ghusson a écrit 168 commentaires

Tout d'abord merci beaucoup pour cette explication. J'y vois plus clair.

Concernant la WII : quand je dis standard c'est plutôt standard d'utilisation (cad utilisé majoritairement). Ce n'est pas (encore) le cas des algos basés sur les courbes. Je n'ai pas retrouvé d'info concernant le processus d'authentification du serveur, mais j'ai trouvé ça : http://www.games.slashdot.org/story/07/09/16/0317204/wii-uses-elliptic-curve-cryptography-for-saves

Pour info sur le sujet j'ai trouvé ça qui pourrait t'intéresser : http://www.nist.gov/itl/csd/ct/ecc-workshop.cfm

Je ne sais pas, je n'ai pas lu dans le détail, mais j'ai trouvé ce lien sur le sujet : https://bitcoin.fr/les-confessions-d-un-mineur-de-bitcoin/
J'aime beaucoup les nouveaux métiers du numérique "mineur de bitcoin" ;p
Un autre exemple : http://hackaday.com/2011/08/22/fpga-bitcoin-miner-is-probably-the-most-power-efficient/

Héhéhé, j'aime beaucoup.
Dans le style, j'aime aussi parler du dernier système de partitions… gpt ;p

Firefox, tu le démarre via systemd ou pas ?

Sinon des idées d'optimisations :
- jouer avec le cache mémoire pour les applications
- installer une version dans un FS en mémoire
- enlever le maximum de plugins
- compiler en statique (je ne sais pas si ça peut se faire) ?

Ah rien de plus, plutôt du moins (moins de blabla, de la sélection sur de l'utile/fréquent) :-)
Merci pour les liens, ils sont intéressants !

Ah oui tiens, pourquoi j'ai mis du 755 moi ? L'habitude du /etc/init.d ?
Si un modérateur passe par la, c'est possible de modifier les notes SVP (en 644) ?

"La dictature, c'est "ferme ta gueule". La démocratie, c'est "Cause toujours""
http://jmbbricabrac.free.fr/proverbescitations/politiquecoluche.html
J'attends de voir si des miettes resteront de cette consultation dans la loi qui sera votée (ou pas) :p

Et autre argument en passant :
Quand j'ai vu il y a 2 ans sur ebay des clusters de GPU ou de FPGA pour casser du bitcoin (dont le chiffrement -asymétrique- est lui aussi basé sur sur un algo à courbes elliptiques), je me suis dit qu'il était temps de passer sur les algos qui sortaient des sentiers battus dont les outils de brute force ou presque (j'entends par presque : présentant des optimisation algorithmiques pour le déchiffrement) avaient moins de chance d'exister ou d'être connus.
Et en passant, les processeur ARM avec FPGA intégrés, ils vont servir à quoi aux services de renseignement à votre avis ? ;p

Des myriades des fichiers temporaires non. Des myriades de variables temporaires oui ;p
J'avais préviendu que c'était codé avec les pieds :-)
Merci pour ton exemple plus efficace.

Ok, je comprends mieux l'intérêt. Merci d'avoir partagé :-)

Je comprend tout à fait ton point de vue. De mon côté j'ai été ingé sécu pendant 1 an mais je n'ai jamais passé le temps nécessaire à étudier les algos de chiffrement plus en détail que les concepts généraux (symétrique, asymétrique, hash - ou je sais ce n'est pas du chiffrement :). La c'est pour moi une bonne occasion d'en discuter.

Tout d'abord, j'aimerais comprendre ce que c'est une attaque théorique ? Ça peut pas être mise en pratique facilement ? Ça a jamais été utilisé ? Apparemment ça ne suffit pas à remettre en cause un algo ? Si tu as une doc sur le sujet je suis preneur.

Ensuite pour expliquer ma position AES/twofish :
- AES choisi fin 2000 par le NIST et approuvé par la NSA
- en france : en 2004, plus de limitation légale de la taille des clefs
- 2008 j'achète une WII, je sniffe un peu et ohhhh… l'échange des certificat ne se fait pas selon un standard mais sur un algo asymétrique basé sur les courbes elliptiques
Conclusion dans ma tête :
1) les états on un moyen de déchiffrer simplement (ou au moins plutôt rapidement) les algos posés en standard
2) les industriels passent sur des algos autres
Corollaire : pour choisir un algo, prends en un pas cassé et qui ne soit pas un standard (posé en tant que, ou de fait).
Ce n'est que mon point de vue et je n'ai pas tes connaissances. J'aimerais bien que tu donnes ton avis dessus STP ?

