Oui, remarque, j'ai dit "un pas en avant", mais je ne sais pas vraiment si j'ai un avis sur ce sujet.
J'ai envie de me fier au bon sens des ados, qui peut-être si elles ou ils voient des jolies fesses à côté de pubs pour acheter de la cocaïne ou des armes, se diront que c'est peut-être mieux de faire autrement. (ahah je suis naïf, mais moi j'ai été ado).
Peut-être qu'il y a un rush, parce que le fait que ce soit un truc européen fait que des services non-européens ne sont pas trop concernés ? À voir si comme le RGPD, ce sera contraignant pour les entreprises qui ciblent les citoyens européens.
Cet article1 parle de deux techniques possibles, fondée sur la preuve à divulgation nulle qui permettent de prouver qu'on est majeur sans dire qui on est pour autant. Bien sûr, cela requiert une vérification initiale pour obtenir la preuve par une autorité (qui peut être un service public).
qui contient pas mal de digressions, faut persister :) ↩
Bonjour,
je suis l'heureux bénéficiaire d'un des Typematrix (merci !). Si par hasard, une autre personne ici souhaite acheter une peau, et habite vers Paris, je peux la commander, et lui faire profiter de ma commande pour ne pas payer les frais de port. Ou tout autre commande chez Typematrix, d'ailleurs non ?
Les extensions sont le centre de l'article, c'est le cœur du sujet.
Mais oui, c'est vrai que ça reste utile de préciser que sans extension de navigateur, la technique de clickjacking d'extensions ne fonctionne pas, désolé d'avoir râlé :).
À ce compte, on peut aussi dire que Bitwarden n'est pas impacté, parce qu'on peut l'utiliser sans l'extension, via Bitwarden.com, ou via le client lourd, ou via bitwarden-cli.
C'est du poil-de-cutage qui semble un peu vain :).
Quand les bulles économiques éclatent, il y a plein d'entreprises qui disparaissent, et quelques unes qui restent, et se consolident. Le tout est d'être une de celles qui restent. Sam Altman donne l'exemple de la bulle dotcom des années 2000, et c'est une bonne comparaison. Y'a eu un rush, et 25 ans plus tard, Internet a changé beaucoup de choses dans nos vies, et les salaires de "la tech" sont plus élevés que la moyenne (et surtout PHP est toujours là :D).
C'est pareil dans ma ville, les créneaux sont ouvert "en fin de matinée" et tous pris en quelques minutes. Ce qui est chiant c'est qu'il faut remplir le formulaire (noms/prénoms/pourquoi) avant de se faire envoyer bouler.
Finalement, j'ai compris qu'il faut prendre un rendez-vous pendant l'été, y'a plein de place… Donc beaucoup anticiper si on veut pouvoir partir l'été d'après !
Cela reste important,
De savoir que peu avant,
Vers vingt et une heure zéro zéro,
Malgré l'inutile frigo,
Et bien qu'au chomdu,
L'estomac tendu,
Sur le trône,
Tel un roi portant couronne,
Henry s'assit,
Et Henry chie.
Alors Cadres noirs, c'est un polar contemporain, l'histoire d'un cadre d'entreprise qui se fait virer, n'est pas très bien placé sur le marché du travail, et cherche à retrouver un job peu importe les moyens. Ça va assez loin et bien sûr ça tourne noir (car c'est un blues). C'est très noir et pas mal écrit du tout, et ça se lit vite.
Jean-Doux et le mystère de la disquette molle, c'est une BD loufoque très drôle, dans laquelle il est question de broyeurs de documents, de resto d'entreprise, d'OPA hostile, de trahisons et de dédales. Un peu un genre d'enquête à la Indiana Jones mais en débilos. Tous les personnages se nomment Jean-Quelque-chose (le chien c'est Jean-Iench par exemple).
Note bien que je peux te les prêter si tu veux :).
C'est dommage que l'article de Korben ne reprenne pas l'information que ça fonctionne sur les sous-domaines d'un domaine qu'on a déjà dans son gestionnaire de mots de passe.
Par exemple, pour aspirer les identifiants de toto.example.com, il faut que le gestionnaire ait une entrée en example.com. Et donc pour choper des identifiants du type Google, il faut que l'attaquant maîtrise accounts.google.com ou un de ses sous-domaines.
