Ensuite une solution est le chiffrement asymétrique, mais on peut aussi imaginer une solution avec du chiffrement symétrique ou d'autres choses encore (SSL en est une par exemple).
Le problème est que le chiffrement symétrique ne passe pas à l'échelle, cela nécessite beaucoup plus de clés pour communiquer avec chaque individu. Et on perd le bénéfice de la signature cryptographique possible avec le chiffrement asymétrique.
"Bosser en root, c'est contourner volontairement tous les garde-fous mis en place par le système"
Et bizarrement, c'est la solution retenue pendant des années par Microsoft pour ses systèmes grand public, avec les résultats que l'on sait en terme d'infection de systèmes et de logiciels de qualité discutable.
Le choix des logiciels libres est souvent argumenté en avançant la stabilité et la sécurité ; cela ne tient pas uniquement à la qualité intrinsèque du code et d'accès aux sources, mais aussi du fait que l'on essaye d'apprendre aux gens à ne pas faire "tout et n'importe quoi" avec le système, y compris utiliser le compte root sans raison.
Enfin question simple : comment vérifier la validité d'un certificat auto-signé sur internet simplement ? Ben il me faut contacter le propriétaire, avec un moyen sécurisé (hors email donc), pas simple…
Non, mais il y a des gens qui travaillent dessus pour permettre la vérification de certificats via des enregistrements DNS : DNS-based Authentication of Named Entities (DANE). Ce n'est pas encore officialisé, et cela requiert DNSSEC pour être vraiment utile. Il faudra être patient. Et pour le coup, si cela est déployé de manière large et supporté par différents clients, cela pourra inverser la balance entre "certificat auto-signé" versus "certificat officiel" (je reste optimiste, je me doute que les autorités de certification actuelles voient cela d'un mauvais œil…).
Et il existe à peu près le même principe avec les enregistrements SSHFP (SSH Fingerprint) expliqué sommairement ici et là.
Il n'y a pas que la NSA, mais aussi un certain nombre d'individus malhonnêtes qui attaquent les autorités de certifications, en vue de créer de "vrai/faux" certificats. Et le principe de confiance vis à vis de ces même autorités de certification est largement écorné.
Il y a également un article dans le magazine MISC paru en septembre (numéro 69).
SSL/TLS peut-être un bon moyen de sécurité, mais il a été promu suite aux débuts commerciaux d'Internet, avec l'essor du commerce électronique, à une époque où peu de gens se préoccupaient de sécurité. Le passage à l'échelle n'a pas été maîtrisé, et beaucoup d'acteurs privés ont instauré leur propre système, sans forcément suivre les "bonnes pratiques".
C'est le genre de situation qu'il est difficile de corriger vu le nombre de facteurs à modifier (mises à jour de sites, éducation des utilisateurs, vérification sérieuse des autorités de certifications, ….).
Je ne connais pas une liste de diffusion (…) sur laquelle il n'y ait pas une seule adresse GMail abonnée (…) Et (quasi)personne n'utilise de PGP/GPG pour chiffrer sur des listes de diffusion parce que c'est trop contraignant,
Le chiffrement n'est clairement pas adapté aux listes de diffusions, à la rigueur la signature de messages l'est. Par ailleurs, nombreuses sont les listes qui sont archivées de manière publique (ce qui peut être fort utile), c'est pour moi de l'expression en espace public, pas des échanges privés. Donc par définition ce n'est pas quelque chose que l'on peut "cacher".
Le chiffrement peut-être une bonne solution pour les échanges privés, mais avant même de s’inquiéter des problèmes des méta-données (qui est effectivement une source d'information non négligeable pour un observateur tiers) il faut déjà avoir des contacts suffisamment rigoureux et compétents pour chiffrer correctement de manière régulière. Et ça, à ma connaissance, c'est très rare. La sécurité est un art difficile et la cryptographie ne rend pas les choses plus simples, je partage ton avis.
Tu peux jeter un œil ici, mais il faudrait que je mette le document à jour sur certains points, et la présentation est surtout centrée autour du courrier électronique (il n'y a rien sur HTTPS ou le chiffrement de fichiers par exemple). À noter qu'il est conseillé de lire le document en mode présentation pour bénéficier des quelques animations. Des notes complémentaires sont aussi disponibles pour plusieurs diapositives (à lire en mode "Notes").
