Le cas typique étant le reset de mots de passe par un lien envoyé par mail qui arrive dans une boîte elle-même pwnée. Peu de personnes se rendent compte de comment le mail est super central dans la vie numérique.
La recommandation est souvent d'avoir deux clés physiques (ou deux méthodes de MFA distinctes), ou bien un mécanisme de récupération.
Par exemple, sur Bitwarden, en plus du mot de passe principal, j'ai deux Yubikeys, un TOTP (qui est dans une appli type Aegis Authenticator), et un code de récupération imprimé dans une enveloppe cachée chez moi. Oui c'est galère quand tu perds ou casse ta clé.
Au travail, on utilise principalement des Yubikeys et on a des procédures pour renouveler les accès en cas de perte.
Hello,
pour le mail, je dirais que ça dépend de qui gère le service.
Si tu as une VM et que tu gère tes services par toi-même, c'est différent de si c'est l'hébergeur qui s'occupe de l'infra, et toi tu payes à la BAL.
J'ai mon nom de domaine et mes mails chez Infomaniak, et quand je suis passé de Gandi à Infomaniak, ça a été simple : la BAL était prête chez Infomaniak, la migration DNS a fait le boulot. Mais j'ai une config simple : je ne laisse pas mes mails sur le serveur (je garde la copie sur mon PC, et backup externe chiffré), donc pas de soucis de synchro. De mémoire quand j'étais passé de GMail à Gandi, avec offlineimap j'avais pu migrer mes messages facilement.
En conclusion, si j'étais toi, je n'hésiterais pas trop à mettre mes mails chez Infomaniak.
Posté par cg .
En réponse au lien Vente de la Pascaline suspendue.
Évalué à 5 (+3/-0).
Dernière modification le 20 novembre 2025 à 20:18.
Oui, en effet si on change de sujet et qu'on part sur Beaux-Arts, c'est tout autre, et je suis plutôt d'accord avec toi.
Mais je parle d'un artefact précis, dont le fonctionnement - et donc l'intérêt scientifique - se situe dans son principe et pas sa manufacture (ce serait de la magie voire de la superstition sinon). On peut refaire des pascalines simples en carton, sur Thingiverse, y'a plein de modèles aussi. J'avais même trouvé des plans pour faire des machines Enigma en carton, et c'est autrement plus complexe1 !
Je voulais simplement pointer que l'argument scientifique utilisé dans ce contexte est fallacieux. Ça ne m'empêche pas d'aimer aller voir de belles inventions, parfois présentée par l'original, au musées des Arts et Métiers, et si cette petite calculatrice peut s'y retrouver, tant mieux :).
et comme ça on atteint le point Godwin, au moins c'est fait. ↩
Si c'est la partie scientifique qui est importante, la machine a été étudiée et documentée, et est reproductible : la Science est saine et sauve.
Si c'est l'artefact en lui-même qui est important, alors la valeur de l'objet en lui-même est surtout historique et patrimoniale, et pas tellement scientifique.
Je me suis plusieurs fois demandé pourquoi mon beau père avait une appli pour les slips dans son iphone, avant que je comprenne que c'était supposé être un porte-carte :
Ah, j'ignorais ! J'ai juste libreoffice-fresh installé, je ne savais même pas qu'on pouvait changer le jeux d'icônes. Ça s'est fait tout seul pour mon cas, peut-être est-ce celui par défaut ?
Oui clairement, je m'en souviens ! Quand Gentoo a débarqué, plein de Debianistes et Slackawreux, jaloux du make world des Béhèdistes, sont aller voir du côté de Gentoo, qui promettait, en échange de quatre jours de compilation, de gagner 0,5% de perf :D.
J'avais remarqué la substitution, il y a quelques versions déjà, de la disquette violette 💾 par une flèche vers le bas ⬇️ pour enregistrer, dans LibreOffice.
Il faut dire qu'avec le tout-cloud ☁️, et les terminaux étant principalement des rectangles noirs 📱, les iconographes doivent faire preuve d'imagination pour matérialiser des concepts.
