cg a écrit 1784 commentaires

Cette page explique comment est calculée l'entropie d'un mot de passe : https://acceis.github.io/EntroCalc/

Pour faire court :

L = longueur d'unités dans le mot de passe
R = nombre de valeurs possible pour chaque unité (ton vocabulaire, en gros)

Et la formule : log2(R^L)

Dans le cas ou tu as les lettres de l'alphabet en minuscules et majuscules, les chiffres et des symboles, chaque unité est un de ces trucs. Il y a peu de valeurs possibles pour chaque unité, donc le mot de passe va être long en unités (genre 15 à 20 unités).

Dans le cas ou tu vas chercher des mots dans un dictionnaire, chaque unité est un mot de ce dictionnaire. Il y a plein de mots, donc 7 unités suffiront pour avoir un mot de passe avec une entropie suffisante. À taper, ce sera plus long, car chaque unité sera un mot du dico, et au final ça fera 40 à 60 caractères. Mais en vrai tu t'en fiches, car c'est ton gestionnaire de mot de passe qui le tapera la majorité du temps :), et il sera relativement facile à mémoriser.

Le xkcd cité plus haut est juste, à ceci près qu'avec 4 mots d'un dictionnaire courant, tu as une entropie insuffisante. En 2025, il faut viser 100 bits d'entropie au moins. Dans le générateur de KeepassXC, ça fait 7 mots du dico, ou un mot de passe de 16 caractères minimum.

Un truc du genre :).

Ancien motard, je sais qu'on se procure normalement ces revues techniques contre espèces sonnantes et trébuchantes. En plus d'être hors sujet, vous demandez de l'aide pour un contenu vraisemblablement piraté :-/, ce qui peut poser problème à la modération.

Pourtant, vu le prix de la chouette moto en question, les 40€ demandés pour la RTM, ce n'est pas grand chose :).

En l'occurrence, mon prédécesseur avait essayé de promouvoir Jabber, déjà pour le chat interne, et ça n'avait pas pris. Skype était plus simple, et permettait de communiquer avec des clients externes simplement.

J'ai l'impression que XMPP paye très cher le fait d'être un standard et d'être arrivé dans les premiers, et c'est bien dommage.

À titre plus personnel, les services comme l'audioconférence ou la visioconférence ne m'intéressent absolument pas, et j'ai pas envie de passer du temps à configurer ce genre de techno :p.

J'ai regardé un peu en accéléré, en sautant des séquences parce que le sujet m'intéresse pas trop, et entre les marques exposées en évidence et les sponsors, j'ai l'impression d'avoir bouffé plus de pub en 5 minutes que de contenu pertinent.

C'est un format super bizarre ce genre de vidéo.

Debian et Ubuntu sont faciles à maintenir. Les trucs comme Snap, Flatpak et AppImage font que c'est aussi facile d'avoir des logiciels à jour indépendamment de la version d'OS.

Ah oui je m'en souviens de celle-là ! Mon patron avait un rendez-vous important (comme tous les rendez-vous de patron), et le moteur de recherche des contacts était pété - impossible de trouver le correspondant ou de lancer un appel. Par la suite, j'ai pu envoyer la capture d'écran de DownDetector au patron pour montrer que ce n'était pas la faute de l'équipe IT :p.

Oui, ça ne fonctionne pas plus qu'un backlog avec 2000 user stories qui ne seront jamais faites :p.

Je pense que les choses importantes ont tendance à revenir, pas la peine de les stocker dans des onglets ad libitum.

Et il y a maintenant aussi nmtui, version en texte, qui est super pratique !

Au quatorzième siècle, c'était surtout des cantiques :).

L'environnement de bureau Regolith Desktop pourrait correspondre à ce que tu cherches : i3/sway pour le fenêtrage, et Gnome derrière pour tout ce qui est réglages de base et tout le tralala avec DBus et ses amis.

L'installation "officielle" se fait sur Ubuntu ou Debian, mais il existe aussi des paquets tiers (par exemple pour Arch Linux).

Ça peut valoir le coup de s'y pencher.

