En intermédiaire, tu as Regolith, qui est un mélange de Gnome et de i3 (pour Xorg) ou Sway (pour Wayland). C'est du tiling, mais avec le confort du DE.
Tu as aussi, dans Gnome, l'extension Tactile (petite démo en trois minutes) qui permet d'avoir le positionnement par le clavier des fenêtres, sans changer d'environnement pour autant.
Une réponse sur certains points abordés dans le journal : de mémoire, la DSP2 demande que l'authentification de l'utilisateur soit faite de telle manière qu'il soit conscient du montant et du bénéficiaire de l'opération qu'il réalise.
Sauf que ni la carte à codes unique, ni le boîtier lecteur de CB ne le permettent. Pour le boîtier qui fait des qr-codes, peut-être ?
En complément d'un HIDS (Snort, OSSec, Wazuh), un truc important est de déporter les logs, par exemple avec syslog ou journald, tu peux envoyer les logs à une autre machine.
Car l'effacement des traces fait partie des phases d'attaque classiques, par exemple par la destruction des logs. Si les logs sont sur une autre machine, ils seront peut-être épargnés.
Des programmes comme fail2ban ont des règles en place pour beaucoup de services (ssh, proftpd, roundcube, postfix…), aussi. Ça peut te permettre de détecter et bloquer les attaques par force brute assez simplement. Il est relativement facile d'écrire de nouvelles règles fail2ban en s'inspirant de l'existant.
C'est simplement pragmatique comme réponse au risque, ça augmente le niveau de difficulté pour les voleurs sans pénaliser les autres. En plus, si les documents filigranés se retrouvent dans la nature, ça facilite la traçabilité.
Et ce n'est pas un projet de société :), c'est une mesure qui n'est pas exclusive à d'autres moyens, comme la sensibilisation et la législation.
Tu devrais lui dire que Whatsapp et les autres réseaux sociaux sont interdits aux moins de 13 ans et que la police va passer dans les classes, succès assuré à la récré ;).
Alors je n'ai rien prétendu d'aussi con :), j'ai parlé pour le cas général, pour lequel les données sont accessibles côté serveur. Dans le cas d'applications en E2EE (Signal, WhatsApp, mail avec GPG), on ne peut pas chercher côté serveur1.
C'était plus en opposition entre GMail et Proton, par exemple.
… le contenu des messages, mais on peut savoir qui parle à qui et quand avec les métadonnées :). ↩
Tu as tout à fait raison concernant ISO27001, c'est une certification qui atteste que tu suis un certain nombre de pratiques concernant la sécurité de l'information, ou au moins que tu t'en occupe. Aujourd'hui, il est très difficile de se prémunir de toutes les tentatives d'intrusion :(.
Le RGPD oblige les entreprises à annoncer les fuites aux personnes dont les données ont fuité, et rend juridiquement responsable les entreprises des fuites si les moyens de protection sont insuffisants. Gageons que ça aide à monter le niveau, petit à petit.
L'article de Zataz dit que les fichiers volés contiennent des données sensible. Du point de vue du RGPD, ce n'est pas le cas, les informations comme nom/prénom/adresse mail… n'en sont pas.
Je doute qu'à l'heure actuelle les données soient réellement chiffrées. Les serveurs ont très vraisemblablement des chiffrements au niveau des communications, et sur les support de stockages, mais les données en elle-même j'en doute. Si vous avez de sources sur le chiffrement des données en interne, ça m'intéresse.
Oui, les données sont chiffrées côté client chez certains prestataires comme Proton (ce qu'on appelle le zéro knowledge), mais pas chez Google, Meta ou autres, sinon la fonction de recherche dans les messages ne fonctionnerait tout simplement pas.
Sur le principe du nom, je suis d'accord. En pratique, il se trouve que j'ai un nom de domaine qui répond aux critères que tu donnes, et c'est un peu pénible (et source d'erreurs) de devoir dicter son adresse mail :-/.
Mais je retiens de ne pas en faire des caisses non plus, c'est pas non plus un tatouage :).
Les systèmes professionnels vont se différencier […]
J'ai un petit oscilloscope de poche pas cher et open hardware (DSO Nano v2), et sur certains montage, brancher la sonde modifie le comportement… Pas pratique pour deboguer :(. L'oscilloscope Tektronix de bureau n'a pas ce problème.
Peut-être que les versions suivantes du DSO sont plus fiables, et comparer un objet à 50€ avec un oscillo à plus de 1500€, c'est pas du jeu :).
