Quant à mettre à jour les logiciels, c'est la même chose lors du déploiement de nouveaux algorithmes, y compris pour OpenSSH, TLS, etc.
Si, justement : le client et le serveur se mettent d'accord pour utiliser le meilleur choix disponible chez les deux parties.
Imaginons que mon serveur Wireguard a été mis à jour et mon client en fonctionne donc plus. Comment suis-je censé mettre à jour mon client sans VPN ? Que dois-je faire si le client n'est pas encore disponible pour une raison X ou Y (les deux ne sont pas sous le même OS) ?
Ce qui veut dire faire évoluer en même temps client et serveur. Ça risque d'être compliqué sur le long terme, surtout si un même client peut utiliser deux serveurs différents.
Je tique un peu sur cette remarque.
Est-ce ce que cela signifie qu'une seule seule crypto est actuellement proposée mais que le protocole offre un mécanisme de négociation comme en TLS, ou n'y a-t-il pas de négociation du tout ?
Mais… tu l’as par définition du diplôme. Un diplôme étatique, c’est l’Etat qui dit que telle personne a un niveau donné.
si tu fais confiance au diplôme, c’est que tu fais confiance à l’Etat.
En fait, tu n'as aucune contrainte sous Linux, même pas sur le système de fichiers (ce qui peut avoir des conséquences cocasses, comme avoir deux fichiers avec exactement le même nom au sens UTF-8).
En pratique, une base de données nationale (pour les diplômes nationaux) fonctionnerait très bien : il suffirait de faire une interface de consultation dans laquelle on saisirait les informations du diplômes (nom, prénom, etc.) et qui répondrait s'il existe bien.
Ça ouvre plein de nouveaux problèmes. Que fait-on s'il y a du spam dans la blockchain ?
Comment fait-on pour révoquer un diplôme ?
Comment fait-on pour dépublier un document sensible ?
Il y a toujours des donnée sensibles : informations sur ton infrastructure, code spécifique (version plus complète payante, outils d’admin sys, …), fiches de salaire, base des clients et offres commerciales, nouveaux projets, stratégie pour les années à venir, …
Sans compter les conséquences pour l’image de la boîte.
Quant à résumer les attaques à de simples liens douteux… c’est bien méconnaître les attaques cybercriminelles. Un bon hameçonnage va arriver après plusieurs échanges et sera convaincant. Ou alors ton commercial n’ouvre jamais le moindre devis envoyé en PDF, mais alors j’ai un doute sur son travail.
La sanction RGPD peut tomber pour défaut de sécurisation, indépendamment de la déclaration CNIL.
Le problème des rançongiciels n'est pas que la perte des données, ça fait quand même un certain temps qu'ils pratiquent la double, voire triple, extorsion en menaçant de publier les données récupérées (donc sanction RGPD et diffusion du savoir-faire de l'entreprise).
Et il faut y avoir une offre de service à proposer. Le logiciel libre n’est finalement qu’un produit d’appel et tu te fais payer pour un autre produit (souvent du service). Ce n’est pas toujours viable.
Python n'est pas supporté directement par un navigateur, et pourtant il est populaire chez les cool kids.
Par contre, JavaScript étant le seul à être directement supporté par les navigateurs, ça lui donne évidemment un avantage par rapport aux autres. Le jour où webassembly sera vraiment utilisable et utilisé, cela changera peut-être.
Pour Python, il faudra certainement trouver un compromis pour la bibliothèque standard (elle est bien trop lourde pour être fournie sur chaque page, mais on peut difficilement ne pas en fournir au moins une partie).
Mais l'encadrement consiste à interdire dans de nombreux cas.
L'arrêt de la CJUE dit que ces données ne peuvent pas être conservées de manière indifférenciée ; elles ne peuvent être conservées que sur des critères précis (genre un quartier de ville, sur quelques numéros…).
Jusqu'à présent, quand tu avais un crime quelconque, tu pouvais donc remonter dans le passé sur un an (avec l'encadrement d'un juge d'instruction ou d'un procureur).
Maintenant, comme tu n'as aucun moyen de prédire qu'il y aura un crime (sauf cas exceptionnel…), c'est en pratique effectivement interdit.
Mais bon, la CJUE n'a de compte à rendre à personne sur ses décisions, c'est quand même pratique.
Le raisonnement n'est pas que le 2FA réduira la quantité de projets malveillants, mais que le 2FA réduira le risque de compromission d'un projet légitime.
Passer par Google n'est qu'une possibilité parmi beaucoup d'autres. Mon compte pypi est protégé par 2FA depuis un certain temps, et je n'ai ni matériel Google, ni compte Google.
