devnewton 🍺 a écrit 8683 commentaires

Relis bien le thread, mais en résumé je dis:

• qu'il ne faut pas choisir des facteurs "emmerdants" : le confort d'utilisation est un élément de sécurité ;
• que le 2FA n'est pas fait pour protéger en cas de compromission des périphériques/terminaux : si tu veux te protéger contre ça, il faut d'autres mesures.

La sécurité, c'est by design par by what could go wrong.

A propos, est-ce que quelqu'un a vu mon post-it avec marqué "root pwd : ***" dessus ? J'en ai besoin pour faire une mep.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Il y a beaucoup de combinaisons d'attaques / facteurs / mitigations. Difficile de tout résumer, mais je le répète : croire que le MFA protège en cas de vol / hack d'un terminal / périphérique est une erreur.

Selon les facteurs, cela peut réduire les impacts, mais ce n'est pas fait pour ça.

Exemple :

• tu as un accès ultra sécurisé au wifi de ta boite via un login+mot de passe + une yubikey + empreinte + TOTP ;
• tu oublies ton téléphone dans un coin, un vile hackeur regarde ton appli mail et trouve ton login+mdp ;
• il écrit au support "ça marche pas" et se fait réinitialiser la clef, le TOTP et la prise d'empreinte par un support gonflé par le nombre de gens qui perdent des facteurs…

Cet exemple est bien sûr fictif, toute ressemblance avec des personnages et des sociétés réels ou imaginaires ne seraient que vraiment pas de bol.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

C'est sans doute le bon compromis: selon le type d'opération que tu dois faire, tu as besoin de plus ou moins de facteurs.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Je le répète: le multifacteur ne protège pas contre la compromission du terminal.

C'est fait pour limiter les dégats en cas de compromission d'un facteur (on récupère ton login/password).

Si on installe un rootkit sur ton PC ou ton mobile, tu es foutu.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Le top? Mais… pour qui?

C'est envisagé dans la santé, car les CPS sont insatisfaisantes et surtout on veut gérer des autorisations en plus de la simple authentification.

Exemple :

• Docteur on lui coupe la jambe ?
• Oui, mais fait la demande sur velpo.fr/chirurgie que je confirme.
• Voilà c'est fait !
• Attends je sors mon mobile, je lance l'appli eBoucherie, ah voilà je vois ta demande, je valide.

Cela pourrait s'appliquer à bien d'autres domaines.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

L'enrôlement du périphérique est un second facteur (quelque-chose que je possède). Le premier est par exemple ton couple login + mot de passe (quelque-chose que je connais).

Attention le multi-facteur ne protège pas contre la compromission du périphérique, y compris avec des code SMS ou Push. Exemple: beaucoup de gens font leurs achats avec leur téléphone.

Si tu veux du multi-facteur résistant au vol de terminal, il te faut trouver un moyen de forcer les utilisateurs à utiliser :

• deux terminaux => possible, mais il faut du budget ;
• un terminal et une interdiction de sauvegardes des mots de passe sur ce terminal (difficile, il est toujours possible de coller un post it sur l'écran) ;
• un terminal et un dispositif physique => c'est ce qui existe dans la santé avec les Cartes de Professionnel de Santé, pas toujours un gros succès à l'hôpital…
• un terminal et de la biométrie => pas terrible pour la révocation (on a dupliqué vos empreintes? il va falloir couper vos doigts).

Le top serait d'avoir un mini terminal dédié à l'authentification / autorisation. Au niveau protocole, c'est l'idée d'OpenID CIBA: https://industriels.esante.gouv.fr/produits-et-services/pro-sante-connect/openid-ciba

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

J'ai l'impression que "l'informatique c'est compliquai" est une excuse pour avoir un niveau d'incompétence et de médiocrité qu'on ne tolèrerait jamais pour d'autres domaines.

• la maîtresse ne sait pas nager? => on la laissera se débrouiller pour le cours de natation quand même, on ne va tout de même pas embaucher un maître nageur !
• une cantine ? => trop cher, les élèves n'ont qu'à sortir s'acheter des kebabs.
• comment ça le chauffeur du bus scolaire est dangereux ? => il n'a pas eu le temps de passer son permis, faut voir que c'est compliqué ces nouveaux engins à moteur.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Non ce n'est pas normal :-)

Saisir 42 mots de passe / clef / code par jour, c'est un tel inconfort que les gens préfèrent contourner les systèmes de sécurité plutôt que les utiliser.

L'enrôlement du périphérique veut dire déposer une "clef" sur le PC/téléphone/tablette/terminal/… de l'utilisateur. Cette "clef" est le second facteur en plus du mot de passe.

Les avantages par rapport aux codes OTP par SMS / PUSH mobile :

• aucune saisie supplémentaire à chaque connexion ;
• pas besoin d'un second terminal ;
• pas de risque d'interception du code à chaque connexion ;
• la clef peut éventuellement faire l'objet d'une sursécurité, par exemple en la faisant chiffrer par le périphérique (si on change de PC, il faut la régénérer) ou en étant elle même chiffré par un autre dispositif (comme les périphériques usb de chiffrement).