L'article de Bleeping Computer sur le sujet est un résumé assez clair (pour qui lit l'anglais), et confirme que c'est juste un élément dans un exploit potentiel qui se ferait en combinant plusieurs trous de sécurité.
Comme le dit Misc, c'est somme toutes assez classique entre entités privées.
De ce que j'ai pu expérimenter concernant des exigences de sécurité entre un client États-Uniens et un fournisseur/sous-traitant (contractor) Français, chaque règle se fait selon la loi locale en vigueur.
Exemple typique, si le client demande que les antécédents judiciaires soient contrôlés pour chaque embauche, et bien le fournisseur Français répond que c'est illégal en France et qu'il ne peut pas s'y conformer. Le client a alors le choix le changer de fournisseur ou d'accepter l'exception par-rapport à ses habitudes.
Et en effet, là ou ça devient intéressant, c'est quand il y a peu de choix dans les fournisseurs. Le client ne peut pas forcément changer facilement :).
Par contre, en terme politiques, ce genre de lettre peut donner apporter de l'eau au moulin des partis Français qui sont sur une ligne anti-diversité, puisqu'ils peuvent alors argumenter que les lois sur la diversité pénalisent les entreprises qui souhaitent travailler avec les États-Unis.
Je crois que le truc, c'est que tu peux faire des manips que tu ne devrait pas pouvoir faire, et donc potentiellement, si les autres couches de sécurité autour sont trouées, réaliser un exploit.
Donc en gros, sur x couches de sécurité, il y en a une qui est exploitable, il faut la renforcer, car on ne peut pas présumer que les autres couches seront toujours solides.
Ça me semble plus utile et moins risqué de déposer des plaintes auprès de la police, si les personnes concernées ont l'énergie et les moyens de le faire. Et si elles le font, ces personnes n'ont par contre aucun intérêt à l'annoncer sur Internet.
En créant un fichier /etc/firefox/syspref.js, tu peux mettre des réglages par défaut, et éventuellement les verrouiller. Les réglages sont ceux qui proviennent de la page about:config.
// Une bonne page de démarrage
pref("browser.startup.homepage", "https://linuxfr.org/");
// Désactiver l'intégration avec Pocket par défaut
pref("extensions.pocket.enabled", false);
// Désactiver les anciennes versions de TLS, sans possibilité de changer le paramètre
pref("security.tls.version.enable-deprecated", false, locked);
Ceci fonctionne également avec les versions non-ESR de Firefox.
[^] # Re: un jour
Posté par cg . En réponse à la dépêche Hyprland, un compositeur Wayland « tiling ». Évalué à 6 (+4/-0).
En intermédiaire, tu as Regolith, qui est un mélange de Gnome et de i3 (pour Xorg) ou Sway (pour Wayland). C'est du tiling, mais avec le confort du DE.
Tu as aussi, dans Gnome, l'extension Tactile (petite démo en trois minutes) qui permet d'avoir le positionnement par le clavier des fenêtres, sans changer d'environnement pour autant.
[^] # Re: Une partie de réponse
Posté par cg . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 5 (+3/-0).
Sauf que ni la carte à codes unique, ni le boîtier lecteur de CB ne le permettent. Pour le boîtier qui fait des qr-codes, peut-être ?
Bref, ça ressemble tout de même fortement au syndrome de NIH.
Perso j'étais très content avec la carte papier à codes uniques au début des années 2000.
# Mettre les logs à l'abri
Posté par cg . En réponse au message Cyber attaque : des outils de surveillance ?. Évalué à 7 (+5/-0).
En complément d'un HIDS (Snort, OSSec, Wazuh), un truc important est de déporter les logs, par exemple avec syslog ou journald, tu peux envoyer les logs à une autre machine.
Car l'effacement des traces fait partie des phases d'attaque classiques, par exemple par la destruction des logs. Si les logs sont sur une autre machine, ils seront peut-être épargnés.
Des programmes comme fail2ban ont des règles en place pour beaucoup de services (ssh, proftpd, roundcube, postfix…), aussi. Ça peut te permettre de détecter et bloquer les attaques par force brute assez simplement. Il est relativement facile d'écrire de nouvelles règles fail2ban en s'inspirant de l'existant.
[^] # Re: Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par cg . En réponse au journal Fuite de données massive chez Autosur. Évalué à 5 (+3/-0).