La poubelle semble avoir encore de beaux jours devant elle, même si son apparence est mise à la mode régulièrement, comme le montre l'illustration suivante :
enregistrement du terminal (sur un bastion ou dans tmux, et/ou parce que tout ce qui est affiché est historisé dans des logs distants)
Pendant une session de travail en partage d'écran (ou un live Twitch)
Recall de Windows 11
Caméra de surveillance mal placée (on pourrait argumenter qu'elle peut choper les touches de clavier aussi, ça n'empêche pas)
Afficher un mot de passe sur une ligne de commande par surprise, ce n'est pas la vuln du siècle, mais ça reste sérieux pour s'intégrer dans autre chose de plus grand.
Après sur la terminologie, il y a des personnes qui considèrent quasi tous les bugs comme des failles de sécu, parce que petit bug + petit bug + petit bug = trou. Ça n'aide pas trop à prioriser et parfois c'est tangent, j'avoue :).
Mais Debian le tout repose sur des mainteneurs qui génèrent eux mêmes les paquets sur leurs machines, faut s'assurer que leur système ne sont pas non plus attaqués.
Oh, ça m'avait totalement échappé. En effet c'est problématique :-/. Merci.
Ce n'est pas un hasard si Debian a poussé plus que les autres pour la compilation reproductible car c'est une source de vulnérabilité par rapport à des distributions qui génèrent des paquets sur des machines du projet et gérées par une équipe dédiée et compétente.
Je ne vois pas trop bien pourquoi on fait une confiance aveugle aux distributions Linux mais pas à Cargo
Je dirais pas "confiance aveugle". Les écosystèmes sont un peu différents.
Ça dépend de la distrib je pense. Sur Debian, le nombre restreint de devs, le fait que pour devenir dev sur Debian, il faut montrer patte blanche, le rythme lent et la pratique de rétroporter les patchs de sécu permet d'assurer une stabilité de l'environnement sur une version stable de la distrib, et donc d'instaurer une certaine confiance.
Cargo (ou npm, ou pip), c'est des milliers de comptes de dev potentiellement trouables facilement, et des mises à jour permanentes.
Je pense que c'est ça une partie de raison de la différence de traitement.
À lire en détails dans le livre Urban eXperiment de Lazar Kunstmann et compagnie, ou à lire en résumé par exemple sur France Culture, un groupe de trublions s'était rendu compte qu'il suffisait de pousser la porte pour entrer au Panthéon la nuit… Et a pu réparer l'horloge qui fait face au bureau du directeur, et faire des spectacles de théâtre, en toute discrétion.
En même temps, c'est des bâtiments publics nan :D ?
On en peut que saluer le courage de ces personnes qui ont brisé le silence et ont fait progresser la société, de même qu'aujourd'hui la culture du viol est mise au jour, grâce au courage de femmes qui osent parler.
Dans les derniers laptops qu'on achète au boulot, il y a des NPU (comme dans les "Intel Core Ultra 200 series" que tu cites), et je me suis demandé si NPU et TPU sont la même chose.
Il semble que ce soit différent, si j'ai bien compris : il y en a un, le NPU, qui est orienté "consommation" de modèle, et l'autre, le TPU, qui est plutôt orienté "entraînement". Est-ce que ça semble correct comme découpage à la louche ?
Je suis entièrement d'accord, préparer le CCNA sans avoir manipulé des VLANs et être un minimum fluide dans le routage, c'est mettre la charrue avant les bœufs.
En mode bachotage, en ne connaissant pas grand chose aux tests de pénétration à part les injections de code, j'ai passé le CEH1, mais vraiment pour le côté découverte et culture générale, jamais j'irais prétendre être pentester :). D'ailleurs c'était le cas de presque tous les autres participants2.
Certified Ethical Hacker, formation chère mais très amusante. ↩
Due to deliberate DEI efforts, PyCon US went from 1% women speakers in 2011, to 7% in 2012, to 15% in 2013, to 33% in 2014 and 2015, to 40% in 2016. That's a huge success story that wouldn't have been possible without deliberate efforts from the community to change how welcoming PyCon US was to women.
