Al a écrit 37 commentaires

  • [^] # Re: Pas de code source

    Posté par  . En réponse au journal La NSA publie son outil de rétro-ingénierie. Évalué à 9. Dernière modification le 09/03/19 à 14:24.

    Oh non, ils m'ont démasqué !

    Hackerman

    -----> []

  • [^] # Re: Pas de code source

    Posté par  . En réponse au journal La NSA publie son outil de rétro-ingénierie. Évalué à 3. Dernière modification le 09/03/19 à 13:12.

    Effectivement, c'est plutôt le genre de logiciel que je ferais tourner dans une VM dans le cloud et sur des données dont la compromission ne me poserait pas de problème. À des fins éducatives, peut-être.

  • [^] # Re: mbsync

    Posté par  . En réponse au message Cherche logiciel pour sauvegarder mes mails. Évalué à 3.

    Je viens d'essayer, c'était exactement ce que je cherchais. Merci pour le tuyau !

  • [^] # Re: Infos détaillées... et des logos

    Posté par  . En réponse au journal Ça sent pas bon chez Intel ?. Évalué à 5. Dernière modification le 04/01/18 à 00:13.

    Les attaques ont à présent un site, des noms (Meltdown et Spectre), des jolis logos et des explications détaillées :
    https://spectreattack.com/

  • # Succès et affluence

    Posté par  . En réponse à la dépêche 34c3 — 34ᵉ édition du Chaos Communication Congress - Tuwat. Évalué à 2.

    Il est de plus en plus difficile d'acheter des billets. Cette année, le système de vente était quasiment un loto, ou, plus exactement, il fallait recharger une page dans la bonne fenêtre d'une poignée de secondes pour avoir un billet. Ça plus le fait que les ventes ouvrent deux mois avant le début, ça complique bien les choses. La dernière fois que j'y étais allé, à savoir en 2015, j'avais acheté ma place sans problème particulier.

    Cela dit, ils réservent des places aux bénévoles des conférences précédentes et aux adhérents d'associations (allemandes sauf erreur). Quelqu'un a acheté des billets par ce biais ?

  • [^] # Re: Que vaut un mot de passe comme ceux de pwgen ?

    Posté par  . En réponse au journal La proche fin des mots de passe. Évalué à 3.

    TrueCrypt qui recommande 25 caractères c'est pour le fun ?

    Le mot de passe de TrueCrypt sert à chiffrer des données, et non à authentifier. Si un attaquant vole un portable chiffré ou arrive à faire une copie du disque chiffré, après il a tout le temps qu'il veut pour casser le mot de passe. Alors que quand un mot de passe d'authentification est remplacé régulièrement, ça n'a aucun intérêt d'avoir celui de l'année dernière. Et puis si le mot de passe actuel est compromis, il suffit de le remplacer et l'ancien devient totalement inutile.

  • # On en est encore loin

    Posté par  . En réponse au journal La proche fin des mots de passe. Évalué à 2.

    Sachant qu'on ne peut pas vraiment se passer d'authentification mais que, en même temps, personne ne veut y consacrer des sommes sans rapport avec le risque réel tout en prenant le risque de rebuter les utilisateurs, il y a quelques solutions déjà utilisables à ce jour, comme :

    • Mot de passe + vérification par SMS, déjà mise en œuvre par quelques géants d'internet qui ont les moyens.
    • Fédération d'identité : on compte sur quelqu'un d'autre pour authentifier l'utilisateur, et le risque est transféré à quelqu'un qui gère mieux, sans nécessairement compromettre la vie privée.

    Les gestionnaires de mots de passe et les méthodes de dérivation de clés sont nettement moins pires, mais ne changent rien au fait qu'on a toujours de l'authentification à un seul facteur.

    Tout ce qui est token cryptographique est bien pour satisfaire les besoins d'une entreprise avec un service central d'authentification et les moyens financiers suffisants. Mais la limite intrinsèque des puces cryptographiques est le faible nombre de clés privées asymétriques qu'elles peuvent stocker. Implicitement, cela pose un problème en termes de vie privée.