Ce n’est pas le cas sur les iPhone. Quand tu as l’habitude de le charger la nuit (par exemple), il charge jusqu’à 80% d’un coup, puis reprend la charge peu avant ton réveil.
Il y a beaucoup de magie dans le Yaml d'Ansible, mais alors vraiment trop, à tel point que ce n'est pas du Yaml standard.
Parfois on a du texte sans guillemet, et parfois il faut mettre des guillemets alors que ça ne sera pas du texte (!).
L'autre aspect vraiment regrettable est qu'Ansible n'est pas du tout pensé pour être API-isable, avec simplement un ansible-runner qui fait semblant de l'être.
En terme de sécurité, ça change quand même beaucoup.
Un poste d'admin propre, qui ne sert qu'à de l'administration et vers lequel aucun flux n'est ouvert, est normalement beaucoup plus dur à compromettre qu'un serveur avec des ports ouverts.
De plus, toujours si tu fais les choses proprement (par exemple avec du SSH avec authentification forte), il faudra que l'admin soit devant son poste pour qu'il y ait une action.
Avec un Jenkins, le serveur peut être compromis dans un premier temps et le reste de l'infra compromise à n'importe quelle moment (idéalement le week-end).
Donc si, passer par un Jenkins est bien pire que depuis un PC d'admin.
Dans ce cas, une option est de faire la liste des modules chargés en temps normal avec lsmod et de bloquer tous les autres modules possibles (tu peux les lister).
Là, tu montres que l'IP n'a pas servi de preuve :-)
L'IP permet simplement d'identifier son propriétaire à un moment donné… et c'est tout. C'est très exactement ce que montre ton exemple : ça donne un suspect crédible aux enquêteurs, qui devront ramener des (vrais) éléments à charge.
Identifier un propriétaire d'adresse IP ne veut pas dire identifier un coupable.
[^] # Re: Une seule suite crypto ?
Posté par flan (site web personnel) . En réponse à la dépêche WireGuard, protocole de communication chiffré sur UDP et logiciel libre. Évalué à 3.
Si, justement : le client et le serveur se mettent d'accord pour utiliser le meilleur choix disponible chez les deux parties.
Imaginons que mon serveur Wireguard a été mis à jour et mon client en fonctionne donc plus. Comment suis-je censé mettre à jour mon client sans VPN ? Que dois-je faire si le client n'est pas encore disponible pour une raison X ou Y (les deux ne sont pas sous le même OS) ?
[^] # Re: Une seule suite crypto ?
Posté par flan (site web personnel) . En réponse à la dépêche WireGuard, protocole de communication chiffré sur UDP et logiciel libre. Évalué à 6.
Ce qui veut dire faire évoluer en même temps client et serveur. Ça risque d'être compliqué sur le long terme, surtout si un même client peut utiliser deux serveurs différents.
# Une seule suite crypto ?
Posté par flan (site web personnel) . En réponse à la dépêche WireGuard, protocole de communication chiffré sur UDP et logiciel libre. Évalué à 4.
Je tique un peu sur cette remarque.
Est-ce ce que cela signifie qu'une seule seule crypto est actuellement proposée mais que le protocole offre un mécanisme de négociation comme en TLS, ou n'y a-t-il pas de négociation du tout ?
[^] # Re: blockchain et crypto-monnaie sont deux choses différentes
Posté par flan (site web personnel) . En réponse au journal Ethereum prépare son passage de Proof of Work à Proof of Stake. Évalué à 10.
Mais… tu l’as par définition du diplôme. Un diplôme étatique, c’est l’Etat qui dit que telle personne a un niveau donné.
si tu fais confiance au diplôme, c’est que tu fais confiance à l’Etat.
[^] # Re: Interfaçage avec autres libs ?
Posté par flan (site web personnel) . En réponse au journal htag : realiser des UI en python3 sur web, mobile et desktop.. Évalué à 3. Dernière modification le 18 août 2022 à 15:51.
En fait, tu n'as aucune contrainte sous Linux, même pas sur le système de fichiers (ce qui peut avoir des conséquences cocasses, comme avoir deux fichiers avec exactement le même nom au sens UTF-8).
[^] # Re: blockchain et crypto-monnaie sont deux choses différentes
Posté par flan (site web personnel) . En réponse au journal Ethereum prépare son passage de Proof of Work à Proof of Stake. Évalué à 7.