(en passant : désolé de faire diverger le sujet d'origine…)

Et pour info, pourquoi tu n'utilise pas keepass / keepassx pour ton carnet de mots de passes ?

Hou hou… oui en effet j'ai pêché :) . Je ne m'en suis pas soucié parce que je travaille sur XFS et que la reconstitution de données est galère à faire. Mais dans le fond tu as raison ! C'est une amélioration à faire.

La raison je ne la connais plus. Si j'ai fait ça c'est qu'il y a avait quelque chose qui me cassait les noix… Peut être la demande de mot de passe en interface graphique ou une interaction avec le profil utilisateur ?

Je voulais utiliser un algo de chiffrement qui ne soit pas "trop" utilisé.
CCRYPT utilise l'algo Rijndael, choisi pour le standard AES. En bon parano, ça ne me plaît pas.
J'ai préféré utiliser twofish.
Mais ta solution semble simple et efficace, j'aime bien ;)

Perso j'ai fait ça, c'est bien pratique. Si un expert en chiffrement passe par la pour regarder les options choisies (gpg2), se serait sympa ;p C'est codé avec les pieds, en vitesse, avec des fôtes et avec peu de tests d'erreurs mais ça marche :)

# Paternity : G. HUSSON - Liberasys - 2015
# cryptFile <in_file_uncrypted> <out_file_crypted>
cryptFile() {
  if [ $# -ne 2 ]; then
    echo "cryptFile" '<in_file_uncrypted> <out_file_crypted>'
  else
  GPG_AGENT_INFO__=$GPG_AGENT_INFO
  DISPLAY__=$DISPLAY
  unset GPG_AGENT_INFO
  DISPLAY=""
    FILE_UNCRYPTED=$1
    FILE_CRYPTED=$2
    gpg2 --out $FILE_CRYPTED --cipher-algo twofish --symmetric $FILE_UNCRYPTED
    GPG_AGENT_INFO=$GPG_AGENT_INFO__
    DISPLAY=$DISPLAY__
  fi
  }

# unCryptFile <in_file_crypted> <out_file_decrypted>
unCryptFile () {
  if [ $# -ne 2 ]; then
    echo "uncryptFile" '<in_file_crypted> <out_file_decrypted>'
  else
  GPG_AGENT_INFO__=$GPG_AGENT_INFO
  DISPLAY__=$DISPLAY
  unset GPG_AGENT_INFO
  DISPLAY=""
    FILE_UNCRYPTED=$2
    FILE_CRYPTED=$1
    gpg2 --out $FILE_UNCRYPTED --cipher-algo twofish --decrypt $FILE_CRYPTED
    GPG_AGENT_INFO=$GPG_AGENT_INFO__
    DISPLAY=$DISPLAY__
  fi
  }

# cryptDir <in_directory path>
cryptDir() {
  if [ $# -ne 1 ]; then
    echo "cryptDir" '<in_directory path>'
  else
    DIR_UNCRYPTED=$1
    FILE_CRYPTED=./$(basename $1).crypted
    if [ ! -d $DIR_UNCRYPTED ]; then
      echo "directory not found"
    else
      TEMP_GZIP_FILE=tmpCryptDir.$(basename $(/bin/mktemp)).gz
      tar czf $TEMP_GZIP_FILE $DIR_UNCRYPTED
      cryptFile $TEMP_GZIP_FILE $FILE_CRYPTED
      rm $TEMP_GZIP_FILE
    fi
  fi
  }

# unCryptDir <in_file_crypted>
unCryptDir() {
  if [ $# -ne 1 ]; then
    echo "unCryptDir" '<in_file_crypted>'
  else
    DIR_UNCRYPTED="./"
    FILE_CRYPTED=$1
    if [ ! -f $FILE_CRYPTED ]; then
      echo "file not found"
    else
      TEMP_FILE=`/bin/mktemp`
      TEMP_GZIP_FILE=tmpCryptDir.$(basename $(/bin/mktemp)).gz
      unCryptFile $FILE_CRYPTED $TEMP_GZIP_FILE
      tar xfzp $TEMP_GZIP_FILE
      rm $TEMP_GZIP_FILE
    fi
  fi
  }

Je pensai le finaliser avant noël, mais je n'ai pas eu le temps. J'écrirai un billet sur ça plus tard quand ce sera prêt. En attendant, cadeau : http://www.liberasys.com/wiki/doku.php?id=infrastructure:infrastructure
C'est une série de howto pour avoir (sous Debian Jessie) :
- postfix/dovecot avec comptes virtuels
- horde en webmail et activesync/webdav/caldav (voir PS en bas)
- rspamd/rmilter/clamav
- SPF/DKIM/DMARC
Çà représente 3 semaines de boulot. Ça tourne depuis 2 mois pour ma boite et je suis assez content. N'hésitez pas à proposer des améliorations !

