HG203 a écrit 63 commentaires

Si les logiciels libres sont modifiables, les logiciels propriétaires eux ont été modifiés pour intégrer une fonction "suppression du chiffre d'affaire". Cela a été découvert il y a quelques années dans une pharmacie qui utilisait un logiciel qui permettait de faire disparaître 10 % (ou plus) des achats en parapharmacie. Cette fonctionnalité avait été implanté par l'éditeur qui fournissait un code moyennement finance.

Voir : http://lexpansion.lexpress.fr/actualite-economique/le-tour-de-passe-passe-des-commercants-pour-frauder-le-fisc_1657676.html et http://www.leparisien.fr/economie/le-scandale-des-caisses-non-enregistreuses-25-01-2014-3526647.php.

La seule solution est l'horodatage des transaction de caisse, couplé avec la signature du code. C'est tout à fait intégrable à un logiciel libre, mais ça un coût.

Bah ! C'est pas cher comparé aux Rolex qui ont des mécanismes traditionnels à remonter à la main.
D'ailleurs le plus cher c'est le boiter et le bracelet en platine.

Par abus de langage on parle souvent de certificat pour désigner le biclé et le certificat proprement dit : quand on achète un certificat c'est bien cet ensemble que l'on obtient. Effectivement c'est la clé privé qui ne doit pas être extraite, par contre le certificat proprement dit est exportable.

Mais c'est bien avec la clé secrète que les documents sont signés (en fait un hachage du document est soumis au processeur de la carte à puce qui le signe avec cette clé et retransmet le résultat au logiciel de signature).

Effectivement, le certificat ne doit pas pouvoir être extrait de la carte (il ne doit pas être copié et doit rester unique).
Pour l'utiliser, il faut installer un lecteur de carte à puce et un pilote spécifique : le "middleware".

Il s'agit de certificats confinés dans un support cryptographique fiable (c.a.d. une carte à puce protégée par un code, qui se verrouille après plusieurs saisies erronées , comme la carte bleue) qui sont remis lors d'un face-à-face avec une autorité d'enregistrement (un agent de la banque, si tu leur as acheté ton certificat) avec vérification de l'identité du porteur (celui qui achète le certificat).

Il faut mettre le conditionnel pour mon commentaire, cependant The SHA-1 collision project travaille sur les collisions pour SHA-1 et avance bien.

Le plus probable est que la NSA ait réussi à casser les clefs RSA de 1024 bits en 2010 et que bien entendu n'en a pas fait de publicité.

Ce n'est que très récemment que les certificats avec des clefs de cette taille sont bannis (voir https://www.ssl247.fr/entreprise/blog/Microsoft-sapprte--supprimer-tous-les-certificats-racines-1024-bits-de-sa-Trust-List - il faut lire 1024 et non 2014 ou http://www.silicon.fr/100-000-sites-utilisent-encore-certificats-ssl-en-rsa-1024-bits-96549.html, https://www.globalsign.fr/centre-information-ssl/cles-privees-et-publiques-1024-bits.html) de même pour Google qui est passé en 2048 courant 2013 (http://www.lemondeinformatique.fr/actualites/lire-google-renforce-la-securite-ssl-avec-des-cles-2048-bits-53712.html). Il est d'ailleurs probable que la NSA ait fait des progrès et que les clefs de 2048 bits ne sont peut-être plus sures.

D'ailleurs le problème est le même pour l'algorithme de hachage : la plupart des certificats utilisent SHA1 qui est certainement lui aussi cassé (voir : https://nakedsecurity.sophos.com/2012/12/09/sha1-brute-force-trimmed-21-percent/ et http://linuxfr.org/news/nouvelles-attaques-sur-sha-1-debian-pourrait-migrer-vers-sha-2) cela permet de réaliser des collisions donc de substituer des certificats pour faire du MITM.

Le vrai problème de word c'est ses bogues qui font que parfois (surtout dès une certaine taille document) une simple modification (ajout d'une virgule) le document est complètement corrompu et devient irrécupérable.
J'ai déjà vu des stagiaires perdre ainsi tout leur mémoire et bien sur, ils n'avaient pas de sauvegarde récente !

C'est rien 5 Go, alors pourquoi la lecture de vidéos pose des problèmes de visualisation chez certains FAI ?

Dans le cas présent il s'agit de 11 To ( pas Go voir http://business.kaspersky.com/with-the-doors-wide-open-yet-another-sony-megahack/3408) et l'attaque a semble-t-il débuté en février 2014 ce qui fait presque 33 Go à transférer tous les jours et pendant 10 mois !

Un ou deux apparts (dans un luxueux hôtel de Thaïlande d'après la presse) pour récupérer 10 To (on a même évoqué 100 To) !

Je ne sais pas si tu as déjà restaurer des systèmes de fichiers de plusieurs To, mais ça prends un temps certain (en jours), alors par internet (et même avec de la fibre)! L'exfiltration des données a dû avoir un impact sensible sur la bande passante chez SONY et aurait due être aussi remarquée chez les FAI.

A mon boulot dès que quelqu’un a le malheur de téléchargé l'équivalent d'un ou deux DVD (de la carto par exemple) le responsable réseau gueule tout de suite.

Ce qui m'étonne le plus c'est que cette attaque a été menée pendant près d'un an et que personne ne s'est aperçu de rien !

Même la NSA n'a apparemment rien vu malgré tout les moyens dont elle dispose pour intercepter et surveiller les flux venant des pays étrangers et à fortiori terroristes comme la Corée du nord.

