keyser.dyson a écrit 270 commentaires

Au troisième degré alors :-)

SELinux ne fait pas ce genre de choses ?

Merci de m'avoir fait connaitre ce projet. Il est très intéressant.

L'autre approche est de séparer tout ce qui est personnel de tout ce qui est pro dans les smartphones (Samsung Knox) en utilisant 2 VM séparées pour effectivement cloisonner les 2 activités et éviter que le perso n'impacte le pro.

Ils font ça aussi dans Qubes OS (cité plus haut) en plus étendus.

Extrait de leur "spec":

1 - The “Random” VM, which is to be used for all the usual Internet browsing, googling, news reading.
2 - The “Social” VM, which the user might decide to use e.g. to host an email client for his or her personal.
3 - The “Shopping” VM, which would be used for all the Internet shopping, e.g. Amazon, eBay, etc. The common sensitive resource in this case is the user email account.
4 - The “Bank” VM
5 - The “Corporate” VM

http://files.qubes-os.org/files/doc/arch-spec-0.3.pdf

Donc non, personne ne regardait ce que tu faisais à la maison, mais tout le monde le savait en pratique.

C'est toujours comme ça à la campagne (dans les coins que je connais).

Perso, ce que je pense, c'est que c'est à nous de prendre notre indépendance virtuelle.

J'aimerais bien me passer de Google (search). Je n'ai pas encore trouvé d'alternative efficace.

Tu me diras, ça peut être utilisé pour préparer une attaque terroriste aussi.

On serait aussi obligé de surveiller la vente de cocottes-minute.

Le C ou le C++ d'un point de vue sécurité..

On pourrait écrire les algorithmes de cryptographie dans un pseudo-code qui se compilerait dans différent langages.

Il existe un projet de ce type mais, malheureusement, je ne retrouve pas le lien.

Après, concevoir des algorithmes de sécurité, ça demande d'avoir étudié des maths et de l'informatique pendant un certain nombre d'années. Ça ne s'improvise pas.

Est-ce qu'il n'existe pas d'approche triviale (ou même simpliste) qui donnent des résultats acceptables ?

Si on n'est pas dans le déni …

:-)

Apparemment ils prévoient d'économiser 22 millions d'Euros en 5 ans.

Ce qui pourrait être bien est de n'économiser "que" 20 millions et de donner 2 millions aux organisations qui développent les logiciels qu'ils utilisent.

(42, Simplon , le Wagon…) et sur de nouveaux formats ( MOOC ,…).

"42". L'école qui te dégoute de la programmation.

Il y aussi une sorte de croyance que les MOOC vont "sauver" le monde de l'éducation.

On n'a pas besoin de MOOC pour apprendre. Tout est déjà en ligne.

Les MOOC sont surtout la pour rationaliser les notations et les corrections. C'est pour les institutions, pas trop pour les élèves.

Ouvre la fenêtre de ton bureau.

Pourquoi on ne gérerait pas la sécurité via de la virtualisation légère façon conteneur ?

Chaque programme tournerait dans sa VM à lui, avec son système de fichier et une vue partielle du système global.

Ca pourrait même (surtout) marcher sous windows. On pourrait lancer n'importe quel binaire sans aucun risque. Plus besoin d'anti-virus.

Ca simplifierait aussi l'administration. Pour désinstaller un programme, on jette le fichier VM. C'est tout.

L'auteur de l'article n'a pas tout compris:

Tiré de l'article:

“Fail fast” et “quick and dirty” : prototyper pour innover, co-produire avec le client, être un “product owner” pour ne garder que les fonctionnalités adoptées par l’utilisateur…

Pipotron.

Donc, il y a des coréennes blondes ?

Je n'y connais rien en cryptographie mais à chaque fois je me demande pourquoi on ne peut pas utiliser le microphone, la webcam ou même les capteurs de température internes comme générateur de nombres aléatoires ?

Tu as raison, ça ne casse pas des briques.

En plus, c'est culpabilisateur. C'est pas trop le genre de Einstein.

D'après ce que j'ai compris, c'est juste un datacenter en France basé sur OpenStack.

Je ne vois pas l'intérêt d'un tel projet.

Pour ce qui est de prendre en compte sérieusement la sécurité, quand est-ce qu'on porte tout du C/C++ vers ATS ou Ada (ou Rust quand il sera mur)?

Tu penses à "heartbleed" ?

C'est pas dit qu'aujourd'hui il s'en sortirait mieux que les autres.

Je ne pense pas qu'il serait opposé à la surveillance car c'est pour lutter contre le terrorisme (officiellement).

Je le vois plus actif du côté des "délocalisations".

Il faut faire attention de ne pas confondre "confidentialité" et "anonymat".

Merci. J'ai appris quelque chose.

Je connais plusieurs personnes qui ont installé un noeud de sortie et ont regardé ce qui y passait: "C'est intéressant…"

Une expérience drolatique de Chema Alonso à ce sujet lors d'une DefCon (mais sur des proxy "web", pas Tor):

https://www.youtube.com/watch?v=kLt_uqSCEUA

J'ai bien apprécié la conférence "Je n'ai rien à cacher". Je crois que c'est toi qui l'a faite.

La conférence montre bien que, quoiqu'on pense, on est au minimum "suspectable" voire "suspecté".

On parle rarement de l'ambivalence de l'état dans ces histoires. Par exemple la fondation de Jacob Appelbaum est largement financée par la NSF.

En France, LQDN reçoit des aides de OpenSociety (la fondation de Soros).

Les deux ne s'en cachent pas. Tout est bien visible sur leur site.

A ma connaissance WikiLeaks ne reçoit que des dons privés et anonymes.

Toutes mes excuses si j'ai vexé un banquier ou une banquière qui lirait ceci. J'ose espérer qu'il y en a d'honnêtes et intègres mais j'ai vécu tellement d'abus de leur part que je me méfierai toujours de cette corporation :/

Il ne font rien en fait. On est obligé de passer par eux. C'est une sorte de bureaucratie privée. Ils ne prennent aucun risque.

Ils se contentaient auparavant du "refinancement" (des intérêts des montants déposé sur les comptes).

Ils ont inventé un marché fictif de services en s'inspirant du téléphone portable.

Les employés de banque n'y sont pour rien mais ils participent quand même.

Une personne qui fait ce travail m'a dis un jour que moralement c'est très difficile. Ils profitent de la vulnérabilité des gens pour soutirer quelques euros.

C'est comme ça aussi dans les assurances.