlésienne : régulièrement quelqu'un se/nous lance dans le projet… et flop.
Je travaille dans une zone à masque obligatoire en extérieur. Les Delivroo et autres portent le masque sur leur vélo. Si eux y arrivent, tu devrais pouvoir le faire, non ?
Avec ce genre de clé de proximité tu cliques sur le bouton de verrouillage des portes de la clé et quand tu tentes d’ouvrir la porte pour vérifier qu’elle est bien fermée… la voiture se déverrouille et la porte s’ouvre. Rhaaaaa ! Impossible de vérifier que c’est verrouillé puisque la distance pour ne pas activer le déverrouillage de proximité est plus grande que la longueur de mes deux bras. Il m’est arrivé plusieurs fois de demander à un autre passager de vérifier le verrouillage alors que je suis à distance suffisante…
Tant que j'en suis à raconter ma vie et parler de ma bagnole ( Oo ), sur la mienne il faut quand même que j'appuie sur un bouton, ce qui me permet de vérifier que c'est bien fermé :)
Pour continuer à raconter ma vie, un jour j’étais chez un proche et son enfant avait oublié quelque chose dans la voiture. Je me dévoue pour aller chercher la chose, je prend la clé du parent, je vais sur le parking, la clé à la main, je repère le véhicule à l’emplacement attendu, j’ouvre la porte, la lumière s’allume, je fouille autour du siège auto, sous les sièges, dans la boîte à gant… Et là je remarque ce petit diffuseur de parfum dans la voiture qui semble nouveau à mes yeux… Je lève les yeux et à travers la vitre je vois, sur le parking à la place exactement à côté, un véhicule de même marque, même modèle, même couleur, avec un siège auto à la même place… J’étais en train de fouiller la voiture d’un voisin…
Pour le coup, ce genre d'aventures m'étais arrivé sur une clio blanche avec des clefs physiques ; j'étais même allé jusqu'à la sortir de sa place avant de me rendre compte de mon erreur !
PS: Par contre, j'ai fais de la cryptographie, et je fais toujours de la sécurité au quotidien, et je suis effaré de voir le niveau de ce qui est fait en automobile. Mais, il faut se rassurer : c'était déja n'importe quoi avant !
Il se trouve que j'ouvre et je ferme ma maison beaucoup moins que ma voiture, il y a plus souvent quelqu'un qui reste dans la maison que dans la voiture…
En plus, j'habite un village plutôt calme, alors souvent je ne ferme ni l'une ni l'autre… Comme je vais au taf en bus, au final, là où j'ai à ouvrir et fermer des portes à clefs, c'est quand j'ai des courses à faire, et souvent j'essaye de grouper, donc je fais plusieurs magasins et je dois ouvrir la voiture les mains pleines.
Enfin, quand je dis que je peste, c'est quand même assez léger, plus le constat de l'oubli et du manque de confort qui me sort un "rooh", bien français ; je m'en passerai si je ne l'avais pas (d'ailleurs, j'ai acheté une voiture qui ne l'a pas).
Par ailleurs, les serrures télécommandées sont un vrai gadget dont l'intérêt est quand même très, très faible. Après tout, ces systèmes permettent d'économiser quoi ? De sortir la clef de son sac ? Non, il faut la sortir pour appuyer dessus. De mettre la clef dans le trou de la serrure et de la tourner. La belle affaire, on s'en passe très bien sur les portes d'entrée des appartements, pourquoi serait-ce différent sur un véhicule ?
J'ai, sur ma voiture (qui a un peu plus d'une dizaine d'année et qui est loin d'être un modèle haut de gamme), un système de démarrage/ouverture sans sortir la clef de ma poche/de mon sac. Et bien, j'étais sceptique au début, mais je dois avouer que c'est très pratique et je peste chaque fois que je dois utiliser l'autre voiture (plus récente et plus chère) qui n'a pas ce système, surtout quand j'ai les mains pleines.
Mais quitte à je trouve bien plus sain de s'intégrer dans des fondations comme Apache, Eclipse ou Linux qui ont des moyens bien plus important pour fournir un cadre juridique, organisationnel, une visibilité et une série de garanties bien plus claires au près des contributeurs.
