Jiehong a écrit 592 commentaires

C'est cool ce eg ! Merci bien !

Si tant est donné que le certificat SSL que tu utilises pour ton trafic HTTP/TLS ne soit pas celui des services secrets.

Ça ne règle pas vraiment le reste (téléphone, micros et vidéo de lieux privées et publics, etc.). La vraie solution, c'est que ce ne soit qu'exceptionnel, dans des cas autorisés par la justice.

Mais ça n'enlève pas le problème originel (car si les services secrets le peuvent, alors demain ce sera n'importe qui), et on doit bien sécuriser plus de protocoles.

Depuis au moins 2006, la NSA utilise de la reconnaissance automatique de voix pour extraire des informations des données téléphoniques, et pouvoir chercher ou libeller des conversations en quasi-temps-réel. (Voir cet article pour plus d'informations en anglais)

Un exemple de plus pour la France ?

Là, ça risque d'être compliqué, mais l'idée étant d'utiliser un mode de chiffrement de qualité.

Tes mails en PGP, en t'assurant que les clés de tes correspondants soient les bonnes, messagerie en OTP (genre cryptocat, ou les messages sécuriés de Telegram (voir l'EFF pour d'autres).

Et bien d'autres.

En espérant vraiment ! J'en attends beaucoup de la chambre constitutionnelle là.

Ça ne risque pas trop d'aider l'auteur, mais il pourrait être intéressant de demander à ton entreprise d'obtenir un « infuseur universel », ou cafetière 2.0 (pour café, thé, cocktails, etc.)

C'est BKON qui fabrique ça, et ça fonctionne sur le même principe que le siphon de cuisine à cartouches (que l'on utilise aussi pour faire infuser des huiles épicées en quelques secondes, au lieu de plusieurs mois, et à froid).
Sauf qu'ici c'est une pompe à vide contrôlée électroniquement qui fait le boulot.

Bon, ça vaut environ 15-20 000 €, mais ils planchent sur un modèle individuel qui sortira peut-être un jour.

J'aimerais bien tester en tout cas :/

En fait, ta machine américaine en plastique, ce n'est rien de plus qu'une cafetière à piston…

D'ailleurs le prix tourne dans les même eaux, et le temps d'infusion est manuel, tout comme la quantité.

Pour le goût, c'est au choix, mais je n'aime pas le café, alors je ne sais pas trop si c'est proche d'une expresso.

Performance et complexités… c'est un long débat.

Les performances d'il y a quelques années ça serait bien, mais les logiciels évoluent, deviennent plus jolis (OpenGL derrière), sont passés sur du code qui s'adapte mieux aux diverses plateformes (écrans tactiles, densités de pixels en hausse, etc.).

Je suis certain que si tu restes avec une distribution d'il y a 10 ans, les performances seront toujours au rendez-vous, mais les gens ne veulent pas toujours ça, et les nouveautés matérielles ne seront pas prises en charge.

Si on quitte le monde des interfaces graphiques, la ligne de commande s'est elle-même complexifiée, même si ce n'est pas toujours visible. Le code s'est globalement complexifié, de nouvelles choses demandent plus au système de fichier, demandent plus d'espace (BDD, chiffrement, etc.).

Nouveau matériel ⇒ nouveau code ⇒ nouvelles possibilités ⇒ nouveau matériel ⇒ etc.

À l'opposé, une TI83+ d'aujourd'hui n'a pas vraiment changée, le système fait la même chose, et elle est toujours aussi rapide. Les téléphones auraient pu rester au stade des Nokia 3310 également…

Il y a des dépôts PPA dédiés il me semble, donc tu pourras essayer la 5.3.

Sinon, sous Archlinux, il y a les dépôts Testing pour les plus impatients.

C'est une bonne nouvelle, mais il n'est pas vraiment libre ni open source, alors c'est non pour moi.

Mais le changement, c'est bien ! Bravo Microsoft pour changer un peu !

Évidemment, mais je voulais d'abord savoir si j'étais le seul ou pas sur linuxfr… (mon installation est toute fraiche)

J'ai pas eu de problème de redémarrage ou d'arrêt avec plasma 5.