J'ai choisi volontairement de "casser" l'extension, de fait on ne peut pas ouvrir le fichier sauvegardé en double-cliquant dessus par accident. Et si le fichier à le droit d'exécution, le droit est révoqué sur les copies. Il y a également un bout de code qui permet d'ajouter cette fonction dans Dolphin au besoin.
Anciennement client chez Nerim, mais ce FAI ne desservant pas l'autre côté de l'Atlantique, je me retrouve de manière plus ou moins forcée client chez Verizon. La transition n'est pas très heureuse…
Tout dépend comment le constructeur prépare le système : il y a encore des fournisseurs (Dell et HP à ma connaissance) qui proposent de créer un compte "utilisateur" lors du premier démarrage de la machine, qui sera vraisemblablement utilisé par l'utilisateur au quotidien, et ce compte dispose des privilèges administrateurs, même s'il n'en porte pas le nom.
Oui, Microsoft a fait des progrès en terme de sécurité, mais tant que les fournisseurs proposeront des installations "moisies" par défaut et que de plus des éditeurs ne proposent pas de logiciels fonctionnant "normalement" sous un compte utilisateur (je n'ai pas de référence en tête, mais cela doit pouvoir se trouver) alors la sécurité des systèmes Windows en absence d'administrateur système compétent (particuliers, PME/PMI, professions libérales, …) reste un problème.
C'est une question d'éco-système ; où l'on retrouve aussi des aspects commerciaux et juridiques (vente liée).
Selon ton expérience sous Linux et le nombre de de logiciels dont tu as besoin au quotidien, tu peux prendre le temps d'essayer Slackware; KDE y est proposé comme environnement graphique par défaut et l'intégration est très correcte.
Ça me paraît normal, dig ne peut effectuer de requête sur un nom d'hôte qu'avec un nom pleinement qualifié.
Mais le plus important, est que le reverse ne fonctionne pas (…) reverse avec dig NOK (…) A chaque fois que j'essaie un reverse voici ce qu'il y a dasn les logs de named (…) createfetch
C'est à tester et à vérifier mais il semble que l'origine de ce problème soit dans ton fichier 168.192.in-adrr.arpa.reverse :
J'ai récemment fait l'acquisition d'une liseuse Kobo Touch (…)
Qu'est-ce que cela donne en ce qui concerne le support sous Linux ? La liseuse est reconnue en tant que périphérique USB ou c'est moins évident que cela ?
L'option +short peut aussi être utile pour n'obtenir que le résultat sans les lignes supplémentaires, en particulier si l'on souhaite automatiser les tests et comparer les résultats à ce qui est attendu.
est elle aussi ( comment le dire sans troller ) stable que debian. bein je l'ai dit :)
Je n'ai pas autant d'expérience sous Debian, mais pour utiliser Slackware sur plusieurs machines et dans plusieurs contextes (du netbook au serveur, environnement personnel et professionnel) je n'ai jamais eu de souci majeur, quelque soit la version. Slackware fourni moins de logiciels, il faut donc savoir se débrouiller pour installer et configurer ce qui ne vient pas par défaut, c'est peut-être là le plus gros risque d'instabilité (plus d'éventuels pilotes matériels foireux).
Les deux premiers paragraphes abordent la même question (…) Je verrais bien une fusion (titrée par exemple "Comment obtenir Slackware ?"). Le deuxième paragraphe est le plus pratique, je pense que son propos mérite d'être mentionné en premier.
C'est noté, je verrais ce qu'il est possible d'améliorer.
J'y verrais bien aussi une référence aux propos qu'on trouve à la fin du ChangeLog : "Please consider supporting the Slackware project (…)"
Oui, j'y ai pensé aussi : à la fois signaler que le projet dépend financièrement de la boutique, et comment se passent les choses si l'on commande depuis l'Europe (taxes, frais de douane).
J'apprécie l'évocation explicite dès la fin du premier paragraphe de l'intérêt du MD5 et - mieux - de GPG
Reste à expliquer (éventuellement dans une page de documentation distincte) comment vérifier cela, entre autre sous MS Windows (je sais à peu près comment rédiger les choses, c'est une question de temps et de priorité).
