Ça ouvre plein de nouveaux problèmes. Que fait-on s'il y a du spam dans la blockchain ?
Comment fait-on pour révoquer un diplôme ?
Comment fait-on pour dépublier un document sensible ?
Il y a toujours des donnée sensibles : informations sur ton infrastructure, code spécifique (version plus complète payante, outils d’admin sys, …), fiches de salaire, base des clients et offres commerciales, nouveaux projets, stratégie pour les années à venir, …
Sans compter les conséquences pour l’image de la boîte.
Quant à résumer les attaques à de simples liens douteux… c’est bien méconnaître les attaques cybercriminelles. Un bon hameçonnage va arriver après plusieurs échanges et sera convaincant. Ou alors ton commercial n’ouvre jamais le moindre devis envoyé en PDF, mais alors j’ai un doute sur son travail.
La sanction RGPD peut tomber pour défaut de sécurisation, indépendamment de la déclaration CNIL.
Le problème des rançongiciels n'est pas que la perte des données, ça fait quand même un certain temps qu'ils pratiquent la double, voire triple, extorsion en menaçant de publier les données récupérées (donc sanction RGPD et diffusion du savoir-faire de l'entreprise).
Et il faut y avoir une offre de service à proposer. Le logiciel libre n’est finalement qu’un produit d’appel et tu te fais payer pour un autre produit (souvent du service). Ce n’est pas toujours viable.
Python n'est pas supporté directement par un navigateur, et pourtant il est populaire chez les cool kids.
Par contre, JavaScript étant le seul à être directement supporté par les navigateurs, ça lui donne évidemment un avantage par rapport aux autres. Le jour où webassembly sera vraiment utilisable et utilisé, cela changera peut-être.
Pour Python, il faudra certainement trouver un compromis pour la bibliothèque standard (elle est bien trop lourde pour être fournie sur chaque page, mais on peut difficilement ne pas en fournir au moins une partie).
Mais l'encadrement consiste à interdire dans de nombreux cas.
L'arrêt de la CJUE dit que ces données ne peuvent pas être conservées de manière indifférenciée ; elles ne peuvent être conservées que sur des critères précis (genre un quartier de ville, sur quelques numéros…).
Jusqu'à présent, quand tu avais un crime quelconque, tu pouvais donc remonter dans le passé sur un an (avec l'encadrement d'un juge d'instruction ou d'un procureur).
Maintenant, comme tu n'as aucun moyen de prédire qu'il y aura un crime (sauf cas exceptionnel…), c'est en pratique effectivement interdit.
Mais bon, la CJUE n'a de compte à rendre à personne sur ses décisions, c'est quand même pratique.
Le raisonnement n'est pas que le 2FA réduira la quantité de projets malveillants, mais que le 2FA réduira le risque de compromission d'un projet légitime.
Passer par Google n'est qu'une possibilité parmi beaucoup d'autres. Mon compte pypi est protégé par 2FA depuis un certain temps, et je n'ai ni matériel Google, ni compte Google.
Ce n’est pas le cas sur les iPhone. Quand tu as l’habitude de le charger la nuit (par exemple), il charge jusqu’à 80% d’un coup, puis reprend la charge peu avant ton réveil.
Il y a beaucoup de magie dans le Yaml d'Ansible, mais alors vraiment trop, à tel point que ce n'est pas du Yaml standard.
Parfois on a du texte sans guillemet, et parfois il faut mettre des guillemets alors que ça ne sera pas du texte (!).
L'autre aspect vraiment regrettable est qu'Ansible n'est pas du tout pensé pour être API-isable, avec simplement un ansible-runner qui fait semblant de l'être.
En terme de sécurité, ça change quand même beaucoup.
Un poste d'admin propre, qui ne sert qu'à de l'administration et vers lequel aucun flux n'est ouvert, est normalement beaucoup plus dur à compromettre qu'un serveur avec des ports ouverts.
De plus, toujours si tu fais les choses proprement (par exemple avec du SSH avec authentification forte), il faudra que l'admin soit devant son poste pour qu'il y ait une action.
Avec un Jenkins, le serveur peut être compromis dans un premier temps et le reste de l'infra compromise à n'importe quelle moment (idéalement le week-end).
Donc si, passer par un Jenkins est bien pire que depuis un PC d'admin.