J'ai probablement une machine bien trop puissante pour mon usage ;)
Mais j'ai probablement exagéré les 24h. En général, je m'en rend compte quand je reprend le taf après avoir laissé le PC la veille sans avoir quitté une des 2 applis Electron que j'utilisent parfois (Insomnia et VSCode si quelqu'un connait de bons remplacements pour du Go). Le PC est alors limite utilisable ; quand ça arrive, mon premier réflexe est de chercher l'une des ces deux applis :D
Le tag est exactement ce que je me suis dit quand j'ai lu le titre… Ils virent 50 personnes, qui bossent sur des technos au coeur du navigateur, et ils pondent un nouveau projet annexe… dont personnellement je me fous et qu'ils vont probablement abandonner dans 6 mois.
En vrai, ce qu'il faudrait, c'est figer. Un bon vieux standard iso, respecté, y'a que ça de vrai. Ou sinon une RFC.
Qu'est-ce qui te fait penser que de nouveaux standards seraient plus suivis que les standards actuels du W3C ? Quant à figer, c'est sûr les navigateurs vont accepter de ne plus rien rajouter…
D'après le résumé en pdf du dépôt minible_hw, le "secure" MCU est un ATSAMD21E15, un mcu 32 bits generaliste de chez Atmel/Microchip ; la partie "core" est un combo SIP bluetooth/MCU, le ATBTLC1000, également de chez Atmel/Microchip.
Puisque tu semble faire parti du projet. Je n'arrive pas à trouver les sources de la partie carte à puce, ni même de quel SE il s'agit, avec quelle application. Tu aurais des pointeurs (ou à defaut des infos) ?
Les sauvegardes sont chiffrées, donc pas d'inquiétude si le fichier de sauvegarde est dans la nature: en quoi est-ce une exposition différente de mon "coffre" Keypass/Bitwarden/autre dans les nuages? Si la clé est interceptée, le fichier est vulnérable. La clé peut être interceptée avec un logiciel malveillant sur une machine compromise, non?
Multipass est composé de deux parties : le gros bidule electronique stocke le fichier de mots de passe, permet de naviguer parmi eux et de faire la partie saisie (clavier BLE), etc. et une carte à puce pour le stockage et l'utilisation sécurisée d'une clef de chiffrement qui chiffre les mots de passe. Et ça fait même un peu plus puisque le Multipass fait aussi office de token Fido/Webauthn.
L'utilisation d'une carte à puce pour réaliser le chiffrement fait que la clef n'est pas interceptable puisqu'elle reste au sein d'un chip sécurisé, et si le SE fait son job, elle ne devrait pas être récupérable sans de gros moyens.
Multipass est un projet relativement ancien, conçu par la communauté autour du site Hackaday ; il a reçu pas mal de regards, et à mon avis, a une architecture bien conçue. Le présent kickstarter porte sur une version BLE du projet précédent : https://www.themooltipass.com/
Toujours des fabricants qui cherchent à économiser quelques centimes sur des téléphones qui sont vendus plusieurs centaines d'euros, j'aurais dû m'en douter. C'est ça le vrai problème, finalement.
Plus ou moins. Le coût de l'ajout d'une RTC, ce n'est pas seulement les quelques centimes du composant… D'ailleurs la plupart des téléphones "haut de gamme" en sont équipés ; là où ça pèche c'est sur les téléphones moyen de gamme et/ou custom, produits en petite série.
La plupart des téléphones, surtout dans les entrées/moyen de gamme, sont conçus à partir de "reference design" fournis par les fondeurs de chips (Broadcom, MTK, etc.). Ces références design sont ensuite adaptés par les constructeurs de téléphones qui viennent y mettre leurs périphériques, suivre les contraintes mécaniques, etc. Ils doivent ensuite patcher les sources plus ou moins propres de l'OS Android fournies avec le reference design, pour y mettre leurs drivers, les applications maisons, etc. Cette dernière étape peut être assez coûteuse, chaque composant ajouté ajoute ses propres soucis, instabilités, validations, etc. D'autant plus que l'usage d'une RTC peut avoir pas mal d'effets de bords dans l'embarqué, à assez bas niveau.
