Glandos a écrit 1325 commentaires

Il y a également la notion sociologique de confiance, que je n'ai pourtant pas vraiment vue.

Quand on vote au sein d'une organisation relativement petite, si on pense que l'élection est truquée, on a plusieurs moyens accessibles. Mais surtout, la perte de confiance dans le système est relativement faible, le reste continue de fonctionner.
Quand cette même perte de confiance concerne un vote au niveau de la société, elle devient énorme. Si on n'a plus confiance dans son système électoral, c'est l'instabilité assurée, voire la révolution. Je pense que l'assaut du Capitole aux États-Unis en est un très bon exemple.

Le système électoral doit inspirer la confiance, sans avoir besoin de lire le manuel. Je serai le premier à apprécier un vote électronique à distance, mais pour l'instant, on a rien fait de mieux qu'un bulletin de papier dans une grande boîte transparente et fermée. Et devant laquelle on peut faire le pied de grue jusqu'au dépouillement.

La Suisse a investi plus d'un million de francs pour vérifier son système. Et il n'est pas encore parfait. Donc l'auteur se demande comment les autres pays peuvent mettre en place ce vote alors qu'ils n'ont rien dépensé pour des audits indépendants.

Ah, une phrase que je trouve très importante :

Scientists do not know how to make an adequately secure internet voting system without paper.

Car le système suisse repose sur l'envoi de codes sur papier. Out-of-band donc.

De ce que j'ai compris, c'est plus ou moins ce que les membres de sessions on fait avec Session : https://getsession.org

 

AH

Ça c'est intéressant. Enfin, on n'a pas besoin d'un smartphone pour se connecter.
À part Matrix, Wired et Rocket.chat, j'en n'avais pas trouvé beaucoup…

Bon, je vais garder mon compte Session un temps, pis on verra bien. En tout cas, j'apprécie l'initiative.

Oui, le modèle de Signal me dérange un peu, parce que je suis auto-hébergeur.

Mais franchement, plus les gens l'utilisent face à WhatsApp, plus je suis content.

Non, ce qui me gêne le plus, c'est que le modèle « centralisé » des clients E2EE est faible face aux législateurs qui souhaitent introduire des portes dérobées dans le chiffrement.

Matrix est insensible à cela, parce que les clients sont nombreux, et le protocole est ouvert. Signal est en position de faiblesse pour ça. C'est dommage, parce qu'il suffirait de peu pour basculer dans l'autre camp.

https://www.lemonde.fr/politique/article/2022/07/01/le-comite-contre-les-violences-sexistes-de-la-france-insoumise-prend-la-defense-d-eric-coquerel_6132811_823448.html

La députée écologiste Sandrine Rousseau affirme avoir cherché des témoignages susceptibles d’étayer ces accusations dès que la question de sa candidature s’est posée, mais n’avoir rien recueilli qui puisse les confirmer.

Je ne suis pas sûr que Sandrine Rousseau soit complaisante dans ce genre d'affaires.

Oui, ce sont les membres de LFI qui ont pris sa « défense ». Mais là, jusqu'à preuve du contraire, ce ne sont que des rumeurs. Déjà que l'écartement public sur la base d'accusation va à l'encontre du droit (même si ça va dans le bon sens), si on franchit la limite des rumeurs, on va vers une société d'insécurité.

Ce que j'en retiens, c'est que les gens doivent savoir ce qu'est une URI/URL. C'est très important.

Et ce que je vois, c'est que les navigateurs cherchent à nous les cacher, en les raccourcissant, en les mettant en grisé, en virant le protocole, etc.

Je ne sais pas si on va dans la bonne direction :)

Je peux leur conseiller la même chose :

Et encore, uBlock a bloqué des sentry. Globalement, c'est quand même pas mal, « seulement » 604,4 Ko transféré.

Mais en enlevant sentry.io et chatwoot.com, ça serait encore mieux ;)

Merci de me confirmer que certaines distributions Android ont pris le problème au sérieux.

J'ai un Samsung A40, surcouche Samsung, impossible à changer…

Ceci dit, il est assez simple de désactiver les notifications.

Ah oui, mais moi, ça m'intéresse d'être notifié d'un message. Mais je ne veux pas qu'il me le rappelle constamment à chaque nouveau message, ça me rend fou. Et désagréable avec mes collègues.