En pratique, une base de données nationale (pour les diplômes nationaux) fonctionnerait très bien : il suffirait de faire une interface de consultation dans laquelle on saisirait les informations du diplômes (nom, prénom, etc.) et qui répondrait s'il existe bien.
[^] # Re: blockchain et crypto-monnaie sont deux choses différentes
Posté par flan (site web personnel) . En réponse au journal Ethereum prépare son passage de Proof of Work à Proof of Stake. Évalué à 7.
Ça ouvre plein de nouveaux problèmes. Que fait-on s'il y a du spam dans la blockchain ?
Comment fait-on pour révoquer un diplôme ?
Comment fait-on pour dépublier un document sensible ?
[^] # Re: De bonnes raisons ?
Posté par flan (site web personnel) . En réponse au lien Windows prohibé chez Gitlab !!!. Évalué à 4.
Il y a toujours des donnée sensibles : informations sur ton infrastructure, code spécifique (version plus complète payante, outils d’admin sys, …), fiches de salaire, base des clients et offres commerciales, nouveaux projets, stratégie pour les années à venir, …
Sans compter les conséquences pour l’image de la boîte.
Quant à résumer les attaques à de simples liens douteux… c’est bien méconnaître les attaques cybercriminelles. Un bon hameçonnage va arriver après plusieurs échanges et sera convaincant. Ou alors ton commercial n’ouvre jamais le moindre devis envoyé en PDF, mais alors j’ai un doute sur son travail.
La sanction RGPD peut tomber pour défaut de sécurisation, indépendamment de la déclaration CNIL.
[^] # Re: De bonnes raisons ?
Posté par flan (site web personnel) . En réponse au lien Windows prohibé chez Gitlab !!!. Évalué à 3.
Le problème des rançongiciels n'est pas que la perte des données, ça fait quand même un certain temps qu'ils pratiquent la double, voire triple, extorsion en menaçant de publier les données récupérées (donc sanction RGPD et diffusion du savoir-faire de l'entreprise).
[^] # Re: gâchis à tous les niveaux
Posté par flan (site web personnel) . En réponse au journal Une idée pour économiser 2.21 gigowatts sur la bande passante de Youtube. Évalué à 3.
Et qui déciderait ce qui a le droit d'être publié ou pas ?
[^] # Re: Pas d'open source pour votre produit final ?
Posté par flan (site web personnel) . En réponse au lien The Future of Open Source, or Why Open Core Is Dead. Évalué à 4.
Et il faut y avoir une offre de service à proposer. Le logiciel libre n’est finalement qu’un produit d’appel et tu te fais payer pour un autre produit (souvent du service). Ce n’est pas toujours viable.
[^] # Re: Et surtout...
Posté par flan (site web personnel) . En réponse au journal Hypocrisie d'énergie . Évalué à 8.
Et peut-être que 99,5% des déplacements nocturnes ont lieu dans des rues parfaitement éclairées, non ?
[^] # Re: Version courte
Posté par flan (site web personnel) . En réponse au lien why PERL is still relevant in 2022?. Évalué à 2. Dernière modification le 24 juillet 2022 à 10:20.
Python n'est pas supporté directement par un navigateur, et pourtant il est populaire chez les cool kids.
Par contre, JavaScript étant le seul à être directement supporté par les navigateurs, ça lui donne évidemment un avantage par rapport aux autres. Le jour où webassembly sera vraiment utilisable et utilisé, cela changera peut-être.
Pour Python, il faudra certainement trouver un compromis pour la bibliothèque standard (elle est bien trop lourde pour être fournie sur chaque page, mais on peut difficilement ne pas en fournir au moins une partie).
[^] # Re: Cambriolage ?
Posté par flan (site web personnel) . En réponse au lien Données téléphoniques : le diable est dans la facture détaillée. Évalué à 4.
Tu peux savoir si le téléphone était présent dans la zone au moment du cambriolage (mais pour les cambriolages, ce n’est pas fait en pratique)
[^] # Re: HTML
Posté par flan (site web personnel) . En réponse au lien Les limites de Markdown (pour rédiger de la documentation) face aux capacités d’Asciidoc. Évalué à 1.
Pourquoi les retenir ?
Un des avantages est quand même de pouvoir utiliser du WISYWIG assez facilement.
[^] # Re: pas compris
Posté par flan (site web personnel) . En réponse au lien Données téléphoniques : le diable est dans la facture détaillée. Évalué à 1.
Mais l'encadrement consiste à interdire dans de nombreux cas.
L'arrêt de la CJUE dit que ces données ne peuvent pas être conservées de manière indifférenciée ; elles ne peuvent être conservées que sur des critères précis (genre un quartier de ville, sur quelques numéros…).
