Ha, une norme qui impose une authentification à deux facteurs, mais qui considère comme valide la date de naissance comme second facteur, quelle blague…
Les mieux est encore de consulter la norme POSIX. Et effectivement, seq ne fait pas partie des utilitaires standard… Je ne sais pas comment faire ça sans.
Pour produire un document DjVu à partir d'images (TIFF dans mon cas), j'utilise didjvu, puis ocrodjvu avec tesseract pour y ajouter une couche de texte par OCR. Les documents DjVu peuvent être lus avec Evince, donc probablement avec le bibliothèque Poppler.
[^] # Re: Paix
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal [HS] Promenade: c'est arrivé près de chez vous. Évalué à  5. Dernière modification le 27 mars 2017 à 15:36.
Je comprends bien que pour Marotte, utiliser le drapeau français, c'est nationaliste, que le nationaliste, c'est la mentalité du FN, et que c'est très mal.
J'aurais juste deux petites questions Ă son Ă©gard :
[^] # Re: Paix
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal [HS] Promenade: c'est arrivé près de chez vous. Évalué à  3.
Ça tombe bien, la colombe, le rameau d'olivier ou l'arc-en-ciel comme symboles de la paix viennent justement de la Genèse. :-) Bon, ce ne sont pas franchement des symboles religieux pour autant, simplement des symboles inspirés par un récit religieux.
# Peu de chance que ça change
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal LE véritable intérêt du logiciel libre. Évalué à  10. Dernière modification le 24 mars 2017 à 10:37.
Ah, non, je ne pense pas. Enfin, peut-être vont-ils comprendre, mais ça ne changera pas du tout leur attitude.
C'est souvent comme ça, il y a un risque avec telle ou telle chose, les gens s'en foutent et quand on leur explique, ils nous traitent de paranos. Puis ce risque se réalise, ça fait éventuellement du bruit, on leur avait bien dit, ils comprennent, et ne changent rien.
Par exemple :
Personnellement, je me contente de conseiller mes proches et les gens qui me le demandent, et de savoir que quoi qu'il arrive, je ne suis pas concerné par ces problèmes.
[^] # Re: 3 chiffres sur 6, c'est 6 hashs de 1 chiffre chacun
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à  3. Dernière modification le 22 mars 2017 à 16:23.
Et CIC aussi donc, puisque c'est la même banque que le Crédit Mutuel (à un détail près, le CM appartient à ses clients, alors que le CIC n'appartient pas à ses clients mais au CM, donc indirectement aux clients du CM).
À un détail près, au CM et au CIC, ce n'est apparemment que le numéro du premier compte que quelqu'un a ouvert qui constitue son identifiant client.
[^] # Re: Un monde
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à  1.
Aucune idée, mais des banques utilisent ça comme prétendu second facteur, donc si elles sont censées respecter cette norme, soit c'est dedans, soit elles ont réussi versé un bon pot-de-vin à l'auditeur qui a vérifié leur conformité.
[^] # Re: Un monde
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à  4. Dernière modification le 22 mars 2017 à 12:00.
Ha, une norme qui impose une authentification à deux facteurs, mais qui considère comme valide la date de naissance comme second facteur, quelle blague…
Autant que je sache, deux facteurs, c'est censé signifier des éléments d'authentification parmi deux de ces trois catégories :
Le premier facteur est presque systématiquement un mot de passe. Selon les banques, le second facteur peut être un générateur de codes, un téléphone (par envoi d'un SMS, avec une sécurité discutable), une grille de codes (le plus sûr à ma connaissance, et accessoirement sans doute le moins cher) ou la date de naissance du client. Cette dernière est une vaste blague, parce qu'elle n'est absolument pas liée au corps ou à la propriété du client, mais clairement à la connaissance (en plus assez partagée), ce qui en fait un second premier facteur, et certainement pas un second facteur valide.