Ce n'est donc pas exploitable pour "n'importe quel site" mais pour un site offre des sous-domaines. Est-ce que ça fonctionnerait sur site comme unblogquiparledecrayonsdecouleurs.wordpress.com ?
La différence est que Suricata est vraiment conçu pour un firewall/un routeur (pfSense par exemple), alors que Snort peut-être efficace localement sur un ordi (mais fonctionne bien sur un firewall aussi).
Ça peut être normal, puisque les anciens index sont encore majoritairement utilisés :
une partie des résultats de recherche proposés à nos utilisateur·ices en France provient désormais directement de l'index EUSP. Notre objectif est d'alimenter ainsi 30 % des requêtes en France d'ici la fin de l'année
Harfanglab, un EDR propriétaire mais Français, qui peut s'installer dans le réseau d'entreprise
Sous Linux, les EDR fonctionnent pas mal en s'appuyant sur auditd et eBPF, ce qui permet d'avoir une interface avec le kernel relativement propre. Par contre, souvent les fonctionnalités sont moins touffues que sur Windows. Et aussi, souvent, les version Linux sont des versions prévues pour des serveurs, qui peuvent être trop agressives pour un usage temps réel sur un poste de travail.
Après, la formation des personnes, ça dépend des endroits, et pas toujours mais souvent, les incidents passent par une erreur humaine.
La formation commence à l'école maintenant, dès la primaire. Je suis agréablement surpris des notions que peuvent avoir mes filles concernant la sécurité informatique pratique au quotidien.
Le but n'est pas forcément toujours la sécurité. Il y a aussi le fait de pouvoir contrôler les employés, dont on se méfie plus que d'une éventuelle menace extérieure.
On a vu pendant les confinements du COVID fleurir quelques produits idiots dédiés au "contrôle de très près", comme des logiciels qui surveillent le clavier, font des captures d'écran et des photos à intervalle réguliers.
De l'autre côté de l'organigramme, on a vu des produits tout aussi stupides comme des simulateurs de mouvement de souris pour éviter le verrouillage de l'écran (facile à repérer dans les logs).
Bref, tout ça pour dire que pas besoin d'un EDR pour surveiller les employés, il y a tellement mieux :(.
C'est assez classique de sous-traiter son SOC/son CERT, quand on a pas les moyens d'avoir une équipe dédiée et assez grande pour pouvoir gérer des astreintes et des temps de réponses courts. Chez Orange, j'imagine que c'est chez Orange Cyberdéfense qu'il y a ce type de services.
À un de mes boulots précédents, on avait un EDR (États-Unien, mais en même temps on utilisait la suite Google, c'était dans le ton) et un SOC externe (en France), qu'on payait certes cher, mais beaucoup moins cher qu'un salaire, pour faire le tri et de gestion des alertes, et qui répondait sous 5 minutes (avec un SOAR pour automatiser un max, et des humains pour les cas plus douteux). Ça doit être assez éprouvant de devoir trier les alertes de plusieurs entreprises qui ont rien à voir entre elles à longueur de journée, mine de rien.
L'équipe IT interne gérait les installs, les licences, et les exclusions permanentes pour éviter les faux-positifs. Ça tournait pas si mal.
The draft deliverable will now undergo a 60-day Intellectual Property Rights Review and a 30-day review by the Technical Advisory Committee ahead of final approval by the Steering Committee
deliverable: offensive to sterile people
will: offensive to people with neurasthenia
Intellectual: offensive to braindead people
Property: offensive to tenants or homeless people
Rights: offensive to left-handed people
Review: offensive to blind people
30-days: offensive to born-dead children and their ascendants
ahead: offensive to headless people and their descendants (Louis XVI comes to mind)
final: too close to "final solution", Godwin point.
Steering: offensive to people without arms
Comittee: offensive to lonely people (80% of software developers and IT workers)
Pour certaines expressions, c'est justifié, mais pour d'autres, il y a eu un hold-up de la communauté autour de termes, ça n'a aucun sens, ni historique ni présent. Blacklist… Avant Malcom X et les Black Panthers, le mot "Noir" étant assez peu utilisé pour désigner des… Ben des… enfin tu vois, des… les ?
Pourtant, perso, j'utilise allowlist/denylist, primary/secondary (ou replica selons la topologie) depuis des années dès que possible. Ça a plus de sens au niveau sémantique, mais il n'empêche que l'appropriation de termes à des fins politiques est un peu pénible.