    Dernière remarque : sur la complexité des mots de passe, il me paraît inutile d'utiliser autre chose que des mots de passe générés aléatoirement (quel que soit l'ensemble dans lequel on choisit). Intuitivement, c'est comme ça qu'on obtient le meilleur rapport difficulté à deviner / difficulté à retenir.

  • [^] # Re: Taille des polices

    Posté par  . En réponse au journal Votre police préférée. Évalué à 1.

    Le mètre ne permet pas ça ?

    Je voulais dire « exprimer ma taille et ma largeur d'épaule en un seul chiffre ». J'ai fait exprès de choisir deux grandeurs homogènes dans le système SI, mais je me suis mal exprimé.

    Justement la situation actuelle ne permet pas facilement de passer d'un police à l'autre en plein texte comme tu le dis. Si on laisse la même hauteur on casse la ligne médiane à tous les coup. Et rien ne dis qu'en changeant la hauteur on arrive à en trouver 2 qui collent pile poil

    Dans le fond, c'est ce qui se passe à chaque fois que tu as plusieurs paramètres à harmoniser mais un seul levier sur lequel jouer.

  • [^] # Re: Taille des polices

    Posté par  . En réponse au journal Votre police préférée. Évalué à 2.

    Ça n'a aucun intérêt de mettre des valeurs numériques avec une unité sinon.

    Le problème, c'est qu'on ne peut pas ramener plusieurs mesures indépendantes à une seule mesure scalaire. De la même manière, il n'y a pas une unité dans laquelle on puisse à la fois exprimer ma taille et ma largeur d'épaules.

    À mon avis, l'idée derrière cette convention est qu'il faut pouvoir mélanger les polices à l'intérieur d'un même texte sans altérer la répartition des lignes. Par exemple, on peut insérer quelques mots de code et repasser à du texte normal. Si les espacements entre lignes de base n'étaient pas faciles à contrôler, alors on aurait des espacements entre lignes irréguliers et plus ou moins aléatoires, ce qui serait inesthétique.

    Ce qui est vrai, quoi qu'il en soit, c'est qu'on peut facilement avoir des résultats très laids si on choisit une mauvaise combinaison de polices {sans-serif + serif + chasse fixe}.

  • [^] # Re: Taille des polices

    Posté par  . En réponse au journal Votre police préférée. Évalué à 1.

    Je suis pas un fin connaisseur, mais je peux déjà avancer une réponse simple:

    La taille de la police désigne la distance entre les lignes de base. La hauteur apparente de la police est principalement liée à la distance entre la ligne de base et la ligne médiane. Le rapport entre ces deux distances varie d'une fonte à l'autre.

    Donc, à taille égale, avec DejaVu Sérif, les lignes ont l'air beaucoup plus rapprochées les une des autres, et donc aussi plus grandes.

    Maintenant, expliquer d'où viennent ces choix, je n'ai pas l'expertise qu'il faut.

  • # Mais que fait la concurrence ?

    Posté par  . En réponse au journal Google et vie privée (encore). Évalué à 1.

    Cher Papa Nöel, je suis prêt à payer, mais j'aimerais bien qu'un service de messagerie :

    • soit exclusivement soumis au droit français (tant qu'à être fliqué, je préfère le flicage de proximité)
    • ne me demande pas de louer mon propre nom de domaine (ça fait peur à Mme Michu, et puis que se passe-t-il si on oublie de renouveler et que quelqu'un rachète le nom de domaine ?) (ou bien si on est mort ou tout autre empêchement débouchant sur le même problème)
    • ait un minimum de sécurité (genre pas laposte.net, qui, la dernière fois que j'ai essayé, ne proposait pas de https)
    • respecte la vie privée de ses utilisateurs, autant que faire se peut
  • [^] # Re: Jusqu'à quel point…

    Posté par  . En réponse au sondage Les révélations sur le programme PRISM.... Évalué à 1.

    Si tu pars de l'hypothèse (exagérée) que tout ton trafic réseau est enregistré pour toujours, alors la cryptographie te garantit tout au plus que tes secrets ne seront pas découverts dans l'immédiat. Mais, avec les progrès divers faits dans divers domaines, ce qui est enregistré aujourd'hui pourra être déchiffré dans n années.