Dans ce cas, une option est de faire la liste des modules chargés en temps normal avec lsmod et de bloquer tous les autres modules possibles (tu peux les lister).
Là, tu montres que l'IP n'a pas servi de preuve :-)
L'IP permet simplement d'identifier son propriétaire à un moment donné… et c'est tout. C'est très exactement ce que montre ton exemple : ça donne un suspect crédible aux enquêteurs, qui devront ramener des (vrais) éléments à charge.
Identifier un propriétaire d'adresse IP ne veut pas dire identifier un coupable.
Dire que le bitcoin est la cause de la révolte au Kazakhstan est un raccourci un peu violent. Il a peut-être contribué un peu à énerver les gens, mais ça reste une tentative de coup d’Etat classique, si j’ose dire…
Il n'y a pas 24 millions de développeurs de logiciels malveillants.
Et même s'ils étaient 24 millions, ça n'aurait aucun sens d'en coder autant de différents.
Il y aurait en un an 300 fois plus de logiciels malveillants que de paquets Python publiés depuis 20 ans !
Kaspersky parle de fichiers malveillants détectés, il ne dit pas qu'ils sont tous différents.
Ça reste beaucoup trop gros pour être réaliste (et il n'y a strictement aucune raison de faire autant de codes malveillants différents, c'est bien plus rentable de réutiliser au maximum les mêmes).
Parle-t-on vraiment de la même chose ?
Je doute qu'il y ait réellement 107,28 millions de codes malveillants uniques codés en 2021.
Admettons qu'il y ait 10 000 équipes malveillantes dans le monde (ce qui me semble déjà beaucoup), ça veut dire 30 codes écrits par jour… Ils sont productifs, il n'y a pas à dire.
[^] # Re: blockchain et crypto-monnaie sont deux choses différentes
Posté par flan (site web personnel) . En réponse au journal Ethereum prépare son passage de Proof of Work à Proof of Stake. Évalué à 7.
Ça ouvre plein de nouveaux problèmes. Que fait-on s'il y a du spam dans la blockchain ?
Comment fait-on pour révoquer un diplôme ?
Comment fait-on pour dépublier un document sensible ?
[^] # Re: De bonnes raisons ?
Posté par flan (site web personnel) . En réponse au lien Windows prohibé chez Gitlab !!!. Évalué à 4.
Il y a toujours des donnée sensibles : informations sur ton infrastructure, code spécifique (version plus complète payante, outils d’admin sys, …), fiches de salaire, base des clients et offres commerciales, nouveaux projets, stratégie pour les années à venir, …
Sans compter les conséquences pour l’image de la boîte.
Quant à résumer les attaques à de simples liens douteux… c’est bien méconnaître les attaques cybercriminelles. Un bon hameçonnage va arriver après plusieurs échanges et sera convaincant. Ou alors ton commercial n’ouvre jamais le moindre devis envoyé en PDF, mais alors j’ai un doute sur son travail.
La sanction RGPD peut tomber pour défaut de sécurisation, indépendamment de la déclaration CNIL.
[^] # Re: De bonnes raisons ?
Posté par flan (site web personnel) . En réponse au lien Windows prohibé chez Gitlab !!!. Évalué à 3.
Le problème des rançongiciels n'est pas que la perte des données, ça fait quand même un certain temps qu'ils pratiquent la double, voire triple, extorsion en menaçant de publier les données récupérées (donc sanction RGPD et diffusion du savoir-faire de l'entreprise).
[^] # Re: gâchis à tous les niveaux
Posté par flan (site web personnel) . En réponse au journal Une idée pour économiser 2.21 gigowatts sur la bande passante de Youtube. Évalué à 3.
Et qui déciderait ce qui a le droit d'être publié ou pas ?
[^] # Re: Pas d'open source pour votre produit final ?
Posté par flan (site web personnel) . En réponse au lien The Future of Open Source, or Why Open Core Is Dead. Évalué à 4.
Et il faut y avoir une offre de service à proposer. Le logiciel libre n’est finalement qu’un produit d’appel et tu te fais payer pour un autre produit (souvent du service). Ce n’est pas toujours viable.
[^] # Re: Et surtout...
Posté par flan (site web personnel) . En réponse au journal Hypocrisie d'énergie . Évalué à 8.
Et peut-être que 99,5% des déplacements nocturnes ont lieu dans des rues parfaitement éclairées, non ?