C'est simplement pragmatique comme réponse au risque, ça augmente le niveau de difficulté pour les voleurs sans pénaliser les autres. En plus, si les documents filigranés se retrouvent dans la nature, ça facilite la traçabilité.
Et ce n'est pas un projet de société :), c'est une mesure qui n'est pas exclusive à d'autres moyens, comme la sensibilisation et la législation.
[^] # Re: Quel est l'âge de la pertinence ?
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 5 (+3/-0).
Tu devrais lui dire que Whatsapp et les autres réseaux sociaux sont interdits aux moins de 13 ans et que la police va passer dans les classes, succès assuré à la récré ;).
[^] # Re: laisse ta fille gérer
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 3 (+1/-0).
Alors je n'ai rien prétendu d'aussi con :), j'ai parlé pour le cas général, pour lequel les données sont accessibles côté serveur. Dans le cas d'applications en E2EE (Signal, WhatsApp, mail avec GPG), on ne peut pas chercher côté serveur1.
C'était plus en opposition entre GMail et Proton, par exemple.
… le contenu des messages, mais on peut savoir qui parle à qui et quand avec les métadonnées :). ↩
[^] # Re: Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par cg . En réponse au journal Fuite de données massive chez Autosur. Évalué à 3 (+1/-0).
D'où l'intérêt de filigraner ses documents. Même si le filigrane est possible à enlever, cela peut inciter les pirates à passer au document d'après.
[^] # Re: Quel est l'âge de la pertinence ?
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 4 (+2/-0).
En l'occurrence la grande a 13 ans. Ce doit être la dernière de sa classe à ne pas avoir de téléphone.
[^] # Re: Iso 27001 ne garantit en rien les fuites de données (il me semble)
Posté par cg . En réponse au journal Fuite de données massive chez Autosur. Évalué à 6 (+4/-0).
Ce site liste bon an mal an les fuites de données (Autosur y est): https://bonjourlafuite.eu.org/
Tu as tout à fait raison concernant ISO27001, c'est une certification qui atteste que tu suis un certain nombre de pratiques concernant la sécurité de l'information, ou au moins que tu t'en occupe. Aujourd'hui, il est très difficile de se prémunir de toutes les tentatives d'intrusion :(.
Le RGPD oblige les entreprises à annoncer les fuites aux personnes dont les données ont fuité, et rend juridiquement responsable les entreprises des fuites si les moyens de protection sont insuffisants. Gageons que ça aide à monter le niveau, petit à petit.
# Point terminologique pédant
Posté par cg . En réponse au journal Fuite de données massive chez Autosur. Évalué à 2 (+0/-0).
L'article de Zataz dit que les fichiers volés contiennent des données sensible. Du point de vue du RGPD, ce n'est pas le cas, les informations comme nom/prénom/adresse mail… n'en sont pas.
[^] # Re: Le problème n'est pas GTK non plus
Posté par cg . En réponse au journal SVP arrêtez d'utiliser Python pour vos logiciels en GUI.. Évalué à 8 (+8/-2).
Avec
dlopen(), tu peux avoir un programme qui compile mais plante de la même façon à l'exécution.Tu peux aussi compiler un programme, le faire fonctionner, mettre à jour la distrib, et hop ça ne fonctionne plus.
Avec de la compilation entièrement statique, tu n'as certes pas ce genre de problème, tu en as d'autres :).
# Conclusion
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 5 (+3/-0).
Suite à vos conseils et retours, on a créé une adresse Free attachée à l'abonnement Internet, on verra bien comment ça se passe !
Merci et bon dimanche !
[^] # Re: laisse ta fille gérer
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 5 (+3/-0).
Oui, les données sont chiffrées côté client chez certains prestataires comme Proton (ce qu'on appelle le zéro knowledge), mais pas chez Google, Meta ou autres, sinon la fonction de recherche dans les messages ne fonctionnerait tout simplement pas.
[^] # Re: laisse ta fille gérer
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 5 (+3/-0).
Sur le principe du nom, je suis d'accord. En pratique, il se trouve que j'ai un nom de domaine qui répond aux critères que tu donnes, et c'est un peu pénible (et source d'erreurs) de devoir dicter son adresse mail :-/.
Mais je retiens de ne pas en faire des caisses non plus, c'est pas non plus un tatouage :).
[^] # Re: mon domaine
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 2 (+0/-0).
Tu as raison, le
+fait partie du standard, mais est rejeté sur pas mal de sites. Le-est plus passe-partout.[^] # Re: retex
Posté par cg . En réponse au journal Un super Logic Analyzer DIY pour pas cher. Évalué à 2 (+0/-0).
