🚲 Tanguy Ortolo a écrit 12504 commentaires

Tu t'en as pas parle, mais c'est ou la stocker ?

Dans le portefeuille, avec la carte bancaire en effet. Si tu te fais voler ça :

• ce n'est pas dramatique, en tout cas en ce qui concerne la double authentification, parce que ça ne compromet pas le second facteur, un code secret que tu es seul à connaître ;
• tu t'en rendras vite compte et tu feras vite opposition.

En vrai, la seule alternative que je trouve pas trop mal au smartphone, c'est le boîtier: tu peux garder ca sur toi, ca se fait pas trop mal. Tu peux même en avoir plusieurs et en laisser au bureau ou ailleurs.

Comme la grille de code en somme. C'est juste un peu plus lourd, un peu plus encombrant et un peu moins fiable (ça peut tomber en panne ou à cours de pile).

Mais oui sinon, désolé mais le smartphone avec vérification biométrique, c'est pas si mal quand même, quoiqu'en dise DLFP.

En terme de sécurité, certainement. En terme de fiabilité et de coût de maintenance, c'est très loin derrière le TOTP et les grilles de code.

le top, c'est évidemment la grille de nombres,

Faut l'avoir, souvent oublié,

Alors là, si tu en as besoin pour chaque paiement en ligne, tu ne risque pas de l'oublier. Tu vas juste la ranger au même endroit que ta carte bancaire.

et faut rentrer le nombre.

Sans commentaire. On parle quand même d'achats sur Internet, pour lesquels on saisit son numéro de carte bancaire à 16 chiffres.

Les trucs qui dépendent du logiciel bancaire sur téléphone mobile, c'est de la merde.

Mais c'est toujours sur toi, et l'empreinte est pas chiante à faire, rapide.

Alors l'empreinte digitale, j'ai testé, plus jamais. Ça marche bien, jusqu'au jour où il y a je ne sais quoi de différent et plus aucun essai ne fonctionne.

Par contre un truc vraiment chiant, c'est de se retrouver avec un logiciel qui ne marche plus, ou de changer de téléphone. Là, on n'est pas dans une flemme de saisir quatre chiffres hein, mais dans une vraie galère.

C'est de l'anti-vieux primaire à les prendre tous pour des attardés, être vieux ne veut pas dire ne pas dire suivre les évolutions technologiques, plein de vieux ont un tel, WhatsApp, l'app bancaire, et payent même avec leur tel. Ces vieux te dise "merde" à considérer leur âge comme critère pour les exclure par défaut de l'évolution technologique.

??? Mais c'est le contraire, je sais bien qu'il y a des vieux qui sont tout à fait capables d'utiliser un téléphone mobile. Mais il y a aussi des tas de gens qui ont du mal avec ces outils. Des systèmes de double authentification nécessitant l'usage d'un téléphone sous Android ou iOS excluent pas mal d'usagers. C'est mal de s'en rendre compte, en fait ? D'ailleurs les banques s'en rendent très bien compte, c'est pour ça qu'elles fournissent des solutions matérielles plus ou moins bien fichues.

Ce qui me surprend, c'est juste le fait qu'elles fournissent justement des solutions matérielles complexes, alors que la grille de codes et le TOTP standard sont par nature accessibles et beaucoup moins coûteuses.

Personnellement, je suis utilisateur de la validation par téléphone, mais je vais certainement passer à la solution matérielle suite à une expérience inquiétante.

Je possède un téléphone sous LineageOS, rooté. Après tout, cet appareil m'appartient, il est bien normal que j'en sois administrateur et que je puisse y faire ce que je veux. Bref. Je parviens à y faire tourner le logiciel de la Banque Populaire.

Il y a un peu moins d'un an, je vois passer une mise à jour de ce logiciel. Pas de problème. Sauf que si, problème justement : à partir de cette version-là, le logiciel ne se lance plus, ou plutôt plante une demi-seconde après son lancement. Pas moyen d'accéder à mon compte évidemment, mais au début, les validations d'opérations passaient encore. Et puis un jour, elles ont aussi cessé de fonctionner.

Je me suis retrouvé sans moyen de valider les opérations demandant de la double authentification, notamment les paiements avec 3-D Secure, mais aussi le simple accès à mon compte depuis mon ordinateur, lorsque le cookie de validation expirerait.