  • [^] # Re: stratégie

    Posté par  . En réponse au journal Administrateur Wikipédia sous pression de la DCRI. Évalué à 10.

    la sécurité par l'obfuscation n'est pas forcément ce qu'il y a de mieux

    Deux bémols :

    1. Plus on s'éloigne du monde de la cryptographie et de la sécurité informatique pure et dure, plus on trouve de cas où l'on a intérêt à s'appuyer (entre autres) sur l'obscurité. Par exemple, il ne vaut mieux pas annoncer sur son réseau social préféré que l'on part en vacances.
    2. Même dans la cryptographie, l'obscurité peut être utile si elle est bien organisée. Il y a une discussion à ce sujet dans le forum du blog de Bruce Schneier.
  • # Graphies allégées

    Posté par  . En réponse à la dépêche DChars, pour lire/écrire et modifier des caractères unicodes complexes. Évalué à 5.

    Je suis enthousiasmé par ton projet, et je vois une utilisation simple : à partir du moment où les symboles unicode sont analysés, il doit y avoir moyen d'écrire des méthodes toutes bêtes pour simplifier les graphies. Par exemple, si on translittère du sanskrit, en confondant les voyelles courtes et longues [1], on peut produire de manière automatique une translittération certes approximative mais relativement élégante et 100% ASCII.

    Même sans utiliser des translittérations vers l'alphabet latin, on peut faire le même genre de transformation pour l'hébreu : en éliminant les voyelles et les daghesh/mappiq, on obtient de l'unicode qui passe bien sur des plateformes qui n'ont pas été configurées et qui ne disposent pas des polices qui vont bien. Même chose en supprimant l'accentuation du grec etc.

    Je n'ai pas encore essayé les transformations que je viens de mentionner, mais ta bibliothèques a l'air très commode pour ça.

    [1] Bien entendu, ce n'est pas la seule chose à simplifier

  • [^] # Re: Masque jetable sur une clef usb de base

    Posté par  . En réponse au journal Essais avec une Yubikey. Évalué à 1. Dernière modification le 19/03/13 à 15:19.

    Tu n'as pas besoin de réencoder les données avec un nouveau mot de passe.

    C'est une bonne remarque. La bonne nouvelle est que LUKS fait déjà ça par défaut : l'en-tête d'un volume LUKS a 8 emplacements pour des mots de passe ou clés avec des sels, qui servent à retrouver la clé maître. En pratique, on n'ouvre pas un volume LUKS directement avec la clé maître. (Oui, il m'arrive d'être un peu approximatif au niveau de la terminologie.)

    La commande cryptsetup luksDump permet de voir, pour chaque emplacement actif, le champ Salt.

  • [^] # Re: Le mot de passe statique

    Posté par  . En réponse au journal Essais avec une Yubikey. Évalué à 1.

    Faux sentiment de sécurité

    Euh non : comme tu le dis, le but d'un mot de passe fort est de se protéger contre le vol d'un disque dur externe, d'un ordinateur portable, d'une base de données de mots de passe personnelle etc. Dans pas mal de scénarios (exemple : vol d'un portable dans un café), le keylogger tant redouté est une préoccupation secondaire.

    Il n'y a pas que les keyloggers et les tentatives de connexion répétées dans la vie du pirate : par exemple, on a eu des exemples récents de fuites de mots passe hachés de LinkedIn. Pour des mots de passe d'authentification qui peuvent être remplacés rapidement, on peut se donner moins d’exigences en termes d'entropie, mais il vaut mieux quand même prendre un minimum de précautions.

  • [^] # Re: Masque jetable sur une clef usb de base

    Posté par  . En réponse au journal Essais avec une Yubikey. Évalué à 1.

    Astucieux ; par contre, je ne vois pas pourquoi tu combines deux données. Dans mon cas, l'intérêt du défi statique est de rendre difficile la duplication du périphérique USB, un peu comme s'il y avait un code PIN. Mais avec un périphérique intrinsèquement facile à copier, tu peux te contenter, pour une sécurité équivalente, de stocker la clé de chiffrement en clair dans le périphérique USB.

    Bon, le fond du problème est que, de toutes façons, on finit toujours par faire circuler la clé principale en clair sur le bus de l'ordinateur, et que cette clé est la seule chose dont on a besoin pour déchiffrer le disque. Sinon, il faudrait du matériel spécialisé, genre TPM ou autre, mais je n'y connais rien.