[^] # Re: Mauvaise idée…
Posté par aiolos . En réponse au journal vers un sciencefr.org ?. Évalué à -2.
À mon avis c'est faux. Un chercheur est pas essence un vulgarisateur de son domaine. Par définition, il est le plus avancé dans son domaine précis. Et une partie de son travail consiste à expliquer ce qu'il sait à des gens qui ne savent pas, que ce soit par des articles, des conférences, etc. Sans oublier que la grande majorité des chercheurs sont également des enseignants.
[^] # Re: « Norme open source de carte à puce USB » ?
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 2. Dernière modification le 01 septembre 2020 à 11:46.
Une norme de carte à puce USB, ou de lecteur plutôt, c'est CCID. Mais ça concerne les drivers sur PC. À ma connaissance, il n'y a rien pour accéder à un lecteur de carte/SE interne depuis un navigateur ; il y a eu des tentatives (j'ai en mémoire une tentative de portage de OpenMobileAPI par le W3C), mais ça n'a jamais pris… Et je le regrette fortement.
La solution la plus commune, c'est par le biais de Java (qui est plutôt bien foutu pour ce qui est des cartes à puces — il faut dire que beaucoup sont programmées dans ce langage), soit comme une applet (berk), soit de plus en plus par un serveur local (moi j'utilise du websocket, et on peu utiliser un autre langage, moi je le fais en Go), éventuellement embarqué dans un projet Electron.
Je ne connais pas grand chose en extensions web, je ne sais pas si on pourrait faire la même chose pour faire une extension web (et lancer automatiquement le "serveur" local).
[^] # Re: France Connect n'a pas échoué
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 3.
Oui, mais pour autant, tu dois être en mesure de justifier ton identité (loi de 1993 si je me souviens bien)… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).
Après, tu es effectivement libre de n'avoir aucun papier d'identité (le témoignage peut faire office de justificatif), mais tu t'expose à attendre au commissariat que les flics puissent vérifier ton identité… bref, c'est galère. On peut faire pareil avec le numérique : c'est facile avec les supports qui vont bien, c'est galère autrement.
[^] # Re: France Connect n'a pas échoué
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 1.
Oui, mais pour autant, tu dois être en mesure de justifier ton identité… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).
[^] # Re: GPG c'est bien
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 2.
Tu ne peux virer les certificats expirés des CRL uniquement pour les clefs qui ne servent qu'en "live", comme les certificats des sites web. Pour des certificats de clefs qui peuvent avoir du sens longtemps après expiration (ancien messages chiffrés, signature), tu as potentiellement besoin de connaître l'état de révocation du certificat longtemps après son expiration. Dans ce cas, des certificats à durée de vie courte amplifie le problème.
En fait, c'est une histoire de compromis : tu fais des choix plus ou moins risqués qui donne des résultats plus ou moins pratiques… tout comme la carte d'identité : les garder valables 10 ans (voir plus en UE)a des inconvénients (les gens changent en 10 ans, plus de risque de fraude, etc), mais ça évite de faire les démarches tous les quatre matins.
[^] # Re: Le bug idiot qui m'a pris la tête pendant 15 jours
Posté par aiolos . En réponse à la dépêche Bogues de logiciel et bogues de management : 737 Max et autres catastrophes. Évalué à 2.
Cbhe ceépvfre ha crh : vy f'ntvg qh pnenpgèer nagvfynfu dhv fvtavsvr dhr yn yvtar fhvinagr snvg ra snvg cnegvr qr yn zêzr yvtar. Çn crezrg qr pbhcre yrf yvtarf à 80 pnenpgèer cbhe yn yrpgher uhznvar, znvf cnf cbhe yr pbzcvyb.
[^] # Re: BankID et calculette
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 10.
Pour le coup, les pays scandinaves ne sont pas forcement à prendre en exemple non plus : comme tu le décris bien, chez eux, ce sont les banquiers qui se sont saisis de la problématique de l'identité régalienne. Et ils ont très bien réussi, ils sont aujourd'hui presque indispensables.
