devnewton 🍺 a écrit 8491 commentaires

Dans les cas d'usage, l'article cite les cambriolages.

Je ne comprends pas : on a des cambrioleurs qui appellent une maison avant de la cambrioler ? ils s'envoient des SMS j'ai piqué les bijoux au 42 impasse Paul Bismuth LOL ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Côté application, le concept même de DLL/SO est destiné à mourir: on n'a jamais trouvé et on ne trouvera sans doute jamais de bonne solution au dll hell, faire une ABI stable est atrocement difficile…

Ce n'est pas pour rien que les langages récents (Go, Rust) permettent facilement de générer un exécutable avec tout lié en statique.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

sed s/ajouter\ ici\ le\ langage\ de\ votre\ choix/Pascal/

Snif c'est dommage qu'on oublie ce bon vieux Pascal qui est plus vieux que le C et pourtant mieux fichu.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

J'affabule ?

Non, mais tu confonds facteur et terminal :-)

C'est comme si tu disais que l'utilisation d'une clef et d'un lecteur d'empreinte pour démarrer ta voiture protège contre le vol de la voiture, l'installation d'un tracker dessus ou le vol de la carte grise dans la boite à gant ou [insérer ici une des centaines de saletés qui peuvent arriver avec une bagnole].

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

une lib c++ peut-être utilisé avec quasiment tous les langages

A condition de ne pas péter l'ABI :-)

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Tu veux m'attribuer une position qui n'est pas la mienne juste pour le plaisir d'avoir raison ? :-)

Si non, essaye de relire le résumé: https://linuxfr.org/news/pypi-deploie-le-systeme-2fa-pour-les-projets-critiques-ecrits-en-python#comment-1896454

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Pourquoi ils n'utilisent pas Go pour ça ? Parce que le Go est lent ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Ça marche aussi avec des communications synchrones:

- comment on se connecte au wifi, je dois rejoindre la visioconférence ?
- je ne sais pas regarde dans la doc.
- elle est où ?
- bah sur le site de la boite.
- j'ai pas le wifi pour y accéder.
- ah oui lol.


Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Relis bien le thread, mais en résumé je dis:

• qu'il ne faut pas choisir des facteurs "emmerdants" : le confort d'utilisation est un élément de sécurité ;
• que le 2FA n'est pas fait pour protéger en cas de compromission des périphériques/terminaux : si tu veux te protéger contre ça, il faut d'autres mesures.

La sécurité, c'est by design par by what could go wrong.

A propos, est-ce que quelqu'un a vu mon post-it avec marqué "root pwd : ***" dessus ? J'en ai besoin pour faire une mep.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Il y a beaucoup de combinaisons d'attaques / facteurs / mitigations. Difficile de tout résumer, mais je le répète : croire que le MFA protège en cas de vol / hack d'un terminal / périphérique est une erreur.

Selon les facteurs, cela peut réduire les impacts, mais ce n'est pas fait pour ça.

Exemple :

• tu as un accès ultra sécurisé au wifi de ta boite via un login+mot de passe + une yubikey + empreinte + TOTP ;
• tu oublies ton téléphone dans un coin, un vile hackeur regarde ton appli mail et trouve ton login+mdp ;
• il écrit au support "ça marche pas" et se fait réinitialiser la clef, le TOTP et la prise d'empreinte par un support gonflé par le nombre de gens qui perdent des facteurs…

Cet exemple est bien sûr fictif, toute ressemblance avec des personnages et des sociétés réels ou imaginaires ne seraient que vraiment pas de bol.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

C'est sans doute le bon compromis: selon le type d'opération que tu dois faire, tu as besoin de plus ou moins de facteurs.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Je le répète: le multifacteur ne protège pas contre la compromission du terminal.

C'est fait pour limiter les dégats en cas de compromission d'un facteur (on récupère ton login/password).

Si on installe un rootkit sur ton PC ou ton mobile, tu es foutu.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Le top? Mais… pour qui?

C'est envisagé dans la santé, car les CPS sont insatisfaisantes et surtout on veut gérer des autorisations en plus de la simple authentification.

Exemple :

• Docteur on lui coupe la jambe ?
• Oui, mais fait la demande sur velpo.fr/chirurgie que je confirme.
• Voilà c'est fait !
• Attends je sors mon mobile, je lance l'appli eBoucherie, ah voilà je vois ta demande, je valide.

Cela pourrait s'appliquer à bien d'autres domaines.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

L'enrôlement du périphérique est un second facteur (quelque-chose que je possède). Le premier est par exemple ton couple login + mot de passe (quelque-chose que je connais).

Attention le multi-facteur ne protège pas contre la compromission du périphérique, y compris avec des code SMS ou Push. Exemple: beaucoup de gens font leurs achats avec leur téléphone.