J'ai fini par trouver un moyen de :

1. sauvegarder le logiciel de la Banque Populaire et ses données sur mon mobile (heureusement que je suis root pour pouvoir faire ça !) ;
2. installer une ancienne version (note pour les gens de la sécurité d'une banque : si vous sortez une version boguée de votre logiciel, vous incitez vos clients à rester sur une ancienne version) et la conserver aussi longtemps que possible.

Et puis un jour, cette version a cessé de fonctionner : vous utilisez une version trop ancienne, mettez à jour. Coup de chance, à ce moment-là, la nouvelle version fonctionnait. Depuis, je sauvegarde régulièrement ce logiciel et ses données, mais je ne serai serein qu'en passant à un truc plus fiable.

C'est sans doute pareil au Crédit Mutuel, qui fait partie du même groupe.

Opérations soumise à une double authentification

• Paiement en ligne avec 3-D Secure
• Ajout d'un destinataire de virement
• Pas sûr pour le reste

Moyens d'authentification

C'est très bizarre, les moyens proposés dépendent des opérations.

Le plus souvent, au choix :

• Validation sur téléphone avec saisie d'un code secret ou validation d'une empreinte digitale.
• Saisie d'un code à usage unique fourni par un appareil physique après avoir scanné un QR-Code affiché à l'écran du terminal d'achat et saisie un code secret.

La seconde solution est proposée au client en s'acquittant de 29 € à la fourniture de l'appareil en question.

Parfois :

• Grille de codes, une solution qui existe dans cette banque depuis plus de dix ans.

C'est à se demander pourquoi le CIC n'a pas simplement généralisé la grille de codes pour toutes les opérations nécessitant une double authentification. Je soupçonne soit une interdiction réglementaire (les rédacteurs du règlement se sont peut-être dit que ce n'était pas assez technologique pour être vraiment sûr), soit une surinterprétation du règlement.

Opérations soumises à une double authentification

• Paiement en ligne avec 3-D Secure
• Ajout d'un bénéficiaire de virement
• Émission d'un virement ? À vérifier.
• Accès à son compte client depuis un navigateur non encore validé, et depuis un navigateur dont le cookie de validation a expiré.

Moyen d'authentification

Les moyens proposés combinent deux facteurs en une seule opération.

Au choix :

• Validation sur téléphone avec saisie d'un code secret ou validation d'une empreinte digitale.
• Saisie d'un code à usage unique fourni par un boîtier après vérification du code secret de la carte bancaire.

La seconde solution est proposée aux clients qui en font la demande en agence.

Un autre moyen d'authentification.

Preuve de possession : valider l'opération à partir du logiciel de la banque sur son téléphone mobile. Combiné avec la saisie d'un code secret.

Accessible aux personnes disposant d'un terminal sous Android ou iOS, assez récent et pas trop modifié (ou au contraire suffisamment modifié pour que ça ne se voie pas).

Vulnérable au piratage du système d'exploitation du téléphone ou du logiciel bancaire sous réserve de faille exploitable.

Dépend du fonctionnement du téléphone et du logiciel bancaire.

Possible à la Banque Populaire aussi, sur demande du client.

Ce que je compte faire, parce que l'application pour Android a eu le mauvais goût de m'exploser entre les doigts pendant plusieurs mois et que je n'ai pas trop envie que ça arrive de nouveau. C'est à dire que suite à une mise à jour, elle ne démarrait même plus. J'avais trouvé un moyen d'installer une ancienne version, que j'ai gardé jusqu'à ce qu'elle ne soit plus acceptée. À ce moment-là, j'ai forcément installé une nouvelle version, qui fonctionnait. Tant mieux, mais ça refroidit.

(Au passage, heureusement que mon téléphone est rooté, ça permet de sauvegarder ce genre de logiciel pour pouvoir en essayer plusieurs versions sans perdre tout leur configuration, et surtout sans perdre l'association avec le compte client.)