À noter qu'une authentification à deux facteurs peut très bien utiliser un unique moyen technique, par exemple une carte à puce pourvue d'un code : pour l'utiliser, il faut dont posséder la carte, et connaître son code. Par rapport à un mode de passe, cela a l'avantage que ce code n'est jamais transmis, pas même à la banque, et que celle-ci pourrait très bien ne pas le connaître.
[^] # Re: Mot de passe
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à  4.
Ah oui, l'accessibilité de ces trucs est certainement épouvantable.
[^] # Re: Mot de passe
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à  5.
Il me semble plus facile de suivre les mouvements d'un pointeur de souris à l'écran (lents, parce que l'utilisateur doit faire un effort pour repérer la position, aléatoire, de chaque chiffre), que les frappes de touche (rapides, parce que l'utilisateur utilise sa mémoire mécanique de la position des touches).
Le clicklogger en question enregistrera sans problème qu'on a cliqué à telle position sur l'écran, mais pour déterminer ce qu'il y avait d'affiché à cet endroit, il faut y coupler une caputre d'écran, ce qui est un poil plus contraignant qu'un simple keylogger. Rien d'infaisable, évidemment, mais c'est nettement plus chiant, et nettement moins automatique à analyser.
Positionnées aléatoirement aussi ? Là , tu va faire fuir tes clients, qui en auront vite marre de passer cinq minutes à saisir leur mot de passe…
# 2 facteurs
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à  5.
Alors, déjà , l'idée d'utiliser un token, c'est d'ajouter dans l'authentification quelque chose qui est de l'ordre de la propriété physique (en plus d'un code qui relève de la connaissance). Pour info, ces tokens utilisent un algorithme pour générer un code à partir d'un secret (l'algorithme standard pour cela s'appelle TOTP), mais tant que ça ne sort pas de l'appareil en question, ça relève bien de la propriété. En revanche, dès qu'on s'amuse à utiliser ça avec un générateur de code sur téléphone par exemple, ça s'approche un peu plus de la connaissance.
Autrement, il y a une alternative au token algorithmique, qui est la grille de codes : c'est une carte en papier, avec un tableau dont les colonnes et les lignes sont numérotées, et qui contient dans chaque case un code unique choisi de façon aléatoire. Par rapport à un token, ça ne coûte presque rien, ça n'utilise pas d'algorithme, pas de secret partagé (en fait c'est l'ensemble de la grille qui est un secret partagé), ni d'électronique d'aucune sorte, et c'est donc invulnérable aux attaques qui portent sur ces caractéristiques. Mais à moins de changer régulièrement de grille, ça peut être vulnérable à une réutilisation d'un code déjà passé qui aurait été intercepté.
# Mot de passe
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à  3.
Certaines l'autorisent, en tout cas le CIC et le Crédit Mutuel (c'est le même groupe). En revanche, cela les empêche d'imposer une saisie de chiffre à la souris (vulnérable à l'observation par dessus l'épaule et à l'interception par un démon local mais pas aux key loggers), et leur implique donc de permettre la saisie du clavier (peu vulnérable à l'observation par dessus l'épaule, mais vulnérable aux key loggers et à l'interception par un démon local).
[^] # Re: De quoi ils parlent?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Un four à pain c'est considéré comme un employé ?. Évalué à  5.
Je ne sais pas comment on définit une machine qui fournit un travail, mais en tout cas, il ne me semble pas raisonnable de mettre un four dans cette catégorie, ça me semble plutôt être un outil. Le four ne produit rien quand on l'allume, il chauffe, mais ça ne sert à rien si on ne met pas un truc à cuire dedans. C'est comme des plaques de cuisson, une casserole, une perceuse, une voiture…
[^] # Re: no comment
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Payer ses impôts en choisissant la date. Évalué à  7.
Contester un paiement, c'est facile. Mais contester une partie d'un paiement, c'est infaisable. Le coup des options payantes est tout à fait pertinent, imaginons un fournisseur de téléphonie mobile qui t'abonne d'office à un service de nouvelles sportives par SMS, gratuit le premier mois. Tu ne l'as jamais demandé, mais lui considère que tu y as souscris, même si c'est faux, c'est ce qu'ils ont noté dans leur base de données. Souscrire ainsi un client à un service sans qu'il l'ait demandé, c'est parfaitement interdit, mais c'est fait et c'est comme ça, libre à toi de les attaquer en justice si tu as le temps.
