flan a écrit 1848 commentaires

Ça ouvre plein de nouveaux problèmes. Que fait-on s'il y a du spam dans la blockchain ?
Comment fait-on pour révoquer un diplôme ?
Comment fait-on pour dépublier un document sensible ?

Il y a toujours des donnée sensibles : informations sur ton infrastructure, code spécifique (version plus complète payante, outils d’admin sys, …), fiches de salaire, base des clients et offres commerciales, nouveaux projets, stratégie pour les années à venir, …
Sans compter les conséquences pour l’image de la boîte.

Quant à résumer les attaques à de simples liens douteux… c’est bien méconnaître les attaques cybercriminelles. Un bon hameçonnage va arriver après plusieurs échanges et sera convaincant. Ou alors ton commercial n’ouvre jamais le moindre devis envoyé en PDF, mais alors j’ai un doute sur son travail.

La sanction RGPD peut tomber pour défaut de sécurisation, indépendamment de la déclaration CNIL.

Le problème des rançongiciels n'est pas que la perte des données, ça fait quand même un certain temps qu'ils pratiquent la double, voire triple, extorsion en menaçant de publier les données récupérées (donc sanction RGPD et diffusion du savoir-faire de l'entreprise).

Et qui déciderait ce qui a le droit d'être publié ou pas ?

Et il faut y avoir une offre de service à proposer. Le logiciel libre n’est finalement qu’un produit d’appel et tu te fais payer pour un autre produit (souvent du service). Ce n’est pas toujours viable.

99% des délits et méfaits nocturnes ont lieu dans des rues parfaitement éclairées

Et peut-être que 99,5% des déplacements nocturnes ont lieu dans des rues parfaitement éclairées, non ?

Python n'est pas supporté directement par un navigateur, et pourtant il est populaire chez les cool kids.

Par contre, JavaScript étant le seul à être directement supporté par les navigateurs, ça lui donne évidemment un avantage par rapport aux autres. Le jour où webassembly sera vraiment utilisable et utilisé, cela changera peut-être.

Pour Python, il faudra certainement trouver un compromis pour la bibliothèque standard (elle est bien trop lourde pour être fournie sur chaque page, mais on peut difficilement ne pas en fournir au moins une partie).

Tu peux savoir si le téléphone était présent dans la zone au moment du cambriolage (mais pour les cambriolages, ce n’est pas fait en pratique)

Pourquoi les retenir ?
Un des avantages est quand même de pouvoir utiliser du WISYWIG assez facilement.

Mais l'encadrement consiste à interdire dans de nombreux cas.
L'arrêt de la CJUE dit que ces données ne peuvent pas être conservées de manière indifférenciée ; elles ne peuvent être conservées que sur des critères précis (genre un quartier de ville, sur quelques numéros…).

Jusqu'à présent, quand tu avais un crime quelconque, tu pouvais donc remonter dans le passé sur un an (avec l'encadrement d'un juge d'instruction ou d'un procureur).
Maintenant, comme tu n'as aucun moyen de prédire qu'il y aura un crime (sauf cas exceptionnel…), c'est en pratique effectivement interdit.

Mais bon, la CJUE n'a de compte à rendre à personne sur ses décisions, c'est quand même pratique.

C'est en effet de la spéculation.

• Le raisonnement n'est pas que le 2FA réduira la quantité de projets malveillants, mais que le 2FA réduira le risque de compromission d'un projet légitime.
• Passer par Google n'est qu'une possibilité parmi beaucoup d'autres. Mon compte pypi est protégé par 2FA depuis un certain temps, et je n'ai ni matériel Google, ni compte Google.

En effet, les taxis parisiens étaient clairement en tête des priorités des électeurs, loin devant le chômage, l’insécurité, etc.

Tu analyses peut-être un peu vite…

Ce n’est pas le cas sur les iPhone. Quand tu as l’habitude de le charger la nuit (par exemple), il charge jusqu’à 80% d’un coup, puis reprend la charge peu avant ton réveil.

Il y a beaucoup de magie dans le Yaml d'Ansible, mais alors vraiment trop, à tel point que ce n'est pas du Yaml standard.
Parfois on a du texte sans guillemet, et parfois il faut mettre des guillemets alors que ça ne sera pas du texte (!).

L'autre aspect vraiment regrettable est qu'Ansible n'est pas du tout pensé pour être API-isable, avec simplement un ansible-runner qui fait semblant de l'être.

En terme de sécurité, ça change quand même beaucoup.

Un poste d'admin propre, qui ne sert qu'à de l'administration et vers lequel aucun flux n'est ouvert, est normalement beaucoup plus dur à compromettre qu'un serveur avec des ports ouverts.
De plus, toujours si tu fais les choses proprement (par exemple avec du SSH avec authentification forte), il faudra que l'admin soit devant son poste pour qu'il y ait une action.
Avec un Jenkins, le serveur peut être compromis dans un premier temps et le reste de l'infra compromise à n'importe quelle moment (idéalement le week-end).

Donc si, passer par un Jenkins est bien pire que depuis un PC d'admin.

Dans ce cas, une option est de faire la liste des modules chargés en temps normal avec lsmod et de bloquer tous les autres modules possibles (tu peux les lister).

Il est également possible d’empêcher certains modules noyaux de se charger (dont celui pour le stockage USB) via /etc/modprobe.d/blacklist.

Là, tu montres que l'IP n'a pas servi de preuve :-)

L'IP permet simplement d'identifier son propriétaire à un moment donné… et c'est tout. C'est très exactement ce que montre ton exemple : ça donne un suspect crédible aux enquêteurs, qui devront ramener des (vrais) éléments à charge.

Identifier un propriétaire d'adresse IP ne veut pas dire identifier un coupable.

Comment ça, ça peut servir de preuve pour incriminer une personne ?

Personnellement, je trouve bizarre qu'on parle encore de disques USB pour de la sauvegarde.

Le disque hors-ligne reste pourtant le moyen le plus sûr de se prémunir des rançongiciels.

Dire que le bitcoin est la cause de la révolte au Kazakhstan est un raccourci un peu violent. Il a peut-être contribué un peu à énerver les gens, mais ça reste une tentative de coup d’Etat classique, si j’ose dire…

Il n'y a pas 24 millions de développeurs de logiciels malveillants.
Et même s'ils étaient 24 millions, ça n'aurait aucun sens d'en coder autant de différents.
Il y aurait en un an 300 fois plus de logiciels malveillants que de paquets Python publiés depuis 20 ans !
Kaspersky parle de fichiers malveillants détectés, il ne dit pas qu'ils sont tous différents.

Ça reste beaucoup trop gros pour être réaliste (et il n'y a strictement aucune raison de faire autant de codes malveillants différents, c'est bien plus rentable de réutiliser au maximum les mêmes).

Parle-t-on vraiment de la même chose ?
Je doute qu'il y ait réellement 107,28 millions de codes malveillants uniques codés en 2021.
Admettons qu'il y ait 10 000 équipes malveillantes dans le monde (ce qui me semble déjà beaucoup), ça veut dire 30 codes écrits par jour… Ils sont productifs, il n'y a pas à dire.