Il y a peu, on m'a forcé mis un smartphone dans les mains, que j'utilise pour Teams. Quand des gens envoient des messages un peu hachés (vous savez du genre « Salut » « ça va ? » « tu peux m'aidé » « aider » « j'ai un pb » « gros » en 10 secondes), ça fait autant de notifications.

Je me suis dit « nooooooooon, mais ça, Android propose forcément une limitation des notifications. Genre 1 notification sonore par application toutes les 10 secondes maximum.

Je suis bien tombé des nues. Visiblement, personne n'a dû trouver ça intéressant de le faire, et préfère se faire harceler par son smartphone. Oui, ça bip-bip en permanence jusqu'à ce que tu le regardes : c'est du harcèlement.

Oh, Android est verrouillé, je ne peux pas installer d'application non autorisée. Si ce n'est pas dans Android, il faut que je laisse tomber… Mais si vous avez des solutions / pistes, n'hésitez pas à en parler, ça peut également servir à DeltaChat.

Évidemment, pour Thunderbird, c'est pas pareil… Mais ma remarque vaut également pour les ordinateurs de bureau !

Vous avez vraiment tout lu ? chapeau !

Oui, car l'accès à Internet à la maison qui marche, ça m'intéresse. Je ne sais pas pourquoi on peut payer un VPS 3€/mois avec un accès Internet complètement sympa, et chez soi, on a de la merde pour 49€/mois. Bref.

D'après ce que je vois, tu (ah, oui, je tutoie, mais si ça dérange, je peux changer) as l'air de te débrouiller pour router des trucs. Et le grand conseil que j'ai pu glaner, c'est donc d'éviter la Livebox. Elle ne sait pas faire. Il te faut un fournisseur qui accepte le mode bridge sur son modem, et faire soi-même, pour un service qui marche.

La Livebox, je l'avais mise en mode DMZ, mais dès que je faisais du DHT scraping (quelques centaines de connexions UDP parallèles), elle s'effondrait au bout de 2h.

C'est vrai que le /56 de Orange IPv6, c'est cool, mais sur les Freebox par exemple, on peut rediriger des /64 sur l'hôte de son choix. Faut le faire une fois manuellement par sous-réseau… C'est clairement pas dans l'idée de l'IPv6, mais disons que pour un réseau personnel, c'est suffisant.

Mais d'autres fournisseurs ont un mode bridge il me semble…

En tout cas, merci pour le retour !

J'ai l'impression qu'on redécouvre une énième fois que le cycle en V, c'est beau sur le papier, mais plus le projet est gros, et moins ça marche.

Je me trompe peut-être, mais je commence à avoir de l'expérience sur le démarrage de projets informatique. Ah, évidemment, je n'ai pas démarré des machins aussi gros, et ça se voit : je ne porte jamais de cravate.

le même test, sur le même serveur, sur un fichier statique hébergé sur cette même machine, via nginx et HTTPS, plafonne plutôt vers 450 requêtes

Essaye en http, sans TLS. Sur mon serveur, c'est le jour et la nuit. L'établissement d'une connexion TLS, avec la négociation d'une clé de chiffrement symétrique via un protocole de chiffrement asymétrique, c'est vraiment très lourd.

Non, mais c'était couru d'avance en fait. Comme Skype et Teams.

Et ce n'est pas un commentaire négatif, c'est la vie : on ne s'amuse pas à faire deux éditeurs de texte très similaires, avec le même objectif, et qui consomment chacun autant de ressources intellectuelles.

C'est vrai l'argument est valide. Mais dans les primes, aides, modulation de TVA, il n'y a pas une telle dépense en terme d'organisation, d'administration et de frais fixe.
Un commerçant qui accepte un titre restaurant donne en moyenne 3,5%. Et c'est bien plus élevé qu'une commission de carte bancaire standard.

Les sociétés qui gèrent ses titres sont devenues énormes. Par exemple Edenred fait plus de 1,6 milliards d'euros de chiffre d'affaires, même si évidemment, elle ne gère pas que les titres restaurant.

Au lieu de ça, quand mes représentants syndicaux demandent de transformer les TR en « panier repas » intégré au salaire de base, l'employeur fait la gueule. Parce que pour lui, ça lui coûterai plus cher. Même si pour le système global, ça coûterai bien moins cher.

Je classerai les Chèques Vacances en dessous des Titres Restaurant sur la liste des monnaies de singe quand même. C'est valable deux ans, sans limite de montant, dans des musées, parcs d'attraction, jardins, restaurant, etc. Les conditions sont beaucoup plus clémentes.