[^] # Re: Version courte
Posté par flan (site web personnel) . En réponse au lien why PERL is still relevant in 2022?. Évalué à 2. Dernière modification le 24 juillet 2022 à 10:20.
Python n'est pas supporté directement par un navigateur, et pourtant il est populaire chez les cool kids.
Par contre, JavaScript étant le seul à être directement supporté par les navigateurs, ça lui donne évidemment un avantage par rapport aux autres. Le jour où webassembly sera vraiment utilisable et utilisé, cela changera peut-être.
Pour Python, il faudra certainement trouver un compromis pour la bibliothèque standard (elle est bien trop lourde pour être fournie sur chaque page, mais on peut difficilement ne pas en fournir au moins une partie).
[^] # Re: Cambriolage ?
Posté par flan (site web personnel) . En réponse au lien Données téléphoniques : le diable est dans la facture détaillée. Évalué à 4.
Tu peux savoir si le téléphone était présent dans la zone au moment du cambriolage (mais pour les cambriolages, ce n’est pas fait en pratique)
[^] # Re: HTML
Posté par flan (site web personnel) . En réponse au lien Les limites de Markdown (pour rédiger de la documentation) face aux capacités d’Asciidoc. Évalué à 1.
Pourquoi les retenir ?
Un des avantages est quand même de pouvoir utiliser du WISYWIG assez facilement.
[^] # Re: pas compris
Posté par flan (site web personnel) . En réponse au lien Données téléphoniques : le diable est dans la facture détaillée. Évalué à 1.
Mais l'encadrement consiste à interdire dans de nombreux cas.
L'arrêt de la CJUE dit que ces données ne peuvent pas être conservées de manière indifférenciée ; elles ne peuvent être conservées que sur des critères précis (genre un quartier de ville, sur quelques numéros…).
Jusqu'à présent, quand tu avais un crime quelconque, tu pouvais donc remonter dans le passé sur un an (avec l'encadrement d'un juge d'instruction ou d'un procureur).
Maintenant, comme tu n'as aucun moyen de prédire qu'il y aura un crime (sauf cas exceptionnel…), c'est en pratique effectivement interdit.
Mais bon, la CJUE n'a de compte à rendre à personne sur ses décisions, c'est quand même pratique.
[^] # Re: Je vois pas le rapport!
Posté par flan (site web personnel) . En réponse à la dépêche PyPI déploie le système 2FA pour les projets critiques écrits en Python. Évalué à 6.
C'est en effet de la spéculation.
[^] # Re: Suivre l'argent
Posté par flan (site web personnel) . En réponse au lien « Uber Files » : une plongée inédite et alarmante dans la boîte noire du lobbying. Évalué à 10.
En effet, les taxis parisiens étaient clairement en tête des priorités des électeurs, loin devant le chômage, l’insécurité, etc.
[^] # Re: Une nouvelle étape du capitalisme de surveillance..?
Posté par flan (site web personnel) . En réponse au lien Le captcha ou le jeton de vie privée. Évalué à 0.
Tu analyses peut-être un peu vite…
[^] # Re: USB-D
Posté par flan (site web personnel) . En réponse au journal L'Union européenne va imposer l'USB-C !. Évalué à 4.
Ce n’est pas le cas sur les iPhone. Quand tu as l’habitude de le charger la nuit (par exemple), il charge jusqu’à 80% d’un coup, puis reprend la charge peu avant ton réveil.
[^] # Re: il faudrait le réécrire <s>en Rust</s> !
Posté par flan (site web personnel) . En réponse au journal Test de vie et Ansible : un exemple de réalisation pour mieux comprendre l'outil . Évalué à 3.
Il y a beaucoup de magie dans le Yaml d'Ansible, mais alors vraiment trop, à tel point que ce n'est pas du Yaml standard.
Parfois on a du texte sans guillemet, et parfois il faut mettre des guillemets alors que ça ne sera pas du texte (!).
L'autre aspect vraiment regrettable est qu'Ansible n'est pas du tout pensé pour être API-isable, avec simplement un ansible-runner qui fait semblant de l'être.
[^] # Re: il faudrait le réécrire <s>en Rust</s> !
Posté par flan (site web personnel) . En réponse au journal Test de vie et Ansible : un exemple de réalisation pour mieux comprendre l'outil . Évalué à 2.
En terme de sécurité, ça change quand même beaucoup.