C'est bien la preuve que la surveillance du Net n'a pas pour but de prévenir les actes terroristes, mais qu'elle sert qu'à l'espionnage industriel et commercial des pays "amis".

Effectivement, je m'étais contenté des informations données dans la dépêche (lue en diagonale) et n'avais pas pris le temps de lire à fond les spécifications (les fichiers pdf) des cartes.

En conclusion, il ne faut pas (plus) utiliser la version 1 de la carte.

Les spécifications de cette carte semblent périmées notamment par rapport aux recommandation du RGS (voir l'annexe B1 "Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques" sur http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/liste-des-documents-constitutifs-du-rgs-v-2-0.html).

En effet :

• SHA-1 est proscrit par le RGS, car présentant une certaine faiblesse (https://www.schneier.com/blog/archives/2005/02/sha1_broken.html) en matière de collision (d'où la création de SHA256).

• les clés RSA de 1024bits sont beaucoup trop courtes et même celles de 2048 bits autorisées que jusqu'en 2020.

Il faut se méfier des "faux amis". Feuilleton en allemand signifie "page culturelle" ou chronique littéraire et non roman.

D'autre part ce n'est pas parce que le blogueur de "bigbrother" blog hébergé par le journal Le Monde s'est fait piègé (voir http://bigbrowser.blog.lemonde.fr/2014/11/02/la-mise-au-point-de-laeroport-de-ouagadougou-sur-la-situation-au-burkina-faso/) qu'il faut voir de la désinformation partout.

Une petite recherche montre que la chaine "Al HAYAT" sur youtube a bien été bloquée pour des raisons de copyright par des islamistes et qu'ils ont pu obtenir ainsi les coordonnées des diffuseurs et des animateurs de la chaîne pour les menacer de mort.

Voir par exemple :

http://www.ead.de/arbeitskreise/religionsfreiheit/nachrichten/einzelansicht/article/al-hayat-tv-islamisten-drohen-aufklaerern-mit-dem-tod.html

et

http://www.pi-news.net/2014/09/youtube-liefert-islamaufklaerer-al-qaida-und-is-aus/

C'est un wiki (voir TiddlyWiki) compatible Markdown. La syntaxe wikitext est un peu semblable à celle de linuxfr, mais avec en plus la possibilité de définir des macros, voire des plugins (en javascript) pour en enrichir les fonctionnalités.

La doc textuelle est un peu juste, mais plusieurs vidéos sont disponibles (http://tiddlywiki.com/#Videos).

L'intérêt est qu'il est libre (licence open source BSD) et modulable et fonctionne dans tous les environnements (windows, linux, MacOs, Android, etc.).

Ce qui est interdit, c'est d'évoquer les détails d'une condamnation ou la condamnation elle-même quand celle-ci a été amnistiée.

Ici ce n'est pas le cas.

En fait, en 2006, il a quand même été condamné à deux ans d'emprisonnement avec sursis et 250 000 euros d'amende pour recel de l'argent lié à cette affaire de proxénétisme :
http://www.generation-nt.com/prison-vice-president-iliad-xavier-niel-actualite-18422.html?page=3.

Les juges n'ont simplement pas réussi à prouver son implication directe pour proxénétisme, mais ils avaient de forts soupçons.

Ce qui est un vrai problème, c'est qu'il a fait de la prison (préventive) pour proxénétisme

http://lexpansion.lexpress.fr/high-tech/le-fondateur-de-free-en-prison-pour-proxenetisme_1437386.html

Même s'il a eu un non lieu par la suite
http://www.nextinpact.com/archive/Xavier_Niel_IliadFree_relaxe_des_accusations_de_pr.htm.

Pas forcément, sur un autre avion du même type des criques sur la cellule ont été détectées près de l'endroit où se trouvent les antennes de transmission. Il est donc possible que la cellule ait lâché et ait sectionné les câbles et ait par conséquent coupé toutes les communications (pour désactiver le transpondeur c'est un simple bouton sur le tableau de bord, mais pour les transmissions techniques il faut passer par la soute !).

Cette rupture a pu dépressuriser l'avion, voire déclarer un incendie (court-circuit entre les câbles sectionnés) et tuer les passager, ainsi que les pilotes. D'autre cas de ce type d'accident ont déjà eu lieu.

De toute façon tant que l'avion ne sera pas retrouvé on ne pourra rien affirmer.

C'est bien la question qu'on peut se poser.

En quoi cette mesure peut prévenir un attentat ?

N'y a t il pas moyen de cacher de l'explosif dans un batterie (où ailleurs) tout en gardant la possibilité d'allumer l'appareil ?

C'est quoi la propagande syrienne ? Est-ce dire que la plupart des opposants à Hassad sont des islamistes et être objectif c'est affirmer qu'il n'y en a pas ?

Et pourquoi pas .pinard, ça fait encore plus français ?

Peux-tu expliciter ?

Avec des vrais mots et de vraies phrases !

Vu dans les commentaires d'un article de médiapart (sur l'oubli des 700K€ de LE GUEN).

http://www.delitdimages.org/le-vrai-visage-de-manuel-valls-par-emmanuel-ratier/

Et toi tu joue sur les mots, le soft réalise, par défaut, le séquestre des clefs (qui pourront être remise à la justice).
Si pour l'utilisateur cette opération n'est pas claire cela revient à une backdoor.

De plus on a bien compris le sens de tes interventions.