Rares sont les salariés à bénéficier de chèques-vacances dématérialisés. Pour ceux-là, il faut obligatoirement passer par une dématérialisation. Il faut pour cela se rendre sur la page dédiée aux échanges du site de l’ANCV, rentrer à la main les informations des chèques-vacances à échanger, puis se connecter via France Connect et enfin envoyer par La Poste les chèques-vacances papier. Après quoi le pli est traité et le solde des chèques vacances transformé disponible quelques jours après via l’application, prêt à être utilisé.

La page https://cheque-vacances-connect.com/collaborateur/aide/payer-en-cheque-vacances-connect/ confirme que :

Tous les paiements en Chèque-Vacances Connect s’effectuent depuis mon application Chèque-Vacances

Et c'est perdu. Ah, quel dommage Mme MICHU, vous avez été victime de la fracture numérique. On vous souhaite bon courage pour la suite.

https://videos.thinkerview.com/w/twu8mzSaetfzGbA9NwBt96

La dame là, elle a l'air de dire que si on se focalise sur la globalité des ressources, faire des véhicules électriques c'est aller droit dans le mur.

On est d'accord que ce n'est pas la seule solution. Il faut vraiment réduire le besoin de transport individuel.

Oui, désolé, j'étais tout seul dans mon trip.

Je pensais à une prise de courant, en charge, c'est-à-dire actuellement branchée à un élément consommant du courant électrique. C'est en général une mauvaise idée de toucher ce genre de chose, pour éviter tout arc électrique.

Oui, évidemment, la prise en charge avait un sens bien différent, mais le verbe prendre juste avant m'y a fait penser.

Quand il faut passer autant de temps à expliquer sa blague, c'est qu'elle était nulle :)

D'accord, mais… c'est pas un peu dangereux de se prendre une prise en charge ?

Y a déjà plein de bonnes raisons pour ne pas acheter (enfin… se précipiter) sur une voiture électrique, mais effectivement, le style d'organisation prônée ne donne pas envie.

minimum (and I mean minimum) of 40 hours per week or depart Tesla. This is less than we ask of factory workers.

Ahah, ça sert à quoi de fabriquer des voitures si les gens sont plus 60h par semaine au travail sans pouvoir s'en servir ?

J'avais écrit ceci, le jour même, au service client :

Bonjour,

Je viens de constater que Crédit Coopératif vient de mettre en place l'authentification à deux facteurs lors du paiement en ligne. Théoriquement, c'est une bonne chose, mais ce que j'ai vu m'impose de tirer la sonnette d'alarme : votre implémentation est dangereuse. Elle rompt la confiance et force les utilisateurs à devenir moins méfiant face aux arnaques.

En effet, j'ai un paiement à effectuer sur montoulouse.fr Pour le paiement, celui-ci me redirige sur paiement.systempay.fr qui semble être son prestataire de paiement. Il est déjà difficile pour un utilisateur de savoir s'il peut rentrer ses informations sur un site qui n'est ni celui de ses achats, ni celui de sa banque, et qui a un nom qui ne se rapporte à aucun groupe bancaire connu.

Ensuite, lors de la mise en place de 3D-Secure, une iframe s'affiche au milieu de la page, avec une fausse barre d'adresse pour indiquer l'adresse de ce cadre, qui est un sous-domaine de wlp-acs.com. C'est dans ce cadre que je dois d'abord rentrer mon code reçu par SMS, puis ensuite vient la deuxième étape problématique : je dois fournir mon mot de passe à un site tiers.

Je tiens à vous rappeler que, selon les termes des conditions générales (disponibles sur https://www.credit-cooperatif.coop/votre-banque/tarifs-et-informations-reglementaires/conditions-generales-produits-services/ ) au paragraphe 5.2 :

En cas d’utilisation d’un dispositif d’authentification mis en place par le Crédit Coopératif, le Client doit prendre
toutes les mesures nécessaires afin d’éviter (i) la divulgation à des tiers non autorisés, et/ou (ii) la copie, et/ou (iii)
toute utilisation non autorisée des facteurs d’authentification.

Je suis développeur informatique depuis plus de 15 ans. Je gère mon propre hébergement de ressources Internet (courriel, cloud, etc.). J'ai donc une expérience certaines des transferts de données, des noms de domaines et du chiffrement. Et pourtant, il m'est impossible de satisfaire cette clause lors du paiement :

• Je ne sais pas qui est wlp-acs.com et personne n'explique qui ils sont
• Il n'y a pas non plus d'explication sur la gestion des données
• En gros : mon mot de passe d'accès au compte personnel transite sur Internet à des tiers.