Pour le problème de langue avec SDDM, J'ai pas changé la langue, alors je ne sais pas.

Pour les glitches graphiques, je vient de tester, et en effet, j'ai des soucis en vitesse 3 (milieu), et en vitesse minimale. Les autres semblent marcher correctement.
C'est possiblement un souci avec les pilotes intel, qui ne sont pas toujours super propres avec opengl… à voir.

Tu confonds Kde-frameworks, et plasma, dont les versions ne sont pas corrélées. Plasma est en 5.2.2 sur Archlinux à l'heure où j'écris ces lignes.

Pour tous tes bémols, je ne peux que t'encourager à les remonter en tant que tickets sur les projets concernés (kmail, kwin, etc.). Teste quand même la 5.3 avant ;)

Il n'a jamais été question d'envoyer tout ce que tu tapais (en tout cas, j'ai rien lu qui dise ça).

L'idée est de n'envoyer que ton mot de passe ou toute autre donnée choisie… bref, je laisse tomber…

Tu ne vas probablement pas envoyer des vidéos avec, mais ça peut grandement aider.

Tu peux toujours envoyer des bouts de clé de chiffrement, ce qui réduit considérablement le temps de cassage par brute-force, par exemple (ta clé AES de 128 bits devient une clé 64 bits en 8 heures, ce qui tout sauf sûr de nos jours).

Mais bon, c'est quand même une solution compliqué à mettre en œuvre, puisqu'il faut que la machine isolée soit infectée…

C'est 40 cm, et c'est une variation de 1°C, ce qui a été mesuré.

Je rajoute quelques détails ici, pour ceux qui ne lisent pas l'article, et qui commentent en étant sceptiques : (ce n'est qu'une preuve de concept)

Le nom de la méthode est BitWhisper, et fonctionne sur l'idée de moduler l'empreinte thermique du PC connecté à internet par variation de 1°C.

2 sets de machines sont utilisées : l'une contenant une carte mère GIGABYTE GA-H87M-D3H équipée d'un intel i7-4790, et l'autre contenant une carte mère H77-D3H équipée d'un intel i7-3770.

Les données sont mesurées à 0.5 Hz via HWInfo. La proximité des ordinateur fait que la chaleur émise se transmet, notamment par convection, et grâce aux ventilateurs chargés de refroidir ces PCs.

Il y a d'abord eu des mesures de chaleurs sans communication, histoire d'avoir un profil de chaleur en temps normal. À 30 cm de distance, le PC chargé de recevoir des données voyait sa température augmenter de 1°C maximum de par l'effet du premier PC. Cet écart est de 4°C si les 2 PC se touchent.

L'expérience a réussi à changer la cible d'une fusée jouet branchée par USB sur la machine isolée.

Des idées d'amélioration sont, par exemple, de commencer une communication à heure fixe, pour éviter d'avoir à faire un hand-shake en début de communication.

Enfin, la vitesse de 8 bits par heure (soit 1 octet), est la vitesse de données fiables transmises.

De là, on pourrait très bien imaginer recueillir des informations d'un appareil avec une caméra thermique de loin (même si l'on perdrait la possibilité d'envoyer des ordres).

8 h c'est une nuit, c'est pas si long.

En outre, il est possible de comprimer les données, avec un algo pré-défini à l'avance, sans en-tête par exemple.
Mais l'idée n'étant pas de changer ta signature thermique immédiate, mais plutôt de jouer sur une valeur mesurable, c'est pour ça que c'est lent.

J'imagine que dans une salle de serveurs, c'est quelque chose de plus problématique, sachant que les machines ne bougent pas.

Tu parles d'une chaîne de confiance, pour finalement faire confiance en l'implémentation du chiffrement intégrée à ton SSD.

Il me semble que cette implémentation n'est :

• ni vérifiable ;
• ni auditée ;
• pas sans exemples d'implémentations foireuses ;
• etc.