Pour ceux qui utilisent un système d'exploitation et un gestionnaire de services maléfiques, ce dernier a une option pour introduire un délai aléatoire au démarrage d'une unité programmée, par exemple :

[Unit]
…
OnCalendar=*-*-* *:*:00/10
RandomizedDelaySec=60

Lorsque je change de DNS, à chaque redémarrage, le changement se réinitialise.
Je passe par le fichier /etc/resolv.conf

C'est tout à fait normal. Lorsque tu te connectes à un réseau, wifi ou filaire, ton ordinateur y envoie une requête DHCP, puis reçoit une réponse qui lui indique ses paramètres de connexion, en particulier son adresse IP, son masque de sous-réseau… et des serveurs de résolution DNS. Ces derniers sont placés dans /etc/resolv.conf, qui est réécrit à cette occasion.

Essayer de l'éditer à la main est donc vain. Pour avoir des changements stables, tu dois passer par le logiciel qui l'édite. En fait, un logiciel a été créé pour centraliser les opérations liées à ce resolv.conf. Il s'appelle justement resolvconf, et je te laisse te documenter à son sujet.

Je n'ai plus cette boîte, je l'ai jetée ou perdue. Pouvez-vous me donner ce mot de passe ?

Je vous parle de votre boîtier de connexion, votre modem-routeur. J'espère que vous ne l'avez pas jeté ou perdu, il ne vous appartient pas. Et vous aurez du mal à vous connecter sans.

Malgré les tentatives pour l'étouffer, la vérité émerge de partout, et ceux qui ont soutenu ces mensonges ces dernières années sont devenus enragés.

En fait cette phrase est une (la seule?) phrase vraie et pas trop délirante du journal.
J'en apporte la preuve : En direct | Marseille : une perquisition des gendarmes en cours à l’IHU.

Mince alors, il y aurait donc une épidémie de rage au sein de la Gendarmerie nationale ?

D'ailleurs, l'hydroxychloroquine, ça donnerait quoi, comme antirabique ?

Malgré les tentatives pour l'étouffer, la vérité émerge de partout, et ceux qui ont soutenu ces mensonges ces dernières années sont devenus enragés.

L'aviez-tu remarqué ? Les tentatives pour étouffer la vérité ont cours partout, même dans le bastion de l'information libre qu'est LinuxFr ! J'en veux pour preuve le moinssage acharnéenragé dont a fait l'objet ce journal.

(Ou est-ce parce qu'il n'est vraiment pas pertinent ?)

En clair oui, mais sur une étiquette sous la boîte. Il n'a aucune raison d'être stocké dans le SI de l'opérateur. La clef qui en dérive oui, mais pas le mot de passe lui-même.

Alors, on est quand même dans un cas très, très peu fréquent.

Rappelons que presque personne ne sait qu'on peut changer le mot de passe du réseau wifi. Que parmi ceux qui savent qu'on peut le faire, très peu savent effectivement le faire.

Nous sommes donc ici dans le cas d'un client qui s'y connaît visiblement plutôt bien, puisqu'il fait partie de l'élite qui sait qu'on peut changer ce mot de passe, qui sait le faire, et qui l'a effectivement fait avec succès.

Nous sommes par ailleurs dans le cas encore plus rare où ce client qui s'y connaît plutôt bien a perdu le mot de passe qu'il a lui-même défini. Oui, dans ce genre de cas très rare, il me semble parfaitement acceptable de lui annoncer qu'on peut remettre le mot de passe par défaut, qu'il trouvera sous la boîte, et que ça aura pour effet de déconnecter ses appareils, comme s'il venait de prendre son abonnement à Internet.

Pour un client qui s'y connaît à ce point, reconfigurer ses appareils, ou changer à nouveau le mot de passe n'a rien d'insurmontable, surtout qu'il l'a déjà fait avec succès dans le passé. Et rassurez-vous ce n'est pas parce qu'il doit faire ça qu'il changera d'opérateur, donc ce genre de pratique n'expose l'opérateur à aucun risque de perte de clientèle, ni même d'insatisfaction puisqu'on aura quand même fourni un solution à un client qui sait qu'il a lui-même merdé.

Depuis, on a inventé les QR-codes tout de même.

Je trouve personnellement que c'est une mauvaise idée. Je comprends l'idée d'avoir un breadcrumb pour les présentations vraiment longues

Eh bien voilà, tu en comprends l'intérêt. Des miettes de pain, c'est une forme de mini-sommaire adapté à la section et sous-section courante.

mais dans le cas général tu vire tout ce que tu peux des slides. Ça n'apporte rien à la personne qui suit la présentation de savoir qu'il y a déjà eu une présentation de l'historique de LaTeX par exemple.