Merci pour les encouragements et remarques en tout cas.
Il est possible d'utiliser plusieurs dispositions sous KDE et les choses se font assez facilement. La procédure est expliquée ici.
Pour intervertir la disposition "qwerty" et "qwerty international" il suffit de cliquer sur l'indicateur dans la barre des tâches ou d'utiliser la combinaison "atl + ctrl + k".
J'utilise cela depuis un an et le changement par rapport à l'azerty s'est fait sans trop de douleur.
Mais malheureusement, la plupart des gens se fichent de pouvoir jouer à Quake (1996) en 2012.
Il n'est pas précisé pour quelle raison les chercheurs ont mentionné seulement Quake, qui certes fait figure de dinosaure.
Mais on peut aussi mentionner les moteurs id Tech 3 (utilisé pour Quake III Arena) et id Tech 4 (utilisés pour Doom 3) qui sont également libres et dont la qualité est notable.
Ensuite, il y a une différence entre les jeux dont seul le moteur est libre, et ceux dont tout le contenu est libre.
Ce qui est intéressant avec les messages de la campagne à l'étranger, c'est que l'on reçoit les messages pour les présidentielles mais il y a aussi les législatives qui s'approchent. Et dans mon cas, l'UMP me propose de voter pour le meilleur candidat possible : Frédéric Lefebvre !
J'ai l'honneur d'être le candidat investi officiellement aux législatives dans cette circonscription des français d'Amérique du nord, par mon parti politique et de bénéficier du soutien du Président Nicolas Sarkozy.
(…)
J'ai la conviction que pour vous servir au mieux, il faut mettre à votre disposition une expérience dense et fertile. On apprend tant de l'expérience, des succès et surtout des échecs.
J'aurai tendance à traduire cela par "je suis tellement grillé au niveau national qu'il faut au moins un océan pour espérer récupérer des voix".
Bon et le rapport avec le logiciel libre dans tout ça ? Le user-agent du message est… Mutt.
[^] # Re: Résistance au changement…
Posté par Ellendhel (site web personnel) . En réponse au journal GnuPG peut encore avoir plus de sous. Évalué à 2.
Le problème est que le chiffrement symétrique ne passe pas à l'échelle, cela nécessite beaucoup plus de clés pour communiquer avec chaque individu. Et on perd le bénéfice de la signature cryptographique possible avec le chiffrement asymétrique.
[^] # Re: Pourquoi faire ?
Posté par Ellendhel (site web personnel) . En réponse au journal Contre la phobie du root. Évalué à 10.
Et bizarrement, c'est la solution retenue pendant des années par Microsoft pour ses systèmes grand public, avec les résultats que l'on sait en terme d'infection de systèmes et de logiciels de qualité discutable.
Le choix des logiciels libres est souvent argumenté en avançant la stabilité et la sécurité ; cela ne tient pas uniquement à la qualité intrinsèque du code et d'accès aux sources, mais aussi du fait que l'on essaye d'apprendre aux gens à ne pas faire "tout et n'importe quoi" avec le système, y compris utiliser le compte root sans raison.
Non vraiment, il n'y a pas de raison valable.
[^] # Re: c'est quand meme le tien
Posté par Ellendhel (site web personnel) . En réponse au message Self-hosting et HTTPS. Évalué à 4.
Non, mais il y a des gens qui travaillent dessus pour permettre la vérification de certificats via des enregistrements DNS : DNS-based Authentication of Named Entities (DANE). Ce n'est pas encore officialisé, et cela requiert DNSSEC pour être vraiment utile. Il faudra être patient. Et pour le coup, si cela est déployé de manière large et supporté par différents clients, cela pourra inverser la balance entre "certificat auto-signé" versus "certificat officiel" (je reste optimiste, je me doute que les autorités de certification actuelles voient cela d'un mauvais œil…).
Et il existe à peu près le même principe avec les enregistrements SSHFP (SSH Fingerprint) expliqué sommairement ici et là.