Un poste d'admin propre, qui ne sert qu'à de l'administration et vers lequel aucun flux n'est ouvert, est normalement beaucoup plus dur à compromettre qu'un serveur avec des ports ouverts.
De plus, toujours si tu fais les choses proprement (par exemple avec du SSH avec authentification forte), il faudra que l'admin soit devant son poste pour qu'il y ait une action.
Avec un Jenkins, le serveur peut être compromis dans un premier temps et le reste de l'infra compromise à n'importe quelle moment (idéalement le week-end).
Donc si, passer par un Jenkins est bien pire que depuis un PC d'admin.
[^] # Re: Blocage par liste noire
Posté par flan (site web personnel) . En réponse au message Périphériques USB pour utilisateur, liste blanche par "types" ?. Évalué à 2.
Dans ce cas, une option est de faire la liste des modules chargés en temps normal avec lsmod et de bloquer tous les autres modules possibles (tu peux les lister).
# Blocage par liste noire
Posté par flan (site web personnel) . En réponse au message Périphériques USB pour utilisateur, liste blanche par "types" ?. Évalué à 5.
Il est également possible d’empêcher certains modules noyaux de se charger (dont celui pour le stockage USB) via /etc/modprobe.d/blacklist.
[^] # Re: Adresse IP comme données personnelle : quelle limite
Posté par flan (site web personnel) . En réponse au lien Bientôt la fin des CDN ?. Évalué à 1. Dernière modification le 03 février 2022 à 23:27.
Là, tu montres que l'IP n'a pas servi de preuve :-)
L'IP permet simplement d'identifier son propriétaire à un moment donné… et c'est tout. C'est très exactement ce que montre ton exemple : ça donne un suspect crédible aux enquêteurs, qui devront ramener des (vrais) éléments à charge.
Identifier un propriétaire d'adresse IP ne veut pas dire identifier un coupable.
[^] # Re: Adresse IP comme données personnelle : quelle limite
Posté par flan (site web personnel) . En réponse au lien Bientôt la fin des CDN ?. Évalué à 2.
Comment ça, ça peut servir de preuve pour incriminer une personne ?
[^] # Re: Dur...
Posté par flan (site web personnel) . En réponse au journal Y'a le feu. Évalué à 6.
Le disque hors-ligne reste pourtant le moyen le plus sûr de se prémunir des rançongiciels.
[^] # Re: NFT
Posté par flan (site web personnel) . En réponse au lien Un médecin français tente de vendre en NFT une radio du bras d'une victime du Bataclan. Évalué à 2. Dernière modification le 25 janvier 2022 à 09:58.
Dire que le bitcoin est la cause de la révolte au Kazakhstan est un raccourci un peu violent. Il a peut-être contribué un peu à énerver les gens, mais ça reste une tentative de coup d’Etat classique, si j’ose dire…
[^] # Re: Méfions-nous des pourcentages...
Posté par flan (site web personnel) . En réponse au lien Linux malware sees 35% growth during 2021 [principalement sur l'embarqué]. Évalué à 3.
Il n'y a pas 24 millions de développeurs de logiciels malveillants.
Et même s'ils étaient 24 millions, ça n'aurait aucun sens d'en coder autant de différents.
Il y aurait en un an 300 fois plus de logiciels malveillants que de paquets Python publiés depuis 20 ans !
Kaspersky parle de fichiers malveillants détectés, il ne dit pas qu'ils sont tous différents.
[^] # Re: Méfions-nous des pourcentages...
Posté par flan (site web personnel) . En réponse au lien Linux malware sees 35% growth during 2021 [principalement sur l'embarqué]. Évalué à 2.
Ça reste beaucoup trop gros pour être réaliste (et il n'y a strictement aucune raison de faire autant de codes malveillants différents, c'est bien plus rentable de réutiliser au maximum les mêmes).
[^] # Re: Méfions-nous des pourcentages...
Posté par flan (site web personnel) . En réponse au lien Linux malware sees 35% growth during 2021 [principalement sur l'embarqué]. Évalué à 3.
Parle-t-on vraiment de la même chose ?
Je doute qu'il y ait réellement 107,28 millions de codes malveillants uniques codés en 2021.
Admettons qu'il y ait 10 000 équipes malveillantes dans le monde (ce qui me semble déjà beaucoup), ça veut dire 30 codes écrits par jour… Ils sont productifs, il n'y a pas à dire.