Ça dépend, ça peut aider à prendre des notes. Mais effectivement, ça obstrue un peu, et aujourd'hui je passe plutôt à un sommaire partiel rappelé entre chaque section par exemple. Là, ça n'obstrue plus, ça ne distrait pas non plus, et ça permet aux gens de se rappeler où on en est sans y perdre trop de temps.

Ce genre de TOC sur toutes les slides me semblent surtout servir à la navigation pour celui qui présente quand il veut pouvoir naviguer dans ses slides.

Ça, ce serait plutôt le boulot de logiciel de projection.

pouvoir définir une structure de présentation, c'est à dire des sections et sous-sections (ça aide à la fois le présentateur et l'auditoire, d'avoir une structure plutôt qu'un discours-fleuve)

Ça, dans Impress c’est le boulot des pages maîtresses et de la mise en forme des diapos,

Si je comprends bien, il s'agit alors de faire ce qu'il faut pour que toutes les diapos contiennent, dans un coin ou sur un côté, le titre de la section courante ou un mini-sommaire. À moins que je ne loupe quelque chose, ça reste un pseudo-sommaire fait à la main (vous savez, c'est exactement ce que font intuitivement les newbies avec un traitement de texte, et qui fait s'arracher les cheveux à ceux qui savent utiliser correctement les styles et la numérotation), et en aucun cas une structure de document. Pire encore, si je veux afficher un mini-sommaire qui mette en valeur la section courante, je sens que ça va demander une personnalisation à la main pour chaque section…

sachant qu’une présentation n’est pas le texte d’une intervention ou un support de cours (sauf exception… un support pour Impress par exemple), si je comprends bien ce que tu entends par là.

Bien sûr, c'est différent, mais ça reste structuré. Si par exemple je devais faire une présentation à propos de Beamer lui-même, je commencerais pas écrire en vrac un tas d'idées et de trucs dont il faut parler, que j'organiserais ensuite sous la forme d'une structure. Jusque là, c'est ma façon de préparer une présentation, mais le fait d'avoir in fine une structure ne m'est pas spécifique, c'est juste une bonne pratique :

1. TeX, LaTeX, Beamer : un peu de contexte
2. Histoire
   1. TeX et LaTeX
   2. Beamer
3. Principes
   1. WYSIWYM
   2. Compilation
4. En pratique
   1. Du code
   2. Des outils

Là-dedans, je vais préparer ce que je vais dire et ce que j'ai besoin d'afficher, sous forme de diapos qui vont s'insérer dans cette structure. Je trouve ensuite utile :

• de pouvoir afficher ce sommaire en début de présentation ;
• si la présentation et longue (et donc sa structure assez profonde), de pouvoir afficher un sommaire partiel avant chaque section ;
• de pouvoir afficher, sur chaque diapo, au minimum la section courante (et éventuellement un mini-sommaire plus complet, avec toutes les sections et les sous-sections de la section courante, avec la section et la sous-section courantes mises en valeur, tant qu'à faire) ;
• de ne pas avoir à mettre tout ça à jour si je modifie les sections, par exemple si je change le titre d'une section ou si j'ajoute une sous-section quelque part : si j'utilise un ordinateur, ce n'est pas pour faire ça à la main, merci.

Ça, c'est le genre de chose qui, me semble-t-il, nécessite impérativement que le logiciel ait une notion de structure du document. Or, sauf si j'ai loupé quelque chose, LibreOffice Impress n'a rien de tel.

Et, évidemment des gens qui concoctent les présentations et là…

Pas compris.

Eh bien c'est juste scandaleux, pour plusieurs raisons :

• stocker un mot de passe en clair, ça craint juste complètement : dans des systèmes conçus avec un minimum de sérieux, on stocke un hachage du mot de passe (là, c'est pour du PSK, donc c'est un chouïa plus compliqué que ça, voir plus bas) ;
• stocker un mot de passe en clair est parfaitement inutile, même pour pouvoir le rappeler au client : s'il ne se souvient pas du mot de passe, il suffit de lui remettre celui par défaut qui est écrit sur le boîte (et pour ça, il n'est même pas nécessaire que l'opérateur connaisse lui-même ce mot de passe).