Et joyeux nöel :)
Gautier HUSSON - Liberasys

PS : horde, oui horde, ça a repris du poil de la bête ! Tout en open source, pas besoin d'ajouts sur les clients. Dernière news : ils ont réussi leur financement collaboratif pour la compatibilité Exchange 2016.

(pour ceux qui ne connaissent pas ce film : http://www.allocine.fr/film/fichefilm_gen_cfilm=17079.html)
On y arrive et vite…
2013 : sélection : http://www.lepoint.fr/science/connor-premier-bebe-aux-genes-parfaits-30-07-2013-1709829_25.php
en cours : modification : http://www.courrierinternational.com/article/genetique-modification-de-ladn-des-embryons-nous-y-sommes
Je suis de ceux qui pensent que l'Homme n'est pas assez sage (ie trop con, moi le 1er :) pour avoir accès au nucléaire. Alors la sélection/modification génétique n'en parlons pas… Ceci dit, il ne faut pas oublier que la sélection et modification génétique existent depuis pas mal d'années sur les végétaux. Enfin, les nanotechnologies (avec notamment les risques toxicologiques non étudiés) seront le problème suivant…

Bonjour,

Pour moi dolibarr est un ERP, pas un CRM.
Je trouve dolibarr plutôt simple pour gérer des contrats, des propals des factures et des encaissements (comparé à odoo, testé debut 2015). Par contre pour le suivi commercial, il n'y a pas les bonnes fonctions (ERP).
Pour cela, j'ai trouvé (après avoir beaucoup cherché) ça :
https://www.espocrm.com/download/
EspoCRM est un CRM simple, efficace en double licence : fonctions de bases en GPL et extensions (licences variables).
Testez et dites moi ce que vous en pensez, j'aimerais avoir d'autres avis sur ce soft ?

Ah… c'est moche :(
Si tu as envie, teste Hubl.in ?
source et doc d'install :
https://github.com/linagora/hublin

Ah d'accord, j'avais jamais regardé à ça précisément. Et tu as eu des effets de bord ? Des service qui commençaient à se plaindre dans les logs ?
Pour info, j'ai trouvé ça comme doc : http://gerardnico.com/wiki/linux/semaphore
Et je ne sais pas quelle influence ça a de changer ces paramètres. A mon avis, ce n'est pas l'augmentation des capacités en sémaphores qui va pénaliser ton noyau et ta machine, mais le fait de les utiliser… par exemple, est ce que tu peux passer par ipmitools avec zabbix plutôt que d'utiliser Dell OM ? (à propos de zabbix, pour les admins fainéants comme moi, voir ici : https://share.zabbix.com/operating-systems/linux-autodiscovery-disks-proces-tcp-udp-service )

Mais… Mais… Mais…
Ça va pas de lancer un troll comme ça le lundi non ? ;p
Tu aurais pu attendre vendredi pour ton commentaire :)

Bonjour M. Poil, (ça fait très sérieux pour un début de commentaire ;p)
1) Peut être parce que ça semble être une limite raisonnable. Ou peut être que les développeurs noyau (qui ont fait un grand ménage dans les sémaphore il y quelques années car ils se sont rendus compte qu'ils étaient massivement utilisés, alors que dans 90% des cas un mutex suffisait…) ont voulu marquer le coup ?
2) J'aime la redirection vers le point 1)… mais on se pose tous la question inverse : pourquoi as tu besoin de tant de sémaphores ??? (si ce n'est pas indiscret :-)

Sur le sujet, je viens de découvrir les spinlocks (qui n'ont d'intérêt que pour les systèmes multi-processeur et dont l'appréciation dépasse mes connaissances de dev système qui datent de l'école… :).

Ça ne m'étonne pas. Ça a l'air bien fait Jitsi. Et j'ai vu passer une offre de mission pour un POC pour un ministère, c'est dire :) Après c'est encore un peu jeune, mais ça va se faire connaître rapidement si c'est fiable et fonctionnel.