[^] # Re: Résumé de la situation
Posté par cg . En réponse au lien Mastodon says it doesn’t ‘have the means’ to comply with age verification laws. Évalué à 2.
Oui, remarque, j'ai dit "un pas en avant", mais je ne sais pas vraiment si j'ai un avis sur ce sujet.
J'ai envie de me fier au bon sens des ados, qui peut-être si elles ou ils voient des jolies fesses à côté de pubs pour acheter de la cocaïne ou des armes, se diront que c'est peut-être mieux de faire autrement. (ahah je suis naïf, mais moi j'ai été ado).
[^] # Re: Résumé de la situation
Posté par cg . En réponse au lien Mastodon says it doesn’t ‘have the means’ to comply with age verification laws. Évalué à 2.
On sait que le traffic est très concentré (en gros, les GAFAMs, et quelques sites de cul). Déjà si ceux-là jouent le jeu, c'est un pas en avant.
Par besoin d'avoir une solution parfaite pour s'y mettre.
[^] # Re: Résumé de la situation
Posté par cg . En réponse au lien Mastodon says it doesn’t ‘have the means’ to comply with age verification laws. Évalué à 2.
Ah super ! Je vais regarder ça.
Peut-être qu'il y a un rush, parce que le fait que ce soit un truc européen fait que des services non-européens ne sont pas trop concernés ? À voir si comme le RGPD, ce sera contraignant pour les entreprises qui ciblent les citoyens européens.
[^] # Re: Tchap ou pas Tchap?
Posté par cg . En réponse au lien Comment Lyon a tourné le dos à Microsoft : entretien avec Jean-Marie Séguret, DSI de la ville. Évalué à 4.
Il est mentionné Watcha, qui utilise matrix, semble-t-il.
[^] # Re: Résumé de la situation
Posté par cg . En réponse au lien Mastodon says it doesn’t ‘have the means’ to comply with age verification laws. Évalué à 8.
Cet article1 parle de deux techniques possibles, fondée sur la preuve à divulgation nulle qui permettent de prouver qu'on est majeur sans dire qui on est pour autant. Bien sûr, cela requiert une vérification initiale pour obtenir la preuve par une autorité (qui peut être un service public).
qui contient pas mal de digressions, faut persister :) ↩
# Peaux pour typematrix
Posté par cg . En réponse au message Vend/donne vieux matériel sur Dijon. Évalué à 3.
Bonjour,
je suis l'heureux bénéficiaire d'un des Typematrix (merci !). Si par hasard, une autre personne ici souhaite acheter une peau, et habite vers Paris, je peux la commander, et lui faire profiter de ma commande pour ne pas payer les frais de port. Ou tout autre commande chez Typematrix, d'ailleurs non ?
# Mercis
Posté par cg . En réponse à la dépêche Incident du 26 août 2025 ayant touché les serveurs de production et de développement. Évalué à 9.
… merci pour le chouette compte-rendu
… merci, je me suis couché plus tôt que d'habitude hier soir :D
[^] # Re: KeepassXc
Posté par cg . En réponse au lien Vos gestionnaires de mots de passe piégés par un simple clic invisible. Évalué à 3.
Les extensions sont le centre de l'article, c'est le cœur du sujet.
Mais oui, c'est vrai que ça reste utile de préciser que sans extension de navigateur, la technique de clickjacking d'extensions ne fonctionne pas, désolé d'avoir râlé :).
[^] # Re: KeepassXc
Posté par cg . En réponse au lien Vos gestionnaires de mots de passe piégés par un simple clic invisible. Évalué à 3.
À ce compte, on peut aussi dire que Bitwarden n'est pas impacté, parce qu'on peut l'utiliser sans l'extension, via Bitwarden.com, ou via le client lourd, ou via bitwarden-cli.
C'est du poil-de-cutage qui semble un peu vain :).
# Le gagnant remporte tout
Posté par cg . En réponse au lien Même le patron de OpenAI reconnaît que la bulle de l'IA éclatera 🎶💸🍾🥂 🥳🎉🎊🎆. Évalué à 10.