Comme implémentations de concept, il y a:

• navigator.credentials en javascript ;
• les bons vieux certificats https client.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Heureusement qu'ils sont là ces organismes, sans eux, je n'aurais jamais eu l'idée d'avoir un bureau et je télétravaillerais encore depuis ma baignoire (excusez la tenue) !

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

3/4

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Quand l'école réclame de l'argent, est-ce qu'ils utilisent leur page facebook ?

Ici, ils ont toujours une sortie ou une kermesse à financer et là bizarrement plus d'applis, plus de machins sociaux, mais du bon vieux mail + SMS + oral pour toucher un max.

Comme quoi ils savent faire…

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Si tu bloques sur git, mets le de côté et utilise ce bon vieux cpold :-)

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Les systèmes à deux facteurs qui se basent sur un objet physique ou la saisie de code sont pénibles.

Pourquoi pas un simple enrôlement du périphérique ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Pour une partie du public ici, on ferait une partie de notre taf gratuitement si on avait les moyens, et on a sans doute l'habitude de le faire de chez nous avant d'avoir un contrat.

Je ne pense pas: un projet perso n'a rien avoir avec un projet pro.

Mais il y a plein de gens pour qui

Des noms !

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Et je pense qu'on ne parle pas non plus assez des demandes des salariés. Les gens qui veulent avoir une coupure entre le travail et chez eux, les gens qui veulent voir des collègues et qui vont donc demander à ne pas être seuls au bureau.

Attention à ne pas confondre le besoin et la solution : il est tout à fait possible de faire des coupures et de voir des collègues sans aller au bureau.

On peut aller au café ou au restaurant par exemple.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Git et sites statiques, même soucis

Pourquoi ne pas prendre le temps d'apprendre ces outils ? Editer du html simple n'est pas plus compliqué que maîtriser les logiciels que tu as cité. Git est un peu ardu, mais il suffit de se noter les commandes de base.

Les avantages:

• tu ne seras plus dépendant des offres des plateformes de blog: n'importe quel hébergeur web générique fera l'affaire ;
• tu ne seras dépendant d'un logiciel de blog qui peut casser la compatibilité entre deux versions ;
• l'utilisation de git te sert de sauvegarde : un exemplaire sur ton PC, un exemplaire chez l'hébergeur web, un exemplaire chez ton hébergeur de dépôt git préféré ;
• ces connaissances sont réutilisables dans d'autres domaines.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Ça veut dire qu'il fait souvent se relever la nuit pour corriger des bugs ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Ça aurait pu être le premier main en jeux vidéo !

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Attention selon la Loi Macaron qui sera voté en 2023, les vélos devront prendre une assurance obligatoire avant chaque trajet via une microtransaction dans la blockchain de Capgemimi. Faute de pouvoir présenter le NFT de l'assurance, un forfait post trajet de 42€ sera à régler auprès des OMO (Opérateurs de Mobilité) de toutes les communes traversées.

Les livreurs à vélo seront exemptés s'ils sont autoentrepreneurs affiliés à une plateforme certifié par l'Etat (aujourd'hui seule la société Huber est certifiée).

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Ce calendrier n'est pas révolutionnaire, mais bourgeois : au lieu d'un repos tous les 7 jours, il proposait un repos tous les 10 jours !

Un vrai calendrier révolutionnaire aurait une semaine de 5 jours avec 4 dimanches !

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

D'après la plaquette, Roma est copain avec le web3 ! Enfin !

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Les « Uber Files » révèlent aussi un pan totalement inconnu de l’histoire de la « start-up nation » voulue par Emmanuel Macron. Ils démontrent à quel point l’actuel président de la République, alors ministre de l’économie, s’est démené pour soutenir, contre l’avis de sa majorité et à l’insu de son gouvernement, une entreprise visée par de multiples enquêtes judiciaires et fiscales. Emmanuel Macron a agi, dans l’ombre, en véritable partenaire d’Uber, s’impliquant personnellement à de multiples reprises dans un dossier sur lequel il n’avait officiellement aucune responsabilité.

Qu'est-ce que Macron a obtenu en échange ? Comment l'intéressé justifie-t-il son soutien à Uber ? Par amour des VTC ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Problème supplémentaire : en cas de guerre civile, les extrémistes de droite, fanatiques des armes et de Dieu, sont mieux préparés à tuer leurs prochains.

https://direct.mit.edu/isec/article/42/2/7/12170/The-Extremist-s-Advantage-in-Civil-Wars

Sur le sujet en plus léger: https://en.wikipedia.org/wiki/BrainDead

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Est-ce qu'on aura aussi le droit fondamental d'utiliser le signal SIGABRT  ?

Mon process master en a besoin pour avorter ses slaves qui sont blacklistés.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Les partisans du tout en ligne risquent gros en cas de coupure :

• tu n'as plus de travail ;
• tu ne peux plus jouer (merci Steam et autres DRM) ;
• tu ne peux plus rien regarder, pas de streaming ;
• la voiture connectée ne démarre plus, de toute façon le portail du garage connecté est KO ;
• tu reviens vite de ton footing sous l'orage que tu n'as pas anticipé sans meteofrance.com ;
• heureusement il reste une bougie pour lire un bouquin, ah zut la bibliothèque de ma liseuse est en ligne…

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.