Le raisonnement est simple : tout le monde doit avoir un compte en banque, et puisque les régulations les obliges à faire de grosses vérifications de l'identité de leurs clients, et qu'ensuite ils ont tous les outils pour faire de l'authentification à distance (notamment les cartes de paiement), pourquoi ne pas s'en servir. Le raisonnement tient dans les deux sens : de la part du banquier qui se rend indispensable ; de la part de l'état qui veut être efficace avant tout, et ne pas se lancer dans un bourbier logiciel.
Mais quand ce sont des boites privées qui se mettent à fournir les services d'identités à la place de l'état, j'ai mon alarme Cyberpunk qui se met en route, j'y peu rien, ça me fait flipper :/
[^] # Re: GPG c'est bien
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 2. Dernière modification le 27 août 2020 à 18:15.
L'Estonie, il y a quelques années, s'est emparé du problème de l'identité régalienne dans le monde numérique : ils ont mis en place une carte d'identité basée sur carte à puce. Elle permet d'authentifier ses échanges avec l'administration notamment : https://e-estonia.com/solutions/e-identity/id-card/ . Je ne comprend pas qu'on ne fasse pas pareil chez nous, sur des cartes d'identités qui sont de toute façon munies d'une puce…
La solution, si je ne me trompe pas, est une PKI classique, basée sur des certificats x509. Dans le cadre d'une identité garantie par l'état, ça me semble une plutôt bonne solution. Libre à toi d'authentifier les utilisateurs à l'aide de sa clef certifiée par l'état et ensuite de lui émettre une nouvelle identité numérique, basée sur OpenPGP.
Je ne vois pas bien l'interrêt de donner à cette identité une durée de vie trop courte, sinon ajouter un protocole et ses possible faiblesse pour le renouvellement (ou encombrer les préfectures, mairies, etc.). Surtout si on vise à faire de la signature : ma signature d'achat de maison, j'aime autant qu'on puisse la vérifier longtemps après que ma clef ait expirée, il faudra donc garder toutes les clefs émises, au moins jusqu'à ma succession.
[^] # Re: Une question me taraude
Posté par aiolos . En réponse au journal Sécurité ouverture/démarrage des nouvelles voitures. Évalué à 4. Dernière modification le 27 août 2020 à 17:43.
J'avais regardé ce genre de blagues quand j'avais eu la mienne. Normalement, les assurances imposes que le mécanisme fonctionne uniquement quand la clef est à moins de 1,5m de la voiture (de mémoire), dans une zone située en face de la portière, ce qui devrait limiter le risque (en plus, dès qu'elle ne détecte plus la clef, elle bippe de façon vite insuportable !).
Je ne sais pas comment ils font (c'est hyper dur de localiser correctement un dispositif radio1 ), mais il fauts reconnaître que les tests que j'avais fait étaient plutôt concluants : ma voiture respectait ces prescriptions. En fait, il faut plutôt être juste en face d'une des trois portes qui permettent d'ouvrir : ça ne marche pas quand on est devant la porte arrière et qu'on se penche pour déverouiller :/
1: Tellement que ça fait
plusieursde nombreuses années que je bosse dans l'embarqué sans fil (Zigbee, NFC, BLE, etc.) destiné à la sécurité, et que s'en est devenu une arlésienne : régulièrement quelqu'un se/nous lance dans le projet… et flop.[^] # Re: À propos d'exceptions
Posté par aiolos . En réponse au journal Masques pour lutter contre le Covid : les journalistes disent stop !. Évalué à 2.
Je travaille dans une zone à masque obligatoire en extérieur. Les Delivroo et autres portent le masque sur leur vélo. Si eux y arrivent, tu devrais pouvoir le faire, non ?
[^] # Re: Une question me taraude
Posté par aiolos . En réponse au journal Sécurité ouverture/démarrage des nouvelles voitures. Évalué à 3.
Ma voiture ne se verrouille pas quand elle ne détecte pas la clef, pas plus qu'elle ne s'arrêter sur l'autoroute quand elle ne la détecte plus…
Et s'il faut, j'ai une clef physique qui s'encastre dans la clef et son double.