Mes enfants ont eu une Lunii, en effet elles ont été accrocs assez vite, mais franchement, ça passe aussi vite que ça vient. La durée d'utilisation est d'un an, peut-être deux. Heureusement, l'objet peut se refiler aux cousins et cousines !
Le principal intérêt est que les enfants sont autonomes avec, mais quand tu vois la masse de podcasts de qualité dispo aujourd'hui (rien que sur Radio France, pas besoin d'abonnement), ou à comparer à une super histoire comme Tigre et Léopard de Dahlov Ipcar, c'est du pipi de chat les histoires de boîte à histoire :p.
Bon point (d'un point de vue Linux) pour la Lunii : j'étais content d'avoir un logiciel de mise à jour et de chargement d'histoire qui fonctionne très bien sur ma Arch Linux (présent dans AUR).
C'est marrant, j'en ai discuté hier avec une personne qui s'occupe du quantique au boulot (et j'ai gagné une paire de chaussettes au passage :D). Elle me disait que y'en a pour environ 30 ans pour que ça devienne chouette à l'échelle, et que peu de ce qui se fait de nos jours restera. Les archis se cherchent encore, semble-il.
En tant qu'après-gardiste invétéré, je vais attendre un peu en grignotant un bâtonnet de réglisse (pour changer des pop-corns).
Je suis assez d'accord que quand on fait du SFTP ou du rsync par-dessus SSH, on gagnerai à avoir un protocole de transfert de données rapide et performant… Ce que SSH n'est pas.
C'est ptet le moment de se dire qu'il faudrait un tel truc, mais séparé de SSH ? J'utilisais UDT/UDR, qui est plus ou moins abandonné. J'avais essayé WDT qui dépote pas mal, mais il lui manquait quelques options que seul rsync supportait à l'époque, ça a peut-être changé depuis.
[^] # Re: sauvegarde
Posté par cg . En réponse au journal Les bases de l'authentification, clé de sécurité FIDO2 sous Linux et Windows. Évalué à 2 (+0/-0). Dernière modification le 24 novembre 2025 à 19:32.
Le cas typique étant le reset de mots de passe par un lien envoyé par mail qui arrive dans une boîte elle-même pwnée. Peu de personnes se rendent compte de comment le mail est super central dans la vie numérique.
[^] # Re: sauvegarde
Posté par cg . En réponse au journal Les bases de l'authentification, clé de sécurité FIDO2 sous Linux et Windows. Évalué à 2 (+0/-0).
La recommandation est souvent d'avoir deux clés physiques (ou deux méthodes de MFA distinctes), ou bien un mécanisme de récupération.
Par exemple, sur Bitwarden, en plus du mot de passe principal, j'ai deux Yubikeys, un TOTP (qui est dans une appli type Aegis Authenticator), et un code de récupération imprimé dans une enveloppe cachée chez moi. Oui c'est galère quand tu perds ou casse ta clé.
Au travail, on utilise principalement des Yubikeys et on a des procédures pour renouveler les accès en cas de perte.
# qui gère le service mail ?
Posté par cg . En réponse au journal Migration de Scaleway vers Infomaniak. Évalué à 3 (+1/-0).
Hello,
pour le mail, je dirais que ça dépend de qui gère le service.
Si tu as une VM et que tu gère tes services par toi-même, c'est différent de si c'est l'hébergeur qui s'occupe de l'infra, et toi tu payes à la BAL.
J'ai mon nom de domaine et mes mails chez Infomaniak, et quand je suis passé de Gandi à Infomaniak, ça a été simple : la BAL était prête chez Infomaniak, la migration DNS a fait le boulot. Mais j'ai une config simple : je ne laisse pas mes mails sur le serveur (je garde la copie sur mon PC, et backup externe chiffré), donc pas de soucis de synchro. De mémoire quand j'étais passé de GMail à Gandi, avec
offlineimapj'avais pu migrer mes messages facilement.En conclusion, si j'étais toi, je n'hésiterais pas trop à mettre mes mails chez Infomaniak.
[^] # Re: Par contre :
Posté par cg . En réponse au lien Firefox 147 Will Support The XDG Base Directory Specification. Évalué à 4 (+2/-0).