[^] # Re: Attaques au milieu
Posté par Ellendhel (site web personnel) . En réponse au journal Scandale de la NSA et cryptographie, le vrai du faux. Évalué à 6.
Il n'y a pas que la NSA, mais aussi un certain nombre d'individus malhonnêtes qui attaquent les autorités de certifications, en vue de créer de "vrai/faux" certificats. Et le principe de confiance vis à vis de ces même autorités de certification est largement écorné.
http://sid.rstack.org/blog/index.php/455-parce-qu-il-faut-parler-de-diginotar
http://news0ft.blogspot.com/2010/04/ssl-est-casse.html
Il y a également un article dans le magazine MISC paru en septembre (numéro 69).
SSL/TLS peut-être un bon moyen de sécurité, mais il a été promu suite aux débuts commerciaux d'Internet, avec l'essor du commerce électronique, à une époque où peu de gens se préoccupaient de sécurité. Le passage à l'échelle n'a pas été maîtrisé, et beaucoup d'acteurs privés ont instauré leur propre système, sans forcément suivre les "bonnes pratiques".
C'est le genre de situation qu'il est difficile de corriger vu le nombre de facteurs à modifier (mises à jour de sites, éducation des utilisateurs, vérification sérieuse des autorités de certifications, ….).
# DuckDuck Lite
Posté par Ellendhel (site web personnel) . En réponse au journal DuckDuckSux?. Évalué à 10.
Tu peux regarder du côté de DuckDuckGo Lite, qui est un add-on pour Mozilla Firefox :
https://addons.mozilla.org/en-US/firefox/addon/duckduckgo-lite/
Bonus :
Et accessible sans add-on :
https://duckduckgo.com/lite/
[^] # Re: mauvaise solution
Posté par Ellendhel (site web personnel) . En réponse au journal Je ne connaissais pas, maintenant c'est fermé.. Évalué à 4.
Le chiffrement n'est clairement pas adapté aux listes de diffusions, à la rigueur la signature de messages l'est. Par ailleurs, nombreuses sont les listes qui sont archivées de manière publique (ce qui peut être fort utile), c'est pour moi de l'expression en espace public, pas des échanges privés. Donc par définition ce n'est pas quelque chose que l'on peut "cacher".
Le chiffrement peut-être une bonne solution pour les échanges privés, mais avant même de s’inquiéter des problèmes des méta-données (qui est effectivement une source d'information non négligeable pour un observateur tiers) il faut déjà avoir des contacts suffisamment rigoureux et compétents pour chiffrer correctement de manière régulière. Et ça, à ma connaissance, c'est très rare. La sécurité est un art difficile et la cryptographie ne rend pas les choses plus simples, je partage ton avis.
[^] # Re: Jusqu'à quel point…
Posté par Ellendhel (site web personnel) . En réponse au sondage Les révélations sur le programme PRISM.... Évalué à 2.
Tu peux jeter un œil ici, mais il faudrait que je mette le document à jour sur certains points, et la présentation est surtout centrée autour du courrier électronique (il n'y a rien sur HTTPS ou le chiffrement de fichiers par exemple). À noter qu'il est conseillé de lire le document en mode présentation pour bénéficier des quelques animations. Des notes complémentaires sont aussi disponibles pour plusieurs diapositives (à lire en mode "Notes").
Commentaires et remarques bienvenus.
# SQL
Posté par Ellendhel (site web personnel) . En réponse à la dépêche Blagues d'informaticiens. Évalué à 6.
A SQL Query walks into a bar, sees two tables and asks them:
May I join you?
[^] # Re: heu....
Posté par Ellendhel (site web personnel) . En réponse au journal Un petit script pour sauvegarder rapidement un fichier. Évalué à 3.
J'ai un script qui gère ce genre de choses mais qui ne répond pas à tous tes critères vu que l'horodatage est collé après l'extension du fichier :
J'ai choisi volontairement de "casser" l'extension, de fait on ne peut pas ouvrir le fichier sauvegardé en double-cliquant dessus par accident. Et si le fichier à le droit d'exécution, le droit est révoqué sur les copies. Il y a également un bout de code qui permet d'ajouter cette fonction dans Dolphin au besoin.
C'est disponible ici et là.