[^] # Re: Une question me taraude
Posté par aiolos . En réponse au journal Sécurité ouverture/démarrage des nouvelles voitures. Évalué à 6.
Tant que j'en suis à raconter ma vie et parler de ma bagnole ( Oo ), sur la mienne il faut quand même que j'appuie sur un bouton, ce qui me permet de vérifier que c'est bien fermé :)
Pour le coup, ce genre d'aventures m'étais arrivé sur une clio blanche avec des clefs physiques ; j'étais même allé jusqu'à la sortir de sa place avant de me rendre compte de mon erreur !
Et pour finir sur la question des clefs physiques : https://hackaday.com/2020/08/22/stealing-keys-from-the-sound-of-the-lock/
PS: Par contre, j'ai fais de la cryptographie, et je fais toujours de la sécurité au quotidien, et je suis effaré de voir le niveau de ce qui est fait en automobile. Mais, il faut se rassurer : c'était déja n'importe quoi avant !
[^] # Re: Une question me taraude
Posté par aiolos . En réponse au journal Sécurité ouverture/démarrage des nouvelles voitures. Évalué à 2.
Il se trouve que j'ouvre et je ferme ma maison beaucoup moins que ma voiture, il y a plus souvent quelqu'un qui reste dans la maison que dans la voiture…
En plus, j'habite un village plutôt calme, alors souvent je ne ferme ni l'une ni l'autre… Comme je vais au taf en bus, au final, là où j'ai à ouvrir et fermer des portes à clefs, c'est quand j'ai des courses à faire, et souvent j'essaye de grouper, donc je fais plusieurs magasins et je dois ouvrir la voiture les mains pleines.
Enfin, quand je dis que je peste, c'est quand même assez léger, plus le constat de l'oubli et du manque de confort qui me sort un "rooh", bien français ; je m'en passerai si je ne l'avais pas (d'ailleurs, j'ai acheté une voiture qui ne l'a pas).
[^] # Re: Une question me taraude
Posté par aiolos . En réponse au journal Sécurité ouverture/démarrage des nouvelles voitures. Évalué à 3. Dernière modification le 25 août 2020 à 11:46.
J'ai, sur ma voiture (qui a un peu plus d'une dizaine d'année et qui est loin d'être un modèle haut de gamme), un système de démarrage/ouverture sans sortir la clef de ma poche/de mon sac. Et bien, j'étais sceptique au début, mais je dois avouer que c'est très pratique et je peste chaque fois que je dois utiliser l'autre voiture (plus récente et plus chère) qui n'a pas ce système, surtout quand j'ai les mains pleines.
[^] # Re: Abondon
Posté par aiolos . En réponse au lien Création d'une fondation pour assurer le futur du langage Rust. Évalué à 2.
Ou la MoFo ?
[^] # Re: VSCode
Posté par aiolos . En réponse au journal Toileharicot 12 est dehors. Évalué à 1.
J'ai probablement une machine bien trop puissante pour mon usage ;)
Mais j'ai probablement exagéré les 24h. En général, je m'en rend compte quand je reprend le taf après avoir laissé le PC la veille sans avoir quitté une des 2 applis Electron que j'utilisent parfois (Insomnia et VSCode si quelqu'un connait de bons remplacements pour du Go). Le PC est alors limite utilisable ; quand ça arrive, mon premier réflexe est de chercher l'une des ces deux applis :D
[^] # Re: VSCode
Posté par aiolos . En réponse au journal Toileharicot 12 est dehors. Évalué à 3. Dernière modification le 20 août 2020 à 20:14.
Et chez moi, tout programme Electron qui reste ouvert plus de 24h se met à ramer et consommer une quantité de mémoire indécente !
[^] # Re: Vision?
Posté par aiolos . En réponse au lien Mozilla lance hubs, un moteur de salons en réalité virtuelle. Évalué à 7.
Le tag est exactement ce que je me suis dit quand j'ai lu le titre… Ils virent 50 personnes, qui bossent sur des technos au coeur du navigateur, et ils pondent un nouveau projet annexe… dont personnellement je me fous et qu'ils vont probablement abandonner dans 6 mois.