Si tu veux du multi-facteur résistant au vol de terminal, il te faut trouver un moyen de forcer les utilisateurs à utiliser :

• deux terminaux => possible, mais il faut du budget ;
• un terminal et une interdiction de sauvegardes des mots de passe sur ce terminal (difficile, il est toujours possible de coller un post it sur l'écran) ;
• un terminal et un dispositif physique => c'est ce qui existe dans la santé avec les Cartes de Professionnel de Santé, pas toujours un gros succès à l'hôpital…
• un terminal et de la biométrie => pas terrible pour la révocation (on a dupliqué vos empreintes? il va falloir couper vos doigts).

Le top serait d'avoir un mini terminal dédié à l'authentification / autorisation. Au niveau protocole, c'est l'idée d'OpenID CIBA: https://industriels.esante.gouv.fr/produits-et-services/pro-sante-connect/openid-ciba

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

J'ai l'impression que "l'informatique c'est compliquai" est une excuse pour avoir un niveau d'incompétence et de médiocrité qu'on ne tolèrerait jamais pour d'autres domaines.

• la maîtresse ne sait pas nager? => on la laissera se débrouiller pour le cours de natation quand même, on ne va tout de même pas embaucher un maître nageur !
• une cantine ? => trop cher, les élèves n'ont qu'à sortir s'acheter des kebabs.
• comment ça le chauffeur du bus scolaire est dangereux ? => il n'a pas eu le temps de passer son permis, faut voir que c'est compliqué ces nouveaux engins à moteur.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Non ce n'est pas normal :-)

Saisir 42 mots de passe / clef / code par jour, c'est un tel inconfort que les gens préfèrent contourner les systèmes de sécurité plutôt que les utiliser.

L'enrôlement du périphérique veut dire déposer une "clef" sur le PC/téléphone/tablette/terminal/… de l'utilisateur. Cette "clef" est le second facteur en plus du mot de passe.

Les avantages par rapport aux codes OTP par SMS / PUSH mobile :

• aucune saisie supplémentaire à chaque connexion ;
• pas besoin d'un second terminal ;
• pas de risque d'interception du code à chaque connexion ;
• la clef peut éventuellement faire l'objet d'une sursécurité, par exemple en la faisant chiffrer par le périphérique (si on change de PC, il faut la régénérer) ou en étant elle même chiffré par un autre dispositif (comme les périphériques usb de chiffrement).

Comme implémentations de concept, il y a:

• navigator.credentials en javascript ;
• les bons vieux certificats https client.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Heureusement qu'ils sont là ces organismes, sans eux, je n'aurais jamais eu l'idée d'avoir un bureau et je télétravaillerais encore depuis ma baignoire (excusez la tenue) !

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

3/4

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Quand l'école réclame de l'argent, est-ce qu'ils utilisent leur page facebook ?

Ici, ils ont toujours une sortie ou une kermesse à financer et là bizarrement plus d'applis, plus de machins sociaux, mais du bon vieux mail + SMS + oral pour toucher un max.

Comme quoi ils savent faire…

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Si tu bloques sur git, mets le de côté et utilise ce bon vieux cpold :-)

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Les systèmes à deux facteurs qui se basent sur un objet physique ou la saisie de code sont pénibles.

Pourquoi pas un simple enrôlement du périphérique ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Pour une partie du public ici, on ferait une partie de notre taf gratuitement si on avait les moyens, et on a sans doute l'habitude de le faire de chez nous avant d'avoir un contrat.

Je ne pense pas: un projet perso n'a rien avoir avec un projet pro.

Mais il y a plein de gens pour qui

Des noms !

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Et je pense qu'on ne parle pas non plus assez des demandes des salariés. Les gens qui veulent avoir une coupure entre le travail et chez eux, les gens qui veulent voir des collègues et qui vont donc demander à ne pas être seuls au bureau.

Attention à ne pas confondre le besoin et la solution : il est tout à fait possible de faire des coupures et de voir des collègues sans aller au bureau.

On peut aller au café ou au restaurant par exemple.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Git et sites statiques, même soucis

Pourquoi ne pas prendre le temps d'apprendre ces outils ? Editer du html simple n'est pas plus compliqué que maîtriser les logiciels que tu as cité. Git est un peu ardu, mais il suffit de se noter les commandes de base.

Les avantages:

• tu ne seras plus dépendant des offres des plateformes de blog: n'importe quel hébergeur web générique fera l'affaire ;
• tu ne seras dépendant d'un logiciel de blog qui peut casser la compatibilité entre deux versions ;
• l'utilisation de git te sert de sauvegarde : un exemplaire sur ton PC, un exemplaire chez l'hébergeur web, un exemplaire chez ton hébergeur de dépôt git préféré ;
• ces connaissances sont réutilisables dans d'autres domaines.

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Ça veut dire qu'il fait souvent se relever la nuit pour corriger des bugs ?

Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.