# Nerim / Verizon
Posté par Ellendhel (site web personnel) . En réponse au sondage Votre FAI. Évalué à 3.
Anciennement client chez Nerim, mais ce FAI ne desservant pas l'autre côté de l'Atlantique, je me retrouve de manière plus ou moins forcée client chez Verizon. La transition n'est pas très heureuse…
[^] # Re: Il y en a partout!
Posté par Ellendhel (site web personnel) . En réponse au sondage La dernière fois que j'ai vu un virus/vers concernant Linux. Évalué à 2.
Tout dépend comment le constructeur prépare le système : il y a encore des fournisseurs (Dell et HP à ma connaissance) qui proposent de créer un compte "utilisateur" lors du premier démarrage de la machine, qui sera vraisemblablement utilisé par l'utilisateur au quotidien, et ce compte dispose des privilèges administrateurs, même s'il n'en porte pas le nom.
Oui, Microsoft a fait des progrès en terme de sécurité, mais tant que les fournisseurs proposeront des installations "moisies" par défaut et que de plus des éditeurs ne proposent pas de logiciels fonctionnant "normalement" sous un compte utilisateur (je n'ai pas de référence en tête, mais cela doit pouvoir se trouver) alors la sécurité des systèmes Windows en absence d'administrateur système compétent (particuliers, PME/PMI, professions libérales, …) reste un problème.
C'est une question d'éco-système ; où l'on retrouve aussi des aspects commerciaux et juridiques (vente liée).
# Slackware propose KDE par défaut
Posté par Ellendhel (site web personnel) . En réponse au message Distribution avec KDE ?. Évalué à 3.
Selon ton expérience sous Linux et le nombre de de logiciels dont tu as besoin au quotidien, tu peux prendre le temps d'essayer Slackware; KDE y est proposé comme environnement graphique par défaut et l'intégration est très correcte.
[^] # Re: Draw avec les icônes de Jean Cartier
Posté par Ellendhel (site web personnel) . En réponse au message Établir une topologie d’un réseau. Évalué à 2.
Il existe aussi les icônes (formats SVG et PNG) proposées par l'OSA sous licence CC-BY-SA :
http://www.opensecurityarchitecture.org/cms/en/library/icon-library
# Quelques erreurs possibles
Posté par Ellendhel (site web personnel) . En réponse au message DNS named. Évalué à 3. Dernière modification le 25 novembre 2012 à 00:19.
Sans domaine dig NOK
Ça me paraît normal, dig ne peut effectuer de requête sur un nom d'hôte qu'avec un nom pleinement qualifié.
Mais le plus important, est que le reverse ne fonctionne pas (…) reverse avec dig NOK (…) A chaque fois que j'essaie un reverse voici ce qu'il y a dasn les logs de named (…) createfetch
C'est à tester et à vérifier mais il semble que l'origine de ce problème soit dans ton fichier 168.192.in-adrr.arpa.reverse :
devrait être remplacé par :
# Support sous Linux ?
Posté par Ellendhel (site web personnel) . En réponse au journal Mini shell script pour optimiser des images pour une liseuse. Évalué à 6.
J'ai récemment fait l'acquisition d'une liseuse Kobo Touch (…)
Qu'est-ce que cela donne en ce qui concerne le support sous Linux ? La liseuse est reconnue en tant que périphérique USB ou c'est moins évident que cela ?
[^] # Re: dig
Posté par Ellendhel (site web personnel) . En réponse au message Comment vérifier les enregistrements SPF d'un nom de domaine?. Évalué à 6.
L'option +short peut aussi être utile pour n'obtenir que le résultat sans les lignes supplémentaires, en particulier si l'on souhaite automatiser les tests et comparer les résultats à ce qui est attendu.
[^] # Re: Super naze
Posté par Ellendhel (site web personnel) . En réponse au journal Échec et mat. Évalué à 7.
Rendre les échecs plus "fun" c'est assez facile, il suffit de trouver une boîte de Tempête sur l'échiquier.
De mon expérience, soit les gens accrochent, soit ils détestent…
[^] # Re: version 14.0 release candidate 1
Posté par Ellendhel (site web personnel) . En réponse au journal Actualité Slackware. Évalué à 3.