[^] # Re: Article vide, titre putaclic, sans sources…
Posté par aiolos . En réponse au lien Mozilla songerait à mettre de côté son navigateur historique Firefox. Évalué à 6.
Qu'est-ce qui te fait penser que de nouveaux standards seraient plus suivis que les standards actuels du W3C ? Quant à figer, c'est sûr les navigateurs vont accepter de ne plus rien rajouter…
[^] # Re: clé
Posté par aiolos . En réponse à la dépêche À la découverte de l’écosystème Mooltipass. Évalué à 3. Dernière modification le 04 août 2020 à 23:32.
D'après le résumé en pdf du dépôt minible_hw, le "secure" MCU est un ATSAMD21E15, un mcu 32 bits generaliste de chez Atmel/Microchip ; la partie "core" est un combo SIP bluetooth/MCU, le ATBTLC1000, également de chez Atmel/Microchip.
[^] # Re: Qui de la mobilité ?
Posté par aiolos . En réponse à la dépêche À la découverte de l’écosystème Mooltipass. Évalué à 1.
Il me semble que ça marche en BLE…
[^] # Re: clé
Posté par aiolos . En réponse à la dépêche À la découverte de l’écosystème Mooltipass. Évalué à 1.
Puisque tu semble faire parti du projet. Je n'arrive pas à trouver les sources de la partie carte à puce, ni même de quel SE il s'agit, avec quelle application. Tu aurais des pointeurs (ou à defaut des infos) ?
[^] # Re: Une opinion par des experts?
Posté par aiolos . En réponse au lien Mooltipass BLE: un gestionnaire de mot de passe open-{source,hardware} wireless est en pré-commande. Évalué à 3. Dernière modification le 27 juillet 2020 à 18:01.
Multipass est composé de deux parties : le gros bidule electronique stocke le fichier de mots de passe, permet de naviguer parmi eux et de faire la partie saisie (clavier BLE), etc. et une carte à puce pour le stockage et l'utilisation sécurisée d'une clef de chiffrement qui chiffre les mots de passe. Et ça fait même un peu plus puisque le Multipass fait aussi office de token Fido/Webauthn.
L'utilisation d'une carte à puce pour réaliser le chiffrement fait que la clef n'est pas interceptable puisqu'elle reste au sein d'un chip sécurisé, et si le SE fait son job, elle ne devrait pas être récupérable sans de gros moyens.
Multipass est un projet relativement ancien, conçu par la communauté autour du site Hackaday ; il a reçu pas mal de regards, et à mon avis, a une architecture bien conçue. Le présent kickstarter porte sur une version BLE du projet précédent : https://www.themooltipass.com/
[^] # Re: Quel rapport OMS?
Posté par aiolos . En réponse au journal Le masque obligatoire une fausse bonne idée ?. Évalué à 2.
Je crois qu'il s'agit des conseils pour le port du masque, donné en lien dans l'article : https://apps.who.int/iris/bitstream/handle/10665/332448/WHO-2019-nCov-IPC_Masks-2020.4-fre.pdf
[^] # Re: Pas si simple
Posté par aiolos . En réponse au message Un téléphone qui fasse réveil. Évalué à 4.
Plus ou moins. Le coût de l'ajout d'une RTC, ce n'est pas seulement les quelques centimes du composant… D'ailleurs la plupart des téléphones "haut de gamme" en sont équipés ; là où ça pèche c'est sur les téléphones moyen de gamme et/ou custom, produits en petite série.
La plupart des téléphones, surtout dans les entrées/moyen de gamme, sont conçus à partir de "reference design" fournis par les fondeurs de chips (Broadcom, MTK, etc.). Ces références design sont ensuite adaptés par les constructeurs de téléphones qui viennent y mettre leurs périphériques, suivre les contraintes mécaniques, etc. Ils doivent ensuite patcher les sources plus ou moins propres de l'OS Android fournies avec le reference design, pour y mettre leurs drivers, les applications maisons, etc. Cette dernière étape peut être assez coûteuse, chaque composant ajouté ajoute ses propres soucis, instabilités, validations, etc. D'autant plus que l'usage d'une RTC peut avoir pas mal d'effets de bords dans l'embarqué, à assez bas niveau.