  • [^] # Re: MUSCLE + javacard

    Posté par  . En réponse au journal Essais avec une Yubikey. Évalué à 2.

    Dans ce cas, pourquoi ne pas acheter directement un périphérique USB pré-configuré pour PKCS11 ? Le site d'openSC mentionne quelques vendeurs dans son FAQ, dont un qui en vend pour moins de 50 euros. L'inconvénient prévisible du lecteur de cartes à puces, c'est qu'il faut le trimbaler. Alors que là, on a un objet de la taille d'une clé USB ordinaire, qui est en réalité puce au format SIM intégrée dans un lecteur.

    Je m'empresse de préciser que je n'ai pas d'actions chez tel ou tel marchand de cartes à puces.

  • [^] # Re: Le mot de passe statique

    Posté par  . En réponse au journal Essais avec une Yubikey. Évalué à 2.

    C'est sujet à discussion. Par exemple, la carte bancaire est considérée comme « ce que j'ai », alors qu'il suffit de lire la bande magnétique. Disons que c'est un « ce que j'ai », mais pas très costaud.

    Par ailleurs, j'ai l'habitude de retenir des mots de passe avec une entropie de 128 bits. C'est très casse-pied, donc, en principe, même si ça ne ferait pas un facteur d'authentification supplémentaire, il me paraîtrait sensé de faire taper une partie du mot de passe par un périphérique USB.

  • # Précision sur les mots de passe à usage unique

    Posté par  . En réponse au journal Essais avec une Yubikey. Évalué à 2.

    Quand je dis que « Le même secret doit être connu de l'authentifié (la puce) et du vérificateur », je me trompe de cible. En effet, il est théoriquement possible d'utiliser des enchaînements de hachages, qui font que le vérificateur ne peut pas produire lui-même des mots de passe utilisables. Pour autant que je sache, la Yubikey n'implémente pas ce type de mécanisme, mais en fait ce n'est pas ça en soi qui pose problème. Ce qui pose problème est plutôt qu'il faut avoir recours à un vérificateur centralisé.

  • [^] # Re: Et le spam, faudrait pas qu'il soit filtre par defaut non plus ?

    Posté par  . En réponse au journal Free 1 - Google 0 - Neutralité du Net -> -∞. Évalué à 1.

    La pub c'est juste du SPAM légal.

    De même, le marchand de vin en bas de chez moi deale des drogues dures légalement.

  • [^] # Re: [X] Café lyophilisé et j'ai pas honte !

    Posté par  . En réponse au sondage Machines à café. Évalué à 2.

    On peut aussi produire le jugement de valeur opposé :
    [X] Café lyophilisé, ça vaut pas le coup de se torréfier la tête

  • [^] # Re: Identité régionale

    Posté par  . En réponse au sondage Votre nationalité...?. Évalué à 2.

    La nation exprime, comme son nom l'indique, la naissance, le lien du sang et concerne le peuple.

    Ce dont tu parles ne serait pas plutôt une ethnie ? Le premier paragraphe de la page Wikipedia donne l'impression que rien n'est évident dans le sens que l'on donne à ces mots.

    pour un rom la roumanie n'est qu'une route

    En attendant, il a bien la nationalité roumaine ou bulgare ou autre, même si c'est uniquement administratif.

    On peut donc tout à fait reconnaître une nation bretonne

    Nous voilà ramenés à la question des appartenances multiples. C'est un débat très politisé.

  • [^] # Re: Identité régionale

    Posté par  . En réponse au sondage Votre nationalité...?. Évalué à 4.

    Ça dépend de ce que tu entends par nation. Pour moi, ici, tu parles plutôt d'un aire culturelle, ou alors il y a une volonté partagée par un grand nombre de Celtes de créer un état du même nom.

  • [^] # Re: Un avis…

    Posté par  . En réponse au journal Dépénalisation du cannabis. Qu'en pensez-vous ?. Évalué à 6.

    je peux te répondre pour les religions : il y a bien eu un barbu qui qualifiait les religions d'"opium du peuple".

    Il pensait leur avoir trouvé un substitut qui marcherait du tonnerre de Dieu.