devnewton 🍺 a écrit 8483 commentaires

Dès le début de l'entretien, je ne suis pas d'accord avec l'approche:

il faut séparer deux aspects. Il y a d’une part la fonctionnalité et d’autre part il y a la sécurité. Si on ne se préoccupe pas de sécurité, on peut concevoir des systèmes qui ont les fonctionnalités qu’on souhaite.

Une voiture qui ne tient pas la route, un site qui partage nos données avec la terre entière ou une maison sans porte… Il suffit de réfléchir un peu pour trouver des milliers d'exemple où la sécurité fait partie des fonctionnalités ;-)

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Est-ce que les derniers cas dont on parle sur linuxfr sont-ils des infractions à ces réglementations?

UN SI peut être parfaitement en règle avec la Loi et respecter plein de certifications exigeantes mais se faire trouer le slip quand même.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Le chiffrement type TLS est utilisable avec des logiciels libres (largement majoritaire d'ailleurs), on peut installer ses propres certificats… Bref c'est exactement la logique inverse de la chaîne de pas confiance dont on parle :-)

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

C'est quand même de la grosse branlette façon tiers de pas confiance ou rêve humide de RSSI en manque cette histoire.

Dans les autres domaines (DRM dans la musique et la vidéo, protections des consoles, secureboot), toute cette belle théorie s'est toujours fait troué le slip par la pratique.

Malheureusement certains semblent s'être laissé convaincre qu'un téléphone lowcost chinois avec un Android bourré de crapwares constructeur et d'applis privatrices est plus sécurisé qu'un PC normal avec Debian.

Parce que Google envoie des consultants en consulting avec de belles cravates?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Je ne comprends toujours pas : avec TOTP la clef est générée côté serveur et les codes sont validés côté serveur.

Le dev qui fait la génération ou la validation dans une appli qui tourne côté client (même closed source, signé, sur un OS certifié non rootable secure boot genuine of my official ass…) est au mieux incompétent.

Et tout l'argumentaire sur les applis clientes et les terminaux "de confiance" tombe à l'eau dès qu'on regarde deux secondes les horreurs qu'on trouvent sur les store google/apple (sans compter les gens qui acceptent des stores alternatifs de jeux chinois).

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

On peut tourner en boucle comme ça longtemps, mais tu ne fais que tenter de justifier l'existant sans réfléchir à ce qui pourrait (bien) fait.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

La question n’est pas ce que TOI tu as le plus confiance mais ce en quoi LA BANQUE a le plus confiance.

Je suis client, je m'en balec de l'avis de la banque :-)

Tu vas faire quoi si la banque impose un prélèvement ADN à chaque authentification ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Faut le trimbaler partout avec soit, ça casse, c’est chiant en vacances, etc… Les gens en prennent beaucoup moins soin que leur téléphone, l’oubli, le perde…

Les téléphones se cassent ou se perdent. On peut même ajouter qu'un téléphone n'est PAS un périphérique de confiance.

Tu as le plus confiance en quoi? Un téléphone facile à voler avec un android ou pire un iOS privateur et des services tout aussi privateurs ? Un PC de bureau ou un portable avec antivol et un vrai GNU/linux OS libre ?

Je le répète : si les banques aiment les applis mobiles, ce n'est pas pour la sécurité.

Comme expliqué, le côté lien dynamique (lien opération/montant/destinataire) interdit légalement ce type de solution.

Tu peux détailler pourquoi tu penses que "lien opération/montant/destinataire" n'est pas établi avec webauthn/TOTP ? (Sachant que les applis mobiles utilisent les mêmes principes…).

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Tu fais dire au texte ce que tu as envie/compris.

La BNP propose toujours le MFA par SMS + code secret, donc non toutes les solutions ne sont pas hors jeux.

Je vois aussi que certaines banques proposent des alternatives :

https://www.cic.fr/fr/particuliers/comptes/authentification-forte-digipass.html
https://www.banquepopulaire.fr/votre-banque/securite/pass-cyberplus/

Bien sûr c'est fort dommage de ne pas utiliser webauthn, TOTP ou un mécanisme équivalent…

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Surtout que contrairement à d'autres domaines, la musique générée par IA est plutôt de qualité (par rapport à pleins de groupes humains mais moyennasses).

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Ça ne dit à aucun moment qu'il faut une appli mobile privatrice, ni un OS certifié, ni même un téléphone…

Le texte semble même prévoir un garde fou pour éviter de se retrouver uniquement avec une telle solution : https://linuxfr.org/news/demarches-administratives-et-fracture-numerique#comment-1968749

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Mon job est biclassé super/pourri :

• je fais de l'architecture technique et fonctionnelle sur des sujets variés, le poste est intéressant, on privilégie l'opensource, les conditions de travail sont bonnes ;
• depuis quelques temps nos clients ne nous commandent que des projets nuls et inutiles.

Il y a quelque chose de pourri dans la startup nation.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Lorsqu’elle fixe lesdites exigences, l’ABE devrait accorder une attention particulière au fait que les normes à appliquer doivent permettre d’utiliser tous les types de dispositifs courants (tels que les ordinateurs, tablettes et téléphones mobiles) pour assurer différents services de paiement.

Wikipedia indique d'ailleurs qu'un engagement a été pris dans ce sens https://fr.wikipedia.org/wiki/Directive_sur_les_services_de_paiement#cite_note-7

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

A mon humble avis, tu surinterprètes les règlements.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

En plus du nom, il faudrait avoir un nom administratif matchant [a-z]+.

Sinon pourquoi limiter les noms à Unicode? Et si j'ai envie d'appeler mon fils https://static.wikia.nocookie.net/yakusokunoneverland/images/d/dd/DemonKing_Name.png ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Pourquoi cette minute du cyber est publiée sur des machins sociaux et sous forme de pdf ?

Pourquoi pas un simple article sur le site de la gendarmerie comme avant ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

En ce moment, on joue un peu à l'excellent Pingus, mais passé les premiers niveaux, c'est vraiment dur.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Ma fille n'aime pas plus que ça les dessins animés et les jeux vidéos.

Elle veut bien faire un dessin de temps en temps à la souris ou regarder des photos de famille, mais pas trop longtemps.

Comment puis je l'aider à s'intégrer à l'addiction numérique moderne?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Pour le logiciel libre, le gouvernement peut beaucoup: interdire pour de vrai la vente liée OS/device, exiger des solutions libres dans les appels d'offre, financer les communs numériques, exiger des API et des formats standards…

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Dans ta salle de jeux en réseau préféré, tu peux prendre un cours pour utiliser efficacement les touches zsqd.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

l’écrasante majorité de l’assemblée est très marquée à droite

Une bonne partie des élus de droite ont été élu par la gauche au nom du "front républicain".

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Tout comme la télévision a fait disparaître les caméras ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

LDLC aussi en plus grand public.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Bref une bonne clef à molette à 5€ pour obliger la victime à révéler les infos, y a que ça de vrai.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

La solution proposée est d'ajouter un autre facteur (user-supplied PIN code or a fingerprint or face scan)…

On peut supposer que l'agent secret qui a réussi à te piquer la clef dans ta poche trouvera aussi le moyen :

• de jeter un coup d’œil par dessus ton épaule pour voir ton code PIN ;
• de trouver le scan de tes empreintes dans ta petite fiche ;
• de se prendre en selfie avec toi sous tous les angles lors de la sortie au Bounga Bounga Night Club du comex pour le face scan.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.