Toujours est-il qu'après un mois, il va commencer à majorer ta facture coût de ce service. Deux possibilités :
[^] # Re: A quoi ça sert ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Payer ses impôts en choisissant la date. Évalué à  3.
Ça s'appelle une fourniture de service, pas du salaire.
[^] # Re: Et?
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Payer ses impôts en choisissant la date. Évalué à  5.
Non, ce que tu as fait, c'est mettre annuler des prélèvements, et mettre des créancier en liste noire. Ta banque peut à tort appeler ça une révocation, ça n'en est pas une, pour la simple raison que ce n'est pas ta banque qui a le mandat, mais le créancier. Pour le révoquer, c'est à lui qu'il faut écrire, et c'est à lui de prendre en compte cette révocation en cessant de prélever, puisque tout nouveau prélèvement serait un prélèvement sans mandat valide, qui passerait très bien mais en totale violation avec le règlement SEPA, lui faisant risquer une radiation globale.
Au cas où ça n'apparaîtrait pas assez clairement dans ce que je viens d'écrire, la prise en compte d'une révocation de mandat dépend uniquement du bon vouloir du créancier. Comme on peut s'attendre à ce que certains ne prennent pas en compte les révocations, les banques proposent souvent une possibilité de bloquer un créancier, de sorte que les prélèvement qu'il pourra tenter seront refusés.
Cela m'est arrivé récemment avec l'assureur d'un prêt immobilier. Ayant remboursé mon prêt par anticipation, j'écrivis à l'assureur pour lui signaler que le prêt était terminé, que par conséquent ma police d'assurance prenait également fin, et qu'ayant déjà réglé la dernière cotisation, je ne leur devais plus rien. Dans la même lettre, je leur signifiai la révocation de leur mandat de prélèvement, leur rappelant qu'ils n'avaient plus rien à prélever sur mon compte, et qu'ils n'avaient désormais plus le droit de le faire. Eh bien, ça ne loupa pas, quelques semaines après, je reçus de leur part une lettre où ils se plaignaient que leur tentative de prélever une nouvelle cotisation avait échouée, que j'étais en défaut de paiement et que si ça continuait ils allaient faire appel à un cabinet de recouvrement, de sorte que je dus leur répondre pour leur rappeler que je n'étais plus client, que cette cotisation était indue, que leur mandat de prélèvement avait été révoqué, que leur tentative était en violation du règlement SEPA et que, en gros, je ne paierai pas. Au vu de leur dernière réponse, je crois qu'ils ont bien compris et laissé tomber l'idée de me soutirer quoi que ce soit.
Bref, tout ça pour dire qu'avec les prélèvements SEPA, il y a deux risques :
Les deux cas sont des violation du règlement SEPA ; pour le premier, une annulation de la transaction frauduleuse suffit, mais pour le second, qui risquerait de se répéter, seule une liste noire permet d'en venir à bout.
[^] # Re: TIP SEPA
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Payer ses impôts en choisissant la date. Évalué à  4.
Un TIP SEPA, c'est un mandat de prélèvement. Valable pour un seul prélèvement, mais le créancier peut s'amuser à l'utiliser plusieurs fois, c'est interdit, mais ça marche.
[^] # Re: Bon vouloir
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au journal Payer ses impôts en choisissant la date. Évalué à  3.
Correction, avec SEPA, par défaut, tout créancier, aussi bien le Trésor Public qu'EdF, peut déjà piocher à son bon vouloir. C'est interdit sans mandat signé par le client, mais c'est tout de même possible. Certaines banques permettent de bloquer les prélèvements sauf pour une liste définie par le client, mais pas toute.
[^] # Re: Perl (ou autres)
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message Copier n fois un paramètre dans une commande en bash (shell?). Évalué à  4.