Je n'ai pas autant d'expérience sous Debian, mais pour utiliser Slackware sur plusieurs machines et dans plusieurs contextes (du netbook au serveur, environnement personnel et professionnel) je n'ai jamais eu de souci majeur, quelque soit la version. Slackware fourni moins de logiciels, il faut donc savoir se débrouiller pour installer et configurer ce qui ne vient pas par défaut, c'est peut-être là le plus gros risque d'instabilité (plus d'éventuels pilotes matériels foireux).
[^] # Re: FAQ - le support d'installation
Posté par Ellendhel (site web personnel) . En réponse au journal Actualité Slackware. Évalué à 2.
C'est noté, je verrais ce qu'il est possible d'améliorer.
Oui, j'y ai pensé aussi : à la fois signaler que le projet dépend financièrement de la boutique, et comment se passent les choses si l'on commande depuis l'Europe (taxes, frais de douane).
Reste à expliquer (éventuellement dans une page de documentation distincte) comment vérifier cela, entre autre sous MS Windows (je sais à peu près comment rédiger les choses, c'est une question de temps et de priorité).
Merci pour les encouragements et remarques en tout cas.
# Sous KDE, pas de souci
Posté par Ellendhel (site web personnel) . En réponse au journal Comment taper les accents sur un clavier QWERTY?. Évalué à 4.
Il est possible d'utiliser plusieurs dispositions sous KDE et les choses se font assez facilement. La procédure est expliquée ici.
Pour intervertir la disposition "qwerty" et "qwerty international" il suffit de cliquer sur l'indicateur dans la barre des tâches ou d'utiliser la combinaison "atl + ctrl + k".
J'utilise cela depuis un an et le changement par rapport à l'azerty s'est fait sans trop de douleur.
[^] # Re: Trucs intéressants (d'un point de vue libriste)
Posté par Ellendhel (site web personnel) . En réponse au journal RFC 6586: Experiences from an IPv6-Only Network. Évalué à 2.
Il n'est pas précisé pour quelle raison les chercheurs ont mentionné seulement Quake, qui certes fait figure de dinosaure.
Mais on peut aussi mentionner les moteurs id Tech 3 (utilisé pour Quake III Arena) et id Tech 4 (utilisés pour Doom 3) qui sont également libres et dont la qualité est notable.
C'est là que le bât blesse…
# "Frederic Lefebvre, votre candidat."
Posté par Ellendhel (site web personnel) . En réponse au journal Spam électoral des Français à l'étranger, mon bilan. Évalué à 3.
Ce qui est intéressant avec les messages de la campagne à l'étranger, c'est que l'on reçoit les messages pour les présidentielles mais il y a aussi les législatives qui s'approchent. Et dans mon cas, l'UMP me propose de voter pour le meilleur candidat possible : Frédéric Lefebvre !
J'aurai tendance à traduire cela par "je suis tellement grillé au niveau national qu'il faut au moins un océan pour espérer récupérer des voix".
Bon et le rapport avec le logiciel libre dans tout ça ? Le user-agent du message est… Mutt.
[^] # Re: IPV6, intérêts et conséquences pour le grand public
Posté par Ellendhel (site web personnel) . En réponse à la dépêche Activation mondiale de l'IPv6 (World IPv6 Launch). Évalué à 5.
Le support est sur le site de l'auteur : http://www.bortzmeyer.org/transition-ipv6-guilde.html
# Procédure pour Postfix
Posté par Ellendhel (site web personnel) . En réponse au message limiter l'émission de mail en sortie de queue (attention il y a un piège). Évalué à 2.
Réponse tardive, mais il semble que tu ne sois pas le seul à gérer ce problème, et d'autres avant toi on essayé de trouver une solution :
Ralentir le débit de postfix pour wanadoo/orange
# Disponibilité pour Slackware
Posté par Ellendhel (site web personnel) . En réponse à la dépêche KDE SC 4.8 est disponible. Évalué à 6.
Si des utilisateurs de Slackware veulent passer à KDE 4.8, Eric "alienBOB" Hameleers propose déjà les packages correspondants.
Attention toutefois, cela ne sera utilisable que pour Slackware-current, pas pour la version stable.