Bon, comme je disais, c'est du PSK, c'est à dire un mot de passe est transformé et haché afin de créer une clef partagée, connue par la borne et par l'appareil connecté. On ne peut donc pas juste stocker un simple hachage du mot de passe. En revanche, ce qu'on peut stocker côté borne, c'est la clef dérivée du mot de passe. Ceci dit, à la différence d'un système de vérification de mot de passe, la connaissance de cette clef suffit à se connecter, donc ça reste imparfait comme solution.

Je doute que ça existe, ou plutôt, je doute qu'il existe un outil de présentation autre que Beamer qui répondre à mes critères. :-)

En l'occurrence, je ne peux pas deviner les tiens, mais mes critères sont au nombre de deux :

• pouvoir définir une structure de présentation, c'est à dire des sections et sous-sections (ça aide à la fois le présentateur et l'auditoire, d'avoir une structure plutôt qu'un discours-fleuve) ;
• pouvoir facilement définir des dévoilements successifs ou des remplacements de texte et de schémas (les overlays de Beamer, donc).

Aussi sidérant que cela puisse paraître, le premier point a l'air d'être une spécificité de Beamer. À croire qu'il est juste inhabituel de vouloir faire des trucs structurés. Ou que les gens trouvent normal de rédiger à la main un genre de sommaire et de le copier-coller à plusieurs endroits de leur présentation pour afficher une structure sans aucune assistance de l'outil de présentation. S'il existe désormais d'autre logiciels qui permettent de préparer une présentation structurée, ça m'intéresse.

Quand au second, je dois dire que je n'ai pas essayé grand chose d'autre que Beamer vu que le premier point n'est déjà visiblement rempli par aucun autre logiciel. J'ai essayé avec LibreOffice, quand même, il y a très longtemps. De mémoire, c'était faisable, bien que pas aussi évident qu'avec Beamer parce que les dévoilements successifs sont par nature une fonctionnalité qui ne colle absolument pas au modèle WYSIWYG.

Pendant de nombreuses de ces années, des méthodes fastidieuses et chronophages, telle que les listes de courriel, étaient le standard "de-facto" pour la collaboration dans l'open source. Git, le gestionnaire de version distribué et open source, créé par Linus Torvalds, n'arrivera pas avant 2005, et même à cette époque, il n'offrait qu'un outil en ligne de commande.

Exact, mais franchement orienté. Bravo pour la tournure dépréciative qui décrit une fonctionnalité en ligne de commande. Il y aurait eu plein de façons neutres de dire la même chose, sans sous-entendre qu'en 2005, un outil en ligne de commande c'est nul.

Allez, par exemple : « Git, un gestionnaire de version distribué et open source en ligne de commande créé par Linus Torvalds, a vu le jour en 2005. »

3 ans plus tard, Github créa une interface utilisateur pour Git

Si on veut, mais pour être honnête, il faudrait préciser que c'est une interface pour certains aspects de Git. Parce qu'enregistrer des modifications à un fichier et tout, ça se fait en ligne de commande, pas dans l'interface de Github.

Et pour être honnête, il faut aussi reconnaître que c'est une interface utilisateur supplémentaire pour Git. Parce que bon, une interface utilisateur, il y en a déjà une, la ligne de commande justement.

et introduisit les "Pull Request",

Faux. Pull request, ça veut dire demande de git pull, et ça existait déjà depuis que Git existe, et c'est très utilisé pour le développement du noyau Linux. Ça consiste tout simplement à écrire à quelqu'un pour lui dire « Salut, j'ai codé une fonctionnalité, tu la trouveras dans telle branche de mon dépôt. Si ça te plaît, peux-tu faire un git pull dessus pour l'intégrer à ton projet ? Bisous. »

Github a introduit une interface graphique pour les pull requests, mais n'a en aucune façon inventé le concept.

une fonctionnalité qui changea la manière dont les mainteneurs gèrent les patchs dans l'open source, ce qui serait au cœur du succès récent de l'Open Source selon certains.

Sans doute. Ça a rendu ce mode de contribution plus accessible. Mais de grâce, cessez de prétendre que Github a inventé la PR.

Ce sera peut-être plus clair en expliquant le processus que j'imagine, comme ça il devrait être plus facile de voir quelle étape n'est pas possible et pourquoi.