Quand les bulles économiques éclatent, il y a plein d'entreprises qui disparaissent, et quelques unes qui restent, et se consolident. Le tout est d'être une de celles qui restent. Sam Altman donne l'exemple de la bulle dotcom des années 2000, et c'est une bonne comparaison. Y'a eu un rush, et 25 ans plus tard, Internet a changé beaucoup de choses dans nos vies, et les salaires de "la tech" sont plus élevés que la moyenne (et surtout PHP est toujours là :D).
[^] # Re: Lectures
Posté par cg . En réponse au journal Henry a perdu son emploi. Évalué à 2.
Merci, je ne savais pas. Ça a aussi inspiré une adaptation pour le petit écran, dérapages.
[^] # Re: Courage
Posté par cg . En réponse au journal Troov, la startup qui impose le Captcha Cloudflare aux prises de rdv Consulaires. Évalué à 2.
C'est pareil dans ma ville, les créneaux sont ouvert "en fin de matinée" et tous pris en quelques minutes. Ce qui est chiant c'est qu'il faut remplir le formulaire (noms/prénoms/pourquoi) avant de se faire envoyer bouler.
Finalement, j'ai compris qu'il faut prendre un rendez-vous pendant l'été, y'a plein de place… Donc beaucoup anticiper si on veut pouvoir partir l'été d'après !
Très sympa ton anecdote avec le consul :).
[^] # Re: Henry rit
Posté par cg . En réponse au journal Henry a perdu son emploi. Évalué à 4.
Cela reste important,
De savoir que peu avant,
Vers vingt et une heure zéro zéro,
Malgré l'inutile frigo,
Et bien qu'au chomdu,
L'estomac tendu,
Sur le trône,
Tel un roi portant couronne,
Henry s'assit,
Et Henry chie.
[^] # Re: Lectures
Posté par cg . En réponse au journal Henry a perdu son emploi. Évalué à 6.
Héhé :)
Alors Cadres noirs, c'est un polar contemporain, l'histoire d'un cadre d'entreprise qui se fait virer, n'est pas très bien placé sur le marché du travail, et cherche à retrouver un job peu importe les moyens. Ça va assez loin et bien sûr ça tourne noir (car c'est un blues). C'est très noir et pas mal écrit du tout, et ça se lit vite.
Jean-Doux et le mystère de la disquette molle, c'est une BD loufoque très drôle, dans laquelle il est question de broyeurs de documents, de resto d'entreprise, d'OPA hostile, de trahisons et de dédales. Un peu un genre d'enquête à la Indiana Jones mais en débilos. Tous les personnages se nomment Jean-Quelque-chose (le chien c'est Jean-Iench par exemple).
Note bien que je peux te les prêter si tu veux :).
# Lectures
Posté par cg . En réponse au journal Henry a perdu son emploi. Évalué à 6.
Les commentaires ci-dessus me font penser à deux lectures très chouettes:
[^] # Re: Il manque un détail
Posté par cg . En réponse au lien Vos gestionnaires de mots de passe piégés par un simple clic invisible. Évalué à 2.
J'ai lu trop vite, en fait il y a plusieurs attaques, elles restent très surprenantes.
# Il manque un détail
Posté par cg . En réponse au lien Vos gestionnaires de mots de passe piégés par un simple clic invisible. Évalué à 9.
C'est dommage que l'article de Korben ne reprenne pas l'information que ça fonctionne sur les sous-domaines d'un domaine qu'on a déjà dans son gestionnaire de mots de passe.
Par exemple, pour aspirer les identifiants de toto.example.com, il faut que le gestionnaire ait une entrée en example.com. Et donc pour choper des identifiants du type Google, il faut que l'attaquant maîtrise accounts.google.com ou un de ses sous-domaines.
Ce n'est donc pas exploitable pour "n'importe quel site" mais pour un site offre des sous-domaines. Est-ce que ça fonctionnerait sur site comme unblogquiparledecrayonsdecouleurs.wordpress.com ?
Ceci étant, ça reste très grave :(.
[^] # Re: Qwant indisponible dans mon pays de résidence
Posté par cg . En réponse au lien Ecosia et Qwant commencent à déployer l'index de recherche Staan. Évalué à 3.
Ah oui c'est bien agressif leur contrôle. Je voulais retester, et bim, bloqué.
J'ai en effet uBlockOrigin qui bloque peut-être quelques trucs, mais bon.
[^] # Re: Application au monde de l'Entreprise
Posté par cg . En réponse au lien Secure Boot, TPM and Anti-Cheat Engines. Évalué à 3.