Sur Gnome il y a des extensions (comme tactile ou tilingdesktop) qui permettent de s'approcher un peu d'un fonctionnement par tuiles/tiles. J'ai vu qu'en bricolant un peu, il est possible de faire fonctionner i3 dans KDE, aussi, mais pas sway.

En mars 2025, le navigateur […] compte légèrement plus de 160 millions d’utilisateurs actifs quotidiens

Si 10% des utilisateurs donnent 10€ par an, ça permettrait de financer Firefox ? 160M€ par an seraient insuffisants pour maintenir et faire évoluer le code ? (Il faut bien sûr baisser la rémunération obscène du patronat de Mozilla Corp).

Il semble que non… Je comprend qu'un navigateur est un outil complexe de nos jours, mais purée, c'est cher, un navigateur ! On voit :

Dépenses totales: 496$ millions.
Dépenses de développement de logiciels : 260$ millions.
Soit, 236 millions dédiés à "pas du développement", ça fait cher en structure/activités de support.

En particulier, JavaScript était une horreur de lenteur à cette époque. Chrome est arrivé avec un moteur JavaScript très performant, c'était le jour et la nuit. Firefox a rattrapé le retard assez rapidement (un an ou deux de mémoire), mais le mal était fait : la réputation de lenteur de Firefox s'est installée, et persiste depuis.

Oh ! Cette fois-ci, sans ironie, la surprise est totale !

Enfin une bonne nouvelle.

Si tu fait un timelapse à 24 images par seconde, ça fait un film de 30 secondes par employé. Pour une entreprise de 50 employés, ça donne environ 25 minutes pour visionner toutes les images d'une semaine. Si tu montes à 60fps, c'est encore plus court et "analysable".

Mais ce n'est sûrement pas comme ça que ça fonctionne. Il y a sans doute un prétraitement automatique qui va détecter le non-mouvement ou la "non productivité", et ressortir seulement les zones suspectes aux instances décideuses.

Cette semaine, j'étais sur un problème épineux (genre œuf et poule), et sortir aller faire les cents pas m'a aidé à avancer dessus. Avec ce genre de contrôle stupide, sans doute que je serais considéré comme un tire au flanc qui passe ses journées le nez au vent :).

Par ailleurs, tu seras peut-être étonné de l'existence d'appareils tels que les "remueurs de souris" mécaniques (mouse jiggler) pour simuler une activité :D.

---

Par ailleurs, l'article fait un raccourci étrange, en considérant ironique qu'une entreprise de surveillance se fasse voler les données. Comme si surveillance == sécurité :-/.

Salut,
sur ces cas là, en effet SDL et Processing (hyper simple) sont de très bons candidats (même si on peut argumenter que Java et OpenGL ne sont pas vraiment du niveau de simplicité d'un BASIC sur processeur 8 bits des années 1980).

Il me semble avoir vu que ce problème est déjà résolu : tu montres tes papiers une fois par an (ou tous les deux ans), et tu peux renouveler tous les x jours. Dommage, ça aurait été une bonne occasion de se débarrasser de ce business juteux.

L'idée derrière, c'est de limiter l'impact de la compromission d'un serveur, du vol de la partie privée du certificat (la clé), et l'usurpation d'identité du site qui s'ensuit. Le vol d'une telle clé pour un certificat valable 10 ans permet au voleur de se faire passer pour le site pendant 10 ans. Pour un certificat valable pendant 10 jours, le voleur n'aura que 10 jours.

Ça permet aussi aux sites ou autres services abandonnés d'être repérés plus vite.

Voilà pour la théorie.

En pratique, les attaquants vont sans doute s'adapter, et mettront en place un bidule technique qui permettra de recevoir la nouvelle version du certificat à chaque renouvellement. Ce genre d'attaque dans laquelle le voleur reste en place sans se faire repérer est plus complexe à mettre en œuvre. Ça ne changera rien pour les structures mal sécurisées, qui se feront piquer leurs certifs encore et encore sans s'en rendre compte.

Au final, ça relève la barre pour les attaquants, ce qui est bien, mais ça relève aussi un peu la barre pour les attaqués, ce qui est moins sympa.