Les mieux est encore de consulter la norme POSIX. Et effectivement, seq ne fait pas partie des utilitaires standard… Je ne sais pas comment faire ça sans.
[^] # Re: Perl (ou autres)
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message Copier n fois un paramètre dans une commande en bash (shell?). Évalué à  4.
Attention, c'est du Bash, ou du Zsh, mais plus du simple shell POSIX.
[^] # Re: Perl (ou autres)
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message Copier n fois un paramètre dans une commande en bash (shell?). Évalué à  6.
Sans pipe ni recourcs Ă xargs:
[^] # Re: Staging
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message [Troll] Let's Encrypt Tome IV. Évalué à  5.
Un truc qu'il suffit d'installer pour que ça marche, c'est un peu l'esprit du client officiel, Certbot. Bon, il faut aussi le lancer. Mais il est conçu pour les cas simple, et il ne faut pas rêver, un client qu'il suffit d'installer et qui marche dans tous les cas, même avec plusieurs serveurs derrière un proxy inverse, un NAT, avec des ports différents et je ne sais quoi encore, ça n'existera pas. Pour les installation qui dépassent le simple serveur domestique, il faut plutôt compter sur les clients alternatifs qui permettent une grande personnalisation.
[^] # Re: DjVu
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Paperwork 1.1. Évalué à  4.
Paperwork n'est-il pas en Python ? Parce qu'il y a des bindings Python pour DjVuLibre.
Pour Tesseract, apparemment il y a une libtesseract, mais je ne sais pas ce que ça vaut.
Dans ce cas, tu pourrais prendre en charge le DjVu en lecture, pour importer des fichiers réalisés extérieurement.
[^] # Re: DjVu
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Paperwork 1.1. Évalué à  5.
Avant même de regarder la qualité de la compression, il faut déjà s'occuper de la finesse de la numérisation. Si c'est du 100 ou 150 dpi, ça va se voir tout de suite, parce que ce sera pixelisé façon fax. En 200 dpi, ça se verra mais pas forcément immédiatement. En 300 dpi, ça se verra en étant un peu attentif. Et en 600 dpi, ce sera invisible sauf à vraiment chercher très attentivement, et encore. En supposant une impression à 300 dpi.
# DjVu
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse à la dépêche Paperwork 1.1. Évalué à  10. Dernière modification le 06 février 2017 à 13:08.
Salut,
J'ai une suggestion de fonctionnalité : une prise en charge du format DjVu, qui est parfaitement adapté pour les documents numérisé, et qui peut également être OCRisé.
Par exemple, mon cas d'usage pour le DjVu est le suivant. Je souhaite à numériser mes documents avec une qualité suffisante pour qu'une fois réimprimés, un humain ne se rende pas spontanément compte qu'il s'agit d'une copie¹, même s'il pourra toujours le remarquer en l'examinant attentivement. Dans la mesure où nous ne décelons plus facilement les points à partir de 300 dpi, il faut pour cela numériser à 600 dpi. Essayez de stocker ça sous la forme d'un PDF, et vous obtiendrez quelque chose de très lourd, avec en prime une compression avec perte. Essayez cela en DjVu, et vous obtiendrez quelque chose de moins de 100 kio.
Pour info, DjVu est vraiment faire pour cela, avec plusieurs niveaux d'optimisation :
Pour produire un document DjVu à partir d'images (TIFF dans mon cas), j'utilise didjvu, puis ocrodjvu avec tesseract pour y ajouter une couche de texte par OCR. Les documents DjVu peuvent être lus avec Evince, donc probablement avec le bibliothèque Poppler.
Notes :
[^] # Re: heureusement que si
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message UEFI et GRUB. Évalué à  3.
# Une clef USB démarrable en UEFI
Posté par 🚲 Tanguy Ortolo (site web personnel) . En réponse au message Cle usb bootable uefi. Évalué à  4.
Pour info, pour que ta clef USB soit démarrable en UEFI :
/EFI/BOOT/BOOTX64.EFI
(pour un PC en 64 bits ; le nom serait différent pour une autre architecture) ;