Jusqu'à présent, quand tu avais un crime quelconque, tu pouvais donc remonter dans le passé sur un an (avec l'encadrement d'un juge d'instruction ou d'un procureur).
Maintenant, comme tu n'as aucun moyen de prédire qu'il y aura un crime (sauf cas exceptionnel…), c'est en pratique effectivement interdit.
Mais bon, la CJUE n'a de compte à rendre à personne sur ses décisions, c'est quand même pratique.
[^] # Re: Je vois pas le rapport!
Posté par flan (site web personnel) . En réponse à la dépêche PyPI déploie le système 2FA pour les projets critiques écrits en Python. Évalué à 6.
C'est en effet de la spéculation.
[^] # Re: Suivre l'argent
Posté par flan (site web personnel) . En réponse au lien « Uber Files » : une plongée inédite et alarmante dans la boîte noire du lobbying. Évalué à 10.
En effet, les taxis parisiens étaient clairement en tête des priorités des électeurs, loin devant le chômage, l’insécurité, etc.
[^] # Re: Une nouvelle étape du capitalisme de surveillance..?
Posté par flan (site web personnel) . En réponse au lien Le captcha ou le jeton de vie privée. Évalué à 0.
Tu analyses peut-être un peu vite…
[^] # Re: USB-D
Posté par flan (site web personnel) . En réponse au journal L'Union européenne va imposer l'USB-C !. Évalué à 4.
Ce n’est pas le cas sur les iPhone. Quand tu as l’habitude de le charger la nuit (par exemple), il charge jusqu’à 80% d’un coup, puis reprend la charge peu avant ton réveil.
[^] # Re: il faudrait le réécrire <s>en Rust</s> !
Posté par flan (site web personnel) . En réponse au journal Test de vie et Ansible : un exemple de réalisation pour mieux comprendre l'outil . Évalué à 3.
Il y a beaucoup de magie dans le Yaml d'Ansible, mais alors vraiment trop, à tel point que ce n'est pas du Yaml standard.
Parfois on a du texte sans guillemet, et parfois il faut mettre des guillemets alors que ça ne sera pas du texte (!).
L'autre aspect vraiment regrettable est qu'Ansible n'est pas du tout pensé pour être API-isable, avec simplement un ansible-runner qui fait semblant de l'être.
[^] # Re: il faudrait le réécrire <s>en Rust</s> !
Posté par flan (site web personnel) . En réponse au journal Test de vie et Ansible : un exemple de réalisation pour mieux comprendre l'outil . Évalué à 2.
En terme de sécurité, ça change quand même beaucoup.
Un poste d'admin propre, qui ne sert qu'à de l'administration et vers lequel aucun flux n'est ouvert, est normalement beaucoup plus dur à compromettre qu'un serveur avec des ports ouverts.
De plus, toujours si tu fais les choses proprement (par exemple avec du SSH avec authentification forte), il faudra que l'admin soit devant son poste pour qu'il y ait une action.
Avec un Jenkins, le serveur peut être compromis dans un premier temps et le reste de l'infra compromise à n'importe quelle moment (idéalement le week-end).
Donc si, passer par un Jenkins est bien pire que depuis un PC d'admin.
[^] # Re: Blocage par liste noire
Posté par flan (site web personnel) . En réponse au message Périphériques USB pour utilisateur, liste blanche par "types" ?. Évalué à 2.
Dans ce cas, une option est de faire la liste des modules chargés en temps normal avec lsmod et de bloquer tous les autres modules possibles (tu peux les lister).
# Blocage par liste noire
Posté par flan (site web personnel) . En réponse au message Périphériques USB pour utilisateur, liste blanche par "types" ?. Évalué à 5.
Il est également possible d’empêcher certains modules noyaux de se charger (dont celui pour le stockage USB) via /etc/modprobe.d/blacklist.
[^] # Re: Adresse IP comme données personnelle : quelle limite
Posté par flan (site web personnel) . En réponse au lien Bientôt la fin des CDN ?. Évalué à 1. Dernière modification le 03 février 2022 à 23:27.
Là, tu montres que l'IP n'a pas servi de preuve :-)
L'IP permet simplement d'identifier son propriétaire à un moment donné… et c'est tout. C'est très exactement ce que montre ton exemple : ça donne un suspect crédible aux enquêteurs, qui devront ramener des (vrais) éléments à charge.
Identifier un propriétaire d'adresse IP ne veut pas dire identifier un coupable.