Si tu fais l'intersection de :
ça ne doit pas faire lourd, donc bon…
# individu vs role
Posté par cg . En réponse au lien Conséquences pratiques des sanctions américaines contre le juge à la CPI Nicolas Guillou. Évalué à 5 (+3/-0).
C'est assez incroyable qu'un décret puisse comme cela bloquer les comptes individuels personnels en dehors de la fonction de représentation à la CPI.
[^] # Re: Sens de l'emphase
Posté par cg . En réponse au lien Vente de la Pascaline suspendue. Évalué à 5 (+3/-0). Dernière modification le 20 novembre 2025 à 20:18.
Oui, en effet si on change de sujet et qu'on part sur Beaux-Arts, c'est tout autre, et je suis plutôt d'accord avec toi.
Mais je parle d'un artefact précis, dont le fonctionnement - et donc l'intérêt scientifique - se situe dans son principe et pas sa manufacture (ce serait de la magie voire de la superstition sinon). On peut refaire des pascalines simples en carton, sur Thingiverse, y'a plein de modèles aussi. J'avais même trouvé des plans pour faire des machines Enigma en carton, et c'est autrement plus complexe1 !
Je voulais simplement pointer que l'argument scientifique utilisé dans ce contexte est fallacieux. Ça ne m'empêche pas d'aimer aller voir de belles inventions, parfois présentée par l'original, au musées des Arts et Métiers, et si cette petite calculatrice peut s'y retrouver, tant mieux :).
et comme ça on atteint le point Godwin, au moins c'est fait. ↩
# Sens de l'emphase
Posté par cg . En réponse au lien Vente de la Pascaline suspendue. Évalué à 10 (+10/-2).
Si c'est la partie scientifique qui est importante, la machine a été étudiée et documentée, et est reproductible : la Science est saine et sauve.
Si c'est l'artefact en lui-même qui est important, alors la valeur de l'objet en lui-même est surtout historique et patrimoniale, et pas tellement scientifique.
[^] # Re: Pas tous les logiciels
Posté par cg . En réponse au lien Coup de vieux, quand les jeunes Japonais se posent des questions sur les icônes de logiciels. Évalué à 6 (+4/-0).
Arf, il y a tellement de chemins d'interprétations, c'est chouette :).
Je me suis plusieurs fois demandé pourquoi mon beau père avait une appli pour les slips dans son iphone, avant que je comprenne que c'était supposé être un porte-carte :
[^] # Re: Pas tous les logiciels
Posté par cg . En réponse au lien Coup de vieux, quand les jeunes Japonais se posent des questions sur les icônes de logiciels. Évalué à 2 (+0/-0).
Ah, j'ignorais ! J'ai juste
libreoffice-freshinstallé, je ne savais même pas qu'on pouvait changer le jeux d'icônes. Ça s'est fait tout seul pour mon cas, peut-être est-ce celui par défaut ?[^] # Re: à propos de la posture AI bouuuu caca pa bien.
Posté par cg . En réponse au lien Une réponse aux critiques de l'IA dans firefox. Évalué à 4 (+2/-0).
Oui clairement, je m'en souviens ! Quand Gentoo a débarqué, plein de Debianistes et Slackawreux, jaloux du
make worlddes Béhèdistes, sont aller voir du côté de Gentoo, qui promettait, en échange de quatre jours de compilation, de gagner 0,5% de perf :D.# Pas tous les logiciels
Posté par cg . En réponse au lien Coup de vieux, quand les jeunes Japonais se posent des questions sur les icônes de logiciels. Évalué à 10 (+9/-0).
J'avais remarqué la substitution, il y a quelques versions déjà, de la disquette violette 💾 par une flèche vers le bas ⬇️ pour enregistrer, dans LibreOffice.
Il faut dire qu'avec le tout-cloud ☁️, et les terminaux étant principalement des rectangles noirs 📱, les iconographes doivent faire preuve d'imagination pour matérialiser des concepts.