Ça va aussi sans doute pousser à déployer DNSSEC pour authentifier les réponses DNS, car le protocole ACME repose en partie sur le DNS.

Mon cœur est arc-en-ciel sur le sujet, je ne sais pas si je trouve ça bien ou pas ;)

Pour le cas des certificats des sites internes, tu as trois grandes situations :

1. Certif autosigné sans CA racine interne. Tu peux le générer en local et le renouveler autant que tu veux. Tu as seulement le chiffrement, sans le tiers de confiance.

2. Certif avec CA racine interne connue du navigateur/du client, et une PKI interne. Tu peux l'automatiser (par exemple avec le module ACME d'EJBCA ou un procesus interne).

3. Certif wildcard avec CA racine externe (Let's encrypt). Tu peux l'automatiser avec Certbot et avoir un process qui distribue le wildcard aux services internes.

Pour ce dernier cas, avoir un protocole de distribution standard, un peu comme un "proxy ACME" serait génial, est-ce que ça existe ?

Sinon clairement BSD niveau sécurité et propreté c’est mieux.

Je suis certain de pouvoir en faire une porcherie ouverte aux quatre vents en quelques heures :p.

Ce n'est absolument pas caché qu'il y a des groupes de secours dans les datacenters, c'est même un argument de vente ! Et leur usage, comme pour les hôpitaux, est super anecdotique. Il faut les tester de temps en temps, mais ça reste minime.

L'article est totalement à charge, rempli de conditionnel et de suppositions, on se croirait sur BFMTV, c'est assez décevant au final :-/.

Je vois l'historique des mots de passe sur bitwarden.com, l'appli iOs, et l'extension Firefox.
Je suis client payant, cette fonction n'est peut-être pas dispo pour les comptes gratuits ? Ou alors l'auteur du journal a mal regardé.

La question de fond reste pertinente, ceci dit, si Bitwarden ferme soudainement demain, comment avoir planifié la sauvegarde ? L'export manuel est simple, mais le stockage d'un tel export est plus compliqué (impression papier ?).

Merci pour les éclaircissements !

En effet la rentabilité n'est pas le seul critère. Chez moi je pense pouvoir caler un groupe extérieur plus courant et moins cher sur le balconnet. Mais comme chez toi, c'est mal isolé au niveau des murs et c'est la première chose qui sera mise en œuvre, en isolant par l'extérieur d'ici deux ans (et je pense en avoir pour environ 50 000€ hors aides). On devrait en profiter été comme hiver (l'isolation du toit de l'immeuble a démontré que c'est assez utile).

Merci pour ce retour, je me posais la question de remplacer la chaudière à gaz par une pompe à chaleur air/eau.

Le prix du gaz a beaucoup augmenté en début d'année, si tu refais ton calcul avec le tarif actuel, tu verras qu'en 2025 c'est plus que 150€/mois que tu économises.

En combien de mois penses-tu revenir à zéro quand au prix d'installation de la pompe à chaleur ?

qui lis sûrement l'URL avant de coller ton mot de passe

On peut faire des versions identiques de l'affichage, au pixel près, de deux URLs différentes. Il y a cet exemple avec apple.com, dans lequel le l était en fait un caractère cyrillique identique au l minuscule. Même en zoomant tu ne peux pas le voir. Il faut regarder l'URL non encodée. Au quotidien, on ne le fait pas trop.

Et donc pour ce genre de cas, le remplissage automatique est comme tu le dis un moyen très efficace de ne pas se tromper. Et même, je dois dire que j'ai pris l'habitude de passer par les liens stockés dans Bitwarden au lieu de taper les noms des sites. Ainsi, je me met en plus à l'abri d'une faute de frappe ou d'un moteur de recherche qui renvoie le mauvais site en premier.

L'article parle aussi d'interdire la propagande. In fine, d'interdire l'échange d'idées ? Ça commence où, ça termine où ?

Je comprend l'intention de l'article, mais la première étape n'est-elle pas de définir ce qu'est la publicité (bonne chance) ?