Quant aux coûts en termes de performances, je viens de lancer un cryptsetup --benchmark, et je suis à 2400 MiB/s en chiffrement et déchiffrement avec aes-xts/256 bits. Mon SSD ne dépasse pas les 700 MiB/s, c'est donc le facteur limitant. Après, je ne connais pas à ta machine, mais elle me semble vraiment très puissante !

De toutes façons, il parlait de partitions chiffrées par ses sauvegardes, ce qui est sûrement sur un module externe, qui n'est pas si rapide il me semble.

En outre, ces audits de sécurité étaient de 10 heures chacun, ce qui n'est pas énorme non plus. Si en peu de temps de gros bogues sont découverts, il y a fort à parier qu'il y en a beaucoup d'autres.

TrueCrypt a fait l'objet d'un audit de sécurité plus important, et il en est ressorti pas si mal que ça.

crypsetup (dmcrypt) avec LUKS gère également les volumes TrueCrypt, ce qui est pas mal.

Si c'est simplement pour tes backups, une partition dm-crypt/LUKS sera montée automatiquement comme le serait une partition normal d'un disque dur externe, et ça te permet d'utiliser le système de fichier que tu souhaites. Mais n'hésites-pas à regarder les tableaux du lien d'Archlinux donné précédemment, car ça peut te donner des idées.

Dans le rapport, c'est l'accès aux données lorsqu'elles sont chiffrées…

Voici l'audit en question.

On y apprend que quelques problèmes de sécurités précédemment connus n'ont pas été corrigés, ou que la correction n'a pas réglé le problème.

Je pense que la conclusion est claire, et j'en traduit 2 passages ici :

En conclusion, Encfs est un outil utile même s'il ignore beaucoup de pratiques standardisés considérées comme bonnes. (…) Encfs est probablement sûr tant qu'un adversaire n'obtient qu'une seule copie des données chiffrées. Mais Encfs n'est pas sûr si un adversaire a l'opportunité d'obtenir au moins 2 instantanées (« snapshots ») des données chiffrées à différents moments. Encfs fait de son mieux pour essayer de protéger les données contre des modifications externes, mais cette partie souffre de sérieux problèmes. NDLR: les fonctions assurant l'intégrité des données sont mal implémentés, peuvent être simplement désactivés par un adversaire, et peuvent également être cassés par « brute force » due à leur faible taille (ou, plus précisément, dû à la faible taille de l'espace des possibilités qui est de 2^64).

Avec les chaînes de télévisions qui permettent de regarder des émissions après leurs diffusion sur les ondes, via un site web, ce qui est presque pareil (si c'est téléchargeable, comme grâce à artefetcher par exemple), je ne pense pas que cela change vraiment.

Pour moi, c'est un bon moyen d'archiver les émissions radios, ce qui manque un peu je trouve.

[ma vie]
J'utilise toujours mon baladeur numérique pour écouter de la musique en ballade, car il tient près de 50 heures d'écoute, ce que mon téléphone ne permet pas. Le son est de bien meilleure qualité aussi. (il fait une chose, mais il l'a fait bien, Unix, tout ça…).
[/ma vie]


Je viens de tester, et c'est vraiment sympa.

Par contre, je ne comprends pas trop pourquoi tout est fluide, sauf de temps en temps pendant 2 ou 3 secondes sur mon intel Iris Pro 5200 :/

« demande d'intégration » en français, et c'est donc féminin.

Si tu me dis "pendant un mois, ton avatar sur dlfp représentera un troll velu et tu t'appelleras pasZenit pasRam", est-ce que le fait que je m'identifie à l'avatar ne viendrait pas d'abord de la relation d'autorité, de mon absence de choix ?

Quand tu choisis ton avatar, tu es ta propre autorité inconsciente, et ce pour une durée finie mais indéterminée. Ton absence de choix vient-elle de l'autorité que tu t'imposes par choix ? ;)

Que peut-on déduire de ton avatar, qui représente Tux avec un cœur sur la gauche du thorax ? Que peut-on inférer de ton pseudonyme, jiehong ? Serais-tu un espion la solde du gouvernement chinois ?

et ma couverture alors ? :(