La poubelle semble avoir encore de beaux jours devant elle, même si son apparence est mise à la mode régulièrement, comme le montre l'illustration suivante :
[^] # Re: "Vulnérabilités"
Posté par cg . En réponse au journal Vulnérabilités multiples dans sudo-rs. Évalué à 3 (+1/-0).
Je vois :
Afficher un mot de passe sur une ligne de commande par surprise, ce n'est pas la vuln du siècle, mais ça reste sérieux pour s'intégrer dans autre chose de plus grand.
Après sur la terminologie, il y a des personnes qui considèrent quasi tous les bugs comme des failles de sécu, parce que petit bug + petit bug + petit bug = trou. Ça n'aide pas trop à prioriser et parfois c'est tangent, j'avoue :).
[^] # Re: Petite question à ceux qui "baignent" encore dans le C
Posté par cg . En réponse au journal Vulnérabilités multiples dans sudo-rs. Évalué à 4 (+2/-0). Dernière modification le 16 novembre 2025 à 11:17.
Oh, ça m'avait totalement échappé. En effet c'est problématique :-/. Merci.
(mais ceci semble le contredire : https://www.debian.org/devel/buildd/)
Totalement d'accord :).
[^] # Re: Petite question à ceux qui "baignent" encore dans le C
Posté par cg . En réponse au journal Vulnérabilités multiples dans sudo-rs. Évalué à 8 (+6/-0).
Je dirais pas "confiance aveugle". Les écosystèmes sont un peu différents.
Ça dépend de la distrib je pense. Sur Debian, le nombre restreint de devs, le fait que pour devenir dev sur Debian, il faut montrer patte blanche, le rythme lent et la pratique de rétroporter les patchs de sécu permet d'assurer une stabilité de l'environnement sur une version stable de la distrib, et donc d'instaurer une certaine confiance.
Cargo (ou npm, ou pip), c'est des milliers de comptes de dev potentiellement trouables facilement, et des mises à jour permanentes.
Je pense que c'est ça une partie de raison de la différence de traitement.
[^] # Re: titre
Posté par cg . En réponse au journal Vulnérabilités multiples dans sudo-rs. Évalué à 6 (+4/-0).
C'est vrai, et comme chez Debian, lorsque le correctif est possible à rétroporter, c'est ce qui est fait : https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-November/009938.html
Ce qui n'enlève rien à la pertinence de ton message, sur une machine pas mise à jour très régulièrement, c'est un problème.
# Il était une fois l'horloge du Panthéon
Posté par cg . En réponse au lien Le mot de passe du Louvre était « LOUVRE », oui, oui !. Évalué à 10 (+8/-0).
À lire en détails dans le livre Urban eXperiment de Lazar Kunstmann et compagnie, ou à lire en résumé par exemple sur France Culture, un groupe de trublions s'était rendu compte qu'il suffisait de pousser la porte pour entrer au Panthéon la nuit… Et a pu réparer l'horloge qui fait face au bureau du directeur, et faire des spectacles de théâtre, en toute discrétion.
En même temps, c'est des bâtiments publics nan :D ?
[^] # Re: À ce propos…
Posté par cg . En réponse au lien France : les comptes Facebook et Instagram d’une sage-femme supprimés après avoir évoqué l’IVG. Évalué à 6 (+4/-0).
Perso, j'ai découvert plus en détails cette épopée à travers ces deux très beaux romans graphiques cet été :
Bobigny 1972 et Simone Veil, l'immortelle.
On en peut que saluer le courage de ces personnes qui ont brisé le silence et ont fait progresser la société, de même qu'aujourd'hui la culture du viol est mise au jour, grâce au courage de femmes qui osent parler.
# Autre parcours difficile
Posté par cg . En réponse au journal J’ai failli abandonner le CCNA (et j’ai compris pourquoi). Évalué à 3 (+1/-0).
Je te recommande de lire ce journal, tu te sentiras moins seul : CISSP, sécurité, il faut que je vous raconte un truc…
[^] # Re: Intégration dans le CPU
Posté par cg . En réponse au journal Intégration d'une clé USB accélérateur Coral Edge TPU sous ZoneMinder et Frigate. Évalué à 3 (+1/-0).