Il se trouve que j'ai également un compte bancaire chez Boursorama Banque qui ont implémenté le paiement avec authentification à deux facteurs de la façons suivante :
On rentre ses informations de carte sur le site marchand.
3D-Secure se met en marche, avec une iframe, et celle de Boursorama dit qu'il faut se connecter sur son espace client, dans un nouvel onglet.
Sur l'accueil de l'espace client apparaît le paiement avec le détail.
Pour valider le paiement, il y a l'envoi d'un SMS ou d'un courriel.
Retour sur l'onglet du paiement, c'est validé.

Dans ce cas-là, je me connecte comme d'habitude à mon espace client, et je ne transmet donc mon mot de passe qu'à ma banque, qui se charge de faire le lien avec le prestataire de paiement. La confiance est garantie.

De manière plus personnelle, tout au long de ma vie, je me suis échiné à faire de la prévention aux arnaques sur Internet, en mentionnant la confiance, les URL (et pas les images affichées qui ne veulent rien dire) et les informations transmises. Dans ce cas d'utilisation, tout est piétiné : les URL ne sont pas connues, la confiance ne peut pas être établie, et les données transmises sont hautement sensibles.

Merci donc de corriger cela au plus vite. Il me semble très douteux que ce genre d'expérience utilisateur aie pu être validé par un audit de sécurité externe. C'est dangereux, et très contre-productif pour la sécurité de vos clients.

Oui, j'étais un peu agacé, j'ai même laissé les fautes dedans :)

La réponse est arrivée aujourd'hui :

J’ai pris connaissance de vos échanges avec votre conseiller de clientèle, Monsieur Maxime GRESLE, par lesquels vous exprimez votre insatisfaction portant sur la sécurisation de nos paiements en ligne.

Je comprends votre sentiment et tiens à vous assurer que vos interrogations ont été pleinement prises en considération.

En effet, le système de sécurisation évoqué dans vos échanges semble concerner l’authentification à 2 facteurs avec saisie du code reçu par SMS et du mot de passe « banque en ligne » (OTP SMS renforcé).

Celle-ci répond à un besoin de disposer d’une solution complémentaire afin de couvrir une part de nos clients ne disposant pas de smartphone par exemple, afin de répondre à la réglementation européenne DSP2.

Aussi, pour reprendre les éléments de comparaison de votre mail, je souhaite vous confirmer que nous proposons une solution équivalente à celle proposée par Boursorama.

Cette solution nommée SECUR’PASS a été préconisée par le Groupe BPCE pour assurer un niveau de sécurité optimal dans le cadre de la validation des opérations de paiement.

Vous trouverez en pièce-jointe de ce mail une Foire Aux Questions qui, je l’espère, permettra de répondre à vos interrogations.

Donc voilà, on se fout de moi, mais ça ne sera pas le premier service client qui répond à côté, ni le dernier.
Évidemment, entre répondre à côté de la plaque et ne pas me répondre du tout, je ne sais pas ce qui est le pire…

Oui, effectivement, l'écran d'accueil est très sommaire. Il ne s'appelle pas BLISS pour rien.

Mais comme tout le reste, il est possible de le changer. Après, c'est la foire des applications… Donc j'ai aucun conseil à donner.

D'autres ont déjà répondu mais oui, le problème, c'est la chaîne d'intégrité.

Aujourd'hui, si on se retrouve face à des bibliothèques malicieuses sur NPM, c'est parce qu'elles ne sont pas signées. yarn.lock et package-lock.json font heureusement de la vérification d'intégrité, mais sur une version donnée. Attention, ce problème existe également avec du typosquatting sur PyPI et RubyGems.

Le gestionnaire de paquets de ma distribution utilise des signatures pour ce genre de choses. S'ils se font pirater, oui, c'est perdu pour moi, à tous les niveaux. Mais il est plus facile de « voler » un nom de domaine (voire simplement de le perdre) que de pénétrer la sécurité de Debian/Ubuntu/RedHat et n'importe quelle grosse distribution.

export PYENV_ROOT="$HOME/.pyenv"

😞

Ça aurait été tellement bien dans ~/.local/share/ avec des binaires dans ~/.local/bin. Alors oui, ça semble possible de le faire, mais par défaut, ça crée un énième répertoire, dommage.

Après, moi, je râle gratuitement contre tout ce qui me demande curl | bash