1. GIMP demande à capturer la couleur d'un point donné de l'écran.
2. GIMP obtient un triplet RGB sans profil de couleur. On sait qu'un logiciel quelconque a demandé au compositeur d'afficher un point d'une couleur spécifiée par ce triplet.
3. Maintenant, on se pose la question suivante : quelle couleur, dans l'image actuellement éditée dans GIMP, serait affichée en demandant au compositeur d'afficher un point avec une couleur spécifiée par ce même triplet ?
4. La réponse devrait pouvoir s'obtenir en appliquant une fonction inverse de celle que GIMP utilise pour demander l'affichage des points de l'image (en supposant qu'elle est affichée à l'échelle d'un point de l'image pour un point de l'écran).

Désolé, mais je ne comprends toujours pas. Si je demande à connaître la couleur à tel point de l'écran, le portail me donne un triplet RGB qui ne veut rien dire sans profil de couleur. Soit.

Mais je mets ça à côté du fait que GIMP lui-même s'affiche à l'écran, et demande bel et bien au compositeur Wayland d'afficher de points avec des couleurs sous forme de triplets RGB qui ne veulent certes rien dire sans profil de couleur, mais qu'il affiche tout de même.

Je ne sais pas ce que les développeurs veulent faire, mais tel que je conçois les choses, lorsque je capture la couleur d'un point de l'écran, tout ce que je m'attends à avoir comme résultat dans GIMP, c'est une couleur qui, si je la dessine sur l'image, s'affichera exactement comme celle du point que j'ai capturé.

Or, je dois vraiment manquer quelque chose, parce que ça me semble assez trivial en fait : pour qu'un point de la fenêtre de GIMP s'affiche exactement de la même couleur que celui qu'on a capturé, il me semble qu'il suffit que GIMP demande à Wayland d'afficher un point avec une couleur spécifié par exactement le même triplet RGB, qui certes ne veut rien dire sans profil de couleur, mais qui sera tout de même affiché, et affiché pareil, ce qui est ce que j'attends.

Or donc, pour que GIMP demande au compositeur Wayland d'afficher un avec une couleur RGB donnée sans profil, il suffit… que cette couleur, dans l'espace colorimétrique de l'image, soit convertie par GIMP en le triplet RGB sans profil attendu. Or GIMP sait manifestement faire une certaine correspondance couleur de l'image → triplet RGB sans profil envoyé au compositeur, puisqu'il affiche les images d'une façon ou d'une autre. La correspondance inverse devrait être faisable, non ?

Ce sont les dessins et les textes de David Revoy qui sont sous une licence particulière. Effectuer soi-même un dessin différent d'un personnage tiré de l'œuvre de quelqu'un d'autre ne constitue pas un travail dérivé. Enfin, ça dépend un peu ce qu'on en fait, mais là, ça devrait être bon je pense.

J'avoue avoir du mal à comprendre le problème qui se pose lors de la capture d'une couleur à l'écran, concernant la gestion des couleurs.

Corrigez-moi si je me trompe, mais il me semble qu'une gestion des couleurs, c'est une opération qui consiste à prendre des couleurs envoyées par un logiciel pour affichage à l'écran ou pour impression, et à les transformer pour envoyer effectivement au périphérique des valeurs dont on sait que, compte tenu de ses défauts, il les affichera ou les imprimera d'une façon qui correspondra à ce que ces couleurs devraient être.

Il doit me manquer une subtilité, parce que je ne vois pas la difficulté posée par la capture d'une couleur à l'écran. Si on récupère une couleur donnée, GIMP ne peut-il pas simplement calculer la couleur qui, si elle était posée dans l'image courante, lui ferait, compte tenu des paramètres de cette image, demander au serveur X ou au compositeur Wayland d'envoyer la couleur précédemment récupérée ?

Alors pour info, Optimus est une technologie Nvidia, et visiblement, comme tout ce qui est Nvidia, c'est galère sous Linux.

Côté AMD, l'équivalent s'appelle Hybrid Graphics, et ça marche juste impeccablement.

Même si ça y ressemble, je ne fais pas exprès de faire de la publicité pour AMD. En fait, Nvidia y arrivent très bien tout seuls, à faire la pub de leur concurrent pour les linuxiens.