Dans les derniers laptops qu'on achète au boulot, il y a des NPU (comme dans les "Intel Core Ultra 200 series" que tu cites), et je me suis demandé si NPU et TPU sont la même chose.
Il semble que ce soit différent, si j'ai bien compris : il y en a un, le NPU, qui est orienté "consommation" de modèle, et l'autre, le TPU, qui est plutôt orienté "entraînement". Est-ce que ça semble correct comme découpage à la louche ?
[^] # Re: le réseau
Posté par cg . En réponse au journal J’ai failli abandonner le CCNA (et j’ai compris pourquoi). Évalué à 4 (+2/-0).
Je suis entièrement d'accord, préparer le CCNA sans avoir manipulé des VLANs et être un minimum fluide dans le routage, c'est mettre la charrue avant les bœufs.
En mode bachotage, en ne connaissant pas grand chose aux tests de pénétration à part les injections de code, j'ai passé le CEH1, mais vraiment pour le côté découverte et culture générale, jamais j'irais prétendre être pentester :). D'ailleurs c'était le cas de presque tous les autres participants2.
Certified Ethical Hacker, formation chère mais très amusante. ↩
Y'avait que des mecs. ↩
# Ça paye !
Posté par cg . En réponse au lien [Fondation Python] The PSF has withdrawn a $1.5 million proposal to US government grant program . Évalué à 10 (+15/-1).
Bravo et merci à la Python Software Foundation !
Lu dans les commentaires sur Lobsters :
Petit appel du pied au FOSDEM au passage ;).
# Durée d'usage limitée
Posté par cg . En réponse au message Boîte à musique et à histoires pour enfant. Évalué à 4 (+2/-0).
Mes enfants ont eu une Lunii, en effet elles ont été accrocs assez vite, mais franchement, ça passe aussi vite que ça vient. La durée d'utilisation est d'un an, peut-être deux. Heureusement, l'objet peut se refiler aux cousins et cousines !
Le principal intérêt est que les enfants sont autonomes avec, mais quand tu vois la masse de podcasts de qualité dispo aujourd'hui (rien que sur Radio France, pas besoin d'abonnement), ou à comparer à une super histoire comme Tigre et Léopard de Dahlov Ipcar, c'est du pipi de chat les histoires de boîte à histoire :p.
Bon point (d'un point de vue Linux) pour la Lunii : j'étais content d'avoir un logiciel de mise à jour et de chargement d'histoire qui fonctionne très bien sur ma Arch Linux (présent dans AUR).
# on en reparle dans 30 ans
Posté par cg . En réponse au journal IAllucination post-quantique. Évalué à 4 (+2/-0).
C'est marrant, j'en ai discuté hier avec une personne qui s'occupe du quantique au boulot (et j'ai gagné une paire de chaussettes au passage :D). Elle me disait que y'en a pour environ 30 ans pour que ça devienne chouette à l'échelle, et que peu de ce qui se fait de nos jours restera. Les archis se cherchent encore, semble-il.
En tant qu'après-gardiste invétéré, je vais attendre un peu en grignotant un bâtonnet de réglisse (pour changer des pop-corns).
# Mais les photos !
Posté par cg . En réponse au lien Un âge sombre numérique ? Sauver les disques souples. Évalué à 6 (+5/-0).
Rien que pour les pulls en laine et les photos de disquettes 3' Amstrad avec CPM ça vaut le coup de parcourir l'article ^.^
[^] # Re: Quel intérêt ?
Posté par cg . En réponse au journal SSH3 n’est pas la suite d’SSH. Évalué à 2 (+0/-0).
Je suis assez d'accord que quand on fait du SFTP ou du rsync par-dessus SSH, on gagnerai à avoir un protocole de transfert de données rapide et performant… Ce que SSH n'est pas.
C'est ptet le moment de se dire qu'il faudrait un tel truc, mais séparé de SSH ? J'utilisais UDT/UDR, qui est plus ou moins abandonné. J'avais essayé WDT qui dépote pas mal, mais il lui manquait quelques options que seul rsync supportait à l'époque, ça a peut-être changé depuis.