J'ai un petit oscilloscope de poche pas cher et open hardware (DSO Nano v2), et sur certains montage, brancher la sonde modifie le comportement… Pas pratique pour deboguer :(. L'oscilloscope Tektronix de bureau n'a pas ce problème.
Peut-être que les versions suivantes du DSO sont plus fiables, et comparer un objet à 50€ avec un oscillo à plus de 1500€, c'est pas du jeu :).
[^] # Re: Tant mieux et vivement l'inverse.
Posté par cg . En réponse au lien Stupeur dans les entreprises françaises après une lettre de l’ambassade américaine à Paris. Évalué à 2 (+0/-0).
(est-il correct de traduire "malicious compliance" par grève du zèle ?)
[^] # Re: policies.json
Posté par cg . En réponse au message Automatisation Firefox. Évalué à 2 (+0/-0).
Incroyable, j'étais persuadé que ce
policies.jsonn'était pris en compte que sur firefox-esr. Tout simplement excellent ![^] # Re: laisse ta fille gérer
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 2 (+0/-0). Dernière modification le 29 mars 2025 à 19:46.
Ça me peinerai qu'elle se crée une adresse gmail, mais bon, elle n'est pas moi :).
Merci pour ton retour, je vais y réfléchir !
# Autre article
Posté par cg . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 2 (+0/-0).
L'article de Bleeping Computer sur le sujet est un résumé assez clair (pour qui lit l'anglais), et confirme que c'est juste un élément dans un exploit potentiel qui se ferait en combinant plusieurs trous de sécurité.
# Retour de ce type de situation entre entreprises privées
Posté par cg . En réponse au lien Stupeur dans les entreprises françaises après une lettre de l’ambassade américaine à Paris. Évalué à 3 (+1/-0).
Comme le dit Misc, c'est somme toutes assez classique entre entités privées.
De ce que j'ai pu expérimenter concernant des exigences de sécurité entre un client États-Uniens et un fournisseur/sous-traitant (contractor) Français, chaque règle se fait selon la loi locale en vigueur.
Exemple typique, si le client demande que les antécédents judiciaires soient contrôlés pour chaque embauche, et bien le fournisseur Français répond que c'est illégal en France et qu'il ne peut pas s'y conformer. Le client a alors le choix le changer de fournisseur ou d'accepter l'exception par-rapport à ses habitudes.
Et en effet, là ou ça devient intéressant, c'est quand il y a peu de choix dans les fournisseurs. Le client ne peut pas forcément changer facilement :).
Par contre, en terme politiques, ce genre de lettre peut donner apporter de l'eau au moulin des partis Français qui sont sur une ligne anti-diversité, puisqu'ils peuvent alors argumenter que les lois sur la diversité pénalisent les entreprises qui souhaitent travailler avec les États-Unis.
[^] # Re: okok
Posté par cg . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 5 (+3/-0).
J'avoue, j'ai relu trois fois.
Je crois que le truc, c'est que tu peux faire des manips que tu ne devrait pas pouvoir faire, et donc potentiellement, si les autres couches de sécurité autour sont trouées, réaliser un exploit.
Donc en gros, sur x couches de sécurité, il y en a une qui est exploitable, il faut la renforcer, car on ne peut pas présumer que les autres couches seront toujours solides.
Un truc de ce genre ?
[^] # Re: Tristesse
Posté par cg . En réponse au lien clap de fin (?) pour le festival Pas sage en seine. Évalué à 5 (+3/-0).
Ça me semble plus utile et moins risqué de déposer des plaintes auprès de la police, si les personnes concernées ont l'énergie et les moyens de le faire. Et si elles le font, ces personnes n'ont par contre aucun intérêt à l'annoncer sur Internet.
# Tristesse
Posté par cg . En réponse au lien clap de fin (?) pour le festival Pas sage en seine. Évalué à 10 (+9/-0).
Le texte dépeint une bien triste réalité. Ça me fait mal pour les personnes qui sont agressées. Force à elles !
# syspref
Posté par cg . En réponse au message Automatisation Firefox. Évalué à 5 (+3/-0).
C'est drôle, j'ai fait ça tout à l'heure :p.
En créant un fichier
/etc/firefox/syspref.js, tu peux mettre des réglages par défaut, et éventuellement les verrouiller. Les réglages sont ceux qui proviennent de la pageabout:config.Exemples :
Ceci fonctionne également avec les versions non-ESR de Firefox.