La différence est que Suricata est vraiment conçu pour un firewall/un routeur (pfSense par exemple), alors que Snort peut-être efficace localement sur un ordi (mais fonctionne bien sur un firewall aussi).
[^] # Re: gestionnaire de paquet
Posté par cg . En réponse au message Problème update depuis Kali 2021.2. Évalué à 3. Dernière modification le 19 août 2025 à 21:13.
Y'a même un terme : FrankenDebian (en Français) :)
[^] # Re: Quelques doutes
Posté par cg . En réponse au lien Ecosia et Qwant commencent à déployer l'index de recherche Staan. Évalué à 2.
Ça peut être normal, puisque les anciens index sont encore majoritairement utilisés :
[^] # Re: Application au monde de l'Entreprise
Posté par cg . En réponse au lien Secure Boot, TPM and Anti-Cheat Engines. Évalué à 2.
Y'a bien quelques trucs sans chercher trop loin :
Sous Linux, les EDR fonctionnent pas mal en s'appuyant sur auditd et eBPF, ce qui permet d'avoir une interface avec le kernel relativement propre. Par contre, souvent les fonctionnalités sont moins touffues que sur Windows. Et aussi, souvent, les version Linux sont des versions prévues pour des serveurs, qui peuvent être trop agressives pour un usage temps réel sur un poste de travail.
Après, la formation des personnes, ça dépend des endroits, et pas toujours mais souvent, les incidents passent par une erreur humaine.
La formation commence à l'école maintenant, dès la primaire. Je suis agréablement surpris des notions que peuvent avoir mes filles concernant la sécurité informatique pratique au quotidien.
[^] # Re: Application au monde de l'Entreprise
Posté par cg . En réponse au lien Secure Boot, TPM and Anti-Cheat Engines. Évalué à 2.
On a vu pendant les confinements du COVID fleurir quelques produits idiots dédiés au "contrôle de très près", comme des logiciels qui surveillent le clavier, font des captures d'écran et des photos à intervalle réguliers.
De l'autre côté de l'organigramme, on a vu des produits tout aussi stupides comme des simulateurs de mouvement de souris pour éviter le verrouillage de l'écran (facile à repérer dans les logs).
Bref, tout ça pour dire que pas besoin d'un EDR pour surveiller les employés, il y a tellement mieux :(.
[^] # Re: Application au monde de l'Entreprise
Posté par cg . En réponse au lien Secure Boot, TPM and Anti-Cheat Engines. Évalué à 2.
C'est assez classique de sous-traiter son SOC/son CERT, quand on a pas les moyens d'avoir une équipe dédiée et assez grande pour pouvoir gérer des astreintes et des temps de réponses courts. Chez Orange, j'imagine que c'est chez Orange Cyberdéfense qu'il y a ce type de services.
À un de mes boulots précédents, on avait un EDR (États-Unien, mais en même temps on utilisait la suite Google, c'était dans le ton) et un SOC externe (en France), qu'on payait certes cher, mais beaucoup moins cher qu'un salaire, pour faire le tri et de gestion des alertes, et qui répondait sous 5 minutes (avec un SOAR pour automatiser un max, et des humains pour les cas plus douteux). Ça doit être assez éprouvant de devoir trier les alertes de plusieurs entreprises qui ont rien à voir entre elles à longueur de journée, mine de rien.
L'équipe IT interne gérait les installs, les licences, et les exclusions permanentes pour éviter les faux-positifs. Ça tournait pas si mal.
[^] # Re: Invitation
Posté par cg . En réponse au lien [phoronix] Updated Inclusive Language Guide Calls Out "Sanity Check", "Hung", "Native Support". Évalué à 7.
Je vais essayer de faire pire, pour l'exercice.
Voici une phrase du communiqué :
Pour certaines expressions, c'est justifié, mais pour d'autres, il y a eu un hold-up de la communauté autour de termes, ça n'a aucun sens, ni historique ni présent. Blacklist… Avant Malcom X et les Black Panthers, le mot "Noir" étant assez peu utilisé pour désigner des… Ben des… enfin tu vois, des… les ?
Pourtant, perso, j'utilise allowlist/denylist, primary/secondary (ou replica selons la topologie) depuis des années dès que possible. Ça a plus de sens au niveau sémantique, mais il n'empêche que l'appropriation de termes à des fins politiques est un peu pénible.